|
【第77期实录】剖析网络扫描原理、常用工具、防护措施及实践经验
[QUOTE]
[size=5][color=red][b]剖析网络扫描原理、常用工具、防护措施及实践经验[/b][/color][/size]<br><br><br>
     本期专家门诊主题针对网络扫描技术展开,重点是网络扫描原理、常用工具、防护措施及实践经验。网络扫描包括网络层面的漏洞、系统漏洞、应用漏洞。扫描工具分为网络层面的扫描工具,系统层面的扫描工具,应用层面的扫描工具。安全专家用扫描来检查自己的网络和应用是否安全,黑客用扫描来检查试图攻击的网络和应用的漏洞。这些网络工程师应用最为广泛的技术,都将在这里深入探讨。欢迎大家前来参与。<br><br>
[color=blue][b]参考资料:[/b][/color]<br>
[attach]88178[/attach]
[/QUOTE]
[QUOTE]
[b][color=Red]活动时间:[/color][/b]<br><br>
此次活动时间是07月24日下午14:00点-17:00点,请大家在提问的时候保持跟这期活动的主题密切相关,方便问题有针对性的及时处理,严禁灌水,谢谢!
[/QUOTE]
[QUOTE]
[color=Red][b]专家介绍:邹可见[/b][/color]<br>
[attach]87972[/attach]<br><br>
[color=red]北京信诺瑞得资深网络工程师[/color] <BR>从事网络维护工作六年,擅长网络、系统、数据库维护及网络安全技术。02年在富士康科技集团任职网络工程师,主要负责思科交换机,路由器,防火墙维护。04年在龙昌国际任职高级网络工程师,主要负责集团核心网络和linux/unix系统维护。06年在嫁我网任职高级系统工程师,负责运营平台网络,网络安全,系统和数据库维护。08年至今在北京信诺瑞得任职资深网络工程师,主要负责多种产品的售前售后技术支持。<br><br>
[url=http://zoukejian.blog.51cto.com][color=red][u]点击进入邹可见的博客>>>[/u][/color][/url]
[/QUOTE]
[QUOTE]
[color=Red][b]门诊活动奖品:[/b][/color]<br><br>
1、参与门诊提问的用户,可获得由系统颁发的[color=Blue]10点无忧币[/color]。<br><br>
2、参与用户可获得[color=blue]“专家门诊纪念勋章”一枚(时效一周)[/color],到下期专家门诊活动时结束。
[/QUOTE]
[QUOTE]
[color=Red][b]注意事项:[/b][/color]<br><br>
专家门诊活动进行当中仅对本站会员开放,如果您想参与提问,或者是查看专家回复请点击<a href='javascript:showlogin2()'><font color=red>登陆>>></font></a>
[/QUOTE]
[QUOTE]
     [url=http://bbs.51cto.com/thread-99565-1-1.html][color=red]申请成为门诊专家>>[/color][/url]<br><br>
     [url=http://doctor.51cto.com][color=Red]历届专家门诊及活动规则流程介绍>>[/color][/url]
[/QUOTE] |
| tomsli1982 | | 2008-7-17 09:35 |
|
| 哇,沙发!!哈哈!! |
| tomsli1982 | | 2008-7-17 09:45 |
|
安全方面一直是关注对象,希望这次能有大的收获。
先提几个问题:
1、请推荐几款网络攻防的经典扫描工具
2、各种扫描工具的实现原理,本质是什么?
