网络攻防实战演练PPT格式课件下载.ppt

1、侦查阶段本节要点：本节要点：描述侦查过程描述侦查过程识别特殊的侦查方法识别特殊的侦查方法安装和配置基于网络和基于主机的侦查软件安装和配置基于网络和基于主机的侦查软件实施网络级和主机级的安全扫描实施网络级和主机级的安全扫描配置和实施企业级的网络漏洞扫描器配置和实施企业级的网络漏洞扫描器进入我们新的空间fdq 2010信息学院62022/10/27安全扫描的概念理解安全扫描的概念理解 安全扫描就是对计算机系统或者其它网络设备进行安全相安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。关的检测，以找出安全隐患和可被黑客利用的漏洞。安全扫描软件是把双刃剑，

2、黑客利用它入侵系统，而系统安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。管理员掌握它以后又可以有效的防范黑客入侵。安全扫描是保证系统和网络安全必不可少的手段，必须仔安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。细研究利用。进入我们新的空间fdq 2010信息学院72022/10/27安全扫描的检测技术安全扫描的检测技术基于应用的检测技术，它采用被动的，非破坏性的办法基于应用的检测技术，它采用被动的，非破坏性的办法检查应用软件包的设置，发现安全漏洞。检查应用软件包的设置，发现安全漏洞。基于主机的检测技术，它采用被动的，非破坏性的办法基

3、于主机的检测技术，它采用被动的，非破坏性的办法对系统进行检测。对系统进行检测。基于目标的漏洞检测技术，它采用被动的，非破坏性的基于目标的漏洞检测技术，它采用被动的，非破坏性的办法检查系统属性和文件属性，如数据库，注册号等。办法检查系统属性和文件属性，如数据库，注册号等。基于网络的检测技术，它采用积极的，非破坏性的办法基于网络的检测技术，它采用积极的，非破坏性的办法来检验系统是否有可能被攻击崩溃。来检验系统是否有可能被攻击崩溃。进入我们新的空间fdq 2010信息学院82022/10/27安全扫描系统具有的功能说明安全扫描系统具有的功能说明 协调了其它的安全设备协调了其它的安全设备使枯燥的系统安

4、全信息易于理解，告诉了你系统发生的事情使枯燥的系统安全信息易于理解，告诉了你系统发生的事情跟踪用户进入，在系统中的行为和离开的信息跟踪用户进入，在系统中的行为和离开的信息可以报告和识别文件的改动可以报告和识别文件的改动纠正系统的错误设置纠正系统的错误设置进入我们新的空间fdq 2010信息学院92022/10/27安全扫描安全扫描whoiswhoisnslookupnslookuphosthostTracerouteTraceroutePingPing扫描工具扫描工具安全扫描常用命令安全扫描常用命令进入我们新的空间fdq 2010信息学院102022/10/27TracerouteTracer

5、oute命令命令用于路由跟踪，判断从你的主机到目标主机经过哪些路由器、跳计数、响用于路由跟踪，判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间等等应时间等等可以推测出网络物理布局可以推测出网络物理布局判断出响应较慢的节点和数据包在路由过程中的跳数判断出响应较慢的节点和数据包在路由过程中的跳数Traceroute Traceroute 或者使用极少被其它程序使用的高端或者使用极少被其它程序使用的高端UDPUDP端口，或者使用端口，或者使用PINGPING数据包数据包进入我们新的空间fdq 2010信息学院112022/10/27Traceroute Traceroute 路由跟踪原理路由

6、跟踪原理TTL=1TTL=1数据数据?TTL?TTL-1010小于等于小于等于0 0ICMP time exceededICMP time exceeded发发IPIP包的源地址包的源地址IPIP包的所有内容包的所有内容路由器的路由器的IPIP地址地址A AB B进入我们新的空间fdq 2010信息学院122022/10/27Traceroute Traceroute 路由跟踪原理路由跟踪原理TTL=1TTL=1数据数据小于等于小于等于0 0ICMP time exceededICMP time exceeded发发IPIP包的源地址包的源地址IPIP包的所有内容包的所有内容路由器的路由器的I

7、PIP地址地址A AB B我知道路由器我知道路由器A A存在于存在于这这个路径上个路径上 路由器路由器A A的的IPIP地址地址进入我们新的空间fdq 2010信息学院132022/10/27B BTraceroute Traceroute 路由跟踪原理路由跟踪原理A A我知道路由器我知道路由器A A存在于存在于这这个路径上个路径上 路由器路由器A A的的IPIP地址地址TTL=2TTL=2数据数据?TTL-10102-1=102-1=10TTL=1TTL=1数据数据小于等于小于等于0 0ICMP time exceededICMP time exceeded发发IPIP包的源地址包的源地址I

