計算機(jī)網(wǎng)絡(luò)1整理ppt網(wǎng)絡(luò)攻防技術(shù)

or

網(wǎng)絡(luò)偵查與審計技術(shù)

2整理ppt網(wǎng)絡(luò)偵查審計的三個階段偵查滲透控制定位出網(wǎng)絡(luò)資源的具體情況

檢查各種系統(tǒng)的漏洞

控制網(wǎng)絡(luò)資源、創(chuàng)建賬號、修改日志、行使管理員的權(quán)限

3整理ppt第一節(jié)：偵查階段4整理ppt第一節(jié)：偵查階段本節(jié)要點(diǎn)：描述偵查過程識別特殊的偵查方法安裝和配置基于網(wǎng)絡(luò)和基于主機(jī)的偵查軟件實施網(wǎng)絡(luò)級和主機(jī)級的平安掃描配置和實施企業(yè)級的網(wǎng)絡(luò)漏洞掃描器5整理ppt平安掃描的概念理解平安掃描就是對計算機(jī)系統(tǒng)或者其它網(wǎng)絡(luò)設(shè)備進(jìn)行平安相關(guān)的檢測，以找出平安隱患和可被黑客利用的漏洞。平安掃描軟件是把雙刃劍，黑客利用它入侵系統(tǒng)，而系統(tǒng)管理員掌握它以后又可以有效的防范黑客入侵。平安掃描是保證系統(tǒng)和網(wǎng)絡(luò)平安必不可少的手段，必須仔細(xì)研究利用。6整理ppt平安掃描的檢測技術(shù)基于應(yīng)用的檢測技術(shù)，它采用被動的，非破壞性的方法檢查應(yīng)用軟件包的設(shè)置，發(fā)現(xiàn)平安漏洞。基于主機(jī)的檢測技術(shù)，它采用被動的，非破壞性的方法對系統(tǒng)進(jìn)行檢測?；谀繕?biāo)的漏洞檢測技術(shù)，它采用被動的，非破壞性的方法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫，注冊號等?；诰W(wǎng)絡(luò)的檢測技術(shù)，它采用積極的，非破壞性的方法來檢驗系統(tǒng)是否有可能被攻擊崩潰。7整理ppt平安掃描系統(tǒng)具有的功能說明協(xié)調(diào)了其它的平安設(shè)備使枯燥的系統(tǒng)平安信息易于理解，告訴了你系統(tǒng)發(fā)生的事情跟蹤用戶進(jìn)入，在系統(tǒng)中的行為和離開的信息可以報告和識別文件的改動糾正系統(tǒng)的錯誤設(shè)置8整理ppt平安掃描whoisnslookuphostTraceroutePing掃描工具平安掃描常用命令9整理pptTraceroute命令用于路由跟蹤，判斷從你的主機(jī)到目標(biāo)主機(jī)經(jīng)過哪些路由器、跳計數(shù)、響應(yīng)時間等等可以推測出網(wǎng)絡(luò)物理布局判斷出響應(yīng)較慢的節(jié)點(diǎn)和數(shù)據(jù)包在路由過程中的跳數(shù)Traceroute或者使用極少被其它程序使用的高端UDP端口，或者使用PING數(shù)據(jù)包10整理pptTraceroute路由跟蹤原理TTL=1數(shù)據(jù)???TTL-1>0小于等于0ICMPtimeexceeded發(fā)IP包的源地址IP包的所有內(nèi)容路由器的IP地址AB11整理pptTraceroute路由跟蹤原理TTL=1數(shù)據(jù)小于等于0ICMPtimeexceeded發(fā)IP包的源地址IP包的所有內(nèi)容路由器的IP地址AB我知道路由器A存在于這個路徑上路由器A的IP地址12整理pptTraceroute路由跟蹤原理BA我知道路由器A存在于這個路徑上路由器A的IP地址TTL=2數(shù)據(jù)???TTL-1>02-1=1>0TTL=1數(shù)據(jù)小于等于0ICMPtimeexceeded發(fā)IP包的源地址IP包的所有內(nèi)容路由器的IP地址???TTL-1>0我知道路由器B存在于這個路徑上路由器B的IP地址13整理pptTraceroute路由跟蹤原理BA我知道路由器A存在于這個路徑上路由器A的IP地址TTL=3數(shù)據(jù)???TTL-1>03-1=2>0TTL=2數(shù)據(jù)我知道路由器B存在于這個路徑上路由器B的IP地址???TTL-1>02-1=1>0TTL=1數(shù)據(jù)portnumber是一個一般應(yīng)用程序都不會用的號碼（30000以上），所以當(dāng)此數(shù)據(jù)包到達(dá)目的地后該主機(jī)會送回一個「ICMPportunreachable」的消息，而當(dāng)源主機(jī)收到這個消息時，便知道目的地已經(jīng)到達(dá)了。ICMPportunreachable我到達(dá)了目的地14整理ppt普通Traceroute到防火墻后的主機(jī)假定防火墻的規(guī)那么阻止除PING和PING響應(yīng)〔ICMP類型8和0〕uniwis>traceroutetracerouteto(05),30hopsmax,40bytepackets1 () 0.540ms 0.394ms 0.397ms2 () 2.455ms 2.479ms 2.512ms3 4(4) 4.812ms 4.780ms 4.747ms4 () 5.010ms 4.903ms 4.980ms5 15(15)5.520ms 5.809ms 6.061ms6 6(15) 9.584ms21.754ms 20.530ms7 () 94.127ms 81.764ms 96.476ms8 6(6) 96.012ms98.224ms 99.312ms

15整理ppt使用ICMP數(shù)據(jù)包后Traceroute結(jié)果xuyi>traceroute-Itest.webmastertraceroutetotest.webmaster(05),30hopsmax,40bytepackets1 () 0.540ms 0.394ms 0.397ms2 () 2.455ms 2.479ms 2.512ms3 4(4) 4.812ms 4.780ms 4.747ms4 () 5.010ms 4.903ms 4.980ms5 15(15)5.520ms 5.809ms 6.061ms6 6(15) 9.584ms21.754ms 20.530ms7 () 94.127ms81.764ms 96.476ms8 6(6) 96.012ms98.224ms 99.312ms16整理ppt使用ICMP的Traceroute原理由于防火墻一般不進(jìn)行內(nèi)容檢查，我們可以將探測數(shù)據(jù)包到達(dá)防火墻時端口為其接受的端口，就可以繞過防火墻到達(dá)目標(biāo)主機(jī)。起始端口號計算公式起始端口號=(目標(biāo)端口-兩機(jī)間的跳數(shù)*探測數(shù)據(jù)包數(shù))-1例：防火墻允許FTP數(shù)據(jù)包通過，即開放了21號端口,兩機(jī)間跳數(shù)為2起始端口號＝〔ftp端口－兩機(jī)間的跳數(shù)*默認(rèn)的每輪跳數(shù))－1＝〔21－2*3〕-1＝15－1＝1417整理ppt掃描類型按照獲得結(jié)果分類存活性掃描端口掃描系統(tǒng)堆棧掃描按照攻擊者角色分類主動掃描被動掃描18整理ppt一、存活性掃描發(fā)送掃描數(shù)據(jù)包，等待對方的回應(yīng)數(shù)據(jù)包其最終結(jié)果并不一定準(zhǔn)確，依賴于網(wǎng)絡(luò)邊界設(shè)備的過濾策略最常用的探測包是ICMP數(shù)據(jù)包例如發(fā)送方發(fā)送ICMPEchoRequest，期待對方返回ICMPEchoReply19整理pptPing掃描作用及工具子網(wǎng)68024結(jié)果02468Ping掃描Ping掃描程序能自動掃描你所指定的IP地址范圍

