《网络安全技术与实践》第一篇+网络安全分析ppt课件.ppt

网络安全技术与实践课件 制作人：蒋亚军,网络安全技术与实践（课件）人民邮电出版社2012 年,蒋亚军 编著,知识4 流氓软件,“流氓软件”通俗的讲是指那些在人们使用电脑上网时，产生不受人控制，不断跳出的与用户打开的网页不相干的奇怪画面，或者是做各种广告的软件。,知识4 流氓软件,流氓软件与正常软件的区别“流氓软件”是指介于病毒和正规软件之间的一类软件。计算机病毒是指那些自身具有或使其它程序具有破坏功能，能够危害用户数据，或具有其它恶意行为，而且能够自我复制的程序。正规软件指的是那些为方便用户使用计算机工作、娱乐而开发的，面向社会公开发布的软件。 “流氓软件”介于两者之间，同时具备正常功能和恶意行为，给用户带来实质危害。,一、流氓软件概述,流氓软件的起源 在国外最早称为“Badware”，在著名的StopBadware.org网站上，对“Badware”的定义是：是一种跟踪你上网行为并将你的个人信息反馈给“躲在阴暗处的”市场利益集团的软件，并且，他们可以通过该软件能够向你弹出广告。“Badware”可分为“间谍软件（spyware）、恶意软件（malware）和欺骗性广告软件（deceptive adware）。,一、流氓软件概述,2. 流氓软件的特征强制性。流氓软件一般总是强行或秘密侵入用户电脑，不需要用户容许其下载；强行弹出广告。这是这种软件存在的价值，借此获取商业利益；偷偷监视电脑用户上网行为。记录用户上网行为习惯，或窃取用户账号密码；强行劫持用户浏览器或搜索引擎，妨害用户浏览正常的网页。,流氓软件特点,强制安装 指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装软件的行为。难卸载 指不提供卸载方式，或不受其他卸载软件的影响，人为破坏比较困难，卸载后仍活动。浏览器劫持 指未经许可，自动修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网。广告弹出 指未明确提示或未经用户许可的情况下，利用安装在用户计算机或其他终端上的软件弹出广告的行为。恶意收集用户信息：指未明确提示用户或未经用户许可，恶意收集用户信息的行为。恶意卸载 指未明确提示用户、未经用户许可，或误导、欺骗用户卸载非恶意软件的行为。恶意捆绑 指在软件中捆绑已被认定为恶意软件的行为。,二、 “流氓软件”的类型,广告软件（Adware） 广告软件是指未经用户允许，下载并安装在用户电脑上；或与其他软件捆绑，通过弹出式广告等形式牟取商业利益的程序。此类软件往往会强制安装并无法卸载，在后台收集用户信息牟利，危及用户隐私；频繁弹出广告，消耗系统资源，使其运行变慢等。例如：用户安装了某下载软件后，会一直弹出带有广告内容的窗口，干扰正常使用。还有一些软件安装后，会在IE浏览器的工具栏位置添加与其功能不相干的广告图标，普通用户很难清除。,二、 “流氓软件”的类型,间谍软件(Spyware) 间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。 间谍软件透过“后门程序”捕获用户的隐私数据和重要信息，并发送给黑客、商业公司。甚至能使用户的电脑被远程操纵，组成庞大的“僵尸网络”，这是目前网络安全的重要隐患之一。 例如：某些软件会获取用户的软硬件配置，并发送出去用于商业目的。,二、 “流氓软件”的类型,浏览器劫持软件 浏览器劫持是一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象）、Winsock LSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。 用户在浏览网站时会被强行安装此类插件，普通用户根本无法将其卸载，被劫持后，用户只要上网就会被强行引导到其指定的网站，严重影响正常上网浏览。,二、 “流氓软件”的类型,行为记录软件（Track Ware） 行为记录软件指未经用户许可，窃取并分析用户隐私数据，记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。行为记录软件会危及用户隐私，可能被黑客利用来进行网络诈骗。 