第2章:扫描与防御技术课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《第2章:扫描与防御技术课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 扫描 防御 技术 课件
- 资源描述:
-
1、第2章 扫描与防御技术主讲:李曙红主讲:李曙红2022-7-29网络入侵与防范讲义2本章内容安排本章内容安排o 2.1 扫描技术概述扫描技术概述o 2.2 常见的扫描技术常见的扫描技术o 2.3 扫描工具赏析扫描工具赏析o 2.4 扫描的防御扫描的防御o 2.5 小结小结2022-7-29网络入侵与防范讲义32.1 扫描技术概述扫描技术概述o 什么是扫描器什么是扫描器o 网络扫描器是一把双刃剑网络扫描器是一把双刃剑o 为什么需要网络扫描器为什么需要网络扫描器o 扫描的重要性扫描的重要性o 网络扫描器的主要功能网络扫描器的主要功能o 网络扫描器与漏洞的关系网络扫描器与漏洞的关系o 扫描三步曲扫描
2、三步曲o 一个典型的扫描案例一个典型的扫描案例2022-7-29网络入侵与防范讲义4什么是扫描器什么是扫描器o 扫描器是一种自动检测远程或本地主机安全性扫描器是一种自动检测远程或本地主机安全性弱点的程序。它集成了常用的各种扫描技术,弱点的程序。它集成了常用的各种扫描技术,能自动发送数据包去探测和攻击远端或本地的能自动发送数据包去探测和攻击远端或本地的端口和服务,并自动收集和记录目标主机的反端口和服务,并自动收集和记录目标主机的反馈信息,从而发现目标主机是否存活、目标网馈信息,从而发现目标主机是否存活、目标网络内所使用的设备类型与软件版本、服务器或络内所使用的设备类型与软件版本、服务器或主机上各
3、主机上各TCP/UDP端口的分配、所开放的服端口的分配、所开放的服务、所存在的可能被利用的安全漏洞。据此提务、所存在的可能被利用的安全漏洞。据此提供一份可靠的安全性分析报告,报告可能存在供一份可靠的安全性分析报告,报告可能存在的脆弱性。的脆弱性。2022-7-29网络入侵与防范讲义5网络扫描器是一把双刃剑网络扫描器是一把双刃剑o 安全评估工具安全评估工具系统管理员系统管理员保障系统安全的有效工具保障系统安全的有效工具o 网络漏洞扫描器网络漏洞扫描器网络入侵者网络入侵者收集信息的重要手段收集信息的重要手段o 扫描器是一把扫描器是一把“双刃剑双刃剑”。2022-7-29网络入侵与防范讲义6为什么需
4、要网络扫描器为什么需要网络扫描器o 由于网络技术的飞速发展,网络规模迅猛增由于网络技术的飞速发展,网络规模迅猛增长和计算机系统日益复杂,导致新的系统漏长和计算机系统日益复杂,导致新的系统漏洞层出不穷洞层出不穷o 由于系统管理员的疏忽或缺乏经验,导致旧由于系统管理员的疏忽或缺乏经验,导致旧有的漏洞依然存在有的漏洞依然存在o 许多人出于好奇或别有用心,不停的窥视网许多人出于好奇或别有用心,不停的窥视网上资源上资源2022-7-29网络入侵与防范讲义7扫描的重要性扫描的重要性o 扫描的重要性扫描的重要性在于把繁琐的安全检测,通过在于把繁琐的安全检测,通过程序来自动完成,这不仅减轻了网络管理员程序来自
5、动完成,这不仅减轻了网络管理员的工作,而且也缩短了检测时间。的工作,而且也缩短了检测时间。o 同时,也可以认为扫描器是一种同时,也可以认为扫描器是一种网络安全性网络安全性评估软件评估软件,利用扫描器可以快速、深入地对,利用扫描器可以快速、深入地对目标网络进行安全评估。目标网络进行安全评估。o 网络安全扫描技术与防火墙、安全监控系统网络安全扫描技术与防火墙、安全监控系统互相配合能够为网络提供很高的安全性。互相配合能够为网络提供很高的安全性。2022-7-29网络入侵与防范讲义8网络扫描器的主要功能网络扫描器的主要功能o 扫描目标主机识别其工作状态(开扫描目标主机识别其工作状态(开/关机)关机)o
6、 识别目标主机端口的状态(监听识别目标主机端口的状态(监听/关闭)关闭)o 识别目标主机操作系统的类型和版本识别目标主机操作系统的类型和版本o 识别目标主机服务程序的类型和版本识别目标主机服务程序的类型和版本o 分析目标主机、目标网络的漏洞(脆弱点)分析目标主机、目标网络的漏洞(脆弱点)o 生成扫描结果报告生成扫描结果报告2022-7-29网络入侵与防范讲义9网络扫描器与漏洞的关系网络扫描器与漏洞的关系o 网络漏洞网络漏洞是系统软、硬件存在安全方面的是系统软、硬件存在安全方面的脆弱性,安全漏洞的存在导致非法用户入脆弱性,安全漏洞的存在导致非法用户入侵系统或未经授权获得访问权限,造成信侵系统或未
