第一章 简介

1.1 网络安全管理简介

网络攻击的概述

黑客定义:①研究计算机程序并以此增长自身技巧的人②对编程有无穷兴趣和热忱的人③能快速编程的人④某专门系统的专家⑤恶意闯入他人计算机或系统,意图盗取敏感信息的人(cracker)

入侵流程:

网络攻击:指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的任何的进攻动作;包括在计算机和计算机网络中破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据。分为远程攻击、本地攻击、伪远程攻击。

1.2 实训项目 安装Kali Linux

这个我会

第二章 网络侦查技术

2.1 网络侦查步骤

Ⅰ.准备阶段(1)确定攻击目的:①破坏型攻击②入侵型攻击(2)信息收集(3)服务分析(4)系统分析(5)分析漏洞

Ⅱ.实施阶段:非法提权、植入后门、建立后门账号、种植木马······

Ⅲ.善后阶段:日志删除、文件隐藏······

2.2 网络侦查

信息收集:是为了更加有效的实施攻击而在攻击前或攻击中对目标进行的探测活动。

收集方法:①技术手段:网络信息挖掘、网络扫描技术②社会工程学方法:利用人的粗心和轻信等采用欺骗方式获得信息。

网络信息挖掘:指从大量训练样本中获得数据之间的内在特征,包括:Google hacking、whois、指纹识别等。

2.3 网络扫描

为了提高效率,降低难度我们一般借助于扫描器完成任务。

扫描器是一种能自动检测远程主机或本地主机安全弱点的程序。

nmap OpenVAS Nessus WVS X-scan Fluxay

主机扫描:目的是尽可能多地获取对方的信息,主要利用了现有网络协议的漏洞和操作系统的漏洞,分为三个阶段:①主机存活扫描(ping命令)②端口扫描③漏洞扫描

2.4 端口扫描技术

端口扫描:对某一段端口或某个指定端口进行扫描,通过TCP/IP协议向远程主机某一端口提出连接请求,分析应答状态进而判断目标系统端口的开关状态。

TCP报文标志位:ACK:确认标志 RST:复位标志 URG:紧急标志 SYN:同步标志 FIN:终止标志(三次握手建立,四次挥手释放)

端口扫描种类:

①全连接扫描:完成全部的三次握手建立连接过程,端口未开放目标主机会返回RST标识

1.png 2.png

②半连接扫描:端口开放在请求连接中主机会返回SYN/ACK标识的数据包(请求方发送RST不继续建立连接),半连接扫描的缺点是需要攻击者拥有客户机的root权限,可以被防火墙检测和过滤

③隐蔽扫描:FIN扫描,发送FIN,目标主机相应端口关闭丢弃数据包并返回RST数据包,端口开放则不做任何反应。

3.png

④空扫描:FIN扫描的变种,将TCP数据包的所有标志位都置空,以此来绕过目标主机上一般的防火墙或RDS。Windows不管端口是否开放,接收到这个不合法的数据包都会返回一个RST数据包,Linux则严格遵循返回标准端口开放就不返回RST数据包

Xmas-Tree圣诞树扫描:将TCP中的URG、PSH、FIN位都置1,不同操作系统有不同的反应。

分段扫描:将探测用的数据包分成多个较小的IP段,从而绕过防火墙的包过滤器。

基于UDP协议的扫描方式、基于认证的扫描方式、基于FTP代理的扫描方式······

理解不深刻,这里插入一个文档来增加整体认识

2.5 操作系统识别

操作系统指纹:各个操作系统厂商在实现TCP/IP协议栈时,或保留的一些自己特色的独特痕迹,能够用来辨识操作系统。

①主动指纹识别:主动往目标主机发送数据包,并对响应数据进行分析,最典型的分析方法是TTL分析(Ping方式);或者是nmap探测:namp命令中增加-O参数

4.png5.png

②被动指纹识别:本地主机不主动发送数据包,只是被动地捕获远程主机返回地包来分析其OS类型版本(指纹识别工具通常被当成了嗅探工具),通用性更强但准确性更低。

6.png

③Banner识别技术:通过主机提供的各种服务进行分析。

④人工识别