計算機(jī)網(wǎng)絡(luò)安全11

1、2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,1/60,計算機(jī)網(wǎng)絡(luò)安全 (11),網(wǎng)絡(luò)攻擊的信息收集方法楊壽保中國科技大學(xué)計算機(jī)系syang@ustc.edu.cn202.38.64.11/~syang3601540 二○○六年三月,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,2/60,內(nèi) 容,信息收集DNS收集信息端口掃描操作系統(tǒng)辨識,

2、2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,3/60,黑客和黑客技術(shù),如何理解hackerHacker的定義？Hacker代表了數(shù)字時代的一種文化強(qiáng)盜和俠客如何界定？警察和匪徒如何界定？從道德和技術(shù)兩方面來看道德：服從人民大眾的利益技術(shù)：過硬還需要強(qiáng)烈的熱忱和堅持不懈的毅力黑客技術(shù)防護(hù)技術(shù)的一部分發(fā)展黑客技術(shù)，也是為了更加有效地實(shí)施系統(tǒng)防護(hù)技術(shù)繁多，沒有明顯的理論指導(dǎo),2024/3/21,計算

3、機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,4/60,黑客技術(shù),從一個攻擊過程來看待黑客技術(shù)攻擊過程中涉及到的技術(shù)都可以看成黑客技術(shù)有時候，一種技術(shù)既是黑客技術(shù)，也是網(wǎng)絡(luò)管理技術(shù)，或者網(wǎng)絡(luò)防護(hù)技術(shù)粗分類信息收集技術(shù)：入侵之前的準(zhǔn)備入侵技術(shù)：拒絕服務(wù)、欺騙、溢出、病毒郵件，…信息獲取：入侵之后的增值服務(wù)，如木馬、解口令等藏匿：希望自己被發(fā)現(xiàn)嗎？其他，比如針對cookie或者一些協(xié)議、機(jī)制的攻擊,2024/3/21,計算機(jī)網(wǎng)絡(luò)安

4、全11—網(wǎng)絡(luò)攻擊的信息收集方法,5/60,為什么要信息收集,信息收集技術(shù)也是一把雙刃劍黑客在攻擊之前需要收集信息，才能實(shí)施有效的攻擊管理員用信息收集技術(shù)來發(fā)現(xiàn)系統(tǒng)的弱點(diǎn),,攻擊工具攻擊命令,攻擊機(jī)制,,目標(biāo)網(wǎng)絡(luò),,,目標(biāo)系統(tǒng),攻擊者,,,漏洞掃描評估加固,攻擊過程,實(shí)時入侵檢測,知己知彼，百戰(zhàn)不殆,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,6/60,信息收集過程,信息收集是一個綜合過程從一些社會信息

5、入手找到網(wǎng)絡(luò)地址范圍找到關(guān)鍵的機(jī)器地址找到開放端口和入口點(diǎn)找到系統(tǒng)的制造商和版本……,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,7/60,社會信息,DNS域名網(wǎng)絡(luò)實(shí)名管理人員在新聞組或者論壇上的求助信息也會泄漏信息網(wǎng)站的網(wǎng)頁中新聞報道例如：XX公司采用XX系統(tǒng)，…這樣的信息可以合法地獲取,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,8/60,例：來自網(wǎng)站的公開信息,2024

6、/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,9/60,非網(wǎng)絡(luò)技術(shù)的探查手段,社會工程通過一些公開的信息，獲取支持人員的信任假冒網(wǎng)管人員，騙取員工的信任(安裝木馬、修改口令等)查電話簿、XX手冊(指南)在信息發(fā)達(dá)的社會中，只要存在，就沒有找不到的，是這樣嗎？通過搜索引擎可以獲取到大量的信息搜索引擎提供的信息的有效性？,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,10/60,信息收集：whois,

7、Whois為Internet提供目錄服務(wù)，包括名字、通訊地址、電話號碼、電子郵箱、IP地址等信息Client/Server結(jié)構(gòu)Client端發(fā)出請求，接受結(jié)果，并按格式顯示到客戶屏幕上Server端建立數(shù)據(jù)庫，接受注冊請求提供在線查詢服務(wù)客戶程序UNIX系統(tǒng)自帶whois程序Windows也有一些工具直接通過Web查詢,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,11/60,Spade工具,20

