這是一個(gè)關(guān)于網(wǎng)絡(luò)信息安全論文PPT素材，主要介紹網(wǎng)絡(luò)信息收集的必要性、網(wǎng)絡(luò)信息收集的內(nèi)容、網(wǎng)絡(luò)信息收集的技術(shù)方法、網(wǎng)絡(luò)踩點(diǎn)－概要。網(wǎng)絡(luò)信息收集技術(shù)網(wǎng)絡(luò)信息采集技術(shù)概述網(wǎng)絡(luò)信息收集的必要性 “知己知彼，百戰(zhàn)不殆；不知彼而知己，一勝一負(fù)；不知彼，不知己，每戰(zhàn)必殆。”——《孫子·謀攻篇》網(wǎng)絡(luò)信息收集的必要性攻防對(duì)抗(博弈)中：對(duì)敵方信息的掌握是關(guān)鍵攻擊者先手優(yōu)勢(shì)攻擊目標(biāo)信息收集防御者后發(fā)制人對(duì)攻擊者實(shí)施信息收集，歸因溯源網(wǎng)絡(luò)信息收集的內(nèi)容網(wǎng)絡(luò)攻擊信息收集入手點(diǎn)：目標(biāo)的名稱和域名攻擊準(zhǔn)備階段在網(wǎng)絡(luò)中的“地理位置” 與真實(shí)世界的聯(lián)系（實(shí)施社工和物理攻擊） “網(wǎng)絡(luò)地圖”‖ 攻擊所需的更詳細(xì)信息攻擊實(shí)施階段目標(biāo)系統(tǒng)中存在的安全缺陷和漏洞目標(biāo)系統(tǒng)的安全防護(hù)機(jī)制網(wǎng)絡(luò)防御信息收集追查入侵者的身份、網(wǎng)絡(luò)位置、所攻擊的目標(biāo)、采用的攻擊方法等一般被歸入取證與追蹤技術(shù)范疇網(wǎng)絡(luò)信息收集的技術(shù)方法 信息收集 網(wǎng)絡(luò)踩點(diǎn)(footprinting) Web搜索與挖掘 DNS和IP查詢網(wǎng)絡(luò)拓?fù)鋫刹炀W(wǎng)絡(luò)掃描(scanning) 主機(jī)掃描端口掃描系統(tǒng)類型探查漏洞掃描網(wǎng)絡(luò)查點(diǎn)(enumeration) 旗標(biāo)抓取網(wǎng)絡(luò)服務(wù)查點(diǎn)網(wǎng)絡(luò)踩點(diǎn)技術(shù)網(wǎng)絡(luò)踩點(diǎn)－概要踩點(diǎn)(foot printing) 有計(jì)劃、有步驟的信息情報(bào)收集了解攻擊目標(biāo)的網(wǎng)絡(luò)環(huán)境和信息安全狀況得到攻擊目標(biāo)剖析圖踩點(diǎn)目的通過對(duì)完整剖析圖的細(xì)致分析攻擊者將會(huì)從中尋找出攻擊目標(biāo)可能存在的薄弱環(huán)節(jié)為進(jìn)一步的攻擊行動(dòng)提供指引網(wǎng)絡(luò)踩點(diǎn)針對(duì)的信息目標(biāo)組織具體使用的域名網(wǎng)絡(luò)地址范圍因特網(wǎng)上可直接訪問的IP地址與網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及軟硬件電話號(hào)碼段電子郵件列表信息安全狀況目標(biāo)個(gè)人身份信息、聯(lián)系方式、職業(yè)經(jīng)歷，甚至一些個(gè)人隱私信息踩點(diǎn)能夠獲取的信息(1) 域名 gzhu.edu.cn 網(wǎng)絡(luò)地址塊 202.192.16.0/20，202.192.32.0/20， 202.192.64.0/21，202.192.80.0/21 直接訪問的IP地址 www.gzhu.edu.cn 202.192.18.12 lib.gzhu.edu.cn 202.192.41.6 maths.gzhu.edu.cn 202.192.67.1 DNS: dns(1).gzhu.edu.cn 202.192.18.1(2) 踩點(diǎn)能夠獲取的信息(2) 踩點(diǎn)成果1 校園網(wǎng)絡(luò)的核心是二臺(tái)CISCO 6513萬兆企業(yè)級(jí)交換機(jī)。校園內(nèi)主干光纖是千兆帶寬，匯聚層的主力交換機(jī)群是NETNEAR和FUNDRAY，部分樓宇實(shí)現(xiàn)萬兆主干連接。校園網(wǎng)桌面用戶的接入主力交換機(jī)是NETGEAR 724S/750S，全部是100M接入，部分用戶實(shí)現(xiàn)千兆接入到桌面。在如領(lǐng)導(dǎo)辦公區(qū)、會(huì)議室、演播廳、模擬法庭、圖書館等重要公共場所，設(shè)有無線接入路由，實(shí)現(xiàn)便攜式計(jì)算機(jī)的無線接入，歡迎點(diǎn)擊下載網(wǎng)絡(luò)信息安全論文PPT素材哦。

網(wǎng)絡(luò)信息安全論文PPT素材是由紅軟PPT免費(fèi)下載網(wǎng)推薦的一款學(xué)校PPT類型的PowerPoint.

網(wǎng)絡(luò)信息收集技術(shù)網(wǎng)絡(luò)信息采集技術(shù)概述網(wǎng)絡(luò)信息收集的必要性 “知己知彼，百戰(zhàn)不殆；不知彼而知己，一勝一負(fù)；不知彼，不知己，每戰(zhàn)必殆。”——《孫子·謀攻篇》網(wǎng)絡(luò)信息收集的必要性攻防對(duì)抗(博弈)中：對(duì)敵方信息的掌握是關(guān)鍵攻擊者先手優(yōu)勢(shì)攻擊目標(biāo)信息收集防御者后發(fā)制人對(duì)攻擊者實(shí)施信息收集，歸因溯源網(wǎng)絡(luò)信息收集的內(nèi)容網(wǎng)絡(luò)攻擊信息收集入手點(diǎn)：目標(biāo)的名稱和域名攻擊準(zhǔn)備階段在網(wǎng)絡(luò)中的“地理位置” 與真實(shí)世界的聯(lián)系（實(shí)施社工和物理攻擊） “網(wǎng)絡(luò)地圖”‖ 攻擊所需的更詳細(xì)信息攻擊實(shí)施階段目標(biāo)系統(tǒng)中存在的安全缺陷和漏洞目標(biāo)系統(tǒng)的安全防護(hù)機(jī)制網(wǎng)絡(luò)防御信息收集追查入侵者的身份、網(wǎng)絡(luò)位置、所攻擊的目標(biāo)、采用的攻擊方法等一般被歸入取證與追蹤技術(shù)范疇網(wǎng)絡(luò)信息收集的技術(shù)方法 信息收集 網(wǎng)絡(luò)踩點(diǎn)(footprinting) Web搜索與挖掘 DNS和IP查詢網(wǎng)絡(luò)拓?fù)鋫刹炀W(wǎng)絡(luò)掃描(scanning) 主機(jī)掃描端口掃描系統(tǒng)類型探查漏洞掃描網(wǎng)絡(luò)查點(diǎn)(enumeration) 旗標(biāo)抓取網(wǎng)絡(luò)服務(wù)查點(diǎn)網(wǎng)絡(luò)踩點(diǎn)技術(shù)網(wǎng)絡(luò)踩點(diǎn)－概要踩點(diǎn)(foot printing) 有計(jì)劃、有步驟的信息情報(bào)收集了解攻擊目標(biāo)的網(wǎng)絡(luò)環(huán)境和信息安全狀況得到攻擊目標(biāo)剖析圖踩點(diǎn)目的通過對(duì)完整剖析圖的細(xì)致分析攻擊者將會(huì)從中尋找出攻擊目標(biāo)可能存在的薄弱環(huán)節(jié)為進(jìn)一步的攻擊行動(dòng)提供指引網(wǎng)絡(luò)踩點(diǎn)針對(duì)的信息目標(biāo)組織具體使用的域名網(wǎng)絡(luò)地址范圍因特網(wǎng)上可直接訪問的IP地址與網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及軟硬件電話號(hào)碼段電子郵件列表信息安全狀況目標(biāo)個(gè)人身份信息、聯(lián)系方式、職業(yè)經(jīng)歷，甚至一些個(gè)人隱私信息踩點(diǎn)能夠獲取的信息(1) 域名 gzhu.edu.cn 網(wǎng)絡(luò)地址塊 202.192.16.0/20，202.192.32.0/20， 202.192.64.0/21，202.192.80.0/21 直接訪問的IP地址 www.gzhu.edu.cn 202.192.18.12 lib.gzhu.edu.cn 202.192.41.6 maths.gzhu.edu.cn 202.192.67.1 DNS: dns(1).gzhu.edu.cn 202.192.18.1(2) 踩點(diǎn)能夠獲取的信息(2) 踩點(diǎn)成果1 校園網(wǎng)絡(luò)的核心是二臺(tái)CISCO 6513萬兆企業(yè)級(jí)交換機(jī)。