7、经授权获得访问权限,造成信息篡改、拒绝服务或系统崩溃等问题。息篡改、拒绝服务或系统崩溃等问题。o 网络扫描网络扫描可以对计算机网络系统或网络设可以对计算机网络系统或网络设备进行安全相关的检测,以找出安全隐患备进行安全相关的检测,以找出安全隐患和可能被黑客利用的漏洞。和可能被黑客利用的漏洞。2022-7-29网络入侵与防范讲义10扫描三步曲扫描三步曲o 一个完整的网络安全扫描分为三个阶段:一个完整的网络安全扫描分为三个阶段:n 第一阶段:发现目标主机或网络n 第二阶段:发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑
8、结构、路由设备以及各主机的信息n 第三阶段:根据收集到的信息判断或者进一步测试系统是否存在安全漏洞2022-7-29网络入侵与防范讲义11扫描三步曲(续)扫描三步曲(续)o 网络安全扫描技术包括网络安全扫描技术包括PING扫描、操作系统探测、扫描、操作系统探测、穿透防火墙探测、端口扫描、漏洞扫描等穿透防火墙探测、端口扫描、漏洞扫描等o PING扫描扫描用于扫描用于扫描第一阶段第一阶段,识别系统是否活动,识别系统是否活动o OS探测、穿透防火墙探测、端口扫描探测、穿透防火墙探测、端口扫描用于扫描用于扫描第二第二阶段阶段n OS探测是对目标主机运行的OS进行识别n 穿透防火墙探测用于获取被防火墙保
9、护的网络资料n 端口扫描是通过与目标系统的TCP/IP端口连接,并查看该系统处于监听或运行状态的服务o 漏洞扫描漏洞扫描用于安全扫描用于安全扫描第三阶段第三阶段,通常是在端口扫,通常是在端口扫描的基础上,进而检测出目标系统存在的安全漏洞描的基础上,进而检测出目标系统存在的安全漏洞2022-7-29网络入侵与防范讲义12一个典型的扫描案例一个典型的扫描案例2022-7-29网络入侵与防范讲义131.Find targetso 选定目标为:选定目标为:192.168.1.18o 测试此主机是否处于活动状态,工具是用操测试此主机是否处于活动状态,工具是用操作系统自带的作系统自带的ping,使用命令:
10、,使用命令:ping 192.168.1.18o 结果见下页图。结果见下页图。2022-7-29网络入侵与防范讲义14说明该主机处于活动状态说明该主机处于活动状态2022-7-29网络入侵与防范讲义152.Port Scano 运用扫描工具,检查目标主机开放的端口,运用扫描工具,检查目标主机开放的端口,判断它运行了哪些服务判断它运行了哪些服务o 使用的工具是使用的工具是Nmap 4.20(此工具将在后(此工具将在后面进行介绍)面进行介绍)o 扫描命令:扫描命令:nmap 192.168.1.18o 扫描结果见下面图扫描结果见下面图2022-7-29网络入侵与防范讲义162022-7-29网络入
11、侵与防范讲义172.Port Scan(2)o 端口开放信息如下:端口开放信息如下:n 21/tcp open ftpn 25/tcp open smtpn 42/tcp open nameservern 53/tcp open domainn 80/tcp open httpn o 我们将重点关注我们将重点关注SMTP端口端口2022-7-29网络入侵与防范讲义183.Vulnerability Checko 检测检测SMTP服务是否存在漏洞服务是否存在漏洞o 使用漏洞扫描工具使用漏洞扫描工具Nessus 3(此工具在后(此工具在后面将会介绍)面将会介绍)o 扫描过程见下页图扫描过程见下页图
12、2022-7-29网络入侵与防范讲义19扫描目标是扫描目标是192.168.1.182022-7-29网络入侵与防范讲义20Nessus正在进行漏洞扫描正在进行漏洞扫描2022-7-29网络入侵与防范讲义214.Reporto Nessus发现了目标主机的发现了目标主机的SMTP服务存在服务存在漏洞。漏洞。o 扫描报告中与扫描报告中与SMTP漏洞相关的部分见下页漏洞相关的部分见下页图。图。2022-7-29网络入侵与防范讲义22漏洞编号:漏洞编号:CVE-2003-08182022-7-29网络入侵与防范讲义232.2 常见的扫描技术常见的扫描技术o TCP/IP相关知识相关知识o 常用网络命