如：一些软件会在后台记录用户访问过的网站并加以分析，有的甚至会发送给专门的商业公司或机构，此类机构会据此窥测用户的爱好，并进行相应的广告推广或商业活动。,二、 “流氓软件”的类型,恶意共享软件(malicious shareware) 恶意共享软件指某些为了获取利益，采用诱骗手段、试用陷阱等方式强迫用户注册，或在软件体内捆绑各类恶意插件，未经允许即将其安装到用户机器里。恶意共享软件通过使用“试用陷阱”强迫用户进行注册，否则可能会丢失个人资料等数据。软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。,三、“流氓软件”卸载方法,卸载3721上网助手问题：强制安装，浏览器劫持（添加用户不需要的按钮、ie地址菜单项中添加非法内容），干扰其他软件运行，无法彻底卸载。卸载方法：用附件程序卸载，附件已用卡巴斯基扫描过。,三、“流氓软件”卸载方法,卸载淘宝网问题：强行弹出过多广告。卸载方法：卸载方法有四，最简单的如在MyIE或者Maxthon里面的“弹出窗口过滤”和“网页内容过滤”里面同时添加“unionsky、allyes、taobao”等过滤条目！更直接的方法是使用用世界之窗浏览器，不用任何设置，默认即可屏蔽！对于没有过滤功能的IE，如果系统是XP/2003，请在“开始，运行”中输入：%SystemRootsystem32notepad.exeC: WINDOWSsystem32d rivers etchosts。,三、“流氓软件”卸载方法,卸载ebay易趣问题：强制安装，浏览器劫持（自动在ie中添加按钮和菜单），无法卸载。卸载方法：对易趣广告的屏蔽可以参考上面对淘宝网广告的方法。但删除易趣插件就比较繁琐了。首先，易趣插件没有提供卸载工具。第二，易趣插件不能通过如windows优化大师这样的软件下载，因为系统文件已经被替换到了不能识别的版本而失败。 易趣清除程序UebayFOR暴风和酷狗.rar，可以清除易趣广告和几个广告链接。,三、“流氓软件”卸载方法,中文上网问题：强制安装，无法彻底卸载。卸载方法：进入“控制面板”的“添加/删除程序”选项，找到“中文上网官方版软件”，卸载。还需要以下步骤：1、删除C:ProgramFiles下的CNNIC整个目录。2、“开始菜单”“运行”输入“regedit”确定回车，查找路径：HKEY_CURRENT_USERSoftwareCNNIC和HKEY_LOCAL_MACHINESOFTWARECNNIC，将其全部删除才算了结。,三、“流氓软件”卸载方法,青娱乐聊天软件（qyule）问题：强制安装。卸载方法：青娱乐的关键可能是收费和部分名过其实的内容，有些网友指出，在花费开通后得到的内容可能会和名称不符，而青娱乐也会和其它软件捆绑而不请自来。清除青娱乐的方法并不复杂，但对已经交费的会员可能会涉及到申请停止服务的问题。退订前最好看清规则再操作，尤其是短信退订需要避免字母O还是数字0这样的误会。至于卸载，你可以使用首先在Windows任务管理器中关掉该进程，之后在本机中查找文件名为qyule.exe的青娱乐原程序,找到以后直接删除就可以了。,三、“流氓软件”卸载方法,很棒小秘书问题：强制安装，无法彻底卸载。卸载方法：按照软件中的说明删除软件（点击C:WidnowsSystem32目录下的uninstall.exe）；删除掉注册表中相关的自启动内容；然后进入C:WidnowsSystem32目录，删除winup.exe、hap.dll、winhtp.dll和hda.ini文件（如果有henbangtemp这个文件夹的话，也删掉）；检查一次，把与之相关的文件夹也删掉；打开IE浏览器，依次点击：“工具，加载管理项”，然后将涉及到winhtp.dll的加载项禁用。,三、“流氓软件”卸载方法,百度搜霸问题：强制安装。卸载方法：删除百度搜霸的方法是，在IE浏览器的菜单中，依次进入“工具，Internet选项，常规，Internet临时文件，设置，查看对象”，然后找到对应的插件名称，用鼠标选中后删除即可。,三、“流氓软件”卸载方法,一搜工具条问题：强制安装卸载方法。删除方法：单击一搜徽标打开下拉菜单。选择“帮助，卸载选项”。