校園內(nèi)主干光纖是千兆帶寬，匯聚層的主力交換機(jī)群是NETNEAR和FUNDRAY，部分樓宇實(shí)現(xiàn)萬兆主干連接。校園網(wǎng)桌面用戶的接入主力交換機(jī)是NETGEAR 724S/750S，全部是100M接入，部分用戶實(shí)現(xiàn)千兆接入到桌面。在如領(lǐng)導(dǎo)辦公區(qū)、會(huì)議室、演播廳、模擬法庭、圖書館等重要公共場所，設(shè)有無線接入路由，實(shí)現(xiàn)便攜式計(jì)算機(jī)的無線接入。網(wǎng)絡(luò)出口有三條，分別出向到中國電信、教科網(wǎng)和大學(xué)城中央樞紐，平均流量超過150M。踩點(diǎn)成果2 踩點(diǎn)成果3 對(duì)gzhu的踩點(diǎn)總結(jié)我們了解了gzhu的地址段以及可訪問的服務(wù)我們了解了gzhu的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、連接設(shè)備我們知道gzhu具有無線網(wǎng)絡(luò)我們了解了gzhu的服務(wù)器軟硬件配置 如果我們能據(jù)此定向挖掘漏洞…… 網(wǎng)絡(luò)踩點(diǎn)技術(shù)手段 Web信息搜索與挖掘 Google Hacking‖ 對(duì)目標(biāo)組織和個(gè)人的大量公開或意外泄漏的Web信息進(jìn)行挖掘 DNS與IP查詢公開的一些因特網(wǎng)基礎(chǔ)信息服務(wù)目標(biāo)組織域名、IP以及地理位置之間的映射關(guān)系，以及注冊(cè)的詳細(xì)信息網(wǎng)絡(luò)拓?fù)鋫刹炀W(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和可能存在的網(wǎng)絡(luò)訪問路徑網(wǎng)絡(luò)搜索公開渠道信息收集目標(biāo)Web網(wǎng)頁、地理位置、相關(guān)組織組織結(jié)構(gòu)和人員、個(gè)人資料、電話、電子郵件網(wǎng)絡(luò)配置、安全防護(hù)機(jī)制的策略和技術(shù)細(xì)節(jié) Google Hacking Google Hacking: 通過網(wǎng)絡(luò)搜索引擎查找特定安全漏洞或私密信息的方法 allinurl:tsweb/default.htm: 查找遠(yuǎn)程桌面Web連接 Google Hacking軟件: Athena， Wikto， SiteDigger 如何用好Google-基本搜索技巧基本搜索與挖掘技巧保持簡單。簡單明了的關(guān)鍵詞更利于搜索。使用最可能出現(xiàn)在要查找的網(wǎng)頁上的字詞。盡量簡明扼要地描述要查找的內(nèi)容。選擇獨(dú)特性的描述字詞。善于利用搜索詞智能提示功能。如何用好Google-高級(jí)搜索 Google信息搜索實(shí)例- 找出特定域名下盡可能多網(wǎng)站 allinurl:-php-html -htm-asp -aspx-ppt-pdf-swf-doc –xls site:gzhu.edu.cn Google信息搜索實(shí)例 找出開放遠(yuǎn)程桌面Web連接的服務(wù)器遠(yuǎn)程桌面Web連接–遠(yuǎn)程桌面的“Web版本” 可通過口令破解攻破設(shè)置了弱口令的服務(wù)器 Google信息搜索實(shí)例 嘗試找出學(xué)生身份證號(hào)信息編程實(shí)現(xiàn)Web搜索 Google AJAX Search API Web網(wǎng)頁和應(yīng)用程序中集成Google搜索功能接口只能返回64條結(jié)果 Xgoogle Python的Google搜索共享庫查詢頻率快會(huì)被Google認(rèn)定程序自動(dòng)搜索，CAPTCHA 元搜索引擎集成多個(gè)搜索引擎進(jìn)行信息收集基于元搜索引擎實(shí)現(xiàn)被篡改網(wǎng)站發(fā)現(xiàn) Web信息搜索與挖掘防范措施注意組織安全敏感信息以及個(gè)人隱私信息不要在因特網(wǎng)上隨意發(fā)布個(gè)人上網(wǎng)時(shí)盡量保持匿名 “網(wǎng)絡(luò)實(shí)名制”? 個(gè)人隱私權(quán)立法保護(hù)? 還沒有！ “跨省追捕”! 必須提供個(gè)人隱私信息時(shí)，應(yīng)選擇具有良好聲譽(yù)并可信任的網(wǎng)站定期對(duì)自身單位及個(gè)人在Web上的信息足跡進(jìn)行搜索掌握Google Hacking信息搜索技術(shù)發(fā)現(xiàn)存在非預(yù)期泄漏的敏感信息后，應(yīng)采取行動(dòng)進(jìn)行清除 DNS與IP查詢–DNS/IP基礎(chǔ)設(shè)施 DNS/IP 因特網(wǎng)賴以運(yùn)轉(zhuǎn)的兩套基礎(chǔ)設(shè)施環(huán)境因特網(wǎng)上的公共數(shù)據(jù)庫中進(jìn)行維護(hù)層次化結(jié)構(gòu)管理 ICANN:因特網(wǎng)技術(shù)協(xié)調(diào)機(jī)構(gòu) ASO: 地址支持組織， 負(fù)責(zé)IP地址分配和管理 GNSO: 基本名稱支持組織， 負(fù)責(zé)通用頂級(jí)域名分配 CNNSO: 國家代碼域名支持組織，負(fù)責(zé)國家頂級(jí)域名分配國內(nèi)公網(wǎng): CNNIC， ISPs(電信，網(wǎng)通…)， 域名服務(wù)商(萬網(wǎng)) 教育網(wǎng): CERNET， 賽爾網(wǎng)絡(luò)， … DNS注冊(cè)信息Whois查詢域名注冊(cè)過程注冊(cè)人(Registrant) 注冊(cè)商(Registrar) 官方注冊(cè)局(Registry) 3R注冊(cè)信息：分散在官方注冊(cè)局或注冊(cè)商各自維護(hù)數(shù)據(jù)庫中官方注冊(cè)局一般會(huì)提供注冊(cè)商和Referral URL信息具體注冊(cè)信息一般位于注冊(cè)商數(shù)據(jù)庫中 WHOIS查詢查詢特定域名的3R詳細(xì)注冊(cè)信息域名注冊(cè)信息查詢: ICANN(IANA)域名官方注冊(cè)局域名服務(wù)商 WhoisWeb查詢服務(wù)：官方注冊(cè)局、注冊(cè)商尋找域名注冊(cè)信息數(shù)據(jù)庫并查詢返回結(jié)果的WhoisWeb查詢服務(wù)：萬網(wǎng)、站長之家(whois.chinaz.com) 集成工具: Whois客戶程序，SamSpade， SuperScan， … Whois查詢示例-gzhu.edu.cn DNS服務(wù)：從DNS到IP的映射 DNS服務(wù)器和查詢機(jī)制權(quán)威DNS服務(wù)器：提供原始DNS映射信息主(primary)DNS服務(wù)器輔助(secondary)DNS服務(wù)器遞歸緩存DNS服務(wù)器：ISP提供接入用戶使用分布式緩存與遞歸查詢的機(jī)制 DNS查詢工具 nslookup/dig nslookup查詢 IP Whois查詢 IP分配過程 ICANN的地址管理組織ASO總體負(fù)責(zé)協(xié)調(diào)RIR和NIR進(jìn)行具體分配與維護(hù)每家RIR都知道每段IP地址范圍屬于哪家管轄具體分配信息在NIR/ISP維護(hù) IPWhois查詢過程任意RIR的Whois服務(wù)(北美: ARIN， 亞太: APNIC) 