网络扫描

广播ICMP：向目标网络地址或广播地址发送回 ： 广播 显请求，以探知目标网络中存活的主机。 显请求，以探知目标网络中存活的主机。
只能用于Unix下的主机 下的主机 只能用于 容易造成DOS 容易造成
8
发现目标（ 1 发现目标（续）
非回显ICMP：利用其他类型的ICMP报文探测 ：利用其他类型的 非回显 报文探测 主机是否存活
漏洞扫描技术
1
主要内容
计算机漏洞的定义和存在的原因 网络安全扫描的3个阶段 网络安全扫描的 个阶段 常用网络扫描工具 不同扫描策略的比较
2
什么是计算机漏洞？ 什么是计算机漏洞？
安全漏洞(Security Hole)，又称脆弱性 安全漏洞 ， （Vulnerability）. ） 1996年，Matt Bishop和Dave Bailey给出了公认的 年 和 给出了公认的 计算机脆弱性的定义。 计算机脆弱性的定义。 …… 简单说，计算机漏洞是系统的一组特性， 简单说，计算机漏洞是系统的一组特性，恶意的主题 攻击者或者攻击程序）能够利用这组特性， （攻击者或者攻击程序）能够利用这组特性，通过已 授权的手段和方式获取对资源的未授权访问， 授权的手段和方式获取对资源的未授权访问，或者对 系统造成伤害。 系统造成伤害。
端口扫描（ 端口扫描（port scanning） ） 服务识别 OS探测（operating system detection） 探测（ 探测 ）
11
端口扫描
取得目标主机开放的端口和服务信息 TCP Connect()扫描：利用 提供的 扫描： 提供的connect() 扫描 利用OS提供的 系统调用，如果目标端口处于侦听状态， 系统调用，如果目标端口处于侦听状态，则 connect()成功。 成功。 成功
19
操作系统探测方法比较
方法 利用系统和服务 的Banner ICMP响 ICMP响 主 应分析 动 TCP报文 报文 特 征 响应分析 探 测 TCP报文 报文 延时分析 优点 简单、快速、 简单、快速、有效 缺点 不太可靠， 不太可靠，有的情况下无 法获得旗标信息，有时可 法获得旗标信息， 能被旗标信息欺骗 有防火墙阻塞UDP或 有防火墙阻塞UDP或 ICMP等协议时不太可靠 等协议时不太可靠
5
网络扫描的三个阶段
寻找目标主机或网络 进一步搜集目标信息，包括OS类型 类型、 进一步搜集目标信息，包括 类型、 运行的服 务以及服务软件的版本等 判断或进一步检测系统是否存在安全漏洞
6
1 发现目标
从多方面检测目标主机是否存活，通常称 从多方面检测目标主机是否存活，通常称ping扫 扫 ），即看网络上哪些主机处于存活状 射（sweep），即看网络上哪些主机处于存活状 ）， 态 主要包括：ICMP扫射，广播ICMP，非回显 主要包括： 扫射，广播 ， 扫射 ICMP，TCP扫射、UDP扫射 扫射、 ， 扫射 扫射
14
操所系统探测
目的是确定操作系统的类型，主要分两类： 目的是确定操作系统的类型，主要分两类： 利用系统旗标(banner)信息：通常被关闭或 信息： 利用系统旗标 信息 不提供该服务 利用TCP/IP堆栈指纹：不同系统或实现有不 堆栈指纹： 利用 堆栈指纹 同的特征。 同的特征。 ICMP响应技术 响应技术 TCP报文响应分析 报文响应分析 TCP报文延时分析 报文延时分析 被动特征探测
3
为什么会存在漏洞？ 为什么会存在漏洞？
软件或协议设计时的瑕疵 软件或协议实现中的弱点 软件本身的瑕疵 系统和网络的配置错误
4
公开的计算机漏洞信息
隐瞒漏洞并不能减少系统受到的危害。 隐瞒漏洞并不能减少系统受到的危害。 公开漏洞可使管理员受益，促使厂家解决问题。 公开漏洞可使管理员受益，促使厂家解决问题。 较权威的漏洞信息资源： 较权威的漏洞信息资源： CVE BugTraq ICAT CERT/CC X-Force
15
ICMP响应技术 ICMP响应技术