如果无法访问工具条上的一搜徽标，也可以使用Windows控制面板中的添加/删除程序卸载工具条：单击Windows“开始”按钮，然后选择设置。打开控制面板文件夹，然后双击添加/删除程序条目。浏览程序列表，选取“一搜工具条”。单击添加/删除按钮。,三、“流氓软件”卸载方法,网络猪问题：强制安装，无法彻底卸载。卸载方法：删除网络猪目前有两种方法，在系统进程中结束movesearch.exe，然后在C:ProgramFiles中进入wsearch文件夹，然后执行其中的卸载程序。最后返回上层文件夹，把wsearch文件夹删除。手动清除，就是直接在中止movesearch程序后，直接删除ProgramFiles下的wsearch文件夹及其下文件，然后在注册表中清除与movesearch有关的信息。(打开注册表，搜索“movesearch”(可按F3)统统删除即可)删除划词搜索比较麻烦，因为即便先卸载划词搜索再删除wsearch文件夹也不能彻底将其清除，目前比较管用的方法是使用新版的超级兔子专业卸载功能。,项目二 网络安全扫描,网络的安全扫描是指使用网络安全扫描工具对于本地或者远程的计算机系统进行扫描，扫描的范围包括工作站、服务器、操作系统、数据库与路由交换设备等，目的是发现安全漏洞。根据发现系统缺少的补丁或异常开放的端口与服务，撰写网络安全风险报告，提出网络安全整改方案，为网络安全的后续课程，如网络边界安全，内网安全以及网络安全是设计打下良好的基础。,项目二 网络安全扫描,【项目背景】,随着网络安全问题越来越多，人们更加重视网络安全。有一家企业邀请网络安全专家，对于公司的网络进行安全性检查，希望能够发现公司内部网络存在的问题。公司现有上千台计算机主机与几十台服务器，有公司自己网页和OA办公系统，公司除了有财务部、人事部、销售部，还有安全要求比较高的技术研发中心。,【需求分析】,网络安全检测是网络安全技术人员的基本职责。一般的安全检测主要包括计算机主机与服务器的系统的安全检测。检测的内容除了常规的网络病毒检测外，重点是检测主机的安全漏洞、系统风险、数据库的安全威胁与网络的安全漏洞。当然，网络是否受到攻击，网络的流量也是检测的内容。 一般的检测需要使用常规的安全检测、扫描与探测工具，对于要求较高的环境则需要用到专业的安全检查系统一定时间的实时监控，才能发现和分析网络存在的安全问题。,知识1 网络端口扫描,端口扫描端口扫描是指用端口扫描软件对需要扫描目标主机的端口发送探测数据包，根据返回的端口状态信息，分析主机的端口是否打开，是否可用的过程。端口扫描是通过与目标主机的TCP/IP端口建立连接，并请求某些服务，记录目标主机的应答，收集目标主机相关信息，确定端口的什么服务正在进行，获取该服务的信息，发现目标主机某些内在的安全弱点。端口扫描的主要作用就是检测电脑开了什么端口，比如电脑开了80端口说明该可以浏览器上网，开了1433端口说明安装了sql，开了3389端口说明此电脑可以被远程控制。不同端口有不同用处，黑客利用端口入侵的电脑，网络统管理员和网络安全顾问则通过扫描找出系统的缺陷或漏洞，进行网络系统的加固。,知识1 网络端口扫描,端口扫描技术 端口扫描的方法有很多，可以是手工扫描也可以用端口扫描软件。典型的扫描技术有TCP connect()扫描、TCP SYN扫描、TCP FIN 扫描、IP段扫描、TCP 反向 ident扫描、UDP ICMP端口不能到达扫描与UDP recvfrom()和write() 扫描等，下面将作简单介绍。,端口扫描技术,1TCP connect() 扫描TCP connect() 扫描是最基本的TCP扫描。connect()是操作系统提供的系统调用，可以用connect()向感兴趣的目标计算机的端口发送请求数据包（SYN）建立连接。如果端口处于侦听状态，那么 connect()就能成功返回应答数据包（ACK+SYN）。否则，返回（ACKRST），表示这个端口是不可用的，即没有提供服务。这个技术的一个最大的优点是，扫描不需要任何权限。这种扫描的另一个好处就是速度比较快，使用者可以通过同时打开多个套接字来加速扫描，使用非阻塞I/O允许你设置一个低的时间用尽周期，同时观察多个套接字。这种方法的缺点是很容易被察觉，被防火墙将扫描信息包过滤掉，致使目标主机的logs文件显示一连串连接出错消息，导致其很快关闭。