網絡安全概述

1、網絡安全網絡安全cici_課程安排課程安排周數：1-15周 課時：75課時考試方式：閉卷成績： 平時成績40%+考試成績60%課程安排課程安排平時成績40分： 考勤10分：第1次缺課扣2分；第2次扣2分，3次扣2分，3次以上考勤成績0分； 作業(yè)10分：三次不交此項為0分； 期中測評15分； 課堂表現5分。第 5 章漏洞掃描5.1 計算機漏洞5.2 實施網絡掃描5.3 常用的網絡掃描工具5.4 不同的掃描策略目目 錄錄5.1.1 計算機漏洞的概念 “漏洞”指的是計算機系統(tǒng)具有的某種的可能被侵入者惡意利用的屬性。在計算機安全領域，安全漏洞通常又稱為脆弱性。 簡單的說，計算機漏洞使系統(tǒng)的一組特性，惡

2、意的主體能夠利用這組特性，通過已授權的手段和方式獲取對資源的未授權訪問，或者對系統(tǒng)造成損害。 此處的漏洞包括單個計算機系統(tǒng)的脆弱性，也包括計算機網絡系統(tǒng)的漏洞。5.1計算機漏洞5.1.2 公開的計算機漏洞信息 1.通用漏洞和曝光（CVE） 是一個公共安全漏洞和曝光信息的標準化名字列表。致力于為所有公開的漏洞和安全曝光名稱標準化的工作。CVE不是一個數據庫而是一個字典，目的是使不同的漏洞數據庫共享數據和搜索信息變得更容易。5.1計算機漏洞5.1.3 公開的計算機漏洞信息 2.BugTrap漏洞數據庫 由SecurityFocus公司維護的一個關于計算機安全漏洞詳情信息討論的郵件列表，討論內容包括

3、漏洞的描述、漏洞的滲透方法及漏洞的修補方法等。5.1計算機漏洞5.1.3 公開的計算機漏洞信息 3.ICAT漏洞數據庫 由美國標準技術研究所NIST維護的的一個CVE兼容的漏洞信息檢索索引。ICAT也提供下載的Microsoft Access格式的數據庫文件。每條漏洞記錄的信息包括漏洞的CVE名字、發(fā)布時間、描述、危險等級、漏洞類型、實施范圍、受影響系統(tǒng)和參考鏈接等。5.1計算機漏洞5.1.3 公開的計算機漏洞信息 4.CERT/CC 漏洞信息數據庫 也是一個CVE兼容的數據庫。可以通過名字、ID號、CVE名字、公布日期、更新日期和嚴重性等方法索引漏洞信息。5.1計算機漏洞5.1.3 公開的計

4、算機漏洞信息 5.X-Force數據庫 由ISS公司維護，是一個比較全面的漏洞信息數據庫。可以在web頁面上使用關鍵字對數據庫進行檢索，檢索到的漏洞記錄包括漏洞描述、受影響平臺、補救措施、風險等級、影響結果、報告時間和參考鏈接等信息。5.1計算機漏洞一次完整的網絡掃描分為下面三個階段：1）發(fā)現目標主機或者網絡2）發(fā)現目標后進一步搜集目標信息，包括操作系統(tǒng)類型、運行的服務及服務軟件的版本等。3）根據搜集到的信息判斷或者進一步檢測系統(tǒng)是否存在安全漏洞。5.2 實施網絡掃描5.2 實施網絡掃描5.2 實施網絡掃描1. TCP/IP1. TCP/IP協(xié)議層次和協(xié)議集協(xié)議層次和協(xié)議集（1）網絡接口層網絡

5、接口層(SubNetwork Layer)TCP/IP協(xié)議的網絡接口層與OSI協(xié)議的物理層、數據鏈路層以及網絡層的部分相對應。該層沒有規(guī)定新的物理層和數據鏈路層協(xié)議，允許通信子網采用已有的或將來的各種協(xié)議，例如以太網的802.3協(xié)議，分組交換網的X.25協(xié)議等。該層只定義了TCP/IP與各種通信子網之間的網絡接口。網絡接口層的功能是傳輸經網絡層處理過的消息。5.2 實施網絡掃描1. TCP/IP1. TCP/IP協(xié)議層次和協(xié)議集協(xié)議層次和協(xié)議集（2）網絡層網絡層(Internet Layer)該層與OSI網絡層相對應，由于它是針對網際環(huán)境設計的，具有更強的網際通信能力。網絡層協(xié)議為IP協(xié)議。它

