网络信息对抗第五章Windows攻防技术与防御方法.pptVIP

网络信息对抗 主讲人：张 瑜 Email:bullzhangyu@ QQ:344248003 网络信息对抗 第五章：Windows攻防技术与防御方法 提纲 Windows系统查点 Windows系统远程攻击 Windows系统本地攻击 案例演示：解码一次成功的NT系统破解攻击 作业5：Win2K系统被攻陷加入僵尸网络 Windows组网结构回顾 NetBIOS名字服务(NBNS, UDP 137) NetBIOS数据报服务(UDP 138) NetBIOS会话服务(TCP 139) MSRPC (TCP 135) SMB/CIFS (TCP 445) DNS (UDP 53) LDAP＋活动目录(TCP 389, 3268) 普通(跨OS)网络服务查点 DNS服务 DNS区域传送 FTP服务 匿名连接, 旗标抓取 HTTP服务 旗标抓取, 全站爬取 SMTP VRFY: 查看其他用户个人资料 EXPN: 显示假名和邮件的实际发送地址 SNMP: 简单网络管理协议UDP 161 snmpwalk xxx.xxx.xxx.xxx public IP Network Browser DNS查点 DNS区域传送 nslookup: default server ls -d DOMAIN_DNS_NAME 阻断DNS区域传送 MMC控制台配置DNS服务去掉Allow Zone Transfers，禁止区域传送 C:\Documents and Settings\zhugejwnslookup Default Server: Address: 0 ls -d ls: connect: No error *** Cant list domain bta. DNS查点 主机查点－NetBIOS网络查点 使用net view查点域 列出网络上的工作组和域：net view /domain 列出指定组/域中的所有计算机：net view /domain:DOMAIN_NAME 识别域控制器 nltest /dclist:DOMAIN_NAME 主机查点－NetBIOS网络查点 NetBIOS主机查点 查看NetBIOS名字表 列举：自带工具nbtstat -A TARGET_IP 扫描：免费工具nbtscan TARGET_NET NetBIOS主机查点 NetBIOS主机查点 主机查点－NetBIOS网络查点 其他工具 epdump, rpcdump, getmac, netdom, netviewx, Winfo, nbtdump, … NetBIOS查点防御对策 网络：防火墙禁止外部访问TCP/UDP 135-139，445端口 主机：配置IPSec过滤器，主机个人防火墙，禁用Alerter和Messenger服务 主机查点－SMB查点 空会话(Null Session) 利用SMB(TCP 139/445)规范中提供未认证用户查询计算机信息的API net use \\HOST\IPC$ “”/u:”” IPC$: Windows主机间的隐蔽网络共享，用于不同主机进程间通讯 查询主机共享资源 net view \\HOST NTRK资源包中的rmtshare,srvcheck, srvinfo DumpSec 共享目录查点示例 工具： Dumpsec Legion 主机查点－SMB查点(2) 使用nltest查点受信任域 nltest /server: SERVER_NAME nltest /trusted_domain 查询主机用户信息 NTRK资源包: usrstat, showgrps, local, global 强大工具DumpSec: 能够列出用户、组及权限GUI 主机查点－SMB查点(2) 主机查点－集成工具和防范措施 NetBIOS集成查点工具 enum/Nete Nessus 主机查点防范措施 网络/主机防火墙: 限制对端口135-139, 445的访问 禁用SMB服务: 除非你愿意承受windows共享服务带来的安全威胁 设置HKLM\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous注册表项为2(限制空会话查点) 主机查点－集成工具和防范措施 活动目录查点 活动目录(Active Directory) 基于轻量级目录访问协议(LDAP)-TCP/UDP: 389 活动目录全局编录端口3268 利用LDAP客户端进行活动目录查点 Ldp 早期Nt 4.x仅用guest帐户可查询所有用户和组对象 活动目录查点防御对策 网络边界限制对TCP 389和3268端口的访问 从Pre-Windows 2000 Compatible Access组中