,端口扫描技术,2TCP SYN扫描TCP SYN扫描因为不必全部打开一个TCP连接，因此称为半开扫描。这种扫描程序发送一个SYN数据包，如果获得一个SYNACK的返回信息，表示端口处于侦听状态；如果返回ACKRST则表示端口没有处于侦听态。如果收到一个SYNACK，扫描程序会发送一个RST信号，来关闭这个连接过程。这种扫描技术的优点是不会在目标计算机上留下记录，这种方法的缺点是必须要有root权限才能建立自己的SYN数据包。,端口扫描技术,3. TCP FIN 扫描SYN扫描虽然是“半开放”方式扫描，隐蔽性比TCP connect() 扫描好，但在某些时候也不能完全隐藏其动作，被一些防火墙和包过滤器检测到。FIN扫描利用暴露的FIN数据包进行探测，这种数据包在扫描过程中通常不会遇到过多问题，这种扫描方法的思路是关闭的端口会用适当的RST来回FIN数据包，而打开的端口会忽略对FIN数据包的回复。这种方法和系统的实现有一定的关系，有的系统不管端口是否打开都会回复RST，在这种情况下此种扫描就不适用了。另外，这种扫描方法可以非常容易的区分服务器是运行Unix系统还是NT系 统。,端口扫描技术,4IP段扫描这种扫描方式并不是新技术，它并不是直接发送TCP探测数据包，而是将数据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包，从而过滤器就很难探测到。但必须小心：一些程序在处理这些小数据包时会有些麻烦。,端口扫描技术,5TCP 反向 ident扫描ident 协议允许(rfc1413)看到通过TCP连接的任何进程的拥有者的用户名，即使这个连接不是由这个进程开始的。例如扫描者可以连接到http端口，然后 用ident来发现服务器是否正在以root权限运行。这种方法只能在和目标端口建立了一个完整的TCP连接后才能看到。,端口扫描技术,6FTP 返回攻击FTP 协议的一个有趣的特点是它支持代理（proxy）FTP连接，即入侵者可以从自己的计算机和目标主机的 FTP server-PI(协议解释器)连接，建立一个控制通信连接。然后请求这个server-PI激活一个有效的server-DTP(数据传输进 程)来给Internet上任何地方发送文件。对于一个User-DTP，尽管RFC明确地定义请求一个服务器发送文件到另一个服务器是可以的，但现在这 个方法并不是非常有效。这个协议的缺点是“能用来发送不能跟踪的邮件和新闻，给许多服务器造成打击，用尽磁盘，企图越过防火墙”。,端口扫描技术,7UDP ICMP端口不能到达扫描这种方法与上面几种方法的不同之处在于使用的是UDP协议，而非TCP/IP协议。由于UDP协议很简单，所以扫描变得相对比较困难。这是由于打开的端口对扫描探测并不发送确认信息，关闭的端口也并不需要发送一个错误数据包。幸运的是许多主机在向一个未打开的UDP端口发送数据包时，会返回一个 ICMP_PORT_UNREACH错误，这样扫描者就能知道哪个端口是关闭的。UDP和ICMP错误都不保证能到达，因此这种扫描器必须还实现在一个包 看上去是丢失的时候能重新传输。这种扫描方法是很慢的，因为RFC对ICMP错误消息的产生速率做了规定。同样这种扫描方法也需要具有root权限。,端口扫描技术,8UDP recvfrom()和write() 扫描当 非root用户不能直接读到端口不能到达错误时，Linux能间接地在它们到达时通知用户。比如，对一个关闭的端口的第二个write() 调用将失败。在非阻塞的UDP套接字上调用recvfrom() 时，如果ICMP出错还没有到达时回返回EAGAIN-重试。如果ICMP到达时，返回 ECONNREFUSED-连接被拒绝。这就是用来查看端口是否打开的技术。,典型的端口扫描工具,SuperscanSuperscan是由大名鼎鼎的foundstone开发的基于Windows的闭源TCP/UDP端口功能强大扫描工具，它包括许多的网络探测功能，如通过Ping来检验IP是否在线，使用traceroute检验一定范围目标计算机的是否在线和端口开放情况，通过IP查找主机名，通过ICMP实现路由跟踪，可使用http head，whois命令请求等。