第五章网络攻击步骤和常用工具课件.ppt

1、pingping：这个工具将ICMP Echo请求消息发给目标，看是否它是可达的，并判断应答的时间。(ping IP)NslookupNslookup：这个特性允许查询DNS服务器，以找到与IP地址映射的域。(nslookup ip)TracerouteTraceroute：这个特性返回源计算机与选择的目标之间的路由器跳的一个列表。Tracert ipFingerFinger：这个特性支持查询一个系统，决定它的用户列表。SMTP VRFYSMTP VRFY：这个功能用于判断特定邮件地址在一给定电子邮件服务器上是否合法。它基于简单的邮件传输协议（SMTP）鉴别命令，是最广泛使用的电子邮件协议里的

2、选项，用于检查邮件地址的合法性。WebWeb浏览器浏览器：一些内建的小型 Web浏览器使用户能查看原始HTTP交互，包括所有的HTTP首部。非技术手段非技术手段:社会工程学社会工程学使用社会技巧和人际关系,获取与安全相关的信息，内部的一些地址“建筑物里面有些什么”。偷听偷听-垃圾搜寻，通过公告牌与聊天室交换信息(漏洞、使用的技术、相关目标的信息)利用软件开发商的一些文档了解产品的细节。审计、监控和记录您用于登录的设备以及其它可能受攻击的设备。安全性策略是一个良好的开端，但缺少了备份和执行就等于浪费时间。遍历您的安装。好的遍历通常能使您找到连接到机器的调制解调器。还有，保存好的文档和平面图，以便

3、您知道该查看哪儿。查看您调制解调器上的自动应答配置。这也可以用来保护您的调制解调器。最后，使用与您的内部 PBX(程控交换机)号码范围完全不同的电话号码。这是阻止战争拨号攻击的比较有效的方法之一。踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。被动式策略就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为

4、并记录系统的反应，从而发现其中的漏洞。扫描的目的就是利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。ICMP ping ICMP ping：为了建立一个可访问的目录清单，攻击者将尝试ping你的网络中所有可能的地址，以判断哪个地址有活动的主机。攻击者可以向你网络中的每一个地址发送一个ICMP的回应请求数据包，这些地址是在侦察阶段发现的。发送ping之后，攻击者开始寻找回应的ICMP应答消息。如果返回一个应答消息，则说

5、明那个地址端有一台活动机器。否则的话，我们可以认为那个地址端没有东西。TCP/UDPTCP/UDP数据包数据包：许多网络会阻塞 ICMP消息，因此攻击者可以有选择的给常开放的端口发送一个TCP或者UDP数据包，如TCP端口80。如果端口是开放的，目标系统将会返回一个 SYN-ACK数据包，表明那个地址端有一台机器。如果没有任何消息返回，则说名明地址端可能没有机器。实现端口扫描的程序可以使用TCP协议和UDP协议，原理是利用Socket连接对方的计算机的某端口，试图和该端口建立连接 如果建立成功，就说明对方开放了该端口，如果失败了，就说明对方没有开放该端口。扫描内容包括：远程操作系统类型及版本

6、标准端口状态及端口Banner信息 SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞 SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER NT-SERVER弱口令用户，NT服务器NETBIOS信息 注册表信息等。定义：利用TCP/IP协议栈实现上的特点来辨识一个操作系统 技术导向可辨识的OS的种类，包括哪些操作系统结论的精确度，细微的版本差异是否能识别 一些工具Checkos,by ShokQueso,by SavageNmap,by Fyodor 做法：寻找不同操作系统之间在处理网络数据包上的差异，并且把足够多的差异组合起来，以便精确地识别

7、出一个系统的OS版本 配置能力扩展性，新的OS，版本不断推出定义一种配置语言或者格式常用的手段给一个开放的端口发送FIN包，有些操作系统有回应，有的没有回应对于非正常数据包的反应 比如，发送一个包含未定义TCP标记的数据包根据TCP连接的序列号风格 寻找初始序列号之间的规律TCP初始化窗口 有些操作系统会使用一些固定的窗口大小DF位(Dont Fragment bit)分片处理方式分片重叠的情况下，处理会不同。如何确定处理方式？ICMP协议ICMP错误消息的限制 发送一批UDP包给高端关闭的端口，然后计算返回来的不可达错误消息ICMP端口不可达消息的大小 通常情况下送回IP头+8个字节，但是个

