安全攻防课件学习PPT

1会计学安全攻防 课件 超市陈列培训课件免费下载搭石ppt课件免费下载公安保密教育课件下载病媒生物防治课件 可下载高中数学必修四课件打包下载 学习PPT黑客历史80年代早期首次出现Cyberspace一词414s被捕LegionofDoom和ChaosComputerClub成立黑客杂志2600、phrack相续创刊80年代晚期25岁的KevinMutnik首次被捕1988年，莫里斯蠕虫事件，在几小时内感染了6000台计算机系统美国国防部成立了计算机紧急应急小组(CERT)KevinMutnik黑客历史90年代早期AT&T的长途服务系统在马丁路德金纪念日崩溃黑客成功侵入格里菲思空军基地和美国航空航天管理局KevinMitnick再次被抓获，这一次是在纽约，他被圣迭哥超级计算中心的TsutomuShimomura追踪并截获90年代晚期美国联邦网站大量被黑，包括美国司法部，美国空军，中央情报局和美国航空航天管理局等流行的电子搜索引擎Yahoo被黑客袭击黑客语言1->iorl3->e4->a7->t9->g0->o$->s|->iorl|\|->n|\/|->ms->zz->sf->phph->fx->ckck->x黑客语言例如：3v3ry0n3kn0wzwh3ny0uh4ckaw3bp4g3y0uh4v3t0us3h4ck3rt4lkEveryoneknowswhenyouhackawebpageyouhaveTousehackertalkHack杂志1.2600http://www.2600.com/2.Phrackhttp://www.phrack.org/Hack组织1、@stake(原L0pht)http://www.atstake.com代表作品：L0phtCrack2、cDc(CULTOFTHEDEADCOW)http://www.cultdeadcow.com/代表作品：bo、bo2000、PeekabootyHack组织3、admftp://ftp.freelsd.net/ADM/4、securityhttp://www.security.is/5、antisecurityhttp://anti.security.isSaveabugsavealife致力于维护软件届的生态平衡Hack组织6、LSD(LastStageOFDeLIRIUM)http://lsd-pl.net/7、tesohttp://teso.scene.at/8、thc(TheHackersChoice)https://www.thehackerschoice.com/著名黑客1．AlephOneBugtraq邮件列表主持人BugtraqFAQ：http://www.nationwide.net/~aleph1/FAQBugtraq：http://online.securityfocus.com/archive/1代表作品：SmashingTheStackForFunAndProfithttp://phrack.org/show.php?p=49&a=14发表于1996年11月8日，第一篇公开发表的介绍缓冲区溢出的论文著名黑客2．SimpleNomadhttp://www.nmrc.orgNMRC核心成员，建立者。NMRC(NomadMobileResearchCentre)TheHackFAQ的作者Pandora（NetWare漏洞扫描器)的作者著名黑客3.RFP(RainForestPuppy)http://www.wiretrip.net/rfp/WebServer安全权威、IISMSADC漏洞的发现者Rfp实验室的核心成员主要作品：whiskerCgi扫描器，综合了多种anti-ids技术著名黑客4.Fyodorhttp://www.insecure.org/Nmap的作者在phrack杂志51期发表了关于高级端口扫描的论文http://phrack.org/show.php?p=51&a=11在phrack杂志54期发表了关于利用tcp/ip 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 栈进行远程操作系统识别的论文http://phrack.org/show.php?p=54&a=9著名黑客5.dugsonghttp://www.monkey.org/~dugsong/揭示了checkpointFW-1状态包过滤的漏洞编写了功能强大的黑客工具包dsniff包括dsniff、webspy、arpspoof、sshow等http://naughty.monkey.org/~dugsong/dsniff/著名黑客6.SolarDesignerhttp://www.openwall.com/主要作品JohntheRipper:最好的unix口令破解工具openwall:Linux内核安全补丁黑客大会1.BlackHathttp://www.blackhat.com/2.CanSecWesthttp://www.cansecwest.com/3.defconhttp://www.defcon.org黑客攻击的典型步骤获取对方信息，扫描、社会工程学等。进行攻击，exploit。消除痕迹，删除日志等。留后门。公众域信息。Nmap,traceroute,firewalk,pingsweeps,etcNIC注册纪录DNS纪录SNMP扫描OS识别BannergrabbingWardialers社交工程获取信息Google的高级使用1.