网络安全第五讲 网络攻击技术分析

网络信息安全第五讲 网络攻击技术分析

按照攻击目的，可将攻击分为破坏型和入侵型两种类型。
破坏型攻击以破坏目标为目的，但攻击者不能随意控制目标的系统资源。
入侵型攻击以控制目标为目的，比破坏型攻击威胁更大，常见的攻击类型多为入侵型攻击。
攻击主要内容

在这里插入图片描述
一 网络信息采集

入侵者一般首先通过网络扫描技术进行网络信息采集，获取网络拓扑结构、发现网络漏洞、探查主机基本情况和端口开放程度，为实施攻击提供必要的信息。
网络信息采集有多种途径，既可以使用诸如ping、whois等网络测试命令实现，也可以通过漏洞扫描、端口扫描和网络窃听工具实现。

1.常用信息采集命令

Ping命令：用于确定本地主机是否能与远程主机交换数据包，通过向目标主机发送ICMP(internet control message protocol，Internet控制报文协议)回应请求来测试目标的可达性。使用ping命令能够察看网络中有哪些主机接入Internet；测试目标主机的计算机名和IP地址；计算到达目标网络所经过的路由数；获得该网段的网络拓扑信息。
推算数据包通过的路由器数：例如，返回TTL值为119，可以推算出TTL初值为128，源地址到目标地址要通过128-119=9个路由器。
host命令：host命令是Linux、Unix系统提供的有关Internet域名查询的命令。可以从域中的DNS(domain name server，域名服务器)服务器获得所在域内主机的相关资料，实现主机名到IP地址的映射，得知域中邮件服务器的信息。
Traceroute命令：Traceroute命令用于路由跟踪，判断从本地主机到目标主机经过哪些路由器、跳计数、响应时间等。Traceroute程序跟踪的路径是源主机到目的主机的一条路径，但是，不能保证或认为数据包总是遵循这个路径。
Nbtstat命令：nbtstat（NBT statistics，NBT统计信息，其中NBT为NetBIOS over TCP/IP）命令是Windows命令，用于查看当前基于网络基本输入输出系统NetBIOS（network basic input output system）的TCP/IP连接状态。通过该工具可以获得远程或本地机器的组名和机器名。
Net命令：用于检验和核查计算机之间NetBIOS连接的net view和net use两个命令可能被攻击者利用，来查看局域网内部情况和局域网内部的漏洞。
Finger命令：用来查询用户的信息，通常会显示系统中某个用户的用户名、主目录、闲滞时间、登录时间、登录shell等信息。
Whois命令：Whois命令是一种Internet的目录服务命令，它提供了在Internet上的一台主机或某个域所有者的信息，包括：管理员姓名、通信地址、电话号码、Email信息、Primary和Secondary域名服务器信息等。
Nslookup命令：在Internet中存在许多免费的nslookup服务器，它们提供域名到IP地址的映射服务和IP地址到域名的映射等有关网络信息的服务。通过nslookup攻击者可以在whois命令的基础上获得更多目标网络信息。

2.漏洞扫描

漏洞是指系统硬件、操作系统、软件、网络协议、数据库等在设计上和实现上出现的可以被攻击者利用的错误、缺陷和疏漏。
漏洞扫描程序是用来检测远程或本地主机安全漏洞的工具。
针对扫描对象的不同，漏洞扫描又可分为网络扫描、操作系统扫描、WWW服务扫描、数据库扫描以及