【文章內(nèi)容簡(jiǎn)介】 擊后能及時(shí)成功地恢復(fù)系統(tǒng)，必須在平時(shí)做好備份工作。主要包括對(duì)數(shù)據(jù)的備份，以及對(duì)系統(tǒng)的備份。備份技術(shù)分為三種：現(xiàn)場(chǎng)內(nèi)備份、現(xiàn)場(chǎng)外備份和冷熱備份。 ? 反擊 反擊是對(duì)網(wǎng)絡(luò)攻擊者進(jìn)行反向的攻擊。也就是運(yùn)用各種網(wǎng)絡(luò)攻擊手段對(duì)網(wǎng)絡(luò)攻擊者進(jìn)行攻擊，迫使其停止攻擊。 ? 網(wǎng)絡(luò)安全通信協(xié)議 要構(gòu)建一個(gè)縱深的網(wǎng)絡(luò)防御體系，各種技術(shù)所構(gòu)成的子系統(tǒng)建的信息交互是不可避免的。網(wǎng)絡(luò)通信協(xié)議是保證各個(gè)子系統(tǒng)通信安全的基石。 3. 網(wǎng)絡(luò)協(xié)議 TCP/IP體系結(jié)構(gòu) 應(yīng) 用 層表 示 層會(huì) 話 層傳 輸 層網(wǎng) 絡(luò) 層數(shù) 據(jù) 鏈 路 層物 理 層應(yīng) 用 層傳 輸 層網(wǎng) 際 層數(shù) 據(jù) 鏈 路 層I S O / O S I 七 層 模 型T C P / I P 四 層 模 型 IP協(xié)議 版 本I P 包 頭 長(zhǎng)度 ( I H L )服 務(wù) 類 型（ T O S ）長(zhǎng) 度標(biāo) 識(shí) 符 標(biāo) 志 段 偏 移 量生 命 周 期（ T T L ）協(xié) 議 校 驗(yàn) 和源 地 址目 的 地 址選 項(xiàng) 和 填 充頭 和 數(shù) 據(jù) 負(fù) 載 TCP協(xié)議 源 端 口 目 的 端 口序 列 號(hào)確 認(rèn) 號(hào)偏 移 量 未 使 用標(biāo) 志 /控 制窗 口校 驗(yàn) 和 緊 急 指 示 符選 項(xiàng) 和 填 充數(shù) 據(jù) 負(fù) 載 UDP協(xié)議 源 端 口 目 的 端 口長(zhǎng) 度 校 驗(yàn) 和數(shù) 據(jù) 負(fù) 載 ARP協(xié)議和 RARP協(xié)議 IP?MAC MAC?IP ICMP協(xié)議 Inter控制報(bào)文協(xié)議（ ICMP）允許主機(jī)或路由器報(bào)告差錯(cuò)情況和提供有關(guān)異常情況的報(bào)告。 消息類型 描述 目標(biāo)不可達(dá)（ Destination unreachable） 分組不能傳送到目的端 超時(shí)（ Time exceeded） 分組中 Time_to_live字段已經(jīng)為 0 參數(shù)有問(wèn)題（ Parameter problem） 分組中頭部包含無(wú)效的字段 源端發(fā)送速度降低（ Source quench） 命令源端降低發(fā)送分組的速度 重新定向（ Redirect） 路由器告訴源主機(jī)其分組的路由有誤 問(wèn)訊請(qǐng)求（ Echo request） 詢問(wèn)目的主機(jī)是否是活性或可達(dá)的 問(wèn)訊回答（ Echo reply） 被詢問(wèn)的主機(jī)是否活動(dòng)或可達(dá)的 時(shí)間戳請(qǐng)求（ Timestamp request） 與問(wèn)訊請(qǐng)求一樣，只是附帶上時(shí)間戳 時(shí)間戳回答（ Timestamp reply） 與問(wèn)訊回答一樣，只是附帶上時(shí)間戳 DNS協(xié)議 ? DNS通過(guò)一個(gè)名為“解析”的過(guò)程將域名轉(zhuǎn)換為 IP地址，或?qū)?IP地址轉(zhuǎn)換為域名。 ? DNS使用查找表格來(lái)將二者的值關(guān)聯(lián)起來(lái)。 SMTP協(xié)議和 POP3協(xié)議 ? SMTP協(xié)議 ?