搜索整个字符串a)"Indexof/password“b)"Indexof/"password.txt2.site--搜索整个站点site:www.netpower.com.cn火眼3.filetype—搜索某种文件类型4.inurl---分类搜索inurl:firewallnetpowerinurl:idsnetpowerinurl:idsanti限制robot访问web站点的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 Robot限制协议http://www.target.com/robots.txtUser－agent:*Disallow:/RobotMETA标记〈metaname=″robots″content=″noindex,nofollow″〉CrawlBabelweb:http://www.hsc-labs.com/ressources/outils/babelweb/teleporthttp://www.tenmax.com/teleport/pro/home.htmspadehttp://www.samspade.org/ssw/download.htmlwhois–q263.net通过DNS获取信息1、获取bind版本信息dig@ns.xxx.comversion.bindchaostxtBind的各个版本存在多个缓冲区溢出漏洞，例如：8.2、8.2.1：bindNXTrecords漏洞8.2–8.2.3：ISCBind8TSIG缓冲区溢出漏洞限制对BIND的版本信息进行查询BIND8版本中，在named.conf中使用version命令修改版本号，例如：options    {        version  “hello1.1.1”;};DNS区域传输dig@ns.xxx.comxxx.comaxfr或host–l–v–tanyxxx.com列出所有dns注册信息限制区域传输对于BIND8版的软件，在配置文件named.conf中使用命令allow-transfer来限制允许区域传输的主机，例如：    options    {            allow-transfer    {                            192.168.100.1;                            202.96.44.0/24;            };    };网络拓扑发现IPTTL12345Traceroute端口扫描1.慢扫描。工具：nmap。例如：nmap-TParanoid-sT192.168.68.1。（间隔5分钟扫描一个端口）。2.随机扫描。Nmap默认就是随机扫描，指随机扫描目标端口。（有些nids是根据连续连接本地端口段来判断端口扫描的）。3.碎片扫描。工具nmap。例如：nmap–f–sT192.168.68.1。4.诱骗扫描。工具：nmap。例如：nmap-D192.168.68.1,192.168.68.2,192.168.68.3,192.168.68.5-sS192.168.68.98。（192.168.68.1,192.168.68.2,192.168.68.3都是虚假的地址）。端口扫描5．tcp扫描。工具nmap。例如：nmap–sT192.168.68.1。6.Udp扫描。工具nmap。例如：nmap–sU192.168.0.17.协议栈扫描。工具nmap.例如:nmap–sO192.168.0.18．Syn扫描。工具nmap。例如：nmap–sS192.168.68.1。9．Null扫描。工具nmap。例如：nmap–sN192.168.68.1。10．XmasTree扫描。工具nmap。例如：nmap–sX192.168.68.1。11.FIN扫描。工具nmap。例如：nmap–sF192.168.68.1。12.分布式扫描。工具dps、dscan。13.快扫描。工具nmap。例如：nmap–F192.168.0.1端口扫描14.Ack扫描，检查是否是状态FW。nmap–sA192.168.0.1。15.Windows扫描，nmap–sW192.168.0.1。16.RPC扫描，nmap–sR192.168.0.117.反向ident扫描，nmap–I192.168.0.1。18.Idle扫描。nmap-P0-sI中间主机192.168.0.119.ftpbounce扫描。idlescanIdle扫描(端口开放)1目标机攻击者unknowing.com3vil.orgSyn:80跳板主机ID=0172.0.0.1Idle扫描(端口开放)2目标机攻击者unknowing.com3vil.orgSyn/ack跳板主机ID=1172.0.0.1Idle扫描(端口开放)3目标机攻击者跳板主机ID=110.0.0.1192.0.0.1172.0.0.1Synsrc=172.0.0.1Dst=192.0.0.1Idle扫描(端口开放)4目标机攻击者10.0.0.1192.0.0.1Syn/Acksrc=192.0.0.1Dst=172.0.0.1跳板主机ID=1172.0.0.1Idle扫描(端口开放)5目标机攻击者10.0.0.1192.0.0.1Rstsrc==172.0.0.1Dst=192.0.0.1跳板主机ID=2172.0.0.1Idle扫描(端口开放)6目标机攻击者10.0.0.1192.0.0.1Syn:80跳板主机ID=2172.0.0.1Idle扫描(端口开放)7目标机攻击者10.0.0.1192.0.0.1Syn:80Syn/ack跳板主机ID=3172.0.0.1Idle扫描(端口关闭)1目标机攻击者unknowing.com3vil.orgSyn:80跳板主机ID=0172.0.0.1Idle扫描(端口关闭)2目标机攻击者unknowing.com3vil.orgSyn/ack跳板主机ID=1172.0.0.1Idle扫描(端口关闭)3目标机攻击者跳板主机ID=110