了解***的初级阶段---网络信息探测技巧
生活随笔
收集整理的這篇文章主要介紹了
了解***的初级阶段---网络信息探测技巧
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
了解***的初級階段---網(wǎng)絡(luò)信息探測技巧 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
?
?
1、快速建立TCP掃描的方法 ??? 我們都有一個(gè)經(jīng)驗(yàn),就是要網(wǎng)卡工作到高速率上不容易,<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />100M的網(wǎng)卡流量到60M時(shí)就差不多了。但是很多做測試儀器的,如Smartbit在測試時(shí)可以到物理帶寬,看了下面的小工具你也能做到了: 先了解一些TCP的基礎(chǔ),TCP的會話過程(三次握手): n???????? A發(fā)送SYN到B,生成ISN-A(A收到包編號基數(shù)),ISN為防止連接中數(shù)據(jù)接收順序差錯(cuò)的編號,初始值在建立連接時(shí)隨機(jī)生成,以后開始遞增。ISN為通訊的雙向ISN-A與ISN-B,各自記錄自己的包順序 n???????? B回送SYN/ACK到A,生成ISN-B(B收到包編號基數(shù)),AN=ISN-A+1 n???????? A發(fā)送SYN到B,ISN-A+1,AN=ISN-B+1 在TCP包頭序列號SN字段,存放在對話初協(xié)商隨機(jī)的32位編號ISN 主機(jī)在發(fā)送SYN時(shí),要在會話內(nèi)存中保留ISN與預(yù)期的AN,等待回送的SYN/ACK,并與收到的包中的作對比,一致的才認(rèn)可,防止其他“冒充”的數(shù)據(jù)包,若等待時(shí)間超出,則重發(fā)幾次SYN,直到有回應(yīng),或返回一個(gè)超時(shí)的錯(cuò)誤。一般在掃描過程中,多數(shù)連接是沒有回應(yīng)的,但都要等待到超時(shí)才結(jié)束,因?yàn)橥瑫r(shí)建立的會話多,計(jì)算機(jī)消耗資源多,尤其是內(nèi)存,所以多數(shù)的掃描工具速度較慢。 逆向SYN cookie技術(shù):在發(fā)送SYN時(shí),使用非隨機(jī)的ISN,利用源與目的IP、源與目的端口,與一個(gè)作為“密鑰”的種子(共160位)(該種子是掃描工具設(shè)置的),通過單向散列函數(shù)計(jì)算出一個(gè)32位的ISN,Scanrand工具采用的是SHA-1,160位輸出截取到32位。這樣發(fā)送SYN時(shí),就不記錄ISN等信息,發(fā)送進(jìn)程只管盡快發(fā)送。當(dāng)目標(biāo)回應(yīng)時(shí),監(jiān)聽進(jìn)程把接收數(shù)據(jù)包的AN減1,然后利用數(shù)據(jù)包的IP與端口信息,與“種子”一起進(jìn)行同樣的散列算法處理,的出發(fā)送時(shí)的ISN,如果與收到的數(shù)據(jù)相匹配,監(jiān)聽進(jìn)程就可以判定是自己發(fā)送的,并且可以知道目的的IP與端口。 由于發(fā)送無需等待回應(yīng),也不用內(nèi)存占用,所以掃描發(fā)送的速度只受網(wǎng)卡的物理限制。 Scanrand的TCP掃描的返回值: 2??????? UP:打開SYN/ACK 2??????? DOWN:關(guān)閉RST/ACK 2??????? un**:ICMP type 3目的不可達(dá)(RFC792):un01主機(jī)不可達(dá),un03端口不可達(dá) 2??????? ***:ICMP type 11服務(wù)超時(shí) ??? 另外,逆向SYN cookie技術(shù)把發(fā)送與接收過程的聯(lián)系分開,因?yàn)橹g的聯(lián)系“沒有”了,這樣掃描工具可以分別起兩個(gè)進(jìn)程,一個(gè)只管發(fā),另一個(gè)只管收,大大提供掃描的效率。?