簡(jiǎn)單郵件傳輸協(xié)議 (Simple Mail Transfer Protocol， SMTP )是為網(wǎng)絡(luò)系統(tǒng)間的電子郵件交換而設(shè)計(jì)的。 UNIX、 MVS、 VMS、基于Windows 的操作系統(tǒng)以及基于 Novell NetWare的操作系統(tǒng)都可以通過(guò) SMTP來(lái)在 TCP/IP上交換電子郵件。 ?通過(guò) SMTP發(fā)送的消息由兩部分組成：地址頭和消息文本。 ? POP3協(xié)議 ? POP 協(xié)議允許工作站動(dòng)態(tài)訪問(wèn)郵件服務(wù)器上的郵件，目前已發(fā)展到第三版，稱為 POP3。 POP3 允許工作站檢索郵件服務(wù)器上的郵件。 POP3 傳輸過(guò)程發(fā)生在站與站之間，其中傳輸?shù)南⒖梢允侵噶?，也可以是?yīng)答。 ? POP 協(xié)議支持“離線”郵件處理。其具體過(guò)程是：郵件發(fā)送到服務(wù)器上，電子郵件客戶端調(diào)用郵件客戶機(jī)程序以連接服務(wù)器，并下載電子郵件的電子協(xié)議。這種離線訪問(wèn)模式基于存儲(chǔ)并轉(zhuǎn)發(fā)服務(wù)，將郵件從郵件服務(wù)器端送到個(gè)人終端機(jī)器上，一般是 PC機(jī) 或 Mac。一旦郵件發(fā)送到 PC 機(jī)或 Mac 上，郵件服務(wù)器上的郵件將會(huì)被刪除。 ? POP3 并不支持服務(wù)器郵件的擴(kuò)展操作，此過(guò)程由更高級(jí)綜合的 IMAP4 （因特網(wǎng)消息訪問(wèn)協(xié)議）完成。作為傳輸協(xié)議的 POP3 使用 TCP 的 110端口。 ? POP3是發(fā)送在客戶機(jī)和服務(wù)器間的 ASCII信息。 POP3命令摘要如表所示。 命令 描述 USER 用戶名 PASS 用戶密碼 STAT 服務(wù)器信息 RETR 獲取的信息序號(hào) DELE 刪除的信息序號(hào) LIST TOP messageID nombredelignes 從頭開始（包含協(xié)議頭）打印 X行信息 QUIT 退出 POP3服務(wù)器 POP3命令摘要 第二章 信息收集 1 概述 ? 概念 信息收集是指通過(guò)各種方式獲取所需要的信息。信息收集是信息得以利用的第一步，也是關(guān)鍵的一步。信息收集工作的好壞，直接關(guān)系到入侵與防御的成功與否。 ? 為了保證信息收集的質(zhì)量，應(yīng)堅(jiān)持以下原則： （ 1）準(zhǔn)確性原則 該原則要求所收集到的信息要真實(shí)，可靠。這是最基本的要求。 （ 2）全面性原則 該原則要求所搜集到的信息要廣泛，全面完整。 （ 3）時(shí)效性原則 信息的利用價(jià)值取決于該信息是否能及時(shí)地提供，即它的時(shí)效性。信息只有及時(shí)、迅速地提供給它的使用者才能有效地發(fā)揮作用。 信息收集 — 非技術(shù)手段 ? 合法途徑 ?從目標(biāo)機(jī)構(gòu)的網(wǎng)站獲取 ?新聞報(bào)道，出版物 ?新聞組或論壇 ? 社會(huì)工程手段 ?假冒他人，獲取第三方的信任 ? 搜索引擎 搜索引擎 ? 搜索引擎是自動(dòng)從因特網(wǎng)收集信息，經(jīng)過(guò)一定整理以后，提供給用戶進(jìn)行查詢的系統(tǒng)。它包括 信息搜集 、 信息整理 和 用戶查詢 三部分。 Google Hacking ? intext: 將網(wǎng)頁(yè)中正文中的字符作為搜索條件，例如：輸入“ intext:安全”，將搜索出正文里包含“安全”關(guān)鍵字的網(wǎng)頁(yè)。 ? allintext: 與 intext類似。 ? intitle: 在網(wǎng)頁(yè)標(biāo)題中搜索包含關(guān)鍵字的網(wǎng)頁(yè)，例如：輸入“ intitle:管理”，即可找出網(wǎng)頁(yè)標(biāo)題中包含“管理”的網(wǎng)頁(yè)。 ? allintitle: 與 intitle類似。 ? cache: 在 google的緩存里搜索，這里可能會(huì)找到很多很有用的東西哦，雖然此刻網(wǎng)頁(yè)已經(jīng)刪除，但 google服務(wù)器里還保存有。 ? define: 查找詞語(yǔ)的定義，例如：輸入“ define hacker‖，即可找到“ hacker‖的相關(guān)定義。 ? filetype: 查找指定類型的網(wǎng)頁(yè)，這個(gè)關(guān)鍵字非常有用，例如：輸入“ filetype:bak‖即可找出文件類型為 bak的文件（該文件很可能由各種編輯器自動(dòng)備份產(chǎn)生，有可能找到網(wǎng)站的源碼）；又如，通常黑客會(huì)嘗試下載網(wǎng)站的數(shù)據(jù)庫(kù)文件（*.mdb），即可用“ filetype:mdb‖來(lái)搜索，找到數(shù)據(jù)庫(kù)文件后直接下載，或許就能得到網(wǎng)站的權(quán)限。 還有一些符號(hào)在搜索中也是很有用的： ? + 必須包含有的搜索詞； ? 不能包含的搜索詞； ? ~ 搜索同意詞； ? . 單一通配符； ? * 通配符，可匹配多個(gè)字符； ? “” 精確的查詢。 域搜索 ? 概念： 域搜索是在指定的一個(gè)網(wǎng)域內(nèi)進(jìn)行信息搜索。 ? 舉例 1： 首先打開 ，然后輸入“ allinurl:login‖； 我們選中其中的一個(gè)“ 打開； 搜索此站“ site:‖的二級(jí)域名網(wǎng)站； 看一下有沒有 pdf電子文檔，“ site: filetype:pdf‖ ； 輸入“ info:‖，查到該網(wǎng)站的基本信息。 ? 舉例 2：在 Google的搜索關(guān)鍵字“ intitle:‖WJNT104 Main Page‖，即可找到很多網(wǎng)絡(luò)攝像頭。 如： 域名解析 ? 域名： 為了方便記憶而專門建立的一套地址轉(zhuǎn)換系統(tǒng)。一個(gè)域名對(duì)應(yīng)一個(gè) IP地址，而多個(gè)域名可以同時(shí)被解析到一個(gè) IP地址。 ? 域名解析： 域名到 IP地址的轉(zhuǎn)換過(guò)程。 ? 域名解析服務(wù)器： DNS—Domain Name System。 動(dòng)態(tài)域名解析 ? ? . 代表商業(yè)性公司 ? Yahoo代表公司名字 ? 代表 yahoo公司的一臺(tái)服務(wù)器 路由跟蹤 ? 概念 路由跟蹤就是從本地開始到達(dá)某一目標(biāo)地址所經(jīng)過(guò)的路由設(shè)備，并顯示出這些路由設(shè)備的 IP、連接時(shí)間等信息。 ? 作用： ? 如果某段網(wǎng)絡(luò)不通或網(wǎng)速很慢，可以利用路由跟蹤找出某故障地點(diǎn)，方便維護(hù)人員的維護(hù)工作。 ? 對(duì)于“黑客”來(lái)說(shuō)，這是個(gè)很有用的功能，他可以大概分析出你所在網(wǎng)絡(luò)的狀況。這對(duì)于第一步的周邊網(wǎng)絡(luò)環(huán)境信息收集很有用。 ? tracert ：用 IP生存時(shí)間 TTL字段和 ICMP錯(cuò)誤消息來(lái)確定從一個(gè)主機(jī)到網(wǎng)絡(luò)上其他主機(jī)的路由。 ?Ping 、 fping、 ping sweep ?ARP探測(cè) ?Finger ?Whois ?DNS/nslookup ?搜索引擎（ google、百度） ?tel (技術(shù)手段 ) ping ?作用和特點(diǎn) ?用來(lái)判斷目標(biāo)是否活動(dòng)； ?最常用； ?最簡(jiǎn)單的探測(cè)手段； ?Ping 程序一般是直接實(shí)現(xiàn)在系統(tǒng)內(nèi)核中的，而不是一個(gè)用戶進(jìn)程。 ?