.0.0.1192.0.0.1172.0.0.1Synsrc=172.0.0.1Dst=192.0.0.1Idle扫描(端口关闭)4目标机攻击者10.0.0.1192.0.0.1Rstsrc=192.0.0.1Dst=172.0.0.1跳板主机ID=1172.0.0.1Idle扫描(端口关闭)5目标机攻击者10.0.0.1192.0.0.1Syn:80跳板主机ID=1172.0.0.1Idle扫描(端口关闭)6目标机攻击者10.0.0.1192.0.0.1Syn:80Syn/ack跳板主机ID=2172.0.0.1ftpbounce扫描目标机攻击者10.0.0.1192.0.0.1ftpserver172.0.0.1nmap–P0–sT–b172.0.0.1192.168.0.1原理telnetftp.xxx.com21useranonymouspassa@a.comport192,168,0,173,23,23200PORTcommandsuccessful.nlst425Can'tbuilddataconnection:Connectionrefused.port192,168,0,173,12,234200PORTcommandsuccessful.nlst150ASCIIdataconnectionfor/bin/ls(192.168.0.173,3306)(0bytes).226ASCIITransfercomplete.quit远程操作系统识别技术1．DNS的hinfo纪录2．Bannergrab3.二进制文件法3．Snmpgetsysdescr4．Tcp堆栈指纹技术5．Icmp堆栈指纹技术DNS的hinfo纪录wwwINHINFO“SparcUltra5”“Solaris2.6”获取方法：dig@ns.xxx.comxxx.comhinfo非常老的方法，现在一般没有管理员在dns 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 里面添加hinfo纪录。BannergrabRedhat:/etc/issue、/etc/issue.netbsd:/etc/motdSolaris:/etc/motd缺陷：不准确，负责任的管理员一般都修改这个文件通过webserver得到操作系统类型lynx–head–dumphttp://www.target.com二进制文件分析法得到远程系统的一个二进制文件例如1.webserver目录下产生的core文件2.配置不当的ftpserver下的二进制文件……利用file、readelf等来鉴别Snmpgetsysdescr$snmputilget192.168.0.124public.1.3.6.1.2.1.1.1.0Variable=system.sysDescr.0Value=StringSunSNMPAgent,Ultra-1$snmputilget192.168.0.124public.iso.org.dod.internet.mgmt.mib-2.system.sysDescr.0Variable=system.sysDescr.0Value=StringSunSNMPAgent,Ultra-1Snmpgetnextmib-2$snmputilgetnext192.168.0.124public.1.3.6.1.2.1Variable=system.sysDescr.0Value=StringSunSNMPAgent,Ultra-1$snmputilgetnext192.168.0.124public.iso.org.dod.internet.mgmt.mib-2.0Variable=system.sysDescr.0Value=StringSunSNMPAgent,Ultra-1TCPSegmentFormat01631源端口目的端口sequencenumberacknowledgementnumber头长度4保留6UAPRSFwindowsizeTCPchecksum紧急指针Tcp操作(长度可变，最大40个字节)数据20bytesTcp堆栈指纹技术nmap–O192.168.0.1TEST1:向目标开放端口发包send_tcp_raw_decoys(rawsd,&target->host,current_port,openport,sequence_base,0,TH_BOGUS|TH_SYN,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);Nmap用于系统识别的包（1）TH_BOGUS=64=0x40=1000000TH_SYN=0x02=000010BOGUS标记探测器–在syn包的tcp头里设置一个未定义的TCP"标记"（64）。版本号2.0.35之前的linux内核在回应中保持这个标记。有些操作系统在收到这种包是会复位连接。\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000是tcp选项，解释如下：\003\003\012：窗口扩大因子kind=3,len=3,移位数=\012=10\001：无操作：kind=1\002\004\001\011：最大报文段长度kind=2,len=4,长度=\001\011=265\010\012：时间戳kind=8,len=10\077\077\077\077：时间戳值1061109567\000\000\000\000：时间戳响应\000：选项结束kind=0\000：填充位Nmap用于系统识别的包（2）TEST2：向目标开放端口发包send_tcp_raw_decoys(rawsd,&target->host,current_port+1,openport,sequence_base,0,0,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0); 源端口+1，6个标志位都为0，ip选项同TEST1。