20整理ppt二、端口掃描端口掃描不僅可以返回IP地址，還可以發(fā)現(xiàn)目標(biāo)系統(tǒng)上活動的UDP和TCP端口

Netscantools掃描結(jié)果

21整理ppt端口掃描技術(shù)一覽探測分段，指向某一端口回應(yīng)分段對回應(yīng)分段進(jìn)行分析對SYN分段的回應(yīng)對FIN分段的回應(yīng)對ACK分段的回應(yīng)對Xmas分段的回應(yīng)對Null分段的回應(yīng)對RST分段的回應(yīng)對UDP數(shù)據(jù)報的回應(yīng)22整理ppt端口掃描原理

一個端口就是一個潛在的通信通道，即入侵通道對目標(biāo)計算機(jī)進(jìn)行端口掃描，得到有用的信息掃描的方法：手工進(jìn)行掃描端口掃描軟件23整理pptOSI參考模型ApplicationPresentationSessionTransportNetworkDataLinkPhysicalDataLinkNetworkTransportSessionPresentationApplicationPhysical比特流幀（Frame）包（Packet）分段（Segment）會話流代碼流數(shù)據(jù)24整理pptTCP/IP協(xié)議簇傳輸層數(shù)據(jù)連路層網(wǎng)絡(luò)層物理層應(yīng)用層會話層表示層應(yīng)用層傳輸層網(wǎng)絡(luò)層物理層HTTP、FTP、SMTP、SNMP、POP、TELNET、RIP、NNTP等TCP和UDPIP、ICMP、IGMP、ARP、RARP等25整理pptIP協(xié)議包頭VERHDR.LTHSERVICEDATADRAMLENGTHDATAGRAMIDENTIFICATIONFLAGSFRAGMENTOFFSETTTLPROTOCOLHEADERCHECKSUMSOURCEADDRESSDESTINATIONADDRESSOPTIONS015163126整理pptICMP協(xié)議包頭Type(類型)Code〔代碼〕Checksum〔校驗和〕ICMPContent07815163127整理pptTCP協(xié)議包頭Sourceport(16)Destinationport(16)Sequencenumber(32)Header

length(4)Acknowledgementnumber(32)Reserved(6)Codebits(6)Window(16)Checksum(16)Urgent(16)Options(0or32ifany)Data(varies)Bit0Bit15Bit16Bit3120bytes28整理pptUDP協(xié)議包頭SourcePortLength0151631DataDestinationPortChecksum29整理pptTCP三次握制SYNreceived主機(jī)A：客戶端主機(jī)B：效勞端發(fā)送TCPSYN分段(seq=100ctl=SYN)1發(fā)送TCPSYN&ACK分段(seq=300ack=101ctl=syn,ack)SYNreceived2Established(seq=101ack=301ctl=ack)330整理pptTCP連接的終止主機(jī)A：客戶端主機(jī)B：效勞端1發(fā)送TCPFIN分段2發(fā)送TCPACK分段3發(fā)送TCPFIN分段4發(fā)送TCPACK分段關(guān)閉A到B的連接關(guān)閉B到A的連接31整理pptTCP/IP相關(guān)問題一個TCP頭包含6個標(biāo)志位。它們的意義如下所述：SYN：標(biāo)志位用來建立連接，讓連接雙方同步序列號。如果SYN＝1而ACK=0，那么表示該數(shù)據(jù)包為連接請求，如果SYN=1而ACK=1那么表示接受連接；FIN：表示發(fā)送端已經(jīng)沒有數(shù)據(jù)要求傳輸了，希望釋放連接；RST：用來復(fù)位一個連接。RST標(biāo)志置位的數(shù)據(jù)包稱為復(fù)位包。一般情況下，如果TCP收到的一個分段明顯不是屬于該主機(jī)上的任何一個連接，那么向遠(yuǎn)端發(fā)送一個復(fù)位包；URG：為緊急數(shù)據(jù)標(biāo)志。如果它為1，表示本數(shù)據(jù)包中包含緊急數(shù)據(jù)。此時緊急數(shù)據(jù)指針有效；ACK：為確認(rèn)標(biāo)志位。如果為1，表示包中確實認(rèn)號時有效的。否那么，包中確實認(rèn)號無效；PSH：如果置位，接收端應(yīng)盡快把數(shù)據(jù)傳送給應(yīng)用層。32整理ppt大局部TCP/IP遵循的原那么(1)SYN數(shù)據(jù)包

監(jiān)聽的端口SYN|ACK正常的三次握手開始33整理ppt大局部TCP/IP遵循的原那么(2)SYN或者FIN數(shù)據(jù)包

關(guān)閉的端口RST數(shù)據(jù)包

丟

棄

數(shù)

據(jù)

包34整理ppt大局部TCP/IP遵循的原那么(3)RST數(shù)據(jù)包

監(jiān)聽的端口丟

棄

R

S

T

數(shù)

據(jù)

包35整理ppt大局部TCP/IP遵循的原那么(4)包含ACK的數(shù)據(jù)包

監(jiān)聽的端口RST數(shù)據(jù)包

丟

棄

數(shù)

據(jù)

包36整理ppt大局部TCP/IP遵循的原那么(5)SYN位關(guān)閉的數(shù)據(jù)包

監(jiān)聽的端口丟

棄

數(shù)

據(jù)

包37整理ppt大局部TCP/IP遵循的原那么(6)FIN數(shù)據(jù)包

監(jiān)聽的端口丟

棄

數(shù)

據(jù)

包38整理ppt

端口掃描方式全TCP連接TCPSYN掃描TCPFIN掃描其它TCP掃描方式UDP掃描UDPrecvfrom〔〕和write〔〕掃描秘密掃描技術(shù)間接掃描39整理ppt全TCP連接長期以來TCP端口掃描的根底掃描主機(jī)嘗試〔使用三次握手〕與目的機(jī)指定端口建立建立正規(guī)的連接連接由系統(tǒng)調(diào)用connect()開始對于每一個監(jiān)聽端口，connect()會獲得成功，否那么返回－1，表示端口不可訪問很容易被檢測出來Courtney,Gabriel和TCP