8、别系统送回的数据更多一些ICMP回应消息中对于校验和的处理方法不同ICMP回应消息中，TOS域的值TCP选项这里充满了各种组合的可能性应答方式“Query-Reply”，可以把多个选项放到一个包中SYN Flooding对抗测试先发送8个SYN包，看还能不能建立连接，确认它是否受此攻击 指纹模板文件：nmap-os-fingerprints.txt 首先定义一组测试，例如#TEST DESCRIPTION:#Tseq is the TCP sequenceability test#T1 is a SYN packet with a bunch of TCP options to open po

9、rt#T2 is a NULL packet w/options to open port#T3 is a SYN|FIN|URG|PSH packet w/options to open port#T4 is an ACK to open port w/options#T5 is a SYN to closed port w/options#T6 is an ACK to closed port w/options#T7 is a FIN|PSH|URG to a closed port w/options#PU is a UDP packet to a closed port例如Finge

10、rprint Windows 2000 ProfessionalFingerprint Windows 2000 ProfessionalTSeq(Class=RI)TSeq(Class=RI)T1(DF=Y%W=2238%ACK=S+%Flags=AS%Ops=M)T1(DF=Y%W=2238%ACK=S+%Flags=AS%Ops=M)T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)T3(Resp=Y%DF=Y%W=2238%ACK=S+%Flags=AS%Ops=M)T3(Resp

11、=Y%DF=Y%W=2238%ACK=S+%Flags=AS%Ops=M)T4(DF=N%W=0%ACK=0%Flags=R%Ops=)T4(DF=N%W=0%ACK=0%Flags=R%Ops=)T5(DF=N%W=0%ACK=S+%Flags=AR%Ops=)T5(DF=N%W=0%ACK=S+%Flags=AR%Ops=)T6(DF=N%W=0%ACK=0%Flags=R%Ops=)T6(DF=N%W=0%ACK=0%Flags=R%Ops=)T7(DF=N%W=0%ACK=S+%Flags=AR%Ops=)T7(DF=N%W=0%ACK=S+%Flags=AR%Ops=)PU(DF=N

12、%TOS=0|20%IPLEN=38%RIPTL=148%RID=E%RIPCK=PU(DF=N%TOS=0|20%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E|F%ULEN=134%DAT=E)E%UCK=E|F%ULEN=134%DAT=E)TSeq表示TCP的ISN序列，Class=RI说明它是随机增加的（Random Increments）。T1表明是测试1（Test1）。测试1是向开放的端口发送一个SYNOptions数据包，该系统的应答数据包中标记了DF位（DF=Y），窗口大小为0 x2238（W=2238），ACK的值是原来的序列号加1（ACK=S

13、+），标志位是ACK|SYN（Flags=AS），选项中只有MSS有应答（Ops=M）。T2测试是向开放的端口发送一个NULLOptions的数据包，其中Resp=Y表明系统有应答，“Ops=”表明应答数据包中没有选项值。T3测试是向开放的端口发送一个TH_SYN|TH_FIN|TH_URG|TH_PUSHOptions数据包。T4测试是向开放的端口发送一个ACK+Options数据包，这里没有设置“Resp=”是因为系统对这种测试都会作出应答，如果没有收到应答数据包则说明由于网络或系统错误导致数据包遗失，而在T2和T3中设置该项是因为有一些系统对这两种探测确实不作应答。T5、T6和T7测试是

14、分别向关闭的端口发送一个SYN、ACK和FIN|PSH|URGOptions数据包。PU测试表示向关闭的端口发送一个UDP数据包，检测目标返回的“Port Unreachable”ICMP报文。其中IP服务类型（Type Of Service）字段是0或20（TOS=0|20），IP的长度是38字节（IPLen=38），应答数据包中的IP总长度是148字节（RIPTL=148），RID=E表明应答IP的ID复制了发送的UDP数据包中的IPID（否则为RID=F），RIPCK=E表明应答IP的校验和是正确的，UCK=E说明UDP校验和也是正确的，ULEN说明UDP包的长度是0 x134，最后DA

15、T=E表明目标正确的应答了UDP数据包。Nmap的图形界面的图形界面&探寻数据包示意图探寻数据包示意图NmapNmap由Fyodor编写的Nmap提供TCP、UDP端口扫描和操作系统指纹识别的功能。它集成了前面讨论的多种扫描技巧，提供的端口扫描功能比较全面，而且能够对操作系统进行指纹识别，是目前国外最为流行的端口扫描工具之一。Nmap虽然是一个强大的端口扫描工具，但遗憾的是它没有扫描漏洞的功能，无法对目标主机的脆弱性进行深入挖掘，不能符合网络攻击系统中的综合性能强的作战要求。SuperScanSuperScan前面讨论的都是UNIX下使用的扫描工具，Robin Keir编写的SuperScan