3、扫描工具所实现的一些功能所对应的windows和linux的命令行?请举例说明。
4、针对各种攻击方式的防护方式?请举例说明。
[quote]
[color=Red][b]专家回复:[/b][/color]
这些问题都很好。
1. 经典的扫描工具很多,我只能推荐一下自己使用过的工具:
端口和服务:nmap, amap
系统:nessus, xscan, MBSA,Xprobe2
(WEB)应用:nikto,appscan
另外建议试试[url=http://www.doxpara.com/]Scanrand[/url],并理解一下其工作机制,体会一下什么是真正的黑客。
去insecure.org 看看吧,什么安全工具都有,很全很强大。
2. 就端口扫描而言,其实就是向目标的各个端口(1-1024,一般扫描工具默认的端口范围,不过可以设置为1-65535)发送数据包,端口号可能是依次递增,也可能是随机的。不同的扫描方法,发送的数据包其头部标志不一样,比如TCP方式的扫描,就会因为使用的是半开扫描,全扫描,steath scan(ACK扫描,NULL扫描,XMAS扫描,FIN扫描,SYN扫描等等)而发送不同的数据包,UDP和 ICMP方式的扫描比较简单。然后检查目标是否回应了数据包,回应的什么数据包,从而判断出相应的端口是否开放着。建议去研究nmap支持的扫描方式。
端口扫描往往能够侦测出开发端口上是什么服务和软件在监听。
什么是漏洞?漏洞就是软件里面的bug,这些bug可能会导致软件执行软件开发人员不希望的动作,产生破坏性的后果。
至于系统和应用漏洞扫描,其实就是事先得知了特定应用的代码里面的bug,并且知道这些bug在接收到特定的数据的时候,会产生什么的返回值或者执行什么操作,这些就是所谓的signature,很多的signature放在一起,就组成了特征库,由于漏洞在不断被发现,signature在不断的添加,所以,我们需要在进行漏洞扫描之前,升级漏洞扫描的特征库。扫描的时候,扫描工具就向目标发送特定的数据,然后观察其返回值或者其执行的动作,从而得知其是否存在这个漏洞。
通常情况下,扫描结果报告里面会有扫描到的漏洞的修复建议。
3. 就端口扫描而已,您可以用telnet来检查某个端口是否开放着,而且,很多应用很傻很天真,在完成三次握手后,会把自己的banner显示出来,以至于您可以知道其软件和版本。对于HTTP应用,您也可以在telnet 上去之后,发送特定的HTTP头部字段,检查WEB服务器在处理这些特定的头部字段的时候,是否出现了有某些漏洞的迹象,从而判断其是否有这些漏洞,当然wget也是不错的选择。有很多的数据包构造工具,比如nemesis,hping可以用来构造特定数据包,发送给目标,观察其响应,也有助于判断是否存在特定的漏洞。
4. 建议去看看我的博文,《我谈网络扫描》系列,《OHID OSSEC 安装指南》,《Snort 安装指南》
[/quote]
[[i] 本帖最后由 zkjian517 于 2008-7-24 12:48 编辑 [/i]] |
| freefly310 | | 2008-7-17 10:00 |
|
| 恩,正准备学习!!! |
|
回复 #3 tomsli1982 的帖子
请参考我写的网络扫描的系列文章:[url]http://zoukejian.blog.51cto.com/131276/60710[/url] |
| chinahqijun | | 2008-7-18 03:08 |
|
| 能够学习更新 |
|
如何从根本上解决网络扫描问题。做端口隔离可以解决吗
[quote]
[color=Red][b]专家回复:[/b][/color]
端口隔离是将交换机的端口在物理层隔开,让连接到这些端口的设备不能通信。既然都不能通信了,当然也就扫描不了。但是,通常情况下不会用端口隔离来解决网络扫描,因为我们是在网络能够正常通信的前提下,讨论怎样解决网络扫描。
在鱼目混珠的互联网上,网络扫描无时不在,但是它不是什么严重的安全威胁,花费太多的投入来试图根本解决它往往得不偿失。所以,只要能够及时发现网络扫描,比如部署IDS/IPS,并加以封堵即可,不需要从根本上解决,也不能从根本上解决。
[/quote]
[[i] 本帖最后由 zkjian517 于 2008-7-24 12:49 编辑 [/i]] |
|
目前在网络管理的一些网络管理软件还是比较实用,希望有提供免费的软件
[quote]
[color=Red][b]专家回复:[/b][/color]
linux下大多数网管软件都是免费甚至开源的,比如mrtg建议(初学者用cacti,建议高手用rrdtools),nagios,iptraf,awstat,nmap等等等等,
windows下也有一些免费的网管软件,不过数量很少,我用过的只有fopen和MS的一些工具,您可以去MS的网站上看看。
当然,很多原本是linux下的工具,也逐渐移植到windows上了。
有一个windows下的网管软件,sitescope,不是免费的,但是我觉得它确实不错,建议您想办法试用一下。
[/quote]
[[i] 本帖最后由 zkjian517 于 2008-7-24 12:39 编辑 [/i]] |
|
我想对一个远程网络进行全面扫描,而我所知道的扫描工具都是对局域网有用的,您有什么办法吗?
