网络安全3-网络侦察技术

第3章 网络侦察技术



3.1网络扫描 3.2网络监听 3.3口令破解
第3章 第1节
扫描

扫描的定义 扫描的类型 扫描的过程 常用的扫描器 讨论：操作系统的“指纹识别” 对抗方法
第3章 第1节
扫描定义

扫描器是一种收集系统信息，自动检测远程 或本地主机安全性弱点的程序 扫描器的作用：



网络监听(嗅探)的目的是截获通信的内容 监听的手段是对协议进行分析 当黑客成功地登录进一台网络上的主机，并 取得了root权限之后，而且还想利用这台主 机去攻击同一网段上的其它主机时，这时网 络监听是一种最简单而且最有效的方法，它 常常能轻易地获得用其他方法很难获得的信 息
协议分析的工具

Wireshark ( Ethec,char **argv) { int probeport; struct hostent host; /*这里定义socket主机结构*/ int err,i,net; struct sockaddr_in sa; /*socket地址结构*/ if(argc!=2) { printf("用法：%s hostname\n",argv[0]); exit(1); }
Features •Plug-in architecture •NASL (Nessus Attack Scripting Language) •Can test an unlimited number of hosts at a same time. •Smart service recognition •Client/server architecture •Smart plug-ins •Up-to-date security vulnerability database



可以发现远程服务器是否存活; 它对外开放的各种TCP端口的分配及提供的服 务; 它所使用的软件版本(如操作系统或其他应用软 件的版本); 所存在可能被利用的系统漏洞.
第3章 第1节
扫描的类型（按照目标分类）

端口扫描：发现计算机网络的服务；

端口号和网络服务相关联。

网络扫描：发现计算机网络上存活的计算机； 漏洞扫描：发现计算机系统上的漏洞。
for(i=1;i<65535;i++) { strncpy((char *)&sa,"",sizeof(sa)); sa.sin_family=AF_INET; /*TCP/IP协议族*/ if(isdigit(*argv[1])) sa.sin_addr.s_addr=inet_addr(argv[1]); else if((host=gethostbyname(argv[1]))!=0) strncpy((char *)&sa.sin_addr, (char *)host->h_addr, sizeof(sa.sin_addr)); else { herror(argv[1]); exit(2); }
/*本次扫描的端口号*/ sa.sin_port=htons(i); /*建立一个socket套接字*/ net=socket(AF_INET,SOCK_STREAM,0); if(net<0) { perrpr("\nsocket"); exit(2); } err=connect(net,(struct sockaddr)&sa, sizeof(sa)); /*连接到本端口*/ if(err<0) { /*如果端口关闭则显示*/ printf("%s%-5d%s\r",argv[1],i, strerror(errno)); fflush(stdout); }

常用工具

IP欺骗的过程
Step 2 Victim’s Internet traffic forwarded to attacker’s system as its MAC address is associated with the Router Attacker Step 1 Attacker says that his IP is 192.168.1.21 and his MAC address is (say) ATTACKERS_MAC
网络监听

交换式网络上的嗅探器


交换以太网中，交换机能根据数据帧中的目的MAC地址 将数据帧准确地送到目的主机的端口，而不是所有的端 口。所以交换式网络环境在一定程度上能抵御Sniffer攻 击 在交换环境中，Sniffer的简单的做法就是伪装成为网关 （欺骗交换机） ARP欺骗（ARP poisoning） Etthercap（/ ARPredirect (dsniff软件的一部分)

讨论：操作系统的“指纹识别”


OS fingerprinting，是用来判断目标主机上正在运行 的操作系统类型的技术。 分类：

主动指纹识别（Active fingerprinting） 被动指纹识别（Passive fingerprinting）

参考材料：

Remote OS Detection using TCP/IP Fingerprinting (2nd Generation) （/osdetect/） Intrusion Detection FAQ: What is AMap and how does it fingerprint applications? （/resources/idfaq/amap.php）
CONNECT SCAN
/ACK
ACK
/ACK
#include<stdio.h> #include<sys/socket.h> #include<netinet/in.h> #include<errno.h> #include<netdb.h> #include<signal.h>
CONNECT扫描示例

