【正文】 4．怎樣在網(wǎng)絡(luò)上發(fā)現(xiàn) Sniffer及如何防止被 Sniffer? 5．簡(jiǎn)述端口掃描的概念。例如， nmap設(shè)置TTL 為 255，源端口號(hào)為 49724，而 Linux內(nèi)核設(shè)置 TTL為 64. 習(xí)題四 1．試述網(wǎng)絡(luò)監(jiān)聽的定義和工作原理。例如 :如果我們終端接收到的包有 IP TTL 255標(biāo)記，實(shí)際上我們就知道他們發(fā)送的包來自于我們本地網(wǎng)絡(luò)而不去管他們是什么信息，例如我們只能說攻擊者在 5跳之內(nèi)，我們不能準(zhǔn)確說出他距我們有多遠(yuǎn)。 記住 :攻擊者常常也使用 IP地址欺騙，所以偵察器會(huì)告訴我們我們被端口掃描了，但不一定告訴我們來自哪兒。一個(gè)被探測(cè)的端口的明顯的特征是 在短時(shí)間內(nèi)幾個(gè)包來自同一地址而有不同的目的地 ，另一個(gè)信號(hào)是 一個(gè)沒有監(jiān)聽的端口有 SYN(連接請(qǐng)求 ) 。 端口掃描技術(shù) 端口掃描偵察工具 在 Unix下，寫一個(gè)非隱藏掃描偵察器很簡(jiǎn)單，你可以打開 SOCK_RAW，使協(xié)議為IPPROTO_IP協(xié)議，然后調(diào)用 recvfrom()，捕獲數(shù)據(jù)包并分析它們。有時(shí)你需要的是速度，而有時(shí)你需要的又是隱藏，在許多情況下，繞過防火墻是必要的。s More Than One Way To Do It條條大道通羅馬 )。按照 Foydor的話說 : nmap對(duì)大型網(wǎng)絡(luò)端口掃描很有用，盡管它在一臺(tái)主機(jī)上也工作的很出色。 SAINT和 nessus將在安全審計(jì)一章討論。 端口掃描工具 這里列出三種安全審計(jì)工具 : SAINT， nmap，和 nessus. 在這三種之中， nmap是明顯的和主要的端口掃描工具 。對(duì)數(shù)據(jù)的重新組合被發(fā)送到系統(tǒng)而引起系統(tǒng)的回應(yīng)。 ICMP掃描也可并行執(zhí)行，所以速度很快。 (完 …) 端口掃描技術(shù) ICMP掃描 ICMP掃描并不是真正的端口掃描，因?yàn)?ICMP并沒有一個(gè)確切的端口。用 recvfrom()訪問未封裝的 UDP套接字，一般都返回“重試”消息。例如：第二次對(duì)一個(gè)關(guān)閉的 UDP端口調(diào)用 write()總是會(huì)失敗。所以端口 111被防火墻封鎖并不影響。例如：Linux內(nèi)核限制那些不可到達(dá)目的地的消息的速度是每 4秒鐘 80次，當(dāng)產(chǎn)生錯(cuò)誤的速率超過以上標(biāo)準(zhǔn)時(shí)就會(huì)以1/4秒的延遲來作為加罰。 ICMP和UDP包都不是可靠的通信，所以這種 UDP掃描器當(dāng)出現(xiàn)丟包時(shí) (或者你得到了一堆錯(cuò)誤的位置 )必須執(zhí)行包重法。 UDP 掃描 端口掃描通常指對(duì) TCP端口的掃描，它是定向連接的，因此給攻擊者提供了很好的反饋信息。 （待續(xù) … ） 端口掃描技術(shù) 反彈掃描 IRC BNC：攻擊者喜歡通過用其它機(jī)器繞接他們的連接來隱藏自己的 IRC標(biāo)識(shí)。但有許多這種服務(wù)都配置錯(cuò)誤以至于允許 Inter上的任何請(qǐng)求，允許攻擊者通過第三方轉(zhuǎn)發(fā)攻擊。因此，攻擊者對(duì) SOCKS的探測(cè)掃描在網(wǎng)上是常見的。因此，對(duì) smtp試探的方法在網(wǎng)上就經(jīng)常被使用。這種技術(shù)可以用來隱藏查詢的原始來源。 查找器：大部分的查找服務(wù)器允許命令轉(zhuǎn)寄通過查找器支持遞歸查詢。否則將得到 425消息：不能建立數(shù)據(jù)連接：連接被拒絕 ，然后我們?cè)傧蚰繕?biāo)主機(jī)的下一個(gè)端口發(fā)送其它的 PORT命令。