Nmap用于系统识别的包（3）TEST3：向目标开放端口发包send_tcp_raw_decoys(rawsd,&target->host,current_port+2,openport,sequence_base,0,TH_SYN|TH_FIN|TH_URG|TH_PUSH,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0); 源端口+2，设置标志位TH_SYN(0x02)，TH_FIN(0x01)，TH_URG(0x20)，TH_PUSH(0x08)。Ip选项同TEST1。Nmap用于系统识别的包（4）TEST4：向目标开放端口发包send_tcp_raw_decoys(rawsd,&target->host,current_port+3,openport,sequence_base,0,TH_ACK,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0); 源端口+3，设置标志位TH_ACK，ip选项同TEST1。Nmap用于系统识别的包（5）TEST5：向目标关闭端口发包send_tcp_raw_decoys(rawsd,&target->host,current_port+4,closedport,sequence_base,0,TH_SYN,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0); 源端口+4，标志位TH_SYN，ip选项同TEST1。Nmap用于系统识别的包（6）TEST6：向目标关闭端口发包send_tcp_raw_decoys(rawsd,&target->host,current_port+5,closedport,sequence_base,0,TH_ACK,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);源端口+5，标志位TH_ACK，ip选项同TEST1。Nmap用于系统识别的包（7）TEST7：向目标关闭端口发包send_tcp_raw_decoys(rawsd,&target->host,current_port+6,closedport,sequence_base,0,TH_FIN|TH_PUSH|TH_URG,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0); 源端口+6，标志位TH_FIN，TH_PUSH，TH_URG，ip选项同TEST1。Nmap用于系统识别的包（8）TEST8：向目标关闭端口发包send_closedudp_probe(rawsd,&target->host,o.magic_port,closedport); 向目标关闭端口发送udp包一个指纹结构TSeq(Class=RI%gcd=<6%SI=<57A26&>DF1)T1(DF=Y%W=2297|2788|4431|8371|8F4D|ABCD|FFF7|FFFF|2297|212%ACK=S++%Flags=AS%Ops=NNTNWME)T2(DF=N%W=0%ACK=O%Flags=R%Ops=WNMETL)T3(Resp=N)T4(DF=Y|N%W=0%ACK=O%Flags=R%Ops=|WNMETL)T5(DF=Y%W=0%ACK=S++%Flags=AR%Ops=)T6(DF=Y|N%W=0%ACK=O|S%Flags=AR|R%Ops=|WNMETL)T7(DF=Y|N%W=0%ACK=S|O%Flags=AR|R%Ops=|WNMETL)PU(DF=Y%TOS=0%IPLEN=70%RIPTL=148%RID=E%RIPCK=E|F%UCK=E|F|F|E%ULEN=134%DAT=E)FingerprintSolaris2.6-2.7Solaris2.6–2.7的指纹Icmp堆栈指纹技术OfirArkin提出http://www.sys-security.com/html/projects/icmp.htmlhttp://www.phrack.org/show.php?p=57&a=7http://www.sys-security.com/html/projects/X.htmlICMP包格式081631typecodechecksum依type和code域的不同而不同081631typecodechecksumidentifiersequencenumber例子：echorequest/reply(ping/pong)optionaldata通常格式ICMP协议msg#description0echoreply3destinationunreachable4sourcequench5redirect8echorequest9routeradvertisement10routersolicitation11timeexceededmsg#description12parameterproblem13timestamprequest14timestampreply15informationrequest16informationreply17addressmaskrequest18addressmaskreplyICMP信息请求针对广播地址的non-echoicmp请求利用tos位检测windows系统识别windowsXprobe作者CAttackerSYN|ACKfromhostAsrcport23withadvertisedwindow0x4000,DFbiton&ttlof64SYNtoport23A操作系统被动察觉通告的窗口值、是否设置DF位、缺省TTL。