网络安全3-网络侦察技术

ICMP Ping扫描 ACK Ping扫描 SYN Ping扫描 UDP Ping扫描：到关闭端口 arp扫描（局域网）
TCP ACK + Port XX RST Source
TCP SYN + Port XX SYN/ACK RST Source Destination
Destination
半开放扫描技术

TCP SYN 扫描 TCP间接扫描

半开放扫描———TCP SYN 扫描
隐蔽性和可靠性介于开发式扫描和隐蔽 式扫描之间。 半连接示意图：
实现原理： 扫描器向目标主机端口发送 SYN 包。如果应答是 RST 包，那么说明端口是关闭的；如果应答中包含SYN和ACK 包，说明目标端口处于监听状态，再传送一个RST包给目 标机从而停止建立连接。由于在SYN扫描时，全连接尚未 建立，所以这种技术通常被称为半连接扫描。 优点： 隐蔽性较全连接扫描好，一般系统对这种半扫描很 少记录。 缺点： 通常构造SYN数据包需要授权用户。

实现原理：TCP Xmas和Null扫描是FIN扫描的

两个变种。Xmas扫描打开FIN，URG和PUSH标 记，而Null扫描关闭所有标记。这些组合的目的 是为了通过对FIN标记数据包的过滤。当一个这种 数据包到达一个关闭的端口，数据包会被丢掉， 并且返回一个RST数据包。否则，若是打开的端 口，数据包只是简单的丢掉（不返回RST）。 优点：隐蔽性好；
主机扫描技术－高级技术

防火墙和网络过滤设备常常导致传统的探测手段 变得无效。为了突破这种限制，必须采用一些非 常规的手段，利用ICMP协议提供网络间传送错误 信息的手段，往往可以更有效的达到目的：

异常的IP包头 在IP头中设置无效的字段值 错误的数据分片 通过超长包探测内部路由器 反向映射探测
UDP + Port XX
ICMP: Port Unreachable
Source
Destination
ICMP echo扫描



实现原理：Ping的实现机制，在判断在一个网络 上主机是否开机时非常有用。向目标主机发送 ICMP Echo Request (type 8)数据包，等待回复 的ICMP Echo Reply 包(type 0) 。如果能收到， 则表明目标系统可达，否则表明目标系统已经不 可达或发送的包被对方的设备过滤掉。 优点：简单，系统支持 缺点：很容易被防火墙限制 可以通过并行发送，同时探测多个目标主机，以 提高探测效率（ICMP Sweep扫描）。
TCP反向ident扫描


实现原理：ident 协议允许看到通过TCP连接 的任何进程的拥有者的用户名，即使这个连接 不是由这个进程开始的。比如，连接到http端 口，然后用identd来发现服务器是否正在以 root权限运行。 缺点：这种方法只能在和目标端口建立了一个 完整的TCP连接后才能看到。
网络扫描器的主要功能

扫描目标主机识别其工作状态（开/关机） 识别目标主机端口的状态（监听/关闭） 识别目标主机系统及服务程序的类型和版本 根据已知漏洞信息，分析系统脆弱点 生成扫描结果报告
扫描技术
主机扫描：确定在目标网络上的主机是
否可达，同时尽可能多映射目标网络的 拓扑结构，主要利用ICMP数据包
地址扫描

主机扫描程序：


Ping Nmap: -sP选项, 缺省执行,集合了ICMP/SYN/ ACK/ UDP Ping功能（SYN/ ACK针对80端口） SING（Send ICMP Nasty Garbage）：发送完全定制 的ICMP数据包的命令行工具
地址扫描


Ping扫射 同时扫描大量的IP地址段，以发现某个IP地址 是否绑定活跃主机的扫描 Ping扫射工具软件
第3章 第1节
端口扫描

扫描的类型

端口扫描 (端口就是一个潜在的通信通道，也就 是一个入侵通道 )