13、令常用网络命令o 主机扫描主机扫描o 端口扫描端口扫描n全扫描n半扫描n秘密扫描n认证(ident)扫描nFTP代理扫描o 远程主机远程主机OS指纹识别指纹识别o 漏洞扫描漏洞扫描不可不学的扫描技术不可不学的扫描技术巧妙奇特的天才构思巧妙奇特的天才构思2022-7-29网络入侵与防范讲义24TCP/IP相关知识相关知识o TCP报文格式报文格式 o TCP通信过程通信过程o ICMP协议协议2022-7-29网络入侵与防范讲义25TCP报文格式报文格式 2022-7-29网络入侵与防范讲义26TCP控制位控制位o URG:为紧急数据标志。如果它为为紧急数据标志。如果它为1,表示本,表示本数据包
14、中包含紧急数据。此时紧急数据指针有数据包中包含紧急数据。此时紧急数据指针有效。效。o ACK:为确认标志位。如果为为确认标志位。如果为1,表示包中的,表示包中的确认号是有效的。否则,包中的确认号无效。确认号是有效的。否则,包中的确认号无效。o PSH:如果置位,接收端应尽快把数据传送给如果置位,接收端应尽快把数据传送给应用层。应用层。2022-7-29网络入侵与防范讲义27TCP控制位控制位o RST:用来复位一个连接。用来复位一个连接。RST标志置位的数标志置位的数据包称为复位包。一般情况下,如果据包称为复位包。一般情况下,如果TCP收到收到的一个分段明显不是属于该主机上的任何一个的一个分段
15、明显不是属于该主机上的任何一个连接,则向远端发送一个复位包。连接,则向远端发送一个复位包。o SYN:标志位用来建立连接,让连接双方同步标志位用来建立连接,让连接双方同步序列号。如果序列号。如果SYN1而而ACK=0,则表示该,则表示该数据包为连接请求,如果数据包为连接请求,如果SYN=1而而ACK=1则表示接受连接。则表示接受连接。o FIN:表示发送端已经没有数据要求传输了,表示发送端已经没有数据要求传输了,希望释放连接。希望释放连接。2022-7-29网络入侵与防范讲义28TCP通信过程通信过程o正常正常TCP通信过程通信过程:n 建立连接n(数据传输)n 断开连接2022-7-29网络
16、入侵与防范讲义29建立建立TCP连接连接ClientServer SYN JSYN,ACK,J+1 ACK K+1SYN_SENT(主动打开)ESTABLISHED LISTEN(被动监听)SYN RCVDESTABLISHED2022-7-29网络入侵与防范讲义30断开断开TCP连接连接2022-7-29网络入侵与防范讲义31ICMP协议(协议(1)o Internet Control Message Protocol,是是IP的一部分,在的一部分,在IP协议栈中必须实现。协议栈中必须实现。o 用途:用途:n 网关或者目标机器利用ICMP与源通讯n 当出现问题时,提供反馈信息用于报告错误o
17、特点:特点:n 其控制能力并不用于保证传输的可靠性n 它本身也不是可靠传输的n 并不用来反映ICMP报文的传输情况2022-7-29网络入侵与防范讲义32ICMP协议(协议(2)ICMP报文类型报文类型n 0 Echo Replyn 3 Destination Unreachablen 4 Source Quench n 5 Redirect n 8 Echo n 11 Time Exceededn 12 Parameter Problemn 13 Timestamp n 14 Timestamp Reply n 15 Information Request n 16 Information
18、Reply n 17 Address Mask Request n 18 Address Mask Reply 2022-7-29网络入侵与防范讲义33常用网络命令常用网络命令o Pingo Traceroute、Tracert、x-firewalko Net命令系列命令系列2022-7-29网络入侵与防范讲义34常用网络命令常用网络命令-pingo Ping是最基本的扫描技术。是最基本的扫描技术。o ping命令命令主要目的是检测目标主机是不主要目的是检测目标主机是不是可连通,继而探测一个是可连通,继而探测一个IP范围内的主机是范围内的主机是否处于激活状态。否处于激活状态。不要小瞧不要小瞧p
19、ingping黑客的攻击往往都是从黑客的攻击往往都是从pingping开始的开始的2022-7-29网络入侵与防范讲义35常用网络命令常用网络命令-ping的原理的原理o ping是一个基本的网络命令,用来确定网是一个基本的网络命令,用来确定网络上具有某个特定络上具有某个特定IP地址的主机是否存在地址的主机是否存在以及是否能接收请求。以及是否能接收请求。o Ping命令通过向计算机发送命令通过向计算机发送ICMP回应报回应报文并且监听回应报文的返回,以校验与远程文并且监听回应报文的返回,以校验与远程计算机或本地计算机的连接。计算机或本地计算机的连接。2022-7-29网络入侵与防范讲义36常用
