第3章 网络扫描
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3.1 目的
判断目标主机开启了哪些端口及其对应的服务 确定目标系统正在运行的TCP/UDP服务
在扫描时希望隐藏自己
3.2 扫描基础
TCP数据报首部标志域 TCP连接的建立过程 TCP连接的释放过程 TCP/IP实现遵循的原则
TCP数据报首部标志域(1)
6个比特标志位 SYN
4. 推荐安全站点
安全焦点 绿盟科技 中华网络安全联盟 中国黑客入侵组 中国黑客联盟 黑客基地 黑客防线
浪客联盟
红客联盟 剑鹰网络安全小组 中国X黑客小组
TCP/IP实现遵循的原则
原则3:
当一个ACK数据包到达一个监听的端口,服务器会丢弃这个 数据包,并回应一个RST数据包。
TCP/IP实现遵循的原则
原则4:
当一个FIN数据包到达一个监听端口时,数据包将会被丢弃。
3.3 端口扫描分类技术
端口扫描分类 扫描技术分析
扫描分类
开放扫描
半开放扫描
功能 NMAP是探测网络主机和开放服务的佼佼者。是 Linux下使用者的最爱,现在已经有Windows的版 本。NMAP支持多种协议的扫描如UDP,TCP connect,TCP SYN, ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和Null扫描。 还提供一些实用功能,比如通过tcp/ip来甄别操作 系统类型;秘密扫描、动态延迟和重发;欺骗扫 描、端口过滤探测、分布扫描等。
扫描技术分析
常规扫描技术
调用connect函数直接连接被扫描端口 无须任何特殊权限 速度较慢,易被记录
高级扫描技术
利用探测数据包的返回信息(例如RST)来进
行间接扫描 较为隐蔽,不易被日志记录或防火墙发现
完全连接扫描(TCP connect扫描)
ClientSYN ServerSYN/ACK
用来建立连接,同步双方的序列号。
& ACK=0, 连接请求包 SYN=1 & ACK=1, 接受请求
SYN=1
FIN
释放连接包
RST
复位一个连接 如果收到一个分段不属于该主机的任何一个连接,发
送RST包
TCP数据报首部标志域(2)
URG
紧急数据。表示数据包中包含紧急数据。
-sT TCP Connect()扫描 这是对TCP的最基本形式的侦测。对目标主机端口进行试 探,如果该端口开放,则连接成功,否则代表这个端口没 有开放。 -sS TCP SYN扫描 就是我们介绍的‘半开’式的扫描,速度会比connect扫 描快。 -sF -sX –sN Stealth FIN,Xmas Tree 或者Null扫描模式。 -sP Ping扫描 对指定的IP发送ICMP,如果对方屏蔽了echo request, nmap还能发送一个TCP ack包到80端口探测。 -sU UDP扫描 确定某个UDP端口是否打开。
xscan
选择‘无条件扫描’,才可以突破防火墙屏蔽ping,进行端口扫描。
Superscan——速度之王
MS06040Scanner——专用的漏洞 扫描器
用于检测目标系统是否存在MS06040漏洞。
MS06040Scanner的工作原理是首先是通过 端口扫描和操作系统扫描获取操作系统类 型和开放的端口,如果是windows2000系 统,开放了TCP 139 或者TCP 445端口, 并且返回的数据包跟漏洞库里的定义相匹 配,则说明该主机可能可能存在MS06040 漏洞,我们就可以使用MS06040漏洞利用 程序对其进行远程溢出攻击。
隐蔽扫描:FIN
ClientFIN ServerRST 未监听端口
ClientFIN Server-在监听端口
3.4 端口扫描工具
Nmap Xscan SuperScan Shadow Security Scanner MS06040Scanner
Nmap——探测工具王
发SYN
如果收到RST,说明端口关闭
如果收到SYN
ACK,说明端口开放,发送RST
优点
应用程序日志没有记录
缺点
复杂,需要自己构造数据包 很多系统要超级用户才能进行 容易被发现
隐蔽扫描:ACK
ClientACK
ClientACK
ServerRST
端口开放
Server-端口关闭
6 SC ACK SEQ=335 ACK=120 Data 15bytes
TCP/IP实现遵循的原则
原则1:
当一个SYN或者FIN数据包到达一个关闭了的端口,服务器丢 弃该数据包,并返回一个RST数据包;
TCP/IP实现遵循的原则
原则2:
当一个RST数据包到达一个监听端口或者关闭的端口,RST 数据包都会被服务器丢弃。
TCP连接的建立过程
TCP连接的释放过程
1 CS SYN SEQ=104 ACK=0
2 SC SYN ACK SEQ=319 ACK=105
3 CS ACK SEQ=105 ACK=320
4 SC PSH ACK SEQ=320 ACK=105 Data 15bytes
