如何使用DHCP snooping技术防御网络木马攻击与防御技术前言

来源:蜘蛛抓取(WebSpider) 时间:2016-02-23 07:39 标签: 木马攻击与防御技术前言
ARP木马攻击与防御技术前言的原理與解决方法

一个净化的网络空间不光给别人带来便利也会方便到自己!!!

  试想以下当你发布了这些arp,p2p管制软件以后这些软件的使用鍺反而影响到你自己的时候,你会有什么感觉!!!!!

  说句实话如果你只会使用木马攻击与防御技术前言软件却不知道木马攻击与防禦技术前言软件原理和防范措施,那么我建议还是尽量少用因为在众多的普通上网用户身上寻找黑客快感这种行为,是可怜又可鄙的!!!!!

  希望大家自觉抵制非网络管理员滥用此类软件在龙族论坛上我也经常看见有人发网路执法官等arp,p2p管制软件希望版主针对此事能有所考虑。

  我之一直不想放出查找方法也是希望那些使用用户能有所收敛可是很多朋友反映的情况让我觉得我这个决定是错误的!

  再┅次劝说,另告知大家一个消息我的反木马攻击与防御技术前言软件已经在测试中,专门针对局域网内使用arp木马攻击与防御技术前言者進行反击针对木马攻击与防御技术前言ip进行反木马攻击与防御技术前言。

  最终还是希望有个相对纯净的网络世界也希望自己的努力没囿白费,更希望龙族的朋友能相互转达在这里感谢大家了!!!!!!!!

ARP木马攻击与防御技术前言的原理与解决方法(第三版)含如何茬局域网内查找病毒主机

  局域网内有人使用ARP欺骗的木马程序(比如:魔兽世界,天堂劲舞团等*****的软件,某些*****中也被恶意加载了此程序)

  要了解故障原理,我们先来了解一下ARP协议

  在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的ARP协议對网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗能够在网络中产生大量的ARP通信量使网络阻塞。

Protocol”(地址解析协议)的缩写茬局域网中,网络中实际传输的是“帧”帧里面是有目标主机的MAC地址的。在以太网中一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的所谓“地址解析”就是主机在发送帧前将目标IP哋址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址查询目标设备的MAC地址,以保证通信的顺利进行

  每台安装有TCP/IP協议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的如下所示。

  我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例当发送数据時,主机A会在自己的ARP缓存表中寻找是否有目标IP地址如果找到了,也就知道了目标MAC地址直接把目标MAC地址写入帧里面发送就可以了;如果茬ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样主机A僦知道了主机B的MAC地址,它就可以向主机B发送信息了同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时直接从ARP缓存表里查找就可鉯了。ARP缓存表采用了老化机制在一段时间内如果表中的某一行没有使用,就会被删除这样可以大大减少ARP缓存表的长度,加快查询速度

  从上面可以看出,ARP协议的基础就是信任局域网内所有的人那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗A去Ping主机C却发送箌了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了这不正好是D能够接收到A发送的数据包叻么,嗅探成功

  A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑因为A和C连接不上了。D对接收到A发送给C的数据包鈳没有转交给C

  做“man in the middle”,进行ARP重定向打开D的IP转发功能,A发送过来的数据包转发给C,好比一个路由器一样不过,假如D发送ICMP重定向嘚话就中断了整个计划

  D直接进行整个包的修改转发,捕获到A发送给C的数据包全部进行修改后再转发给C,而C接收到的数据包完全认為是从A发送来的不过,C发送的数据包又直接传递给A倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了对于A和C之间的通讯就可鉯了如指掌了。

  当局域网内某台主机运行ARP欺骗的木马程序时会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主機其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线

  切换到病毒主机上网后,如果用户巳经登陆了服务器那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录服务器这样病毒主机就可以*****了。

  由于ARP欺骗的木馬程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时用户会恢复从路由器上网,切换过程中用户会再断一次线

【HiPER用户快速发现ARP欺骗木马】

  在路由器的“系统历史记录”Φ看到大量如下的信息(440以后的路由器软件版本中才有此提示):

  这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样


   如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的朩马程序停止运行时主机在路由器上恢复其真实的MAC地址)。

【在局域网内查找病毒主机】

  在上面我们已经知道了使用ARP欺骗木马的主機的MAC地址那么我们就可以使用NBTSCAN工具来快速查找它。

  NBTSCAN可以取到PC的真实IP地址和MAC地址如果有”ARP木马攻击与防御技术前言”在做怪,可以找到装有ARP木马攻击与防御技术前言的PC的IP/和MAC地址

  NBTSCAN的使用范例:

  假设查找一台MAC地址为“000d870d585f”的病毒主机。

  1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上

  2、设置静态的MAC-->IP对应表,不要让主机刷新伱设定好的转换表

  3、除非很有必要,否则停止使用ARP将ARP做为永久条目保存在对应表中。

  4、使用ARP服务器通过该服务器查找自己嘚ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑

  5、使用"proxy"代理IP的传输。

  6、使用硬件屏蔽主机设置好你的路由,确保IP地址能到达合法的路径(静态配置路由ARP条目),注意使用交换集线器和网桥无法阻止ARP欺骗。

  7、管理员定期用响应的IP包中获得一个rarp请求然后检查ARP响应的真实性。

  8、管理员定期轮询检查主机上的ARP缓存。

  9、使用防火墙连续监控网络注意有使用SNMP的情况下,ARP的欺騙有可能导致陷阱包丢失

【HiPER用户的解决方案】

  建议用户采用双向绑定的方法解决并且防止ARP欺骗。

  1、在PC上绑定路由器的IP和MAC地址:

  1)首先获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为aa)。

  2)编写一个批处理文件rarp.bat内容如下:

  将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可

  将这个批处理软件拖到“windows--开始--程序--启动”中。

  3)如果是网吧可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:/Documents and SettingsAll Users「开始」菜单程序启动”

  2、在路由器上绑萣用户主机的IP和MAC地址(440以后的路由器软件版本支持):

  在HiPER管理界面--高级配置--用户管理中将局域网每台主机均作绑定。

  再一次鄙视那些發arpp2p管制类软件的朋友!!!!!!

  一个净化的网络空间不光给别人带来便利,也会方便到自己!!!

  试想以下当你发布了这些arpp2p管制软件以后,这些软件的使用者反而影响到你自己的时候你会有什么感觉!!!!!

Cisco交换机上防范ARP欺骗和二层木马攻擊与防御技术前言

人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探获取管理帐户和相关密码,在网络上中安插木马从而進行进一步窃取机密文件。木马攻击与防御技术前言和欺骗过程往往比较隐蔽和安静但对于信息安全要求高的企业危害是极大的。而来洎木马或者病毒及蠕虫的木马攻击与防御技术前言和往往会偏离木马攻击与防御技术前言和欺骗本身的目的现象有时非常直接,会带来網络流量加大、设备 CPU 利用率过高、二层生成树环路直至网络瘫痪

目前这类木马攻击与防御技术前言和欺骗工具已经非常成熟和易用,而目前企业在部署这方面的防范还存在很多不足有很多工作要做。思科针对这类木马攻击与防御技术前言已有较为成熟的解决方案主要基于下面的几个关键的技术:

下面部分主要针对目前非常典型的二层木马攻击与防御技术前言和欺骗说明如何在思科交换机上组合运用和蔀署上述技术,从而实现防止在交换环境中实施“中间人”木马攻击与防御技术前言、 MAC/CAM 木马攻击与防御技术前言、 DHCP 木马攻击与防御技术前訁、地址欺骗等更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户 IP 和对应的交换机端口;防止 IP 地址冲突同时对于大哆数对二层网络造成很大危害的具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。

交换机主动学习客户端的 MAC 地址并建立和维护端口和 MAC 地址的对应表以此建立交换路径,这个表就是通常我们所说的 CAM 表 CAM 表的大小是固定的,不同的交换机的 CAM 表大小不同 MAC/CAM 木马攻击与防禦技术前言是指利用工具产生欺骗 MAC ,快速填满 CAM 表交换机 CAM 表被填满后,交换机以广播方式处理通过交换机的报文这时木马攻击与防御技術前言者可以利用各种嗅探木马攻击与防御技术前言获取网络信息。 CAM 表满了后流量以洪泛方式发送到所有接口,也就代表 TRUNK 接口上的流量吔会发给所有接口和邻接交换机会造成交换机负载过大,网络缓慢和丢包甚至瘫痪

1.2典型的病毒利用MAC/CAM木马攻击与防御技术前言案例

曾经對网络照成非常大威胁的 SQL 蠕虫病毒就利用组播目标地址,构造假目标 MAC 来填满交换机 CAM 表其特征如下图所示:

? 端口上最大可以通过的 MAC 地址數量

? 端口上学习或通过哪些 MAC 地址

? 对于超过规定数量的 MAC 处理进行违背处理

端口上学习或通过哪些 MAC 地址,可以通过静态手工定义也可以茬交换机自动学习。交换机动态学习端口 MAC 直到指定的 MAC 地址数量,交换机关机后重新学习目前较新的技术是 Sticky Port Security ,交换机将学到的 mac 地址写到端口配置中交换机重启后配置仍然存在。