它包含三个版本：Slackware Package-Unicornscan 0.4.2、Fedora RPM - Unicornscan 0.4.2、FreeBSD Port - Unicornscan 0.4.2，这款工具非常适合入门者使用。,典型的端口扫描工具,典型的端口扫描工具,典型的端口扫描工具,典型的端口扫描工具,HostScan网络主机扫描HostScan 是一款比较最强大的网络扫描软件，包括IP扫描，端口扫描和网络服务扫描。IP扫描可以扫描任意范围的IP地址(0.0.0.0 到 255.255.255.255)，找到正在使用中的网络主机；端口扫描可以扫描已发现网上主机的端口，范围可以从1到65535，获得已经打开的端口的信息，对端口分析可以知道是否有人在你的电脑上留下了后门；网络服务扫描可以扫描打开的端口，返回端口后台运行的网络服务信息，例如,通常情况下，端口80运行的是HTTP服务。,典型的端口扫描工具,NmapNmap是一款针对大型网络的端口扫描工具，在不同情况下，你可能需要隐藏扫描、越过防火墙扫描或者使用不同的协议进行扫描，比如：UDP、TCP、ICMP 等。它支持：Vanilla TCP connect 扫描、TCP SYN（半开式）扫描、TCP FIN、Xmas、或NULL（隐藏）扫描、TCP ftp代理（跳板）扫描、SYN/FIN IP 碎片扫描（穿越部分数据包过滤器）、TCP ACK和窗口扫描、UDP监听ICMP端口无法送达扫描、ICMP扫描（狂ping）、TCP Ping扫描、直接RPC扫描（无端口映射）、TCP/IP指纹识别远程操作系统，以及相反身份认证扫描等。Namp同时支持性能和可靠性统计，例如：动态延时计算，数据包超时和转发，并行端口扫描，通过并行ping侦测下层主机。,典型的端口扫描工具,X-Scanner采用多线程方式对指定IP地址段或单机进行安全漏洞扫描，扫描内容包括：标准端口状态及端口banner信息、CGI漏洞、RPC漏洞、FTP弱口令，NT主机共享信息、用户信息、组信息、NT主机弱口令用户等。扫描结果保存在/log/目录中，index.htm为扫描结果索引文件。对于一些已知的CGI和RPC漏洞，该工具可以给出相应的漏洞描述。X-Scanner扫描的内容是绝大多数的服务器容易出现的漏洞和安全设置问题。最常用的还是其中的SQL默认帐户、FTP弱口令和共享扫描，他们能揭示出许多麻痹大意的网管犯的一些低级错误。”,典型的端口扫描工具,StrobeStrobe是一个TCP端口扫描器，它可以记录指定机器的所有开放端口。strobe运行速度快（其作者声称在很短时间内，便可扫描一个国家的全部机器。strobe的主要特点是，它能快速识别指定机器上正在运行什么服务。strobe的主要不足是这类获得的信息很有限，strobe攻击充其量只能提供给“入侵者”一个粗略的指南，告诉什么服务可以被攻击。但strobe用扩展的行命令选项弥补了这个不足。比如，在用大量指定端口扫描主机时，可以禁止所有重复的端口描述。其他特殊选项包括：可定义使用的socket号码，定义strobe要捕捉的目标主机的文件。,典型的端口扫描工具,Netcat Netcat在网络工具中有“瑞士军刀”的美誉。这个简单的小工具可以读和写经过TCP或UDP网络连接的数据。它被设计成一个可靠的可以被其它程序或脚本直接和简单调用的后台工具。同时，它也是一个功能多样的网络调试和检查工具，因为它可以生成几乎所有想要的网络连接，包括通过端口绑定来接受输入连接。,四、端口扫描器的应用,端口扫描器被用来检测目标系统上哪些TCP和UDP端口正在监听。网络安全管理人员要做的第一件事是在客户端和服务器端定期或者不定期的进行端口扫描，找出那些不必打开的通讯端口。端口扫描工具非常容易在Internet上找到，选择是不困难的。,端口扫描器的应用,端口扫描器通常主要做如下几件事：扫描共享资源扫描端口获取主机的系统信息发现目标主机的弱点,五、端口扫描的防护,人工防护 一般的操作系统，默认情况下有许多端口是开放的，这个容易验证。假如是Windows-XP系统，进入“开始运行”，输入cmd 回车，在DOS显示界面上输入命令netstat -an o，从显示系统端口的状态，可发现Windows-XP有很多端口是开放的，见右图。