202.192.67.1 查詢示例 ARIN的Whois Web服務(wù)， 告知這段IP由APNIC管轄 APNIC的Whois Web服務(wù)， 給出該網(wǎng)段屬于廣州大學(xué)，細(xì)節(jié)信息可能有時(shí)需要到NIR(CNNIC)或ISP查詢更細(xì)致信息自動(dòng)化程序和服務(wù) Whois客戶程序 ARIN的Whois Web服務(wù) APNIC的Whois Web服務(wù)， 那么，實(shí)際的202.192.67.1 IP2Location－地理信息查詢 IP2Location查詢 IP地址(因特網(wǎng)上的虛擬地址)現(xiàn)實(shí)世界中的具體地理位置 IP2Location數(shù)據(jù)庫: WHOIS數(shù)據(jù)庫， GeoIP， IP2Location， 純真數(shù)據(jù)庫（QQ IP查詢使用）地理信息查詢 Google Map， Sougou地圖 Google Earth 在www.ip2location.com上查詢202.192.18.12 DNS與IP查詢安全防范措施公用數(shù)據(jù)庫中提供信息的安全問題必須向注冊(cè)機(jī)構(gòu)提供盡可能準(zhǔn)確的信息采用一些安防措施不讓攻擊者輕易得手及時(shí)更新管理性事務(wù)聯(lián)系人的信息嘗試使用虛構(gòu)的人名來作為管理性事務(wù)聯(lián)系人 HoneyMan‖: 幫助發(fā)現(xiàn)和追查那些在電話或郵件中試圖冒充虛構(gòu)人名的“社會(huì)工程師” 慎重考慮所列的電話號(hào)碼和地址等信息注意域名注冊(cè)機(jī)構(gòu)允許更新注冊(cè)信息的方式，并確保其中關(guān)鍵信息的安全攻擊案例：2008年黑客進(jìn)入了網(wǎng)絡(luò)支付服務(wù)商CheckFree的郵箱，從而修改了域名記錄網(wǎng)絡(luò)偵察 Traceroute–路由跟蹤探測(cè)網(wǎng)絡(luò)路由路徑，可用于確定網(wǎng)絡(luò)拓?fù)渲鳈C(jī)發(fā)送TTL從1開始逐步增1的IP包，網(wǎng)絡(luò)路徑上路由器返回ICMP TIME_EXECEEDED UNIX/Linux: traceroute Windows: tracert 穿透防火墻: traceroute-S -p53 TARGET_IP 圖形化界面工具: VisualRoute， NeoTrace， Trout 網(wǎng)絡(luò)偵察防范措施路由器配置: 只允許特定系統(tǒng)響應(yīng)ICMP/UDP數(shù)據(jù)包網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)/網(wǎng)絡(luò)入侵防御系統(tǒng): Snort 虛假響應(yīng)信息: RotoRouter Traceroute網(wǎng)絡(luò)偵察示例網(wǎng)絡(luò)掃描技術(shù)網(wǎng)絡(luò)掃描與入室盜竊窺探主機(jī)掃描(ping掃描) 主機(jī)掃描目的：檢查目標(biāo)主機(jī)是否活躍(active). 主機(jī)掃描方式傳統(tǒng)ICMP Ping掃描 ACK Ping掃描 SYN Ping掃描 UDP Ping掃描：到關(guān)閉端口主機(jī)掃描程序 Ping Nmap: -sP選項(xiàng)， 缺省執(zhí)行，集合了ICMP/SYN/ ACK/UDP Ping功能 Ping掃射 Ping掃射同時(shí)掃描大量的IP地址段，以發(fā)現(xiàn)某個(gè)IP地址是否綁定活躍主機(jī)的掃描 Ping掃射工具軟件 UNIX: Nmap， fping， hping2 Win32: Superscan 主機(jī)掃描防范措施單一主機(jī)Ping掃描很常見，危害性也不大，更關(guān)注Ping掃射 監(jiān)測(cè)：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)Snort；主機(jī)掃描監(jiān)測(cè)工具Scanlogd 防御：仔細(xì)考慮對(duì)ICMP通信的過濾策略利用Ping構(gòu)建后門: loki(Phrackv51#06)， pingd 端口端口 TCP/UDP (1-64K)， 運(yùn)行網(wǎng)絡(luò)應(yīng)用服務(wù)由IANA/ICANN負(fù)責(zé)分配端口分類知名端口 0－1023（Well-Known Ports） 80/TCP HTTP（超文本傳輸協(xié)議）- 用于傳輸網(wǎng)頁 81/TCP HTTP預(yù)備（超文本傳輸協(xié)議） 443/TCP HTTPS - HTTP Protocol over TLS/SSL (encrypted transmission) 注冊(cè)端口為1024－49151 （Registered Ports） 4433/tcp，udp Microsoft SQL database system 1434/tcp，udp Microsoft SQL Monitor 動(dòng)態(tài)端口或私有端口，為49152－65535 （Dynamic Ports）這些端口號(hào)一般不固定分配給某個(gè)服務(wù)，只要運(yùn)行的程序向系統(tǒng)提出訪問網(wǎng)絡(luò)的申請(qǐng)，那么系統(tǒng)就可以從這些端口號(hào)中分配一個(gè)供該程序使用。端口掃描連接目標(biāo)主機(jī)的TCP和UDP端口，確定哪些服務(wù)正在運(yùn)行即處于監(jiān)聽狀態(tài)的過程。端口掃描目的防御者－更加了解所管理的網(wǎng)絡(luò)狀況，找出沒有必要開放的端口并關(guān)閉，這是保證業(yè)務(wù)網(wǎng)絡(luò)安全的第一步。攻擊者－找出可供進(jìn)一步攻擊的網(wǎng)絡(luò)服務(wù)，同時(shí)結(jié)合操作系統(tǒng)探測(cè)技術(shù)也可以確定目標(biāo)主機(jī)所安裝的操作系統(tǒng)版本。開放網(wǎng)絡(luò)服務(wù)和操作系統(tǒng)版本信息為攻擊者提供了破解攻擊的目標(biāo)，使其更容易找出進(jìn)入目標(biāo)主機(jī)的漏洞路徑。 TCP連接掃描， SYN掃描 TCP連接掃描調(diào)用connect() socket函數(shù)連接目標(biāo)端口開放端口：完成完整的TCP三次握手(SYN， SYN|ACK， ACK)，timeout/RST 關(guān)閉端口：SYN， RST 優(yōu)勢(shì)&弱勢(shì)：無需特權(quán)用戶權(quán)限可發(fā)起，目標(biāo)主機(jī)記錄大量連接和錯(cuò)誤信息，容易檢測(cè) SYN掃描半開掃描(half-open scanning) 開放端口：攻擊者SYN， 目標(biāo)主機(jī)SYN|ACK， 攻擊者立即反饋RST包關(guān)閉連接關(guān)閉端口：攻擊者SYN， 目標(biāo)主機(jī)RST 優(yōu)勢(shì)&弱勢(shì)：目標(biāo)主機(jī)不會(huì)記錄未建立連接，較為隱蔽，需根用戶權(quán)限構(gòu)建定制SYN包隱蔽端口掃描隱蔽端口掃描方式 TCP連接掃描和SYN掃描并不隱蔽：防火墻會(huì)監(jiān)控發(fā)往受限端口的SYN包隱蔽端口掃描通過構(gòu)造特殊的TCP標(biāo)志位，以躲避檢測(cè)，同時(shí)達(dá)成端口掃描目的。 