第2章_网络操作命令及协议分析(改).ppt

《第2章_网络操作命令及协议分析(改).ppt》由会员分享，可在线阅读，更多相关《第2章_网络操作命令及协议分析(改).ppt（80页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、 网络安全与管理第2章 网络操作命令及协议分析学习目标q了解常用的网络协议和服务了解常用的网络协议和服务q掌握协议分析工具的使用方法掌握协议分析工具的使用方法q掌握网络操作命令的使用掌握网络操作命令的使用22.1 常用网络协议和服务n2.1.1 常用网络协议 IP协议 TCP协议 UDP协议 ICMP协议 n2.1.2 常用网络服务 Telnet FTP E-Mail WWW DNS32.1.1 常用网络协议n1IP协议版本头长度服务类型封包总长度封包标识标志分段偏移量生命期协议校验和源IP地址目的IP地址可选项（变长，可以是0或更多个字）42.1.1 常用网络协议52.1.1 常用网络协议源

2、端口目的端口顺序号确认号TCP头长度URCACKPSHRSTSYNFIN窗口大小校验和紧急指针可选项（0或更多的32位字）TCP协议 62.1.1 常用网络协议TCP头解析 72.1.1 常用网络协议UDP协议 源端口目的端口封包长度校验和0 16 3182.1.1 常用网络协议UDP头解析 92.1.1 常用网络协议ICMP协议在下面几中情况中自动发送ICMP消息：n（1）IP数据报无法访问目标。n（2）IP路由器（网关）无法按当前的传输速率转发数据报。n（3）IP路由器将发送主机重定向为使用更好的到达目标的路由。10 2.1.2 常用网络服务1Telnetn远程终端访问服务 nTelnet

3、通过端口23 ntelnet 远程主机名 *用户在远程主机上有自己的帐号 *公共Telnet信息资源 远程终端访问服务 112.1.2 常用网络服务2FTPn文件从远程计算机上下载到本地计算机，或把本地计算机的文件上传到远程计算机去nFTP服务的端口为21 n客户机/服务器系统 n两种访问模式：有用户ID和口令 匿名FTP服务 122.1.2 常用网络服务3E-mailn简单邮件传输协议SMTP，占用25端口，用于发送邮件；n邮局协议POP，占用110端口，用来接收邮件 n安全方面的缺陷 明码传输 邮件病毒和垃圾邮件 132.1.2 常用网络服务4WWWnHTTP协议，默认端口为80；nWin

4、dows下一般使用IIS作为Web服务器；142.1.2 常用网络服务5DNSn实现域名的解析 n域名和IP地址是分布式存放 -211.95.77.3 152.2 协议分析工具sniffer的应用n2.2.1 Sniffer Pro的启动和设置n2.2.2 解码分析 162.2.1 Sniffer Pro的启动和设置nSniffer软件是NAI公司推出的功能强大的协议分析软件。n实现对网络的监控，更深入地了解网络存在的问题，检测和修复网络故障和安全问题 n同类的网络分析工具：Ethereal、Netxray、Microsoft Net Monitor等 172.2.1 Sniffer Pro的

5、启动和设置1.启动sniffer pro182.2.1 Sniffer Pro的启动和设置192.2.1 Sniffer Pro的启动和设置202.2.1 Sniffer Pro的启动和设置n2、设置定义过滤器 212.2.1 Sniffer Pro的启动和设置选择捕获协议、类型及长度222.2.1 Sniffer Pro的启动和设置设置触发器 232.2.1 Sniffer Pro的启动和设置2OSI-RM的数据格式242.2.1 Sniffer Pro的启动和设置n报文捕获解析 捕获面板252.2.1 Sniffer Pro的启动和设置捕获报文统计捕获报文统计 捕获报文统计 262.2.2