,人工防护,人工防护,第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。,人工防护,第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。,第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。,人工防护,第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。,人工防护,第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新 IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。于是重新启动后，电脑中上述网络端口就被关闭了。,2.工具防护,手工的端口关闭方法虽然可行，但是还是比较麻烦。不过不用担心，一般的杀毒软件可以挡住90%以上的端口攻击，如果用360安全卫士的话，可以尝试开启局域网防护模式。当然，也可利用专业的软件关闭端口，如：WINROUTE、优化大师等，建议先了解各个端口的用途（优化大师在的系统安全优化-附加工具-端口说明），以免导致一些软件或程序不能用。每种病毒都有不同的端口，有的甚至有好几个。正常使用的软件也一样，如QQ可通过UDP8000、TCP8000、TCP80、TCP443四个端口上线，而TCP80对于局域网各种服务的应用很重要的，关掉它可谓得不偿失！,知识2 网络嗅探,嗅探（Sniffer）技术是网络安全检测技术中很重要的一种，它是一种可以捕获网络报文的软件工具或者设备，网络安全管理人员会经常借助此类工具对网络的各种活动进行实时监测，发现网络中的攻击行为。与主动扫描相比，嗅探的行为更难察觉，因此，黑客也会利用具有很强非常隐蔽性的嗅探技术攫取网络中的敏感信息。,一、嗅探原理,嗅探器（Sniffer）最初是作为网络管理员检测网络通信的一种工具，它既可以是软件，也可以是一个硬件。软件工具使用方便，而且价格便宜，有些甚至是免费的，因此人们常常选用。目前，针对不同的操作系统平台都有各自的嗅探软件。硬件嗅探器习惯被称作协议分析仪，其价格一般都很贵，一些知名行业企业如fluk公司就有这类产品。,一、嗅探原理,在局域网中，嗅探之所以能够成功是由于以太网的共享式特性决定的。因为以太网是基于广播方式传送数据的，这就意味着每个节点都能够接收到网段内所有的物理信号，而网卡可以被设置成混杂接收模式(Promiscuous)，在这种模式下，网卡完全能接收监听到与自己地址无关的的所有数据，而TCP/IP协议栈中的应用协议中大多数数据信息在网络上是明文传输的，问题是这些明文包含一些敏感的信息（如个人密码和账号信息等）。因此，使用Sniffer意味着可以监听得到这些敏感信息。,一、嗅探原理,在交换网络中，虽然避免了利用网卡混杂模式进行的嗅探，但交换机并不能解决所有的问题。在一个完全由交换机连接的局域网内，同样可以进行网络嗅探，下面介绍三种嗅探方法，包括：MAC洪水（MAC Flooding）、MAC复制（MAC Duplicating）和ARP欺骗，其中最常用的是ARP欺骗。,一、嗅探原理,1. MAC洪水 交换机要负责建立两个节点间的“虚电路”，就必须维护一个交换机端口与MAC地址的映射表，这个映射表是放在交换机内存中的，但由于内存数量的有限，地址映射表可以存储的映射表项也有限。如果恶意攻击者向交换机发送大量的虚假MAC地址数据,有些交换机在应接不暇的情况下，就会像一台普通的Hub那样只是简单地向所有端口广播数据，嗅探者就可以借机达到窃听的目的。当然，并不是所有交换机都采用这样的处理方式，况且，如果交换机使用静态地址映射表，这种方法就失灵了。,一、嗅探原理,2. MAC复制 MAC复制实际上就是修改本地的MAC地址，使其与欲嗅探主机的MAC地址相同，这样，交换机将会发现，有两个端口对应相同的MAC地址，于是到该MAC地址的数据包将同时从这两个交换机端口发送出去。这种方法与后面将要提到ARP欺骗有本质的不同，前者是欺骗交换机，后者是毒害主机的ARP缓存而与交换机没有关系。但是，只要简单设置交换机使用静态地址映射表，这种欺骗方式也就失效了。