FIN掃描(只帶FIN位)， Null掃描(全為0)， XMAS掃描(FIN/URG/PUSH) FTP彈射掃描：利用FTP代理選項(xiàng)達(dá)到隱蔽源地址如何達(dá)成掃描目的開放端口：標(biāo)準(zhǔn)TCP協(xié)議規(guī)范，接受這些偽造TCP包，丟棄，無任何反饋關(guān)閉端口：反饋RST包 Windows/Cisco等系統(tǒng)沒有遵從規(guī)范，開放端口對(duì)于偽造TCP包也反饋RST，這三種方法不適用 UDP端口掃描 UDP端口掃描對(duì)目標(biāo)端口發(fā)送特殊定制的UDP數(shù)據(jù)報(bào)文開放端口: UDP反饋關(guān)閉端口: ICMP port unreachable報(bào)文 UDP端口掃描工具 UNIX: udp_scan， nmap-sU， nc-u -v -z -w2 HOST PORT_LIST Win32: WUPS， ScanLineCS 掃描軟件-nmap nmap(Network Mapper) 作者: Fyodor (insecure.org) nmap圖形化支持: Zenmap 端口掃描防范措施任何攻擊技術(shù)都是雙刃劍網(wǎng)絡(luò)管理員也可利用端口掃描確定開放必要服務(wù)端口掃描的監(jiān)測(cè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng): Snort中的portscan檢測(cè)插件系統(tǒng)掃描檢測(cè)工具: scanlogd， PortSentry， Genius 端口掃描的預(yù)防開啟防火墻類UNIX: netfilter/IPTables， Win32: 個(gè)人防火墻禁用所有不必要的服務(wù)，盡可能減少暴露面(進(jìn)一步的受攻擊面) 類UNIX: /etc/inetd.conf，Win32: 控制面板/服務(wù)系統(tǒng)類型探查系統(tǒng)類型探查：探查活躍主機(jī)的系統(tǒng)及開放網(wǎng)絡(luò)服務(wù)的類型目標(biāo)主機(jī)上運(yùn)行著何種類型什么版本的操作系統(tǒng)各個(gè)開放端口上監(jiān)聽的是哪些網(wǎng)絡(luò)服務(wù)目的為更為深入的情報(bào)信息收集，真正實(shí)施攻擊做好準(zhǔn)備如遠(yuǎn)程滲透攻擊需了解目標(biāo)系統(tǒng)操作系統(tǒng)類型，并配置操作系統(tǒng)類型探查操作系統(tǒng)類型探查(OS Identification) 通過各種不同操作系統(tǒng)類型和版本實(shí)現(xiàn)機(jī)制上的差異通過特定方法以確定目標(biāo)主機(jī)所安裝的操作系統(tǒng)類型和版本的技術(shù)手段明確操作系統(tǒng)類型和版本是進(jìn)一步進(jìn)行安全漏洞發(fā)現(xiàn)和滲透攻擊的必要前提不同操作系統(tǒng)類型和版本的差異性協(xié)議棧實(shí)現(xiàn)差異－協(xié)議棧指紋鑒別開放端口的差異－端口掃描應(yīng)用服務(wù)的差異－旗標(biāo)攫取辨識(shí)方式主動(dòng)－操作系統(tǒng)主動(dòng)探測(cè)技術(shù)被動(dòng)－被動(dòng)操作系統(tǒng)識(shí)別技術(shù)操作系統(tǒng)主動(dòng)探測(cè)操作系統(tǒng)主動(dòng)探測(cè)技術(shù)端口掃描應(yīng)用服務(wù)旗標(biāo)攫取主動(dòng)協(xié)議棧指紋鑒別主動(dòng)協(xié)議棧指紋鑒別 Fyodor， Phrack， Remote OS detection via TCP/IP Stack Finger-Printing， 1998. 鑒別項(xiàng)：FIN， BOGUS flag， ISN采樣， DF位， TCP初始窗口大小， ACK值， ICMP出錯(cuò)消息抑制， ICMP消息引用， ICMP出錯(cuò)消息回射完整性， TOS，重疊分片處理， TCP選項(xiàng) nmap-O選項(xiàng)， qeuso， Xprobe 被動(dòng)操作系統(tǒng)識(shí)別被動(dòng)操作系統(tǒng)識(shí)別技術(shù)流量監(jiān)聽(開放端口): tcpdump， … 被動(dòng)應(yīng)用服務(wù)識(shí)別: PADS 被動(dòng)協(xié)議棧指紋鑒別: siphon， p0f 被動(dòng)協(xié)議棧指紋鑒別 Lance Spitzner， Passive fingerprinting 四個(gè)常用特征: TTL， Window Size， DF， TOS P0f v2: p0f.fp， wwww:ttt:D:ss:OOO...:QQ:OS:Details WWS:TTL:DF:Syn pkt size:option，order，…quirks OS genre， OS description 網(wǎng)絡(luò)服務(wù)類型探查網(wǎng)絡(luò)服務(wù)類型探查確定目標(biāo)網(wǎng)絡(luò)中開放端口上綁定的網(wǎng)絡(luò)應(yīng)用服務(wù)類型和版本了解目標(biāo)系統(tǒng)更豐富信息， 可支持進(jìn)一步的操作系統(tǒng)辨識(shí)和漏洞識(shí)別網(wǎng)絡(luò)服務(wù)主動(dòng)探測(cè)網(wǎng)絡(luò)服務(wù)旗標(biāo)抓取和探測(cè): nmap -sV 網(wǎng)絡(luò)服務(wù)被動(dòng)識(shí)別網(wǎng)絡(luò)服務(wù)特征匹配和識(shí)別: PADS 系統(tǒng)類型探查防范措施并沒有太多好辦法檢測(cè)端口掃描監(jiān)測(cè)工具對(duì)被動(dòng)式靜默監(jiān)聽并辨識(shí)系統(tǒng)類型行為則基本無能為力挫敗系統(tǒng)類型探查活動(dòng)的防御機(jī)制也很難 “不出聲就不會(huì)被發(fā)現(xiàn)”這一古老格言并不適用于網(wǎng)絡(luò)攻防領(lǐng)域應(yīng)立足于即使攻擊者探查出了操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)類型，也不能輕易的攻破這道“堅(jiān)固的防線” 什么是漏洞？漏洞 Security Vulnerability，安全脆弱性一般認(rèn)為，漏洞是指硬件、軟件或策略上存在的的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。安全漏洞: 系統(tǒng)攻防的基礎(chǔ)系統(tǒng)攻防的核心：安全漏洞、Exploit(滲透攻擊)/惡意代碼、安全防御與檢測(cè)機(jī)制三者之間的技術(shù)博弈安全漏洞生命周期漏洞掃描檢查系統(tǒng)是否存在已公布安全漏洞，從而易于遭受網(wǎng)絡(luò)攻擊的技術(shù)。漏洞的不可避免系統(tǒng)設(shè)計(jì)缺陷 Internet從設(shè)計(jì)時(shí)就缺乏安全的總體架構(gòu)和設(shè)計(jì) TCP/IP中的三階段握手軟件源代碼的急劇膨脹 Windows 95 1500萬行Windows 98 1800萬行 Windows XP 3500萬行Windows Vista 5000萬行 Linux 內(nèi)核200萬行軟件實(shí)現(xiàn)的缺陷微軟開發(fā)人員的單體測(cè)試缺陷從超過25個(gè)缺陷/千行代碼顯著降低到7個(gè)缺陷/千行代碼漏洞掃描漏洞掃描技術(shù)檢查系統(tǒng)是否存在已公布安全漏洞，從而易于遭受網(wǎng)絡(luò)攻擊的技術(shù)。雙刃劍網(wǎng)絡(luò)管理員用來檢查系統(tǒng)安全性，滲透測(cè)試團(tuán)隊(duì)(Red Team)用于安全評(píng)估。攻擊者用來列出最可能成功的攻擊方法，提高攻擊效率。已發(fā)布安全漏洞數(shù)據(jù)庫業(yè)界標(biāo)準(zhǔn)漏洞命名庫CVE http://cve.mitre.org 微軟安全漏洞公告MSxx-xxx http://www.microsoft.com/china/technet/security/current.mspx SecurityFocus BID http://www.securityfocus.com/bid National Vulnerability Database: NVD http://nvd.nist.gov/ CVE漏洞知識(shí)庫 CVE， Common Vulnerabilities and Exposures公共漏洞和風(fēng)險(xiǎn)一本漏洞字典為大家廣泛認(rèn)同的信息安全漏洞或者已經(jīng)暴露出來的弱點(diǎn)給出一個(gè)公共的名稱。 