然后我們?cè)囍谐霎?dāng)前地址目錄，結(jié)果被發(fā)送到 serverDTP。如果 FTP服務(wù)允許讀出或?qū)懭霐?shù)據(jù)進(jìn)一個(gè)目錄(如 :/ining)，你可以發(fā)送任意數(shù)據(jù)到這個(gè)被發(fā)現(xiàn)可以打開的端口。 一種端口掃描技術(shù)就是使用這種方法從 ftp代理服務(wù)器來掃描 tcp端口。這種反彈通過 FTP服務(wù)隱藏了攻擊者來自哪里，該技術(shù)與 IP隱藏了攻擊者地址的欺騙類似。 FTP反彈掃描利用了 FTP協(xié)議本身的弱點(diǎn)。 端口掃描技術(shù) 反彈掃描 對(duì)于攻擊者來說隱藏他們行蹤是能力是很重要的。一個(gè)錯(cuò)誤的定位可能導(dǎo)致如果一個(gè)應(yīng)用程序暫時(shí)無效的話。他們將通過發(fā)送一個(gè)消息給那些不知道如何解決這個(gè)問題的人而把他們剔出去。更重要的是，這可能允許攻擊者通過你的系統(tǒng)訪問其它的 Inter上的機(jī)器，使得攻擊者隱藏他自己的真實(shí)地址。 SOCKS錯(cuò)誤配置將允許任意的源地址和目標(biāo)地址通行。 許多產(chǎn)品都支持 SOCKS，一個(gè)典型的用戶產(chǎn)品就是 WinGate， WinGate是一個(gè)安裝在個(gè)別的機(jī)器上軟件用來和 Inter連接。 (完 …) 端口掃描技術(shù) 端口掃描技術(shù) SOCKS 端口探測(cè)技術(shù) SOCKS是一種允許多臺(tái)計(jì)算機(jī)共享公用 Inter連接的系統(tǒng)?；蛩袠?biāo)記都沒有被設(shè)置的空掃描。但是，有的包可能會(huì)在線路上發(fā)生意外丟失或被防火墻過濾，因此這并不是一個(gè)高效的掃描技術(shù)。如果有服務(wù)處于監(jiān)聽狀態(tài)，操作系統(tǒng)將丟棄這個(gè)發(fā)送過來的包。這在 TCP中是要求這樣的。關(guān)閉端口時(shí)將恢復(fù)一個(gè) RST的 FIN包。另一個(gè)技術(shù)是發(fā)送錯(cuò)誤的包到一個(gè)端口，并期望處于監(jiān)聽狀態(tài)的端口發(fā)回一個(gè)不同的錯(cuò)誤消息而不是關(guān)閉端口的消息。 TCP層并不會(huì)通知服務(wù)進(jìn)程，因?yàn)檫B接并沒有完成。 SYN掃描：這種技術(shù)又叫做半開連接掃描，因?yàn)?TCP連接并沒有完成。這樣可繞過包過濾和防火墻，因?yàn)樗床坏揭粋€(gè)完整的 TCP頭所以不能對(duì)應(yīng)相應(yīng)的過濾規(guī)則。另外一種秘密掃描技術(shù)是 反向映射 ，當(dāng)你試圖在網(wǎng)絡(luò)上搜索所有的主機(jī)時(shí)，然后通過產(chǎn)生 主機(jī)不可到達(dá) 的 ICMP信息來確定哪些 IP不存在。 端口掃描器通過釋放數(shù)據(jù)包到不同的端口來掃描一個(gè)主機(jī)。秘密掃描工具是一種不會(huì)被審核工具發(fā)現(xiàn)到的掃描方法。他們會(huì)觀察連進(jìn)的程序，然后他們就登記一個(gè)錯(cuò)誤。所以，例如：可以通過連接80號(hào)端口然后用 Ident來判斷 HTTP服務(wù)是否在 root下運(yùn)行。閘門這個(gè)名字來源于一個(gè)原始的 TCP掃描程序，而現(xiàn)在已成為所有掃描工具的共同特征。如果該端口處于監(jiān)聽狀態(tài)，連接將會(huì)成功，否則不能連接是無法通過的。 端口掃描技術(shù) 最簡(jiǎn)單的端口掃描 (例如：發(fā)送一些經(jīng)過仔細(xì)挑選建立的包到選定的目標(biāo)端口 )是試圖打開被掃描者的 0到 65535號(hào)端口看些是打開的。 2．非常用端口 通過一個(gè)非標(biāo)準(zhǔn)端口，就是我們常常簡(jiǎn)單化地認(rèn)為的 1023以上的端口。以下是從該文中提取的幾行。 