6、將傳輸層送來的消息組裝成IP數據包，并且把IP數據包傳遞給網絡接口層。IP提供端到端分組發(fā)送功能，標識網絡號及主機節(jié)點地址的功能，為使IP數據包長度與通信子網允許的數據包長度匹配，提供了數據分段和重新組裝的功能。該層還提供建立獨立的局域網之間的互連網絡。在互連網絡中，連接兩個以上網絡的節(jié)點稱為路由器(網關)，其允許網間的報文根據它的目的地址通過路由器傳送到另一個網絡。5.2 實施網絡掃描（3）傳輸層傳輸層(Transport Layer) 該層與OSI傳輸層相對應，為應用程序提供端到端通信功能。傳輸層有3個主要協(xié)議，其分別為傳輸控制協(xié)議TCP，用戶數據報協(xié)議UDP和互聯網控制消息協(xié)議ICMP。

7、TCP協(xié)議負責將用戶數據按規(guī)定長度組成數據包發(fā)送，在接收端對數據包按順序進行分解重組以恢復用戶數據。TCP協(xié)議是以建立高可靠性信息傳輸為目的，為了可靠傳輸數據，該協(xié)議具有數據包的順序控制、差錯檢測、檢驗以及再發(fā)送控制等功能。5.2 實施網絡掃描 UDP協(xié)議負責主機和網關以及Internet運行管理中心等的信息通信，控制管理網絡的運行。ICMP協(xié)議負責當數據包傳輸有誤時，發(fā)送出錯信息給數據包發(fā)送端主機，另外還具有控制數據包流量的功能。(4)應用層應用層(Application Layer)該層包含了OSI會話層，表示層和應用層的功能，為用戶提供各類服務。例如，遠程登陸、文件傳輸、電子郵件、Web

8、服務器等。5.2 實施網絡掃描5.2.1 發(fā)現目標 通常稱為ping掃射，包括ICMP掃射、廣播ICMP、非回顯ICMP、TCP掃射、UDP掃射。ICMP掃射 ICMP是IP層的一個組成部分，用來傳遞差錯報文和其他需要注意的信息。經常用到ping命令就是使用的ICMP。ICMP報文在IP數據報內部傳輸的，如圖5-1所示圖5-1 ICMP報文封裝在IP數據報內 5.2 實施網絡掃描5-2 ICMP報文格式ICMP掃射利用了類型為8的ICMP報文，即ICMP回顯請求。通常網絡上受到ICMP回顯請求的主機都回向請求者發(fā)送ICMP回顯應答（類型為0）報文。5.2 實施網絡掃描ICMP報文格式如圖5-2

9、所示。報文的前兩個字節(jié)決定了報文的類型。第3個和第4個字節(jié)是ICMP報文的校驗和字段。ICMP掃射工具比較多。UNIX環(huán)境中主要有ping和fping，gping。ping：ping命令是第一個必須掌握的DOS命令，它所利用的原理是這樣的：利用網絡上機器IP地址的唯一性，給目標IP地址發(fā)送一個數據包，再要求對方返回一個同樣大小的數據包來確定兩臺網絡機器是否連接相通，時延是多少。5.2 實施網絡掃描fping：掃射多個IP地址時，速度明顯超過ping的速度。gping：與fping一同使用，為fping聲稱掃射的IP地址列表。5.2 實施網絡掃描廣播ICMP與ICMP掃射一樣，廣播ICMP也是利

10、用了ICMP回顯應答這兩種報文。與前者不同的是，廣播的ICMP只需要向目標網絡的網絡地址和/或廣播地址發(fā)送一兩個回顯請求，就能夠收到目標網絡中所有存活主機的ICMP回顯應答。eg.網絡/24中有4臺活動主機，期中和運行的是Linux，和19運行的是Windos 操作系統(tǒng)5.2 實施網絡掃描rootlocalhost root#ping -bWARNING: pinging broadcast addressPING ()

11、 from :56(84) bytes of data.64 bytes from :icmp_seq=1 ttl=255 time=0.36ms64 bytes from :icmp_seq=2 ttl=255 time=0.565ms64 bytes from :icmp_seq=3 ttl=255 time=0.164ms(dup!)64 bytes from :icmp_seq=4 ttl=255 time=0.246ms(dup!)5.2 實施網絡掃描3.非回顯ICMP 如果

12、目標主機阻塞了ICMP回顯請求報文，仍然可以通過使用其他類型的ICMP報文探測目標主機是否存活。 eg：類型13的ICMP報文， ICMP時間戳請求允許系統(tǒng)向另一個系統(tǒng)查詢當前時間； 類型17的ICMP報文，ICMP地址掩碼請求用于無盤系統(tǒng)引導過程中獲得自己的子網掩碼。5.2 實施網絡掃描下面的一個例子使用一個叫icmpenum的工具對目標進行ICMP時間戳請求探測。rootlocalhost root#icmpenum-i2-c is up is up is up is up5.2