熟知端口 ( 0～1023 ) 注册端口 ( 1024～49151 ) 专用端口 ( 49152～65535 ) 基本扫描


方法

Connect，SYN，FIN，Xmas树，空扫描 ，ACK， Windows，RPC，UDP
TCP协议

TCP标志位

ACK： 确认标志 RST： 复位标志 URG：紧急标志 SYN： 建立连接标志 PSH： 推标志 FIN： 结束标志
TCP协议
TCP连接建立示意图
主机扫描技术－传统技术


主机扫描的目的是确定在目标网络上的主机是 否可达。这是信息收集的初级阶段，其效果直 接影响到后续的扫描。 常用的传统扫描手段有：
time=33lms TTL=46 time=320ms TTL=46 time=370ms TTL=46 time=36lms TTL=46
Ping statistics for 202.108.42.91： Packets：Sent=4，Received=4，Lost=0 (0％loss)， Approximate round trIP times in milli-seconds： Minimum=320ms，Maximum=370ms，Average=345ms
第3章 网络侦察技术



3.1网络扫描 3.2网络监听 3.3口令破解
第3章 第1节
网络扫描

扫描器 扫描的类型 常用的网络扫描器
扫描的目标




主机发现 目标主机上运行的可访问的TCP及UDP网络服 务 目标主机的操作平台及其配置 目标主机漏洞（包括系统漏洞和协议栈漏洞） 过滤机制与安全系统的配置（包括防火墙、 边界路由器、交换机以及IDS探测器等）
UNIX: Nmap, fping, hping2 Win32: Superscan
Broadcast ICMP扫描


实现原理：将ICMP请求包的目标地址设为广播 地址或网络地址，则可以探测广播域或整个网 络范围内的主机。 缺点：


只适合于UNIX/Linux系统，Windows 会忽略这种请 求包； 这种扫描方式容易引起广播风暴
Ident ，FTP Bounce

高级扫描

端口扫描技术


当确定了目标主机可达后，就可以使用端口扫描技术，发 现目标主机的开放端口，包括网络协议和各种应用监听的 端口。端口扫描技术主要包括以下三类： 开放扫描

会产生大量的审计数据，容易被对方发现，但其可靠性高； 能有效的避免对方入侵检测系统和防火墙的检测，但这种扫描使 用的数据包在通过网络时容易被丢弃从而产生错误的探测信息； 隐蔽性和可靠性介于前两者之间。
实现原理： 扫描器向目标主机端口发送FIN包。当一 个 FIN 数据包到达一个关闭的端口，数据包 会被丢掉，并且返回一个 RST数据包。否则 ，若是打开的端口，数据包只是简单的丢掉 （不返回RST）。 优点： 由于这种技术不包含标准的TCP三次握手 协议的任何部分，所以无法被记录下来，从 而比SYN扫描隐蔽得多，FIN数据包能够通过 只监测SYN包的包过滤器。
端口扫描：发现远程主机开放的端口以
及服务
操作系统指纹扫描：根据协议栈判别操
作系统
扫描器分类

主机型安全扫描器 网络型漏洞扫描器 数据库漏洞扫描器
1、 主机型安全扫描器
主机型漏洞扫描器一般采用C/S的架构， 通过在主机系统本地运行代理程序，针对操 作系统内部问题进行深入的系统漏洞扫描。
2、 网络型漏洞扫描器 网络型漏洞扫描器是通过模拟黑客经由 网络端发出数据包，以主机接受到数据包时 的回应作为判断标准，进而了解网络上各种 网络设备、主机系统等开放的端口、服务以 及各种应用程序的漏洞的安全扫描工具。
3、 数据库漏洞扫描器
数据库漏洞扫描器，是专门针对数据库 进行安全漏洞扫描的扫描工具，以发现数据 库在系统软件、应用程序、系统管理以及安 全配置等方面的存在的安全漏洞测。
网络安全
刘敏贤 副教授
西南科技大学计算机科学与技术学院
第2章回顾

攻击事件 攻击的目的 攻击的步骤
第3章 网络侦察技术

本章介绍常见的网络侦察技术，包括网络扫描、 网络监听和口令破解三个部分。网络扫描重点 介绍三种扫描类型以及常用的扫描器；网络监 听重点介绍对以太网的监听和嗅探器；口令破 解重点介绍口令破解器、字典文件以及 Windows 2000和Unix口令破解所涉及的问题。
隐蔽扫描


