《网络安全技术》课件第4章.pptVIP

最近出现了两个扫描器：QueSO和NMAP，在指纹扫描中引入了新技术。QueSO首先实现了使用分离的数据库于指纹。NMAP包含了很多操作系统探测技术，定义了一个模板数据结构来描述指纹。由于新的指纹可以很容易地以模板的形式加入，因此NMAP指纹数据库是不断增长的，它能识别的操作系统也越来越多。这种使用扫描器判断远程操作系统的技术称为(TCP/IP)栈指纹技术。另外有一种技术称为活动探测。活动探测把TCP的实现看做是一个黑盒子。通过研究TCP对探测的回应，就可以发现TCP实现的特点。TCP/IP栈指纹技术是活动探测的一个变种，它适用于整个TCP/IP协议的实现和操作系统。栈指纹使用好几种技术来探测TCP/IP协议栈和操作系统的细微区别。用这些信息来创建一个指纹，然后跟已知的指纹进行比较，就可以判断出当前被扫描的操作系统。栈指纹扫描包含了相当多的技术。下面是一个不太完整的清单：(1)FIN探测；(2)BOGUS标记探测；(3)TCPISN取样；(4)TCP初始窗口；(5)ACK值；(6)ICMP错误信息；(7)ICMP信息；(8)服务类型；(9)TCP选项。4.3.6常用端口扫描命令1．Ping命令Ping命令经常用来对TCP/IP网络进行诊断。通过目标计算机发送一个数据包，让它将这个数据包返送回来。如果返回的数据包和发送的数据包一致，就认为Ping命令成功了。通过这样对返回的数据进行分析，就能判断计算机是否开机，或者这个数据包从发送到返回需要多少时间。Ping命令的基本格式： pinghostname其中，hostname是目标计算机的地址。Ping还有许多高级应用，下面就举一个例子来说明。C:ping-fhostname这条命令给目标机器发送了大量的数据，从而使目标计算机忙于回应。在Windows95计算机上，可使用下面的方法。C:\windows\ping165510这样进行操作之后，目标计算机有可能会挂起来或重新启动。由于使用165510选项会产生一个巨大的数据包，同时要求对方的机器返回一个同样大小的数据包，因而这样做会使目标计算机反应不过来。2．Tracert命令Tracert命令用来跟踪一个消息从一台计算机到另一台计算机所走的路径。在DOS窗口下，Tracert命令如下所述。C:\windowsTracertTracingroutetooveramaximumof30hops184ms82ms95ms72*100ms95ms0fa1.1-rtr1-a-hz1.zj.CN.NET[3]395ms90ms*490ms90ms90ms8595ms90ms99ms690ms95ms100msTracecomplete4.4缓冲区溢出技术原理缓冲区是内存中存放数据的地方。在程序试图将数据放到计算机内存中的某一位置但没有足够的空间时，就会发生缓冲区溢出。缓冲区是程序运行时计算机内存中一个连续的块，它保存给定类型的数据，问题随着动态分配变量而出现。为了不占用太多内存，一个有动态分配变量的程序在程序运行时才决定给它们分配多少内存。如果程序在动态分配缓冲区放入太多的数据，则会发生数据溢出现象。缓冲区溢出应用程序可使用溢出的数据将汇编语言代码放到计算机内存中，它通常是产生root权限的地方。单单缓冲区溢出并不会产生安全问题，只有将溢出数据送到能够以root权限运行命令的区域才会产生安全问题。此时，缓冲区应用程序将能运行的指令放在有root权限的内存中，一旦运行这些指令，缓冲区应用程序就以root权限控制了计算机。综上所述，缓冲区溢出指的是一种系统攻击的手段，通过往程序的缓冲区中写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上，造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。在术语文件中，缓冲区溢出这样定义：“当试图将超过缓冲区处理数据能力范围之外的数据加入到缓冲区时，发生缓冲区溢出。这可能是由于生产者和消费者进程处理不一致造成的，或者是由于缓冲区太小以至于装不下一次处理的必需数据。”用C语言编写的程序常用到缓冲区。一般来说，缓冲区就是一块存储空间，它可以存储某种类型的文本或数据。程序员利用缓冲区可为一块或多块数据提供系统预先指定的空间。例如，如果希