CVE標(biāo)準(zhǔn)使用一個(gè)共同的名字，幫助用戶在各自獨(dú)立的各種漏洞數(shù)據(jù)庫中和漏洞評(píng)估工具中共享數(shù)據(jù)，雖然這些工具很難整合在一起。 CVE的特點(diǎn) 1．為每個(gè)漏洞和暴露確定了唯一的名稱； 2．給每個(gè)漏洞和暴露一個(gè)標(biāo)準(zhǔn)化的描述； 3．不是一個(gè)數(shù)據(jù)庫，而是一個(gè)字典； 4．任何完全迥異的漏洞庫都可以用同一個(gè)語言表述； 5．由于語言統(tǒng)一，可以使得安全事件報(bào)告更好地被理解，實(shí)現(xiàn)更好的協(xié)同工作； 6．可以成為評(píng)價(jià)相應(yīng)工具和數(shù)據(jù)庫的基準(zhǔn)； 7．非常容易從互聯(lián)網(wǎng)查詢和下載，http://www.cve.mitre.org； 8．通過“CVE編輯部”體現(xiàn)業(yè)界的認(rèn)可 一個(gè)CVE例子 Vulnerability Summary for CVE-2003-0818 Original release date:03/03/2004 Last revised:03/08/2011 Source: US-CERT/NIST Overview Multiple integer overflows in Microsoft ASN.1 library (MSASN1.DLL)， as used in LSASS.EXE， CRYPT32.DLL， and other Microsoft executables and libraries on Windows NT 4.0， 2000， and XP， allow remote attackers to execute arbitrary code via ASN.1 BER encodings with (1) very large length fields that cause arbitrary heap data to be overwritten， or (2) modified bit strings. 一個(gè)CVE例子 Vulnerability Summary for CVE-2003-0818 Impact CVSS Severity (version 2.0 incomplete approximation): CVSS v2 Base Score:7.5 (HIGH) (AV:N/AC:L/Au:N/C:P/I:P/A:P) (legend) Impact Subscore: 6.4 Exploitability Subscore: 10.0 CVSS Version 2 Metrics: Access Vector: Network exploitable Access Complexity: Low Authentication: Not required to exploit Impact Type:Provides unauthorized access， Allows partial confidentiality， integrity， and availability violation; Allows unauthorized disclosure of information; Allows disruption of service The Common Vulnerability Scoring System 評(píng)估依據(jù)基本分 base group 時(shí)序分 temporal group 環(huán)境分 environmental group 評(píng)分過程 CVSS評(píng)分方法基本分評(píng)價(jià)該漏洞本身固有的一些特點(diǎn)及這些特點(diǎn)可能造成的影響的評(píng)價(jià)分值 時(shí)序分是評(píng)價(jià)漏洞時(shí)間的緊密關(guān)聯(lián) 環(huán)境分用于評(píng)價(jià)漏洞所造成的影響大小與用戶自身的實(shí)際環(huán)境的關(guān)系基本分計(jì)算 BaseScore = round_to_1_decimal(((0.6*Impact)+(0.4*Exploitability)–1.5)*f(Impact)) Impact = 10.41*(1-(1-ConfImpact)*(1-IntegImpact)*(1-AvailImpact)) Exploitability = 20* AccessVector*AccessComplexity*Authentication f(impact)= 0 if Impact=0， 1.176 otherwise 時(shí)序分計(jì)算 TemporalScore = round_to_1_decimal(BaseScore*Exploitability*RemediationLevel *ReportConfidence) Exploitability = case Exploitability of unproven: 0.85 proof-of-concept: 0.9 functional: 0.95 high: 1.00 not defined: 1.00 RemediationLevel = case RemediationLevel of official-fix: 0.87 temporary-fix: 0.90 workaround: 0.95 unavailable: 1.00 not defined: 1.00 ReportConfidence = case ReportConfidence of unconfirmed: 0.90 uncorroborated: 0.95 confirmed: 1.00 not defined: 1.00 環(huán)境分計(jì)算 EnvironmentalScore = round_to_1_decimal((AdjustedTemporal+ (10-AdjustedTemporal)*CollateralDamagePotential)*TargetDistribution) AdjustedTemporal = TemporalScore recomputed with the BaseScore’s Impact subequation replaced with the AdjustedImpact equation AdjustedImpact = min(10，10.41*(1-(1-ConfImpact*ConfReq)*(1-IntegImpact*IntegReq) *(1-AvailImpact*AvailReq))) 一個(gè)計(jì)算的例子-基本分 CVE-2003-0818 (AV:N/AC:L/Au:N/C:C/I:C/A:C) Access Vector [Network] (1.00) Access Complexity [Low] (0.71) Authentication [None] (0.704) Confidentiality Impact [Complete] (0.66) Integrity Impact [Complete] (0.66) Availability Impact [Complete] (0.66) Impact = 10.41*(1-(0.34*0.34*0.34)) == 10.0 Exploitability = 20*0.71*0.704*1 == 10.0 f(Impact) = 1.176 BaseScore =((0.6*10.0)+(0.4*10.0)–1.5)*1.176== (10.0) Exploitability [Functional] (0.95) Remediation Level [Official-Fix] (0.87) Report Confidence [Confirmed] (1.00) round(10.0 * 0.95 * 0.87 * 1.00) == (8.3) 一個(gè)計(jì)算的例子-環(huán)境分 CVE-2003-0818 (AV:N/AC:L/Au:N/C:P/I:P/A:P) Collateral Damage Potential [None - High] {0 - 0.5} Target Distribution [None - High] {0 - 1.0} Confidentiality Req. [Medium] (1.0) Integrity Req. [Medium] (1.0) Availability Req. [Low] (0.5) AdjustedImpact = 10.41*(1-(1-0.66*1)*(1-0.66*1)*(1-0.66*0.5)) == 9.6 AdjustedBase =((0.6*9.6)+(0.4*10.0)–1.5)*1.176== (9.7) AdjustedTemporal == (9.7*0.95*0.87*1.0) == (8.0) EnvScore = round((8.0+(10-8.0)*{0-0.5})*{0-1})== (0.00 - 9.0) 漏洞掃描軟件 ISS (Internet Security Scanner) 1993年: 第一個(gè)漏洞掃描軟件，商業(yè) 2006年被IBM以16億美元收購 SATAN/SAINT 1995年: Dan Farmer 第一個(gè)公開發(fā)布的漏洞掃描軟件，引發(fā)媒體負(fù)面報(bào)導(dǎo) Nessus 目前最優(yōu)秀的共享漏洞掃描軟件 1998-: RenaudDeraison， Nessus v2.x 開源 2005-: Tenable Network Security， Nessus v3.x， v4.x， freeware， pluginlicense Nessus Nessus 客戶端/服務(wù)器模式服務(wù)器端: nessesd(Tcp1241) 客戶端: nessus-q (命令行客戶端)， nessus(UNIX圖形客戶端)， Nessus Client(Win32客戶端) 框架/插件模式 NASL語言(Nessus Attack Scripting Language) 安全漏洞掃描插件: 使用NASL語言容易編寫并集成至Nessus框架中插件間可互相依賴和協(xié)同工作(端口探測(cè)－漏洞掃描插件) 多種報(bào)告方式: 文本/LaTeX/HTML/DHTML/XML/SQL等 Nessus體系結(jié)構(gòu) Nessus 掃描報(bào)告（部分）對(duì)Windows XP的掃描匯總國內(nèi)的商業(yè)漏洞掃描軟件開源軟件 Xscan*: “冰河”黃鑫2001年開始開發(fā) 2005年v3.3之后無更新兼容Nessus的NASL語言開發(fā)插件國內(nèi)廠商綠盟: “極光” 啟明星辰: “天鏡” 方正、中軟、東軟… 漏洞掃描防范措施最簡單對(duì)策：假設(shè)黑客會(huì)使用漏洞掃描來發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)弱點(diǎn)，那你必須在黑客之前掃描漏洞補(bǔ)丁自動(dòng)更新和分發(fā): 修補(bǔ)漏洞聯(lián)邦桌面核心配置計(jì)劃(FDCC) 確保桌面計(jì)算機(jī)的安全漏洞及補(bǔ)丁自動(dòng)管理中國2010年才開始政務(wù)終端安全配置(CGDCC)標(biāo)準(zhǔn)的發(fā)展 檢測(cè)和防御漏洞掃描行為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng): Snort 仔細(xì)審查防火墻配置規(guī)則網(wǎng)絡(luò)查點(diǎn)(enumeration) 網(wǎng)絡(luò)查點(diǎn)技術(shù)繼網(wǎng)絡(luò)踩點(diǎn)、掃描之后一項(xiàng)網(wǎng)絡(luò)情報(bào)信息收集技術(shù)網(wǎng)絡(luò)查點(diǎn)：針對(duì)已知的弱點(diǎn)，對(duì)識(shí)別出來的服務(wù)進(jìn)行更加充分更具針對(duì)性的探查，來尋找真正可以攻擊的入口，以及攻擊過程中可能需要的關(guān)鍵數(shù)據(jù)與網(wǎng)絡(luò)踩點(diǎn)、掃描的區(qū)別與網(wǎng)絡(luò)踩點(diǎn)技術(shù)的關(guān)鍵區(qū)別：攻擊者的入侵程度與網(wǎng)絡(luò)掃描技術(shù)的關(guān)鍵區(qū)別：攻擊者的針對(duì)性與信息收集的目標(biāo)性網(wǎng)絡(luò)查點(diǎn)能夠收集到的信息看起來好像是無害的用戶帳戶名錯(cuò)誤配置的共享資源網(wǎng)絡(luò)服務(wù)版本號(hào)但一旦這些信息被細(xì)心的高水平攻擊者所掌握，就可能成為危害目標(biāo)系統(tǒng)安全的禍根用戶帳戶名：口令猜測(cè)破解錯(cuò)誤配置的共享資源：惡意程序上傳老舊的網(wǎng)絡(luò)服務(wù)版本：緩沖區(qū)溢出漏洞攻擊 網(wǎng)絡(luò)查點(diǎn)技術(shù)最基礎(chǔ)和通用的技術(shù)方法網(wǎng)絡(luò)服務(wù)旗標(biāo)(banner)抓取技術(shù)常見服務(wù)網(wǎng)絡(luò)查點(diǎn)技術(shù)通用網(wǎng)絡(luò)服務(wù)類Unix平臺(tái)網(wǎng)絡(luò)服務(wù) Windows平臺(tái)網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)服務(wù)旗標(biāo)攫取利用客戶端工具連接至遠(yuǎn)程網(wǎng)絡(luò)服務(wù)并觀察輸出以收集關(guān)鍵信息的技術(shù)手段 telnet netcat 通用網(wǎng)絡(luò)服務(wù)查點(diǎn)通用網(wǎng)絡(luò)服務(wù)跨平臺(tái)，常用服務(wù) Web服務(wù)、FTP文件傳輸服務(wù)、POP3及SMTP電子郵件收發(fā)服務(wù) FTP服務(wù)查點(diǎn)控制協(xié)議TCP 21端口，沒有任何加密，明文傳輸口令匿名登錄，甚至匿名上傳與下載文件 FTP查點(diǎn)很簡單：使用FTP客戶端程序連接即可 FTP服務(wù)旗標(biāo)、共享目錄、可寫目錄等信息，可能還會(huì)提供FTP帳戶名等信息查點(diǎn)后攻擊：弱口令猜測(cè)與破解、已知FTP服務(wù)漏洞滲透攻擊通用網(wǎng)絡(luò)服務(wù)查點(diǎn)(2) SMTP電子郵件發(fā)送協(xié)議查點(diǎn)最經(jīng)典的網(wǎng)絡(luò)服務(wù)查點(diǎn)技術(shù)之一兩類特殊指令VRFY和EXPN VRFY指令：對(duì)合法用戶的名字進(jìn)行驗(yàn)證 EXPN指令：顯示假名與郵件表實(shí)際發(fā)送地址可驗(yàn)證和搜索郵件服務(wù)器上的活躍帳戶 SMTP電子郵件發(fā)送協(xié)議查點(diǎn)危害偽造更具欺騙性電子郵件，社會(huì)工程學(xué)攻擊探測(cè)SMTP服務(wù)器枚舉出其中有效的電子郵件地址列表，大量發(fā)生垃圾郵件類Unix平臺(tái)網(wǎng)絡(luò)服務(wù)查點(diǎn)古老的finger， rwho， rusers查點(diǎn)用戶帳戶和登錄信息已不常用 RPC查點(diǎn)(TCP/UDP 111， 32771) RPC遠(yuǎn)程過程調(diào)用: portmapperrpcbind RPC查點(diǎn)工具 