網(wǎng)絡(luò)攻防原理與技術(shù)第4章-網(wǎng)絡(luò)掃描技術(shù)課件

第四章網(wǎng)絡(luò)掃描技術(shù)內(nèi)容提綱主機掃描2端口掃描3操作系統(tǒng)識別4網(wǎng)絡(luò)掃描概述1漏洞掃描5網(wǎng)絡(luò)掃描技術(shù)什么是網(wǎng)絡(luò)掃描？使用網(wǎng)絡(luò)掃描軟件對特定目標(biāo)進(jìn)行各種試探性通信，以獲取目標(biāo)信息的行為。網(wǎng)絡(luò)掃描的目的識別目標(biāo)主機的工作狀態(tài)（開/關(guān)機）識別目標(biāo)主機端口的狀態(tài)（監(jiān)聽/關(guān)閉）識別目標(biāo)主機的操作系統(tǒng)類型識別目標(biāo)系統(tǒng)可能存在的漏洞主機掃描端口掃描漏洞掃描操作系統(tǒng)識別內(nèi)容提綱主機掃描2端口掃描3操作系統(tǒng)識別4網(wǎng)絡(luò)掃描概述1漏洞掃描5主機掃描向目標(biāo)主機發(fā)送探測數(shù)據(jù)包，根據(jù)是否收到響應(yīng)來判斷主機的工作狀態(tài)。ICMPICMPEchoICMPNon-EchoIP異常的IP數(shù)據(jù)報首部錯誤的分片（一）ICMP掃描ICMPInternet控制報文協(xié)議。ICMP的作用：提高IP報文交付成功的機會網(wǎng)關(guān)或者目標(biāo)機器利用ICMP與源通信。當(dāng)出現(xiàn)問題時，提供反饋信息用于報告錯誤。ICMP報文的結(jié)構(gòu)IP首部ICMP報文0IP數(shù)據(jù)部分檢驗和代碼（這4個字節(jié)取決于ICMP報文的類型）81631IP數(shù)據(jù)報ICMP的數(shù)據(jù)部分（長度取決于類型）類型ICMP報文種類ICMP報文種類類型的值ICMP報文的類型差錯報告報文3終點不可達(dá)4源站抑制11時間超過12參數(shù)問題5改變路由詢問報文8或0回送請求或回答13或14時間戳請求或回答17或18地址掩碼請求或回答10或9路由器詢問或通告ICMPEcho掃描(1/5)ICMP回送請求ICMP回送響應(yīng)黑客目標(biāo)主機結(jié)論：目標(biāo)主機在運行ICMPEcho掃描(2/5)ICMP回送請求未收到任何響應(yīng)黑客目標(biāo)主機結(jié)論：目標(biāo)主機未開機ICMPEcho掃描(3/5)示例D:\>pingPingingwith32bytesofdata:Replyfrom:bytes=32time<1msTTL=128Replyfrom:bytes=32time<1msTTL=128Replyfrom:bytes=32time<1msTTL=128Replyfrom:bytes=32time<1msTTL=128Pingstatisticsfor:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=0ms,Average=0msICMPEcho掃描(4/5)示例D:\>ping0Pinging0with32bytesofdata:Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.Pingstatisticsfor0:Packets:Sent=4,Received=0,Lost=4(100%loss),ICMPEcho掃描(5/5)BroadcastICMP掃描將ICMP請求包的目標(biāo)地址設(shè)為廣播地址或網(wǎng)絡(luò)地址，則可以探測廣播域或整個網(wǎng)絡(luò)范圍內(nèi)的主機。缺點：只適合于UNIX/Linux系統(tǒng)，Windows會忽略這種請求包；這種掃描方式容易引起廣播風(fēng)暴ICMPNon-Echo掃描利用其它類型的ICMP報文進(jìn)行掃描ICMP報文種類類型的值ICMP報文的類型差錯報告報文3終點不可達(dá)4源站抑制11時間超過12參數(shù)問題5改變路由詢問報文8或0回送請求或回答13或14時間戳請求或回答17或18地址掩碼請求或回答10或9路由器詢問或通告ICMP掃描的問題很多企業(yè)防火墻對ICMP回送請求報文進(jìn)行過濾，使其無法到達(dá)目標(biāo)主機。