第五章网络攻击与防范.ppt
文本预览下载声明
第五章 网络攻击与防范技术 ;*;近10年安全漏洞发布趋势;5.1 网络攻击概述与分类;*;*;*;5.1 网络攻击概述与分类;5.1 网络攻击概述与分类;网络攻击的一般流程;5.2 目标探测;5.2.1 目标探测的内容;5.2.2 目标探测的方法 ;2. 分析目标网络信息
使用专用的工具,如VisualRoute等。
这些软件的主要功能:快速分析和辨别Internet连接的来源,标识某个IP地址的地理位置等。
3. 分析目标网络路由
了解信息从一台计算机到达互联网另一端的另一台计算机传播路径,常见的检测工具为Tracert/TraceRoute。;*;Google Public DNS;简单网络管理协议 SNMP;SNMP信息搜集举例;5.3 扫描概念和原理;5.3.1 主机扫描技术;*;*;*;5.3.2 端口扫描技术 ;2.TCP SYN扫描(半打开扫描)
优点:隐蔽性比全连接扫描好,结果准确,速度快
缺点:防火墙及入侵检测系统已对其警惕
;3.TCP FIN 扫描;4.TCP Xmas扫描
5.TCP NULL扫描 ;5.UDP扫描
关闭的端口会回应端口不可达数据包,开放的端 口不回应。
UDP扫描不可靠。
1)目标主机可以禁止任何UDP包通过;
2)UDP本身不是可靠的传输协议,数据传输的完整性不能得到保证;
3)系统在协议栈的实现上有差异,对一个关闭的UDP端口,可能不会返回任何信息,而只是简单的丢弃。;6.FTP返回扫描 ; FTP 代理扫描是用一个代理的FTP服务器来扫描TCP端口。
假设S是扫描机,T是扫描目标,F是一个支持代理选项的FTP服务器,能够跟S和T建立连接,FTP端口扫描步骤如下:
(1) S与F建立一个FTP会话,使用PORT命令声明一个选择的端口p-T作为代理传输所需要的被动端口;
(2)然后S使用一个LIST命令尝试启动一个到p-T的数据传输;
(3)如果端口p-T确实在监听,传输就会成功,返回码150和226被发送回给S。否则S会收到
“425 Can build data connection:Connection refused” 的应答;
(4)S持续使用PORT和LIST命令,直到对T上所有的选择端口扫描完毕为止。
这种方法的优点是难以跟踪,能穿过防火墙。主要缺点是速度很慢,有的FTP服务器最终还是能得到一些线索,关闭代理功能。;防止端口扫描;5.3.3 漏洞扫描 ;*;*;*;操作系统类型鉴别;间接鉴别操作系统;TELNET到装有IIS的服务器的80端口用GET命令来查看结果:
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Wed, 31 Dec 1997 20:37:29 GMT
Content-Type: text/html
Content-Length: 87
htmlheadtitleError/title
/headbodyThe parameter is incorrect. /body/html
;虽然在IIS的管理器里面并没有提供给我们修改和隐藏BANNER的工具,但可以通过修改相应的DLL文件来实现。 首先,存放IIS BANNER的DLL文件都是放在C:\WINNT\SYSTEM32\INETSRV\ 目录下面的,其中对应关系是: WEB是:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL FTP是: C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL SMTP是:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL 用UltraEdit将他们打开,然后查找想要找的BANNER的关键字,例如IIS的WEB就是要找:Microsoft-IIS/5.0 ,直接修改成我们想要修改成的样子,之后保存即可。;直接鉴别操作系统类型;*;*;*;5.4 网络监听;*;*;*;1) Monitor – Matrix(主机会话监控矩阵);2) Monitor – Protocol Distribution(协议分布状态监控)
;Monitor – Global Statistics(全局统计数据查看);Capture – define filter(过滤器的定制);*;*;5.4.2 网络监听检测与防范; 2.网络监听的防范
(1)采用加密手段进行信息传输
(2)以交换式集
显示全部