Wrapper監(jiān)測程序通常用來進(jìn)行監(jiān)測。另外，TCP

Wrapper可以對連接請求進(jìn)行控制，所以它可以用來阻止來自不明主機(jī)的全連接掃描。40整理pptTCP

SYN掃描TCPSYN分段，指向某端口？該端口開放么？開放TCPSYN&ACK分段不開放TCPRST分段收到什么分段？？TCPRSTTCPSYN&ACK41整理pptTCP

FIN

掃描TCPFIN分段，指向某端口？該端口開放么？開放不開放TCPRST分段收到什么分段？？TCPRST沒有收到分段42整理ppt其他TCP掃描方式NULL掃描發(fā)送一個沒有任何標(biāo)志位的TCP包，根據(jù)RFC793，如果目標(biāo)主機(jī)的相應(yīng)端口是關(guān)閉的話，應(yīng)該發(fā)送回一個RST數(shù)據(jù)包向目標(biāo)主機(jī)發(fā)送一個FIN、URG和PUSH分組，根據(jù)RFC793，如果目標(biāo)主機(jī)的相應(yīng)端口是關(guān)閉的，那么應(yīng)該返回一個RST標(biāo)志當(dāng)一個包含ACK的數(shù)據(jù)包到達(dá)目標(biāo)主機(jī)的監(jiān)聽端口時，數(shù)據(jù)包被丟棄，同時發(fā)送一個RST數(shù)據(jù)包ACK掃描FIN+URG+PUSH〔Xmas掃描〕43整理pptUDP掃描使用的是UDP協(xié)議，掃描變得相比照較困難翻開的端口對掃描探測并不發(fā)送一個確認(rèn)，關(guān)閉的端口也并不需要發(fā)送一個錯誤數(shù)據(jù)包。然而，許多主機(jī)在向未翻開的UDP端口發(fā)送數(shù)據(jù)包時，會返回一個ICMP_PORT_UNREACHABLE錯誤，即類型為3、代碼為13的ICMP消息UDP和ICMP錯誤都不保證能到達(dá)，因此這種掃描器必須還實現(xiàn)在一個包看上去是喪失的時候能重新傳輸這種掃描方法是很慢的，因為RFC對ICMP錯誤消息的產(chǎn)生速率做了規(guī)定這種掃描方法需要具有root權(quán)限44整理pptUDP

recvfrom()和write()

掃描

當(dāng)非root用戶不能直接讀到端口不能到達(dá)錯誤時，某些系統(tǒng)如Linux能間接地在它們到達(dá)時通知用戶。

在非阻塞的UDP套接字上調(diào)用recvfrom()時，如果ICMP出錯還沒有到達(dá)時回返回AGAIN重試。如果ICMP到達(dá)時，返回CONNECTREFUSED連接被拒絕。這就是用來查看端口是否翻開的技術(shù)。

對一個關(guān)閉的端口的第二個write()調(diào)用將失敗。45整理ppt秘密掃描技術(shù)不含標(biāo)準(zhǔn)TCP三次握手協(xié)議的任何局部，比SYN掃描隱蔽得多FIN數(shù)據(jù)包能夠通過只監(jiān)測SYN包的包過濾器秘密掃描技術(shù)使用FIN數(shù)據(jù)包來探聽端口Xmas和Null掃描－－秘密掃描的兩個變種Xmas掃描翻開FIN，URG和PUSH標(biāo)記而Null掃描關(guān)閉所有標(biāo)記。這些組合的目的是為了通過所謂的FIN標(biāo)記監(jiān)測器的過濾秘密掃描通常適用于UNIX目標(biāo)主機(jī)跟SYN掃描類似，秘密掃描也需要自己構(gòu)造IP

包46整理ppt間接掃描利用第三方的IP〔欺騙主機(jī)〕來隱藏真正掃描者的IP假定參與掃描過程的主機(jī)為掃描機(jī)，隱藏機(jī)，目標(biāo)機(jī)。掃描機(jī)和目標(biāo)機(jī)的角色非常明顯。隱藏機(jī)是一個非常特殊的角色，在掃描機(jī)掃描目的機(jī)的時候，它不能發(fā)送任何數(shù)據(jù)包〔除了與掃描有關(guān)的包〕47整理ppt端口掃描軟件端口掃描器是黑客最常使用的工具

單獨(dú)使用的端口掃描工具集成的掃描工具48整理ppt三、系統(tǒng)堆棧指紋掃描利用TCP/IP來識別不同的操作系統(tǒng)和效勞向系統(tǒng)發(fā)送各種特殊的包，根據(jù)系統(tǒng)對包回應(yīng)的差異，推斷出操作系統(tǒng)的種類堆棧指紋程序利用的局部特征ICMP錯誤信息抑制效勞類型值(TOS)TCP/IP選項對SYNFLOOD的抵抗力TCP初始窗口49整理ppt堆棧指紋的應(yīng)用利用FIN探測利用TCPISN采樣使用TCP的初始化窗口ICMP消息抑制機(jī)制ICMP錯誤引用機(jī)制ToS字段的設(shè)置DF位的設(shè)置ICMP錯誤信息回顯完整性TCP選項ACK值50整理ppt利用FIN標(biāo)記探測FIN的包（或者是任何沒有ACK或SYN標(biāo)記的包）開放端口是否是MS-WINDOWS，BSDI，CISCO，HP/UX，MVS和IRIX系統(tǒng)RESET是否51整理ppt利用BOGUS標(biāo)記探測SYN包（含有沒有定義的TCP標(biāo)記的TCP頭）開放端口是否是LINUX系統(tǒng)包含這個沒有定義的標(biāo)記的數(shù)據(jù)包是否關(guān)閉連接52整理ppt使用TCP的初始化窗口

簡單地檢查返回包里包含的窗口長度。根據(jù)各個操作系統(tǒng)的不同的初始化窗口大小來唯一確定操作系統(tǒng)類型：注：TCP使用滑動窗口為兩臺主機(jī)間傳送緩沖數(shù)據(jù)。每臺TCP/IP主機(jī)支持兩個滑動窗口，一個用于接收數(shù)據(jù)，另一個用于發(fā)送數(shù)據(jù)。窗口尺寸表示計算機(jī)可以緩沖的數(shù)據(jù)量大小。53整理pptNMAP工具功能強(qiáng)大、不斷升級并且免費(fèi)對網(wǎng)絡(luò)的偵查十分有效它具有非常靈活的TCP/IP堆棧指紋引擎它可以穿透網(wǎng)絡(luò)邊緣的平安設(shè)備注：NMAP穿透防火墻的一種方法是利用碎片掃描技術(shù)〔fragmentscans〕，你可以發(fā)送隱秘的FIN包〔-sF〕，Xmastree包〔-sX〕或NULL包〔-sN〕。這些選項允許你將TCP查詢分割成片斷從而繞過防火墻規(guī)那么。這種策略對很多流行的防火墻產(chǎn)品都很有效。54整理ppt四、其它掃描共享掃描軟件使用Telnet