被动操作系统识别OSFingerprints:4000:ON:64=FreeBSD被动操作系统识别工具1.siphonhttp://gravitino.net/projects/siphon/http://siphon.datanerds.net/2.P0fhttp://www.stearns.org/p0f/Hack攻击----进入系统1.扫描目标主机。2.检查开放的端口，获得服务软件及版本。3.检查服务是否存在漏洞，如果是，利用该漏洞远程进入系统。4.检查服务软件是否存在脆弱帐号或密码，如果是，利用该帐号或密码系统。5.利用服务软件是否可以获取有效帐号或密码，如果是，利用该帐号或密码进入系统。6.服务软件是否泄露系统敏感信息，如果是，检查能否利用。7.扫描相同子网主机，重复以上步骤，直到进入目标主机或放弃。Hack攻击----提升权限1.检查目标主机上的SUID和GUID程序是否存在漏洞，如果是，利用该漏洞提升权限(unix)。2.检查本地服务是否存在漏洞，如果是，利用该漏洞提升权限。3.检查本地服务是否存在脆弱帐号或密码，如果是，利用该帐号或密码提升权限。4.检查重要文件的权限是否设置错误，如果是，利用该漏洞提升权限。5.检查配置目录中是否存在敏感信息可以利用。6.检查用户目录中是否存在敏感信息可以利用。7.检查其它目录是否存在可以利用的敏感信息。8.重复以上步骤，直到获得root权限或放弃。Hack攻击----善后处理第三步：放置后门 最好自己写后门程序，用别人的程序总是相对容易被发现。 第四步：清理日志 删除本次攻击的相关日志，不要清空日志。Hack攻击----入侵检测1.扫描系统2.根据结果打补丁，修补系统3.检测系统中是否有后门程序Hack攻击----检测后门A.察看端口unix：lsoflsof–itcp–n：察看所有打开的tcp端口windows：fportfport/pHack攻击----检测后门B.察看进程unix：pspsex：察看所有运行的进程windows：pslistC.杀掉进程unix：killwindows：pskillHack攻击----检测后门D：检查suid、guid程序(对于unix系统)find/-userroot-perm-4000–printfind/-userroot-perm-2000-printE：对软件包进行校验(对于某些linux系统)whichloginrpm–qf/bin/loginrpm–Vutil-linuxHack攻击----检测后门F：检测/etc/passwd文件(unix)1.陌生用户2.口令为空的用户3.uid或gid为0的用户G：检测是否由sniffer程序在运行(unix)ifconfigHack攻击----检测后门H：检测系统中的隐藏文件(unix)find/-name".*"-printI：检测系统中的LKM后门chkrootkit(unix)kstat(linux)ksec(bsd)黑客技术1.口令破解Unix口令破解工具：johntheripperhttp://www.openwall.com/john/Windowsnt、2000口令破解工具：L0phtCrackhttp://www.atstake.com/research/lc3/index.html黑客技术2.端口扫描与远程操作系统识别Nmap:最好的端口扫描器和远程操作系统识别工具http://www.insecure.org/nmap/Xprobe:icmp远程操作系统识别工具http://www.sys-security.com/html/projects/X.html只需要发4个包就可以识别远程操作系统黑客技术3.sniffer技术dsniff:多种协议的口令监听工具http://naughty.monkey.org/~dugsong/dsniffFTP,Telnet,SMTP,HTTP,POP,poppass,NNTP,IMAP,SNMP,LDAP,Rlogin,RIP,OSPF,PPTPMS-CHAP,NFS,VRRP,YP/NIS,SOCKS,X11,CVS,IRC,AIM,ICQ,Napster,PostgreSQL,MeetingMaker,Citrix,ICA,SymantecpcAnywhere,NAISniffer,MicrosoftSMB,OracleSQL*Net,SybaseandMicrosoftSQLprotocols等等。黑客技术4.Hijack,tcp劫持技术hunt:tcp连接劫持工具http://lin.fsid.cvut.cz/~kra/#HUNT综合利用sniffer技术和arp欺骗技术黑客技术5.远程漏洞扫描技术—通用漏洞扫描工具nessus:开源远程漏洞扫描工具http://www.nessus.org/Securityassess:中科网威火眼网络安全评估分析系统http://www.netpower.com.cn黑客技术6.远程漏洞扫描技术—web漏洞扫描工具whisker:http://www.wiretrip.net/rfp/p/doc.asp/i2/d21.htmtwwwscan:http://search.iland.co.kr/twwwscan/黑客技术—缓冲溢出缓冲区返回地址开始向缓冲区写数据攻击者输入的数据返回地址被攻击者覆盖返回地址黑客技术—hackiis黑客技术—hackmssqlserver黑客技术—hackmssqlserverWindows2000系统如何打补丁1.