信息收集技术.ppt

网络扫描器的功能 扫描目标主机识别其工作状态（开/关机） 识别目标主机端口的状态（监听/关闭） 识别目标主机操作系统的类型和版本 识别目标主机服务程序的类型和版本 分析目标主机、目标网络的漏洞（脆弱点） 生成扫描结果报告 网络信息收集技术之网络扫描 /漏洞扫描 网络信息收集技术之网络扫描 最简单对策： 假设黑客会使用漏洞扫描来发现目标网络弱点，那你必须在黑客之前扫描漏洞 补丁自动更新和分发: 修补漏洞 联邦桌面核心配置计划(FDCC) 确保桌面计算机的安全漏洞及补丁自动管理 中国2010年才开始政务终端安全配置(CGDCC)标准的发展 检测和防御漏洞扫描行为 网络入侵检测系统: Snort 仔细审查防火墙配置规则 /漏洞扫描 网络信息收集技术之网络扫描 /漏洞扫描 网络信息收集技术之网络扫描 /漏洞扫描 网络信息收集技术之网络扫描 /漏洞扫描 网络信息收集技术之网络扫描 /漏洞扫描 网络信息收集技术之网络扫描 /扫描防范 反扫描技术 端口扫描监测工具 防火墙技术 审计技术 其它防御技术 设防火墙，减少开放端口 记录日志，应用审计技术分析 监测扫描，作出预警 方法 监听一个不常用端口 抓包分析 常用工具：ProtectX/Winetd/DTK/PortSentry 端口伪装，修改“欢迎”信息，信息欺骗 蜜罐系统 网络信息收集技术之网络扫描 /扫描防范 1．网络监听的概念 网络监听技术又叫做网络嗅探技术(Network Sniffing)，顾名思义，这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。 在网络安全领域，网络监听技术对于网络攻击与防范双方都有着重要的意义，是一把双刃剑。对网络管理员来说，它是了解网络运行状况的有力助手，对黑客而言，它是有效收集信息的手段。 网络监听技术的能力范围目前只限于局域网。 网络信息收集技术之网络监听 /概述 Sniffer这个名称最早是一种网络监听工具的名称，后来其也就成为网络监听的代名词。在最初的时候，它是作为网络管理员检测网络通信的一种工具。 网络监听器分软、硬两种。 网络信息收集技术之网络监听 /概述 1．网络监听的概念 软件嗅探器便宜易于使用，缺点是功能往往有限，可能无法抓取网络上所有的传输数据(比如碎片)，或效率容易受限； 硬件嗅探器通常称为协议分析仪，它的优点恰恰是软件嗅探器所欠缺的，处理速度很高，但是价格昂贵。 目前主要使用的嗅探器是软件的。 网络信息收集技术之网络监听 /概述 2．Sniffer软件的主要工作机制 驱动程序支持：需要一个直接与网卡驱动程序接口的驱动模块，作为网卡驱动与上层应用的“中间人”，它将网卡设置成混杂模式，捕获数据包，并从上层接收各种抓包请求。 分组捕获过滤机制：对来自网卡驱动程序的数据帧进行过滤，最终将符合要求的数据交给上层。 链路层的网卡驱动程序上传的数据帧就有了两个去处：一个是正常的协议栈，另一个就是分组捕获过滤模块，对于非本地的数据包，前者会丢弃（通过比较目的IP地址），而后者则会根据上层应用的要求来决定上传还是丢弃。 网络信息收集技术之网络监听 /概述 2．Sniffer软件的主要工作机制 许多操作系统都提供这样的“中间人”机制，即分组捕获机制。在UNIX类型的操作系统中，主要有3种：BSD系统中的BPF(Berkeley Packet Filter)、SVR4中的DLPI(Date Link Interface)和Linux中的SOCK_PACKET类型套接字。在Windows平台上主要有NPF过滤机制。 目前大部分Sniffer软件都是基于上述机制建立起来的。如Tcpdump、Wireshark等。 网络信息收集技术之网络监听 /概述 网络信息收集技术之网络监听 /抓包 网络信息收集技术之网络监听 /ARP包 3 5.003986 GemtekTe_43:45:7c Tp-LinkT_33:52:4a ARP 42 Who has ? Tell 4 0000 40 16 9f 33 52 4a 20 10 7a 43 45 7c 08 06 00 01 @..3RJ .zCE| 0010 08 00 06 04 00 01 20 10 7a 43 45 7c c0 a8 01 0e .zCE| 0020 00 00 00 00 00 00 c0 a8 01 01 4 5.008654 Tp-LinkT_33:52:4a GemtekTe_43:45:7c ARP 42 is at 40:16:9f:33:52:4a 0000 20 10 7a 43 45 7c 40 16 9f 33 52 4a 08 06 00 0