【正文】 。 一個RST返回 ， 表示端口沒有處于偵聽?wèi)B(tài) 。 如果收到一個SYN|ACK， 則掃描程序必須再發(fā)送一個 RST信號 ， 來關(guān)閉這個連接過程 。 這種掃描技術(shù)的優(yōu)點在于一般不會在目標(biāo)計算機(jī)上留下記錄 。 但這種方法的一個缺點是 ， 必須要有 root權(quán)限才能建立自己的 SYN數(shù)據(jù)包 。 62 常用的端口掃描技術(shù) 四、掃描器 TCP FIN 掃描 （ 發(fā)送者無數(shù)據(jù) ） 有的時候有可能 SYN掃描都不夠秘密 。 一些防火墻和包過濾器會對一些指定的端口進(jìn)行監(jiān)視 ， 有的程序能檢測到這些掃描 。 相反 ， FIN數(shù)據(jù)包可能會沒有任何麻煩的通過 。 這種掃描方法的思想是關(guān)閉的端口會用適當(dāng)?shù)?RST來回復(fù) FIN數(shù)據(jù)包 。 另一方面 ，打開的端口會忽略對 FIN數(shù)據(jù)包的回復(fù) 。 這種方法和系統(tǒng)的實現(xiàn)有一定的關(guān)系 。 有的系統(tǒng)不管端口是否打開 ， 都回復(fù) RST， 這樣 ， 這種掃描方法就不適用了 。 并且這種方法在區(qū)分 Unix和 NT時 ， 是十分有用的 。 63 常用的端口掃描技術(shù) 四、掃描器 UDP ICMP端口不能到達(dá)掃描 這種方法與以上方法的區(qū)別是使用 UDP協(xié)議 。 由于這個協(xié)議很簡單 ， 所以掃描變得相對比較困難 。 這是由于打開的端口對掃描探測并不發(fā)送一個確認(rèn) ， 關(guān)閉的端口也并不需要發(fā)送一個錯誤數(shù)據(jù)包 。 幸運(yùn)的是 ， 許多主機(jī)在你向一個未打開的 UDP端口發(fā)送一個數(shù)據(jù)包時 ， 會返回一個 ICMP_PORT_UNREACH錯誤 。 這樣你就能發(fā)現(xiàn)哪個端口是關(guān)閉的 。 UDP和 ICMP錯誤都不保證能到達(dá) ， 因此這種掃描器必須還實現(xiàn)在一個包看上去是丟失的時候能重新傳輸 。 這種掃描方法是很慢的 ， 因為 RFC對 ICMP錯誤消息的產(chǎn)生速率做了規(guī)定 。同樣 ， 這種掃描方法需要具有 root權(quán)限 。 64 常用的端口掃描技術(shù) 四、掃描器 UDP recvfrom()和 write() 掃描 當(dāng)非 root用戶不能直接讀到端口不能到達(dá)的錯誤時 ，Linux能間接地在它們到達(dá)時通知用戶 。 比如 ， 對一個關(guān)閉的端口的第二個 write()調(diào)用將失敗 。 在非阻塞的 UDP套接字上調(diào)用 recvfrom()時 ， 如果 ICMP出錯還沒有到達(dá)時回返回 EAGAIN重試 。 如果 ICMP到達(dá)時 ， 返回 ECONNREFUSED連接被拒絕 。 這就是用來查看端口是否打開的技術(shù) 。 65 常用的端口掃描技術(shù) 四、掃描器 ICMP echo掃描 這并不是真正意義上的掃描 。 但有時通過 ping， 在判斷在一個網(wǎng)絡(luò)上主機(jī)是否開機(jī)時非常有用 。 端口掃描： NMAP 、 PORTSCAN等 漏洞掃描： ISS、 NESSUS、 SATAN、 XScan CIS(Cerberus Inter Scanner),運(yùn)行在 Windows 之下 ，主要用來對 Windows NT和 2021的安全性作出評估 ， 指出其存在的安全性弱點 ， 并提供一定程度上的改進(jìn)建議 。當(dāng)前版本是 。 66 掃描器 四、掃描器 CIS的掃描范圍包括： WWW服務(wù) 、 FTP服務(wù) 、 MS SQL Sever、 NetBIOS、 注冊表設(shè)置 、 NT服務(wù) 、 SMTP服務(wù) 、 POP3服務(wù)、 RPC服務(wù)、 端口映射、 Finger服務(wù)、 DNS服務(wù)、 瀏覽器安全 67 掃描器 四、掃描器 CIS包括了 NT服務(wù)器的絕大部分容易引起安全問題的服務(wù)和設(shè)置 。 它最大的特色是 NETBIOS掃描 。 它可以快速地得到目標(biāo)計算機(jī)的 NETBIOS信息 、 共享資源 ， 包括用戶名和組的信息 ， 并能揭示薄弱的口令 。 操作過程：選擇工具欄上的第一個按鈕 ， 在彈出的對話框中寫入主機(jī)地址 ， 點擊第二個按鈕開始掃描 。 因為缺省的掃描模塊就是 all(全部 )， 所以在這里可以不必設(shè)定掃描模塊 。 等到所有項的掃描都完成 （ Completed） 之后 ， 點擊 M按鈕查看生成的報告 。 68 掃描器 四、掃描器 端口掃描器 IP Prober IP Prober是一款端口掃描工具而非漏洞掃描工具 。 