主機上安裝的個人防火墻往往也對ICMP報文進(jìn)行阻斷。解決辦法：使用IP數(shù)據(jù)報進(jìn)行掃描。(二）基于IP異常分組的掃描04816192431版本標(biāo)志生存時間協(xié)議標(biāo)識服務(wù)類型總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）比特首部長度固定部分(20字節(jié))可變部分01234567DTRC未用優(yōu)先級數(shù)據(jù)部分首部比特數(shù)據(jù)部分首部傳送IP數(shù)據(jù)報異常的IP數(shù)據(jù)報首部：參數(shù)錯主機在收到首部異常（HeaderLengthField、IPOptionsField

、VersionNumber）的IP數(shù)據(jù)報時應(yīng)當(dāng)返回“參數(shù)問題”的ICMP報文。首部異常的IP數(shù)據(jù)報“參數(shù)問題”ICMP報文黑客目標(biāo)主機結(jié)論：目標(biāo)主機在運行未收到任何響應(yīng)結(jié)論：目標(biāo)主機未開機異常的IP數(shù)據(jù)報首部：目標(biāo)不可達(dá)向目標(biāo)主機發(fā)送的IP包中填充錯誤的字段值，目標(biāo)主機或過濾設(shè)備會反饋ICMPDestinationUnreachable信息。IP數(shù)據(jù)報分片偏移=0/8=0偏移=0/8=0偏移=1400/8=175偏移=2800/8=350140028003799279913993799需分片的數(shù)據(jù)報數(shù)據(jù)報片1首部數(shù)據(jù)部分共3800字節(jié)首部1首部2首部3字節(jié)0數(shù)據(jù)報片2數(shù)據(jù)報片314002800字節(jié)0錯誤的IP數(shù)據(jù)報分片由于缺少分片而無法完成IP數(shù)據(jù)報重組（超時）時，主機應(yīng)當(dāng)回應(yīng)“分片重組超時”的ICMP報文。分片1和分片3“分片重組超時”ICMP報文黑客目標(biāo)主機結(jié)論：目標(biāo)主機在運行未收到任何響應(yīng)結(jié)論：目標(biāo)主機未開機超長包探測內(nèi)部路由器若構(gòu)造的數(shù)據(jù)包長度超過目標(biāo)系統(tǒng)所在路由器的PMTU且設(shè)置禁止分段標(biāo)志,該路由器會反饋FragmentationNeededandDon’tFragmentBitwasSet差錯報文。（三）反向映射探測目標(biāo)主機無法從外部直接到達(dá)，采用反向映射技術(shù)，通過目標(biāo)系統(tǒng)的路由設(shè)備探測被過濾設(shè)備或防火墻保護(hù)的網(wǎng)絡(luò)和主機。想探測某個未知網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)時，可以推測可能的內(nèi)部IP地址（列表），并向這些地址發(fā)送數(shù)據(jù)包。目標(biāo)網(wǎng)絡(luò)的路由器收到這些數(shù)據(jù)包時，會進(jìn)行IP識別并轉(zhuǎn)發(fā)，對不在其服務(wù)范圍的IP包發(fā)送ICMPHostUnreachable或ICMPTimeExceeded錯誤報文。沒有收到錯誤報文的IP地址可認(rèn)為在該網(wǎng)絡(luò)中。這種方法也會受過濾設(shè)備的影響。內(nèi)容提綱主機掃描2端口掃描3操作系統(tǒng)識別4網(wǎng)絡(luò)掃描概述1漏洞掃描5端口掃描：概述什么是端口？為什么可以進(jìn)行端口掃描？