13、 實施網絡掃描對于ICMP地址掩碼請求報文而言，雖然RFC1122規(guī)定，除非是地址掩碼的授權代理，否則一個系統(tǒng)不能發(fā)送地址掩碼應答（為了成為授權代理，必須進行特殊配置）。但是，大多主機在收到請求時都會發(fā)送一個應答，甚至有些主機還回發(fā)送差錯的應答。所以也可以使用類型17的ICMP報文來探測主機是都存活。TCP掃射5.2 實施網絡掃描5-3 TCP報文封裝在IP數據報中TCP掃射傳輸控制協(xié)議（transmission control protocol,TCP）為應用層提供一種面向連接的、可靠地字節(jié)流服務。與ICMP報文一樣，TCP報文也是封裝在一個IP數據報中。它使用“3次握手”的方式建立連接。5

14、.2 實施網絡掃描TCP掃射5.2 實施網絡掃描基本原理：如果向目標發(fā)送一個SYN報文，則無論是收到SYN/ACK報文還是一個RST報文，都表明目標處于存活狀態(tài)。與此類似，也可以向目標發(fā)送一個ACK報文，如果目標存活，則收到一個RST報文。TCP掃描看起來比用ICMP協(xié)議進行探測更加有效。但是TCP掃射也不是百分百可靠，有的防火墻能夠偽造RST報文，從而造成防火墻后的某個主機存活的假象。5.2 實施網絡掃描UDP掃射用戶數據報協(xié)議（user datagram protocol,UDP）是一個面向數據報的傳輸層協(xié)議。UDP數據報也封裝在IP數據報之中，如圖5-4。5.2 實施網絡掃描5-4 UD

15、P數據報封裝在IP數據報中5.UDP掃射用戶數據報協(xié)議（user datagram protocol,UDP）的規(guī)則之一是如果接收到一份目的端口并沒有處于偵聽狀態(tài)的數據報，則發(fā)送一個ICMP端口不可到達報文；否則不做任何響應。5.2 實施網絡掃描5.2 實施網絡掃描5.2 實施網絡掃描.2攫取信息攫取信息廣義上講，在入侵系統(tǒng)之前所做的一切工作都可以為成為信息，包括踩點、掃描、查點。因為這些工作走勢在搜索著這樣或那樣的信息。本小節(jié)主要講的主要是掃描階段攫取的技術和方法。在找出網絡上存活的系統(tǒng)之后，下一步就是要得到主機的操作系統(tǒng)信息和開放的服務信息。用到的技術主要有端口掃描（por

16、t scanning）、服務識別和操作系統(tǒng)探測（Operating System Detection）。3. 操作系統(tǒng)探測.2攫取信息攫取信息端口掃描端口掃描主要取得目標主機開放的端口和服務信息，從而為下一步的“漏洞檢測”做準備。（1）TCP connect（）掃描基本方法：是TCP connect（）掃描。他利用操作系統(tǒng)提供的connect（）系統(tǒng)調用，與每一個感興趣的目標計算機的端口進行連接。如果目標端口處于偵聽狀態(tài)，那么connet()就能成功；否則端口是不能用的，即沒有提供服務。優(yōu)點：不需要任何特殊權限，系統(tǒng)中的任何用戶都有權利使用這個調用; 缺點：容易被過濾或記錄。對

17、于安全管理員而言，使用此方法的唯一缺點是速度慢。3. 操作系統(tǒng)探測.2攫取信息攫取信息3. 操作系統(tǒng)探測（2）TCP SYN掃描 又稱“半開掃描”。TCP掃射時結識解釋了建立TCP連接的“3次握手”過程。 TCP SYN掃描只完成了3次握手過程的一半。當時我們只是說如果向目標特定端口發(fā)送一個SYN報文，只要接收到來自目標的響應就表明目標處于存活狀態(tài)。但可以很容易看出，只要再一下收到的響應是SYN/ACK報文還是RST報文，便可知目標的響應端口是處于偵聽狀態(tài)還是關閉狀態(tài)。（3）TCP ACK掃描 不適用于掃描目標打開了哪些端口，而用來探測防火墻的規(guī)則設計，從而確定防火墻是簡單地包

