【文章內(nèi)容簡介】 擊后能及時成功地恢復(fù)系統(tǒng)，必須在平時做好備份工作。主要包括對數(shù)據(jù)的備份，以及對系統(tǒng)的備份。備份技術(shù)分為三種：現(xiàn)場內(nèi)備份、現(xiàn)場外備份和冷熱備份。 ? 反擊 反擊是對網(wǎng)絡(luò)攻擊者進行反向的攻擊。也就是運用各種網(wǎng)絡(luò)攻擊手段對網(wǎng)絡(luò)攻擊者進行攻擊，迫使其停止攻擊。 ? 網(wǎng)絡(luò)安全通信協(xié)議 要構(gòu)建一個縱深的網(wǎng)絡(luò)防御體系，各種技術(shù)所構(gòu)成的子系統(tǒng)建的信息交互是不可避免的。網(wǎng)絡(luò)通信協(xié)議是保證各個子系統(tǒng)通信安全的基石。 3. 網(wǎng)絡(luò)協(xié)議 TCP/IP體系結(jié)構(gòu) 應(yīng) 用 層表 示 層會 話 層傳 輸 層網(wǎng) 絡(luò) 層數(shù) 據(jù) 鏈 路 層物 理 層應(yīng) 用 層傳 輸 層網(wǎng) 際 層數(shù) 據(jù) 鏈 路 層I S O / O S I 七 層 模 型T C P / I P 四 層 模 型 IP協(xié)議 版 本I P 包 頭 長度 ( I H L )服 務(wù) 類 型（ T O S ）長 度標(biāo) 識 符 標(biāo) 志 段 偏 移 量生 命 周 期（ T T L ）協(xié) 議 校 驗 和源 地 址目 的 地 址選 項 和 填 充頭 和 數(shù) 據(jù) 負(fù) 載 TCP協(xié)議 源 端 口 目 的 端 口序 列 號確 認(rèn) 號偏 移 量 未 使 用標(biāo) 志 /控 制窗 口校 驗 和 緊 急 指 示 符選 項 和 填 充數(shù) 據(jù) 負(fù) 載 UDP協(xié)議 源 端 口 目 的 端 口長 度 校 驗 和數(shù) 據(jù) 負(fù) 載 ARP協(xié)議和 RARP協(xié)議 IP?MAC MAC?IP ICMP協(xié)議 Inter控制報文協(xié)議（ ICMP）允許主機或路由器報告差錯情況和提供有關(guān)異常情況的報告。 消息類型 描述 目標(biāo)不可達(dá)（ Destination unreachable） 分組不能傳送到目的端 超時（ Time exceeded） 分組中 Time_to_live字段已經(jīng)為 0 參數(shù)有問題（ Parameter problem） 分組中頭部包含無效的字段 源端發(fā)送速度降低（ Source quench） 命令源端降低發(fā)送分組的速度 重新定向（ Redirect） 路由器告訴源主機其分組的路由有誤 問訊請求（ Echo request） 詢問目的主機是否是活性或可達(dá)的 問訊回答（ Echo reply） 被詢問的主機是否活動或可達(dá)的 時間戳請求（ Timestamp request） 與問訊請求一樣，只是附帶上時間戳 時間戳回答（ Timestamp reply） 與問訊回答一樣，只是附帶上時間戳 DNS協(xié)議 ? DNS通過一個名為“解析”的過程將域名轉(zhuǎn)換為 IP地址，或?qū)?IP地址轉(zhuǎn)換為域名。 ? DNS使用查找表格來將二者的值關(guān)聯(lián)起來。 SMTP協(xié)議和 POP3協(xié)議 ? SMTP協(xié)議 ?簡單郵件傳輸協(xié)議 (Simple Mail Transfer Protocol， SMTP )是為網(wǎng)絡(luò)系統(tǒng)間的電子郵件交換而設(shè)計的。 UNIX、 MVS、 VMS、基于Windows 的操作系統(tǒng)以及基于 Novell NetWare的操作系統(tǒng)都可以通過 SMTP來在 TCP/IP上交換電子郵件。 ?通過 SMTP發(fā)送的消息由兩部分組成：地址頭和消息文本。 ? POP3協(xié)議 ? POP 協(xié)議允許工作站動態(tài)訪問郵件服務(wù)器上的郵件，目前已發(fā)展到第三版，稱為 POP3。 POP3 允許工作站檢索郵件服務(wù)器上的郵件。 POP3 傳輸過程發(fā)生在站與站之間，其中傳輸?shù)南⒖梢允侵噶?，也可以是?yīng)答。 ? POP 協(xié)議支持“離線”郵件處理。其具體過程是：郵件發(fā)送到服務(wù)器上，電子郵件客戶端調(diào)用郵件客戶機程序以連接服務(wù)器，并下載電子郵件的電子協(xié)議。這種離線訪問模式基于存儲并轉(zhuǎn)發(fā)服務(wù)，將郵件從郵件服務(wù)器端送到個人終端機器上，一般是 PC機 或 Mac。一旦郵件發(fā)送到 PC 機或 Mac 上，郵件服務(wù)器上的郵件將會被刪除。 ? POP3 并不支持服務(wù)器郵件的擴展操作，此過程由更高級綜合的 IMAP4 （因特網(wǎng)消息訪問協(xié)議）完成。作為傳輸協(xié)議的 POP3 使用 TCP 的 110端口。 ? POP3是發(fā)送在客戶機和服務(wù)器間的 ASCII信息。 POP3命令摘要如表所示。 命令 描述 USER 用戶名 PASS 用戶密碼 STAT 服務(wù)器信息 RETR 獲取的信息序號 DELE 刪除的信息序號 LIST TOP messageID nombredelignes 從頭開始（包含協(xié)議頭）打印 X行信息 QUIT 退出 POP3服務(wù)器 POP3命令摘要 第二章 信息收集 1 概述 ? 概念 信息收集是指通過各種方式獲取所需要的信息。信息收集是信息得以利用的第一步，也是關(guān)鍵的一步。信息收集工作的好壞，直接關(guān)系到入侵與防御的成功與否。 ? 為了保證信息收集的質(zhì)量，應(yīng)堅持以下原則： （ 1）準(zhǔn)確性原則 該原則要求所收集到的信息要真實，可靠。這是最基本的要求。 （ 2）全面性原則 該原則要求所搜集到的信息要廣泛，全面完整。 （ 3）時效性原則 信息的利用價值取決于該信息是否能及時地提供，即它的時效性。信息只有及時、迅速地提供給它的使用者才能有效地發(fā)揮作用。 信息收集 — 非技術(shù)手段 ? 合法途徑 ?從目標(biāo)機構(gòu)的網(wǎng)站獲取 ?新聞報道，出版物 ?新聞組或論壇 ? 社會工程手段 ?假冒他人，獲取第三方的信任 ? 搜索引擎 搜索引擎 ? 搜索引擎是自動從因特網(wǎng)收集信息，經(jīng)過一定整理以后，提供給用戶進行查詢的系統(tǒng)。它包括 信息搜集 、 信息整理 和 用戶查詢 三部分。 Google Hacking ? intext: 將網(wǎng)頁中正文中的字符作為搜索條件，例如：輸入“ intext:安全”，將搜索出正文里包含“安全”關(guān)鍵字的網(wǎng)頁。 ? allintext: 與 intext類似。 ? intitle: 在網(wǎng)頁標(biāo)題中搜索包含關(guān)鍵字的網(wǎng)頁，例如：輸入“ intitle:管理”，即可找出網(wǎng)頁標(biāo)題中包含“管理”的網(wǎng)頁。 ? allintitle: 與 intitle類似。 ? cache: 在 google的緩存里搜索，這里可能會找到很多很有用的東西哦，雖然此刻網(wǎng)頁已經(jīng)刪除，但 google服務(wù)器里還保存有。 ? define: 查找詞語的定義，例如：輸入“ define hacker‖，即可找到“ hacker‖的相關(guān)定義。 ? filetype: 查找指定類型的網(wǎng)頁，這個關(guān)鍵字非常有用，例如：輸入“ filetype:bak‖即可找出文件類型為 bak的文件（該文件很可能由各種編輯器自動備份產(chǎn)生，有可能找到網(wǎng)站的源碼）；又如，通常黑客會嘗試下載網(wǎng)站的數(shù)據(jù)庫文件（*.mdb），即可用“ filetype:mdb‖來搜索，找到數(shù)據(jù)庫文件后直接下載，或許就能得到網(wǎng)站的權(quán)限。 還有一些符號在搜索中也是很有用的： ? + 必須包含有的搜索詞； ? 不能包含的搜索詞； ? ~ 搜索同意詞； ? . 單一通配符； ? * 通配符，可匹配多個字符； ? “” 精確的查詢。 域搜索 ? 概念： 域搜索是在指定的一個網(wǎng)域內(nèi)進行信息搜索。 ? 舉例 1： 首先打開 ，然后輸入“ allinurl:login‖； 我們選中其中的一個“ 打開； 搜索此站“ site:‖的二級域名網(wǎng)站； 看一下有沒有 pdf電子文檔，“ site: filetype:pdf‖ ； 輸入“ info:‖，查到該網(wǎng)站的基本信息。 ? 舉例 2：在 Google的搜索關(guān)鍵字“ intitle:‖WJNT104 Main Page‖，即可找到很多網(wǎng)絡(luò)攝像頭。 如： 域名解析 ? 域名： 為了方便記憶而專門建立的一套地址轉(zhuǎn)換系統(tǒng)。一個域名對應(yīng)一個 IP地址，而多個域名可以同時被解析到一個 IP地址。 ? 域名解析： 域名到 IP地址的轉(zhuǎn)換過程。 ? 域名解析服務(wù)器： DNS—Domain Name System。 動態(tài)域名解析 ? ? . 代表商業(yè)性公司 ? Yahoo代表公司名字 ? 代表 yahoo公司的一臺服務(wù)器 路由跟蹤 ? 概念 路由跟蹤就是從本地開始到達(dá)某一目標(biāo)地址所經(jīng)過的路由設(shè)備，并顯示出這些路由設(shè)備的 IP、連接時間等信息。 ? 作用： ? 如果某段網(wǎng)絡(luò)不通或網(wǎng)速很慢，可以利用路由跟蹤找出某故障地點，方便維護人員的維護工作。 ? 對于“黑客”來說，這是個很有用的功能，他可以大概分析出你所在網(wǎng)絡(luò)的狀況。這對于第一步的周邊網(wǎng)絡(luò)環(huán)境信息收集很有用。 ? tracert ：用 IP生存時間 TTL字段和 ICMP錯誤消息來確定從一個主機到網(wǎng)絡(luò)上其他主機的路由。 ?Ping 、 fping、 ping sweep ?ARP探測 ?Finger ?Whois ?DNS/nslookup ?搜索引擎（ google、百度） ?tel (技術(shù)手段 ) ping ?作用和特點 ?用來判斷目標(biāo)是否活動； ?最常用； ?最簡單的探測手段； ?Ping 程序一般是直接實現(xiàn)在系統(tǒng)內(nèi)核中的，而不是一個用戶進程。 ?原理 主機A 主機BType = 8 Type = 0 ping 類型為 8，表示“回響請求” 類型為 0，表示“回響應(yīng)答” 回顯請求類型8回顯應(yīng)答代碼0類型0 代碼0校驗和校驗和主機在線情況 回顯請求類型8 代碼0 校驗和不在線主機不應(yīng)答情況 1）主機不在線 2）防火墻阻斷 ICMP探測 ping 表示 ； 或者防火墻阻斷。 舉例 1： Reply from : bytes=32 time1ms TTL=32 ? Reply from 表示回應(yīng) ping的 ip地址是 。 ? bytes=32 表示回應(yīng)報文的大小，這里是 32字節(jié)。 ? time1ms表示回應(yīng)所花費的時間，小于 1毫秒。 ? TTL=32， TTL是生存時間，報文經(jīng)過一個路由器就減 1，如果減到 0就會被拋棄。這里是 32。 舉例 2： Pingwar ——群 ping. ARP探測 AR P請求廣播ARP回應(yīng)A R P 請 求 廣 播ARP請求廣播能探測同一局域網(wǎng)內(nèi)的主機，因為防火墻不能阻斷 ARP請求。 finger ?作用和特點 ?UNIX系統(tǒng)中用于查詢用戶情況的程序 ?網(wǎng)絡(luò)服務(wù) ?服務(wù)端口： tcp 79 ?服務(wù)端程序 fingerd,客戶端程序 finger ?不需要認(rèn)證就提供用戶信息 ?命令格式： finger [選項 ] [使用者 ] [用戶 @主機 ] 姓名 電話 最后登錄時間 finger whois ?作用和特點 ?網(wǎng)絡(luò)服務(wù) ?服務(wù)端口： tcp 43 ?服務(wù)端程序 whoisd,客戶端程序 finger ?提供目標(biāo)系統(tǒng)的地址信息 ?參考網(wǎng)站 1 ?參考網(wǎng)站 2 常規(guī)信息收集 網(wǎng)絡(luò)域名 網(wǎng)絡(luò) Ip地址分配 使用單位 地址 DNS ?作用和特點 ?網(wǎng)絡(luò)服務(wù) ?服務(wù)端口： udp 53 ?服務(wù)端程序 bind,客戶端程序 nslookup ?提供目標(biāo)系統(tǒng)域名與地址的轉(zhuǎn)換 Nslookup ? 兩種模式：交互式和非交互式。 ? 非交互式模式： ?Nslookup – DNS服務(wù)器或 IP地址 ?Nslookup ? ? //查看 help Nslookup 通過 nslookup獲得子域名 ? set querytype=any ? 輸入域名后根據(jù)輸出內(nèi)容找到dns服務(wù)器 primary name server = ? server 連接 DNS服務(wù)器 ? ls d 第三章 網(wǎng)絡(luò)掃描 主機發(fā)現(xiàn)技術(shù) 主機發(fā)現(xiàn)技術(shù)主要分三種： ? ping掃描 ? ARP掃描 ? 端口掃描 掃描 ? 確定哪些機器是 up的 ? 2種方式 ?ICMP ? 類似于 ping，發(fā)送 icmp消息給目標(biāo)，看是否有返回 ?TCP ping ? 給目標(biāo)特定的 tcp端口 (如常用的 80)發(fā)送 ack消息，如果返回 rst，說明機器 up。常用的 tracetcp。 2. ARP掃描 ? ARP（ Address Resolution Protocol）即地址解析協(xié)議，它是用于局域網(wǎng)內(nèi)的物理地址。 ARP掃描是指通過向目標(biāo)主機發(fā)送 ARP請求（查詢目標(biāo)主機的物理地址），如果目標(biāo)主機回應(yīng)一個 ARP響應(yīng)報文，則說明它是存活的。下面是 ARP掃描的示意圖： 3. 端口掃描 目的 ?判斷目標(biāo)主機開啟了哪些