《2022年网络侦察技术分析 .pdf》由会员分享,可在线阅读,更多相关《2022年网络侦察技术分析 .pdf(11页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、网络侦察技术分析(一)本文原创,禁止任何形式的转载 一名严谨的黑客在入侵之前会先进行网络侦察及分析,以判断可行性及应采取的入侵方法。我们今天就讲一下一名黑客是如何进行网络侦察的。首先,我们介绍一下安全管理的规范。一名好的网络安全人员,应该从两个不同的角度来分析网络进行安全评估:1、从黑客角度进行思考,寻找现有的网络漏洞,对网络资源加以保护;2、从安全管理者的角度进行思考,寻找最佳途径既可保障安全又不影响商业运作效率。从安全管理者角度考虑,安全管理者知道网络是如何配置的,更多从防火墙内部发起探测,关注内部网络的服务器和主机是否有异常情况,但黑客是不知道目标网络的配置情况,他们是从防火墙外部进行攻
2、击/渗透的,所以一名合格的安全管理者还要从防火墙外部进行渗透看是否能穿透防火墙而控制网络主机。如图:从安全顾问角度考虑,首先要从不知情者的角度加以定位,然后以内部知情人的角度来评估网络安全如图:下面我们看一下不同基点的安全管理结构:首先我们介绍一下基于网络的安全管理结构。如图:由图可知,基于网络的管理产品将软件安装在一台服务器上,由它来向网络提出查询,提出查询的要求,其中主机往往是管理者,扫描网络上所有可疑的活动。在这种结构下每台计算机被动的响应查询,优点是主机并不知道被监视,缺点是监视端口会对交换机的性能产生影响我们再介绍一下基于主机级的安全管理结构。如图:由图可知,这是一种分层管理体系,一
3、层是图形界面,二层是管理者,通过代理发出查询请求,从代理收集信息进行显示,三层是安装在每台主机上的代理。可安装SNMP 辅助管理。安全审计的三个阶段:对于安全管理的几个概念我们介绍完了,我们看一下网络攻击的动机。随着木马/病毒及黑客技术的商业化,网络攻击行为越来越多的是为了名利目的。现在所存在的主要动机为:偷名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 11 页 -取国家机密、商业竞争行为、内部员工对单位的不满、对企业核心机密的企望、网络接入帐号/信用卡号等金钱利益的诱惑、利用攻击网络站点而出名、对网络安全技术的挑战、对网络的好奇心。攻击的一般步骤分为三步:预攻击、攻击和后攻击
4、。如图:预攻击阶段的行为及目的:端口扫描、漏洞扫描、操作系统类型鉴别、网络拓扑分析攻击阶段的主要攻击行为:缓冲区溢出攻击、操作系统漏洞、应用服务缺陷、脚本程序漏洞攻击、口令攻击、错误及弱配置攻击、网络欺骗与劫持攻击后攻击阶段:安装后门木马、痕迹擦除另外还有一些其它攻击种类如:拒绝服务攻击、嗅探攻击、恶意网页攻击、社会工程攻击等。下面,我们就进入正题,看一下黑客是如何进行有效的信息收集的信息收集技术也就是网络侦察技术。1、Whois。Whois 是一种 internet的目录服务,它提供了在internet上的一台主机或某个域所有者的信息,比如管理员姓名、通信地址、电话号码、Email 信息、P
5、rimary 和 Secondary域名服务器信息。常用的Whois 命令是 rootredhat-6/root#whois 。现在一些网站也提供了Whois 功能,效果是一样的,以本站为例,查询结果如下:Domain Name:CNFAN.NET Registrar:XIN NET TECHNOLOGY CORPORATION Whois Server: Referral URL:http:/ Name Server:NS.XINNET.CN Name Server:NS.XINNETDNS.COM Status:clientDeleteProhibited Status:clientTra
6、nsferProhibited Status:clientUpdateProhibited Updated Date:25-sep-2007 Creation Date:29-jul-2003 Expiration Date:29-jul-2008 Last update of whois database:Sun,06 Jan 2008 17:13:44 UTC 2、nslookup(我最喜欢的信息收集方法)。它是Windows 操作系统自带的DNS排错工具,名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 11 页 -使用此 DNS服务器做域名解析到所有主机名和IP 地址的映射