原理 主機(jī)A 主機(jī)BType = 8 Type = 0 ping 類型為 8，表示“回響請(qǐng)求” 類型為 0，表示“回響應(yīng)答” 回顯請(qǐng)求類型8回顯應(yīng)答代碼0類型0 代碼0校驗(yàn)和校驗(yàn)和主機(jī)在線情況 回顯請(qǐng)求類型8 代碼0 校驗(yàn)和不在線主機(jī)不應(yīng)答情況 1）主機(jī)不在線 2）防火墻阻斷 ICMP探測(cè) ping 表示 ； 或者防火墻阻斷。 舉例 1： Reply from : bytes=32 time1ms TTL=32 ? Reply from 表示回應(yīng) ping的 ip地址是 。 ? bytes=32 表示回應(yīng)報(bào)文的大小，這里是 32字節(jié)。 ? time1ms表示回應(yīng)所花費(fèi)的時(shí)間，小于 1毫秒。 ? TTL=32， TTL是生存時(shí)間，報(bào)文經(jīng)過(guò)一個(gè)路由器就減 1，如果減到 0就會(huì)被拋棄。這里是 32。 舉例 2： Pingwar ——群 ping. ARP探測(cè) AR P請(qǐng)求廣播ARP回應(yīng)A R P 請(qǐng) 求 廣 播ARP請(qǐng)求廣播能探測(cè)同一局域網(wǎng)內(nèi)的主機(jī)，因?yàn)榉阑饓Σ荒茏钄?ARP請(qǐng)求。 finger ?作用和特點(diǎn) ?UNIX系統(tǒng)中用于查詢用戶情況的程序 ?網(wǎng)絡(luò)服務(wù) ?服務(wù)端口： tcp 79 ?服務(wù)端程序 fingerd,客戶端程序 finger ?不需要認(rèn)證就提供用戶信息 ?命令格式： finger [選項(xiàng) ] [使用者 ] [用戶 @主機(jī) ] 姓名 電話 最后登錄時(shí)間 finger whois ?作用和特點(diǎn) ?網(wǎng)絡(luò)服務(wù) ?服務(wù)端口： tcp 43 ?服務(wù)端程序 whoisd,客戶端程序 finger ?提供目標(biāo)系統(tǒng)的地址信息 ?參考網(wǎng)站 1 ?參考網(wǎng)站 2 常規(guī)信息收集 網(wǎng)絡(luò)域名 網(wǎng)絡(luò) Ip地址分配 使用單位 地址 DNS ?作用和特點(diǎn) ?網(wǎng)絡(luò)服務(wù) ?服務(wù)端口： udp 53 ?服務(wù)端程序 bind,客戶端程序 nslookup ?提供目標(biāo)系統(tǒng)域名與地址的轉(zhuǎn)換 Nslookup ? 兩種模式：交互式和非交互式。 ? 非交互式模式： ?Nslookup – DNS服務(wù)器或 IP地址 ?Nslookup ? ? //查看 help Nslookup 通過(guò) nslookup獲得子域名 ? set querytype=any ? 輸入域名后根據(jù)輸出內(nèi)容找到dns服務(wù)器 primary name server = ? server 連接 DNS服務(wù)器 ? ls d 第三章 網(wǎng)絡(luò)掃描 主機(jī)發(fā)現(xiàn)技術(shù) 主機(jī)發(fā)現(xiàn)技術(shù)主要分三種： ? ping掃描 ? ARP掃描 ? 端口掃描 掃描 ? 確定哪些機(jī)器是 up的 ? 2種方式 ?ICMP ? 類似于 ping，發(fā)送 icmp消息給目標(biāo)，看是否有返回 ?TCP ping ? 給目標(biāo)特定的 tcp端口 (如常用的 80)發(fā)送 ack消息，如果返回 rst，說(shuō)明機(jī)器 up。常用的 tracetcp。 2. ARP掃描 ? ARP（ Address Resolution Protocol）即地址解析協(xié)議，它是用于局域網(wǎng)內(nèi)的物理地址。 ARP掃描是指通過(guò)向目標(biāo)主機(jī)發(fā)送 ARP請(qǐng)求（查詢目標(biāo)主機(jī)的物理地址），如果目標(biāo)主機(jī)回應(yīng)一個(gè) ARP響應(yīng)報(bào)文，則說(shuō)明它是存活的。下面是 ARP掃描的示意圖： 3. 端口掃描 目的 ?判斷目標(biāo)主機(jī)開啟了哪些