2、 躲避IDS監(jiān)測的探測掃描技巧 ***的第一步是收集信息階段,也就是收集目標(biāo)是漏洞點(diǎn),俗稱“踩點(diǎn)”。踩點(diǎn)的主要是工作為幾個(gè)方面: ????????? 確定目標(biāo)系統(tǒng)的操作系統(tǒng)類型與版本 ????????? 開啟服務(wù)的端口 ????????? 開啟服務(wù)的版本信息 原理:探測掃描的真正風(fēng)險(xiǎn)在于向目標(biāo)發(fā)送太多的數(shù)據(jù)包暴露***者的存在,這些通訊中常包含一些構(gòu)成可識別簽名的數(shù)據(jù),其中一些被有意構(gòu)建為畸形的數(shù)據(jù)包,以便得到可辨識的錯(cuò)誤信息回復(fù)。很多***檢測系統(tǒng)(IDS)把這些簽名作為“特征”進(jìn)行查找,從而識別***的掃描行為。尤其是純粹的TCP方式。 Xprobe2工具混合了ICMP、TCP與UDP多中方式,并且不發(fā)送畸形數(shù)據(jù)包,探測行為不給網(wǎng)絡(luò)帶來“噪音”,所以能躲避很多IDS的檢測。同時(shí)利用IDS一般喜歡有產(chǎn)生大量日志或假報(bào)警的習(xí)慣,用一些表面上看是偶爾可疑的事件,尤其是在大數(shù)量事件的背景下,很容易逃脫安全管理人員的眼睛。 探測操作系統(tǒng)類型: 例子1: ICMP的PING是網(wǎng)絡(luò)中常見的連接查詢方式,但很多“指紋”細(xì)節(jié)可以帶來探測中需要的重要信息。正常情況下發(fā)送ICMP Echo Request,目標(biāo)機(jī)器一般回復(fù)為Echo Reply。工具Xprobe2在發(fā)送Request時(shí),把ICMP包的Code字段設(shè)為123(自己定義的),而不是0。有意思的是不同操作系統(tǒng)的目標(biāo)機(jī)器回復(fù)是不同的,Microsoft Windows會用Code 0回復(fù),其他OS一般采用與請求相同的Code值回復(fù)。 探測服務(wù)端口是否帶開: 例子2:正常情況下,探測服務(wù)端口會對常見的端口或全部端口直接發(fā)送連接建立請求包,密度大,排列整齊,很容易被IDS發(fā)現(xiàn)。為了在探測目標(biāo)端口是否打開時(shí)躲避IDS的監(jiān)控,工具Xprobe2采用了一個(gè)“第三方模擬”的技術(shù)。Xprobe2先自己給本地DNS發(fā)個(gè)某地址DNS請求,得到正確的返回包。然后Xpeobe2把這個(gè)返回包改造為自己是DNS服務(wù)器,給目標(biāo)機(jī)器的返回包,發(fā)送DNS端口(53),查詢端口就是目標(biāo)中要探測的端口,如UDP65500。目標(biāo)機(jī)器收到這個(gè)包很意外,因?yàn)樽约簺]有發(fā)過請求,所以就給了一個(gè)正常的回復(fù),如端口不可達(dá),而這正式Xprobe2所需要的,回復(fù)中表明該端口關(guān)閉。因?yàn)?/span>DNS包不會引起IDS的注意,從而掩蓋了探測的行為。 探測服務(wù)端口上的服務(wù)類型信息: 該需求對常見服務(wù)是不必要的,但對于網(wǎng)絡(luò)管理人員采用了很多“安全”措施后,也就變得很需要了。“不公開,即安全”是一種傳統(tǒng)的安全理念,所以網(wǎng)管人員采用一些非標(biāo)準(zhǔn)端口運(yùn)行通常的網(wǎng)絡(luò)服務(wù),讓探測者失去“目標(biāo)”,保證安全。 作為掃描者需要探知端口上的服務(wù)詳細(xì)信息,作為網(wǎng)絡(luò)管理員需要探知網(wǎng)絡(luò)內(nèi)用戶安裝了那些公司不允許的“服務(wù)”。 Amap([url]www.thc.org[/url])是探測端口服務(wù)的工具。主要的原理是通過開啟多個(gè)連接,抓取該端口服務(wù)的“特征”,從而判斷服務(wù)的類型。如Telnet到到端口,即可提示服務(wù)類型與版本信息等。但是服務(wù)“特征”不明顯或被修改時(shí),這種方式就難以奏效。Amap通過模擬一些查詢或會話建立的初始請求,嘗試與目標(biāo)建立連接,從而探測服務(wù)的類型與版本。如SSL服務(wù)需要握手的三個(gè)步驟:1、Client_hello。2、Server_hello。3、Server-to-client certificate transfer 當(dāng)然,該工具積累了一個(gè)龐大的常見應(yīng)用模擬通訊數(shù)據(jù)庫。 Amap也是網(wǎng)管人員的好工具,可用來發(fā)現(xiàn)用戶安裝的、未經(jīng)授權(quán)的服務(wù),尤其是對經(jīng)常變化端口號,隱藏公司不允許的服務(wù)的情況,如P2P、VNC遠(yuǎn)程桌面等。?