16、是应用在Windows环境下的TCP端口扫描程序。它允许灵活的定义目标IP端口列表，而且图形化的交互界面使得用起来简单方便。X-ScanX-ScanX-Scan是由国内“安全焦点”编写的一个运行于Windows环境下的能够扫描漏洞的检测工具。它支持插件功能，提供了图形界面和命令行两种操作方式，能够实现扫描远程操作系统类型、标准端口、常见漏洞等功能。但是，它只能提供一种端口扫描方式，在目标网络复杂时无法灵活自主的进行选择配置，从而限制了它的适应性。此外，X-Scan的许多功能还需进一步完善，如扫描的漏洞较少且漏洞信息不详细，能够检测识别的操作系统也只有十几种。跟踪路由的技术来确定组成你的网络基础

17、设施的各种路由器和网关。跟踪路由技术依赖于IP首部中的生存时间（TTL）字段。TTL与时间无关；它与跳有关。TTLTTL字段工作原理：字段工作原理：当路由器收到任何传来的IP数据包的时候，它首先将TTL字段的值减去1。然后，在继续往目的地发送这个数据包之前，路由器要检查它的TTL字段并判断其值是否为0。如果TTL值是0，则路由器给数据包的源站回送一个ICMP超时的消息。我们之所以建立TTL字段就是为了使数据包有一个有限的生存时间。攻击者利用这个TTL值来确定网络中数据包的路径：通过发送具有各种TTL值的一系列数据包，能够从已经知道的源站跟踪所有的路由器，一直到所有目的地。攻击者能够再现出你的网

18、络拓扑结构。(1)电缆:嗅探器sniffer,对网卡重新编程 自感应技术(从电缆线读取辐射信号,要求足够近);搭接电缆;WAN上的信号截取者还必须能将信号从多路复用信号中分离。(2)微波和卫星:很容易截获信号；依靠大容量和复杂的多路复用技术,即使获取了信号也无法将某个特定信号分离。(3 光纤:分接易被发现,没有电磁辐射.(4)无线通信：应用广泛：无线计算机连接，车库开门器，本地无线电，部分无绳电话等等。安全问题:无线信号强度：100-200英尺(1英尺=0.3048米)用调谐天线就可接受 无线通信的标准：802.11b 802.11a 802.11g。加密标准WEP：40位或104位经典流式密

19、钥(调查显示,85%无线网络没有使用WEP功能)典型工具典型工具 Snort和和Sniffit 攻击者发明了很多工具，这些工具向交换型攻击者发明了很多工具，这些工具向交换型LANLAN发送数据，发送数据，以达到截获原本不会发送到安装了嗅探器的机器的流量的目的。以达到截获原本不会发送到安装了嗅探器的机器的流量的目的。由Dug Song编写，它是个工具集，可在LAN中以多种灵活的方式截取信息。功能：分析大量应用程序的数据包分析大量应用程序的数据包 能分析解释众多的协议类型。基本上每个嗅探器都能截获原始比特位，然而光这些原始比特位是没用的，除非攻击者能精确的分析并解释应用程序所规定的各个域的信息。例

20、如，除非你能将FTP会话的用户ID、密码、单个命令和文本本身分离开来，否则这些原始比特位一点用都没有用。Dsniff能自动的辨认并解释大量的应用层协议（比如FTP，telnet,NNTP,SNMP,LDAP等），这对攻击者和安全人员来说是非常有用的。用洪泛对付交换机用洪泛对付交换机 向LAN上发送大量的随机MAC地址以造成洪泛。随着网络上明显被使用的MAC地址的增多，交换机忠实的将其上每一链路所使用的MAC地址保存起来。最后，交换机内存耗尽，里面填充的都是假的MAC地址。由于无法再读到流量的地 址，无法转发流量，因而会出现流量洪泛现象。此时，一些交换机便开始向所有连在其上的链路发送数据。然后，

