【正文】 為了和其他計算機(jī)進(jìn)行通信，它就必須信任那臺計算機(jī)。入侵者已經(jīng)能從一個防火墻后面掃描，并探測正在運(yùn)行的服務(wù)。那么有多少計算機(jī)是 A信任的呢。因此，防止系統(tǒng)被突破是關(guān)鍵。 (完 …) 端口掃描技術(shù) 端口掃描的概念 端口掃描是一種攻擊者用來發(fā)現(xiàn)他們可以進(jìn)入服務(wù)器的很常用的偵察技術(shù)。根據(jù)端口的回應(yīng)來確認(rèn)該端口是否可用和更進(jìn)一步偵察它的漏洞。 端口號 1．常用端口 所有的操作系統(tǒng)都遵循傳統(tǒng)的通行僅當(dāng)超級用戶打開從 0到 1023號端口。 2．非常用端口 通過一個非標(biāo)準(zhǔn)端口，就是我們常常簡單化地認(rèn)為的 1023以上的端口。如果該端口處于監(jiān)聽狀態(tài)，連接將會成功，否則不能連接是無法通過的。所以，例如：可以通過連接80號端口然后用 Ident來判斷 HTTP服務(wù)是否在 root下運(yùn)行。秘密掃描工具是一種不會被審核工具發(fā)現(xiàn)到的掃描方法。另外一種秘密掃描技術(shù)是 反向映射 ，當(dāng)你試圖在網(wǎng)絡(luò)上搜索所有的主機(jī)時，然后通過產(chǎn)生 主機(jī)不可到達(dá) 的 ICMP信息來確定哪些 IP不存在。 SYN掃描：這種技術(shù)又叫做半開連接掃描，因?yàn)?TCP連接并沒有完成。另一個技術(shù)是發(fā)送錯誤的包到一個端口，并期望處于監(jiān)聽狀態(tài)的端口發(fā)回一個不同的錯誤消息而不是關(guān)閉端口的消息。這在 TCP中是要求這樣的。但是，有的包可能會在線路上發(fā)生意外丟失或被防火墻過濾，因此這并不是一個高效的掃描技術(shù)。 (完 …) 端口掃描技術(shù) 端口掃描技術(shù) SOCKS 端口探測技術(shù) SOCKS是一種允許多臺計算機(jī)共享公用 Inter連接的系統(tǒng)。 SOCKS錯誤配置將允許任意的源地址和目標(biāo)地址通行。他們將通過發(fā)送一個消息給那些不知道如何解決這個問題的人而把他們剔出去。 端口掃描技術(shù) 反彈掃描 對于攻擊者來說隱藏他們行蹤是能力是很重要的。這種反彈通過 FTP服務(wù)隱藏了攻擊者來自哪里，該技術(shù)與 IP隱藏了攻擊者地址的欺騙類似。如果 FTP服務(wù)允許讀出或?qū)懭霐?shù)據(jù)進(jìn)一個目錄(如 :/ining)，你可以發(fā)送任意數(shù)據(jù)到這個被發(fā)現(xiàn)可以打開的端口。否則將得到 425消息：不能建立數(shù)據(jù)連接：連接被拒絕 ，然后我們再向目標(biāo)主機(jī)的下一個端口發(fā)送其它的 PORT命令。這種技術(shù)可以用來隱藏查詢的原始來源。因此，攻擊者對 SOCKS的探測掃描在網(wǎng)上是常見的。 （待續(xù) … ） 端口掃描技術(shù) 反彈掃描 IRC BNC：攻擊者喜歡通過用其它機(jī)器繞接他們的連接來隱藏自己的 IRC標(biāo)識。 ICMP和UDP包都不是可靠的通信，所以這種 UDP掃描器當(dāng)出現(xiàn)丟包時 (或者你得到了一堆錯誤的位置 )必須執(zhí)行包重法。所以端口 111被防火墻封鎖并不影響。用 recvfrom()訪問未封裝的 UDP套接字，一般都返回“重試”消息。 ICMP掃描也可并行執(zhí)行，所以速度很快。 端口掃描工具 這里列出三種安全審計工具 : SAINT， nmap，和 nessus. 在這三種之中， nmap是明顯的和主要的端口掃描工具 。按照 Foydor的話說 : nmap對大型網(wǎng)絡(luò)端口掃描很有用，盡管它在一臺主機(jī)上也工作的很出色。