使用SNMP認(rèn)證掃描代理掃描社會工程55整理ppt共享掃描軟件提供了允許審計人員掃描Windows網(wǎng)絡(luò)共享的功能

只能偵查出共享名稱，但不會入侵共享

PingProRedButton

56整理ppt共享掃描軟件子網(wǎng)60結(jié)果0：home，data6：files，apps共享掃描共享目錄Filesapps共享目錄homedata57整理ppt使用Telnet是遠(yuǎn)程登錄系統(tǒng)進(jìn)行管理的程序

可以利用Telnet客戶端程序連接到其它端口，從返回的報錯中獲得需要的系統(tǒng)信息58整理ppt使用SNMPSNMPv1最普通但也最不平安它使用弱的校驗機(jī)制用明文發(fā)送communitynameSNMP信息暴露59整理ppt企業(yè)級的掃描工具掃描等級配置文件和策略報告功能報告風(fēng)險等級AxcentBetReconFinger效勞漏洞；GameOver〔遠(yuǎn)程管理訪問攻擊〕未授權(quán)注銷禁止效勞漏洞，包括SMTP、DNS、FTP、HTTP、SOCKS代理和低的sendmail補(bǔ)丁等級60整理ppt企業(yè)級的掃描工具NetworkAssociatesCyberCopScanner是NetworkAssociates的產(chǎn)品，象NetRecon一樣，CyberCopScanner是一個主機(jī)級別的審計程序。也把各種漏洞分類為低、中、高三個等級提示：CyberCopMonitor不是網(wǎng)絡(luò)掃描器，它是入侵監(jiān)測系統(tǒng)程序，

能夠?qū)诳突顒舆M(jìn)行監(jiān)視，提供報警功能，還能懲罰黑客。61整理ppt企業(yè)級的掃描工具WebTrendsSecurityAnalyzer與UNIX搭配使用多年操作界面也簡單易用InternetSecuritySystems的掃描產(chǎn)品ISSInternetScanner有三個模塊：intranet，firewall和Web效勞器程序的策略是希望將網(wǎng)絡(luò)活動分類，并針對每種活動提供一種掃描方案ISSSecurityScanner基于主機(jī)的掃描程序62整理ppt社會工程訪問欺騙信任欺騙教育63整理ppt訪問一位新的職員尋求幫助，試圖找到在計算機(jī)上完成某個特定任務(wù)的方法一位憤怒的經(jīng)理打給下級，因為他的口令突然失效一位系統(tǒng)管理員打給一名職員，需要修補(bǔ)它的賬號，而這需要使用它的口令一位新雇傭的遠(yuǎn)程管理員打給公司，詢問平安系統(tǒng)的配置資料一位客戶打給供給商，詢問公司的新方案，開展方向和公司主要負(fù)責(zé)人64整理ppt信任欺騙當(dāng)社交工程失敗的時候，攻擊者可能展開長達(dá)數(shù)月的信任欺騙典型情況通過熟人介紹，來一次四人晚餐可以隱藏自己的身份，通過網(wǎng)絡(luò)聊天或者是電子郵件與之結(jié)識偽裝成工程技術(shù)人員騙取別人回復(fù)信件，泄漏有價值的信息一般說來，有魅力的異性通常是最可怕的信任欺騙者，不過不管對于男性還是女性，女性總是更容易令人信任65整理ppt防范措施——教育網(wǎng)絡(luò)平安中人是薄弱的一環(huán)作為平安管理人員，防止員工成為偵查工具的最好方法是對他們進(jìn)行教育。提高本網(wǎng)絡(luò)現(xiàn)有用戶、特別是網(wǎng)絡(luò)管理員的平安意識對提高網(wǎng)絡(luò)平安性能具有非同尋常的意義。66整理ppt掃描目標(biāo)——網(wǎng)絡(luò)級別的信息信息描述網(wǎng)絡(luò)拓?fù)浒踩珜徲嬋藛T首先應(yīng)當(dāng)搞清楚網(wǎng)絡(luò)的類型（以太網(wǎng)，令牌環(huán)等等），IP地址范圍，子網(wǎng)和其它網(wǎng)絡(luò)信息。配線架的位置也很重要。作為安全管理人員，你的目標(biāo)是利用防火墻、代理服務(wù)器等設(shè)備保護(hù)這些信息。路由器和交換機(jī)掌握路由器和交換機(jī)的種類對分析網(wǎng)絡(luò)安全十分重要，你可以是路由器泄漏信息。防火墻種類大多數(shù)的網(wǎng)絡(luò)都有防火墻。如果你能夠訪問防火墻，便可以偵查它并尋找相應(yīng)的漏洞。IP服務(wù)最基本的服務(wù)包括DHCP，BOOTP，WINS，SAMBA，和DNS。DNS服務(wù)特別容易遭受緩沖區(qū)溢出的攻擊。Modem池也許最流行的繞過防火墻是做法是通過modem連接再附以Man-in-the-middle攻擊和包捕獲。Wardialer是在Internet上尋找網(wǎng)絡(luò)連接的重要的審計工具。67整理ppt掃描目標(biāo)——主機(jī)級別的信息信息描述活動端口你應(yīng)該了解服務(wù)器上有那些端口是活動的。HTTP和FTP服務(wù)是最容易遭受端口掃描的服務(wù)，而且黑客會進(jìn)一步實施緩沖區(qū)溢出攻擊。數(shù)據(jù)庫數(shù)據(jù)庫類型（例如Oracle,MicrosoftSQLServer和IBMDB2），物理位置和應(yīng)用協(xié)議都很有價值。服務(wù)器服務(wù)器類型是非常有價值的信息。一旦你確定了服務(wù)器的種類是Microsoft或UNIX，便可以有針對性的利用系統(tǒng)的缺省設(shè)置和補(bǔ)丁偵查登錄賬戶名稱，弱口令和低的補(bǔ)丁等級。68整理ppt平安掃描技術(shù)的開展趨勢使用插件〔plugin〕或者叫功能模塊技術(shù)使用專用腳本語言由平安掃描程序到平安評估專家系統(tǒng)69整理ppt對網(wǎng)絡(luò)進(jìn)行平安評估DMZ

E-Mail

FileTransferHTTPIntranet生產(chǎn)部工程部市場部人事部路由Internet中繼安全弱點(diǎn)掃描通訊&應(yīng)用效勞層70整理ppt可適應(yīng)性平安弱點(diǎn)監(jiān)測和響應(yīng)DMZ

E-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼安全弱點(diǎn)掃描操作系統(tǒng)層71整理ppt對于DMZ區(qū)域的檢測DMZ