21、攻击者就可以使用任意的嗅探器来截获所需的数据了。用用ARPARP欺骗信息对付交换机欺骗信息对付交换机 有一些交换机在所剩余的内存到达一定限度时就停止存储MAC地址，因此MAC地址洪泛对这种交换机没有作用。有一个工具arpspoof被包含在Dsniff中，Dsniff就是利用它来解决此难题。Arpspoof可以让攻击者操纵LAN上的ARP（地址解析协议）流量。ARP就是将第三层地址（IP）映射到第二层地址（MAC）。Arpspoof让攻击者将这种映射关系打乱从而在交换型的网络环境里截取数据。发送假的发送假的DNSDNS信息进行流量转向。信息进行流量转向。DsniffDsniff包含一个叫包含一个

22、叫dnsspoofdnsspoof的的程序，可让攻击者发送假的程序，可让攻击者发送假的DNSDNS回应给受害者，以使攻击者要访问回应给受害者，以使攻击者要访问其他机器时却访问攻击者的机器。其他机器时却访问攻击者的机器。Dsniff对对HTTPSHTTPS和和SSHSSH进行嗅探进行嗅探 Dsniff利用SSL和SSH对证书以及公钥的信任。如果Web服务器发给浏览器的证书是由一个浏览器不认识的证书机构签发的，浏览器将问用户是否接受此不信任的证书，信任的决定权留在了用户（通常是没经验的，一般用户不在意此）手里，浏览器会警告用户，但它仍允许用户继续建立连接。Dsniff工具集中用于攻击HTTPS和S

23、SH的工具名是：webmitm和sshmitm。将通过网络传输的数据进行加密。防止ARP欺骗，对包含了重要系统和数据的网络，在交换机上进行端口级安全设置，用链到端口上的机器的MAC地址来配置此端口，以防止MAC地址洪泛和arpspoof。而且，在极端重要的网络，如DMZ(隔离区，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区)，在每台终端机器上使用静态ARP表，对LAN上的所有系统进行MAC地址的硬编码。所谓口令攻击是指使用某些合法用户的账号和口令登录到目标主机，然后再实施攻击活动。这种方法的前提是必须首先得到目标

24、主机上某个合法用户的账号，然后再进行合法用户口令的破译。获得普通用户账号的方法很多，如利用目标主机的finger功能查询或从电子邮件地址中收集等。1.字典文件 所谓字典文件，就是根据用户的各种信息建立一个用户可能使用的口令的列表文件。字典中的口令是根据人们设置自己账号口令的习惯总结出的常用口令。对攻击者来说，攻击的口令在这字典文件中的可能性很大，而且因为字典条目相对较少，在破解速度上也远快于穷举法口令攻击。这种字典有很多种，适合在不同的情况下使用。使用一部1万个单词的字典一般能猜测出系统中70%的口令。（2）强行攻击 没有攻不破的口令，只是个时间问题。如果有速度足够快的计算机能尝试字母、数字、

25、特殊字符的所有组合，将最终能破解所有的口令。（3）组合攻击 使用字典单词但是单词尾部串接几个字母和数字，这就是组合攻击。（鉴于很多管理员要求使用字母和数字，用户的对策是在口令后面添加几个数字）口令破解器是一个程序，它能将口令解译出来，或者让口令保护失效。口令破解器一般不是真正的去解码，因为事实上很多加密算法是不可逆的。大多数口令破解器是通过尝试一个一个的单词，用已知的加密算法来加密这些单词，直到发现一个单词经过加密后的结果和待解密的数据一样，就认为这个单词是要找的密码。Windows口令的安全性比UNIX要脆弱得多，这是由其采用的数据库存储和加密机制所直接导致的。Windows口令破解程序主要

26、有：（1）L0phtcrack：是一个NT口令破解工具，它能通过保存在NT操作系统中的cryptographic hashes列表来破解用户口令。（2）NTSweep：利用Microsoft允许用户改变口令的机制，NTSweep首先取定一个词，NTSweep使用这个单词作为账号的原始口令并试图把用户的口令改为同一个单词。NTSweep能通过防火墙，也不需要任何特殊权限来允许。（3）NTCrack：是UNIX破解程序的一部分，但是需要在NT环境下破解，它和NTSweep的工作原理类似，但功能上有限。（4）PWDump2：用来从SAM数据库中提取哈希口令。(2)登录界面攻击法。黑客可以在被攻击的主