6、 解码分析解码分析界面 272.2.2 解码分析通过Sniffer解码的ARP报文的结构 282.2.2 解码分析Sniffer对IP协议首部的解码分析结构292.3 Windows常用的网络命令2.3.1 ping命令2.3.2 ipconfig命令2.3.3 netstat命令2.3.4 tracert 2.3.5 net指令2.3.5 net指令2.3.7 ftp 2.3.8 telnet 302.3.1 ping命令312.3.1 ping命令322.3.2 ipconfig命令332.3.2 ipconfig命令342.3.3 netstat命令352.3.4 tracert 362

7、.3.5 net指令1net start 371.4.1 美国政府信息系统的安全防护体系 stop 382.3.5 net指令3net user 392.3.5 net指令402.3.5 net指令4net localgroup 412.3.5 net指令5net view422.3.5 net指令6net share关闭共享：net share 共享资源名/del如关闭IPC$共享，使用命令：net share ipc$/del 432.3.6 nbtstat n显示另一台计算机的物理地址和名字列表 442.3.7 ftp 452.3.7 ftp ftp服务器上的文件列表46 2.3.8 t

8、elnet n远程登录命令 n方法一：telnet 主机名（IP）n方法二：首先键入telnet，按回车；然后在提示符下键入open IP，这时就出现了登陆窗口，让用户输入合法的用户名和密码 47 2.3.8 telnet 48495051522.4 网络攻击的实施网络攻击的实施n2.4.1 网络信息搜集n1常用DOS命令n本地机器信息：用ipconfig搜集！53网络基本信息探测Ping 202.112.14.184Ping 55n禁止判断主机类型:黑客可利用TTL（Time To Live，生存时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。56n修改主键HKEY_LO

9、CAL_MACHINE下的子键:SystemCurrentControlSetServicesTcpipParameters，新建一个双字节项(DWORD)，在键的名称中输入“defaultTTL”，然后双击该键名，选择“十进制”，在“数位数据”文本框中输入100。设置完毕后需要重新启动计算机。57黑客攻击Ping 202.112.14.184 t注：死亡之Ping（ping of death）对目标IP不停地Ping探测从而致使目标主机网络瘫痪。常见工具有蜗牛炸弹、AhBomb等。ping-t-l 65550 IP(如:202.112.14.184)死亡之ping(发送大于64K的文件并一直

10、ping就成了死亡之ping）59Tracert n或:n nTracert 注：注：Tracerout(Unix系统系统)、Tracert（Windows系统）系统）602.4.2 端口扫描61NEtstat -a 127.216.193.177n或:nNbtscan A 127.216.193.177NETstat-aonNbtstat-anNbtstat-an62注注:禁用端口可用禁用端口可用”360安全卫士安全卫士!”高级高级”“网络连接网络连接”；在桌面右键单击在桌面右键单击“网上邻居网上邻居”，选择，选择“属性属性”，打开，打开“网络连接网络连接”窗口，窗口，然后右键单击然后右键单

11、击“本地连接本地连接”，选择，选择“属性属性”，打开，打开“本地连接属性本地连接属性”对话框，对话框，然后在然后在“常规常规”选项卡里双击选项卡里双击“Internet协议（协议（TCP/IP）”，弹出，弹出“Internet协议（协议（TCP/IP）属性）属性”对话框，单击下面的对话框，单击下面的“高级高级”按钮，弹出按钮，弹出“高级高级TCP/IP设置设置”对话框，选择对话框，选择“选项选项”选项卡，如图选项卡，如图4.5所示。再单击所示。再单击“属性属性”按钮，弹出按钮，弹出“TCP/IP筛选筛选”对话框，如图对话框，如图4.6所示。所示。(参见参见“张同光张同光”或或“谌黔燕谌黔燕”电