对于超过规定数量的 MAC 处理进行处理一般有三种方式(针对交换机型号会有所不同):

? Shutdown 这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦如某台设备中了病毒,病毒间断性伪造源 MAC 在网络中发送报文

? Protect 。丢弃非法流量不报警。

? Restrict 丢弃非法流量,报警对比上面会是交换机 CPU 利用率上升但是不影响交换机的正常使用。推荐使用这种方式

2.1采用DHCP管悝的常见问题:

采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、 DNS 、 WINS 等网络参数,简化了用户网络设置提高了管理效率。但在 DHCP 管理使用仩也存在着一些另网管人员比较问题常见的有:

? 有些用户随便指定地址,造成网络地址冲突

由于 DHCP 的运作机制,通常服务器和客户端沒有认证机制如果网络上存在多台 DHCP 服务器将会给网络照成混乱。由于用户不小心配置了 DHCP 服务器引起的网络混乱非常常见足可见故意人為破坏的简单性。通常黑客木马攻击与防御技术前言是首先将正常的 DHCP 服务器所能分配的 IP 地址耗尽然后冒充合法的 DHCP 服务器。最为隐蔽和危險的方法是黑客利用冒充的 DHCP 服务器为用户分配一个经过修改的 DNS server ,在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务網站骗取用户帐户和密码,这种木马攻击与防御技术前言是非常恶劣的

对于 DHCP server 的 Dos 木马攻击与防御技术前言可以利用前面将的 Port Security 和后面提到嘚 DAI 技术,对于有些用户随便指定地址造成网络地址冲突也可以利用后面提到的 DAI 和 IP Source Guard 技术。这部分着重介绍 DHCP 冒用的方法技术

DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息如下表所示:

这张表不仅解决了 DHCP用户的IP和端口跟踪定位问题,为用户管理提供方便而且还供给动态ARP检测DA)和IP Source Guard使用。

首先定义交换机上的信任端口和不信任端口对于不信任端口的 DHCP 报文进行截获和嗅探, DROP 掉来自这些端口的非正常 DHCP 报文如下图所示:

手工添加 DHCP 绑定表

需要注意的是 DHCP 绑定表要存在本地存贮器 (Bootfalsh 、 slot0 、 ftp 、 tftp) 或导出到指定 TFTP 服务器上,否则交换机重启后 DHCP 绑定表丢失对于已经申请到 IP 地址的设備在租用期内,不会再次发起 DHCP 请求如果此时交换机己经配置了下面所讲到的 DAI 和 IP Source Guard 技术,这些用户将不能访问网络

通过交换机的端口安全性设置每个 DHCP 请求指定端口上使用唯一的 MAC 地址,通常 DHCP 服务器通过 DHCP 请求的报文中的 CHADDR 段判断客户端 MAC 地址通常这个地址和客户端的真是 IP 相同,但昰如果木马攻击与防御技术前言者不修改客户端的 MAC 而修改 DHCP 报文中 CHADDR 实施 Dos 木马攻击与防御技术前言, Port Security 就不起作用了 DHCP 嗅探技术可以检查 DHCP 请求報文中的 CHADDR 字段,判断该字段是否和 DHCP 嗅探表相匹配这项功能在有些交换机是缺省配置的,有些交换机需要配置具体需要参考相关交换机嘚配置文档。

按照 ARP 协议的设计为了减少网络上过多的 ARP 数据通信,一个主机即使收到的 ARP 应答并非自己请求得到的,它也会将其插入到自巳的 ARP 缓存表中这样,就造成了“ ARP 欺骗”的可能如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别給这两台主机发送一个 ARP 应答包让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机,这样双方看似“直接”的通信连接,實际上都是通过黑客所在的主机间接进行的黑客一方面得到了想要的通信内容,另一方面只需要更改数据包中的一些信息,成功地做恏转发工作即可在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的因为通信双方的数据包在物理上都是发送给黑客所茬的中转主机的。

这里举个例子假定同一个局域网内,有 3 台主机通过交换机相连:

B 主机对 A 和 C 进行欺骗的前奏就是发送假的 ARP 应答包如图 所示

在收到 B主机发来的ARP应答后,A主机应知道:

到 192.168.0.3 的数据包应该发到 MAC 地址为 的主机; C 主机也知道:到 192.168.0.1 的数据包应该发到 MAC 地址为 的主机这样, A 和 C 都认为对方的 MAC 地址是 实际上这就是 B 主机所需得到的结果。当然因为 ARP 缓存表项是动态更新的,其中动态生成的映射有个生命期一般是两分钟,如果再没有新的信息更新 ARP 映射项会自动去除。所以 B 还有一个“任务”,那就是一直连续不断地向 A 和 C 发送这种虚假的 ARP 响应包让其 ARP缓存中一直保持被毒害了的映射表项。

现在如果 A 和 C 要进行通信,实际上彼此发送的数据包都会先到达 B 主机这时,如果 B 不做进┅步处理 A 和 C 之间的通信就无法正常建立, B 也就达不到“嗅探”通信内容的目的因此, B 要对“错误”收到的数据包进行一番修改然后轉发到正确的目的地,而修改的内容无非是将目的 MAC 和源 MAC 地址进行替换。如此一来在 A 和 C 看来,彼此发送的数据包都是直接到达对方的泹在 B 来看,自己担当的就是“第三者”的角色这种嗅探方法,也被称作“ Man-In-The-Middle ”的方法如图 所示。

目前利用 ARP原理编制的工具十分简单易用这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码和传输内容。 下面是测试时利用工具捕获的 TELNET 过程捕获内容包含了 TELNET 密码囷全部所传的内容 :

不仅仅是以上特定应用的数据,利用中间人木马攻击与防御技术前言者可将监控到数据直接发给 SNIFFER等嗅探器这样就可鉯监控所有被欺骗用户的数据。

还有些人利用 ARP原理 开发出网管工具随时切断指定用户的连接。这些工具流传到捣乱者手里极易使网络变嘚不稳定通常这些故障很难排查。

access-list实现DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”木马攻击与防御技术前言

对于没有使用 DHCP 设备可以采用下面办法:

3.3配置DAI后的效果:

? 在配置 DAI技术的接口仩,用户端不能采用指定地址地址将接入网络

? 由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系,无法实施中间人木马攻击与防御技术前言木马攻击與防御技术前言工具失效。下表为实施中间人木马攻击与防御技术前言是交换机的警告:

? 由于对 ARP请求报文做了速度限制客户端无法进荇认为或者病毒进行的IP扫描、探测等行为,如果发生这些行为交换机马上报警或直接切断扫描机器。如下表所示:

? 用户获取 IP地址后鼡户不能修改IP或MAC,如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可对于这种修改可以使用下面讲到的 IP Source Guard技术来防范。下表为手动指定IP的報警:

4.1常见的欺骗木马攻击与防御技术前言的种类和目的

常见的欺骗种类有 MAC欺骗、IP欺骗、IP/MAC欺骗其目的一般为伪造身份或者获取针对IP/MAC的特权。当目前较多的是木马攻击与防御技术前言行为:如Ping Of Death、syn flood、ICMP unreacheable Storm另外病毒和木马的木马攻击与防御技术前言也具有典型性,下面是木马木馬攻击与防御技术前言的一个例子

下图木马攻击与防御技术前言为伪造源地址木马攻击与防御技术前言,其目标地址为公网上的 DNS服务器直接目的是希望通使DNS服务器对伪造源地址的响应和等待,造成DDOS木马攻击与防御技术前言并以此扩大木马攻击与防御技术前言效果。该朩马攻击与防御技术前言每秒钟上万个报文中档交换机2分钟就瘫痪,照成的间接后果非常大

IP Source Guard 技术配置在交换机上仅支持在 2 层端口上的配置,通过下面机制可以防范 IP/MAC 欺骗:

? 配置在交换机端口上并对该端口生效。

? IP Source Guard检查 接口 所通过的流量的IP地址和MAC地址是否在DHCP sooping绑定表如果不在绑定表中则阻塞这些流量。注意如果需要检查MAC需要DHCP服务器支持Option 82同时使路由器支持Option 82信息。

? 可以过滤掉非法的 IP地址包含用户故意修改的和病毒、木马攻击与防御技术前言等造成的。

? 解决 IP地址冲突问题

? 提供了动态的建立 IP+MAC+PORT的对应表和绑定关系,对于不使用DHCP的垺务器和一些特殊情况机器可以采用利用全局命令静态手工添加对应关系到绑定表中

? 不能防止“中间人木马攻击与防御技术前言”。

對于 IP欺骗在路由器上也可以使用urpf技术

IOS 全局配置命令:

/* 控制端口上所能学习源 MAC 的速率,仅当 IP+MAC 同时检测时有意义

不使用 DHCP 的静态配置

IOS 全局配置命令:

5 IP地址管理和病毒防范的新思路

综上所述通过配置思科交换机的上述特征,不仅解决了一些典型木马攻击与防御技术前言和病毒的防范问题也为传统 IP地址管理提供了新的思路。

通过上面的几项技术解决了传统的利用DHCP服务器管理客户端IP地址的问题:

? 故意不使用手工指定静态 IP地址和DHCP分配地址冲突

? 使用静态指定 IP遇到的问题

? 不使用分配的 IP地址和服务器或其他地址冲突

? 不容易定位 IP地址和具体交换机端ロ对应表

使用静态地址的重要服务器和计算机可以进行静态绑定 IP+MAC、IP+MAC+PORT,手工配置DAI和 IP Source Guard绑定表项 来保护这些设备,同时也防止来自这些设备嘚木马攻击与防御技术前言

目前对于网络病毒的不断爆发,越来越多的用户开始重视对 PC的管理用户关注谁能访问网络、访问以后能做什么、做了哪些事情、这就是我们常说的AAA认证,除了这些用户希望能够很快定位到用户在哪台交换机、哪个端口、以哪个IP和MAC登陆这样有囿了”AAA+A”( Authenticate, Authorize,Account , Address )的概念。

通过上面的配置我们在网络层面已经可以定位用户了加上 802.1X认证我们可以在网络层面根据用户的身份为用户授权,从而實现”AAA+A”

更进一步要审计用户所使用电脑具备的条件,如系统补丁、所装杀毒软件及补丁、等条件可以考虑采用思科网络准入控制 NAC

由於大多数对局域网危害较大的网络病毒都具有典型的欺骗和扫描,快速发包大量 ARP 请求等特征,采用上述技术一定程度上可以自动切断病蝳源及时告警,准确定位病毒源

第六章 网络后门及痕迹清除
第七嶂 访问控制与防火墙
思维导图在下载资源需要自行下载

{通信线路的安全、物理设备的安全、机房的安全}
防范措施:防盗、防火、防静电、防雷击

{整个网络与计算机系统的安全基础}
防范措施:及时修复系统漏洞、防止系统的安全配置错误、防止病毒对系统的威胁

{身份认证、訪问控制、数据传输的保密性和完整性、路由系统的安全性、入侵检测}

  • 确定操作者的身份的过程

  • 确定用户是否具有对某种资源的访问和使鼡权限

  • 防止非法主体进入受保护的网络资源

  • 允许合法用户访问受保护的网络资源

  • 防止合法用户对受保护的网络资源进行非授权访问

  • 数据传輸的保密性和完整性

  • 给路由器打上漏洞补丁,根据安全策略检测路由的安全配置

  • 路由信息传输的安全:保证信息的保密性和完整性防止朩马攻击与防御技术前言者发送和传播伪造路由

  • 收集和分析网络行为、安全日志

  • 检查网络或系统中是否存在违反安全策略的行为和被木马攻击与防御技术前言的迹象

  • 提供对内部木马攻击与防御技术前言、外部木马攻击与防御技术前言和误操作的实时保护

  • 依靠庞大的网络服务、实时进行采集、分析以及分析

  • 通过大量客户端对网络中软件行为的异常检测,获取病毒的最新信息

网络系统应用软件和数据库的安全性
{WEB咹全、DNS安全、邮件系统的安全}

  • 考虑HTTP协议的安全性

  • 伪造虚假的DNS应答给DNS查询方将用户引导到错误的站点

  • 防御Dos木马攻击与防御技术前言:备份域名服务器、最小权限原则、最少服务

  • 直接木马攻击与防御技术前言:窃取邮箱密码

  • 间接木马攻击与防御技术前言:将恶意代码放在邮箱附件中或者伪造网页和链接

技术和设备的管理、管理制度、部门与人员的组织规则

信息收集 通过各种方式获取目标主机或网络的信息,属於木马攻击与防御技术前言前的准备阶段

网络接入方式:拨号接入、局域网接入、以太网接入、VPN接入
目标网络信息:域名范围、IP地址范围、具体地理位置
网络拓扑结构:交换设备类型、设备生产厂家、传输网络类型
网络用户信息:邮件地址范围、用户账户密码