E-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼應(yīng)用程序?qū)影踩觞c(diǎn)掃描72整理ppt第二節(jié)：滲透階段73整理ppt重點(diǎn)內(nèi)容：效勞器滲透與攻擊技術(shù)本節(jié)要點(diǎn)：討論滲透策略和手法列舉潛在的物理、操作系統(tǒng)和TCP/IP堆棧攻擊識別和分析暴力攻擊、社會工程和拒絕效勞攻擊實施反滲透和攻擊的方法74整理ppt入侵和攻擊的范疇

在Internet上

在局域網(wǎng)上

本地

離線75在Internet上協(xié)作攻擊：Internet允許全世界范圍的連接，這很容易使來自全世界的人們在一個攻擊中進(jìn)行合作參與。會話劫持：在合法的用戶得到鑒別可以訪問后，攻擊者接管一個現(xiàn)存動態(tài)會話的過程。欺騙：欺騙是一種模仿或采取不是自己身份的行為。轉(zhuǎn)播：是攻擊者通過第三方的機(jī)器轉(zhuǎn)播或反射他的通信，這樣攻擊就好象來自第三方的機(jī)器而不是他。特洛伊木馬或病毒：特洛伊木馬的常見用途是安裝后門。76整理ppt在局域網(wǎng)上嗅探流量：觀察網(wǎng)絡(luò)上所有流量的被動攻擊。播送：攻擊者發(fā)送一個信息包到播送地址，以到達(dá)產(chǎn)生大量流量的目的。文件訪問：通過找到用戶標(biāo)識和口令，可以對文件進(jìn)行訪問。遠(yuǎn)程控制：通過安裝木馬實現(xiàn)對機(jī)器的遠(yuǎn)程控制。應(yīng)用搶劫：接收應(yīng)用并且到達(dá)非授權(quán)訪問。77整理ppt在本地旁側(cè)偷看未上鎖的終端被寫下的口令拔掉機(jī)器本地登錄78整理ppt離線下載口令文件下載加密的文本復(fù)制大量的數(shù)據(jù)79整理ppt常見的攻擊方法1.欺騙攻擊(Spoofing)

3.拒絕效勞(DenialofService)攻擊2.中間人攻擊(Man-in-the-MiddleAttacks)

4.緩沖區(qū)溢出〔BufferOverflow〕攻擊5.后門和漏洞攻擊6.暴力破解攻擊80整理ppt容易遭受攻擊的目標(biāo)路由器數(shù)據(jù)庫郵件效勞名稱效勞Web和FTP效勞器和與協(xié)議相關(guān)的效勞81整理ppt一、欺騙技術(shù)82整理ppt83整理ppt84整理ppt85整理ppt86整理ppt87整理ppt88整理ppt89整理ppt90整理ppt91整理ppt92整理ppt電子郵件欺騙93整理ppt修改郵件客戶軟件的帳戶配置94整理ppt95整理ppt96整理ppt97整理ppt98整理ppt99整理ppt100整理ppt101整理ppt102整理ppt二、中間人攻擊(Man-in-the-MiddleAttacks)通過使用網(wǎng)絡(luò)報文竊聽以及路由和傳輸協(xié)議進(jìn)行這種攻擊。主要目的是竊取信息、截獲正在傳輸中的會話以便訪問專用網(wǎng)絡(luò)資源、進(jìn)行流量分析以獲取關(guān)于一個網(wǎng)絡(luò)及其用途的信息、拒絕效勞、破壞傳輸數(shù)據(jù)以及在網(wǎng)絡(luò)會話中插入新的信息。Man-in-the-MiddleAttacks原理103整理ppt中間人攻擊的類型報文竊聽(PacketSniffers)數(shù)據(jù)包篡改(Packetalteration)重放攻擊〔Replayattack〕會話劫持(Sessionhijacking)104整理ppt

報文竊聽(PacketSniffers)報文竊聽是一種軟件應(yīng)用，該應(yīng)用利用一種處于無區(qū)別模式的網(wǎng)絡(luò)適配卡捕獲通過某個沖突域的所有網(wǎng)絡(luò)分組?？梢暂p易通過解碼工具〔sniffers/netxray等〕獲得敏感信息〔用戶密碼等〕。105整理ppt報文竊聽(PacketSniffers)實例分析

106整理pptPacketSniffers竊聽防范用交換機(jī)來替代HUB，可以減少危害。防竊聽工具：使用專門檢測網(wǎng)絡(luò)上竊聽使用情況的軟件與硬件。加密：采用IPSecurity(IPSec)、SecureShell(SSH)、SecureSocketsLayer(SSL)等技術(shù)。

驗證(Authentication)：采用一次性密碼技術(shù)(one-time-passwordsOTPs)107整理ppt數(shù)據(jù)包篡改(Packetalteration)對捕獲的數(shù)據(jù)包內(nèi)容進(jìn)行篡改，以到達(dá)攻擊者的目的

更改數(shù)據(jù)包的校驗和及頭部信息，為進(jìn)一步攻擊做準(zhǔn)備108整理ppt重放攻擊〔Replayattack〕

攻擊者截獲了一次遠(yuǎn)程主機(jī)登錄過程后，選擇適當(dāng)?shù)臅r機(jī)對該登錄過程進(jìn)行重放，以進(jìn)入遠(yuǎn)程主機(jī)。109整理ppt會話劫持(sessionhijacking)110整理ppt111整理ppt112整理ppt113整理ppt關(guān)于TCP協(xié)議的序列號114整理ppt115整理ppt阻斷正常會話116整理ppt117整理ppt118整理ppt119整理ppt120整理ppt三、DOS攻擊DoS〔DenyOfService〕就是攻擊者通過使你的網(wǎng)絡(luò)設(shè)備崩潰或把它壓跨〔網(wǎng)絡(luò)資源耗盡〕來阻止合法用戶獲得網(wǎng)絡(luò)效勞，DOS是最容易實施的攻擊行為。

