4、网络漏洞:网络漏洞是系统软、硬件存在安全方面的脆弱性,安全漏洞的存在导致非法用户入侵系统或未经授权 获得访问权限,造成信息篡改、拒绝服务或系统崩溃等问题。
5、一个完整的网络安全扫描分为三个阶段:第一阶段:发现目标主机或网络。第二阶段:发现目标后进一步搜集目 标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现该网络 的拓扑结构、路由设备以及各主机的信息。第三阶段:根据收集到的信息判断或者进一步测试系统是否存在安全漏 洞。
6、网络安全扫描技术包括 PING 扫描、操作系统探测、穿透防火墙探测、端口扫描、漏洞扫描等:1 PING 扫描用 于扫描第一阶段,识别系统是否活动。 2 OS 探测、穿透防火墙探测、端口扫描用于扫描第二阶段。 OS 探测是对目 标主机运行的 OS 进行识别;穿透防火墙探测用于获取被防火墙保护的网络资料;端口扫描是通过与目标系统的 TCP/IP端口连接,并查看该系统处于监听或运行状态的服务。 3漏洞扫描用于安全扫描第三阶段,通常是在端口扫 描的基础上,进而检测出目标系统存在的安全漏洞。
7、漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:1基于漏洞库的特征匹配:通过端口扫描得知 目标主机开启的端口以及端口上的网络服务后,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看
是否有满足匹配条件的漏洞存在; 2基于模拟攻击:通过模拟黑客的攻击手段,编写攻击模块,对目标主机系统进 行攻击性的安全漏洞扫描,如测试弱势口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。
8、常用扫描工具:SATAN 、 Nmap 、 Nessus 、 X-scan
6
9、扫描技术一般可以分为主动扫描和被动扫描两种,它们的共同点在于在其执行的过程中都需要与受害主机互通正 常或非正常的数据报文。其中主动扫描是主动向受害主机发送各种探测数据包,根据其回应判断扫描的结果。被动 扫描由其性质决定,它与受害主机建立的通常是正常连接,发送的数据包也属于正常范畴,而且被动扫描不会向受 害主机发送大规模的探测数据。
10、扫描的防御技术:反扫描技术、端口扫描监测工具、防火墙技术、审计技术、其它防御技术。
11、防范主动扫描可以从以下几个方面入手:(1减少开放端口,做好系统防护; (2实时监测扫描,及时做出告 警; (3伪装知名端口,进行信息欺骗。
12、被动扫描防范方法到目前为止只能采用信息欺骗(如返回自定义的 banner 信息或伪装知名端口这一种方法。 13、防火墙技术是一种允许内部网接入外部网络,但同时又能识别和抵抗非授权访问的网络技术,是网络控制技术 中的一种。防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,控制所有从因特网流入或流向因特 网的信息都经过防火墙,并检查这些信息,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网 络的服务和访问的审计和控制。
14、审计技术是使用信息系统自动记录下的网络中机器的使用时间、敏感操作和违纪操作等,为系统进行事故原因 查询、事故发生后的实时处理提供详细可靠的依据或支持。审计技术可以记录网络连接的请求、返回等信息,从中 识别出扫描行为。
15:为什么说扫描器是一把双刃剑?扫描器能够自动的扫描检测本地和远程系统的弱点,为使用者提供帮助。系统 或网络管理员可以利用它来检测其所管理的网络和主机中存在哪些漏洞,以便及时打上补丁,
7
增加防护措施,或用 来对系统进行安全等级评估。黑客可以利用它来获取主机信息,寻找具备某些弱点的主机,为进一步攻击做准备。 因此,扫描器是一把双刃剑。 普通用户对扫描的防御:用户要减少开放的端口,关闭不必的服务,合理地配置防火 墙,以防范扫描行为。
第 4讲:网络监听及防御技术
1、网络监听的概念:网络监听技术又叫做网络嗅探技术 (Network Sniffing ,是一种在他方未察觉的情况下捕获其通 信报文或通信内容的技术。在网络安全领域,网络监听技术对于网络攻击与防范双方都有着重要的意义,是一把双 刃剑。对网络管理员来说,它是了解网络运行状况的有力助手,对黑客而言,它是有效收集信息的手段。网络监听 技术的能力范围目前只限于局域网。