rpcinfo-p HOST: 枚舉主機(jī)上提供的RPC服務(wù) rpcdump(Windows平臺(tái)運(yùn)行) nmap-sS-sRHOST RPC查點(diǎn)防御策略 Secure RPC， 111/32771端口防火墻過濾 Windows平臺(tái)網(wǎng)絡(luò)服務(wù)查點(diǎn) Windows網(wǎng)絡(luò)服務(wù) NetBIOS網(wǎng)絡(luò)基本輸入輸出系統(tǒng)服務(wù) SMB文件與打印共享服務(wù) AD活動(dòng)目錄與LDAP輕量級(jí)目錄訪問協(xié)議 MSRPC微軟遠(yuǎn)過程調(diào)用服務(wù) Windows平臺(tái)網(wǎng)絡(luò)服務(wù)查點(diǎn) NetBIOS主機(jī)查點(diǎn) SMB會(huì)話查點(diǎn)目錄查點(diǎn) MSRPC查點(diǎn) Windows Networking API NetBIOS－網(wǎng)絡(luò)基本輸入/輸出系統(tǒng) Windows獨(dú)有的局域網(wǎng)組網(wǎng)協(xié)議 RPC –遠(yuǎn)過程調(diào)用 PRC/DCOM WinSock API 命名管道(Named Pipes)和郵件槽(Mail Slots) 命名管道：提供可靠雙向通信，協(xié)議無關(guān)的標(biāo)識(shí)Windows網(wǎng)絡(luò)資源的方法郵件槽：提供不可靠的單向數(shù)據(jù)傳輸，支持廣播 Web訪問API WinInet/WinHTTP/HTTP API NetBIOS NetBIOS(網(wǎng)絡(luò)基本輸入/輸出系統(tǒng))：最初由IBM開發(fā)，MS利用NetBIOS作為構(gòu)建局域網(wǎng)的上層協(xié)議 NetBIOS使得程序和網(wǎng)絡(luò)之間有了標(biāo)準(zhǔn)的接口，方便應(yīng)用程序的開發(fā)。并且可以移植到其他的網(wǎng)絡(luò)中 NetBIOS位于OSI模型會(huì)話層，TCP/IP之上 NetBIOS有兩種通訊模式會(huì)話模式。一對(duì)一進(jìn)行通訊，LAN中的機(jī)器之間建立會(huì)話，可以傳輸較多的信息，并且可以檢查傳輸錯(cuò)誤數(shù)據(jù)報(bào)模式�？梢赃M(jìn)行廣播或者一對(duì)多的通訊，傳輸數(shù)據(jù)大小受限制，沒有錯(cuò)誤檢查機(jī)制，也不必建立通訊會(huì)話 NetBIOS over TCP/IP，支持三種服務(wù)名字服務(wù)UDP 137 會(huì)話服務(wù)TCP 139/445 數(shù)據(jù)報(bào)服務(wù)UDP 138 MSRPC遠(yuǎn)程進(jìn)程調(diào)用/DCOM RPC (Remote Procedure Call) 網(wǎng)絡(luò)編程標(biāo)準(zhǔn)目的: 提供“能在某種程度上像應(yīng)用程序開發(fā)人員隱藏有關(guān)網(wǎng)絡(luò)編程細(xì)節(jié)”的編程模型 RPC調(diào)用允許程序員編寫的客戶應(yīng)用程序跨網(wǎng)絡(luò)調(diào)用遠(yuǎn)程計(jì)算機(jī)上服務(wù)器應(yīng)用程序中的過程 RPC調(diào)用操作客戶機(jī)對(duì)服務(wù)器的RPC調(diào)用操作： 1.調(diào)用客戶端句柄；執(zhí)行傳送參數(shù) 2.調(diào)用本地系統(tǒng)內(nèi)核發(fā)送網(wǎng)絡(luò)消息 3.消息傳送到遠(yuǎn)程主機(jī) 4.服務(wù)器句柄得到消息并取得參數(shù) 5.執(zhí)行遠(yuǎn)程過程 6.執(zhí)行的過程將結(jié)果返回服務(wù)器句柄 7.服務(wù)器句柄返回結(jié)果，調(diào)用遠(yuǎn)程系統(tǒng)內(nèi)核 8.消息傳回本地主機(jī) 9.客戶句柄由內(nèi)核接收消息 10.客戶接收句柄返回的數(shù)據(jù) COM/DCOM COM對(duì)象: 使應(yīng)用程序由不同組件構(gòu)成，導(dǎo)出面向?qū)ο蠼涌�，提高軟件模塊化、可擴(kuò)展性和可交互性。 DCOM: 提供COM組件的位置透明性，依賴于RPC 常用的Windows應(yīng)用層網(wǎng)絡(luò)服務(wù) Network Applications IIS (Internet Information Services) HTTP/FTP/… Email Exchange Server Database MS SQL Server RDP Remote Desktop Protocol 通常以Windows服務(wù)方式后臺(tái)運(yùn)行 Windows服務(wù) Windows服務(wù)－系統(tǒng)啟動(dòng)時(shí)刻啟動(dòng)進(jìn)程的機(jī)制，提供不依賴于任何交互式的服務(wù)。 Windows服務(wù)服務(wù)應(yīng)用程序注冊(cè)服務(wù)Advapi32.dll， CreateService/StartServices 注冊(cè)表: HKLM\SYSTEM\CurrentControlSet\Services 共享服務(wù)進(jìn)程: 服務(wù)宿主svchost.exe 服務(wù)控制管理器(SCM， service control manager， services.exe) Winlogon進(jìn)程在加載GINA之前執(zhí)行SCM啟動(dòng)函數(shù) SCM中的ScCreateServiceDB根據(jù)注冊(cè)表分別啟動(dòng)服務(wù) SCM中的ScAutoStartServices啟動(dòng)“自動(dòng)啟動(dòng)”的服務(wù)服務(wù)控制程序(SCP， service control program) 控制面板，服務(wù)插件… NetBIOS網(wǎng)絡(luò)查點(diǎn)- 使用net view命令查點(diǎn)域使用net view查點(diǎn)域列出網(wǎng)絡(luò)上的工作組和域：net view /domain 列出指定組/域中的所有計(jì)算機(jī)：net view /domain:DOMAIN_NAME NetBIOS網(wǎng)絡(luò)查點(diǎn)- 查點(diǎn)域控制器 Windows Resource Kit -nltest工具 Nltest.exe 是非常強(qiáng)大的命令行實(shí)用程序，用于測(cè)試在 Windows NT 域中的信任關(guān)系和域控制器復(fù)制的狀態(tài)。域包含，還有一個(gè)主域控制器 (PDC) 和零個(gè)或多個(gè)備份域控制器 (BDC) 的域控制器。 NetBIOS網(wǎng)絡(luò)查點(diǎn)- 查點(diǎn)主機(jī)上的NetBIOS名字表 nbtstat工具主機(jī)中的NetBIOS名字表計(jì)算機(jī)名、所在域、當(dāng)前登錄用戶、當(dāng)前運(yùn)行服務(wù)和網(wǎng)卡硬件MAC地址 NetBIOS網(wǎng)絡(luò)查點(diǎn)- 掃描主機(jī)上的NetBIOS名字表 nbtscan工具對(duì)整個(gè)局域網(wǎng)進(jìn)行快速的nbtstat查詢 NetBIOS網(wǎng)絡(luò)查點(diǎn)工具與防范措施其他工具 epdump， rpcdump， getmac， netdom， netviewx， Winfo， nbtdump， … NetBIOS查點(diǎn)防范措施網(wǎng)絡(luò)：防火墻禁止外部訪問TCP/UDP 135-139，445端口主機(jī)：配置IPSec過濾器，主機(jī)個(gè)人防火墻，禁用Alerter和Messenger服務(wù)es3紅軟基地