DoS攻擊主要是利用了TCP/IP協(xié)議中存在的設(shè)計缺陷和操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)協(xié)議棧存在的實現(xiàn)缺陷。121整理pptDoS的技術(shù)分類122整理ppt典型DOS攻擊123整理pptPingofDeath124整理pptPingofDeath范例125整理ppt淚滴(teardrop)攻擊一IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時，數(shù)據(jù)包可以分成更小的片段。攻擊者可以通過發(fā)送兩段〔或者更多〕數(shù)據(jù)包來實現(xiàn)TearDrop攻擊。第一個包的偏移量為0，長度為N，第二個包的偏移量小于N。為了合并這些數(shù)據(jù)段，TCP/IP堆棧會分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機(jī)器的重新啟動。Teardrop攻擊原理：126整理ppt淚滴(teardrop)攻擊二受影響的系統(tǒng)：Linux/WindowsNT/95攻擊特征：攻擊過程簡單，發(fā)送一些IP分片異常的數(shù)據(jù)包。防范措施：效勞器升級最新的效勞包設(shè)置防火墻時對分片進(jìn)行重組，而不是轉(zhuǎn)發(fā)它們。127整理pptUDP洪水(UDPflood)128整理pptFraggle攻擊發(fā)送畸形UDP碎片，使得被攻擊者在重組過程中發(fā)生未加預(yù)料的錯誤典型的Fraggle攻擊碎片偏移位的錯亂強(qiáng)制發(fā)送超大數(shù)據(jù)包純粹的資源消耗129整理ppt阻止IP碎片攻擊Windows系統(tǒng)請打上最新的ServicePack，目前的Linux內(nèi)核已經(jīng)不受影響。如果可能，在網(wǎng)絡(luò)邊界上禁止碎片包通過，或者用iptables限制每秒通過碎片包的數(shù)目。如果防火墻有重組碎片的功能，請確保自身的算法沒有問題，否那么DoS就會影響整個網(wǎng)絡(luò)Windows2000系統(tǒng)中，自定義IP平安策略，設(shè)置“碎片檢查〞130整理pptTCPSYNflood131整理ppt剖析SYNFlood攻擊TCPSYN分段偽造SourceIPxTCPSYN/ACK分段IPx不斷發(fā)送大量偽造的TCPSYN分段最多可翻開的半開連接數(shù)量超時等待時間等待期內(nèi)的重試次數(shù)X半開連接緩沖區(qū)溢出132整理pptTCPSYNFlood攻擊過程例如133整理ppt對SYNFlood攻擊的防御對SYNFlood攻擊的幾種簡單解決方法縮短SYNTimeout時間SYNFlood攻擊的效果取決于效勞器上保持的SYN半連接數(shù)，這個值等于SYN攻擊的頻度xSYNTimeout，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄改連接的時間設(shè)置SYNCookie給每一個請求連接的IP地址分配一個Cookie，如果短時間內(nèi)連續(xù)受到某個IP的重復(fù)SYN報文，就認(rèn)定是受到了攻擊，以后從這個IP地址來的包會被一概丟棄134整理ppt增強(qiáng)Windows2000對SYNFlood的防御翻開regedit，找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters

增加一個SynAttackProtect的鍵值，類型為REG_DWORD，取值范圍是0-2，這個值決定了系統(tǒng)受到SYN攻擊時采取的保護(hù)措施，包括減少系統(tǒng)SYN+ACK的重試的次數(shù)等，默認(rèn)值是0〔沒有任何保護(hù)措施〕，推薦設(shè)置是2。135整理ppt增強(qiáng)Windows2000對SYNFlood的防御增加一個TcpMaxHalfOpen的鍵值，類型為REG_DWORD，取值范圍是100-0xFFFF，這個值是系統(tǒng)允許同時翻開的半連接，默認(rèn)情況下WIN2KPRO和SERVER是100，ADVANCEDSERVER是500，這個值取決于效勞器TCP負(fù)荷的狀況和可能受到的攻擊強(qiáng)度。增加一個TcpMaxHalfOpenRetried的鍵值，類型為REG_DWORD，取值范圍是80-0xFFFF，默認(rèn)情況下WIN2KPRO和SERVER是80，ADVANCEDSERVER是400，這個值決定了在什么情況下系統(tǒng)會翻開SYN攻擊保護(hù)。136整理pptSmurf攻擊137整理pptSmurf攻擊示意圖138整理pptSmurf攻擊139整理pptSmurf攻擊的防止措施140整理pptLand攻擊141整理ppt電子郵件炸彈142整理ppt分布式拒絕效勞(DistributedDenialofService)

DDoS攻擊原理黑客侵入并控制了很多臺電腦，并使它們一起向主機(jī)發(fā)動DoS攻擊，主機(jī)很快陷于癱瘓，這就是分布式拒絕效勞攻擊——DDoS〔DistributedDenialOfService〕。143整理ppt分布式拒絕效勞攻擊網(wǎng)絡(luò)結(jié)構(gòu)圖144整理ppt三層模型145整理pptDDoS攻擊過程146整理pptDDoS攻擊使用的常用工具TFN(TribeFloodNetwork)TrinooStacheldrahtTFN2K147整理pptTFN(TribeFloodNetwork)TFN是由著名黑客Mixter編寫的，是第一個公開的UnixDDoS工具。由主控端程序和客戶端程序兩局部組成。它主要采取的攻擊方法為：SYN風(fēng)暴、Ping風(fēng)暴、UDP炸彈和SMURF，具有偽造數(shù)據(jù)包的能力。148整理pptTFN2KTFN2K是由TFN開展而來的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，中間還可能混雜了許多虛假數(shù)據(jù)包，而TFN對ICMP的通訊沒有加密。攻擊方法增加了Mix和Targa3。并且TFN2K可配置的代理端進(jìn)程端口。149整理pptStacheldrahtStacheldraht也是從TFN派生出來的，因此它具有TFN的特性。此外它增加了主控端與代理端的加密通訊能力，它對命令源作假，可以防范一些路由器的RFC2267過濾。

Stacheldrah中有一個內(nèi)嵌的代理升級模塊，可以自動下載并安裝最新的代理程序。150整理pptTrinoo151整理pptDDoS攻擊的防御策略152整理ppt四、緩沖區(qū)溢出BufferOverflow攻擊153整理ppt緩沖區(qū)溢出的攻擊方式154整理ppt緩沖區(qū)溢出攻擊的根本思想根本思想：通過修改某些內(nèi)存區(qū)域，把一段惡意代碼存儲到一個buffer中，并且使這個buffer被溢出，以便當(dāng)前進(jìn)程被非法利用(執(zhí)行這段惡意的代碼)危害性在UNIX平臺上，通過開掘BufferOverflow,可以獲得一個交互式的shell在Windows平臺上，可以上載并執(zhí)行任何的代碼溢出漏洞開掘起來需要較高的技巧和知識背景，但是，一旦有人編寫出溢出代碼，那么用起來非常簡單155整理ppt為什么會緩沖區(qū)溢出？156整理ppt典型的bufferoverflows漏洞157整理ppt怎樣防范緩沖區(qū)溢出158整理ppt五、后門和漏洞攻擊后門(backdoor)：通常指軟件開發(fā)人員為了便于測試或調(diào)試而在操作系統(tǒng)和程序中成心放置的未公布接口，與bug不同，后門使開發(fā)人員成心留下的。Eg.萬能密碼、超級用戶接口等漏洞(Bug):操作系統(tǒng)或軟件存在的問題和錯誤。IPC$漏洞輸入法漏洞IIS.idaISAPI擴(kuò)展遠(yuǎn)程溢出漏洞159整理ppt六、暴力破解攻擊1.字典程序攻擊2.暴力攻擊

