攻擊分析（第二部分）

攻擊分析（第一部分）

唐·帕克

我們在第一部分向您展示了打開 Nmap 發送的資料包序列時可以觀察到的資訊。發送的序列以 ICMP 回顯回應開始，以確定電腦或網路是否已指派 IP 位址。

另外，我們也可以透過查看被攻擊電腦傳回的ICMP回顯回應封包中的ttl來猜測其網路是基於Windows的網路。現在應該做的是繼續觀察Nmap掃描器中剩餘的資料包，找出剩餘的信息，以便了解受害者網路的概況。

繼續

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

上面的兩個資料包在我們在第 1 部分中觀察到的 ICMP 資料包之後。 Nmap 向受害者網路 IP 192.168.111.23 的連接埠 80 發送了一個 ACK 封包。由於是偽造的訊息，我們無法在這裡了解全部情況。只看到從攻擊者收到的 ACK 封包是回應的 RST 封包，因為這個 ACK 不是預期的。它本質上不是先前建立的連接的一部分。我們仍然有一個 ttl 為 128，與先前觀察到的 ttl 相對應。

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

在 ACK 和 RST 封包交換之後，我們可以看到駭客向受害者網路發送了一個真正的 SYN 封包，如標有粗體 S 的封包所示。由此我們推斷，SYN/ACK 封包是從受害者網路的 21 連接埠回傳的。隨後，駭客的電腦向受害者網路發送了一個 RST 封包，從而終止了此次交換。這三個包裹現在包含了大量有關假冒產品的資訊。

我們還從受害者機器獲得了 ttl 128，但也有 win64240。雖然沒有列出這個值，但它確實是我以前在 Win32（Microsoft Windows 的 32 位元版本，例如 Win NT、2K、XP 和 2K3）中多次見過的大小。 Windows 電腦的另一個限制是它們的 IP ID 數量無法預測。在這種情況下，我們只有一個 IP ID 值。我們至少還需要一個值，然後才能自信地說這台電腦是一台 Microsoft Windows 電腦。請注意，請查看 Nmap 掃描的剩餘資料包。

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

駭客查看的第一個訊息是查看 IP ID 號碼是否增加到 399。正如我們在資料包中間觀察到的那樣，這個 DI IP 確實是 399。有了這些訊息，駭客就相當有信心，他所攻擊的受害電腦是 Windows NT、2K、XP 或 2K3。在此封包序列中還觀察到，受害網路上的連接埠 80 似乎具有服務，這由 SYN/ACK 封包證明，SYN/ACK 封包是透過檢查 TCP 標頭中的標誌欄位來確定的，在這種情況下，帶下劃線的十六進位值為 12 或十進位為 18。可以透過將 SYN 標誌 2 值加到 ACK 標誌 16 值來偵測該值。

枚舉

一旦駭客得知21和80兩個連接埠都對企業開放，就會進入枚舉狀態。他現在需要知道的是哪種類型的網頁伺服器正在監聽連線。對於這個駭客來說，利用 IIS 網路伺服器上的 Apache 漏洞是毫無意義的。考慮到這一點，攻擊者將開啟 cmd.exe 會話並找出網路類型。

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

我們可以觀察到上面標記的網路類型或駭客在受害者的IP位址以及連接埠80中輸入的nc.exe語法。一旦進入，駭客將輸入GET方法的HTTP，後面跟著一些語法錯誤的句子。此操作可能導致受害網路的網路伺服器在無法理解請求內容的情況下將資訊傳送回其係統。這就是為什麼他們自然而然地列出駭客所需的資訊。駭客現在可以看到他處於 Microsoft IIS 5.0 中。更好的消息是，駭客已經發現了該版本的多個漏洞。

結論

透過使用 Nmap 對受害者的網路進行掃描，駭客可以接收一系列重要的資料包。如我們所見，這些資料包內部充滿了可供駭客利用架構、作業系統、網路類型和伺服器類型的漏洞的資訊。

簡而言之，透過這種方式，駭客可以獲得有關主機、架構和所提供的服務的關鍵資訊。有了這些訊息，駭客就可以對受害者網路的網路伺服器發動攻擊。在下面的部分中我們將更詳細地介紹在這種情況下駭客可以使用哪些攻擊來攻擊使用者。

攻擊分析（第 3 部分）