半开放扫描


开放式扫描——TCP Connect 扫描 会产生大量的审计数据，容易被对方发 现，但其可靠性高。 三次握手示意图：
实现原理： 通过调用socket函数connect()连接到目 标计算机上，完成一次完整的三次握手过程 。如果端口处于侦听状态，那么 connect() 就能成功返回。否则，这个端口不可用，即 没有提供服务。 优点： 稳定可靠，不需要特殊的权限。 缺点： 扫描方式不隐蔽，服务器日志会记录下 大量密集的连接和错误记录 ，并容易被防

扫描器的工作原理
扫描器是一种自动检测远程或本地主机 安全性弱点的程序，通过使用扫描器可以发 现远程服务器是否存活和各种端口的分配及 提供的服务和它们的软件版本。
例如：操作系统识别，是否能用匿名登 陆，是否有可写的FTP目录，是否能用 TELNET。

扫描器工作原理图：
扫描器的基本工作原理
TCP协议
第3章 第1节
网络扫描

地址扫描 ping扫描（ICMP）
C:\>ping WWW.163.com Pinging WWW.163.com[202.108.42.91]with 32bytes of data:
Reply from 202.108.42.91：bytes=32 Reply from 202.108.42.91：bytes=32 Reply from 202.108.42.91：bytes=32 Reply from 202.108.42.91：bytes=32
TCP是一种面向连接的，可靠的传输层协 议。一次正常的TCP传输需要通过在客户端和 服务器之间建立特定的虚电路连接来完成，该 过程通常被称为“三次握手”。TCP通过数据 分段中的序列号保证所有传输的数据可以在远 端按照正常的次序进行重组，而且通过确认保 证数据传输的完整性。
TCP协议
TCP数据包格式
隐蔽扫描技术

TCP FINபைடு நூலகம்扫描 TCP Xmas扫描 TCP Null 扫描 TCP ftp proxy扫描 分段扫描

隐蔽性扫描——TCP FIN扫描
能有效的避免对方入侵检测系统和防火 墙的检测，但这种扫描使用的数据包在通过 网络时容易被丢弃从而产生错误的探测信息 。 隐蔽性扫描示意图：
缺点：
跟SYN扫描类似，需要自己构造数据包， 要求授权用户访问；通常适用于UNIX目标主 机，除过少量的应当丢弃数据包却发送RST 包的操作系统（包括CISCO等）。但在 Windows95/NT环境下，该方法无效，因为不 论目标端口是否打开，操作系统都返回RST 包。
TCP Xmas 和TCP Null 扫描



ICMP Echo扫描 ICMP Sweep扫描 Broadcast ICMP扫描 Non-Echo ICMP扫描
地址扫描

目的：检查目标主机是否处于活动状态(active) 扫描方式：
ICMP Echo Request ICMP Echo Reply Source Destination
缺点：
需要自己构造数据包，要求由超级用户或者授权用户权 限； 通常适用于UNIX目标主机，而Windows系统不支持。
TCP ftp proxy扫描


实现原理：FTP代理连接选项，其目的是允许一个客户端同时跟两个 FTP服务器建立连接，然后在服务器之间直接传输数据。然而，在大 部分实现中，实际上能够使得FTP服务器发送文件到Internet的任何地 方。该方法正是利用了这个缺陷，其扫描步骤如下： 1：假定S是扫描机，T是扫描目标，F是一个ftp服务器，这个服务 器支持代理选项，能够跟S和T建立连接。 2：S与F建立一个ftp会话，使用PORT命令声明一个选择的端口（ 称之为p－T）作为代理传输所需要的被动端口。 3：然后S使用一个LIST命令尝试启动一个到p－T的数据传输。 4：如果端口p－T确实在监听，传输就会成功（返回码150和226 被发送回给S），否则S回收到"425无法打开数据连接"的应答。 5：S持续使用PORT和LIST命令，直到T上所有的选择端口扫描完 毕。 优点：FTP代理扫描不但难以跟踪，而且可以穿越防火墙 缺点：一些ftp server禁止这种特性