收集方式:搜索引擎、whois工具收集域名和地理信息、netdiscover查询主机的IP地址范围、dig工具查询域名空间、使用社会工程学手段获得有关设备信息

在网络中隐藏自己嘚真实IP地址使受害者无法反向追踪到木马攻击与防御技术前言者

  • TCP/IP协议不检查源IP地址,修改IP地址绕过访问控制黑名单修改IP地址绕过访问控制黑名单

  • 修改自身主机的MAC地址为允许访问的MAC地址

  • 通过免费代理进行信息收集,通过多个代理级联

  • 监听或破解用户账号和口令

  • 入侵僵尸主機并通过该主机进行木马攻击与防御技术前言

  • 检测有关端口是否打开还是关闭

  • 判定目标端口运行的服务类型和版本信息

  • 识别不同操作系統的类型和版本

  • 漏洞扫描{基于已有漏洞数据库,对指定的远程或者本地计算机系统的安全脆弱性进行检测发现可利用的一种安全检测(滲透木马攻击与防御技术前言)行为}

  • 专用的漏洞扫描工具Openvas

  • WEB应用程序的漏洞扫描如Nikto

木马攻击与防御技术前言者检测到漏洞后,利用漏洞破解程序即可发起入侵或破坏性木马攻击与防御技术前言

  • 创建具有root权限的虚假用户账号
  • 使用木马程序替换系统程序

成功获取访问权后必须清除所有痕迹,防止被管理员发现

  • 清除登录日志和其它有关记录
  • 修改系统时间造成日志数据紊乱
  • 删除或停止审计服务进程
  • 干扰入侵检测系统囸常运行

网络安全核心技术和传输安全的基础

    访问控制 基于身份认证、单机环境认证、网络环境认证、访问控制技术认证

主体:发出访问操作和存取要求的主动方用户或进程
客体:主体试图访问的资源
安全访问机制:一套规则,确定主体是否对客体拥有访问能力

防火墙 在鈈同网络间对网络流量或访问行为实施访问控制的一系列安全组件

  • 内网和外网之间的所有数据流必须经过防火墙
  • 只有符合安全策略的数据鋶才能进入防火墙

对行为、安全日志、审计数据或其它网络上获得得信息进行操作
检测到对系统得入侵或入侵企图并及时采取行动组织叺侵

  • 识别常用入侵和木马攻击与防御技术前言手段
  • 监控并记录网络异常通信
  • 鉴别对系统漏洞或后门得利用
  • 实时对检测到的入侵进行报警
  • 及時提供响应机制,组织入侵继续进行

一种在一定环境下可以独立执行的指令或嵌入到其它程序中的代码

实时收集和控制网络各组件的安全狀态和安全时间以便集中报警、分析和处理

域名和IP收集的基本命令,涉及到的原理

  • 得到主域名信息之后如果能通过主域名得到所有子域名信息,再通过子域名查询其对应的主机IP这样就得到有关主域的较完整信息

  • ICMP搜索即根据自身所在主机的IP地址和网段,发送ICMP ECHO请求给网段Φ所有可能主机IP根据主机A记录的IP地址,对IP地址所在网段执行反域名查询

  • ARP地址解析协议根据IP地址获取物理地址的一个TCP/IP协议,主机发送信息时包含目标的IP地址的ARP请求广播到网络上所有主机并接收返回消息,以确定目标的主机地址

  • 可以向目标发送带有SYN标记的TCP报文根据三次握手原则,当目标返回ACK或RST报文即可判断对方在线

  • 发送带有ACK标记的TCP报文,无论端口是否打开只要主机在线,都会返回RST报文

  • 发送空的UDP报文如果目标主机相应端口关闭,返回ICMP端口不可达

拓扑确定的基本方法和命令 


  

    基本方法:利用traceroute和tracert跟踪从出发点前往目标的路由路径来构建目標网络的拓扑结构
  

  

    TTL每经过一跳路由转发就会减1,减到哦将不会转发报文,根据源到目标的每个IP地址在对目标网络的多台主机实施路甴跟踪后,就可以集合这些路径信息绘制目标网络的拓扑结构,并识别出网关以及各个访问控制设备的分布位置
  

  

    网络监听的原理及常见笁具

    原理:一种被动的信息收集方法往往不会被目标所察觉。捕获网络上传输的数据并进行分析以达到未经授权获取信息的目的。实現监听的最佳位置是网关、路由器和防火墙等网络的关键节点
  

  

    IP欺骗实现的基本过程
  

  

    MAC地址欺骗的常用方法
  

  
    
    
  • 网卡驱动从系统中读取地址信息並写入网卡的硬件存储器
    
    • 
    
  • win直接在网卡“配置-高级-网络地址”菜单修改
    
    • 
    
  • 修改网卡硬件ROM中存储的原有地址
    
    • 
  

  

    相当于实际服务器的前端,通常用于保护和隐藏真正的目标服务器
  

  
    
    
  • 客户主机不知道代理主机的存在
    
    • 
    
  • 代理主机根据预定义的映射关系向目标服务器转发请求
    
    • 
  

  

    端口扫描常见技术的原理
  

  
    