ຫໍສະໝຸດ Baidu
5
CS PSH ACK SEQ=105 ACK=335 Data 15bytes
第三章 网络扫描
主机发现技术
主机发现技术主要分三种: ping扫描 ARP扫描 端口扫描
1.Ping 扫描
确定哪些机器是up的 2种方式
ICMP
类似于ping,发送icmp消息给目标,看是否有返回
TCP
ping
给目标特定的tcp端口(如常用的80)发送ack消息, 如果返回rst,说明机器up。常用的tracetcp。
ACK
确认标志位。表示数据包中的确认号有效。
PSH
PUSH,如果为1,接受端应尽快把数据传送给
应用层。
TCP 可靠性
通过校验和、定时器、数据序号、应答号 来实现数据的可靠传输
TCP中的序列号
为每个发送的字节分配一个序号,用来保 证数据的顺序,剔除重复的数据 一个TCP连接包含两个流(分别代表每个 方向的数据) 建立连接时流的发送方选择一个初始序号 ISN(initial sequence number) ISN必须随机选取才安全
ClientSYN ServerRST/ACK
ClientACK
端口开放
ClientRST
端口关闭
TCP connect扫描
直接用connect连接对方的端口
连接成功,说明对方端口是开放的
优点
简单,不需要特权用户
缺点
容易被察觉 在应用日志中会有记录下来一些没有任何动作
的连接
半连接SYN扫描(TCP SYN扫描)
利用TCP三次握手的第一次进行扫描。
SYN
扫 描 器
SYN+ACK握手 SYN RST 重置 SYN
开放的端口
不提供服务的端口
被 扫 描 主 机
防火墙过滤的端口
没有回应或者其他
TCP SYN扫描
Half open scan 在3次握手完成前终止连接 方法
隐蔽扫描
扫射扫描
其它扫描
TCP全连接 TCP反向 ident扫描
SYN扫描 IP头信息 dumb扫描
FIN扫描
ping扫射
FTP弹跳 UDP/ICMP 不可达 UDPrecvfrom /write扫描
ACK扫描
UDP扫射
空扫描 XMAS扫描 TCP分段
ACK扫射 SYN扫射 ICMP扫射
SYN/ACK扫描
2. ARP扫描
ARP(Address Resolution Protocol)即地址解 析协议,它是用于局域网内的物理地址。ARP扫 描是指通过向目标主机发送ARP请求(查询目标 主机的物理地址),如果目标主机回应一个ARP 响应报文,则说明它是存活的。下面是ARP扫描 的示意图:
3. 端口扫描
判断目标主机开启了哪些端口及其对应的服务 确定目标系统正在运行的TCP/UDP服务
在扫描时希望隐藏自己
3.2 扫描基础
TCP数据报首部标志域 TCP连接的建立过程 TCP连接的释放过程 TCP/IP实现遵循的原则
TCP数据报首部标志域(1)
6个比特标志位 SYN
4. 推荐安全站点
安全焦点 绿盟科技 中华网络安全联盟 中国黑客入侵组 中国黑客联盟 黑客基地 黑客防线
浪客联盟
红客联盟 剑鹰网络安全小组 中国X黑客小组
TCP/IP实现遵循的原则
原则3:
当一个ACK数据包到达一个监听的端口,服务器会丢弃这个 数据包,并回应一个RST数据包。
TCP/IP实现遵循的原则
原则4:
当一个FIN数据包到达一个监听端口时,数据包将会被丢弃。
3.3 端口扫描分类技术
端口扫描分类 扫描技术分析
扫描分类
开放扫描
半开放扫描
功能 NMAP是探测网络主机和开放服务的佼佼者。是 Linux下使用者的最爱,现在已经有Windows的版 本。NMAP支持多种协议的扫描如UDP,TCP connect,TCP SYN, ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和Null扫描。 还提供一些实用功能,比如通过tcp/ip来甄别操作 系统类型;秘密扫描、动态延迟和重发;欺骗扫 描、端口过滤探测、分布扫描等。
扫描技术分析
常规扫描技术
调用connect函数直接连接被扫描端口 无须任何特殊权限 速度较慢,易被记录
高级扫描技术
利用探测数据包的返回信息(例如RST)来进
行间接扫描 较为隐蔽,不易被日志记录或防火墙发现
完全连接扫描(TCP connect扫描)
ClientSYN ServerSYN/ACK
用来建立连接,同步双方的序列号。
& ACK=0, 连接请求包 SYN=1 & ACK=1, 接受请求
SYN=1
FIN
释放连接包
RST
复位一个连接 如果收到一个分段不属于该主机的任何一个连接,发
送RST包
TCP数据报首部标志域(2)
URG
紧急数据。表示数据包中包含紧急数据。