端口號(hào) 1．常用端口 所有的操作系統(tǒng)都遵循傳統(tǒng)的通行僅當(dāng)超級(jí)用戶打開從 0到 1023號(hào)端口。通過分析響應(yīng)來判斷服務(wù)端口是打開還是關(guān)閉，就可以得知端口提供的服務(wù)或信息。根據(jù)端口的回應(yīng)來確認(rèn)該端口是否可用和更進(jìn)一步偵察它的漏洞。攻擊者通過端口掃描發(fā)現(xiàn)可用的端口 (正處于監(jiān)聽狀態(tài)的端口 )。 (完 …) 端口掃描技術(shù) 端口掃描的概念 端口掃描是一種攻擊者用來發(fā)現(xiàn)他們可以進(jìn)入服務(wù)器的很常用的偵察技術(shù)。同時(shí)要控制擁有相當(dāng)權(quán)限的用戶的數(shù)量。因此，防止系統(tǒng)被突破是關(guān)鍵。你的任務(wù)就是保證一旦出現(xiàn)的 Sniffer，它只對(duì)最小范圍有效。那么有多少計(jì)算機(jī)是 A信任的呢。你必須考慮一條這樣的路徑，即信任關(guān)系有多長(zhǎng)。入侵者已經(jīng)能從一個(gè)防火墻后面掃描，并探測(cè)正在運(yùn)行的服務(wù)。這樣，就建立了一種框架，可以告訴你什么時(shí)候放置了一個(gè) sniffer，它放在那里了，是誰放的等等。計(jì)算機(jī)為了和其他計(jì)算機(jī)進(jìn)行通信，它就必須信任那臺(tái)計(jì)算機(jī)。其余的網(wǎng)段將不可能被 sniffer。 Hub再接到交換機(jī)上。比如你的財(cái)務(wù)信息，應(yīng)該固定在某一節(jié)點(diǎn)，就象你的財(cái)務(wù)部門被安排在辦公區(qū)域的的一個(gè)不常變動(dòng)的地方。 讓我們開始處理這個(gè)網(wǎng)絡(luò)拓?fù)?，來看看? (待續(xù) …) —— Sniffer（嗅探器） 怎樣防止被 sniffer 一個(gè)網(wǎng)絡(luò)段是僅由能互相信任的計(jì)算機(jī)組成的。 這樣的拓?fù)浣Y(jié)構(gòu)需要有這樣的規(guī)則：一個(gè)網(wǎng)絡(luò)段必須有足夠的理由才能信任另一網(wǎng)絡(luò)段。游戲的目的是要安排好數(shù)字，用最少的步驟，把它們按遞減順序排好。這聽上去很簡(jiǎn)單，但實(shí)現(xiàn)起來花銷是很大的。當(dāng)然最關(guān)鍵的是怎樣使用它。目前，還沒有人突破過這種加密方法。它為通過 TCP/IP網(wǎng)絡(luò)通信提供了通用的最強(qiáng)的加密。這通常是較強(qiáng)的，適合與任何非秘密和非經(jīng)典的通訊。連接是通過使用一種來自RSA的算法建立的。它是建立在客戶機(jī) /服務(wù)器模型上的。 我們介紹以下 SSH，它又叫 Secure Shell。有些數(shù)據(jù)是沒有經(jīng)過處理的，一旦被 sniffer，就能獲得這些信息。從而發(fā)現(xiàn)是否有一個(gè) Sniffer正在運(yùn)行。但可能入侵者用的是他們自己寫的程序，所以都會(huì)給發(fā)現(xiàn) sniffer造成相當(dāng)大的困難。不過，編程技巧高的 Sniffer即使正在運(yùn)行，也不會(huì)出現(xiàn)在這里的。 這個(gè)命令列出當(dāng)前的所有進(jìn)程，啟動(dòng)這些進(jìn)程的用戶，它們占用 CPU的時(shí)間，占用內(nèi)存的多少等等。但這通常并不可靠，但你可以控制哪個(gè)程序可以在你的計(jì)算機(jī)上運(yùn)行。在非高速信道上，如 56Kddn等，如果網(wǎng)絡(luò)中存在 sniffer，你應(yīng)該也可以察覺出網(wǎng)絡(luò)通訊速度的變化。如果網(wǎng)絡(luò)中有人在 Listen，那么信息包傳送將無法每次都順暢的流到目的地。 (完 …) —— Sniffer（嗅探器） 怎樣在網(wǎng)上發(fā)現(xiàn) Sniffer 怎樣在網(wǎng)上