18、過濾還是狀態(tài)監(jiān)測機制。.2攫取信息攫取信息3. 操作系統(tǒng)探測（4）TCP Fin掃描如果處于偵聽狀態(tài)的端口接收到一個FIN報文，則不做任何回應；如果處于關閉狀態(tài)的端口接收到一個FIN報文，則響應一個RST報文。據此，可以用FIN報文來探測目標打開了那些端口。通常只工作在基于UNIX的TCP/IP協(xié)議棧上。（5）TCP Xmas掃描向目標發(fā)送一個URG/PSH/FIN報文，如果目標相應端口打開，則不會收到來自目標的任何回應；否則會受到一個RST報文。(6)TCP空掃描向目標發(fā)送一個所有標記位都置0的報文，如果目標響應端口打開，則不會收到來自目標的任何回應；否則收到一個RST報文。

19、(7)FTP反彈掃描FTP協(xié)議的一個特點是它支持代理FTP連接。即入侵者可以將自己的計算機和目標主機的FTP服務器建立一個控制通信連接。(8) UDP掃描這里的與前的UDP掃射原理完全不一樣，這里強調另一個作用，發(fā)現目標打開的UDP端口。3. 操作系統(tǒng)探測.2攫取信息攫取信息2. 服務識別3. 操作系統(tǒng)探測圖5-5識別服務類型.2攫取信息攫取信息2. 服務識別 端口掃描的目的是為了獲得目標主機提供的服務，而通常獲取服務類型的辦法是根據RFC1700直接推斷。但是下面幾種情況可能會使這項工作變得稍微有些麻煩：該主機將某服務故意開設了非標準端口；該主機開設了一個RF

20、C1700中未定義的服務；該主機被安置了后門程序。 所以有時候僅憑端口號來判斷服務類型是不夠的，可能需要更多的信息。.2攫取信息攫取信息3. 操作系統(tǒng)探測由于許多漏洞是和操作系統(tǒng)緊密相關的，因此，確定操作系統(tǒng)類型對于脆弱性評估工具而言也十分重要。目前用于探測操作系統(tǒng)的方法主要可以分為兩類：利用系統(tǒng)旗標信息和利用TCP/IP堆棧指紋。而后者又有多種不同的實現方法。利用系統(tǒng)旗標信息是最原始的探測方法。然而它至今仍然被包括ISS在內的許多網絡安全掃描工具使用，因為在大多數情況下，操作系統(tǒng)的多種服務都會暴露其“身份”，例如Telnet、WWW、FTP、SMTP等。同時，這種方法實現起來

21、也特別簡單。但是在很多情況下，管理員出于安全考慮都會修改或者關閉旗標信息，或者目標機器并不提供有旗標信息的服務，在這樣的情況下，這種方法就不能發(fā)揮作用了。.2攫取信息攫取信息3. 操作系統(tǒng)探測利用TCP/IP堆棧指紋識別操作系統(tǒng)是近年來發(fā)展迅速的一類技術。這類技術的出現主要基于以下幾個原因： 每個操作系統(tǒng)通常都使用自己的IP棧實現； TCP/IP規(guī)范并不是被嚴格地執(zhí)行，每個不同的實現將會擁有自己的特點； 規(guī)范中一些選擇性的特性可能在某些系統(tǒng)中使用，而在其他的一些系統(tǒng)中則沒有使用； 某些系統(tǒng)私自對IP協(xié)議做了改進。目前主要的網絡堆棧特征探測技術有如下幾種：ICMP響應分析、TCP

22、報文響應分析、TCP報文延時分析、被動特征探測。.2攫取信息攫取信息（1） ICMP響應分析這種方法向目標發(fā)送UDP或者ICMP報文，然后分析目標響應的ICMP報文的內容，根據不同的響應特征來判斷操作系統(tǒng)。前面已經介紹過，ICMP數據報是封裝在IP數據報之內的，而且這種判斷操作系統(tǒng)的方法也利用了IP頭部的字段內容，所以在具體說明這種方法使用的技術之前，有必要先熟悉一下IP數據報的頭部。其中需要注意的是服務級別TOS、總長度、標識、DF位、生存期TTL和校驗和字段。.2攫取信息攫取信息下面分別說明ICMP響應分析方法使用的具體技術。 ICMP差錯報文引用大小。IC

