11_网络扫描攻击防护实训

实训十网络扫描攻击防护实训

一、实训目的

1、了解基本的网络扫描攻击方法；

2、掌握WAF防护网络扫描攻击的配置方法。

二、应用环境

本次实训我们将模拟网络扫描行为，对网站进行网络扫描攻击，并使用WAF进行攻击防护。

三、实训设备

1、WAF设备1台

2、PC机2台

3、双绞线（直通）2根

四、实训拓扑

透明部署模式

五、实训要求

1、按照拓扑连接网络

2、按照拓扑中的IP地址配置设备IP

六、实训步骤

第一步：在PC机2上部署要进行网络扫描的网站，并在本地访问正常,在PC机2上打开浏览器输入http://127.0.0.1/

第二步：在PC机1上打开浏览器输入https://192.168.1.2/登录WAF设备，将保护网站添加到WAF站点管理中，左侧功能树进入站点->站点管理，点击新建按钮

输入web服务器IP地址和端口，点击确定，将网站加入WAF保护中

注意：此步骤中策略集选择“无”

第三步：在PC机1上安装网络扫描软件APPSCAN，先将PC机上的杀毒软件关闭，将压缩包解压后，请确认有下面三个文件

点击APP SCAN7.8.1中文版.exe进行安装，安装完毕后，不要立即运行，先将keygen.exe 和patch.exe拷贝到C:\Program Files\IBM\Rational AppScan该目录下，先点击patch.exe

点击按钮patch，然后点击exit关闭，再点击keygen.exe

点击Generate按钮，生成一个license.lic文件

这时回到系统桌面，运行APPSCAN

软件打开以后，点击帮助->许可证

选择刚才生成的许可，导入成功后显示如下：

点击关闭按钮即可，若出现更新之类的窗口不要理会直接关闭

第四步：使用刚才安装的APPSCAN软件进行网络扫描攻击，打开软件选择扫描->完全扫描，如下图

点击是，出现下面的窗口

在此窗口中输入要攻击的web服务器的URL http://192.168.1.3点击确定，出现窗口点击否，扫描攻击开始，我们可以看到能扫描出web网站的目录、文件、漏洞等等

通过上述步骤说明网络扫描攻击成功

第五步：在WAF上启用网络扫描防护功能

在前面的实训中我们已经讲述了怎么使用web防护功能，这里我们不再赘述，我们使用默认的攻击阻止策略集，进入站点->站点管理->修改要保护的web网站->点击确定

第六步：再次使用APPSCAN软件对web服务器进行扫描攻击，会出现连接不到192.168.1.3的提示，说明攻击被阻断

通过以上步骤，说明WAF已经成功阻断了本次攻击

七、注意事项和排错

1、需要将保护网站添加到WAF保护中，才能够保护生效。

2、攻击不能被阻止时，检查防护规则是否被成功应用。

八、配置序列

无

九、共同思考

网络扫描攻击对网站的危害？

十、课后练习

尝试其他网络扫描工具的使用及防护，如Acunetix Web Vulnerability Scanner？十一、知识背景

随着Internet的不断发展，信息技术已成为促进经济发展、社会进步的巨大推动力：当今社会高度的计算机化信息资源对任何人无论在任何时候、任何地方都变得极有价值。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点，这就使保证信息的安全变得格外重要。

安全扫描技术是一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。通过对网络的扫描，网络管理员可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置，在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，可以有效避免黑客攻击行为，做到防患于未然。

安全扫描技术主要分为两类：主机安全扫描技术和网络安全扫描技术。网络安全扫描技术主要针对系统中不合适的设置脆弱的口令，以及针对其它同安全规则抵触的对象进行检查等；而主机安全扫描技术则是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。

网络安全扫描技术是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术。通过网络安全扫描，系统管理员能够发现所维护的Web服务器的各种TCP/IP端口的分配、开放的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。网络安全扫描技术也是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为，并对结果进行分析。这种技术通常被用来进行模拟攻击实验和安全审计。网络安全扫描技术与防火墙、安全监控系统互相配合就能够为网络提供很高的安全性。

一次完整的网络安全扫描分为3个阶段：

（1）第1阶段：发现目标主机或网络。

（2）第2阶段：发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。

（3）第3阶段：根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。

网络安全扫描技术包括有PING扫射（Ping sweeP）、操作系统探测（Operating system identification）、如何探测访问控制规则（firewalking）、端口扫描（Port scan）以及漏洞扫描（vulnerability scan）等。这些技术在网络安全扫描的3个阶段中各有体现。

PING扫射用于网络安全扫描的第1阶段，可以帮助我们识别系统是否处于活动状态。操作系统探测、如何探测访问控制规则和端口扫描用于网络安全扫描的第2阶段，其中操作系统探测顾名思义就是对目标主机运行的操作系统进行识别；如何探测访问控制规则用于获取被防火墙保护的远端网络的资料；而端口扫描是通过与目标系统的TCP/IP端口连接，并查看该系统处于监听或运行状态的服务。网络安全扫描第3阶段采用的漏洞扫描通常是在端口扫描的基础上，对得到的信息进行相关处理，进而检测出目标系统存在的安全漏洞。

端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术，并且广泛运用于当前较成熟的网络扫描器中，如著名的Nmap和Nessus。鉴于这两种技术在网络安全扫描技术中起着的举足轻重作用，本文将对这两种技术及相关内容做详细的阐述。

一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息。通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。它使系统用户了解系统目前向外界提供了哪些服务，从而为系统用户管理网络提供了一种手段。

端口扫描向目标主机的TCP/IP服务端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭，就可以得知端口提供的服务或信息。端口扫描也可以通过捕获本地主机或服务器的流入流出IP数据包来监视本地主机的运行情况，它仅能对接收到的数据进行分析，帮助我们发现目标主机的某些内在的弱点，而不会提供进入一个系统的详细步骤。

端口扫描主要有经典的扫描器（全连接）以及所谓的SYN（半连接）扫描器。此外还有间接扫描和秘密扫描等。

全连接扫描是TCP端口扫描的基础，现有的全连接扫描有TCP connect（）扫描和TCP 反向ident扫描等。其中TCP connect（）扫描的实现原理如下所述：

扫描主机通过TCP/IP协议的三次握手与目标主机的指定端口建立一次完整的连接。连接由系统调用connect开始。如果端口开放，则连接将建立成功；否则，若返回-1则表示端口关闭。建立连接成功：响应扫描主机的SYN/ACK连接请求，这一响应表明目标端口处于监听（打开）的状态。如果目标端口处于关闭状态，则目标主机会向扫描主机发送RST的响应。

若端口扫描没有完成一个完整的TCP连接，在扫描主机和目标主机的一指定端口建立连接时候只完成了前两次握手，在第三步时，扫描主机中断了本次连接，使连接没有完全建立起来，这样的端口扫描称为半连接扫描，也称为间接扫描。现有的半连接扫描有TCPSYN扫描和IP ID头dumb扫描等。