1
10.0.0.1 (10.0.0.1)
0.540 ms
0.394 ms
2
202.106.0.2 (202.106.0.2)
2.455 1.34 (61.109.101.34)
4.812 ms
4.780 ms
4
130.10.52.4 (130.10.52.4)
渗透
控制
定位出网 络资源的 具体情况
控制网络资源、创建 账号、修改日志、行 使管理员的权限
3
fdq© 2010信息学院
进入我们新的空间
第一节：侦查阶段
4
fdq© 2010信息学院
进入我们新的空间
第一节：侦查阶段
本节要点： 描述侦查过程 识别特殊的侦查方法 安装和配置基于网络和基于主机的侦查软件 实施网络级和主机级的安全扫描 配置和实施企业级的网络漏洞扫描器
5.010 ms
4.903 ms
5
134.202.31.115 (134.202.31.115)
5.520 ms
5.809 ms
6
212.36.70.16 (134.202.31.115)
9.584 ms
21.754 ms
7
202.99.46.7 (202.99.46.7)
94.127 ms
81.764 ms
发IP包的源地址 IP包的所有内容 路由器的IP地址
A
???TTL-
1>0
进入我们新的空间
B
11
fdq© 2010信息学院
Traceroute 路由跟踪原理
TTL=1
数据
A
小于等于0
ICMP time exceeded 发IP包的源地址
IP包的所有内容
路由器的IP地址
我知道路由器A存在于这个路径上 路由器A的IP地址
进入我们新的空间
普通Traceroute到防火墙后的主机 假定防火墙的规则阻止除PING和PING响应（ICMP类型8和0）
uniwis>traceroute
traceroute to (210.106.0.105), 30 hops max, 40 byte packets
5
fdq© 2010信息学院
进入我们新的空间
安全扫描的概念理解

安全扫描就是对计算机系统或者其它网络设备进行安全
相关的检测，以找出安全隐患和可被黑客利用的漏洞。

安全扫描软件是把双刃剑，黑客利用它入侵系统，而系
统管理员掌握它以后又可以有效的防范黑客入侵。

安全扫描是保证系统和网络安全必不可少的手段，必须
可以推测出网络物理布局 判断出响应较慢的节点和数据包在路由过程中的跳数 Traceroute 或者使用极少被其它程序使用的高端UDP端口，或者使用
PING数据包
10
fdq© 2010信息学院
Traceroute 路由跟踪原理
TTL=1
数据
小于等于0 ICMP time exceeded
基于网络的检测技术，它采用积极的，非破坏性的办法 来检验系统是否有可能被攻击崩溃。
7
fdq© 2010信息学院
进入我们新的空间
安全扫描系统具有的功能说明
协调了其它的安全设备 使枯燥的系统安全信息易于理解，告诉了你系统发生的事情 跟踪用户进入，在系统中的行为和离开的信息 可以报告和识别文件的改动 纠正系统的错误设置
进入我们新的空间
B
12
fdq© 2010信息学院
进入我们新的空间
Traceroute 路由跟踪原理
TTL=2
数据
TTL=1
数据
A
B
???TTL-
1>0 2-1=1>0
我知道路由器A存在于这个路径上 路由器A的IP地址 我知道路由器B存在于这个路径上 路由器B的IP地址
小于等于0
???TTL-
1>0
ICMP time exceeded 发IP包的源地址
IP包的所有内容
路由器的IP地址
13
fdq© 2010信息学院
进入我们新的空间
Traceroute 路由跟踪原理
TTL=3
数据
TTL=2
数据
A
TTL=1 数据
B
???TTL-
1>0
3-1=2>0
ICMP port unreachable
我知道路由器A存在于这个路径上 路由器A的IP地址 我知道路由器B存在于这个路径上 路由器B的IP地址 我到达了目的地
8
202.99.44.76 (202.99.44.76)
96.012 ms
98.224 ms
0.397 ms 2.512 ms 4.747 ms 4.980 ms 6.061 ms 20.530 ms 96.476 ms 99.312 ms
15
fdq© 2010信息学院
使用ICMP数据包后Traceroute结果
仔细研究利用。
6
fdq© 2010信息学院
进入我们新的空间
安全扫描的检测技术
基于应用的检测技术，它采用被动的，非破坏性的办法 检查应用软件包的设置，发现安全漏洞。
基于主机的检测技术，它采用被动的，非破坏性的办法 对系统进行检测。
基于目标的漏洞检测技术，它采用被动的，非破坏性的 办法检查系统属性和文件属性，如数据库，注册号等。
网络连着你我他
计算机网络
傅德谦
2010.9
LinYi Normal University
fdq© 2010信息学院
网络连着你我他
网络攻防技术 or
网络侦查与审计技术
LinYi Normal University
fdq© 2010信息学院
网络侦查审计的三个阶段
检查各种系统的漏洞
进入我们新的空间
侦查
进入我们新的空间
xuyi>traceroute -I
traceroute to (210.106.0.105), 30 hops max, 40 byte packets
???TTL-
1>0
2-1=1>0
port number 是一个一般应用程序都不会 用的号码（30000 以上），所以当此数 据包 到达目的地后该主机会送回一个 「ICMP port unreachable」的消息，而 当源主机收到这个消息时，便知道目的 地已经到达了。
14
fdq© 2010信息学院
8
fdq© 2010信息学院
安全扫描
安全扫描常用命令
whois nslookup host Traceroute Ping扫描工具
进入我们新的空间
9
fdq© 2010信息学院
进入我们新的空间
Traceroute命令
用于路由跟踪，判断从你的主机到目标主机经过哪些路由器、跳计数、 响应时间等等