23、MP的規(guī)則之一是ICMP差錯報文必須包括生成該差錯報文的數據報IP頭部（包含任何選項），還必須至少包括跟在該IP頭部后面的前8個字節(jié)。圖顯示了由UDP數據報引起的ICMP端口不可到達差錯報文。圖 “UDP端口不可到達”差錯報文3. 操作系統(tǒng)探測.2攫取信息攫取信息 導致差錯的數據報中的IP頭部要被送回的原因是IP頭部中包含了協(xié)議字段，使得ICMP可以知道如何解釋后面的8個字節(jié)（在圖12.6中是UDP頭部）。大多數操作系統(tǒng)都只返回產生差錯的數據報的IP頭部后的前8個字節(jié)，然而有一些操作系統(tǒng)在這8個字節(jié)之后還返回更多的字節(jié)（這些字節(jié)通常是沒有任何意義的）。 這樣的系統(tǒng)包括Linux

24、（內核2.0.x/2.2.x/2.4.x）、SUN Solaris、HPUX 11.x、MacOS 7.55/8.x/9.04、Nokia系統(tǒng)、Foundry交換機和其他一些操作系統(tǒng)或者網絡設備。.2攫取信息攫取信息 ICMP差錯報文回顯完整性。一般而言，在發(fā)送ICMP差錯報文時，差錯報文的數據部分，只有產生差錯的數據報IP頭部的TTL字段和IP頭部校驗和字段會與初始報文不同，因為初始報文到達目標之前會經過一系列的路由設備，而每經過一個設備TTL都會減一，相應的校驗和也要重新計算。然而實際情況是，有些操作系統(tǒng)會改變產生差錯的數據報IP頭部的其他字段的內容和/或后面數據的內容。如

25、果用UDP數據報產生的端口不可到達差錯報文來進行分析，可以利用的特點包括下面一些內容：IP數據報總長度AIX 4.x和BSDI 4.1等操作系統(tǒng)的IP棧會將產生差錯的數據報IP頭部的總長度字段加上20，而另一些系統(tǒng)會將這個字段的數值減少20，更多的系統(tǒng)會保持這個字段的內容不變。.2攫取信息攫取信息 IP數據報標識（IPID）FreeBSD 4.0、OpenVMSs和ULTRIX等系統(tǒng)的IP棧不能正確回顯產生差錯數據報的IPID，它們回顯的IPID的位順序和初始順序不同。其他更多的系統(tǒng)則能夠正確回顯IPID字段。分段標志（3位）和片偏移有一些系統(tǒng)會改變產生差錯的數據報頭部中3位分

26、段標志和片偏移字段的位順序，而另一些系統(tǒng)只能正確回顯。IP頭部校驗和FreeBSD 4.0、OpenVMSs和ULTRIX等系統(tǒng)會將產生差錯的數據報IP頭部的校驗和字段置為0，而大多數的系統(tǒng)只是將重新計算的校驗和回顯。UDP頭部校驗和FreeBSD 4.0/4.11、Compaq Tru64、DGUX 5.6、AIX 4.3/4.2.1、ULTRIX和OpenVMS等系統(tǒng)會將差錯報文中的UDP頭部的校驗和字段置為0。另外的一些系統(tǒng)則會保持UDP校驗和不變。.2攫取信息攫取信息 ICMP差錯報文的“優(yōu)先權”字段。IP頭部中有一個8位的TOS字段，TOS字段包括一個3位的優(yōu)先權字段

27、、4位的TOS子字段和一位必須置0的未用位，如圖Ipuuee頭部的TOS字段。.2攫取信息攫取信息 ICMP差錯報文IP頭部的不分片（DF）位。有一些操作系統(tǒng)在發(fā)送ICMP差錯報文時，會根據引起差錯的數據報的IP頭部的DF位來設置差錯報文本身IP頭部的DF位。Linux、ULTRIX、Novell Netware、HPUX、Windows98/98SE/ME、Windows NT4 Server SP6、Windows 2000 Family等系統(tǒng)則不會這么做。 ICMP報文IP頭部的TTL字段。不同的操作系統(tǒng)在設置ICMP報文IP頭部的TTL字段時有不同的默認值。而且一般來講

28、，ICMP應答報文和ICMP查詢報文的TTL還不一樣。例如，Windows 95應答報文和查詢報文的TTL都是32Windows 98/98SE/ME/NT4應答報文的TTL是128、查詢報文的TTL是32；Windows 2000應答報文和查詢報文的TTL都是128。.2攫取信息攫取信息 使用代碼字段不為0的ICMP回顯請求。ICMP報文的種類由第一個字節(jié)（類型字段）和第二個字節(jié)（代碼字段）決定?；仫@請求的類型字段為8，默認的代碼字段為0。如果把回顯請求的代碼字段設置為非0值，這樣的回顯請求就不是標準的ICMP報文了。對于這樣的回顯請求報文，Windows操作系統(tǒng)做出的回顯應