-sT TCP Connect()扫描 这是对TCP的最基本形式的侦测。对目标主机端口进行试 探,如果该端口开放,则连接成功,否则代表这个端口没 有开放。 -sS TCP SYN扫描 就是我们介绍的‘半开’式的扫描,速度会比connect扫 描快。 -sF -sX –sN Stealth FIN,Xmas Tree 或者Null扫描模式。 -sP Ping扫描 对指定的IP发送ICMP,如果对方屏蔽了echo request, nmap还能发送一个TCP ack包到80端口探测。 -sU UDP扫描 确定某个UDP端口是否打开。
xscan
选择‘无条件扫描’,才可以突破防火墙屏蔽ping,进行端口扫描。
Superscan——速度之王
MS06040Scanner——专用的漏洞 扫描器
用于检测目标系统是否存在MS06040漏洞。
MS06040Scanner的工作原理是首先是通过 端口扫描和操作系统扫描获取操作系统类 型和开放的端口,如果是windows2000系 统,开放了TCP 139 或者TCP 445端口, 并且返回的数据包跟漏洞库里的定义相匹 配,则说明该主机可能可能存在MS06040 漏洞,我们就可以使用MS06040漏洞利用 程序对其进行远程溢出攻击。
隐蔽扫描:FIN
ClientFIN ServerRST 未监听端口
ClientFIN Server-在监听端口
3.4 端口扫描工具
Nmap Xscan SuperScan Shadow Security Scanner MS06040Scanner
Nmap——探测工具王
发SYN
如果收到RST,说明端口关闭
如果收到SYN
ACK,说明端口开放,发送RST
优点
应用程序日志没有记录
缺点
复杂,需要自己构造数据包 很多系统要超级用户才能进行 容易被发现
隐蔽扫描:ACK
ClientACK
ClientACK
ServerRST
端口开放
Server-端口关闭
6 SC ACK SEQ=335 ACK=120 Data 15bytes
TCP/IP实现遵循的原则
原则1:
当一个SYN或者FIN数据包到达一个关闭了的端口,服务器丢 弃该数据包,并返回一个RST数据包;
TCP/IP实现遵循的原则
原则2:
当一个RST数据包到达一个监听端口或者关闭的端口,RST 数据包都会被服务器丢弃。
TCP连接的建立过程
TCP连接的释放过程
1 CS SYN SEQ=104 ACK=0
2 SC SYN ACK SEQ=319 ACK=105
3 CS ACK SEQ=105 ACK=320
4 SC PSH ACK SEQ=320 ACK=105 Data 15bytes
ຫໍສະໝຸດ Baidu
5
CS PSH ACK SEQ=105 ACK=335 Data 15bytes
第三章 网络扫描
主机发现技术
主机发现技术主要分三种: ping扫描 ARP扫描 端口扫描
1.Ping 扫描
确定哪些机器是up的 2种方式
ICMP
类似于ping,发送icmp消息给目标,看是否有返回
TCP
ping
给目标特定的tcp端口(如常用的80)发送ack消息, 如果返回rst,说明机器up。常用的tracetcp。
ACK
确认标志位。表示数据包中的确认号有效。
PSH
PUSH,如果为1,接受端应尽快把数据传送给
应用层。
TCP 可靠性
通过校验和、定时器、数据序号、应答号 来实现数据的可靠传输
TCP中的序列号
为每个发送的字节分配一个序号,用来保 证数据的顺序,剔除重复的数据 一个TCP连接包含两个流(分别代表每个 方向的数据) 建立连接时流的发送方选择一个初始序号 ISN(initial sequence number) ISN必须随机选取才安全
ClientSYN ServerRST/ACK
ClientACK
端口开放
ClientRST
端口关闭
TCP connect扫描
直接用connect连接对方的端口
连接成功,说明对方端口是开放的
优点
简单,不需要特权用户
缺点
容易被察觉 在应用日志中会有记录下来一些没有任何动作
的连接
半连接SYN扫描(TCP SYN扫描)
利用TCP三次握手的第一次进行扫描。
SYN
扫 描 器
SYN+ACK握手 SYN RST 重置 SYN
开放的端口
不提供服务的端口
被 扫 描 主 机
防火墙过滤的端口
没有回应或者其他
TCP SYN扫描
Half open scan 在3次握手完成前终止连接 方法
隐蔽扫描
扫射扫描
其它扫描
TCP全连接 TCP反向 ident扫描
SYN扫描 IP头信息 dumb扫描
FIN扫描
ping扫射
FTP弹跳 UDP/ICMP 不可达 UDPrecvfrom /write扫描
ACK扫描
UDP扫射
空扫描 XMAS扫描 TCP分段
ACK扫射 SYN扫射 ICMP扫射
SYN/ACK扫描
2. ARP扫描
ARP(Address Resolution Protocol)即地址解 析协议,它是用于局域网内的物理地址。ARP扫 描是指通过向目标主机发送ARP请求(查询目标 主机的物理地址),如果目标主机回应一个ARP 响应报文,则说明它是存活的。下面是ARP扫描 的示意图:
3. 端口扫描