7、情况,可测试正向区域及反向区域。(区域传送指的是在多个DNS服务器之间复制区域数据库文件的过程。)因为 nslookup命令不是死命令,而是一种固定模式+测试者习惯的命令,我们在此不做介绍。相关基础命令可在网上查询。3、Host 命令。它是一种 UNIX提供的有关Internet域名查询的命令,可以实现区域传送、获得名称解析信息、得知域中邮件服务器的信息等功能。常用的三个参数:参数 v 显示更多信息参数 l 实现区域传送参数 t 查询特定的DNS记录例:rootredhat-6/root#host-l-v rcode=0(Success),ancount=2 Found 1 addresses
8、 for CQ.testCOM Found 1 addresses for NS Trying 61.128.193.25 test.Com 3600 IN NS CQ.test.Com test.Com 3600 IN NS NS1.test.Com test.Com 3600 IN A 210.77.xxx.xxx smtp.test.Com 3600 IN A 210.77.xxx.xxx www1.test.Com 3600 IN A 61.128.xxx.xxx freemail.test.Com 3600 IN A 210.77.xxx.xxx wangji.test.Com 36
9、00 IN A 202.98.xxx.xxx 4、Traceroute命令。可用于路由跟踪,判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间等等。根据反馈数据可以推测出网络物理布局、判断出响应较慢的节点和数据包在路由过程中的跳数。Traceroute 或者使用极少被其它程序使用的高端UDP端口,或者使用 PING数据包。我们以图示Traceroute 路由跟踪原理:网络侦察技术分析网络侦察技术分析(二)本文原创,禁止任何形式的转载 扫描与侦察:按照获得结果分类,分为存活性扫描、端口扫描及系统堆栈扫描。按照攻击者角色分类,分为主动扫描和被动扫描。名师资料总结-精品资料欢迎下载-名师精心整
10、理-第 3 页,共 11 页 -安全扫描的检测技术分类:基于应用的检测技术,它采用被动的,非破坏性的办法检查应用软件包的设置,发现安全漏洞。基于主机的检测技术,它采用被动的,非破坏性的办法对系统进行检测。基于目标的漏洞检测技术,它采用被动的,非破坏性的办法检查系统属性和文件属性,如数据库,注册号等。基于网络的检测技术,它采用积极的,非破坏性的办法来检验系统是否有可能被攻击崩溃安全扫描系统具有的功能:协调了其它的安全设备、使枯燥的系统安全信息易于理解,告诉了你系统发生的事情、跟踪用户进入,在系统中的行为和离开的信息、可以报告和识别文件的改动、纠正系统的错误设置、识别正在受到的攻击、减轻系统管理员
11、搜索最近黑客行为的负担、使得安全管理可由普通用户来负责、为制定安全规则提供依据。通常的检测项目:已知的服务漏洞、缺省安装、不安全的网络管理、弱口令、不正确的服务器配置、网络拓扑的缺陷、信息泄漏、信息缺陷、未授权的设备和服务、可管理的设备、加密机制、额外的用户权限、已知的软件版本漏洞、防火墙自身的安全性和、稳定性。下面,我们根据扫描分类介绍以下各种扫描技术。1、存活性扫描。己方发送扫描数据包,等待对方的回应数据包,其最终结果并不一定准确,依赖于网络边界设备的过滤策略。最常用的探测包是ICMP 数据包。例如发送方发送ICMP Echo Request,期待对方返回ICMP Echo Reply。2
12、、端口扫描。这是最流行的扫描方法,众多的初学安全的朋友常用此方法抓肉鸡。我们着重讲解。先看一下扫描图。一个端口就是一个潜在的通信通道,即入侵通道。黑客就是对目标计算机进行端口扫描,得到有用的信息。扫描的方法分为手工扫描和软件扫描两种。如果是用软件扫描,那没什么可讲的了,软件可以帮你自动挂马并告诉你什么样的漏洞等等。如果是手工扫描呢?返回的是数据包,因此,我们必须要会一些常识性的数据包分析了。以下给出几种类型的数据包头结构图:名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 11 页 -IP 协议包头:名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 11 页 -ICMP
13、 协议包头:TCP 协议包头:名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 11 页 -UDP协议包头:TCP 三次握手机制图:名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 11 页 -TCP连接的终止:一个 TCP头包含 6 个标志位。SYN:标志位用来建立连接,让连接双方同步序列号。如果SYN 1 而 ACK=0,则表示该数据包为连接请求,如果SYN=1而 ACK=1则表示接受连接;FIN:表示发送端已经没有数据要求传输了,希望释放连接;RST:用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下,如果TCP收到的一个分段明显不是属于该主机上的任何