29、答（類型為0）的代碼字段值為0，而其他系統(tǒng)和網絡設備做出的回顯應答的代碼字段值和它收到的回顯請求中的代碼字段值相同。.2攫取信息攫取信息 TOS子字段回顯。RFC1349定義了ICMP報文使用TOS子字段的方法。其中區(qū)分了差錯報文、查詢報文和應答報文的不同使用方法，規(guī)則是：差錯報文總是使用默認值0；查詢報文可以在TOS子字段中使用任何值；應答報文應該在TOS子字段中使用造成應答的查詢報文中使用的TOS值。 然而有些操作系統(tǒng)（例如Linux）在發(fā)送回顯應答報文時忽視了這項規(guī)定，無論查詢報文使用何種TOS值，它的應答報文的TOS值都是一樣的。.2攫取信息攫取信息（2

30、） TCP報文響應分析這種技術通過區(qū)分不同操作系統(tǒng)對特定TCP報文（標準或非標準）的不同反應，實現對操作系統(tǒng)的區(qū)分。使用這種技術的代表有Queso和Nmap（Nmap其實也使用了一些ICMP響應分析的技巧）。下面將分別說明Nmap使用的操作系統(tǒng)探測技巧。 FIN探測。前面講端口掃描的技巧時曾提到，“FIN掃描通常只工作在基于UNIX的TCP/IP協(xié)議棧上”，這就可以用來作為一個探測操作系統(tǒng)的判斷依據。.2攫取信息攫取信息 偽標記位探測。TCP報文的頭部有8個標記位。使用“偽標記位”（BOGUS Flag），即把SYN報文的CWR標記位的左邊一位置1，然后將這樣的非標準SYN報文

31、發(fā)給目標TCP端口。低于2.0.35版本的Linux內核會在回應包中保持這個標記，而其他的操作系統(tǒng)似乎都沒有這個問題。不過有的操作系統(tǒng)在收到這樣的SYN/BOGUS報文時會發(fā)送一個RST復位連接。.2攫取信息攫取信息 TCP ISN取樣。其原理是在操作系統(tǒng)對連接請求的回應中尋找TCP連接初始化序列號（ISN）的特征。目前可以區(qū)分的類別有傳統(tǒng)的64000方式（舊UNIX系統(tǒng)使用）、隨機增加方式（新版本的Solaris、IRIX、FreeBSD、Digital UNIX、Cray和其他許多系統(tǒng)使用）、真“隨機”方式（Linux 2.0.*及更高版本、OpenVMS和新版本的AIX等

32、操作系統(tǒng)使用）等。Windows平臺（還有其他一些平臺）使用“基于時間”方式產生的ISN會隨著時間的變化而呈相對固定的增長。另外還有一些系統(tǒng)總是使用固定的ISN，如某些3Com集線器（使用0 x83）和Apple LaserWriter打印機（使用0 xC7001）。根據計算ISN的變化、最大公約數和其他一些有跡可循的規(guī)律，還可以將這些類別分得更細、更準確。.2攫取信息攫取信息 DF位監(jiān)視。許多操作系統(tǒng)逐漸開始在它們發(fā)送的IP數據報中設置DF位，從而有益于提高傳輸性能。但并不是所有操作系統(tǒng)都進行這種設置，或者有的系統(tǒng)只是在某些情況下使用這種設置。因此通過留意這個標記位的設置可以

33、搜集到關于目標主機操作系統(tǒng)的更多有用信息。 TCP初始化窗口大小。這種技巧就是得到目標的初始化TCP窗口大小。有的操作系統(tǒng)總是使用比較特殊的值。例如AIX是惟一使用0 x3F25窗口值的操作系統(tǒng)。而在OpenBSD、和2000/XP的TCP堆棧中，71Free BSDWindows 使用的窗口值總是0 x402E。.2攫取信息攫取信息 ACK值。不同協(xié)議棧實現在TCP報文的ACK值的選擇上也存在差異。例如，假設向一個關閉的TCP端口發(fā)送一個FIN/PSH/URG報文，許多操作系統(tǒng)會將ACK值設置為ISN值，但Windows和某些打印機會設置為接收到的報文的SEQ+1。如果向打開