向目标发送UDP或ICMP报文，然后分析目标响 或 报文， 向目标发送 报文 应的ICMP报文的内容，根据不同的响应特征来 报文的内容， 应的 报文的内容 判断OS类型 判断 类型 例如：根据ICMP差错报文的“优先权”字段； 差错报文的“ 例如：根据 差错报文的 优先权”字段； 根据ICMP差错报文引用的大小；根据 差错报文引用的大小； 根据 差错报文引用的大小 根据ICMP差错 差错 报文回显完整性；根据ICMP报文头部的 报文头部的TTL字段 报文回显完整性；根据 报文头部的 字段 等。
13：时间戳请求(如: icmpenum) ：时间戳请求 如 17：地址掩码请求 ：
TCP扫射：利用TCP三次握手原理，向目标发送 扫射：利用 三次握手原理， 扫射 三次握手原理 ACK报文，如果存活，则会收到 报文， 报文 如果存活，则会收到RST报文 报文 UDP扫射：发送 扫射： 扫射 发送UDP数据报到目标网络广播地 数据报到目标网络广播地 如果收到ICMP端口不可达的错误，则目标 端口不可达的错误， 址，如果收到 端口不可达的错误 存活。 存活。
9
几种Ping扫射技术的比较 几种Ping扫射技术的比较 Ping
名称 方法 优点 缺点
速度较慢； 速度较慢；如果目标关 闭了对ICMP的响应，则 的响应， 闭了对 的响应 不能发现 不能发现win主机；若 主机； 不能发现 主机 目标关闭该响应则不能 发现；容易DOS 发现；容易 某些类型的ICMP请求在 请求在 某些类型的 探测目标时会受到影响 对入侵者而言， 对入侵者而言，防火墙 可能影响这种方法的可 靠性 可靠性低；对于非 可靠性低；对于非win 目标主机， 目标主机，速度慢
优点： 优点：系统中任何权限的用户都可使用这个调用 缺点： 缺点：速度慢
TCP SYN扫描：半开扫描，只完成 次握手过程 扫描： 扫描 半开扫描，只完成3次握手过程 的一半。 的一半。 TCP ACK扫描：用来探知防火墙过滤规则 扫描： 扫描
12
端口扫描（ 端口扫描（续）
TCP FIN扫描：基于 扫描： 的系统， 扫描 基于Unix的系统，处于侦听状态的端口收 的系统 到一个FIN报文后，不做回应；如果关闭，则响应一个RST 到一个 报文后，不做回应；如果关闭，则响应一个 报文后 报文。 系统总是响应RST报文，只适用于 报文， 报文。Win系统总是响应 系统总是响应 报文 只适用于Unix。 。 TCP XMAS扫描：向目标发送 扫描： 扫描 向目标发送URG/PSH/FIN TCP空扫描：向目标发送一个所有标记都置 的报文。 空扫描： 的报文。 空扫描 向目标发送一个所有标记都置0的报文 FTP反弹扫描：利用一台服务器探测另一台主机的端口状 反弹扫描： 反弹扫描 态 优点：难以跟踪，能穿越防火墙； 优点：难以跟踪，能穿越防火墙； 缺点： 缺点：速度慢 UDP扫描：类似 扫描： 扫射， 扫描 类似UDP扫射，用来发现目标打开的 扫射 用来发现目标打开的UDP端口 端口
17
TCP报文延时分析 TCP报文延时分析
利用TCP报文重传的特性 报文重传的特性 利用
优点： 优点：不会对目标主机造成任何不利影响 缺点：花费时间长 缺点：
例如：使用RING探测 类型 例如：使用 探测OS类型 探测
[root@localhost ring]# ./ring –d 192.168.1.128 –s 192.168.1.12 –p 111 –i eth0 3558202 6000667 11999952 242200335 OS:Linux2.4 distance:1036218
简单；速度比ICMP 简单；速度比 扫射快 不受目标阻止ICMP 不受目标阻止 回显请求的影响 最有效的目标发现方 法 不受目标阻止ICMP 不受目标阻止 回显请求的影响； 回显请求的影响；可 发送到广播地址
2 攫取信息
得到目标主机的OS信息和开放服务的信息， 得到目标主机的 信息和开放服务的信息， 信息和开放服务的信息 即主机上运行什么系统，运行哪些网络服务。 即主机上运行什么系统，运行哪些网络服务。 主要技术有： 主要技术有：