8、24/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,12/60,基于Web的Whois示例,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,13/60,信息收集：nslookup,關(guān)于DNS是一個全球分布式數(shù)據(jù)庫，對于每一個DNS節(jié)點(diǎn)，包含有該節(jié)點(diǎn)所在的機(jī)器的信息、郵件服務(wù)器的信息、主機(jī)CPU和操作系統(tǒng)等信息Nslookup是一個功能強(qiáng)大的客戶程序熟悉nslookup，就可以把DNS數(shù)據(jù)庫中的信息挖掘出

9、來分兩種運(yùn)行模式非交互式，通過命令行提交命令交互式：可以訪問DNS數(shù)據(jù)庫中所有開放的信息UNIX/LINUX環(huán)境下的host命令有類似的功能,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,14/60,DNS節(jié)點(diǎn)的例子,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,15/60,DNS & nslookup,通過nslookup可以做什么？區(qū)域傳送：可以列出DNS節(jié)點(diǎn)中所有的配置信息這

10、是為了主DNS和輔DNS之間同步復(fù)制才使用的查看一個域名，根據(jù)域名找到該域的域名服務(wù)器反向解析，根據(jù)IP地址得到域名名稱從一臺域名服務(wù)器可以得到哪些信息？如果支持區(qū)域傳送，不用客氣，拿下來看一看否則的話，至少可以發(fā)現(xiàn)以下信息郵件服務(wù)器的信息，在實(shí)用環(huán)境中，郵件服務(wù)器往往在防火墻附近，甚至就在同一臺機(jī)器上其他，比如ns、www、ftp等，這些機(jī)器可能被托管給ISP,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方

11、法,16/60,Nslookup交互環(huán)境中常用命令,Server, 指定DNS服務(wù)器Set q=XXX，設(shè)定查詢類型Ls, 列出記錄[domain name, or IP address],2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,17/60,關(guān)于DNS & nslookup,注意的地方關(guān)閉未授權(quán)區(qū)域傳送功能或者，在防火墻上禁止53號TCP端口，DNS查詢請求使用53號UDP端口區(qū)分內(nèi)部DNS和

12、外部DNS內(nèi)部信息不出現(xiàn)在外部DNS中DNS中該公開的信息總是要公開的，否則，域名解析的功能就無效了，沒有MX記錄就不能支持郵件系統(tǒng)Windows 2000中的DNS與AD集成在一起，增加了新的功能SRV記錄動態(tài)DNS在獲得靈活性的同時，更加要注意安全,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,18/60,Ping & Traceroute,Ping: Packet InterNet Grop

13、er用來判斷遠(yuǎn)程設(shè)備可訪問性最常用的方法原理：發(fā)送ICMP Echo消息，然后等待ICMP Reply消息Traceroute用來發(fā)現(xiàn)實(shí)際的路由路徑原理：給目標(biāo)的一個無效端口發(fā)送一系列UDP，其TTL依次增一，中間路由器返回一個ICMP Time Exceeded消息,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,19/60,ICMP簡介,Internet Control Message Protocol，本

14、身是IP的一部分，用途網(wǎng)關(guān)或者目標(biāo)機(jī)器利用ICMP與源通訊，當(dāng)出現(xiàn)問題時，提供反饋信息用于報告錯誤在IP協(xié)議棧中必須實(shí)現(xiàn)特點(diǎn)其控制能力并不用于保證傳輸?shù)目煽啃运旧硪膊皇强煽總鬏數(shù)牟⒉挥脕矸从矷CMP消息的傳輸情況,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,20/60,ICMP數(shù)據(jù)包,ICMP數(shù)據(jù)包直接包含在IP數(shù)據(jù)包的凈荷數(shù)據(jù)中，IP頭中協(xié)議類型為1ICMP數(shù)據(jù)的第一個字節(jié)代表ICMP消息的類型，

15、它決定了后續(xù)數(shù)據(jù)的格式,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,21/60,ICMP消息類型(部分),0 Echo Reply3 Destination Unreachable4 Source Quench 5 Redirect 8 Echo 11 Time Exceeded,12 Parameter Problem 13 Timestamp 14 Timestamp Reply 15 Infor

16、mation Request 16 Information Reply,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,22/60,ICMP Echo消息,類型：0表示Echo Reply消息，8表示Echo消息代碼：0標(biāo)識符：標(biāo)識一個會話，例如，用進(jìn)程ID序號：可能這樣用：每個請求增一選項(xiàng)數(shù)據(jù)：回顯,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,23/60,ICMP Time Exceede