20、网络命令常用网络命令-ping参数说明参数说明o ping在安装了在安装了TCP/IP协议后可以使用。协议后可以使用。2022-7-29网络入侵与防范讲义37常用网络命令常用网络命令ping命令使用命令使用l-n:发送发送ICMP回应报文的个数回应报文的个数2022-7-29网络入侵与防范讲义38常用网络命令常用网络命令-Tracerouteo Traceroute跟踪两台机器之间的路径,显示中跟踪两台机器之间的路径,显示中间的每一个节点的信息。这个工具可以用来确定某个间的每一个节点的信息。这个工具可以用来确定某个主机的位置。主机的位置。o traceroute 命令旨在用于网络测试、评估和管
21、理。命令旨在用于网络测试、评估和管理。它应主要用于手动故障隔离。它应主要用于手动故障隔离。o 语法语法:2022-7-29网络入侵与防范讲义39常用网络命令常用网络命令 Traceroute说明说明o-f-f后指定一个初始后指定一个初始TTL,它的范围是大于,它的范围是大于0小于小于最大最大TTL,缺省为,缺省为1。o-m-m后指定一个最大后指定一个最大TTL,它的范围是大于初始,它的范围是大于初始TTL,缺省为,缺省为30。o-p-p后可以指定一个整数,该整数是目的主机的端后可以指定一个整数,该整数是目的主机的端口号,它的缺省为口号,它的缺省为33434,用户一般无须更改此选,用户一般无须更
22、改此选项。项。o-q-q后可以指定一个整数后可以指定一个整数,该整数是每次发送的探该整数是每次发送的探测数据包的个数,它的范围是大于测数据包的个数,它的范围是大于0,缺省为,缺省为3。o-w-w后可以指定一个整数,该整数指明后可以指定一个整数,该整数指明IP包的超包的超时时间,它的范围是大于时时间,它的范围是大于0,缺省为,缺省为5秒。秒。o host 目的主机的目的主机的IP地址地址2022-7-29网络入侵与防范讲义40常用网络命令常用网络命令 Traceroute示例示例Quid#traceroute 35.1.1.48 traceroute to (35.1.1.48),30 hops
23、 max,56byte packet1 helios.ee.lbl.gov(128.3.112.1)19 ms 19 ms 0 ms 2 lilac-dmc.Berkeley.EDU(128.32.216.1)39 ms 39 ms 19 ms3 ccngw-ner-cc.Berkeley.EDU(128.32.136.23)39ms 40ms 39ms4 ccn-nerif22.Berkeley.EDU(128.32.168.22)39 ms 39 ms 39 ms5 128.32.197.4(128.32.197.4)40 ms 59 ms 59 ms6 131.119.2.5(131.1
24、19.2.5)59 ms 59 ms 59 ms7 129.140.70.13(129.140.70.13)99 ms 99 ms 80 ms8 129.140.71.6(129.140.71.6)139 ms 239 ms 319 ms9 129.140.81.7(129.140.81.7)220 ms 199 ms 199 ms10 nic.merit.edu(35.1.1.48)239 ms 239 ms 239 ms可以看出从源主机到目的地都经过了哪些网关,这对于网络分析是非常有用的。可以看出从源主机到目的地都经过了哪些网关,这对于网络分析是非常有用的。2022-7-29网络入侵与防范
25、讲义41常用的网络命令常用的网络命令Tracert、x-firewalko Windows下用下用tracert命令可以查看路由信命令可以查看路由信息,但是如今的路由器大部分都对息,但是如今的路由器大部分都对tracert命命令做了限制,此命令已经没有效果。令做了限制,此命令已经没有效果。o 有黑客开发出有黑客开发出x-firewalk.exe可用于在可用于在Windows环境下查看路由信息,非常实用,环境下查看路由信息,非常实用,下载地址是下载地址是http:/ 命令:命令:x-firewalk o 可以看到本地到达可以看到本地到达都经过了哪些路由器都经过了哪些路由器2022-7-29网络入
展开阅读全文