網(wǎng)絡(luò)信息安全論文PPT作品：這是一個(gè)關(guān)于網(wǎng)絡(luò)信息安全論文PPT作品，主要介紹網(wǎng)絡(luò)安全？誰關(guān)注安全？網(wǎng)絡(luò)信息安全主講：唐屹 博士 教授辦公室：行政西前座440室電話：13808876629 誰關(guān)注安全？政府？誰關(guān)注安全？機(jī)構(gòu)？誰關(guān)注安全？個(gè)人？誰關(guān)注安全？大家都關(guān)注！區(qū)別只是角度不一樣！我們這個(gè)課程也關(guān)注！希望通過72學(xué)時(shí)，能夠關(guān)注并了解基本的網(wǎng)絡(luò)安全攻防技術(shù) 基本的系統(tǒng)安全攻防技術(shù) 基本的Web安全攻防技術(shù)當(dāng)然，沒有攻擊，就沒有防御。要了解網(wǎng)絡(luò)攻防技術(shù)攻是第一位的你不會(huì)攻擊，并不意味著別人不會(huì)攻擊你不知道攻擊的途徑，你又怎么知道如何防御呢？但是，法律，法規(guī)…… 教學(xué)方式與考試要求課堂教學(xué)信息安全技術(shù)實(shí)驗(yàn)項(xiàng)目杜絕抄襲成績計(jì)算 70%考試成績 20%信息安全技術(shù)實(shí)驗(yàn) 10%考勤參考資料雖然有本很實(shí)用的教材，但依然需要與時(shí)俱進(jìn)，歡迎點(diǎn)擊下載網(wǎng)絡(luò)信息安全論文PPT作品哦。

網(wǎng)絡(luò)信息安全的重要性PPT作品：這是一個(gè)關(guān)于網(wǎng)絡(luò)信息安全的重要性PPT作品，主要介紹了什么是信息、什么是網(wǎng)絡(luò)、什么是網(wǎng)絡(luò)信息安全、學(xué)科內(nèi)容、授課內(nèi)容等內(nèi)容。網(wǎng)絡(luò)信息安全緒論：什么是網(wǎng)絡(luò)信息安全本節(jié)內(nèi)容什么是信息什么是網(wǎng)絡(luò)什么是網(wǎng)絡(luò)信息安全學(xué)科內(nèi)容授課內(nèi)容什么是信息科學(xué)家說：信息是不確定性的減少，是負(fù)熵老百姓說：信息是讓你知道些什么的東西安全專家說：信息是一種資產(chǎn)，它意味著一種風(fēng)險(xiǎn)老百姓說：不怕賊偷，就怕賊惦記信息內(nèi)容和信息載體信息內(nèi)容和信息載體的關(guān)系，好比靈魂和肉體的關(guān)系同一個(gè)內(nèi)容，可以用多種載體承載不同的內(nèi)容，可以用同一載體承載信息可以被—— 創(chuàng)建輸入存儲(chǔ)輸出傳輸（發(fā)送，接收，截�。┨幚恚ň幋a，解碼，計(jì)算）銷毀 一個(gè)例子: S先生和P先生的故事一個(gè)例子: S先生和P先生的故事信息的要害是改變知識(shí)狀態(tài)什么是網(wǎng)絡(luò)網(wǎng)絡(luò)確保信息按需有序流動(dòng)的基礎(chǔ)設(shè)施傳輸網(wǎng)絡(luò)基礎(chǔ)電信網(wǎng)、基礎(chǔ)廣電網(wǎng)互聯(lián)網(wǎng)絡(luò)互聯(lián)網(wǎng)（因特網(wǎng)）、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)人際網(wǎng)絡(luò)關(guān)系網(wǎng)、銷售網(wǎng)、間諜網(wǎng)什么是安全 Security: 信息的安全 Safety: 物理的安全 Security的含義在有敵人（Enemy）/對(duì)手（Adversary）/含敵意的主體（Hostile Agent）存在的網(wǎng)絡(luò)空間中，確保己方的信息、信息系統(tǒng)和通信不受竊取和破壞，按照需要對(duì)敵方的信息、信息系統(tǒng)和通信進(jìn)行竊取和破壞的“機(jī)制”（Mechanism）什么是網(wǎng)絡(luò)信息安全在網(wǎng)絡(luò)環(huán)境下信息資產(chǎn)（信息、信息系統(tǒng)、通信）的可能面臨的風(fēng)險(xiǎn)的評(píng)估、防范、應(yīng)對(duì)、化解措施。技術(shù)措施（采用特定功能的設(shè)備或系統(tǒng)）管理措施（法律、規(guī)章制度、檢查）三分技術(shù)七分管理網(wǎng)絡(luò)信息安全的要害網(wǎng)絡(luò)信息安全的要害就是防止通過改變知識(shí)狀態(tài)來造成不希望的后果對(duì)信息進(jìn)行竊取，會(huì)使竊取者知道信息擁有者不希望他知道的事情對(duì)信息進(jìn)行破壞，會(huì)使信息的擁有者失去對(duì)信息的擁有，不再知道他本來知道的事情背景網(wǎng)絡(luò)的普及對(duì)網(wǎng)絡(luò)的依賴加深攻擊的門檻降低攻擊資源的廣泛存在實(shí)施攻擊的難度大大降低維護(hù)國家主權(quán)和社會(huì)穩(wěn)定、打擊網(wǎng)上犯罪、引導(dǎo)青少年健康上網(wǎng)（過濾與監(jiān)控）網(wǎng)絡(luò)信息資源的綜合利用（情報(bào)獲取與分析）網(wǎng)絡(luò)信息對(duì)抗和網(wǎng)絡(luò)信息戰(zhàn)網(wǎng)絡(luò)信息安全的CIA模型，歡迎點(diǎn)擊下載網(wǎng)絡(luò)信息安全的重要性PPT作品哦。

企業(yè)網(wǎng)絡(luò)信息安全的重要性PPT：這是一個(gè)關(guān)于企業(yè)網(wǎng)絡(luò)信息安全的重要性PPT，主要介紹了企業(yè)信息網(wǎng)絡(luò)安全問題概述、企業(yè)信息網(wǎng)絡(luò)安全分析、市場競爭需要加強(qiáng)信息安全管理、如何解決企業(yè)信息網(wǎng)絡(luò)安全問題、重點(diǎn)要解決的問題、內(nèi)網(wǎng)安全監(jiān)控軟件介紹、產(chǎn)品種類及服務(wù)介紹等內(nèi)容。如何加強(qiáng) 企業(yè)信息網(wǎng)絡(luò)安全管理 融信科技 程孝龍合作方：公安部第三研究所信息網(wǎng)絡(luò)安全研發(fā)中心國家反計(jì)算機(jī)入侵和防病毒研究中心一、企業(yè)信息網(wǎng)絡(luò)安全問題概述 信息是一種資源�？蛻粜畔ⅰ⒇�(cái)務(wù)信息、人事信息和技術(shù)信息等對(duì)一個(gè)企業(yè)來說是十分重要的。信息與物質(zhì)和能量一起構(gòu)成企業(yè)生存和發(fā)展的基礎(chǔ)。電腦網(wǎng)絡(luò)、辦公自動(dòng)化、電子政務(wù)帶來高效、方便。也帶來信息安全問題。 在處理、使用和保存信息的過程中存在那些不可忽略的安全問題？例如：對(duì)內(nèi)部網(wǎng)絡(luò)的電腦上網(wǎng)、聊天、游戲等行為難以管理。對(duì)機(jī)密文件上傳下載等管理漏洞較大。經(jīng)常存在惡意代碼、病毒和黑客的攻擊。不能及時(shí)進(jìn)行漏洞掃描和補(bǔ)丁管理。二、企業(yè)信息網(wǎng)絡(luò)安全分析 隨之而來的網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄密、客戶資料被竊、辦公室變成網(wǎng)上游樂場、計(jì)算機(jī)黑客或病毒入侵公司，以及電郵泛濫等問題和事件時(shí)有發(fā)生。那么如何才能充分滿足對(duì)機(jī)密數(shù)據(jù)的安全防護(hù)和電腦非法行為的監(jiān)控與管理？ 目前我國有幾十萬個(gè)政府機(jī)關(guān)和大中型企業(yè)都在思考，如何才能很好地解決內(nèi)網(wǎng)的安全監(jiān)控管理問題。尤其象各級(jí)黨政機(jī)關(guān)、軍隊(duì)、金融、公安、電信、民航、鐵路、交通、大中型企業(yè)等用戶的需求更為迫切，歡迎點(diǎn)擊下載企業(yè)網(wǎng)絡(luò)信息安全的重要性PPT哦。