17、d消息,類型：11代碼：0表示傳輸過程中時間到，1表示分片裝配過程中時間到IP首部+原始IP數(shù)據(jù)包中前8個字節(jié),2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,24/60,ICMP Destination Unreachable消息,類型：3代碼：0表示網(wǎng)絡(luò)不可達(dá)，1表示主機(jī)不可達(dá)；2表示協(xié)議不可達(dá)；3表示端口不可達(dá)；等等IP首部+原始IP數(shù)據(jù)包中前8個字節(jié),2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信

18、息收集方法,25/60,Ping工具,發(fā)送ICMP Echo消息，等待Echo Reply消息可以確定網(wǎng)絡(luò)和外部主機(jī)的狀態(tài)可以用來調(diào)試網(wǎng)絡(luò)的軟件和硬件每秒發(fā)送一個包，顯示響應(yīng)的輸出，計算網(wǎng)絡(luò)來回的時間最后顯示統(tǒng)計結(jié)果——丟包率,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,26/60,關(guān)于Ping,Ping有許多命令行參數(shù)，可以改變?nèi)笔〉男袨榭梢杂脕戆l(fā)現(xiàn)一臺主機(jī)是否active為什么不能ping成功？沒有

19、路由，網(wǎng)關(guān)設(shè)置？網(wǎng)卡沒有配置正確增大timeout值防火墻阻止掉了……“Ping to death”發(fā)送特大ping數(shù)據(jù)包(>65535字節(jié))導(dǎo)致機(jī)器崩潰許多老的操作系統(tǒng)都受影響有興趣可以找ping的源代碼讀一讀,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,27/60,traceroute,發(fā)送一系列UDP包(缺省大小為38字節(jié))，其TTL字段從1開始遞增，然后監(jiān)聽來自路徑上網(wǎng)關(guān)發(fā)回來的ICMP

20、 Time Exceeded應(yīng)答消息UDP包的端口設(shè)置為一個不太可能用到的值(缺省為33434)，因此，目標(biāo)會送回一個ICMP Destination Unreachable消息，指示端口不可達(dá),2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,28/60,關(guān)于traceroute,traceroute有一些命令行參數(shù)，可以改變?nèi)笔〉男袨榭梢杂脕戆l(fā)現(xiàn)到一臺主機(jī)的路徑，為勾畫出網(wǎng)絡(luò)拓?fù)鋱D提供最基本的依據(jù)Windows平

21、臺上為“tracert”Traceroute允許指定寬松的源路由選項(xiàng)。不過，許多防火墻是禁止帶源路由的包的,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,29/60,指定源路由示例,,,,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,30/60,信息收集：掃描技術(shù),Port scanning: 找出網(wǎng)絡(luò)中開放的服務(wù)基于TCP/IP協(xié)議，對各種網(wǎng)絡(luò)服務(wù)，無論是主機(jī)或者防火墻、路由器都適用端口掃描

22、可以確認(rèn)各種配置的正確性，避免遭受不必要的攻擊用途，雙刃劍管理員可以用來確保自己系統(tǒng)的安全性黑客用來探查系統(tǒng)的入侵點(diǎn)端口掃描的技術(shù)已經(jīng)非常成熟，目前有大量的商業(yè)、非商業(yè)的掃描器,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,31/60,掃描器的重要性,掃描器能夠暴露網(wǎng)絡(luò)上潛在的脆弱性無論掃描器被管理員利用，或者被黑客利用，都有助于加強(qiáng)系統(tǒng)的安全性它能使得漏洞被及早發(fā)現(xiàn)，而漏洞遲早會被發(fā)現(xiàn)的掃描器可以滿足很

23、多人的好奇心掃描器除了能掃描端口，往往還能夠發(fā)現(xiàn)系統(tǒng)存活情況，以及哪些服務(wù)在運(yùn)行用已知的漏洞測試這些系統(tǒng)對一批機(jī)器進(jìn)行測試，簡單的迭代過程有進(jìn)一步的功能，包括操作系統(tǒng)辨識、應(yīng)用系統(tǒng)識別,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,32/60,掃描器歷史,早期80年代，網(wǎng)絡(luò)沒有普及，上網(wǎng)的好奇心驅(qū)使許多年輕人通過Modem撥號進(jìn)入到UNIX系統(tǒng)中。這時候的手段需要大量的手工操作，于是，出現(xiàn)了war dial