34、的端口發(fā)送SYN/FIN/URG /PSH報文，Windows的返回值就會非常不確定，有時是接收到的報文的SEQ值，有時是SEQ+，而有時回送的是一個似乎很隨機的數值。 片段處理。不同操作系統(tǒng)在處理IP片段重疊時采用了不同的方式。有些用新的內容覆蓋舊的內容，有些是以舊的內容為優(yōu)先。有很多探測方法能確定這些包是72如何重組的，從而能幫助確定操作系統(tǒng)類型。.2攫取信息攫取信息 TCP選項。這是搜集信息的最有效方法之一。其基于以下原因：它們通常是“可選的”，因此并不是所有的操作系統(tǒng)都使用它們。向目標主機發(fā)送帶有可選項標記的數據包時，如果操作系統(tǒng)支持這些選項，會在返回包中也設置這些標記

35、?？梢砸淮卧跀祿性O置多個可選項，從而增加了探測的準確度。.2攫取信息攫取信息.2攫取信息攫取信息（3） TCP報文延時分析這是利用了TCP報文重傳的特性。這種方法的具體實現是在“3次握手”的過程中放棄對遠程主機SYN/ACK報文的確認，迫使其重傳，通過測量重傳TCP報文之間的延時圖忽略SYN/ACK報文迫使服務器重傳序列，獲取遠程操作系統(tǒng)指紋。左圖說明了延時序列的意義。 采用這種方法的代表是RING。這種技術的最大優(yōu)勢就是它只需要一個打開的端口。如果目標主機是被防火墻所保護的，那么很可能只開了一個端口，其他的端口則是被過濾了的。而且這種技術是使用了一個標準的

36、TCP數據報，它將不會對目標主機造成任何的不利影響。但是這種探測方式需要花比nmap或Xprobe更多的時間，這是測量連續(xù)數據報時間延74遲的一個固有缺點。下面的例子是使用RING探測操作系統(tǒng)類型。rootlocalhost ring# ./ring -d 28 -s 2 -p 111 -i eth03558202 6000667 11999952 24200335OS:Linux2.4distance:10362.2攫取信息攫取信息（4） 被動協(xié)議棧指紋探測被動的協(xié)議棧指紋探測和主動的協(xié)議棧指紋探測很相似，不同之處在于這種方法不

37、主動向目標系統(tǒng)發(fā)送分組，而是通過嗅探目標網絡的通信，抓取從遠程主機上發(fā)送的數據報，獲取包括TTL、窗口大小、DF位、服務類型等在內的數據報屬性，構成目標系統(tǒng)的指紋。這種方法主要被入侵者使用，因為它不容易被發(fā)現。.2攫取信息攫取信息.2攫取信息攫取信息 經過發(fā)現目標和攫取信息兩個步驟以后，已經能夠得到下面一些信息： 目標網絡上有哪些主機處于存活狀態(tài)？ 這些主機上都運行什么系統(tǒng)？ 這些主機運行了哪些網絡服務？而漏洞檢測就是要回答最關鍵的一個問題這些主機存在哪些漏洞？漏洞檢測的方法主要分為3種：直接測試(test)推斷(inference)帶憑證的測試(Test wi

38、th Credentials)。.3漏洞檢測漏洞檢測 1.直接測試直接測試是指利用漏洞特點發(fā)現系統(tǒng)漏洞的方法。要找出系統(tǒng)中的常見漏洞，最顯而易見的方法就是試圖滲透漏洞。滲透測試是指使用針對漏洞特點設計的腳本或者程序檢測漏洞。測試代碼通常和滲透攻擊代碼類似，不同的是測試代碼返回與“風險等級”對應的提示，而滲透攻擊代碼則直接向入侵者返回具有超級權限的執(zhí)行環(huán)境。另外也有一些滲透攻擊不返回任何東西，只是讓系統(tǒng)處于易被攻擊的狀態(tài)，用戶必須另外采取動作來判斷是否有漏洞被滲透了。根據這一點，測試方法可以分為兩種不同的類型：可以直接觀察到的測試和只能間接觀察到的測試。下面通過一個例子具體說明直

39、接測試漏洞的方法。.3漏洞檢測漏洞檢測對于拒絕服務（DoS）漏洞也可以直接使用滲透代碼進行測試，所不同的只是測試DoS漏洞的滲透代碼通常是經過編譯的二進制代碼。直接測試的方法具有下面一些特點： 通常用于對Web服務器漏洞、拒絕服務（DoS）漏洞進行檢測； 能夠準確地判斷系統(tǒng)是否存在特定漏洞； 對于滲透所需步驟較多的漏洞速度較慢； 攻擊性較強，可能對存在漏洞的系統(tǒng)造成破壞； 對于DoS漏洞，測試方法會造成系統(tǒng)崩潰； 不是所有漏洞的信息都能通過測試方法獲得。.3漏洞檢測漏洞檢測 2. 2.推斷推斷推斷是指不利用系統(tǒng)漏洞而判斷漏洞是否存在的方法。它并不直接滲透漏洞，只