160整理ppt暴力破解暴力或字典破解是獲得root訪問權(quán)限的最有效、最直接的方式方法。三種破解工具L0phtcrack工具Johntheripper工具Crack工具161整理pptL0phtcrack界面賬號LanMan哈希值字典破解進(jìn)程暴力破解進(jìn)程162整理ppt驗證算法暴力破解所要對付的對象就是各種各樣的口令加密與驗證算法冷靜地分析各種常見的驗證算法，找出其中的缺乏Windows2000系統(tǒng)默認(rèn)的驗證算法Unix/Linux系統(tǒng)默認(rèn)的驗證算法163整理pptLanMan驗證和NTLM驗證

WindowsNT/2000支持多種驗證機(jī)制，每一種驗證機(jī)制之間的平安級別不同，下表列出了WindowsNT/2000所支持的各種驗證機(jī)制。微軟系統(tǒng)所采用的驗證加密算法。身份驗證類型受支持的客戶機(jī)備注LANMan全部WFW和Win9x必須使用這種方法，但這種方法容易受到竊聽NTLMNT4、2000比LANMan更加安全NTLMv2NT4+SP4、2000比NTLM更安全，建議用于異機(jī)種NT4/2000環(huán)境Kerberos只適用于2000比NTLM更復(fù)雜，但在安全方面具有更長的跟蹤記錄164額外的審計工具L0phtCrackpwdump2pwdump2密碼散列提取工具在很長時間內(nèi)由管理員和黑客同時使用，以從SAM中轉(zhuǎn)儲LANMan和NTLM密碼散列。在Windows2000域控制器上工作，域控制器不再將散列存儲在SAM中，而是存儲在AD中l(wèi)sadump2使用DLL注射繞過本地平安授權(quán)(LSA)以名為LSASecrets形式存儲的平安信息上的正常的訪問控制165整理ppt構(gòu)造一個Crack工具根本步驟生成字典文件取出條目應(yīng)用規(guī)則打開口令文件比較不匹配標(biāo)示為已破解匹配常見的規(guī)那么包括：1.計算hash值〔MD5、SHA等〕2.應(yīng)用crypt〔〕函數(shù)166整理ppt

一旦攻擊者成功地滲透進(jìn)系統(tǒng)，會立即試圖控制它。第三節(jié)：控制階段167整理ppt一、攻擊者的控制目標(biāo)獲得root的權(quán)限獲得信息作為跳板攻擊其它系統(tǒng)168整理ppt1.獲得root的權(quán)限

攻擊者最終目的是獲得root的權(quán)限攻擊者會采用許多不同的策略來獲得這一權(quán)限非法效勞和trapdoor允許攻擊者使用合法的賬號來升級訪問權(quán)限169整理ppt2.獲得信息

獲得root的權(quán)限后，攻擊者會將立即進(jìn)行信息掃描,獲得有用數(shù)據(jù)。掃描方法操縱遠(yuǎn)程用戶的Web瀏覽器運(yùn)行腳本程序利用文件的缺省存放位置170整理ppt3.信息重定向攻擊者控制了系統(tǒng)，便可以進(jìn)行程序和端口重定向端口轉(zhuǎn)向成功后，他們可以操控連接并獲得有價值的信息相似的攻擊目標(biāo)還包括重定向SMTP端口，它也允許攻擊者獲得重要的信息171整理ppt4.應(yīng)用程序重定向?qū)⒛骋欢丝谂c某一應(yīng)用程序相綁定允許將某一程序的運(yùn)行指定到特定的端口，從而可以遠(yuǎn)程使用Telnet進(jìn)行控制172整理ppt5.擦除滲透的痕跡

通常，攻擊者通過破壞日志文件，可以騙過系統(tǒng)管理員和平安審計人員。這就是所謂的痕跡擦除日志文件包括：Web效勞器防火墻HTTP效勞器FTP效勞器數(shù)據(jù)庫操作系統(tǒng)的日志IDS日志日志文件類型包括事件日志應(yīng)用程序日志平安日志173整理ppt6.作為跳板攻擊其它系統(tǒng)通常，攻擊者滲透操作系統(tǒng)的目的是通過它來滲透到網(wǎng)絡(luò)上其它的操作系統(tǒng)。NASA效勞器是攻擊者通常的攻擊目標(biāo)，不僅因為他們想要獲取該效勞器上的信息，更主要的是許多組織都和該效勞器有信任的連接關(guān)系。系統(tǒng)是攻擊者的終端還是攻擊鏈條中的一個環(huán)節(jié)——跳板攻擊者為了偽裝自己的真實來源，可能通過很屢次跳板才到達(dá)攻擊目的174整理ppt二、控制手段新的控制方法層出不窮系統(tǒng)的升級不可防止的會開啟新的平安漏洞少數(shù)的極有天賦的黑客不斷開發(fā)出新的工具作為平安審計人員，需要時刻注意各種跡象，同時留意自己的系統(tǒng)是否存在著問題175整理ppt1.后門的安放Rhosts++后門Login后門效勞進(jìn)程后門portbindsuidShell后門suidshell修改密碼文件176整理ppt2.創(chuàng)立新的訪問點(diǎn)通過安裝額外的軟件和更改系統(tǒng)參數(shù)，攻擊者還可以開啟后門優(yōu)秀的系統(tǒng)管理員，黑客通常習(xí)慣于某種攻擊策略，所以必須注意攻擊者的控制手段安裝后門的另一個通常方法是在操作系統(tǒng)中安置木馬。177整理ppt3.創(chuàng)立額外賬號為了減小從系統(tǒng)中被去除的幾率，攻擊者通常會在獲得root權(quán)限后創(chuàng)立額外的賬號使用批處理文件是創(chuàng)立額外賬號的一種手段也可以增加沒有密碼的管理員賬號在UNIX和Novell操作系統(tǒng)中同樣存在類似的問題178整理ppt自動添加賬號一個負(fù)責(zé)任的系統(tǒng)管理員會定期掃描用戶的賬號數(shù)據(jù)庫，查看是否有權(quán)限的變更，新添加的賬號和任何有關(guān)系統(tǒng)策略更改的可疑行為。然而，攻擊者會利用老的賬號登錄系統(tǒng)攻擊者還可以利用定時效勞等自動執(zhí)行的程序來添加賬號通過定時效勞來添加新的賬號和重新設(shè)置權(quán)限，攻擊者可以騙過最挑剔的管理員。179整理ppt4.Trojan木馬控制TrojanhorseRootKitsRootkit是用非法程序替代合法程序所謂的“rootkit〞是入侵者在入侵了主機(jī)后，用來做創(chuàng)立后門并加以偽裝用的程序包通常包括了日志清理器，后門等程序rootkit通常出現(xiàn)在UNIX系統(tǒng)中木馬是一個程序，駐留在目標(biāo)計算機(jī)里，可以隨計算機(jī)自動啟動并在某一端口進(jìn)行偵聽，在對接收的數(shù)據(jù)識別后，對目標(biāo)計算機(jī)執(zhí)行特定的操作。其實質(zhì)只是一個通過端口進(jìn)行通信的網(wǎng)絡(luò)客戶/效勞程序。180整理ppt木馬程序的利用與監(jiān)測“木馬〞指一些程序設(shè)計人員在其可從網(wǎng)絡(luò)上下載的應(yīng)用程序或游戲中，包含了可以控制用戶的計算機(jī)系統(tǒng)的程序，可能造成用戶的系統(tǒng)被破壞甚至癱瘓。木馬原那么上和Laplink、PCanywhere等程序一樣，只是一種遠(yuǎn)程管理工具木馬本身不帶傷害性，也沒有感染力，所以不能稱之為病毒(也有人稱之為第二代病毒)181整理ppt木馬原理根本概念：對于特洛伊木馬，被控制端就成為一臺效勞器，控制端那么是一臺客戶機(jī)

