网络攻击的一般过程有哪几个步骤?
网络攻击过程主要分为以下几个步骤:
•隐藏攻击源。隐藏黑客主机位置使得系统管理无法追踪。
•收集攻击目标信息。确定攻击目标并收集目标系统的有关信息。
•挖掘漏洞信息。从收集到的目标信息中提取可使用的漏洞信息。
•获取目标访问权限。获取目标系统的普通或特权账户的权限。
•隐藏攻击行为。隐蔽在目标系统中的操作,防止入侵行为被发现。
•实施攻击。进行破坏活动或者以目标系统为跳板向其他系统发起新的攻击。
•开辟后门。在目标系统中开辟后门,方便以后入侵。
•清除攻击痕迹。避免安全管理员的发现、追踪以及法律部门取证。
端口扫描有哪些类型?
端口扫描目的是找出目标系统上提供的服务列表。根据端口扫描利用的技术,扫描可以分为多种类型:
完全连接扫描
完全连接扫描利用TCP/IP协议的三次握手连接机制,使源主机和目的主机的某个端口建立一次完整的连接。如果建立成功,则表明该端口开放。否则,表明该端口关闭。
半连接扫描
半连接扫描是指在源主机和目的主机的三次握手连接过程中,只完成前两次握手,不建立一次完整的连接。
SYN扫描
首先向目标主机发送连接请求,当目标主机返回响应后,立即切断连接过程,并查看响应情况。如果目标主机返回ACK信息,表明目标主机的该端口开放。如果目标主机返回RESET信息,表示该端口没有开放。
ID头信息扫描
首先由源主机A向dumb主机B发出连续的PING数据包,并且查看主机B返回的数据包的ID头信息(一般每个顺序数据包的ID头的值会增加1)。然后由源主机A假冒主机B的地址向目的主机C的任意端口(1-65535)发送SYN数据包。这时,主机C向主机B发送的数据包有两种可能的结果:
1、SYN|ACK表示该端口处于监听状态;
2、RST|ACK表示该端口处于非监听状态;
后续的PING数据包响应信息的ID头信息可以看出,如果主机C的某个端口是开放的,则主机B返回A的数据包中,ID头的值不是递增1,而是大于1。如果主机C的某个端口是非开放的,则主机B返回A的数据包中,ID头的值递增1,非常规律。
隐蔽扫描
隐蔽扫描是指能够成功地绕过IDS、防火墙和监视系统等安全机制,取得目标主机端口信息的一种扫描方式。
SYN|ACK扫描
由源主机向目标主机的某个端口直接发送SYN|ACK数据包,而不是先发送SYN数据包。由于这一方法不发送SYN数据包,目标主机会认为这是一次错误的连接,从而报错。
如果目标主机的该端口没有开放,则会返回RST信息。如果目标主机的该端口开放,则不会返回任何信息,而是直接将数据包抛弃掉。
FIN扫描
源主机A向目标主机B发送FIN数据包,然后查看反馈信息。如果端口返回RESET信息,则说明该端口关闭。如果端口没有返回任何信息,则说明该端口开放。
ACK扫描
首先由主机A向主机B发送FIN数据包,然后查看反馈数据包的TTL值和WIN值。开放端口所返回的数据包的TTL值一般小于64,而关闭端口的返回值一般大于64;开放端口所返回的数据包的WIN值一般大于0,而关闭端口的返回值一般等于0。
NULL扫描
将源主机发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部置空。如果目标主机没有返回任何信息,则表明该端口是开放的。如果返回RST信息,则表明该端口是关闭的。
XMAS扫描
XMAS扫描的原理和NULL扫描相同,只是将要发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部置成1。如果目标主机没有返回任何信息,则表明该端口是开放的。如果返回RST信息,则表明该端口是关闭的。
版权归原作者 weixin_46619295 所有, 如有侵权,请联系我们删除。