14、一个连接,则向远端发送一个复位包;URG:为紧急数据标志。如果它为1,表示本数据包中包含紧急数据。此时紧急数据指针有效;ACK:为确认标志位。如果为1,表示包中的确认号时有效的。否则,包中的确认号无效;PSH:如果置位,接收端应尽快把数据传送给应用层。给大家介绍一款能穿透网络边缘安全设备的扫描程序:NMAP。Nmap被称为“扫描器之王”,有 for Unix和 for Win的两种版本,需要Libpcap 库和 Winpcap 库的支持,能够进行普通扫描、各种高级扫描和操作系统类型鉴别等。它对网络的侦查十分有效,具有非常灵活的TCP/IP 堆栈指纹引擎并可以穿透网络边缘的安全设备。(NMAP穿
15、透防火墙的一种方法是利用碎片扫描技术(fragment scans),你可以发送隐秘的FIN 包(-sF),Xmas tree 包(-sX)或 NULL包(-sN)。这些选项允许你将TCP查询分割成片断从而绕过防火墙规则。这种策略对很多流行的防火墙产品都很有效)。使用命令:使用-sS:半开式扫描-sT:普通 connect()扫描-sP 存活扫描名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 11 页 -sU:udp 端口扫描-O:操作系统鉴别-P0:强行扫描(无论是否能够ping 通目标)-p:指定端口范围-v:详细模式举例namp sT 192.168.50.11 p 80
16、namp sX 192.168.50.11 p 80,23 namp sP 192.168.50.1/24 讲到这里,我们不得不讲一下TCP/IP 所遵循的选择,也是端口扫描的原则:3、堆栈指纹扫描。它是利用TCP/IP 来识别不同的操作系统和服务向系统发送各种特殊的包,根据系统对包回应的差别,推断出操作系统的种类。堆栈指纹程序利用的部分特征:ICMP错误信息抑制、服务类型值(TOS)、TCP/IP 选项、对SYN FLOOD 的抵抗力、TCP初始窗口。堆栈指纹的应用:利用 FIN 探测、利用TCP ISN 采样、使用TCP的初始化窗口、ICMP消息抑制机制、ICMP错误引用机制、ToS 字段
17、的设置、DF位的设置、ICMP错误信息回显完整性、TCP选项、ACK值。详细讲解:利用 FIN 探测:利用 BOGUS 标记探测:利用 TCP ISN 采样:这是利用寻找初始化序列长度模板与特定的操作系统相匹配的方法。利用它可以对许多系统分类,如较早的UNIX 系统是 64K 长度。一些新的UNIX 系统则是随机增长的长度(Solaris,IRIX,FreeBSD,DigitalUnix,Cray等)或者可以使用DontFragment位:许多操作系统在发送的包里使用这个位,由此可以确定操作系统的类型。使用 TCP的初始化窗口 :简单地检查返回包里包含的窗口长度。根据各个操作系统的不同的初始化
18、窗口大小来唯一确定操作系统类型(TCP 使用滑动窗口为两台主机间传送缓冲数据。每台 TCP/IP 主机支持两个滑动窗口,一个用于接收数据,另一个用于发送数据。窗口尺寸表示计算机可以缓冲的数据量大小。)名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页,共 11 页 -ToS字段的设置:IP 首部的 ToS字段用来指示可靠性、预延迟、通过量参数现在大多数的TCP/IP 实现都不支持TOS特性,但是自4.3BSD Reno 以后的新版系统都对它进行了设置。另外,新的路由协议如OSPF和 IS-IS都能根据这些字段的值进行路由决策。对于 ICMP的“端口不可到达”信息,经过对返回包的服务类型(
19、TOS)值的检查,几乎所有的操作系统使用的是ICMP错误类型 0,而 Linux 使用的值是0 xC0。ACK 值:操作系统在ACK 域值的实现也有所不同,向一个关闭的TCP 端口发送一个FIN|PSH|URG包,许多操作系统会将ACK值设置为 ISN 值,但 Windows和某些打印机会设置为 seq+1 安全扫描技术的发展趋势:1、使用插件(plugin)或者叫功能模块技术。每个插件都封装一个或者多个漏洞的测试手段,主扫描程序通过调用插件的方法来执行扫描,仅仅是创建新的插件就可以使软件增加新功能,扫描更多漏洞。2、使用专用脚本语言。一种更高级的插件技术,可以使用专门语言来扩充软件功能。3、