一個端口就是一個潛在的通信信道，也就是入侵通道！當(dāng)確定了目標(biāo)主機可達(dá)后，就可以使用端口掃描技術(shù)，發(fā)現(xiàn)目標(biāo)主機的開放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽的端口。向目標(biāo)端口發(fā)送探測數(shù)據(jù)包，根據(jù)收到的響應(yīng)來判斷端口的狀態(tài)。TCP掃描UDP掃描端口掃描：方法向目標(biāo)端口發(fā)送探測數(shù)據(jù)包，根據(jù)收到的響應(yīng)來判斷端口的狀態(tài)。TCP掃描FTP代理掃描UDP掃描一、TCP掃描TCP報文段的結(jié)構(gòu)目的端口數(shù)據(jù)偏移檢驗和選項（長度可變）源端口序號緊急指針窗口確認(rèn)號保留FINTCP首部20

字節(jié)的固定首部SYNRSTPSHACKURG填充TCP數(shù)據(jù)部分TCP首部TCP報文段IP數(shù)據(jù)部分IP首部發(fā)送在前TCP連接請求報文及響應(yīng)TCP連接的建立過程SYN主機BSYN,ACKACK主機A目標(biāo)端口（一）TCPConnect掃描(1/2)嘗試同目標(biāo)端口建立正常的TCP連接(直接調(diào)用系統(tǒng)提供的connect(…)函數(shù))。連接建立成功結(jié)論：目標(biāo)端口開放連接建立失敗結(jié)論：目標(biāo)端口關(guān)閉TCPConnect掃描的特點(2/2)優(yōu)點穩(wěn)定可靠，不需要特殊的權(quán)限。缺點掃描方式不隱蔽，服務(wù)器會記錄下客戶機的連接行為。如何隱藏掃描行為？（二）SYN掃描(1/3)SYN主機BSYN,ACKRST主機A結(jié)論：端口開放目標(biāo)端口SYN掃描(2/3)SYN主機BRST主機A結(jié)論：端口關(guān)閉目標(biāo)端口SYN掃描的特點(3/3)優(yōu)點很少有系統(tǒng)會記錄這樣的行為。缺點需要管理員權(quán)限才可以構(gòu)造這樣的SYN數(shù)據(jù)包。（三）FIN掃描(1/3)FIN主機B主機A結(jié)論：端口開放未收到任何響應(yīng)目標(biāo)端口FIN掃描(2/3)FIN主機BRST主機A結(jié)論：端口關(guān)閉目標(biāo)端口FIN掃描的特點(3/3)優(yōu)點不是TCP建立連接的過程，比較隱蔽。缺點與SYN掃描類似，也需要構(gòu)造專門的數(shù)據(jù)包。只適用于Unix系統(tǒng)的目標(biāo)主機，Windows系統(tǒng)總是發(fā)送RST報文段。(四)Xmas掃描和Null掃描Xmas掃描和Null掃描是FIN掃描的兩個變種。Xmas掃描打開FIN、URG、ACK、PSH、RST、SYN標(biāo)記，既全部置1。Null掃描關(guān)閉所有標(biāo)記，既全部置0。掃描過程同F(xiàn)IN掃描一樣。二、FTP代理掃描FTPproxy掃描(1/4)FTP代理選項允許客戶端控制一個FTP服務(wù)器向另一個服務(wù)器傳輸數(shù)據(jù)。利用這一特點可以實現(xiàn)端口掃描的功能。FTPproxy掃描(2/4)建立FTP會話使用PORT命令指定一個端口P黑客FTP服務(wù)器目標(biāo)主機使用LIST命令啟動一個到P的數(shù)據(jù)傳輸傳輸成功結(jié)論：目標(biāo)端口開放無法打開數(shù)據(jù)連接結(jié)論：目標(biāo)端口關(guān)閉FTPproxy掃描的特點(3/4)優(yōu)點不但難以跟蹤，而且可以穿越防火墻。缺點一些FTP服務(wù)器禁止這種特性。