有時你需要的是速度，而有時你需要的又是隱藏，在許多情況下，繞過防火墻是必要的。一個被探測的端口的明顯的特征是 在短時間內(nèi)幾個包來自同一地址而有不同的目的地 ，另一個信號是 一個沒有監(jiān)聽的端口有 SYN(連接請求 ) 。例如 :如果我們終端接收到的包有 IP TTL 255標(biāo)記，實(shí)際上我們就知道他們發(fā)送的包來自于我們本地網(wǎng)絡(luò)而不去管他們是什么信息，例如我們只能說攻擊者在 5跳之內(nèi)，我們不能準(zhǔn)確說出他距我們有多遠(yuǎn)。 4．怎樣在網(wǎng)絡(luò)上發(fā)現(xiàn) Sniffer及如何防止被 Sniffer? 5．簡述端口掃描的概念。例如， nmap設(shè)置TTL 為 255，源端口號為 49724，而 Linux內(nèi)核設(shè)置 TTL為 64. 習(xí)題四 1．試述網(wǎng)絡(luò)監(jiān)聽的定義和工作原理。 記住 :攻擊者常常也使用 IP地址欺騙，所以偵察器會告訴我們我們被端口掃描了，但不一定告訴我們來自哪兒。 端口掃描技術(shù) 端口掃描偵察工具 在 Unix下，寫一個非隱藏掃描偵察器很簡單，你可以打開 SOCK_RAW，使協(xié)議為IPPROTO_IP協(xié)議，然后調(diào)用 recvfrom()，捕獲數(shù)據(jù)包并分析它們。s More Than One Way To Do It條條大道通羅馬 )。 SAINT和 nessus將在安全審計一章討論。對數(shù)據(jù)的重新組合被發(fā)送到系統(tǒng)而引起系統(tǒng)的回應(yīng)。 (完 …) 端口掃描技術(shù) ICMP掃描 ICMP掃描并不是真正的端口掃描，因?yàn)?ICMP并沒有一個確切的端口。例如：第二次對一個關(guān)閉的 UDP端口調(diào)用 write()總是會失敗。例如：Linux內(nèi)核限制那些不可到達(dá)目的地的消息的速度是每 4秒鐘 80次，當(dāng)產(chǎn)生錯誤的速率超過以上標(biāo)準(zhǔn)時就會以1/4秒的延遲來作為加罰。 UDP 掃描 端口掃描通常指對 TCP端口的掃描，它是定向連接的，因此給攻擊者提供了很好的反饋信息。但有許多這種服務(wù)都配置錯誤以至于允許 Inter上的任何請求，允許攻擊者通過第三方轉(zhuǎn)發(fā)攻擊。因此，對 smtp試探的方法在網(wǎng)上就經(jīng)常被使用。 查找器：大部分的查找服務(wù)器允許命令轉(zhuǎn)寄通過查找器支持遞歸查詢。然后我們試著列出當(dāng)前地址目錄，結(jié)果被發(fā)送到 serverDTP。 一種端口掃描技術(shù)就是使用這種方法從 ftp代理服務(wù)器來掃描 tcp端口。 FTP反彈掃描利用了 FTP協(xié)議本身的弱點(diǎn)。一個錯誤的定位可能導(dǎo)致如果一個應(yīng)用程序暫時無效的話。更重要的是，這可能允許攻擊者通過你的系統(tǒng)訪問其它的 Inter上的機(jī)器，使得攻擊者隱藏他自己的真實(shí)地址。 許多產(chǎn)品都支持 SOCKS，一個典型的用戶產(chǎn)品就是 WinGate， WinGate是一個安裝在個別的機(jī)器上軟件用來和 Inter連接。或所有標(biāo)記都沒有被設(shè)置的空掃描。如果有服務(wù)處于監(jiān)聽狀態(tài)，操作系統(tǒng)將丟棄這個發(fā)送過來的包。關(guān)閉端口時將恢復(fù)一個 RST的 FIN包。 TCP層并不會通知服務(wù)進(jìn)程，因?yàn)檫B接并沒有完成。這樣可繞過包過濾和防火墻，因?yàn)樗床坏揭粋€完整的 TCP頭所以不能對應(yīng)相應(yīng)的過濾規(guī)則。 端口掃描器通過釋放數(shù)據(jù)包到不同的端口來掃描一個主機(jī)。