顺便问一下应对的策略
[quote]
[color=Red][b]专家回复:[/b][/color]
扫描工具不关心自己扫描的对象是局域网还是远程网络,它都用同样的方式进行扫描。
您说扫描工具都在局域网有用,大概是说网络层面的端口扫描工具和系统层面的漏洞扫描工具吧。确实如此,扫描局域网内的主机和网络设备,由于没有防火墙阻挡,效果会很好,能够扫描到设备上开放的所有端口和系统层面的漏洞,不过,如果您要扫描的远程网络没有部署网络层防火墙,那么您同样可以获得充分有用的信息。但是,如果设备部署了主机型防火墙,比如linux下的iptables,网络设备上的ACL,那么,即使在局域网内部,同样不能扫描到所有端口和系统漏洞,这个时候,就跟扫描部署了网络层防火墙的远程网络一样。
如果您打算做应用层扫描,比如扫描网站的漏洞,那么不管是局域网上的网站还是远程网络上的网站,获得的结果是一样的。
我认为防火墙是应对端口扫描和系统扫描的有力工具,所以,配置好你的防火墙,这两类扫描对您的网络就不是什么威胁了。
至于应用漏洞扫描,防火墙就无能为力了,可以借助IPS来加以检测和自动拦截。我的博客上有较多的文章讲述跟扫描和网络安全相关的主题。
我没有办法让您像扫描裸奔的局域网主机一样扫描部署了网络防火墙的远程网络,不过你可以试试firewalk,它可以帮助您发现远程网络防火墙后面的路由情况,另外,可以试试能不能在那个网络里面找一个傀儡来帮你,呵呵。即使如此,如果是我维护的网络和系统,您仍然不可能扫描到多少有用的信息,因为,能够被您搞定的系统(比如HTTP服务器)除了能够主动连接到DB 的1521之外,不能访问跟自己在同一个网络的任何机器。
[/quote]
[[i] 本帖最后由 zkjian517 于 2008-7-24 12:40 编辑 [/i]] |
|
温馨提示
建议大家在周四前把想问的问题贴出来,这样我就有充分的时间去思考大家的提问,回答好大家的问题,给大家有用的答案。 |
| options-future | | 2008-7-19 13:48 |
|
非常关注!
支持! |
| dongdong123 | | 2008-7-20 06:17 |
|
| 学习中 |
|
实践很重要
多给一些具体的攻击实例
[quote]
[color=Red][b]专家回复:[/b][/color]
首先,扫描不是具体的攻击,扫描只是入侵的一个阶段--第一阶段,称之为侦查,目的是收集试图攻击的目标的信息,找出可以利用(exploit)的漏洞,仅此而已。
其次,我们可以简单探讨一下攻击理论。攻击通常分为两大类,第一类是实实在在的攻击,比如DDOS,teardrop,land 攻击,这些攻击或者通过发送大量的假源地址数据包或者异常数据包给目标,耗尽目标的网络带宽或者服务器资源,导致目标瘫痪,不能处理正常请求。第二类称之为入侵,就是通过利用目标的漏洞,通常是系统或者应用漏洞,达到控制目标,进而让目标为“attacker”服务(网络嗅探应该属于这种类别的攻击)。常规漏洞请参考sans top10,web应用漏洞请参考owasp文档。网络扫描的重要目标就是要发现这些容易被利用的漏洞并修复。
再次,我们可以简单探讨一下攻击实践。如果你只是想简单攻击一下目标,那么网络上的DDOS工具很多,fdos就很暴力,不过不要忘了,你拥有的带宽是否大于目标所在网络的带宽。如果你想攻击一个网站,那么可以找出互联网上的开放HTTP代理,然后写一个shell脚本,循环执行wget命令。如果想入侵,那么就要麻烦点了,如果目标主机没有配置防火墙(听起来好像不可思议,其实这种事情时有发生),那么可以试试暴力破解帐号密码,比如SSH暴力破解,远程桌面暴力破解或者ftp暴力破解,说不准就能够碰上用户名和密码都very simple 的帐号(听起来同样不可思议,但是确实时有发生,尤其是那种开发人员的帐号),我的博客上有几篇讲述暴力破解的文章。如果是网站,而且网站使用了脚本语言,那么可以尝试能不能上传web shell上去,如果能够上传上去,那么试试能不能执行这些web shell,如果可以,那么也成功了,关于web shell,请参考我的博文《说说 WEB SHELL》,如果网站使用了CGI技术,那么可是试试能不能用命令注入方式进行攻击(另外一种注入攻击,SQL 注入攻击,主要用来获取网站的登录帐号或者破坏网站的数据库,往往要求掌握SQL语言才能有效执行SQL注入攻击)。如果这里两种方法都搞不定,那么可以试试渗透工具,比如metasploit,或许能够发现可以利用的漏洞。如果幸运,侵入了一台机器,可以用网络嗅探工具继续扩大入侵范围,比如cain,ettercap,dsniff等就很不错。攻击的方式实在太多了,而我玩过的实在太少,在此只能简单叙述。
