欢迎来到天天文库
浏览记录
ID:37537830
大小:788.00 KB
页数:65页
时间:2019-05-12
《风险评估与网络嗅探》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、网络扫描与嗅探TSM-301网络攻击的完整过程信息收集信息收集技术是一把双刃剑黑客在攻击之前需要收集信息,才能实施有效的攻击安全管理员用信息收集技术来发现系统的弱点并进行修补攻击工具攻击命令攻击机制目标网络网络漏洞目标系统系统漏洞攻击者漏洞扫描评估加固攻击过程实时入侵检测知己知彼,百战不殆信息收集过程信息收集(踩点,footprint)是一个综合过程从一些社会信息入手找到网络地址范围找到关键的机器地址找到开放端口和入口点找到系统的制造商和版本……网络勘察最常用的工具:Ping和TraceroutePing:PacketInterNetGroper用来判断远程设备可访问性最常用的方法原理:发送
2、ICMPEcho消息,然后等待ICMPReply消息Traceroute用来发现实际的路由路径原理:给目标的一个无效端口发送一系列UDP,其TTL依次增一,中间路由器返回一个ICMPTimeExceeded消息Windows中为tracertPing工具发送ICMPEcho消息,等待EchoReply消息可以确定网络和外部主机的状态可以用来调试网络的软件和硬件每秒发送一个包,显示响应的输出,计算网络来回的时间最后显示统计结果——丢包率关于PingPing有许多命令行参数,可以改变缺省的行为可以用来发现一台主机是否active为什么不能ping成功?没有路由,网关设置?网卡没有配置正确增大ti
3、meout值被防火墙阻止……“Pingofdeath”发送特大ping数据包(>65535字节)导致机器崩溃许多老的操作系统都受影响Traceroute发送一系列UDP包(缺省大小为38字节),其TTL字段从1开始递增,然后监听来自路径上网关发回来的ICMPTimeExceeded应答消息UDP包的端口设置为一个不太可能用到的值(缺省为33434),因此,目标会送回一个ICMPDestinationUnreachable消息,指示端口不可达关于Traceroutetraceroute有一些命令行参数,可以改变缺省的行为可以用来发现到一台主机的路径,为勾画出网络拓扑图提供最基本的依据Trace
4、route允许指定宽松的源路由选项。许多防火墙是禁止带源路由的包的网络勘查的对策防火墙:设置过滤规则使用NIDS(NetworkIntrusionDetectionSystem)使用其他工具:如rotoroutor,它可以记录外来的traceroute请求,产生虚假的应答扫描技术基于TCP/IP协议,对各种网络服务,无论是主机或者防火墙、路由器都适用扫描可以确认各种配置的正确性,避免遭受不必要的攻击用途,双刃剑安全管理员可以用来确保自己系统的安全性黑客用来探查系统的入侵点端口扫描的技术已经非常成熟,目前有大量的商业、非商业的扫描器扫描器的重要性扫描器能够暴露网络上潜在的脆弱性无论扫描器被管理
5、员利用,或者被黑客利用,都有助于加强系统的安全性它能使得漏洞被及早发现,而漏洞迟早会被发现的扫描器可以满足很多人的好奇心扫描器除了能扫描端口,往往还能够发现系统存活情况,以及哪些服务在运行用已知的漏洞测试这些系统对一批机器进行测试,简单的迭代过程有进一步的功能,包括操作系统辨识、应用系统识别扫描器的历史早期80年代,网络没有普及,上网的好奇心驱使许多年轻人通过Modem拨号进入到UNIX系统中。这时候的手段需要大量的手工操作于是,出现了wardialer——自动扫描,并记录下扫描的结果现代的扫描器要先进得多SATAN:SecurityAdministrator'sToolforAnalyzi
6、ngNetworks1995年4月发布,引起了新闻界的轰动界面上的突破,从命令行走向图形界面(使用HTML界面),不依赖于X两位作者的影响(DanFarmer写过网络安全检查工具COPS,另一位WeitseVenema是TCP_Wrapper的作者)Nmap作者为Fyodor,技术上,是最先进的扫描技术大集成结合了功能强大的通过栈指纹来识别操作系统的众多技术扫描技术主机扫描:确定在目标网络上的主机是否可达,同时尽可能多映射目标网络的拓扑结构,主要利用ICMP数据包端口扫描:发现远程主机开放的端口以及服务操作系统指纹扫描:根据协议栈判别操作系统传统主机扫描技术ICMPEchoRequest(t
7、ype8)和EchoReply(type0)通过简单地向目标主机发送ICMPEchoRequest数据包,并等待回复的ICMPEchoReply包,如PingICMPSweep(PingSweep)使用ICMPEchoRequest一次探测多个目标主机。通常这种探测包会并行发送,以提高探测效率BroadcastICMP设置ICMP请求包的目标地址为广播地址或网络地址,则可以探测广播域或整个网络范围内的主机,这
此文档下载收益归作者所有