执行wupdmgr.exe，单击产品更新，更新系统中软件到最新版本2.然后下载HFNetChkhttp://download.microsoft.com/download/win2000platform/Utility/3.3/NT45/EN-US/Nshc332.exe3.执行hfnetchk-v4.依照提示提示从http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp下载最新的安全补丁。黑客技术：Smurf攻击攻击者被攻击者Ping广播地址源地址被设置为被攻击者的ip被利用网络黑客技术：Pingo’Death攻击攻击者产生碎片被攻击者收到碎片重组碎片Internet最后一个碎片太大导致缓存溢出buffer65535bytes第一个碎片:36bytes03524第二个碎片:4bytesoffsetendnewoffsetlen=end-newoffset<0memcpy(*dest,*src,len)unsignedintorunsignedlong黑客技术：Teardrop攻击黑客技术：DDOS攻击者中间人代理目标洪流WIN95.MURBURG病毒WIN95.HPS病毒黑客技术：rootkit黑客技术：rootkit_root_看不到了替换不安全的服务程序WU-FTPD：历史上的安全问题Aug1999:longdirnameoverflowOct1999:sitenewerDoSandoverflowsJun2000:siteexecoverflowJan2001:privatepwtempfileproblemsNov2001:globheapoverflow建议使用：http://vsftpd.beasts.org/或http://www.proftpd.org/替换不安全的服务程序ISCBIND：历史上的安全问题Apr1998:iqueryoverflowNov1999:NXToverflowApr2000:multipleDoSbugsNov2000:ZXFRDoSFeb2001:TSIGet.al.overflows建议使用：http://cr.yp.to/djbdns.html替换不安全的服务程序Sendmail：历史上的安全问题Nov1999:localsendmailproblemsDec1999:newaliaseslocalDoSApr2000:mail.localheadercorruptionMay2001:signalhandlerheapvulnAug2001:-dparammemoryoverwriteOct2001:configoverflow/notdropprivs建议使用：http://www.postfix.org/或http://cr.yp.to/qmail.htmlhttp://cr.yp.to/qmail.html替换不安全的服务程序HTTPServers：尽量避免windows平台下的webserver静态内容建议使用：http://www.acme.com/software/thttpd/或http://cr.yp.to/publicfile.html动态内容建议使用：http://www.apache.org/加固IIS1.改变缺省主目录到非系统盘2.删除无用的虚拟目录3.删除无用的应用程序映射4.在脚本错误信息里将发送详细asp错误信息改为发送文本5.删除例子程序inetpub\sampleswinnt\help\iishelpProgramfiles\commonfiles\system\msadc6.禁止父目录内核安全ImmunixSystemhttp://www.immunix.org/Redhatlinux+StackGuard+FormatGuard阻止大部分的堆栈溢出和格式化字符串攻击只能用于x86ELF体系。中国信息安全产品测评认证中心对外办公地点：北京西三环北路27号互联网址：www.itsec.gov.cn电话：68428899传真：68462942问题？著名黑客1．AlephOneBugtraq邮件列表主持人BugtraqFAQ：http://www.nationwide.net/~aleph1/FAQBugtraq：http://online.securityfocus.com/archive/1代表作品：SmashingTheStackForFunAndProfithttp://phrack.org/show.php?p=49&a=14发表于1996年11月8日，第一篇公开发表的介绍缓冲区溢出的论文著名黑客4.Fyodorhttp://www.insecure.org/Nmap的作者在phrack杂志51期发表了关于高级端口扫描的论文http://phrack.org/show.php?p=51&a=11在phrack杂志54期发表了关于利用tcp/ip协议栈进行远程操作系统识别的论文http://phrack.org/show.php?p=54&a=9端口扫描5．tcp扫描。工具nmap。例如：nmap–sT192.168.68.1。6.Udp扫描。工具nmap。例如：nmap–sU192.168.0.17.协议栈扫描。工具nmap.例如:nmap–sO192.168.0.18．Syn扫描。工具nmap。例如：nmap–sS192.168.68.1。9．Null扫描。工具nmap。例如：nmap–sN192.168.68.1。10．XmasTree扫描。工具nmap。例如：nmap–sX192.168.68.1。11.FIN扫描。工具nmap。例如：nmap–sF192.168.68.1。12.分布式扫描。工具dps、dscan。13.快扫描。工具nmap。例如：nmap–F192.168.0.1