3、 不可小看的ARP協(xié)議 ARP是通訊中匹配IP地址與MAC地址的協(xié)議,是TCP/IP通訊的基礎(chǔ),當(dāng)主機(jī)要給目標(biāo)發(fā)送數(shù)據(jù)時(shí),首先通過DNS協(xié)議把www地址(應(yīng)用層地址)翻譯成目標(biāo)IP地址(網(wǎng)絡(luò)層地址),再通過ARP協(xié)議把IP地址影射為目標(biāo)的MAC地址(數(shù)據(jù)鏈路層地址)(可能是網(wǎng)關(guān)而非真正的目標(biāo)計(jì)算機(jī)),數(shù)據(jù)才可以發(fā)送。在Hub時(shí)代,大家通訊都是可監(jiān)聽到的,MAC地址的廣播與更新相對簡單,但到了Switch時(shí)代,沖突域“沒有了”,其他兩人的通訊也不再是你能隨意獲得的,所以ARP也有了新的發(fā)展。 ????????? 代理ARP(proxy ARP):在很早的時(shí)候,目標(biāo)主機(jī)與源主機(jī)不在一個(gè)網(wǎng)段時(shí),ARP的廣播會網(wǎng)關(guān)設(shè)備截止而拋棄,目標(biāo)主機(jī)就聽不到,當(dāng)然就無法回答。所以網(wǎng)絡(luò)中有一個(gè)“管理者”負(fù)責(zé)把不是本網(wǎng)段的ARP請求統(tǒng)一管理,代理這些請求,讓源主機(jī)先發(fā)送給自己,再由自己發(fā)送給目標(biāo)機(jī)器,這就是ARP代理。后來主機(jī)內(nèi)都設(shè)置了默認(rèn)網(wǎng)關(guān)地址,當(dāng)主機(jī)發(fā)現(xiàn)目標(biāo)主機(jī)不在本網(wǎng)段時(shí),直接發(fā)送給設(shè)備的網(wǎng)關(guān)。所以直接請求網(wǎng)關(guān)的MAC地址就可以了。雖然ARP代理已經(jīng)很少使用,但想偵聽別人通訊的人也可以冒充網(wǎng)關(guān),從而代理你的業(yè)務(wù)。 ????????? 查詢ARP(Unsolicited ARP,也稱未經(jīng)同意的ARP):在主機(jī)開機(jī)時(shí),初始化TCP/IP棧,并向準(zhǔn)備使用的IP地址發(fā)送一個(gè)ARP請求,查看網(wǎng)絡(luò)中是否有地址沖突。當(dāng)請求沒有收到答復(fù)時(shí),可以放心使用該IP地址。當(dāng)然TCP/IP規(guī)定在發(fā)送方不知道目標(biāo)的MAC時(shí),都要先發(fā)送查詢ARP,等待目標(biāo)者答復(fù),沒有目標(biāo)MAC是沒有辦法組織發(fā)送包的。 ????????? 免費(fèi)ARP(Unicast ARP,Gratuitous ARP,也稱無故ARP):因?yàn)榫W(wǎng)絡(luò)設(shè)備(交換機(jī))中的FDB轉(zhuǎn)發(fā)表(MAC地址對應(yīng)端口)和主機(jī)ARP緩存表(IP地址對應(yīng)MAC地址)都是動態(tài)學(xué)習(xí)刷新的,一段時(shí)間沒有數(shù)據(jù)包就會“老化”而刪除,所以為了刷新這些會“學(xué)習(xí)”的表格,直接發(fā)送ARP應(yīng)答,由于是自己主動發(fā)送的,并且此ARP應(yīng)答不是針對某個(gè)地址,而是針對本網(wǎng)段的廣播,所以稱免費(fèi)ARP。一種情況是主機(jī)在開機(jī)時(shí)會發(fā)送免費(fèi)ARP,目的是告訴網(wǎng)絡(luò)“我來了”,同時(shí)通知交換機(jī)在對應(yīng)的端口上記錄自己的MAC。另一種情況是有些主機(jī)與網(wǎng)絡(luò)設(shè)備為了保持自己在別人緩存中不被老化,定期發(fā)送的刷新提示,這樣當(dāng)有人給自己發(fā)數(shù)據(jù)時(shí),就不用因?yàn)榈刂防匣l(fā)送ARP請求再重新查找了。Cisco的網(wǎng)絡(luò)設(shè)備就有定期發(fā)免費(fèi)ARP的習(xí)慣。 ??? ARP是MAC地址學(xué)習(xí)的工具,所以免費(fèi)ARP一般很常見,安全設(shè)備會忽視他是存在,從而成為***者監(jiān)聽的工具。 ARP下毒***原理:***方的目標(biāo)是成為通訊雙方的ARP代理,也稱作中間人***,具體是通過免費(fèi)ARP,快速刷新通訊雙方的主機(jī)ARP緩存,讓雙方都認(rèn)為對方的IP地址對應(yīng)的MAC地址就是中間人的,從而在他們雙方通訊時(shí)把數(shù)據(jù)“誤送”給了中間人,再由中間人代理給對方。 中間人***若模擬自己是網(wǎng)關(guān),則可以代理網(wǎng)段上所有主機(jī)對外的通訊,所以網(wǎng)關(guān)設(shè)備對網(wǎng)絡(luò)上的冒充自己IP的行為一向非常重視。?
轉(zhuǎn)載于:https://blog.51cto.com/zhaisj/60946
總結(jié)
以上是生活随笔為你收集整理的了解***的初级阶段---网络信息探测技巧的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 屈服强度(说一说屈服强度的简介)
- 下一篇: 光纤介绍