网络对抗3攻击引言扫描监听.ppt

补充 网络进攻 引言 1990年代网络攻击事件增多，攻击目标多为国防系统。 本世纪攻击事件更多，曼延到政府网站和民用系统，损失巨大。 为防范攻击的投入占网络和信息系统建设的比重很高。 网络攻击成为军事打击的手段之一。 攻击的渐进步骤 保存自己 干扰性、破坏性攻击，单向 窃取数据，要防止欺骗（假信息） 投鼠忌器，防止波及无辜 病毒攻击，防止肆意扩大不可控制 病毒攻击，防止产生不控变种 隐藏自己，免遭反击 小心陷阱，免遭追踪 扫描 主动行为，有针对性，效率高 不隐蔽，不能跳过安全防范措施 容易被发觉 网络扫描的主要功能 扫描目标主机识别其工作状态（开/关机） 识别目标主机端口的状态（监听/关闭） 识别目标主机系统及服务程序的类型和版本 根据已知漏洞信息，分析系统脆弱点 生成扫描结果报告 扫描方式 单机扫描 网段扫描 并行扫描（多端口、多目标） 分布式扫描 扫描内容 主机扫描 端口扫描 系统扫描 漏洞扫描 主机扫描－传统技术 主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果直接影响到后续的扫描。 常用的传统扫描手段有： ICMP Echo扫描 ICMP Sweep扫描 Broadcast ICMP扫描 Non-Echo ICMP扫描 ICMP协议 Internet Control Message Protocol，是IP的一部分，在IP协议栈中必须实现。 用途： 网关或者目标机器利用ICMP与源通讯 当出现问题时，提供反馈信息用于报告错误 特点： 其控制能力并不用于保证传输的可靠性 它本身也不是可靠传输的 并不用来反映ICMP报文的传输情况 ICMP协议 ICMP报文类型 0 Echo Reply 3 Destination Unreachable 4 Source Quench 5 Redirect 8 Echo 11 Time Exceeded 12 Parameter Problem 13 Timestamp 14 Timestamp Reply 15 Information Request 16 Information Reply 17 Address Mask Request 18 Address Mask Reply ICMP echo扫描 Ping的实现机制 向目标主机发送ICMP Echo Request (type 8)数据包，等待回复的ICMP Echo Reply 包(type 0) 。如果能收到，则表明目标系统可达，否则表明目标系统已经不可达或发送的包被对方的设备过滤掉。 优点：简单，系统支持 缺点：很容易被防火墙限制 可以通过并行发送，同时探测多个目标主机，以提高探测效率（ICMP Sweep扫描）。 Broadcast ICMP扫描 将ICMP请求包的目标地址设为广播地址或网络地址，则可以探测广播域或整个网络范围内的主机。 缺点： 只适合于UNIX/Linux系统，Windows 会忽略这种请求包； 这种扫描方式容易引起广播风暴 Non-Echo ICMP扫描 其它ICMP类型包也可以用于对主机或网络设备的探测，如： Stamp Request(Type 13) Reply(Type 14) Information Request(Type 15) Reply(Type 16) Address Mask Request (Type 17) Reply(Type 18) 主机扫描－高级技术 防火墙和网络过滤设备可以阻断传统探测手段 非常规手段：利用ICMP协议提供网络间传送错误信息的手段 异常的IP包头 在IP头中设置无效的字段值 错误的数据分片 通过超长包探测内部路由器 反向映射探测 异常的IP包头 向目标主机发送报头错误的IP包，目标主机或过滤设备会反馈ICMP Parameter Problem Error信息。常见的伪造错误字段为Header Length Field 和IP Options Field。 根据 RFC 1122的规定，主机应该检测IP包的Version Number、Checksum字段, 路由器应该检测IP包的Checksum字段。不同厂家的路由器和操作系统对这些错误的处理方式不同，返回的结果也各异。 在IP头中设置无效的字段值 向目标主机发送的IP包中填充错误的字段值，目标主机或过滤设备会反馈ICMP Destination Unreachable信息。 错误的数据分段 当目标主机接收到错误的数据分段（如某些分段丢失），并且在规定的时间间隔内得不到更正时，将丢弃这些有错数据包，并向发送主机反馈ICMP Fragment Reassembly Time Exceeded 错误报文。 超长包探测内部路由器 若构造的数据包长