第4章 黑客攻击与入侵检测.pptVIP

端口扫描 概念 利用扫描工具发现网络和网络中的主机，进而得到其相关信息和安全漏洞的过程 作用 发现网络和网络中的主机 发现主机所开放的服务 通过测试相关服务，发现系统漏洞 端口扫描 原理 扫描器通过向远程主机的端口发送特定的数据包，根据给予的回答，来确定主机的一些相关信息。 TCP数据包格式 端口扫描 扫描方式 TCP Connect（）扫描 利用操作系统提供的connect()系统调用，用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态，就建立连接，端口可以访问。否则返回－1，表示端口不可访问 。 不需要特殊的权限就可以调用，但是容易被防火墙过滤掉 端口扫描 扫描方式 TCP SYN 扫描 “半开放”扫描，利用TCP的三次握手过程。 扫描程序发送的是一个SYN数据包，如果目的主机返回SYN|ACK表示端口处于侦听状态；如果返回RST，表示端口没有处于侦听态。当收到一个SYN|ACK后，扫描程序发送一个RST信号，来关闭这个连接过程。 隐蔽性较强，一般不会在目标计算机上留下记录。但必须要有root权限才能建立自己的SYN数据包，并且可以被防火墙和特定的监测程序检测到。 端口扫描 扫描方式 TCP FIN扫描 扫描程序向目的主机的端口发送TCP FIN扫描 关闭的端口会丢弃FIN包，回复RST包；打开的端口，则直接丢弃FIN包，有的系统还会统会回复RST。 隐蔽性很强，但存在一定的不确定性，通常只能在Unix操作系统上有效。 端口扫描 扫描方式 TCP?Xmas?Tree?扫描?：扫描程序往目标端口发送一个设置了FIN?、URG和PUSH标志位的包，若其关闭，应该返回一个RST包? ,如端口打开.则丢弃包. 通常在Unix系统下起作用 端口扫描 扫描方式 TCP?NULL?扫描?：根据RFC?793文档，程序发送一个没有任何标志位的TCP包，关着的端口将返回一个RST数据包。? ?  端口扫描 扫描方式 UDP?ICMP端口不可达扫描： 向一个打开的UDP端口发送ICMP包，不会给返回任何响应包；如果端口关闭，某些系统将返回ICMP_PORT_UNREACH信息。 由于UDP是不可靠的非面向连接协议，这种扫描方法容易出错，速度也比较慢。? ? ?  端口扫描 扫描方式 Ping扫描 真实扫描：发送ICMP请求包给目标IP地址，有响应则表示主机开机。 TCP Ping：发送特殊的TCP包给通常都打开且没有过滤的端口（例如80端口），有响应则表示主机开机。  端口扫描 常用扫描工具 nmap、netcat Xcan，superscan 网络监听 网络嗅探是一种特定的程序，用来收集网络中的数据包从中获取有用的信息，如用户名，口令等 原理： 以太网的广播特性 以太网卡的混杂模式(promiscuous ) 常见的嗅探程序 Windump, snifferPro（windows） Tcpdump，sniffit（unix／linux） 网络监听 网络嗅探的限制条件：广播网络（用Hub连接网络），用交换机连接网络时失效 网络嗅探的发现与防范 数据加密 采用安全的拓扑结构 使用测试软件等（AntiSniff） 特洛伊木马 功能 远程监控(控制对方鼠标、键盘，并监视对方屏幕) 记录各种口令信息 获取系统信息：计算机名，用户名，系统版本等 限制系统功能 :远程关机或重启计算机 ,锁定鼠标,锁定系统 ,终止进程 ,关闭窗口 远程文件操作 注册表操作等 特洛伊木马 工作方式与原理 木马其实质只是一个网络客户/服务程序 木马的服务器端被植入到用户的计算机当中，通常会在特定的端口监听，而攻击者利用木马的客户端向服务端发出指令，对用户进行攻击 特洛伊木马 木马的植入 E_mail附件 软件下载传播 与合法的程序绑定 将木马文件伪装成其他文件（如图片或文本文件） 其他方式：JavaScript，ActiveX，XML等 特洛伊木马 木马服务端的自动启动 修改注册表，win.ini，system.ini文件,修改Explorer.exe启动参数 等方法达到开机即启动的目的 与特定类型的文件进行关联，双击该类型的文件即可启动木马 将木马同其他的程序捆绑在一起，其他的程序运行时，木马即被运行。 特洛伊木马 木马的隐藏 隐藏于系统的目录，如windows和windows\system 命名与系统文件接近，如KERNELL16.DLL, IExplore .exe 运行时的隐藏 隐藏窗体（在任务栏里隐藏） 设置为系统服务（在任务管理器里隐藏） 寄生在系统的服务端口，躲避端口扫描 驱动程序及动态链接库技术 特洛伊木马 客户端与服务端的通信 通常通过特定的TCP或UDP端口进行通信，