《Kali安全渗透高级工程师》主动信息收集-DDOS攻击防御-SYN洪水攻击

目录

4.1  主动信息收集的原理

4.1.1  全球网络攻防实时地图

4.1.2  主动信息收集的特点

4.1.2  发现目标主机的过程

4.1.3  OSI七层模型和TCP/IP五层模型

4.2  基于ping命令的探测

4.2.1  PING

4.2.2  ARPING

4.3.5  使用FPING查看局域网中运行了哪些机器

4.3  TCP三次握手四挥手原理和抓包过程

4.3.1  TCP三次握手四挥手原理

4.4.2  Tcpdump抓包产看三次握手过程

4.4  基于Nmap的扫描方式

4.4.1  Nmap的基本扫描方式

4.4.2  使用nmap进行半连接扫描

4.4.3  使用nc扫描端口

4.5  SYN洪水攻击和DDOS攻击防御手段

4.5.1  使用hping3进行SYN Flood洪水攻击

---

本节所讲内容：

4.1  主动信息收集的原理

4.2  基于ping命令的探测

4.3  基于Nmap的扫描方式

 

4.1  主动信息收集的原理

4.1.1  全球网络攻防实时地图

通以下链接，我们可以发现，现在这个安静的网站环境下，一直存在着攻击和渗透。

卡巴斯基全球网络攻防实时地图 链接：地图 | 卡巴斯基网络威胁实时地图  如图：

 

4.1.2  主动信息收集的特点

1. 直接与目标系统交互通信

2. 无法避免留下访问的痕迹

3. 使用受控的第三方电脑进行探测，使用代理或已经被控制的机器，做好被封杀的准备

4. 扫描发送不同的探测，根据返回结果判断目标状态

4.1.2  发现目标主机的过程

1. 识别存活主机，发现潜在的被攻击目标

2. 输出一个IP地址列表比如IP地址段 IP地址范围

3. 使用二、三、四层进行探测发现

4.1.3  OSI七层模型和TCP/IP五层模型

 

这里我们只对OSI各层进行功能上的大概阐述，不详细深究，因为每一层实际都是一个复杂的层。后面我也会根据个人方向展开部分层的深入学习。这里我们就大概了解一下。我们从最顶层——应用层 开始介绍。整个过程以公司A和公司B的一次商业报价单发送为例子进行讲解。

第7层应用层：

OSI中的最高层。为特定类型的网络应用提供了访问OSI环境的手段。应用层确定进程之间通信的性质，以满足用户的需要。应用层不仅要提供应用进程所需要的信息交换和远程操作，而且还要作为应用进程的用户代理，来完成一些为进行信息交换所必需的功能。它包括：文件传送访问和管理FTAM、虚拟终端VT、事务处理TP、远程数据库访问RDA、制造报文规范MMS、目录服务DS等协议；应用层能与应用程序界面沟通，以达到展示给用户的目的。 在此常见的协议有:HTTP，HTTPS，FTP，TELNET，SSH，SMTP，POP3等。

第6层表示层：

主要用于处理两个通信系统中交换信息的表示方式。为上层用户解决用户信息的语法问题。它包括数据格式交换、数据加密与解密、数据压缩与终端类型的转换。

第5层会话层：

在两个节点之间建立端连接。为端系统的应用程序之间提供了对话控制机制。此服务包括建立连接是以全双工还是以半双工的方式进行设置，尽管可以在层4中处理双工方式 ；会话层管理登入和注销过程。它具体管理两个用户和进程之间的对话。如果在某一时刻只允许一个用户执行一项特定的操作，会话层协议就会管理这些操作，如阻止两个用户同时更新数据库中的同一组数据。

第4层传输层：

传输层建立了主机端口到端口的链接，传输层的作用是为上层协议（上层会会话层）提供端口到端口的可靠和透明的数据传输服务，包括处理差错控制和流量控制等问题。该层向高层屏蔽了下层数据通信的细节，使高层用户看到的只是在两个传输实体间的一条主机到主机的、可由用户控制和设定的、可靠的数据通路。我们通常说的，TCP UDP就是在这一层。

第3层网络层：

本层通过IP寻址来建立两个节点之间的连接，为源端的运输层送来的分组，选择合适的路由和交换节点，正确无误地按照地址传送给目的端的运输层。就是通常说的IP层。这一层就是我们经常说的IP协议层。IP协议是Internet的基础。

第2层数据链路层：

  将比特组合成字节,再将字节组合成帧,使用链路层地址 (以太网使用MAC地址)来访问介质,并进行差错检测。

第1层物理层：

处于OSI参考模型的最底层。物理层的主要功能是利用物理传输介质为数据链路层提供物理连接，以便透明的传送比特流。常用设备有（各种物理设备）网卡、集线器、中继器、调制解调器、网线、双绞线、同轴电缆。

TCP/IP五层协议和OSI的七层协议对应关系

 对应的协议关系

 

4.2  基于ping命令的探测

4.2.1  PING

PING命令是我们常用的判断主机之间网络是否畅通，同样也是能判断我们的目标主机是否存活。

┌──(root���xuegod53)-[~]

└─# ping 192.168.1.1 -c 1

PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.

64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=1.24 ms

我们从当前主机到目标主机之间肯定要经过很多网络设备，我们怎么才能知道中间经过了哪些网络设备？

Traceroute命令也可以对路由进行跟踪

┌──(root���xuegod53)-[~]

└─# traceroute www.baidu.com

traceroute to www.baidu.com (220.181.38.150), 30 hops max, 60 byte packets

 1  192.168.1.1 (192.168.1.1)  3.527 ms  4.803 ms  5.231 ms

 2  100.105.0.1 (100.105.0.1)  5.284 ms  5.242 ms  5.190 ms

 3  36.112.226.17 (36.112.226.17)  5.791 ms  5.907 ms  5.853 ms

 4  220.181.0.54 (220.181.0.54)  6.703 ms  7.094 ms  7.452 ms

 5  * * *

 6  220.181.182.26 (220.181.182.26)  7.023 ms 106.38.244.130 (106.38.244.130)  5.310 ms  7.243 ms

 7  * * *

 8  * * *

 9  * * *

10  * * *

然而PING命令也延伸出了很多其他的命令，如ARPING、FPING、HPING等