2:嗅探器 (sniffer是利用计算机的网络接口截获目的地为其它计算机的数据报文的一种技术。 工作在网络的底层, 能 够把网络传输的全部数据记录下来。 1嗅探攻击的基本原理是:当网卡被设置为混杂接收模式时,所有流经网卡的 数据帧都会被网卡接收,然后把这些数据传给嗅探程序,分析出攻击者想要的敏感信息,如账号、密码等,这样就 实现了窃听的目的。 2嗅探器造成的危害:能够捕获口令;能够捕获专用的或者机密的信息;可以用来危害网络邻 居的安全,或者用来获取更高级别的访问权限;窥探低级的协议信息。被动嗅探入侵往往是黑客实施一次实际劫持 或入侵的第一步。 3 Sniffer 的正面应用:在系统管理员角度来看,网络监听的主要用途是进行数据包分析,通过网 络监听软件,管理员可以观测分析实时经由的数据包,从而快速的进行网络故障定位。 4 Sniffer 的反面应用:入侵 者与管理员感兴趣的 (对数据包进行分析 有所不同, 入侵者感兴趣的是数据包的内容, 尤其是账号、 口令等敏感内容。 3、网络传输技术:广播式和点到点式。 广播式网络传输技术:仅有一条通信信道,由网络上的所有机器共享。信 道上传输的分组可以被任何机器发送并被其他所有的机器接收。点到点
8
网络传输技术:点到点网络由一对对机器之 间的多条连接构成,分组的传输是通过这些连接直接发往目标机器,因此不存在发送分组被多方接收的问题。 4、网卡的四种工作模式:(1广播模式:该模式下的网卡能够接收网络中的广播信息。 (2组播模式:该模式下的 网卡能够接受组播数据。 (3直接模式:在这种模式下,只有匹配目的 MAC 地址的网卡才能接收该数据帧。 (4混 杂模式:(Promiscuous Mode在这种模式下,网卡能够接受一切接收到的数据帧,而无论其目的 MAC 地址是什么。 5、共享式局域网就是使用集线器或共用一条总线的局域网。共享式局域网是基于广播的方式来发送数据的,因为集 线器不能识别帧,所以它就不知道一个端口收到的帧应该转发到哪个端口,它只好把帧发送到除源端口以外的所有 端口,这样网络上所有的主机都可以收到这些帧。如果共享式局域网中的一台主机的网卡被设置成混杂模式状态的 话,那么,对于这台主机的网络接口而言,任何在这个局域网内传输的信息都是可以被听到的。主机的这种状态也 就是监听模式。处于监听模式下的主机可以监听到同一个网段下的其他主机发送信息的数据包。
6、在实际应用中,监听时存在不需要的数据,严重影响了系统工作效率。网络监听模块过滤机制的效率是该网络监 听的关键。信息的过滤包括以下几种:站过滤,协议过滤,服务过滤,通用过滤。同时根据过滤的时间,可以分为 两种过滤方式:捕获前过滤、捕获后过滤。
7、交换式以太网就是用交换机或其它非广播式交换设备组建成的局域网。这些设备根据收到的数据帧中的 MAC 地 址决定数据帧应发向交换机的哪个端口。因为端口间的帧传输彼此屏蔽,因此节点就不担心自己发送的帧会被发送 到非目的节点中去。交换式局域网在很大程度上解决了网络监听的困扰。
8、交换机的安全性也面临着严峻的考验,随着嗅探技术的发展,攻击者发现了有如下方法来实现在交换式以太网中 的网络监听:溢出攻击; ARP 欺骗(常用技术 。
9
9、溢出攻击:交换机工作时要维护一张 MAC 地址与端口的映射表。但是用于维护这张表的内存是有限的。如用大 量的错误 MAC 地址的数据帧对交换机进行攻击, 交换机就可能出现溢出。 这时交换机就会退回到 HUB 的广播方式, 向所有的端口发送数据包,一旦如此,监听就很容易了。
10、 ARP 的工作过程 :(1主机 A 不知道主机 B 的 MAC 地址, 以广播方式发出一个含有主机 B 的 IP 地址的 ARP 请求; (2网内所有主机受到 ARP 请求后,将自己的 IP 地址与请求中的 IP 地址相比较,仅有 B 做出 ARP 响应,其中含有 自己的 MAC 地址; (3主机 A 收到 B 的 ARP 响应,将该条 IP-MAC 映射记录写入 ARP 缓存中,接着进行通信。 11、 ARP 欺骗:计算机中维护着一个 IP-MAC 地址对应表,记录了 IP 地址和 MAC 地址之间的对应关系。该表将随 着 ARP 请求及响应包不断更新。通过 ARP 欺骗,改变表里的对应关系,攻击者可以成为被攻击者与交换机之间的 “中间人” , 使交换式局域网中的所有数据包都流经自己主机的网卡, 这样就可以像共享式局域网一样分析数据包了。 12、监听的防御:
1通用策略:a 、采用安全的网络拓扑结构,网络分段越细,嗅探器能够收集的信息就越少; b 、数据加密技术:数 据通道加密(SSH 、 SSL 和 VPN ;数据内容加密(PGP 。
2共享网络下的防监听:检测处于混杂模式的网卡;检测网络通讯丢包率;检测网络带宽反常现象。
3交换网络下的防监听:主要要防止 ARP 欺骗及 ARP 过载。交换网络下防范监听的措施主要包括:a. 不要把网络 安全信任关系建立在单一的 IP 或 MAC 基础上,理想的关系应该建立在 IP-MAC 对应关系的基础上。 b. 使用静态的 ARP 或者 IP-MAC 对应表代替动态的 ARP 或者 IP-MAC 对应表, 禁止自动更新, 使用手动更新。 c. 定期检查
10