目录
课程目标:这节课我们来介绍入侵攻击中的类型,了解入侵攻击中一般存在的入侵攻击类型。
任务目标:通过对这节的学习,能够了解熟悉入侵攻击类型中的常见类型,常见类型中的入侵技术。
1.入侵攻击类型介绍
随着计算机网络的飞速发展,网络信息的安全问题也日渐突出,它已经成为了计算机领域的一个重大课题。现阶段,网络攻击的手段花样不断更新,层出不穷,大致来说,可以分为如下六类:信息收集型攻击、访问类攻击、Web攻击、拒绝服务类攻击、病毒类攻击、溢出类攻击。
2.侦察/信息收集型
侦察是未授权的发现和扫描系统、服务或漏洞,也被称为信息收集。信息收集型攻击是一种基础的网络攻击方式,并不对目标本身造成危害,在大多数情况下,它是其他攻击方式的先导,被用来为进一步入侵提供有用的信息。通过向目标主机发送数据包。然后根据响应来收集系统信息,发现服务器的端口分配及所提供服务和软件版本,可以进一步检测远程或本机主机安全的脆弱性。此类攻击通常包括地址扫描、网络端口扫描、操作系统探测、漏洞扫描。
2.1地址扫描
地址扫描指的是攻击者利用ping、tracert或firewalk等攻击或者直接利用ICMP消息发向目标网络,请求应答,如果请求和应答没有被网络边界过滤掉,攻击者就可以借此来获得目的网络地址分配信息,进而分析目的网络的拓扑结构。防御方法是在防火墙上过滤掉ICMP应答消息。
2.2端口扫描
端口扫描能够用来查找目标主机已开放的端口,包括TCP和UDP端口。当前针对TCP端口的扫描技术有三种,分别为:全连接扫描,SYN扫描和FIN扫描。针对UDP端口的扫描技术一般是采用ICMP报文中端口不可达的信息来识别UDP端口是否开放。
全连接扫描
作为最基本的TCP扫描方式,它利用connect()函数,向每一个目标主机的端口发起连接,若端口处于侦听状态,则函数返回成功;否则可以判断出该端口没有开放。
SYN扫描
SYN扫描通常认为是“半开放”的扫描,这是因为扫描程序不必打开一个完全的TCP连接。扫描程序构造并发送一个SYN数据包,执行TCP三次握手的第一步,若返回一个SYN|ACK数据包,则表示端口处于侦听状态,否则返回一个RST数据包,表示端口没有开放。这种方式需要root权限,并且它不会在主机上留下记录。
FIN扫描
FIN扫描与SYN扫描类似,也是构造数据包,通过识别回应来判断端口状态。发送FIN数据包后,如果返回一个RST数据包,则表示端口没有开放,处于关闭状态,否则,开放端口会忽略这种报文。这种方式难以被发现,但是这种方式可能不准确。
UDP的ICMP端口不可到达扫描
UDP扫描的方法并不常见。虽然UDP协议相对比较简单,无论UDP端口是否开放,对于接受到的探测包,他本身默认是不会发送回应信息的。不过UDP扫描有一种方法,就是利用主机ICMP报文的回应信息来识别,当一个关闭的UDP端口发送一个数据包时,会返回一个ICMP_PORT_UNREACH的错误。但由于UDP不可靠,ICMP报文也是不可靠,因此存在数据包中途丢失的可能
具体流程:
1.判断端口是否处于扫描范围
2.初始化套接字,发起连接
3.调用getservbyport函数,获取端口映射的TCP服务
4.输出结果
5.退出程序
具体实现
2.3系统探测
操作系统探测指的是攻击者使用具有已知相应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所做出的相应进行检查。由于每种操作系统都有其独特的响应方法(例如NT和Solaris的TCP/AP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统:
DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用,如果你维护者一台公共的DNS服务器,黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。
最低0.47元/天 解锁文章
2485
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