7
发现目标（ 1 发现目标（续）
ICMP扫射：利用了ICMP回显请求（利用了类 扫射：利用了 回显请求（ 扫射 回显请求 型为8的 报文），用来探知目标是否存活。 型为 的ICMP报文），用来探知目标是否存活。 报文），用来探知目标是否存活
Unix下的 下的ICMP扫射工具主要有 扫射工具主要有ping和fping 下的 扫射工具主要有 和 Windows下有 下有Pinger 下有 Namp的sp选项也提供了 的 选项也提供了ICMP扫射能力 扫射能力 选项也提供了
18
被动协议栈指纹探测
不主动向目标系统发送分组， 不主动向目标系统发送分组，而是通过嗅探目标网络的 通信，抓取从远程主机上发送的数据报，获取包括TTL， 通信，抓取从远程主机上发送的数据报，获取包括 ， 窗口大小等在内的数据报属性，构成目标系统的指纹。 窗口大小等在内的数据报属性，构成目标系统的指纹。 不容易被发现。 不容易被发现。
16来自百度文库
TCP报文响应分析 TCP报文响应分析
通过区分不同OS对特定 报文的不同反应， 通过区分不同 对特定TCP报文的不同反应，实现对 对特定 报文的不同反应 OS的区分。代表：Queso, Nmap 的区分。 的区分 代表： 例如：利用伪标记位（ ），即把 例如：利用伪标记位（BOGUS Flag），即把 ），即把SYN报文 报文 标记位的左边一位置1，然后将该非标准SYN报 的CWR标记位的左边一位置 ，然后将该非标准 标记位的左边一位置 报 文发给目标TCP端口。低于 端口。 版本的LINUX内核会 文发给目标 端口 低于2.0.35版本的 版本的 内核会 在回应包中保持这个标记。 在回应包中保持这个标记。 例如：利用TCP选项：向目标主机发送带有可选项标记 选项： 例如：利用 选项 的数据包时， 支持这些选项， 的数据包时，若OS支持这些选项，则会在返回包中也设 支持这些选项 置这些包；为增加探测的准确度， 置这些包；为增加探测的准确度，可以一次在数据包中 设置多个选项
13
服务识别
每种服务一般有对应的标准端口， 每种服务一般有对应的标准端口，但有些主机故意将某服 务开设到某非标准端口； 务开设到某非标准端口； 主动式服务器）：扫描发现192.168.1.1的 ）：扫描发现 例（主动式服务器）：扫描发现 的 TCP12345号端口开放，在RFC中没有定义该端口对应的 号端口开放， 号端口开放 中没有定义该端口对应的 服务， 服务， c:\> nc 192.168.1.1 12345 220 Micosoft FTP Service 由此可知对方在该端口上运行的是FTP服务 由此可知对方在该端口上运行的是 服务 对于非主动式服务器：不主动提供旗标信息. 对于非主动式服务器：不主动提供旗标信息 可建立服务特 征数据库，通过模仿客户端发出命令， 征数据库，通过模仿客户端发出命令，将收到的回应和数 据库中的特征相比较，从而判断服务类型。 据库中的特征相比较，从而判断服务类型。
10
回显请求 ICMP扫 使用 扫 使用ICMP回显请求 使用简单 轮询主机 射
广播 ICMP 非回显 ICMP TCP扫 扫 射 UDP扫 扫 射
发送ICMP回显请求 回显请求 发送 到目标网络地址或 广播地址 发送其他类型的 ICMP报文到目标主 报文到目标主 机 发送TCP SYN或 发送 或 TCP ACK到目标主 到目标主 机 发送UDP数据报到 数据报到 发送 目标网络广播地址 或主机
准确性较高
堆 栈 指 纹 信 息
需要打开一个TCP端口、一个 有防火墙阻挡的情况下， 端口、 需要打开一个 端口 有防火墙阻挡的情况下， 关闭的 TCP端口和一个关闭的 可能只有一个开放的 端口和一个关闭的 可能只有一个开放的TCP UDP端口，准确性高 端口， 端口 端口， 端口，这时准备确性大大 降低 至需要一个打开的TCP端口 端口 至需要一个打开的 速度慢 分析数据更加复杂