他們會觀察連進(jìn)的程序，然后他們就登記一個錯誤。閘門這個名字來源于一個原始的 TCP掃描程序，而現(xiàn)在已成為所有掃描工具的共同特征。 端口掃描技術(shù) 最簡單的端口掃描 (例如：發(fā)送一些經(jīng)過仔細(xì)挑選建立的包到選定的目標(biāo)端口 )是試圖打開被掃描者的 0到 65535號端口看些是打開的。以下是從該文中提取的幾行。通過分析響應(yīng)來判斷服務(wù)端口是打開還是關(guān)閉，就可以得知端口提供的服務(wù)或信息。攻擊者通過端口掃描發(fā)現(xiàn)可用的端口 (正處于監(jiān)聽狀態(tài)的端口 )。同時要控制擁有相當(dāng)權(quán)限的用戶的數(shù)量。你的任務(wù)就是保證一旦出現(xiàn)的 Sniffer，它只對最小范圍有效。你必須考慮一條這樣的路徑，即信任關(guān)系有多長。這樣，就建立了一種框架，可以告訴你什么時候放置了一個 sniffer，它放在那里了，是誰放的等等。其余的網(wǎng)段將不可能被 sniffer。比如你的財務(wù)信息，應(yīng)該固定在某一節(jié)點(diǎn)，就象你的財務(wù)部門被安排在辦公區(qū)域的的一個不常變動的地方。 這樣的拓?fù)浣Y(jié)構(gòu)需要有這樣的規(guī)則：一個網(wǎng)絡(luò)段必須有足夠的理由才能信任另一網(wǎng)絡(luò)段。這聽上去很簡單，但實(shí)現(xiàn)起來花銷是很大的。目前，還沒有人突破過這種加密方法。這通常是較強(qiáng)的，適合與任何非秘密和非經(jīng)典的通訊。它是建立在客戶機(jī) /服務(wù)器模型上的。有些數(shù)據(jù)是沒有經(jīng)過處理的，一旦被 sniffer，就能獲得這些信息。但可能入侵者用的是他們自己寫的程序，所以都會給發(fā)現(xiàn) sniffer造成相當(dāng)大的困難。 這個命令列出當(dāng)前的所有進(jìn)程，啟動這些進(jìn)程的用戶，它們占用 CPU的時間，占用內(nèi)存的多少等等。在非高速信道上，如 56Kddn等，如果網(wǎng)絡(luò)中存在 sniffer，你應(yīng)該也可以察覺出網(wǎng)絡(luò)通訊速度的變化。 (完 …) —— Sniffer（嗅探器） 怎樣在網(wǎng)上發(fā)現(xiàn) Sniffer 怎樣在網(wǎng)上發(fā)現(xiàn) Sniffer？簡單的一個回答是你發(fā)現(xiàn)不了，因?yàn)樗麄兏揪蜎]有留下任何痕跡。 2．金融帳號 許多用戶很放心在網(wǎng)上使用自己的信用卡或現(xiàn)金帳號，然而 sniffer可以很輕松截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號碼、截止日期、帳號和 pin. 3．偷窺機(jī)密或敏感的信息數(shù)據(jù) 通過攔截數(shù)據(jù)包，入侵者可以很方便記錄別人之間敏感的信息傳送，或者干脆攔截整個的 會話過程。 而 sniffer就是一種能將本地 nc狀態(tài)設(shè)成（ promiscuous）狀態(tài)的軟件，當(dāng) nc處于這種 混雜 方式時，該 nc具備 廣播地址 ，它對所有遭遇到的每一個幀都產(chǎn)生一個硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該物理媒體上的每一個報文包。 (完 …) —— Sniffer（嗅探器） 網(wǎng)絡(luò)監(jiān)聽 Sniffer的工作原理 通常在同一個網(wǎng)段的所有網(wǎng)絡(luò)接口都有訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù)的能力，而每個網(wǎng)絡(luò)接口