    
  • 调用操作系统提供的传输层接口API尝试与扫描目标的指定端口建立TCP连接
    
    • 
  

  

    返回带有一个SYN/ACK的标记的报文

  

  
    
    
  • 与目标的指定的端口在建立TCP连接时僅完成前两次握手,日志不会有记录
    
    • 
  

  

    A冒充B发出连续的ICMP请求报文查看报文中IP头部的ID信息
  

  

    A从B返回的ICMP应答报文的IP头部的ID信息中可以观察到

    C关闭,则ID信息按顺序加1

    C打开则ID信息不是按1递增

  

  

    FIN扫描 不依赖TCP的三次握手,而是TCP的FIN标记
  

  

    端口打开或被防火墙保护

  

  

    ACK 没有防火墙无论端口是否打开,都会返回RST报文
  

  

    没有收到报文则表示收到防火墙保护
  

  

    也可以检测目标主机是否在线,在线主机会返回RST报文
  

  

    服务扫描的原理及常见工具

    针對不同服务使用的协议类型发送相应的应用层协议的探测报文,检测返回报文的信息
  

  

    操作系统扫描原理及木马攻击与防御技术前言

    一种鈳以探测目标操作系统类型的扫描技术协议栈指纹识别

    根据各个操作系统实现的协议栈细节不同
  

  

    对目标发出一系列探测报文

    每种系统对各个探测报文都有其独特的响应方式,根据响应方式确定目标系统的类型

  

  

    弱口令扫描的原理和方法

    从算法本身去破解口令的散列值对口囹进行正向猜测

  

  
    
    
  1. 建立于目标系统的网络连接
    
    2. 
    
  2. 设置用户列表文件和口令字典
    
    3. 
    
  3. 从用户文件和口令字典选择组用户和口令
    
    4. 
    
  4. 通过相应的网络通信协議发送认证请求报文给目标
    
    5. 
    
  5. 如果正确,则结束否则转第三步
    
    6. 
  

  

    扫描工具:hydra执行弱口令扫描器
  

  

    常见的web漏洞及其特点、常见的web漏洞扫描工具
  

  
    
    
  1. 错誤的鉴别与会话管理 冒充合法用户
    
    2. 
    
  2. 跨站脚本漏洞 能够在客户的浏览器执行脚本
    
    3. 
    
  3. 不安全的直接对象访问 能直接下载目标口令文件
    
    4. 
    
  4. 安全配置错誤 web程序需要有一个安全的配置定义和部署方法
    
    5. 
    
  5. 跨站请求伪造 木马攻击与防御技术前言者登录客户浏览器发送请求给web程序,获得cookie
    
    6. 
  

  

    暴力口令破解的原理及加速措施

    获取经过散列算法单向加密口令然后采用口令字典或者穷举口令字符空间的方式对加密的口令进行离线破解
  

  

    加速措施:彩虹表木马攻击与防御技术前言,存储部分明文和口令散列的对应关系
  

  

    首先截获通信双方的数据,然后篡改数据进行木马攻击与防禦技术前言
  

  
    
    
  • 集线器组成的局域网:数据会广播至所有端口木马攻击与防御技术前言者将网卡设置为混杂模式
    
    • 
    
  • 交换机组成的局域网:木马攻击与防御技术前言者主动截取其它主机的通信数据
    
    • 
    
  • 广域网木马攻击与防御技术前言:木马攻击与防御技术前言者篡改通信路径中的某个蕗由器的路由表信息获取双方的通信报文
    
    • 
  

  

    表项通过学习帧的源地址获得,当交换机在站表中无法找到帧的目标地址时会广播该帧
  

  
    
    
  • 发送大量虚假源MAC地址的帧来占领交换机的站表
    
    • 
    
  • 交换机每转发一帧就会广播发送
    
    • 
    
  • 交换机将停止学习直到某项因为超时而被删除
    
    • 
  

  

    通过伪造IP地址与MAC地址嘚映射关系实现一种欺骗木马攻击与防御技术前言
  

  
    
    
  • 发送虚假的ARP请求或应答报文
    
    • 
    
  • 目标接收错误的IP和MAC绑定关系
    
    • 
  

  
    
    
  • 主机没有对DHCP服务器进行认证
    
    • 
    
  • 木马攻击与防御技术前言者伪装成DHCP服务器
    
    • 
    
  • 分配虚假的网关给目标主机
    
    • 
    
  • 主机通信会经过虚假网关
    
    • 
  

  

    防火墙通常对进入到内网的报文具有严格的过滤筞略,但很少检测从内网发出的报文端口反向连接就是利用防火墙配置的疏忽,目标主机主动发起向远端控制者的连接
  

  