12、子科大电子科大P25”)图4.5 “高级TCP/IP设置”对话框 图4.6 “TCP/IP筛选”对话框 63n2.4.3 基于认证的入侵防范n1IPC$入侵n2Telnet入侵n3其他方式的入侵64Ipc$入侵IPC是英文 Internet Process Connection 的缩写,理解为“命令管道”资源。作用是在两台计算机进程之间建立通信连接。系统安装后，逻辑分区被默认为共享，其中的“$”符号表示这些共享是隐藏的。IPC$是Windows系统中特有的一个功能，通过这个功能一些网络程序的数据交换就可以建立在IPC上，实现计算机的远程访问和管理。但实际上，使用这个功能最多的不是网络管理员和普

13、通用户，而是网络黑客，它们通过IPC$入侵并控制远程主机，使IPC$入侵成为危害严重的最泛滥的一种入侵方式。IPC$的常用命令 (电子科大P16-P24)本地命令Net share 查看本机的共享资源。Net share IPC$打开本机的IPC$共享。Net share IPC$/del 删除本机的IPC$共享。Net share C=c:打开本机的C盘的默认共享。Net share C$/del 删除本机的C盘的默认共享。Net share 服务名 开放某个服务Net stop 服务名台 关闭某个服务建立连接命令Net use IPIPC$“”/user:”建立IPC$空连接Net use

14、 IPIPC$“密码”/user:”用户名”建立IPC$连接Net use IPIPC$/del 删除IPC$连接IPC$的常用命令 (电子科大P16-P24)n远程控制命令远程控制命令nNet use 本机自定义盘符本机自定义盘符 IP远程主机盘符远程主机盘符$n在建立连接后，把远程的某个磁盘映射到本机的指定磁盘。在建立连接后，把远程的某个磁盘映射到本机的指定磁盘。nNet use Z:192.168.0.7C$n 把远程把远程(192.168.0.7)机机C盘映射到本地的盘映射到本地的Z盘上盘上(网络驱动器网络驱动器)。nNet use 本机自定义盘符本机自定义盘符：/del 删除映象盘。

15、删除映象盘。nNet viewIP 查看远程主机的共享资源。查看远程主机的共享资源。nNet timeIP 查看远程主机的当前时间。查看远程主机的当前时间。nCopy 本机文件路径名本机文件路径名IP远程主机盘符远程主机盘符$n把本机某盘下的文件传到远程主机的指定盘下。把本机某盘下的文件传到远程主机的指定盘下。nAtIP time 要启动程序的路径要启动程序的路径程序名程序名n让远程主机在指定时间启动要启动的程序。让远程主机在指定时间启动要启动的程序。nNbtstat A IP 查看远程主机的用户列表。查看远程主机的用户列表。67IPC$的安全解决方案（“谌黔燕”电子科大P23）1、删除默认共

16、享；(见上二页PPT66)2、关闭Server服务；3、关闭139、445端口；(见上二页PPT43)4、禁止使用IPC$空连接；(见杨文虎P40)5、给系统设置一个安全的密码等。n防范IPC默认共享n可以通过修改注册表禁止空用户连接等方法。n(见张同光P84)682.4.1 预攻击探测(telnet)n(2).直接通过连接端口根据其返回的信息直接通过连接端口根据其返回的信息n这种方法应该说是用得最多的一种方法，下面来看几个实例。n例例2.1 如果计算机开了80端口，可以telnet（当然如果有NC最好用NC，它可以不用盲打）它的80端口。nC:telnet 10.1.1.2 80 输入get

17、 回车（注意这里是盲打）如果返回:nHTTP/1.1 400 Bad Request Server:Microsoft-IIS/5.0 Date:Fri,11 Jul 2003 02:31:55 GMT Content-Type:text/html Content-Length:87 nThe parameter is incorrect.nC:那么这台就肯定是Windows的计算机。692.4.1 预攻击探测n如果返回：nMethod Not Implementedget to/not supported.Invalid method in request get nApache/1.3.2