,如果黑客想探听同一网络中两台主机之间的通信，他会分别给这两台主机发送一个ARP应答包，让两台主机都“误”认为对方的MAC地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发给黑客所在的中转主机的。,3. ARP欺骗,二、嗅探造成的危害,网络嗅探器嗅探的是网络结构的底层。通常情况下，用户并不直接和该层打交道，有些甚至不知道有这一层存在。所以，应该说Sniffer的危害是相当之大的。通常，使用Sniffer是在网络中进行欺骗的开始，它可能造成的危害有下面几个方面。,二、嗅探造成的危害,1. 捕获口令Sniffer可以记录到明文传送的userid和passwd，即使网络传送过程中使用了加密的数据，Sniffer记录的数据一样有可能使入侵者想办法算出你的算法。一般Sniffer只嗅探每个报文的前200到300个字节，而用户名和口令都包含在这一部分中。,二、嗅探造成的危害,能够捕获专用的或者机密的信息。比如金融帐号，许多用户很放心在网上使用自己的信用卡或现金帐号，然而Sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin，比如偷窥机密或敏感的信息数据，通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送,或者干脆拦截整个的email会话过程。,二、嗅探造成的危害,可以用来危害网络邻居的安全 Sniffer还可用来获取更高级别的访问权限。一旦入侵者得到用户名和口令，必然可以通过信任关系危害网络邻居的安全,既而获取更高级别的访问权限。,二、嗅探造成的危害,窥探低级的协议信息 通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址，远程网络接口IP地址，IP路由信息和TCP连接的字节顺序号码等。这些信息由入侵者掌握后将对网络安全构成极大的危害，例如通常的IP地址欺骗就是要求准确插入TCP连接的字节顺序号。,当然，简单的放置一个嗅探器并将其随便放置将不会起到什么作用。如果将嗅探器放置于被攻击机器，网关或网络附近,可以捕获到很多口令。如果将Sniffer运行在路由器,或有路由器功能的主机上，可以对大量的数据进行监控。Sniffer属第二层次的攻击，通常是攻击者已经进入了目标系统，然后使用Sniffer这种攻击手段，以便得到更多的信息，并捕获网络和其他网络进行身份鉴别的过程。,三、常见的嗅探器,Tcpdump/Windump Tcpdump是一个非常经典的网络包监听分析工具，它最初是由美国加州大学伯克利分校劳伦斯伯克利国家实验室的网络研究小组开发的，现在由“The Tcpdump Group”来更新和维护(http:/www.tcpdump.org)。,三、常见的嗅探器,Ettercap Ettercap是一个很著名的交换网络嗅探器，作者是Alberto Ornaghi和Marco Valleri。除了包含常规的混杂模式嗅探外，Ettercap还包含ARP欺骗方式的嗅探功能,可以对交换环境中的网络通信进行监听。此外，Ettercap的最新版还包括许多更强大的功能，例如：数据包生成器，SSL和SSH会话劫持，会话内容注射,被动探测操作系统类型，端口扫描以及各种口令的采集等。Ettercap有基于IP，基于MAC地址，ARP模式和PubilcARP模式四种嗅探。,三、常见的嗅探器,Snarp Snarp是一个运行在Windows NT上的交换网络嗅探器。其实，严格说，它并不具备嗅探功能，因为它只是对目标主机ARP欺骗，并以中间人的身份对收到的数据进行转发，真正的抓包分析工作，还要借助于其他工具,例如Windump,Ngrep等。Snarp的运行需要LibnetNT(Windows系统中的Libnet库)和Winpcap的支持。,三、常见的嗅探器,Sniffit Sniffit是由lawrence Berkeley Laboratory开发的一个非常优秀的嗅探器，它可以运行在Solaris，Iris，FreeBSD和Linux等众多系统平台。不同于Tcpdump的是,它可以提供完全的数据包内容输出，使用者可以选择源地址和目的地址或地址集合，选择监听的端口,协议和网络接口等，由此方便地捕获网络数据包。