27、机上，利用程序伪造一个登录界面，以骗取用户的账号和密码。当用户在这个伪造四界面个键入登录信息后，程序可将用户的输入信息记录并传送到黑客的主机，然后关闭界面，给出提示信息“系统故障”或“输入错误”，要求用户重新输入。(3)网络监听。黑客可以通过网络监听非法得到的用户口令，这类方法有一定的局限性，但危害性极大。由于很多网络协议根本就没有彩任何加密或身份认证技术，如在telnet、FTP、HTTP、SMTP等传输协议中，用户账号和密码信息都是以文明格式传输的，此时若黑客利用数据包截取工具便可很容易收集到用户的账号和密码。另外，黑客有时还会利用软件和硬件工具时刻监视系统主机的工作，等待记录用户登录信息

28、，从而取得用户密码。实施入侵 安装木马或后门 清除痕迹 1.探测选择攻击对象，了解部分简单的对象信息。这里，针对具体的攻击目标，随便选择了一组IP地址，进行测试，选择处于活动状态的主机，进行攻击尝试；针对探测的安全建议 对于网络：安装防火墙，禁止这种探测行为 对于主机：安装个人防火墙软件，禁止外部主机的ping包，使对方无法获知主机当前正确的活动状态2.扫描使用的扫描软件 这里选择的扫描软件是SSS（Shadow Security Scanner），SSS是俄罗斯的一套非常专业的安全漏洞扫描软件，能够扫描目标服务器上的各种漏洞，包括很多漏洞扫描、端口扫描、操作系统检测、账号扫描等等，而且漏洞数

29、据可以随时更新。扫描远程主机 开放端口扫描 操作系统识别 SSS本身就提供了强大的操作系统识别能力，也可以使用其他工具进行主机操作系统检测。主机漏洞分析 可以看出几个比较知名的端口均处于打开状态，如139、80等 尝试使用Unicode漏洞攻击，无效。可能主机已经使用了SP进行补丁或未开放远程访问权限 结果显示该主机操作系统为Windows 2000，SSS可对远程主机进行漏洞检测分析，这更方便了解远程主机的状态，选择合适的攻击入口点，进行远程入侵 该主机存在的漏洞较多，我们可以确定选择该主机作为攻击对象。另外，主机的帐号密码使用的是“永不过期”方式，我们可以在下面进行帐号密码的强行破解 3.

30、查看目标主机的信息 在完成对目标主机的扫描后，我们可以利用Windows NT/2000对NetBIOS的缺省信赖，对目标主机上的用户帐号、共享资源等进行检查。事实上，在利用SSS进行扫描的过程中，SSS已经向我们报告了众多有效的信息。这里，我们再利用Windows2000的IPC空会话查询远程主机 使用了使用了Net view Net view 命令命令4.渗透 IIS攻击尝试利用IIS中知名的Unicode漏洞进行攻击，没有成功。目标主机可能已修复相应漏洞，或没有打开远程访问权限 Administrator口令强行破解 目标主机是一台个人主机，绝大部分情况下，均使用Administrato

31、r帐号进行登陆，且个人防范意识较差的话，选择的密码一般都较简单，如“主机名”、“11111”、“12345”之类的简单密码（方便自己的快速登陆）。所以考虑利用NetBIOS会话服务（TCP 139）进行远程密码猜测。这里我们使用NAT（NetBIOS Auditing Tool）进行强行破解：构造一个可能的用户帐户表，以及简单的密码字典，然后用NAT进行破解。成功5.巩固权力现在我们得到了Administrator的帐户，接下去我们需要巩固权力 添加一个迷惑性的帐户，并加入administrators组，将来通过新帐户进入 装载后门装载后门 一般的个人主机为防范病毒，均会安装反病毒软件，如No

32、rton Anti-Virus、金山毒霸等，并且大部分人也能及时更新病毒库，而大部分的木马程序在这类软件的病毒库中均被视为Trojan木马病毒。所以，这为我们增加了难度。除非一些很新的程序或自己编写的程序才能够很好地隐藏起来 我们使用NetCat作为后门程序进行演示 利用刚刚获取的Administrator口令，通过Net use映射对方驱动器 然后将netcat主程序nc.exe复制到目标主机的系统目录下（便于隐藏），可将程序名称改为容易迷惑对方的名字，如rundl132.exe、ddedll32.exe等 n利用at命令远程启动NetCat，供我们远程连接使用。还添加了每日运行计划，供以后使用 远程NetCat服务程序启动后，我们可以在本地进行远程连接，运行命令（在远程主机上），这时，我们已经完全控制了这台机器了 6.清除痕迹我们留下了痕迹了吗用event viewer看一看 没有成功看看它的日志文件 无安全日志记录