18、7 Server at Port 80n失去了跟主机的连接。C:那么多数就是Unix系统的计算机了。702.4.1 预攻击探测(FTP)n例例2.2 如果计算机开了21端口，可以直接FTP上去：nC:ftp 10.1.1.2 如果返回：nConnected to 10.1.1.2.220 sgyyq-c43s950 Microsoft FTP Service(Version 5.0).User(10.1.1.2none):n那么这就肯定是一台Windows 2000的计算机，主机名就是sgyyq-c43s950。这个FTP是Windows的IIS自带的一个FTP服务器。712.4.1 预攻击探

19、测n如果返回：nConnected to 10.1.1.3.220 Serv-U FTP Server v4.0 for WinSock ready.User(10.1.1.3none):n也可以肯定它是Windows的计算机，因为Serv-U FTP是一个专为Windows平台开发的FTP服务器。n如果返回：nConnected to 10.1.1.3.220 ready,dude(vsFTPd 1.1.0:beat me,break me)User(10.1.1.3none):n那么这就是一台Unix的计算机了。722.4.1 预攻击探测n例例2.3 如果开了23端口，就直接telnet上

20、去。n如果返回：nMicrosoft(R)Windows(TM)Version 5.00(Build 2195)nWelcome to Microsoft Telnet Service nTelnet Server Build 5.00.99201.1 nlogin:n那么这肯定是一台Windows的计算机了。n如果返回：nSunOS 5.8 nlogin:n这当然是一台Unix的计算机了，并且版本是Sun OS 5.8的。732.4.4 隐藏技术n1文件传输与文件隐藏技术n2扫描隐藏技术n3入侵隐藏技术742.4.4 隐藏技术nAttrib 文件名+H 隐藏文件nAttrib 文件名-H 清

21、除隐藏文件n n举例:752.4.5 安全解决方案n（1）加强个人网络安全保护意识n（2）删除默认的共享，尽量不要开放共享资源，资源迫不得已可以将访问者的权限降至最低。n（3）禁止空连接进行枚举攻击。n（4）使用正版防火墙软件和杀毒工具，及时升级。n（5）设置代理服务器，隐藏自已的IP地址。n（6）将防毒、防黑当成日常性工作，定时更新防毒组件，将防毒软件保持在常驻状态，以彻底防毒。n（7）对于重要的个人资料做好严密的保护，并养成资料备份的习惯。762.5 留后门与清痕迹的防范方法留后门与清痕迹的防范方法(第二章实训第二章实训)n 黑客除了通过克隆账号留后门外，入侵者还要清除入侵痕迹，主要是清除

22、系统日志，Windows系统以3种日志方式记录重要事件。n 应用程序日志包含由应用程序或系统程序记录的事件。例如，数据库程序可在应用日志中记录文件错误。程序开发员决定记录哪一个事件。n 系统日志包含Windows 2000的系统组件记录的事件。例如，在启动过程中将加载的驱动程序或其他系统组件的失败信息记录在系统日志中。安全日志可以记录安全事件，如有效的和无效的登录尝试，以及与创建、打开或删除文件等资源使用相关联的事件。注：用“360安全卫士”“实时保护”“查看历史”来清除了日志文件！77n 对于网络用户而言，及时发现漏洞和入侵是网络安全防护的首要任务。但是黑客一旦清除了日志文件，对于一般网络用户而言是难以发现的，因此我们建议采取以下策略提高网络的自主防护能力。78（1）保护本地安全策略n 运行用户指定系统启动或关闭时执行的本地脚本，最好系统关闭时删除所有临时文件，启动时利用杀毒软件检查重要的系统文件。n 实施用户账户封锁策略。n 为系统和网络的审计实施有效的审计策略。n 正确配置用户权限将阻止恶意系统用户访问其他用户文件。79n（2）保护系统文件和目录权限，可以有效地保护日志文件，从而使未授权用户不能访问这些文件夹。n（3）限制空连接，保护共享文件，可以通过启用防火墙监视网络连接情况。n（4）禁用不必要的服务。80