网络查点
网络监听技术
听课笔记--《网络攻击与防御》
网络查点:根据网络扫描的结果进一步地对目标主机的服务以及系统版本等信息进行更具针对性的检测,来寻找真正可以攻击的入口,以及攻击过程中可能需要的关键数据。
(1)服务判定---根据端口判定
直接利用端口与服务对应的关系,比如telnet--23; ftp--21; http---80
精度较低
例如:目标主机使用nc这样的工具在80端口上监听,这样扫描时会以为80在开放,但实际上80并没有提供http服务,由于这种关系只是简单对应,并没有去判断端口运行的协议,这就产生了误判,认为只要开放了80端口就是开放了http协议
(2)网络服务旗标(banner)抓取技术
相对精确,比较成熟的技术,可以用来判定当前运行的服务,不仅能判定服务,还能判断具体的服务版本信息
(3)操作系统指纹识别技术
各个操作系统在TCP/IP协议的具体实现上是有所不同的,通过比较不同操作系统的TCP/IP协议的细微差异,就可以判定操作系统类型及其版本
为什么要进行操作系统指纹识别?
许多安全漏洞都依赖于操作系统及其版本,如果没有这些信息,攻击者的攻击将失去攻击的方向
例如:不知道目标操作系统的信息,攻击者就无法知道确定在目标服务器上运行的是IIS服务器还是Apache服务,用IIS的漏洞去攻击Apache服务,结果是失败的
指纹技术分为:
1)主动识别
2)被动识别
主动指纹识别技术:
主动往远程主机发送数据包并对相应的响应进行分析的过程,使扫描器在更短的时间内获得比被动扫描更精确的结果
被动指纹扫描技术:
获取目标主机发过来的数据包并对其进行分析的一种方法,在这种情况下,指纹识别工具被当作嗅探工具,不会像网络发送任何数据包,称其“被动”是因为这种方法不会与目标主机进行任何交互,基于这些数据包的探测跟踪,用户可以确定远程主机的操作系统;
被动扫描通常比主动扫描更通用但准确性也更低
网络监听技术
网络监听技术又叫网络嗅探技术
是一种在他方未察觉的情况下捕获其通信报文,并分析获得的数据包从而获得一些敏感信息的技术
网络监听工具(嗅探器)分为1):硬件:网络分析仪 2)软件
网络监听工作的原理:
利用网卡混杂模式接收一切所能接收的数据,从而捕获数据包,分析数据包,达到网络监听的目的
网络监听技术按照网络类型主要分为:
1)基于共享式局域网的监听技术
2)基于交换式局域网的监听技术
1)基于共享式局域网的监听技术,监听者通过网卡获取同属于一个共享式局域网中所有其他主机发送的数据包的技术
2)基于交换式局域网的监听技术,监听者通过欺骗等方式来获取同属于一个局域网中其他主机发送的数据的技术
在交换式局域网中,非广播式的交换设备会根据收到的数据帧中的MAC地址来决定数据帧应向交换机的哪一个端口,由于端口间的帧传输彼此屏蔽,因此节点就不担心自己发送的数据帧会被发送到非目的的节点中去
交换机工作在数据链路层,工作时维护者一张MAC地址与端口的映射表,交换机转发的报文是一一对应的
交换式局域网在很大程度上解决了网络监听的困扰
攻击者发现了如下的方法来实现在交换机式以太网中的网络监听,
主要的方法有:
1)溢出攻击和ARP欺骗
溢出攻击:交换机工作时要维护一张MAC地址与端口的映射表,
但是用于维护这张表的内存是有限的,如果用大量的错误的MAC地址的数据帧对交换机进行攻击,交换机就可能出现溢出,这时交换机就会退回到集线器的广播方式,向所有的端口发送数据包
ARP欺骗:计算机中维护着一个IP-MAC地址对应表,记录了IP地址和MAC地址之间的对应关系,
该表将随着ARP请求及响应不断地更新,如果能修改此表中IP地址与MAC地址的对应关系,攻击者可以成为被攻击者与交换机之间的“中间人”,使交换式局域网中的所有数据包都流经自己主机的网卡,这样就可以像共享式局域网一样获取数据了