示例(4/4)D:\ProgramFiles\Nmap>nmap-sSStartingNmap4.01(/nmap)at2006-04-2020:53中國標(biāo)準(zhǔn)時間Interestingportson:(The1666portsscannedbutnotshownbelowareinstate:closed)PORTSTATESERVICE21/tcpopenftp135/tcpopenmsrpc139/tcpopennetbios-ssn445/tcpopenmicrosoft-ds1025/tcpopenNFS-or-IIS5000/tcpopenUPnPMACAddress:52:54:AB:33:E7:71(Unknown)Nmapfinished:1IPaddress(1hostup)scannedin5.829seconds三、UDP掃描UDP掃描UDP沒有連接建立過程，該如何判斷一個UDP端口打開了呢？依據(jù)：掃描主機向目標(biāo)主機的UDP端口發(fā)送UDP數(shù)據(jù)包，如果目標(biāo)端口處于監(jiān)聽狀態(tài)，將不會做出任何響應(yīng)；而如果目標(biāo)端口處于關(guān)閉狀態(tài)，將會返回ICMP_PORT_UNREACH錯誤。UDP掃描從表面上看，目標(biāo)端口工作狀態(tài)不同對掃描數(shù)據(jù)包將做出不同響應(yīng)，區(qū)分度很好。但實際應(yīng)用中必須考慮到UDP數(shù)據(jù)包和ICMP錯誤消息在通信中都可能丟失，不能保證到達(dá)，這將使得判斷出現(xiàn)偏差。四、掃描策略掃描策略掃描過程中一般要連續(xù)向目標(biāo)發(fā)送大量的探測報文，有什么問題嗎？很容易被防火墻、入侵檢測系統(tǒng)發(fā)現(xiàn)。怎么辦？掃描策略隨機端口掃描（RandomPortScan）慢掃描（SlowScan）分片掃描（FragmentationScanning）將TCP連接控制報文分成多個短IP報文段傳送隱蔽性好，可穿越防火墻，躲避安全檢測缺點：可能被進(jìn)行排隊過濾的防火墻丟棄；某些程序在處理這些小數(shù)據(jù)包時會出現(xiàn)異常。誘騙（Decoy）：偽造源地址，目標(biāo)主機分不清分布式協(xié)調(diào)掃描（CoordinatedScans）四、掃描工具51端口掃描小結(jié)內(nèi)容提綱主機掃描2端口掃描3操作系統(tǒng)識別4網(wǎng)絡(luò)掃描概述1漏洞掃描5操作系統(tǒng)識別根據(jù)使用的信息可分為三類：通過獲取旗標(biāo)信息，利用端口信息，通過TCP/IP協(xié)議棧指紋一、旗標(biāo)信息旗標(biāo)旗標(biāo)（banner）：客戶端向服務(wù)器端提出連接請求時服務(wù)器端所返回的歡迎信息旗標(biāo)旗標(biāo)（banner）：客戶端向服務(wù)器端提出連接請求時服務(wù)器端所返回的歡迎信息二、端口信息端口信息端口掃描的結(jié)果在操作系統(tǒng)檢測階段也可以加以利用。不同操作系統(tǒng)通常會有一些默認(rèn)開放的服務(wù)，這些服務(wù)使用特定的端口進(jìn)行網(wǎng)絡(luò)監(jiān)聽。例如，WindowsXP、Windows2003等系統(tǒng)默認(rèn)開放了TCP135端口、TCP139端口以及TCP445端口，而Linux系統(tǒng)通常不會使用這些端口。端口工作狀態(tài)的差異能夠為操作系統(tǒng)檢測提供一定的依據(jù)三、TCP/IP協(xié)議棧指紋根據(jù)OS在TCP/IP協(xié)議棧實現(xiàn)上的不同特點，通過其對各種探測的響應(yīng)規(guī)律形成識別指紋，進(jìn)而識別目標(biāo)主機運行的操作系統(tǒng)TCP/IP協(xié)議棧指紋(一）主動掃描(1/4)采用向目標(biāo)系統(tǒng)發(fā)送構(gòu)造的特殊包并監(jiān)控其應(yīng)答的方式來識別操作系統(tǒng)類型。主動掃描具有速度快、可靠性高等優(yōu)點，但同樣嚴(yán)重依賴于目標(biāo)系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和過濾規(guī)則。