它掃描目標(biāo)主機(jī)的各個端口以找出該主機(jī)運(yùn)行有哪些服務(wù) 。 在 HOST中填入目標(biāo)主機(jī)地址 ， Start和 End欄中填入端口的掃范圍 ， 選擇 Run就可以進(jìn)行掃描了 。 69 緩沖溢出的概念 ? Buffer Overflow 最常用的攻擊手段 RedHat Linux、 Solaris、 Windows NT都存在隱患 可分為：本地溢出攻擊 遠(yuǎn)程溢出攻擊 ? 定義：向堆棧中分配的局部數(shù)據(jù)塊中寫入超出其實際分配大小的數(shù)據(jù)，導(dǎo)致數(shù)據(jù)越界，結(jié)果覆蓋了其它的堆棧數(shù)據(jù)。 ? 緩沖溢出的后果： 1）覆蓋相鄰存儲單元，導(dǎo)致系統(tǒng)崩潰 2）轉(zhuǎn)向執(zhí)行攻擊者設(shè)定的指令，甚至獲得 Root特權(quán) 五、緩沖溢出攻擊 70 ? 造成溢出的原因： 程序中沒有仔細(xì)檢查用戶輸入的參數(shù)。例： include int main(){ char name[8]。 printf(―Your Name:‖)。 gets(name)。 printf(―Hello,%s!‖,name)。 return 0。 } //當(dāng)輸入字符超過 8個時，溢出 71 C語言中許多字符串處理函數(shù)如： Strcpy、 Strcat、Gets、 Sprintf等都沒有對數(shù)組越界加以監(jiān)視和限制，所以利用字符數(shù)組寫越界，覆蓋堆棧中原先元素的值，就可以修改返回地址。 通常，往緩沖區(qū)隨便填充所造成的溢出，將使返回地址為一個非法的、不存在的地址，從而出現(xiàn) core dump錯誤，不能達(dá)到攻擊目的； 最常用的緩沖溢出攻擊方法是：攻擊者編寫一個簡短的 Shell程序 ShellCode。 為了在發(fā)生緩沖溢出時執(zhí)行 Shell， 必須在執(zhí)行程序的地址空間里加入 ShellCode，并把程序返回地址修改為ShellCode的入口地址。 72 緩沖溢出攻擊的原理 73 在 UNIX系統(tǒng)中，黑客要啟動一個 Shell， 以獲得和堆棧被溢出的程序相同的權(quán)限． 如果文件 ABC的擁有者為 root， 而它的文件屬性為：r w x r – x r – x ， 則 root可讀 、 寫 、 執(zhí)行文件ABC， 其它用戶只能以自己的權(quán)限讀和執(zhí)行它； 但如果該文件屬性為： r w s r – x r – x ， 則 任何一個運(yùn)行了 ABC程序的用戶都將獲得文件的擁有者 root的權(quán)限．（此時文件 ABC叫做 Setuid的，即能以擁有者權(quán)限運(yùn)行）． 一般，黑客要溢出的程序都是 Setuid的，這樣當(dāng)溢出后就能繞過口令升級為 root權(quán)限． 74 ? 緩沖溢出的目的：干擾具有特權(quán)運(yùn)行的程序，以控制整個系統(tǒng)． ? 緩沖溢出攻擊方法： １）在程序的地址空間里安排攻擊代碼的方法 植入法：用被攻擊程序的緩沖區(qū)來存放攻擊代碼 傳遞參數(shù)法： ２）控制程序轉(zhuǎn)移到攻擊代碼的方法 激活記錄：函數(shù)調(diào)用時會在堆棧中留下一個激活記錄，它包含返回地址．攻擊者通過溢出這些自動變量，使返回地址指向攻擊代碼．這叫做 “ stack smash attack‖ 75 緩沖溢出的預(yù)防 １）編寫不產(chǎn)生緩沖溢出的程序 進(jìn)行數(shù)組越界檢查；用安全的函數(shù)代替 Strcpy等； 注意數(shù)據(jù)類型轉(zhuǎn)換的安全問題． Java受緩沖溢出攻擊：由于 Java平臺 JVM來自 C程序 ２）非執(zhí)行的緩沖區(qū)：使被攻擊程序數(shù)據(jù)段地址空間不可執(zhí)行，從而使攻擊者不能執(zhí)行植入被攻擊程序緩沖區(qū)的代碼 ３）程序指針完整性檢查：采用堆棧保護(hù)的編譯技術(shù)．程序指針被引用之前要檢查未被修改才可使用． ４）安裝程序補(bǔ)?。河米钚碌某绦蚋掠腥毕莸某绦颍? 76 安全管理 ? 信息系統(tǒng)的安全管理 ? 俗話說 , 三分技術(shù) ,七分管理 , 用再好的技術(shù) ,去限制別人使用電腦的功能 , 實際上是扼殺了人的能動性 , 對提高員工的計算機(jī)應(yīng)用水平?jīng)]有益處。 比如醫(yī)院或企業(yè) , 該院大多數(shù)的通知、發(fā)文、數(shù)據(jù)查詢 (如工資查詢、圖書查詢、醫(yī)學(xué)期刊檢索瀏覽等 ) 都在醫(yī)院內(nèi)網(wǎng)上完成 ,員工間數(shù)據(jù)交流通過內(nèi)部郵箱完成 , 因此我們逐步開放了工作站的功能 , 但決沒有放松對網(wǎng)絡(luò)安全的管理。 77 數(shù)據(jù)安全典型案例 78 謝 謝！