20、由安全扫描程序到安全评估专家系统。将扫描结果整理,形成报表,对具体漏洞提出一些解决方法。未来的安全扫描系统,不仅能扫描漏洞,还能智能化的协助网络信息管理人员进行安全评估,给出安全建议,成为安全评估专家系统。名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页,共 11 页 -操作系统识别技术操作系统指纹扫描技术是安全扫描技术的一个重点。不同的操作系统有着不同的漏洞和薄 弱 环 节,操作 系 统 指纹扫描的目的就是为了鉴别出目标主机所使用的操作系统类型,从而确定 后 续 的 攻 击 或 防 御 方 法,缩小尝试的范围。例如,采用攻击IIS方法去突破一台Linux 主 机,肯 定 不 会 有
21、 任 何 结 果;同样对。Macintosh 进行 send。mail 攻击也将一无所获。由此可知,对攻 击 而 言,操 作 系 统指纹扫描是前奏,是攻击前的准备阶段;从防御角度来讲,操作系统指纹扫描有助于了解攻击方会采用哪些攻击方法,从而做到有针对性的防御。栈 指 纹 识 别 是 最 早 从 技 术 角 度 研 究 如 何 识 别 远 程 操 作 系 统 的。所 谓栈 指 纹 识 别 是 指 通 过 分 析 远 程 主 机 操 作 系 统 实 现 的 协 议 堆 栈 对 不 同 请求 的 响 应 来 区 分 其 系 统。TC P IP 栈 指 纹 是 指操 作 系 统 的T C P I P
22、堆 栈 对 不 同 请 求 在 响 应 上 的 差 别,而 其 后 出 现 的IC M P 栈 指 纹 是 指 操 作 系 统 的IC M P 堆 栈 对 不 同 请 求 在 响 应 上 的 差 异。当 前 几 乎 所 有 操 作 系 统 网 络 部 分 的 实 现 都 是 基 于 同 样 的TC P IP协 议 体 系 标 准,那 为 什 么 远 程 操 作 系 统 还 可 以 被 识 别 呢?究 其 原 因,主要 有 以 下 几 点。(1)每 个 操 作 系 统 通 常 都 会 使 用 它 们 自 己 的 I P 栈。由 于 技 术 上 的 相互 保 密 和 各 个 公 司 自 身 利 益
23、 以 及 操 作 系 统 安 全 性 的 考 虑,I P 栈 的实 现 都 是 在 R F C 标 准 文 档 的 基 础 上 自 行 开 发 研 制 的,因 此 必 然 存 在 不一 致 的 想 法 和 实 现 方 法。(2)T C P IP 规 范 并 不 是 被 严 格 的 执 行,每 个 不 同 的 实 现 都 拥 有 它 们自 己 的 特 性。同 样 由 于 各 公 司 都 是 白 行 开 发,即 使T C P IP 规 范 中 提 到的 方 方 面 面,由 于 理 解 上 的 不 同,实 现 的 结 果 也 是 不 同 的。另 外 根 据实 现 技 术 的 难 易 程 度,许 多
24、规 范 上 要 求 的 规 则 可 能 在 具 体 实 现 上 被 其 他 简 易 的 方法 所 代 替,这 也 造 成 相 互 之 间 的 差 异。(3)规 范 可 能 被 打 乱,一 些 选 择 性 的 特 性 被 使 用,而 其 他 的 一 些 系 统则 可 能 没 有 使 用。T C P IP 规 范 中 存 在 许 多 可 选 的 特 性,可 以 由 厂 家 自行 选 择 是 否 需 要 实 现,这 些 选 择 性 规 则 也是 分 辨 操 作 系 统 的 一 个 重 要 的 方 面。(4)某 些 私 自 对I P的 改 进 也 可 能 被实 现,这就成 为了 某些 操 作 系 统
25、的 特 性。操 作 系 统 在 协 议 实 现 上 的 不 同 就 像 人 类 的 指 纹,每 个 人 都 有 指 纹,但 是 没 有 两 个 人 的 指 纹 是 相 同 的。通 过 对 不 同 操 作 系 统 的 TC P IP 栈和I C M P 存 在 的 细 微 差 异 来 判 定 操 作 系 统 类 型 和 版 本 的 技 术,就 类 似 于人 们 应 用 指 纹 来 标 明 是 否 是 同 一 个 人 一 样,可 以 清 楚 地 将 其 分 开 来。操作 系 统 指 纹 扫 描 更 多 时 候 是 为 攻 击 者 所 利 用。通 过 指 纹 扫 描 获 知 对 方 操 作 系统 的 类 型 和 版 本,其 相 关 漏 洞 和 薄 弱 点 就 一 目 了 然,其 上 安 装 的 应 用软 件 的 范 围 也 可 以 大 大 缩 小,从 而 可 以 在 很大程度 上提 高 攻击的速 度并能迅 速 突 破 对 方 的 安 全 保 护,达 到 预 期 的 目 的名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页,共 11 页 -
限制150内