目录
课程目标:这节课我们来介绍安全攻防中的入侵阶段,了解入侵阶段包含的内容(预攻击阶段、攻击阶段、后攻击阶段)涉及到的入侵技术与方法介绍
任务目标:通过对这节的学习,能够了解在安全攻防中入侵阶段的基本流程和方法,能够了解该入侵阶段在前期、中期、后期涵盖的安全技术。
1.预攻击阶段
1.1信息收集
尽可能多的收集目标的相关信息,为后续的“精确”攻击打下基础
这一阶段手机的信息包括:网络信息(域名、IP地址、网络拓扑、访问控制策略、TCP/UDP端口、防火墙、网络协议)、系统信息(操作系统版本、开放的各种网络服务版本、测试临时文件、路由表、系统架构、站点目录、系统标识)、用户信息(用户标识、组标识、共享资源、即时通信软件账号、邮件账号)等。
信息收集方式
被动收集
被动获取是在情报信息收集方在其他网络攻击组织的真实C&C与攻击中间节点(攻击基础设施),以及中间节点到被攻陷主机间的通信链路上进行信息收集和监听的方式。这种收集方式通常需要情报收集放对所捕获的数据进行解密、解码、解混淆等操作,以此还原数据的真实内容
主动收集
这种收集方式就是信息收集方主动出击,攻陷其他攻击组织发动攻击行动的基础设施或真实C&C,从主机上收集需要的数据,这样便不用像被动收集那样对数据进行解码等操作。
踩点和网络侦察
踩点简介
指的是预先到某个地方进行考察,为后面正式到这个地方开展工作做准备,比如去商场购物,可能通过某种形式,获得在商场中,别人不知道而自己已经知道的最新消息。即:获得信息的过程就叫踩点,尽可能多的收集关于目标网络的信息,以找到多种入侵组织网络系统方法的过程
踩点过程
收集目标和所在网络的基础信息
测试使用的操作系统各类型、版本、运行的平台软件、web服务的版本,等
使用诸如Whois、DNS查询、网络和组织查询等工具
找到能够进一步发起攻击的安全漏洞
踩点目的
踩点使攻击者能够了解组织完整的安全架构
通过IP地址范围、网络、域名、远程访问点等信息、可以缩小攻击范围
攻击者能够建立他们自己的相关目标组织安全性弱点的信息数据库,来采取下一步的入侵行动
攻击者可以描绘出目标组织的网络拓扑图,分析最容易进入的攻击路径
踩点的途径
通过收索引擎进行信息收集
Nmap扫描命令
网络查点
漏洞扫描
信息数据库与共享
渗透测试信息收集总结
1:确定要攻击的网站后,用whois工具查询网站信息,注册时间,管理员联系方式(电话、邮箱)
2:使用nslookup、dig工具进行域名解析已得到IP地址
3:查询得到的IP地址的所在地
4:通过google收集一些敏感信息,如网站目录,网站的特定类型文件
5:对网站进行端口、操作系统、服务版本的扫描,用nmap -sV -O便可以实现,更详细的可以用nmap -a
6:在得到了目标的服务器系统,开放端口及服务版本后,使用Openvas/Nessus进行漏洞挖掘
7:将收集到的所有信息进行筛选,得出有用的,认真做好记录
网咯扫描
网络扫描是一种自动化程序,用于检测远程或本地主机的若顶和漏洞。漏洞扫描是入侵防范最基本的工作,攻击者正是利用各种漏洞入侵系统。借助自动化的扫描工作,在攻击者之间发现漏洞问题,并给予相应的修正程序。
网路扫描是根据对方服务所采用的协议,在一定时间内,通过自身系统对对方协议进行特定读取、猜想验证、恶意破坏,并将对方直接或间接的返回数据作为某指标的判断依据的一种行为。
网络扫描获取的信息
发现存活主机,IP地址,以及存活主机开放的端口
发现主机操作系统类型和系统结构
发现主机开启的服务类型
发现主机存在的漏洞
网络扫描主要技术
1.主机扫描技术
ICMP Echo扫描:原理:Ping的实现机制,在判断在一个网络上主机是否开机时非常有用。向目标主机发送ICMP Echo Request数据包(type 8),等待回复的ICMP Echo Reply包(type 0)。如果能收到,则表明目标系统可达,否则表明目标系统已经不可达或主机没有在线或者使用了某些过滤设备过滤了ICMP的REPLY。
2.Non-Echo扫描
发送一个ICMP TIMESTAMP REQUEST(type 13)或者ICMP ADDRESS REQUEST(type 13),看是否响应。可以突破防火墙。
3.ICMP Sweep扫描
在ICMP Echo基础上,通过并行发送,同时探测多个目标主机,以提高探测效率。
4.Broadcast ICMP扫描
将ICMP请求包的目标地址设为广播地址或网络地址,则可以探测广播域或整个网络范围内的主机。
缺点:1.只适用于UNIX/Linux系统,Windows会忽略这种请求包。2.容易引起广播风暴。
嗅探的概念
嗅探是指利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术,网络