《网络攻防与协议分析》课件——1.网络扫描.pptxVIP

网络扫描原理

及入侵检测策略配置

地址扫描攻击者运用ICMP报文（如Ping和Tracert命令）探测目标地址，或者使用TCP/UDP报文对目标地址发起连接（如TCPPing），若能收到对应的响应报文，则表明目标主机处于活跃状态。服务器1服务器2服务器4（关机）服务器3攻击者外部网络ICMP探测TCP/UDP探测不响应攻击者根据应答报文情况，判断服务器1、2、3处于活跃状态。Router

端口扫描攻击者通过对端口进行扫描，探寻被攻击对象目前开放的端口，以确定攻击方式。在端口扫描攻击中，攻击者通常使用端口扫描攻击软件，发起一系列TCP/UDP连接，根据应答报文判断主机是否使用这些端口提供服务。数据库服务器HTTP服务器攻击者外部网络TCP/UDP端口探测攻击者根据响应报文，判断：服务器开放80端口，是一台Web服务器；服务器开放3306端口，是一台数据库服务器。TCP80端口响应TCP3306端口响应Router

服务识别如果识别到主机上开启的服务，甚至确定了服务软件的版本，则攻击者可以有更多的资源来进行攻击。某些协议会主动告知访问者自己的身份，例如ssh，当客户端与服务器完成TCP握手时，会主动发送欢迎消息（banner），这其中就可能包含版本信息，具有这种特征的协议还有FTP、telnet、SMTP等例如可以查到对端的22端口使用OpenSSH7.2p2版本

主机识别同服务识别类似，识别主机的操作系统，可以给攻击提供很多便利，例如利用操作系统本身的漏洞等。图中nmap使用-O选项来识别主机，识别结果为windows操作系统，版本可能是windows7、windowsserver2008或者windows8.1.

Tracert攻击原理Tracert攻击是攻击者利用TTL为0时返回的ICMP超时报文，以及到达目的地址时返回的ICMP端口不可达报文，来发现报文到达目的地所经过的路径，主要用于窥探目标网络的结构。服务器中间网络IP1IP2IP3IP4目的IP攻击者启动Tracert探测攻击者得到网络结构：攻击者外部网络Router1Router2Switch1Switch2ICMP超时报文ICMP超时报文ICMP超时报文ICMP超时报文ICMP目标端口不可达报文IP1IP2IP3IP4目的IP攻击者

渗透测试工具-NmapNmap，即NetworkMapper，最早是Linux下的网络扫描与嗅探工具，现发展为跨平台的综合扫描软件，支持Windows、Linux、macOS等多种操作系统。Nmap具备如下扫描功能：主机发现：检测目标主机是否在线；端口扫描：检测端口状态和提供的服务；操作系统侦测：检测主机使用的操作系统。

2网络扫描检测配置实验

网络扫描检测配置实验关于本实验通过配置入侵检测策略，实现端口扫描攻击的检测。实验目的理解端口扫描攻击的原理，练习入侵检测策略的配置。实验背景Kali主机和靶机之间，通过防火墙设备进行网络连接，防火墙将连接靶机的流量，通过端口镜像引流到入侵检测设备。IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LANAKali主机CentOS靶机入侵检测防火墙/24/24

网络扫描检测配置实验-基础配置拓扑搭建基础配置1、防火墙接口IP地址配置#启动“pikachu”靶场，sudo密码centos[centos@localhost~]#sudodockerstartpikachuIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LANAKali主机CentOS靶机入侵检测防火墙/24/24

网络扫描检测配置实验-基础配置拓扑搭建基础配置2、防火墙配置DHCPIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LANAKali主机CentOS靶机入侵检测防火墙/24/24

网络扫描检测配置实验-基础配置拓扑搭建基础配置3、防火墙ge3接口配置镜像接口引流IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LANAKali主机CentOS靶机入侵检测防火墙/24/24

网络扫描检测配置实验-基础配置拓扑搭建基础配置4、防火墙配置一条全通策略，放通流量IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LANAKali主机CentOS靶机入侵检测防火墙/24/24

网络扫描检测配置实验-基础配置拓扑搭建基础配置5、配置入侵检测ge2接口为“旁路模式”，安全域为“untrust”。IDSge2LANAge3LANBge4LANCge