攻擊分析(第一部分)

唐·帕克

本系列將基於網路漏洞。本文將介紹的是一次真實的攻擊,從偵察到枚舉、網路服務利用,最後以通知利用策略結束。

所有這些步驟都將在資料包層級進行觀察,然後進行詳細解釋。對於系統管理員和網路安全人員來說,能夠觀察和理解資料包層級的攻擊都極為重要。防火牆、入侵偵測系統 (IDS) 和其他安全設備的輸出將始終用於查看實際的網路流量。如果您不了解資料包層級所看到的內容,那麼您擁有的所有網路安全技術都毫無意義。

用來模擬網路攻擊的工具有:

設定步驟

當今網路上存在大量掃描行為,更不用說蠕蟲和其他形式的惡意軟體(如病毒)的行為。對於受到良好保護的電腦網路來說,它們都只是無害的噪音。我們應該關注的是那些故意針對電腦網路的人。本文假設攻擊者已經攻擊了受害者,並且已經做了事先研究,例如找出受害者的 IP 位址和網路位址。該攻擊者可能還試圖利用與該網路相關的電子郵件地址等資訊。這種資訊非常重要,因為攻擊者在對網路進行掃描、枚舉和欺騙操作後發現了網路但卻無法進入。他收集的電子郵件地址可用於發動用戶端攻擊,即透過電子郵件中的連結嘗試邀請使用者存取惡意網站。後續文章中將介紹這些類型的攻擊。

工作原理

我們應該觀察駭客對受害者網路進行掃描和枚舉時的行為。駭客使用的第一個工具是Nmap。儘管 Nmap 的 IDS 特徵相對較少,但它仍然是一個非常有用且廣泛使用的工具。

攻擊分析(第一部分)

我們可以透過上面小螢幕中駭客使用的語法看到,駭客選擇了 21 和 80 端口,因為他有一些可以透過 Metasploit Framework 使用的漏洞。不僅如此,他還非常了解系統服務和協定。很明顯,他正在使用 SYN 掃描,這是最常用的連接埠掃描類型。這也是因為當監聽連接埠的 TCP 服務收到 SYN 封包時,它會傳回 SYN/ACK(回覆)封包。 SYN/ACK 封包表示服務確實正在監聽並等待連線。然而 UDP 不存在同樣的問題,它依賴 DNS 等服務(DNS 也使用 TCP,但它主要使用 UDP 進行大部分交易)。

下面列出的語法是 Nmap 從其發送的資料包中收集的輸出,但更準確地說,是從它執行的 SYN 掃描所接收的資料包中收集的輸出。我們可以看到,從表面上看,它似乎同時提供 FTP 和 HTTP 服務。我們並不真正關心 MAC 位址,所以我們會忽略它。 Nmap 等工具不易出錯,因此它們通常適合在資料包層級驗證您的資訊以確保準確性。不僅如此,它還允許觀察來自受害網路的返回資料包,以便從那裡收集架構、服務和主機資訊。

尋找資料包

目前有許多程式可以挖掘資料包並找出基本信息,例如作業系統類型、架構資訊(例如 x86 或 SPARC)等等。這還不夠,但當我們學習讓程式為我們完成工作時,這也很重要。考慮到這一點,讓我們來看看 Nmap 資料包追蹤並找出有關受害者網路的一些資訊。

10:52:59.062500 IP (tos 0x0, ttl 43, id 8853, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.17 > 192.168.111.23: ICMP echo request seq 38214, length 8
0x0000: 4500 001c 2295 0000 2b01 0dd3 c0a8 6f11 E..."...+.....o.
0x0010: c0a8 6f17 0800 315a 315f 9546 ..o...1Z1_.F
10:52:59.078125 IP (tos 0x0, ttl 128, id 396, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.23 > 192.168.111.17: ICMP echo reply seq 38214, length 8
0x0000: 4500 001c 018c 0000 8001 d9db c0a8 6f17 E.............o.
0x0010: c0a8 6f11 0000 395a 315f 9546 0000 0000 ..o...9Z1_.F....
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............

上面兩個資料包顯示的是來自 Nmap 的開啟批次。它的作用是向受害網路發送 ICMP 回顯請求。你會看到它並沒有配備在某個連接埠上,因為ICMP並沒有使用端口,而是由TCP/IP協定棧內建的ICMP錯誤訊息產生器來管理。此 ICMP 封包還標示一個唯一編號,在本例中為 38214,以協助 TCP/IP 堆疊檢查回傳流量,並將其與先前發送的 ICMP 封包相關聯。上面的資料包是來自受害網路的回應,以 ICMP 回顯答案的形式。也考慮了字串編號 38214。這樣駭客就知道該 IP 位址後面有一台電腦或一個網路。

