第5章入侵检测与防御技术学案.ppt

ICMP在沟通之中，主要是透过不同的类别(Type)与代码(Code) 让机器来识别不同的连线状况。 * * * * Ping是最基本的探测手段，Ping Sweep（Ping扫射）就是对一个网段进行大范围的Ping，由此确定这个网段的网络运作情况，比如著名的fping工具就是进行Ping扫射的。 对于小的或者中等网络使用Ping扫射这种方法来探测主机是一种比较可接受的行为，但对于一些大的网络如CLASS A、B，这种方法显得比较慢，原因是Ping在处理下一个之前将会等待正在探测主机的回应。 * * Non-ECHO ICMP技术不仅仅能探测主机，也可以探测网络设备如路由器 * * * * 端口扫描向目标主机的TCP/IP服务端口发送探测数据报，并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭，就可以得知端口提供的服务或信息。端口扫描也可以通过捕获本地主机或服务器的流入流出IP数据报来监视本地主机的运行情况，它仅能对接收到的数据进行分析，帮助发现目标主机的某些内在的弱点，而不会提供进入一个系统的详细步骤。 * connect()是一种系统调用，由操作系统提供，用来打开一个连接。 * * * 函数主要通过建立一个SOCKET，然后通过CONNECT方法测试端口是否打开。 * * TCP协议连接的三次握手过程： 首先客户端（请求方）在连接请求中，发送SYN=1，ACK=0的TCP数据包给服务器端（接收请求端），表示要求同服务器端建立一个连接；然后如果服务器端响应这个连接，就返回一个SYN=1，ACK=1的数据报给客户端，表示服务器端同意这个连接，并要求客户端确认；最后客户端就再发送SYN=0，ACK=1的数据包给服务器端，表示确认建立连接。 * * 扫描主机最后没有按照三次握手的原则返回给服务器一个ACK响应，这样，正常的TCP连接没有完成，这个扫描信息不会被记录到系统日志中，即不会在目标主机上留下记录。SYN扫描比TCP Connect扫描更隐蔽，缺点是在大部分操作系统下，扫描主机需要构造用于这种扫描的IP包 * 很多过滤设备能够过滤SYN数据报，但允许FIN数据报通过，因为FIN是中断连接的数据报文，很多日志系统都不记录这样的数据报文。 * RFC793 page 64文档有如下规定：如果端口处于侦听状态，则丢弃来访的FIN报文；如果是关闭的，则返回（RST/ACK）报文。基于这种“FIN行为”，我们可以通过向目标端口发送只含FIN标志的报文，等待有无反馈的RST报文，判断出端口状态。 * * TCP SYN扫描容易被在端口处监听的服务记录到日志中，这些服务收到一个没有任何数据的连接，就记录一个日志错误。TCP SYN扫描的隐蔽性也并不高，很多防火墙和路由器都有了相应的措施。这些防火墙会对一些指定的端口进行监视，将对这些端口的连接请求全部进行记录。这样，即使是使用半开放扫描仍然会被防火墙等记录到日志中。 秘密扫描由于没有包含TCP三次握手的任何部分，无法被记录下来，因此能够躲避IDS，防火墙，包过滤器和日志审计的检测，并获取端口的状态信息。这一类扫描的缺点是扫描结果的不可靠性有所增加。 * Microsoft Windows Server服务远程缓冲区溢出漏洞 (MS06-040)Microsoft Windows的Server服务在处理RPC通讯中的恶意消息时存在溢出漏洞，远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞，导致执行任意代码.MocBot蠕虫（也称Wargbot、魔鬼波、魔波蠕虫）于8月13日爆发后，CNCERT/CC通过863-917网络安全监测平台对该蠕虫的扩散情况进行了监测，截至8月16日零点，共发现我国大陆约5.5万台主机感染该蠕虫，与此同时，该蠕虫扩散攻击所使用的TCP/445端口流量也持续增长。 * NetBEUI即NetBios Enhanced User Interface ，或NetBios增强用户接口。它是NetBIOS协议的增强版本，曾被许多操作系统采用。 在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源的共享。因为它占用系统资源少、传输效率高，尤为适于由 20 到 200 台计算机组成的小型局域网。 * 除了可以采用NetBEUI作为 NetBIOS的承载协议，IPX/SPX协议，以及更广泛使用的TCP/IP协议，都可以和NetBIOS有效组合。当NetBIOS运行在TCP/IP上时，被称作NetBT，或者就简称NBT（ 而NetBIOS/NetBEUI时常被称作NBF—NetBIOS帧，NetBIOS/NetBEUI则是NetBEUI的后续版本）。 * 三、whois 网络服务 服务端口：tcp 43 服务端程序whoisd,客户端