使用被动指纹识别技术的工具
P0f Siphon ……

对抗扫描的方法



防火墙：阻止扫描数据 网络入侵检测系统：检测扫描数据 仅仅允许必须的端口开放，过滤或关闭其他端 口 管理员适当配置系统的TCP/IP协议栈的性质， 以对抗操作系统的指纹识别 使用者的安全教育
第3章 第2节
网络监听(Network sniffing)

扫描的过程
Check for live systems with a wide range of IP addresses
Check for open Ports
Fingerprint OS Draw network diagrams Of vulnerable hosts Identify vulnerabilities of the OS: Bypass proxies Surf anonymously

主动指纹识别

It is based on the fact that various OS vendors implement the TCP stack differently Specially crafted packets are sent to the remote OS and the response is noted The responses are then compared to a database to determine the OS
else { /*开放的端口显示*/ printf("%s%-5d accepted.\n", argv[1],i); if(shutdown(net,2)<0) { perror("\nshutdown"); exit(2); } } close(net); /*关闭连接*/
} printf("\r"); fflush(stdout); return(0);
}
第3章 第1节
漏洞扫描



漏洞扫描是指使用漏洞扫描程序对目标系统 进行信息查询 漏洞扫描器是一种自动检测远程或本地主机 安全性弱点的程序 外部扫描 与 内部扫描
第3章 第1节
常用的扫描器

Nmap


UDP、TCP connect、TCP SYN（半开）、ftp proxy（跳跃攻击）、Reverse-ident、 ICMP(ping)、FIN、ACK sweep、Xmas Tree、 SYN sweep和NULL扫描 通过TCP/IP来鉴别操作系统类型、秘密扫描、 动态延迟和重发、平行扫描、通过并行的Ping 侦测下属的主机、欺骗扫描、端口过滤探测、 直接的RPC扫描、分布扫描、灵活目标选择以 及端口的描述
网络安全
西南科技大学 计算机科学与技术学院
第2章回顾

攻击事件 攻击的目的 攻击的步骤
第3章 网络侦察技术

本章介绍常见的网络侦察技术，包括网络扫描、 网络监听和口令破解三个部分。网络扫描重点 介绍三种扫描类型以及常用的扫描器；网络监 听重点介绍对以太网的监听和嗅探器；口令破 解重点介绍口令破解器、字典文件以及 Windows 2000和Unix口令破解所涉及的问题。

使用主动指纹识别技术的工具
XPROBE2 RING V2 Nmap ……


被动指纹识别


Also based on the differential implantation of the stack and the various ways an OS responds to it. It uses sniffing techniques instead of scanning techniques. It is less accurate than active fingerprinting.
端口扫描


端口的类型(由Internet Assigned Numbers Authority分配) 熟知端口 ( 0～1023 )：分配给常用的网络服务 注册端口 ( 1024～49151 ) ：分配给其他网络服务 私有（动态）端口 ( 49152～65535 )：客户端临时端口 方法 基本扫描 Connect，SYN，FIN，Xmas树，空扫描 ，ACK，Windows， RPC，UDP 参考：Nmap的文档“Port Scanning Techniques”(/man/man-port-scanningtechniques.html) 高级扫描 Ident ，FTP Bounce



图形化的网络数 据嗅探和分析工 具 支持离线数据分 析 显示过滤器方便 对制订数据进行 嗅探和分析
第3章 第2节
网络监听

以太网的监听

共享以太网

unicast，broadcast，multicast，promiscuous

Sniffer

第3章 第2节
第3章 第1节

X-scan


提供了图形界面和命令行两种操作方式 远程操作系统类型及版本、标准端口状态及端 口banner信息、CGI漏洞、RPC漏洞、SQLSERVER默认帐户、弱口令，NT主机共享信息、 用户信息、组信息、NT主机弱口令用户
Retina SAINT HPING2 Firewalk NIKTO GFI LANGUARD ISS Security Scanner Netcraft ……
第3章 第1节

Nmap举例
例1：Nmap –f 说明：对以细小的IP碎片包实现SYN、FIN、 XMAS或NULL扫描请求。
例子2：
第3章 第1节

Nessus(漏洞扫描器)


Nessus是图形化的界 面，使得它使用起来 相当简便，它还对扫 描出的漏洞给出详细 的利用方法和补救方 法。所以，Nessus是 攻击者和网管都应该 学会使用的漏洞检查 利器