這個開放的 ICMP 封包序列就是 Nmap 為其配備 IDS 符號的原因。如果需要,可以在 Nmap 中停用 ICMP 主機發現選項。透過受害網路的 ICMP 回顯回覆封包的結果可以收集到哪些類型的信息?事實上這裡沒有太多資訊可以幫助我們了解網路。不過,在與作業系統相關的領域仍可以採取初步措施。上述包中以粗體突出顯示了填充字段的時間及其旁邊的值。值 128 表示該電腦可能是 Windows 電腦。雖然 ttl 值沒有準確回答與作業系統相關的內容,但它將成為我們考慮的下一個套件的基礎。

結論

在第一部分中,我們研究了使用 Nmap 對兩個特定連接埠的攻擊中的網路掃描。此時,攻擊者肯定知道該 IP 位址上駐留著一台電腦或一個電腦網路。在本系列的第 2 部分中,我們將繼續研究此資料包的跟踪,並找出我們可以收集到的其他資訊。

攻擊分析(第一部分)分析攻擊(第 2 部分)
攻擊分析(第一部分)分析攻擊(第 3 部分)

Sign up and earn $1000 a day ⋙

Leave a Comment

普通電視和智慧電視的差別

普通電視和智慧電視的差別

智慧電視確實風靡全球。憑藉如此多的強大功能和互聯網連接,科技改變了我們觀看電視的方式。

為什麼冷凍室沒有燈,冷藏室有燈?

為什麼冷凍室沒有燈,冷藏室有燈?

冰箱是家庭中常見的家用電器。冰箱通常有 2 個隔間,冷藏室寬敞,並且每次使用者打開時都會自動亮燈,而冷凍室狹窄且沒有燈。

解決 Wi-Fi 速度變慢的網路擁塞問題的 2 種方法

解決 Wi-Fi 速度變慢的網路擁塞問題的 2 種方法

除了路由器、頻寬和乾擾之外,Wi-Fi 網路還受到許多因素的影響,但也有一些智慧的方法可以增強您的網路效能。

如何使用 Tenorshare Reiboot 將 iOS 17 降級到 iOS 16 且不遺失數據

如何使用 Tenorshare Reiboot 將 iOS 17 降級到 iOS 16 且不遺失數據

如果您想在手機上恢復穩定的 iOS 16,這裡是卸載 iOS 17 並從 iOS 17 降級到 16 的基本指南。

每天吃優​​格會對身體產生什麼影響?

每天吃優​​格會對身體產生什麼影響?

酸奶是一種美妙的食物。每天吃優​​格好嗎?每天吃酸奶,你的身體會發生怎樣的變化?讓我們一起來了解一下吧!

哪種米最有益於健康?

哪種米最有益於健康?

本文討論了最有營養的米種類以及如何最大限度地發揮所選米的健康益處。

如何早上準時起床

如何早上準時起床

制定睡眠時間表和就寢習慣、更改鬧鐘以及調整飲食都是可以幫助您睡得更好、早上準時起床的一些措施。

玩 Rent Please! 的提示新手模擬房東

玩 Rent Please! 的提示新手模擬房東

請租用! Landlord Sim 是一款適用於 iOS 和 Android 的模擬手機遊戲。您將扮演一個公寓大樓的房東,開始出租公寓,目標是升級公寓的內部並為租戶做好準備。

最新浴室塔防代碼及代碼輸入方法

最新浴室塔防代碼及代碼輸入方法

取得浴室塔防 Roblox 遊戲代碼並兌換令人興奮的獎勵。它們將幫助您升級或解鎖具有更高傷害的塔。

變壓器的結構、符號和工作原理

變壓器的結構、符號和工作原理

讓我們以最準確的方式了解變壓器的結構、符號和運作原理。

人工智慧讓智慧電視更上一層樓的四種方式

人工智慧讓智慧電視更上一層樓的四種方式

從更好的影像和聲音品質到語音控制等等,這些人工智慧功能讓智慧電視變得更好!

為什麼 ChatGPT 比 DeepSeek 更好

為什麼 ChatGPT 比 DeepSeek 更好

最初,人們對DeepSeek寄予厚望。作為 ChatGPT 強勁競爭對手的 AI 聊天機器人,它承諾提供智慧聊天功能和體驗。

認識 Fireflies.ai:免費的 AI 秘書,幫你節省大量工作時間

認識 Fireflies.ai:免費的 AI 秘書,幫你節省大量工作時間

在記下其他重要事項時很容易錯過重要細節,而在聊天時記筆記可能會分散注意力。 Fireflies.ai 就是解決方案。

如何飼養 Minecraft 中的美西蠑螈,馴服 Minecraft 中的蠑螈

如何飼養 Minecraft 中的美西蠑螈,馴服 Minecraft 中的蠑螈

如果玩家知道如何使用 Axolot Minecraft,它將成為玩家在水下操作時的絕佳助手。

《噤界:前路》PC遊戲配置

《噤界:前路》PC遊戲配置

《寂靜之地:前路》的配置評價相當高,因此您需要在決定下載之前考慮其配置。