Device type: load balancer|firewall|general purpose
Running: F5 Labs embedded, Smoothwall Linux 2.2.X, Microsoft Windows 2003/.NET|NT/2K/XP
OS details: F5 Labs BIG-IP load balancer kernel 4.2PTF-05a (x86), Smoothwall Linux-based
波 数据整理攻击：是所有对网络攻击的第 1 步，攻击者结合了各种基于网络的实用程序
和 internet 搜索引擎查询，以获得更多的信息。 常常使用网络实用程序：whois、nslookup、finger、tranceroute、ping、google 等。
选 攻击者利用此攻击获取：关键系统的 IP 地址、受害者所分配的地址范围、受害者的
firewall 2.2.23, Microsoft Windows Server 2003, Microsoft Windows 2000 SP3, Microsoft Windows
XP Professional RC1+ through final release
Nmap run completed -- 1 IP address (1 host up) scanned in 195.335 seconds
closed xns-ch
closed vettcp open http closed mit-ml-dev closed auth closed at-nbp closed unknown closed FW1-secureremote closed unknown
波 选 张
closed ldap closed synotics-broker closed ocs_amu
closed unknown closed rap-service
closed pptp
3269/tcp closed globalcatLDAPssl
3389/tcp closed ms-term-serv
5998/tcp closed ncd-diag
6008/tcp closed X11:8
32779/tcp closed sometimes-rpc21
网络安全——攻击分类
攻击的主要系列如下图所示：
波 选 张 ： 作 制
z 读取攻击——在未授权的情况下查看信息 z 操纵攻击——修改信息 z 欺骗攻击——提供虚假信息或虚假服务 z 泛洪攻击——使计算机资源发生溢出 z 重定向攻击——更改后续信息 z 混合攻击——采用不止一种所列的方法
一、读取攻击 读取攻击包括所有主要与从受害者那里获取信息相关的攻击，此类攻击从获悉组织机构
当攻击者从线缆上捕捉数据包，或数据包穿过攻击者系统时，这可以称为某种形式的嗅 探攻击。嗅探攻击其目的在于读取信息获得情报，以使于攻击者了解目标系统，这样受到嗅 探的协议信息必须以明文而不是密文的形式发送，嗅探才得以成功，主要获得如下信息：认 证信息、网络管理信息、机密事务等。
经常使用的工具比如：ethereal，如下图所示：
波 选 张
499/tcp 554/tcp 594/tcp 636/tcp 691/tcp 800/tcp 831/tcp 1530/tcp 1723/tcp
closed iso-ill closed rtsp closed tpip
：
closed ldapssl closed resvc
作
制 closed mdbs_daemon
OS details: Microsoft Windows Server 2003, Microsoft Windows 2000 SP3
Nmap run completed -- 1 IP address (1 host up) scanned in 363.172 seconds
拔号式扫描/移位式扫描攻击：此类攻击可以在不走正门的情况下进入受攻击网络，利 用拔号式扫描，攻击者拔分配给受害者或受害者地区的电话号码的前缀，搜索调制解调器连 接，从可达的调制解调器列表中可以猜测出另一端的系统类型，通过拔这些号码，攻击者极 有可能绕过大部分受害者安全措施，并可以以受信任的员工身份出现。 2、嗅探攻击：
internet 服务提供商。 探测和扫描攻击：也常称为端口扫描或弱点扫描，攻击者利用通过数据收集攻击获得的
张 信息来获悉有关受攻击网络的信息，一般首先要执行端口扫描，然后进行弱点扫描，通过使
用工具 nmap 之类的工具，通过此类攻击可以获得：受攻击者网络上所有可以公共到达的 IP
： 地址，每个可达系统所运行的 OS 猜测结果，在所发现的每个 IP 地址上运行的可达服务，
也可以使用此工具扫描主机所运行的服务，如下例子所示。
例 3 对服务进行扫描
[root@LAB3 ~]# nmap -O -I -sT xx.x.xxx.xxxx
Starting nmap 3.70 ( /nmap/ ) at 2008-12-16 14:48 CST
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
Interesting ports on xx.xxx.xx.xxx:
(The 1631 ports scanned but not shown below are in state: filtered)
2105/tcp closed eklogin
3389/tcp closed ms-term-serv
8888/tcp open sun-answerbook
Device type: general purpose
Running: Microsoft Windows 2003/.NET|NT/2K/XP
：
closed https closed mm-admin closed rtsp
作
制 closed unknown
closed ldapssl
closed unknown
1433/tcp closed ms-sql-s
1723/tcp closed pptp
1997/tcp closed gdp-port
例 4 ethereal 使用
波 选 张 ： 作 制 嗅探并不是攻击者专用的，也是一种极好的故障排队工具，大多数网络工程师往往用其
诊断各种联网问题，在 UNIX 上工作时，我也经常使用 tcpdump 工具。
3、直接攻击 直接访问涵盖攻击者试图直接访问网络资源的所有攻击。例如，攻击者找到穿越防火墙
的方法后，攻击者利用直接访问攻击登录到曾受防火墙保护的系统中，此后，攻击者就可以 发起不限次数的其他攻击，最常见的是操纵攻击。虽然直接访问攻击几乎总是在第七层发起 的，但如果攻击不是很特殊，直接攻击可在较低层遭到阻止，例如，配置正确的防火墙可以 防止对于支持在 web 服务上的 telnet 后台程序攻击，由于普通用户不应在 web 服务器上使 用 telnet，防火墙可以在第 4 层阻止该请求。如果攻击是针对本应用可用的服务在第七层进 行的，那么阻止攻击的责任就再度由可感知应用程序的系统来承担，如 IDS 或应用程序的 安全配置。
上面找到了 10.0.0.0/24 网络上有 114 台主机正在运行，利用默认网关的特殊扫描可以 得到防火墙的出厂信息。
例 2 默认网关上的 OS 标识扫描
[root@LAB3 ~]# nmap -O xxx.xxx.x.xxx
Starting nmap 3.70 ( /nmap/ ) at 2008-12-16 14:41 CST
的的 IP 地址，对于那些地址范围进行端口扫描和弱点扫描，到侵入有弱点的系统读取信息。
1、侦察攻击 侦察（reconnaissance recon）攻击：主要是为使攻击者可以获取更多有关受害者的
信息而设计的，侦察攻击可采用主动方法和被动方法，在几乎所有的情况下，成功的侦察攻 击可使后续攻击成功能可能性大大提高，因为攻击者获取得了更多有关受害者的信息。
24/tcp closed priv-mail
25/tcp open smtp
53/tcp closed domain
80/tcp 113/tcp 115/tcp 256/tcp 355/tcp 364/tcp 389/tcp 443/tcp
open http closed auth closed sftp closed FW1-secureremote closed datex-asn closed aurora-cmgr closed ldap closed https
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp closed telnet
25/tcp open smtp
53/tcp closed domain
54/tcp 78/tcp 80/tcp 83/tcp 113/tcp 202/tcp 255/tcp 256/tcp 328/tcp 389/tcp 392/tcp 429/tcp 443/tcp 534/tcp 554/tcp 618/tcp 636/tcp 914/tcp
Host 10.0.0.0 seems to be a subnet broadcast address (returned 1 extra pings). Host 10.0.0.1 appears to be up. MAC Address: 00:1B:2F:5F:C5:C0 (Unknown) Host 10.0.0.6 appears to be up. MAC Address: 00:21:00:1D:5D:FC (Unknown) Host 10.0.0.8 appears to be up. MAC Address: 00:13:02:B7:0D:65 (Unknown) Host 10.0.0.10 appears to be up. MAC Address: 00:1C:BF:6D:CD:4E (Unknown) Host 10.0.0.12 appears to be up. MAC Address: 00:13:CE:0F:C4:B5 (Unknown) Host 10.0.0.110 appears to be up. Host 10.0.0.255 seems to be a subnet broadcast address (returned 1 extra pings). Nmap run completed -- 256 IP addresses (6 hosts up) scanned in 6.784 secondsHost