40、是間接尋找漏洞存在的證據。采用推斷方法的檢測手段主要有版本檢查（Version Check）、程序行為分析、操作系統(tǒng)堆棧指紋分析、時序分析等。其中，版本檢查是推斷方法中最簡單的一個應用。它依賴于服務器對請求響應的旗標獲取系統(tǒng)的有關信息，然后將獲得的版本號與已知信息比較，以判斷目標系統(tǒng)是否是受漏洞影響的系統(tǒng)。.3漏洞檢測漏洞檢測行為分析在需要推翻某個“風險假設”的時候非常有用。在這種情況下，它分析目標程序的行為，如果發(fā)現該程序的行為和具有漏洞的版本的程序行為不一致，就認為目標程序不存在漏洞。這種方法不如滲透測試方法可靠，但是攻擊性更小。這種方法在推斷沒有公開細節(jié)的新漏洞時也很有用

41、。另外，它也可以用于檢查DoS漏洞，因為它基本沒有攻擊性，所以可以在檢查很多DoS漏洞以后再重新啟動系統(tǒng)。.3漏洞檢測漏洞檢測推斷方法有時也和測試方法結合使用，如首先推斷出目標采用的系統(tǒng)類型，然后進行針對該系統(tǒng)的測試。推斷的方法在快速檢查大量目標時很有用，因為這種方法對計算機和網絡的要求都很低。而它最主要的缺點就是可靠性較低。.3漏洞檢測漏洞檢測 3.帶憑證的測試憑證是指訪問服務所需要的用戶名或者密碼，包括UNIX的登錄權限和從網絡調用Windows NT的U W API的能力。除了目標主機IP地址以外，直接測試和推斷兩種方法都不需要其他任何信息。然而，很多攻擊

42、都是由擁有UNIX shell訪問權限或者NT資源訪問權限的用戶發(fā)起的，他們的目標在于將自己的權限提升成為超級用戶，從而可以執(zhí)行某個命令。對于這樣的漏洞，前面兩種方法很難檢查出來。因此，如果賦予測試進程目標系統(tǒng)的角色，將能夠檢查出更多的漏洞。這種方法就是帶憑證的測試。.3漏洞檢測漏洞檢測由于擁有了目標主機的證書，一些原來只能由本地掃描發(fā)現的漏洞就能夠通過網絡安全掃描發(fā)現了。然而需要注意的是，由于擁有了目標主機的證書，檢測系統(tǒng)本身的安全就更加值得注意，因為入侵者可能從檢測系統(tǒng)上得到目標系統(tǒng)的訪問權限。所以一個好的檢測系統(tǒng)應該集成對自己進行掃描的功能，否則，漏洞掃描有可能變得很危險

43、.3漏洞檢測漏洞檢測.3常用的網絡掃描工具常用的網絡掃描工具網絡掃描的一些常用工具都是可以從Internet上免費獲得的。在使用這些工具之前請一定確認目標網絡已經授權你對其進行掃描。因為這些工具有可能對掃描的目標造成危害。1.Netcat由Hobbit（）編寫的Netcat（或稱nc）是一個優(yōu)秀的實用工具，Weld Pond（）將其移植到了NT平臺上。它能執(zhí)行的任務是如此之多，以至于被稱作網絡工具箱中的“瑞士軍刀”2.網絡映射程序Nmap由Fyodor（）編寫的Nmap（）

44、是一個開放源碼的網絡掃描工具。Nmap實現了前面提到的絕大部分的掃描技巧和操作系統(tǒng)探測技巧，可以用來發(fā)現網絡上存活的主機、這些主機開放了哪些TCP和UDP端口、這些主機運行什么樣的操作系統(tǒng)以及操作系統(tǒng)的版本、正在使用什么樣的防火墻和過濾設備等信息。.3常用的網絡掃描工具常用的網絡掃描工具3.SATAN前面的兩個工具主要是用于發(fā)現目標和攫取信息兩個階段，而一次完整的漏洞掃描還應該包括“漏洞檢測”這個階段。SATAN即“網絡分析的安全管理工具”。它提供一整套安全管理、測試和報告的功能，可以用來搜集網絡上主機的許多信息，可以識別并且自動報告與網絡相關的安全問題。.3常用的網絡掃描工具常用的網絡掃描工具4.nessusnessus是一個功能強大而又易于使用的網絡漏洞掃描工具，運行于POSIX系統(tǒng)（Solaris、FreeBSD、GNU/Li