24、er——自動掃描，并記錄下掃描的結(jié)果現(xiàn)代的掃描器要先進(jìn)得多SATAN: Security Administrator's Tool for Analyzing Networks 1995年4月發(fā)布，引起了新聞界的轟動界面上的突破，從命令行走向圖形界面(使用HTML界面)，不依賴于X兩位作者的影響(Dan Farmer寫過網(wǎng)絡(luò)安全檢查工具COPS，另一位Weitse Venema是TCP_Wrapper的作者)Nmap

25、作者為Fyodor，技術(shù)上，是最先進(jìn)的掃描技術(shù)大集成結(jié)合了功能強(qiáng)大的通過棧指紋來識別操作系統(tǒng)的眾多技術(shù),2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,33/60,端口掃描技術(shù),基本的TCP connect()掃描TCP SYN掃描(半開連接掃描, half open)TCP Fin掃描(秘密掃描，stealth)TCP ftp proxy掃描(bounce attack)用IP分片進(jìn)行SYN/FIN掃描(躲

26、開包過濾防火墻)UDP recvfrom掃描UDP ICMP端口不可達(dá)掃描Reverse-ident掃描,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,34/60,回顧：TCP連接的建立和終止時序圖,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,35/60,TCP連接知識,TCP數(shù)據(jù)包6個標(biāo)志位URG: 緊急數(shù)據(jù)包ACK: 確認(rèn)PSH: 請求急迫操作RST: 連接復(fù)位SYN: 連接請求

27、FIN: 結(jié)束TCP/IP的一些實(shí)現(xiàn)原則當(dāng)一個SYN或者FIN數(shù)據(jù)包到達(dá)一個關(guān)閉的端口，TCP丟棄數(shù)據(jù)包同時發(fā)送一個RST數(shù)據(jù)包 當(dāng)一個RST數(shù)據(jù)包到達(dá)一個監(jiān)聽端口，RST被丟棄,當(dāng)一個RST數(shù)據(jù)包到達(dá)一個關(guān)閉的端口，RST被丟棄 當(dāng)一個包含ACK的數(shù)據(jù)包到達(dá)一個監(jiān)聽端口時，數(shù)據(jù)包被丟棄，同時發(fā)送一個RST數(shù)據(jù)包 當(dāng)一個不包含SYN位的數(shù)據(jù)包到達(dá)一個監(jiān)聽端口時，數(shù)據(jù)包被丟棄 當(dāng)一個SYN數(shù)據(jù)包到達(dá)一個監(jiān)聽端口時，正常的三階

28、段握手繼續(xù)，回答一個SYN|ACK數(shù)據(jù)包 當(dāng)一個FIN數(shù)據(jù)包到達(dá)一個監(jiān)聽端口時，數(shù)據(jù)包被丟棄,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,36/60,TCP connect()掃描,做法掃描器調(diào)用socket的connect()函數(shù)發(fā)起一個正常的連接如果端口是打開的，則連接成功否則，連接失敗優(yōu)點(diǎn)簡單，不需要特殊的權(quán)限缺點(diǎn)服務(wù)器可以記錄下客戶的連接行為，如果同一個客戶輪流對每一個端口發(fā)起連接，則一定是在

29、掃描,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,37/60,TCP SYN掃描,做法向目標(biāo)主機(jī)的特定端口發(fā)送一個SYN包如果應(yīng)答包為RST包，則說明該端口是關(guān)閉的否則，會收到一個SYN|ACK包。于是，發(fā)送一個RST，停止建立連接由于連接沒有完全建立，所以稱為“半開連接掃描”優(yōu)點(diǎn)很少有系統(tǒng)會記錄這樣的行為缺點(diǎn)在UNIX平臺上，需要root權(quán)限才可以建立這樣的SYN數(shù)據(jù)包,2024/3/21,計算機(jī)網(wǎng)

30、絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,38/60,TCP Fin掃描(秘密掃描),做法掃描器發(fā)送一個FIN數(shù)據(jù)包如果端口關(guān)閉的，則遠(yuǎn)程主機(jī)丟棄該包，并送回一個RST包否則的話，遠(yuǎn)程主機(jī)丟棄該包，不回送變種，組合其他的標(biāo)記優(yōu)點(diǎn)不是TCP建立連接的過程，所以比較隱蔽缺點(diǎn)與SYN掃描類似，也需要構(gòu)造專門的數(shù)據(jù)包在Windows平臺無效，總是發(fā)送RST包,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,39/60

