文档介绍:第6章黑客入侵技术
端口扫描
网络监听
IP电子欺骗
拒绝服务攻击
特洛伊木马
E-mail 炸弹
缓冲区溢出
端口扫描
端口扫描简介
扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用它扫描TCP端口,并记录反馈信息,可以不留痕迹地发现远程服务器中各种TCP端口的分配、提供的服务和它们的软件版本。这就能直观地或间接地了解到远程主机存在的安全问题。
端口扫描的原理
下面介绍入侵者们如何利用上述这些信息,来隐藏自己的端口扫描。
connect( )扫描
SYN扫描
FIN扫描
扫描
recfrom( )和write( )扫描
端口扫描的工具
NSS,即网络安全扫描器,是一个非常隐蔽的扫描器。
SATAN的英文全称为Security Administrator Tool for works,即安全管理员的网络分析工具。SATAN是一个分析网络的安全管理、测试与报告工具。
Strobe是一个超级优化TCP端口检测程序,能快速地识别指定机器上正运行什么服务,用于扫描网络漏洞。它可以记录指定机器的所有开放端口。
网络监听
网络监听的原理
当信息以明文的形式在网络上传播时,黑客就可以使用监听的方式来进行攻击。只要将网络接口设置为监听模式,便可以源源不断地将网上传输的信息截获。监听只能是同一个网段的主机。这里同一个网段是指物理上的连接,因为不是同一个网段的数据包,在网关就被滤掉了,传不到该网段来。
网络监听的最大用处是获得用户口令。
网络监听是黑客们常用的一种方法。
,信息被监听的可能性。
不同的数据链路上传输的信息被监听的可能性
数据链路
监听的可能性
说明
高
网是一个广播型的网络,的大多数包监听事件都是一些运行在一台计算机中的包监听程序的结果,这台计算机和其他计算机,一个网关或者路由器形成一个以太网
FDDI
Token_ring
高
尽管令牌网内在的并不是一个广播网络,但实际上,带有令牌的那些包在传输过程中,平均也要经过网络上一半的计算机,高的数据传输率可以使监听变得困难
电话线
中等
电话线可以被一些与电话公司协作的人或者—些有机会在物理上访问到线路的人搭线窃听,在微波线路上的信息也会被截获;在实际中,高速的调制解调器将比低速的调制解调器搭线窃听困难一些,因为高速调制解调器中引入了许多频率
IP通过有线电视
高
许多已经开发出来的、使用有线电视信号发送IP数据包的系统都依靠RF调制解调器,RF调制解调器使用—个TV通道用于上行;一个用于下行;在这些线路上传输的信息没有加密,因此,可以被一些能在物理上访问到TV电缆的人截听
微波和无线电
高
无线电本来就是一个广播型的传输媒介,任何有一个无线电接收机的人都可以截获那些传输的信息
当主机工作在监听模式下,那么,无论数据包中的目标物理地址是什么,主机都将接收。
如果一台主机处于监听模式下,它还能接收到发向与自己不在同—子网(使用了不同的掩码、IP地址和网关)的主机的那些信息包。
网络监听的检测
(1)方法一
对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址去ping,运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址,处于监听状态的机器能接收。
(2)方法二
往网上发大量不存在的物理地址的包,由于监听程序将处理这些包,会导致性能下降。通过比较前后该机器性能(icmp echo delay等方法)加以判断。