返回
实验06主机发现.doc

实验06主机发现.doc

ID:59206450

大小:186.00 KB

页数:6页

时间:2020-09-10

实验06主机发现.doc_第1页
实验06主机发现.doc_第2页
实验06主机发现.doc_第3页
实验06主机发现.doc_第4页
实验06主机发现.doc_第5页
资源描述:

《实验06主机发现.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第6章主机发现6.2.1背景描述黑客入侵网络的过程一般是首先利用扫描工具搜集目标主机或网络的详细信息,进而发现目标系统的漏洞或脆弱点,然后根据脆弱点的位置、详细说明展开攻击。安全管理员可以利用扫描工具的扫描结果信息及时发现系统漏洞并采取相应的补救措施,免受入侵者攻击。在黑客和安全管理员利用扫描工具搜集主机信息时,活动主机探测是扫描工具中工作的第一步,因为只有在去收集网络中存活主机的信息才有意义,并且只有这样才能提高扫描的效率。攻击者在知道了IP地址范围后,攻击者接下来就想知道哪些机器是活动的,哪些不是,甚至判断活动主机的类型。比如公司里一天中不同的时间有不同的机器在活动。一般

2、攻击者在白天寻找活动的机器,然后在深夜再次查找,他就能区分工作站和服务器。因为服务器会一直被使用,而工作站只在正常工作日是活动的。6.2.2工作原理活动主机探测是向目标主机或目标主机的指定端口发送探测数据包,并记录目标主机的响应。通过分析响应的数据包来判断目标主机是否存活。活动主机探测技术主要有:1.ICMPPing。向目标主机发送ICMP回显请求(echorequest,ICMP类型为8)报文,期待从运行的主机得到ICMP回显应答(echoreply,ICMPtype0)报文,从而判断出目标主机的存活状态。通过采用并行轮转形式发送大量的ICMPping请求,可以用来对一个网

3、段进行大范围的扫射,由此来确定主机存活情况。尽管并行轮转探测的准确率和效率都比较高,但是一般的边界路由器或防火墙都通过阻塞ICMP数据报限制了ICMPping探测。ICMP回显请求是标准的ICMPping查询,除了ICMP回显请求以外,在ICMP扫描技术中也用到NonECHOICMP技术。这种技术中主要用到ICMP时间戳请求、ICMP地址掩码请求和ICMP信息请求。虽然这些查询是用来获得主机信息如当前时间或地址掩码,但它们也可以很容易的用于主机发现,即有回应的主机就是活动的主机。当有些主机封锁了ICMP回显请求数据报而忘了封锁其它的ICMPping查询,这时用NonECHOI

4、CMP技术探测活动主机是很有价值的。2.TCPSYNPing。向目标主机的常用端口发送设置标志位为SYN的TCP数据报文,如果目标主机处于活动状态,将会返回标志位为SYN

5、ACK或RST的TCP数据报文。在目标主机活动的情况下,如果这个常用端口处于关闭的状态,目标主机返回RST数据报文;反之,就进行TCP三次握手的第二步,目标主机就返回SYN

6、ACKTCP数据报文。这种这个常用端口打开的探测是半开放的探测,因为探测程序没有必要去打开一个完全的TCP连接,当探测主机收到SYN

7、ACKTCP数据报文时,马上向目标主机发送RST包,来终止TCP第三次握手。这种探测的缺点是,必须要有

8、root权限才能够构造和发送SYN数据包,并且在通常情况下,大多数管理员会配置他们路由器或者其它简单的防火墙来封锁SYN数据报文。3.TCPACKping。向目标主机的常用端口发送设置标志位为ACK的TCP数据报文,如果目标主机处于活动状态,无论这个常用端口打开还是关闭,都会返回标志位为RST的TCP数据报文。这种探测方法也同样需要root权限。有一种常用的防火墙,它是利用有状态的规则来封锁预期的数据报文,开始这一特性只存在于高端防火墙,但是这些年来他越来越普遍。这些防火墙会根据连接的状态把报文进行分类,通常ACK报文被识别而过滤掉。4.UDPPing。向目标主机的指定端口发

9、送UDP数据包文,如果目标主机处于活动状态,并且所指定端口为关闭的,目标主机会返回ICMP端口无法到达的回应报文;如果指定端口是一个开放的端口,大多服务紧紧忽略这个报文而不做任何回应。因此,这个指定端口通常必须是一些不常用的端口,因为只有选这些不常用的端口才能保证此方法的有效性和可行性。这种探测方法可以穿越只过滤TCP的防火墙或过滤器。网络入侵者懂得通过查看端口扫描程序,并通过相当准确的结果来断定活动主机是一台NT机还是一台Unix机。当攻击基于NT的网络时,NetBIOS往往是首选的攻击对象,通过扫描NetBIOS,攻击者可以获得该活动主机的IP地址、工作组和MAC地址等。

10、用NetBIOS进行信息收集相当容易,虽然要花费一点时间。NetBIOS一般被看作是开销很大的大容量协议,速度往往很慢,这也就是要耗费时间的原因。如果端口扫描程序报告端口139在目标机上是开放的,那么第一步是发出NBTSTAT命令。NBTSTAT命令可以用来查询涉及到NetBIOS信息的网络机器。另外,它还可以用来消除NetBIOS高速缓存器和预加载LMHOSTS文件。这个命令在进行安全检查时非常有用。用于发现活动主机的扫描工具有很多,常用的有SuperScan、X-scan、流光、Nmap、局域网入侵

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。