31、,分片掃描,它本身并不是一種新的掃描方法，而是其他掃描技術(shù)的變種，特別是SYN掃描和FIN掃描基本思想是，把TCP包分成很小的分片，從而讓它們能夠通過包過濾防火墻注意，有些防火墻會丟棄太小的包而有些服務(wù)程序在處理這樣的包的時候會出現(xiàn)異常，或者性能下降，或者出現(xiàn)錯誤,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,40/60,Reverse-ident掃描,Ident協(xié)議使得可以發(fā)現(xiàn)任何一個通過TCP連接的進(jìn)程的所有

32、者的用戶名，即使該進(jìn)程并沒有發(fā)起該連接只有在TCP全連接之后才有效TCP端口113例如可以先連接到80端口，然后通過identd來發(fā)現(xiàn)服務(wù)器是否在root下運(yùn)行建議關(guān)閉ident服務(wù)，或者在防火墻上禁止，除非是為了審計的目的,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,41/60,TCP ftp proxy掃描,FTP bounce attack做法在ftp協(xié)議中，數(shù)據(jù)連接可以與控制連接位于不同的機(jī)器上

33、讓ftp server與目標(biāo)主機(jī)建立連接，而且目標(biāo)主機(jī)的端口可以指定如果端口打開，則可以傳輸否則，返回"425 Can't builddata connection: Connectionrefused." Ftp這個缺陷還可以被用來向目標(biāo)(郵件,新聞)傳送匿名信息優(yōu)點(diǎn)：這種技術(shù)可以用來穿透防火墻缺點(diǎn)：慢，且有些ftp server禁止這種特性,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)

34、絡(luò)攻擊的信息收集方法,42/60,UDP ICMP端口不可達(dá)掃描,利用UDP協(xié)議做法開放的UDP端口并不需要送回ACK包，而關(guān)閉的端口也不要求送回錯誤包，所以利用UDP包進(jìn)行掃描非常困難有些協(xié)議棧實(shí)現(xiàn)的時候，對于關(guān)閉的UDP端口，會送回一個ICMP Port Unreach錯誤缺點(diǎn)速度慢，而且UDP包和ICMP包都不是可靠的需要root權(quán)限，才能讀取ICMP Port Unreach消息一個應(yīng)用例子Solaris的rpc

35、bind端口(UDP)位于32770之上，這時可以通過這種技術(shù)來探測,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,43/60,UDP recvfrom() & write()掃描,非root用戶不能直接讀取ICMP Port Unreach消息，但是Linux提供了一種方法可以間接通知到做法第二次對一個關(guān)閉的UDP端口調(diào)用write()總是會失敗經(jīng)驗(yàn)：在ICMP錯誤到達(dá)之前，在UDP端口上調(diào)用recvf

36、rom()會返回EAGAIN(重試)，否則會返回ECONNREFUSED(連接拒絕),2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,44/60,nmap,By Fyodor作者研究了諸多掃描器，每一種掃描器都有自己的優(yōu)點(diǎn)，把所有這些技術(shù)集成起來，寫成了nmap，當(dāng)前版本為2.53/2.54源碼開放，C語言兩篇技術(shù)文檔The Art of Port ScanningRemote OS detection via

37、 TCP/IP Stack FingerPrinting除了掃描功能，更重要的是，可以識別操作系統(tǒng)，甚至是內(nèi)核的版本,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,45/60,Nmap用于掃描,,,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,46/60,Nmap用于掃描(續(xù)),2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,47/60,Pinger,2024/3/21,計算機(jī)網(wǎng)絡(luò)安

38、全11—網(wǎng)絡(luò)攻擊的信息收集方法,48/60,掃描器,SATANstrobePingerPortscanSuperscan……,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,49/60,操作系統(tǒng)辨識,操作系統(tǒng)辨識的動機(jī)許多漏洞是系統(tǒng)相關(guān)的，而且往往與相應(yīng)的版本對應(yīng)從操作系統(tǒng)或者應(yīng)用系統(tǒng)的具體實(shí)現(xiàn)中發(fā)掘出來的攻擊手段都需要辨識系統(tǒng)操作系統(tǒng)的信息還可以與其他信息結(jié)合起來，比如漏洞庫，或者社會詐騙(社會工程，s