Sniffit也是基于Libpcap开发的，除了适用于UNIX类型操作系统的版本外，也有可运行于Windows平台的相同版本，当然，后者需要Winpcap的支持。,四、嗅探对策,网络嗅探的检测方法 嗅探程序是一种被动的接收和触发程序，它只会收集数据包，而不发送出任何数据，因此，嗅探器在理论上是不可能被检测出来的。但由于当它安装在一台正常局域网内的计算机上，工作时会产生一些数据流量，网络也会出现一些典型的特征，还是可以发现网络中存Sniffer的行迹的。,网络嗅探的检测方法,网络通讯掉包率反常的高 通过一些网络软件，你可以看到你的信息包传送情况（不是Sniffer），向ping这样的命令会告诉你掉了百分几的包。如果网络中有人在听，由于Sniffer拦截每个包，你的信息包传送将无法每次都顺畅的流到你的目的地。,网络嗅探的检测方法,网络带宽出现反常 通过某些带宽控制器（通常是防火墙所带），可以实时看到目前网络带宽的分布情况，如果某台机器长时间的占用了较大的带宽，这台机器就有可能正在监听。,网络嗅探的检测方法,监控本地局域网的数据帧 查找异常网络行为是较好的检测策略。系统管理员可运行自己的Sniffer（嗅探器），例如tcpdump，Windump和snoop等，监控网络中指定主机的DNS流量；或使用分析计数器工具(如AntiSniff)测量当前网络的信息包延迟时间。,网络嗅探的检测方法,本机监控不同操作系统的计算机采用的检测工具可能不尽相同。大多数UNIX系列操作系统使用“ifconfig”就可以发现网卡是否工作在混杂模式下工作，可以用此命令发现网络嗅探。但在许多时候，本地监控却并不可靠，因为黑客在使用Sniffer的同时，很可能种植了一个ifconfig的“代替品”，检查的结果自然会隐藏真实的情况。所以，通常还要结合其他更高级的工具，如tripwire，lsof进行检查发现嗅探的存在。,网络嗅探的检测方法,ing检测很多嗅探器程序有一个特点，就是如果发送一个请求给有嗅探程序的机器，不管这个请求是否真实，它将作出应答。我们可以利用这点，在网络上发生一个不存在的MAC数据报给可疑的机器，如果该机器作出应答，则说明该机器安装了探测器。,3.网络嗅探的防范,使用一次性口令通常的计算机口令是静态的，容易被嗅探工具窃取。采用一次性口令，能使窃听账号信息失去意义。当然，如果信息传输中不知网络中传输口令时最好的。例如S/key的原理是远程主机已得到一个口令(这个口令不会在不安全的网络中传输)，当用户连接时会获得一个请求信息，用户将这个信息和口令经过算法运算，产生一个正确的响应回执信息(如果通信双方口令正确的话)。这种验证方式无需在网络中传输口令，而且相同的“请求/响应信息”也不会出现两次。,网络嗅探的防范,对敏感数据加密 对敏感数据的加密是安全的必要条件，其安全级别取决于加密算法的强度和密钥的强度。系统管理人员可以使用加密技术，防止使用明文传输信息。可使用secure shell，secure copy或者IPV6协议保证信息安全的传输。系统管理人员也可以使用一次性的密码。虽然这样无法阻止Sniffer收集特定的信息（如mail)，但是使用一次性密码可以防止Sniffer非法获取系统的密码。在硬件系统和软件系统中使用一次性密码都是可行的。,网络嗅探的防范,使用安全的拓朴结构Sniffer无法穿过交换机、路由器和网桥。网络分段越细，则安全程度越大。,网络嗅探的防范,及时打补丁及时打补丁也是一种对抗Sniffer的方法。系统管理人员需要定时查询服务商或者CERT/CC，Securityfocus和SANS等网络安全站点，在这些站点中寻找最新漏洞公告，下载补丁，安全配置等内容，采取建议的相应对策。,五、端口扫描与网络嗅探的区别,端口扫描就是挨个尝试看某个电脑都有什么端口是打开的或者某个ip段的电脑有哪些打开了某个端口，然后可以想办法加以利用，进行下一步操作（某些端口打开常常对应的漏洞，比如3389端口打开就有可能被远程控制）嗅探就是监听网络中的数据传送。简单点说端口扫描就相当于小偷来到要下手的房子踩道，看看各个门窗是否关好或者看看某个街区哪家没关好窗户。嗅探就相当于你打电话的时候有人在分机偷听。,