最后,我没有攻击过别人,只是“攻击”过自己维护的网络和系统,检查其抗攻击的能力。
不要去攻击别人的网络,做网络安全的人,很辛苦,请不要给他们添麻烦。
[/quote]
[[i] 本帖最后由 zkjian517 于 2008-7-24 12:41 编辑 [/i]] |
|
| 关注ing...2楼的问题也是我想问地...有请专家。 |
|
我请教一个系统安全方面的问题,不知道专家可不可以帮我解答。
我前几天定期杀毒,杀出来两个木马,杀掉后电脑就瘫痪了,至今还是不明白怎么回事。
不过更倒霉的是重装系统后,刚把应用软件装完,突然发现任务管理器打不开了,无论是Alt+Ctrl+Del还是右击任务栏,都没用。
用最新的卡巴杀了,没毒;系统也没有漏洞;上百度查了,修改注册表,也没有用;
到底是中毒了还是怎么了?电脑倒是一点都不卡,重做的系统比以前还快些,我暂时不想再重装一遍系统,
不知道有没有什么好的法子解决。
[quote]
[color=Red][b]专家回复:[/b][/color]
实在很抱歉,我对客户机安全没有什么研究。
我google了一下,找到一个跟你描述的症状很相似的答案,您可以试试,[url=http://ask-leo.com/why_is_my_task_manager_disabled_and_how_do_i_fix_it.html]http://ask-leo.com/why_is_my_task_manager_disabled_and_how_do_i_fix_it.html[/url]
技术资料查询,建议google,最好查询英文。
[/quote]
[[i] 本帖最后由 zkjian517 于 2008-7-24 12:42 编辑 [/i]] |
|
使用TomCat弱口令扫描工具
扫描了有一分钟吧就出现这种情况重新下也不行不知道怎么回事
出现 "thread creation error储存空间不足"
[quote]
[color=Red][b]专家回复:[/b][/color]
“Apache Tomcat Crack后台弱口令扫描.同时也可以扫路由器,视频等.
修了一个小错误
运行平台:请在2k或2k3
XP会出错的哦”
不知道您用的是不是这个软件,如果是的话,应该注意其提示。
可以看出,这是代码问题,导致运行时错误,这也是某些国产免费软件的一大特色。
口令破解软件很多,我一般都不用国产的,我也建议你尽量用国外的免费软件。这个网址列举了著名的口令破解软件,[url=http://sectools.org/crackers.html]http://sectools.org/crackers.html[/url],我挺喜欢其中的 brutus,THC-Hydra(在线口令破解软件)和john the ripper(离线口令破解软件,需要事先取得口令文件,比如/etc/shadow),你可以挑几款试试。
[u]我曾经写过一篇口令破解文章《暴力破解[/u]HTTP验证检测页面口令强度》,不妨看
看。我还写过一篇防护暴力破解的文章《用 swatch 搞定 ftp 暴力破解问题》,虽然是讲防止ftp暴力破解,但是对于防止其他暴力破解,应该有一些启发意义。
[/quote]
[[i] 本帖最后由 zkjian517 于 2008-7-24 12:43 编辑 [/i]] |
| max2535592 | | 2008-7-21 06:41 |
|
| 恩!很看重这个专题!希望老师能给好好讲解一下! |
相关文章:
【第84期专家门诊】深入剖析DNS应用及域控制器配置与维护
【第83期实录】解析企业网病毒查杀、防护措施及安全管理方案
【第82期实录】Java 之Hibernate对象持久化技术应用及实例探讨
【第81期实录】案例精解---企业级网络构建
【第80期实录】深入理解域之AD活动目录企业应用及案例分享
Powered by 51CTO.COM
|