返回
实验06主机发现

实验06主机发现

ID:22281110

大小:329.00 KB

页数:6页

时间:2018-10-28

实验06主机发现_第1页
实验06主机发现_第2页
实验06主机发现_第3页
实验06主机发现_第4页
实验06主机发现_第5页
资源描述:

《实验06主机发现》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、第6章主机发现6.2.1背景描述黑客入侵m络的过程一般是首先利川扫描工具搜集n标主机或m络的详细信息,进而发现目标系统的漏洞或脆弱点,然后根据脆弱点的位置、详细说明屣开攻击。安全管理员可以利用扫描工其的扫描结果信息及吋发现系统漏洞并采収相应的补救措施,免受入佼者攻击。在黑客和安全管理员利用扫描工爲搜集主机倌息吋,活动主机探测是扫描工其巾工作的第一步,因为只有在去收集网络中存活主机的信息冰有意义,并且只有这样冰能提高扫描的效率。攻击者在知道了TP地址范围后,攻击者接下来就想知道哪些机器是活动的,哪些不是,甚至判断活动主机的类型。比如公司.里一天中不同的时间有不同

2、的机器在活动。一般攻击者在白天寻找活动的机器,然后在深夜再次査找,他就能区分工作站和服务器。因为服务器会一直被使用,而工作站只迕常工作円是活动的。6.2.2工作原理活动主机探测是h'd目标主机或目标主机的指定端u发送探测数据包,并记录目标主机的响应。通过分析响应的数据包來判断H标主机是否存活。活动主机探测技术主要冇:1.ICMPPing。向目标主机发送ICMP回显请求(echorequest,ICMP类型为8)报文,期待从运行的主机得到ICMP回显应答(echoreply,ICMPtype0)报文,从而判断出目标主机的存活状态。通过采用丼行轮转形式发送人量的I

3、CMPping请求,可以用来对一个网段进行人范围的扫射,由此來确定主机存活情况。尽管丼行轮转探测的准确率和效率都比较高,但是一般的边界路由器或防火墙都通过阻塞TCMP数裾报限制了TCMPping探测。ICMP回显请求是标准的ICMPping杏询,除了ICMP回显请求以外,在ICMP扫描技术中也用到NonECHOICMP技术。这种技术中主要用到ICMP时间戳请求、ICMP地址掩码请求和ICMP信息请求。M然这些杏询是用来荻得主机信息如当前时叫成地址掩码,但它们也可以很界易的川于主机发现,即有回应的主机就是活动的主机。当奋些主机封锁了ICMP回显请求数据报而忘了封

4、锁其它的TCMPping查询,这时用NonECHOICMP技术探测活动主机是很有价值的。1.TCPSYNPingo向目标主机的常用端口发送设置标志位为SYN的TCP数据报文,如果鬥标主机处于活动状态,将会返回标志位为SYN

5、ACK或RST的TCP数据报文。在R标主机活动的情况下,如果这个常用端1-1处于关闭的状态,目标主机返MRST数据报文;反之,就进行TCP三次握手的第二步,0标主机就返回SYN

6、ACKTCP数据报文。这种这个常用端口打开的探测是半7T•放的探测,因为探测程序没冇必要去打开一个完全的TCP连接,当探测主机收到SYN

7、ACKTCP数据报文时,马

8、上向FI标主机发送RST包,来终止TCP第三次握手。这种探测的缺点是,必须要冇root权限才能够构造和发送SYN数据包,并.R.在通常情况下,人多数管理员会配置他们路由器或者W它简单的防火墙来封锁SYN数据报文。2.TCPACKpingo向0标主机的常川端U发送设置标志位为ACK的TCP数据报文,如果H标主机处于活动状态,无论这个常用端口打开还是关闭,都会返回标志位为KST的TCP数据报文。这种探测方法也M样需耍root权限。有一种常用的防火墙,它是利用有状态的规则来封锁预期的数据报文,开始这一特性只存在于高端防火墙,但是这些年米他越来越普遍。这些防火墙会根据

9、连接的状态把报文进行分类,通常ACK报文被识别而过滤掉。3.LDPPingo向0标主机的指定端U发送UDP数据包文,如果0标主机处于活动状态,并且所指定端口为关闭的,目标主机会返回1CMP端口无法到达的回应报文;如来指定端口是一个开放的端U,人多服务紧紧忽略这个报文而不做任何M应。因此,这个指定端U通常必须是一些不常用的端LI,因为U有选这些不常用的端口方能保•证此方法的有效性和可行性。这种探测方法可以穿越只过滤TCP的防火墙或过滤器。网络入侵者懂得通过查肴端口扫描程序,并通过相当准确的结果來断定活动主机是一台NT机还是一台Unix机。当攻1:•基于NT的网络

10、时,NetBIOS往往是首选的攻i•对象,通过扫描NetBIOS,攻击者可以获得该活动主机的IP地址、工作组和MAC地址等。川NetBIOS进行信息收集相当界易,M然要花费一点时1川。NetBIOS—般被看作是开销很人的人界景协议,速度往往很慢,这也就足要耗费吋间的原因。如果端U扪描程序报ft端U139在0标机上足开放的,那么第•-步是发出NBTSTAT命令。NBTSTAT命令可以用來查询涉及到NetBIOS倍怠的网络机器。另外,它还4以用来消除NetBIOS高速缓存器和预加载LMHOSTS文件。这个命令在进行安全检查时非常冇用。用于发现活动主机的S描T具育很

11、多,常用的有SuperScan、X_s

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。