8、PIP包的所有内容包的所有内容路由器的路由器的IPIP地址地址?TTL-1010我知道路由器我知道路由器B B存在于存在于这这个路径上个路径上 路由器路由器B B的的IPIP地址地址进入我们新的空间fdq 2010信息学院142022/10/27B BTraceroute Traceroute 路由跟踪原理路由跟踪原理A A我知道路由器我知道路由器A A存在于存在于这这个路径上个路径上 路由器路由器A A的的IPIP地址地址TTL=3TTL=3数据数据?TTL-10103-1=203-1=20TTL=2TTL=2数据数据我知道路由器我知道路由器B B存在于存在于这这个路径上个路径上 路由器路由

9、器B B的的IPIP地址地址?TTL-10102-1=102-1=10TTL=1TTL=1数据数据port number port number 是一个一般是一个一般应应用程序都不会用程序都不会用的号用的号码码（30000 30000 以上），所以当此数以上），所以当此数据包据包 到达目的地后到达目的地后该该主机会送回一个主机会送回一个ICMP port unreachableICMP port unreachable的消息，而当的消息，而当源主机收到源主机收到这这个消息个消息时时，便知道目的地，便知道目的地已已经经到达了。到达了。ICMP port ICMP port unreachable

10、unreachable我到达了目的地我到达了目的地进入我们新的空间fdq 2010信息学院152022/10/27普通普通TracerouteTraceroute到防火墙后的主机到防火墙后的主机假定防火墙的规则阻止除假定防火墙的规则阻止除PINGPING和和PINGPING响应（响应（ICMPICMP类型类型8 8和和0 0）（210.106.0.105）,30hopsmax,（210.106.0.105）,30hopsmax,40bytepackets1 110.0.0.1（10.0.0.1）10.0.0.1（10.0.0.1）0.540ms0.540ms0.394ms0.394ms0.39

11、7ms0.397ms2 2202.106.0.2（202.106.0.2）202.106.0.2（202.106.0.2）2.455ms2.455ms2.479ms2.479ms2.512ms2.512ms3361.109.101.34（61.109.101.34）61.109.101.34（61.109.101.34）4.812ms4.812ms4.780ms4.780ms4.747ms4.747ms4 4130.10.52.4（130.10.52.4）130.10.52.4（130.10.52.4）5.010ms5.010ms4.903ms4.903ms4.980ms4.980ms5 51

12、34.202.31.115（134.202.31.115）5.520ms134.202.31.115（134.202.31.115）5.520ms5.809ms5.809ms6.061ms6.061ms6 6212.36.70.16（134.202.31.115）212.36.70.16（134.202.31.115）9.584ms21.754ms9.584ms21.754ms20.530ms20.530ms7 7202.99.46.7（202.99.46.7）202.99.46.7（202.99.46.7）94.127ms94.127ms81.764ms81.764ms96.476ms96.

13、476ms8 8202.99.44.76（202.99.44.76）202.99.44.76（202.99.44.76）96.012ms98.224ms96.012ms98.224ms99.312ms99.312ms 进入我们新的空间fdq 2010信息学院162022/10/27使用使用ICMPICMP数据包后数据包后TracerouteTraceroute结果结果xuyitraceroute-I（210.106.0.105）,30hopsmax,40bytepackets110.0.0.1（10.0.0.1）0.540ms0.394ms0.397ms2202.106.0.2（202.106

14、.0.2）2.455ms2.479ms2.512ms361.109.101.34（61.109.101.34）4.812ms4.780ms4.747ms4130.10.52.4（130.10.52.4）5.010ms4.903ms4.980ms5134.202.31.115（134.202.31.115）5.520ms5.809ms6.061ms6212.36.70.16（134.202.31.115）9.584ms21.754ms20.530ms7202.99.46.7（202.99.46.7）94.127ms81.764ms96.476ms8202.99.44.76（202.99.44.7

15、6）96.012ms98.224ms99.312ms进入我们新的空间fdq 2010信息学院172022/10/27使用使用ICMPICMP的的TracerouteTraceroute原理原理由于防火墙一般不进行内容检查，我们可以将探测数据包到达防火墙时端由于防火墙一般不进行内容检查，我们可以将探测数据包到达防火墙时端口为其接受的端口，就可以绕过防火墙到达目标主机。口为其接受的端口，就可以绕过防火墙到达目标主机。起始端口号计算公式起始端口号计算公式起始端口号起始端口号=（=（目标端口目标端口-两机间的跳数两机间的跳数*探测数据包数探测数据包数）-1）-1例：防火墙允许例：防火墙允许FTPFTP数据包通过，即开放了数据包通过，即开放了数据包通过，即开放了数据包通过，即开放了2121号端口号端口号端口号端口,两机间跳数