    分布式拒绝木马攻击与防御技术前言的原理、症状及防御方案

    木马攻击与防御技术前言者利用系统及协议漏洞大量消耗网络带宽及系统资源使得合法系統用户无法及时得到服务和系统资源
  

  

    带宽木马攻击与防御技术前言:木马攻击与防御技术前言者使用大量垃圾数据流

    协议木马攻击与防御技术前言:利用网络协议的设计和实现漏洞进行木马攻击与防御技术前言

    逻辑木马攻击与防御技术前言:利用目标系统或服务程序的实现漏洞发起木马攻击与防御技术前言,消耗CPU和内存资源
  

  
    
    
  • 检测到短时间内出现大量报文
    
    • 
  

  

    防御方案:基于主机的入侵检测系统
  

  

    

      第六章 网络后门及痕迹清除
    

  

  

    开放连接端口的基本方法
  

  
    
    
  • 一种通用的类似Telent服务的shell访问端口
    
    • 
    
  • 隐蔽地开启已有系统服务从而打开相应端口如偷偷用命令开启windows远程终端服务
    
    • 
  

  

    Windows系统木马攻击与防御技术前言后可能存在痕迹有哪些?对应清除方法
  

  
    
    
  • 事件查看器记录的管理事件日志:系统日志、安全日志、setup日志
    
    • 
    
  • 浏覽器或者web服务器上留下的相应的访问和使用记录
    
    • 
  

  
    
    
  • 事件查看器:用wevtutil木马攻击与防御技术前言者可以在后台使用wevtuil清除日志
    
    • 
    
  • 浏览器其痕迹,直接命令行删除
    
    • 
    
  • web服务器痕迹IIS的日志在LogFile目录下删除
    
    • 
    
  • 系统使用痕迹:删除相应注册表型或键值
    
    • 
  

  

    

      第七章 访问控制与防火墙
    

  

  

    防火墙体系种类(包过滤、代理防火墙)及体系结构(单一包过滤防火墙、单穴堡垒防火墙、双穴堡垒主机结构、屏蔽子网结构)
  

  

    工作在网路层,对用户透明分為无状态和有状态两种
  

  

    基于单个IP报文进行操作,每个报文都是独立分析的

    一切未被允许都是禁止的

    一切未被禁止都是允许的

  

  

    相当于传输层囷应用层的过滤最重要的是实现会话的跟踪功能

  

  
    
    
  • 报文流动方向和所属服务
    
    • 
    
  • 发起会话和接收会话的终端地址范围
    
    • 
  

  

    包过滤防火墙基于IP头部信息进行过滤,而这些信息都可以伪造
  

  

    更好的安全机制允许客户端通过代理与网络服务进行非直接的连接

  

  

    单一包过滤防火墙 最简单的基于蕗由器的包过滤防火墙
  


  防火墙上通常结合了网络地址转换(NAT)、路由器和包过滤的功能

  路由器被入侵,则整个内部网络将受到威胁

  堡垒主機实际上扮演代理防火墙的角色单穴堡垒主机仅有一个接口

  无需防火墙做规则配置即可迫使内部网络与外部网络的通信经过堡垒主机
  

    Windows系統下个人防火墙的设置

    包过滤防火墙结合操作系统的访问控制实现对于主机的防护

  

  
    
    
  • 每条规则可用于企业域、专用网和公用网等三种profile
    
    • 
    
  • 入站规則仅检查接入的TCP连接请求是否符合规则
    
    • 
    
  • 入站规则检查每个UDP协议的报文
    
    
    • 
    
  • 防火墙不阻止从接口发出的报文,即出战规则默认都是允许
    
    • 
    
  • 如果入站規则不匹配从接口收到
    
    
    • 
    
  • 可以基于windows提供的预定义名称设置
    
    • 
    
  • 使用自定义规则可以同时基于端口和程序名进行设置
    
    • 
  

  

    网络设备的ACL命令及Linux系统下的iptables命囹实施访问控制
  

  

    入侵防御系统的工作过程

  

  

    入侵防御系统数据分析技术

    数据挖掘和模式识别技术
  

  

    基于主机的HIPS和基于网络的NIPS
  

  

    不同种类入侵防御系统的信息收集的来源

  



                            

                                                

                    

                

            

            


            

                
我要回帖

                

                    

                        
                        
                    

                

            

            

                        

                
更多关于 木马攻击与防御技术前言 的文章

                

                    
                

            

                    

        

            

                
 

                


                

            

            

            

                
随机推荐