控制功能：以管理員用戶權(quán)限運(yùn)行的木馬程序幾乎可以控制一切。程序?qū)崿F(xiàn)：可以使用VB或VC、JAVA以及其它任何編程工具的Winsock控件來編寫網(wǎng)絡(luò)客戶/效勞程序。182整理ppt特洛伊木馬隱身方法主要途徑有在任務(wù)欄中隱藏自己“化裝〞為驅(qū)動程序使用動態(tài)鏈接庫技術(shù)183整理ppt木馬的開展典型的C/S結(jié)構(gòu)，隱蔽性差隱藏、自啟動和操縱服務(wù)器等技術(shù)上有長足進(jìn)步

隱藏、自啟動和數(shù)據(jù)傳遞技術(shù)上有根本性進(jìn)步，出現(xiàn)了以ICMP進(jìn)行數(shù)據(jù)傳輸?shù)哪抉R

采用改寫和替換系統(tǒng)文件的做法

184整理ppt流行木馬及其技術(shù)特征木馬進(jìn)程注冊為系統(tǒng)效勞反彈端口型木馬出現(xiàn)替換系統(tǒng)文件中做法應(yīng)用到Windows使用多線程技術(shù)185整理pptNetbus木馬NetBus1.53版本可以以捆綁方式裝到目標(biāo)電腦上，可以捆綁到啟動程序上，也可以捆綁到一般程序的常用程序上。186Netbus木馬NetBus2.0版的功能更強(qiáng)，已用做遠(yuǎn)程管理的工作NetBus的功能運(yùn)行程序強(qiáng)迫重啟系統(tǒng)注銷用戶控制Web瀏覽器捕捉擊鍵記錄重定向端口和程序獲得關(guān)于當(dāng)前版本的信息上傳、下載和刪除文件控制、升級和定制效勞器管理密碼保護(hù)顯示、終止遠(yuǎn)程系統(tǒng)程序187整理pptNetBus傳輸

NetBus使用TCP建立會話，缺省情況下用12345端口。跟蹤NetBus的活動比較困難，可以通過檢查12346端口數(shù)據(jù)來確定許多類似的程序使用固定的端口，你可以掃描整個的網(wǎng)絡(luò)監(jiān)測可疑的活動。188整理pptNetbus2.0主要文件文件描述大?。˙yte）NetBus.exe客戶端1，241，600Patch.exe服務(wù)器624，640NBHelp.dll

程序擴(kuò)展

71，680189檢測NetBusNetBus1.x版的程序使用以下的注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\可以用包嗅探器，檢查缺省的12345或12346端口使用netstat，你可以鍵入以下命令：Netstat–an或Netstat–pudp190整理pptNetbus連接

TCP:12345/12346191去除NetBus高質(zhì)量的反病毒程序另一種去除NetBus的方法是使用其客戶端,點(diǎn)擊去除效勞器按鈕如果攻擊者采用了密碼保護(hù)的話可能會要求你輸入密碼，也可以搜尋前面討論的文件192整理pptBackOrifice2000BackOrifice2000允許攻擊者進(jìn)行如下操作獲取系統(tǒng)信息收集用戶名和密碼和用戶緩存的密碼獲得文件的完全訪問權(quán)限實施端口和程序的重定向通過HTTP從瀏覽器上傳和下載文件193整理ppt缺省設(shè)置默認(rèn)的BackOrifice2000一共由5個文件組成，他們分別是：Bo2k.exe--136kb，BO2K效勞器端程序Bo2kcfg.exe--216kb，BO2K設(shè)置程序Bo2kgui.exe--568kb，BO2K客戶端程序Bo3des.dll--24kb，plugin--tripleDESmoduleBo_peep.dll--52kb，plugin--remoteconsolemanager194整理ppt精選命令命令描述Dir,md,rd列出，建立和刪除目錄Shareadd/sharelist/sharedel建立，列出和刪除共享Copy/delete/find拷貝，刪除和搜索文件View列出文本文件內(nèi)容Httpon/httpoff啟動和停止HTTP服務(wù)，必須指定端口號Keylogstart/end開始和終止鍵盤記錄Netconnectnetlist/Netdisconnect將服務(wù)器系統(tǒng)連接到網(wǎng)絡(luò)資源；列出網(wǎng)絡(luò)接口，域和服務(wù)器；斷開連接Rediradd/redirlist將TCP連接和UDP包重定向到其它的IPRegmakekey/regdelkey建立和刪除注冊表中的鍵值Passes列出系統(tǒng)的所有密碼，包括所有適配器（如撥號適配器）和網(wǎng)絡(luò)連接，以及屏幕鎖定Reboot重新啟動系統(tǒng)Tcpsend從TCP連接發(fā)送和接受文件；同標(biāo)準(zhǔn)的TFTP服務(wù)器一樣，客戶端連接服務(wù)器機(jī)器，發(fā)送文件然后立即斷開。Quit退出程序195BO的運(yùn)作

BO木馬包含三個程序：BOSERVE.EXE，BOCLIENT.EXE和BOCONFIG.EXE。其中第一個程序需安裝在受感染的用戶計算機(jī)中，也就是BO效勞端BO主要運(yùn)行于Windows95/98系統(tǒng)，對于WindowsNT影響較小效勞器端程序為BOSERVE.EXE，它會自動安裝在受攻擊的計算機(jī)中，但是它同時需要另外一個文件名為BOCONFIG的程序來進(jìn)行配置196整理pptBO的檢測和去除手工殺除BO2K運(yùn)行REGEDIT.EXE，修改注冊表，在以下鍵值處刪除UMGR32.EXE的key值Hkey_local_machine/Software/Microsoft/Windows/CurrentVersion/RunServices重啟系統(tǒng)在\WINDOWS\SYSTEM下刪除UMGR32~1.EXE需要注意的是，bo2k安裝后的名字是可以自定義的197整理ppt木馬防御方法總結(jié)端口掃描掃描程序嘗試連接某個端口，如果成功，那么說明端口開放；否那么關(guān)閉。但對于驅(qū)動程序/動態(tài)鏈接木馬，掃描端口不起作用查看連接在本地機(jī)上通過netstat-a查看所有的TCP/UDP連接檢查注冊表