39、ocial engineering)如何辨識一個操作系統(tǒng)一些端口服務(wù)的提示信息，例如，telnet、http、ftp等服務(wù)的提示信息TCP/IP棧指紋DNS泄漏出OS系統(tǒng),2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,50/60,端口服務(wù)提供的信息,Telnet服務(wù)Http服務(wù)Ftp服務(wù),,,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,51/60,某大學(xué)的ftp進(jìn)站頁面,,,2024/3

40、/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,52/60,棧指紋技術(shù),定義：利用TCP/IP協(xié)議棧實(shí)現(xiàn)上的特點(diǎn)來辨識一個操作系統(tǒng)技術(shù)導(dǎo)向可辨識的OS的種類，包括哪些操作系統(tǒng)結(jié)論的精確度，細(xì)微的版本差異是否能識別一些工具Checkos, by ShokQueso, by SavageNmap, by Fyodor,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,53/60,棧指紋識別技術(shù),做法：尋找不同

41、操作系統(tǒng)之間在處理網(wǎng)絡(luò)數(shù)據(jù)包上的差異，并且把足夠多的差異組合起來，以便精確地識別出一個系統(tǒng)的OS版本配置能力擴(kuò)展性，新的OS，版本不斷推出定義一種配置語言或者格式,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,54/60,棧指紋識別方法,常用的手段給一個開放的端口發(fā)送FIN包，有些操作系統(tǒng)有回應(yīng)，有的沒有回應(yīng)對于非正常數(shù)據(jù)包的反應(yīng)比如，發(fā)送一個包含未定義TCP標(biāo)記的數(shù)據(jù)包根據(jù)TCP連接的序列號風(fēng)格尋找初

42、始序列號之間的規(guī)律TCP初始化窗口有些操作系統(tǒng)會使用一些固定的窗口大小DF位(Don't Fragment bit )分片處理方式分片重疊的情況下，處理會不同。如何確定處理方式？,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,55/60,棧指紋識別方法(續(xù)),ICMP協(xié)議ICMP錯誤消息的限制發(fā)送一批UDP包給高端關(guān)閉的端口，然后計算返回來的不可達(dá)錯誤消息ICMP端口不可達(dá)消息的大小通常情況下

43、送回IP頭+8個字節(jié)，但是個別系統(tǒng)送回的數(shù)據(jù)更多一些ICMP回應(yīng)消息中對于校驗(yàn)和的處理方法不同ICMP回應(yīng)消息中，TOS域的值TCP選項(xiàng)這里充滿了各種組合的可能性應(yīng)答方式“Query-Reply”，可以把多個選項(xiàng)放到一個包中SYN Flooding對抗測試先發(fā)送8個SYN包，看還能不能建立連接，確認(rèn)它是否受此攻擊,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,56/60,Nmap的指紋庫,指紋模板文件：n

44、map-os-fingerprints.txt首先定義一組測試，例如,# TEST DESCRIPTION:# Tseq is the TCP sequenceability test# T1 is a SYN packet with a bunch of TCP options to open port# T2 is a NULL packet w/options to open port# T3 is a SYN|FIN|

45、URG|PSH packet w/options to open port# T4 is an ACK to open port w/options# T5 is a SYN to closed port w/options# T6 is an ACK to closed port w/options# T7 is a FIN|PSH|URG to a closed port w/options# PU is a UDP pa

46、cket to a closed port,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,57/60,Nmap的指紋庫(續(xù)),例如Fingerprint Linux kernel 2.2.13TSeq(Class=RI%gcd=24CA0)T1(DF=Y%W=7F53%ACK=S++%Flags=AS%Ops=MENNTNW)T2(Resp=N)T3(Resp=Y%DF=Y%W=7F53%ACK=S++%Fl

47、ags=AS%Ops=MENNTNW)T4(DF=N%W=0%ACK=O%Flags=R%Ops=)T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)T6(DF=N%W=0%ACK=O%Flags=R%Ops=)T7(DF=N%W=0%ACK=S%Flags=AR%Ops=)PU(DF=N%TOS=C0|A0|0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=F%ULEN=134

48、%DAT=E),2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,58/60,Nmap識別操作系統(tǒng)的例子,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,59/60,Nmap的圖形界面&探尋數(shù)據(jù)包示意圖,2024/3/21,計算機(jī)網(wǎng)絡(luò)安全11—網(wǎng)絡(luò)攻擊的信息收集方法,60/60,參考資料,書“Hackers Beware”，中文版《黑客——攻擊透析與防范 》文章Remote OS detec