(一）主動掃描(2/4)FIN探測：發(fā)送一個FIN包給一個打開的端口，一般的行為是不響應(yīng)，但某些實現(xiàn)例如MSWindows,BSDI,CISCO,HP/UX,MVS,和IRIX發(fā)回一個RESET。BOGUS標(biāo)記探測：設(shè)置一個未定義的TCP"標(biāo)記"（64或128）在SYN包的TCP頭里。Linux機器到2.0.35之前在回應(yīng)中保持這個標(biāo)記。TCPISN取樣：找出當(dāng)響應(yīng)一個連接請求時由TCP實現(xiàn)所選擇的初始化序列數(shù)式樣。這可分為許多組例如傳統(tǒng)的64K（許多老UNIX機器），隨機增量（新版本的Solaris，IRIX，F(xiàn)reeBSD，DigitalUNIX，Cray，等），真“隨機”（Linux2.0.*，OpenVMS,新的AIX,等），Windows機器（和一些其他的）用一個“時間相關(guān)”模型，每過一段時間ISN就被加上一個小的固定數(shù)。(一）主動掃描(3/4)不分段指示位：許多操作系統(tǒng)開始在送出的一些包中設(shè)置IP的"Don'tFragment"位。TCP初始化窗口值：檢查返回包的窗口大小。如queso和nmap保持對窗口的精確跟蹤因為它對于特定OS基本是常數(shù)。ACK值：不同實現(xiàn)中一些情況下ACK域的值是不同的。例如，如果你送了一個FIN|PSH|URG到一個關(guān)閉的TCP端口。大多數(shù)實現(xiàn)會設(shè)置ACK為你的初始序列數(shù)，而Windows會送給你序列數(shù)加1。ICMP錯誤信息終結(jié)：一些操作系統(tǒng)限制各種錯誤信息的發(fā)送率。例如，Linux內(nèi)核限制目的不可達(dá)消息的生成每4秒鐘最多80個。測試的一種辦法是發(fā)一串包到一些隨機的高UDP端口并計數(shù)收到的不可達(dá)消息。(一）主動掃描(4/4)ICMP消息引用：ICMP錯誤消息中可以引用一部分引起錯誤的源消息。對一個端口不可達(dá)消息，幾乎所有實現(xiàn)只送回IP請求頭外加8個字節(jié)。然而，Solaris送回的稍多，而Linux更多。SYN洪泛限度：如果收到過多的偽造SYN數(shù)據(jù)包，一些操作系統(tǒng)會停止新的連接嘗試。許多操作系統(tǒng)只能處理8個包。TCP選項TCP選項探測（1）構(gòu)造6個不同的數(shù)據(jù)包作為探針來獲取目標(biāo)主機的響應(yīng)數(shù)據(jù)包，分別設(shè)置了不同的可選項值TCP選項探測分別向Windows、Linux、Solaris和Mac等操作系統(tǒng)發(fā)送這六個數(shù)據(jù)包，分析響應(yīng)數(shù)據(jù)包，并從中提取這些操作系統(tǒng)對6個數(shù)據(jù)包可選項的不同響應(yīng)，所得結(jié)果下。TCP選項探測分析發(fā)現(xiàn)Windows對TCP可選項的響應(yīng)順序為MSS、WS、TS、S，ST的值為(0,0)；Linux對TCP可選項的響應(yīng)順序為MSS、S、TS、WS，內(nèi)核版本為2.4的Linux和內(nèi)核版本為2.6的Linux的差別在于對WS的響應(yīng)值是不同的：前者是0，后者是2；SunSolaris對TCP可選項的響應(yīng)順序為TS、MSS、WS、S；Mac對TCP可選項的響應(yīng)順序為MSS、WS、TS、S，ST的值為(1,1)。TCP選項探測不同操作系統(tǒng)對于含有相同TCP可選項數(shù)據(jù)包的響應(yīng)是不同的，差異主要表現(xiàn)在以下三個方面：響應(yīng)值不同，響應(yīng)順序不同，響應(yīng)值和響應(yīng)順序都不同。這些差異可以用作操作系統(tǒng)識別的依據(jù)。(二）被動掃描通過監(jiān)聽工具收集數(shù)據(jù)包，再對數(shù)據(jù)包的不同特征（TCPWindow-size、IPTTL、IPTOS、DF位等參數(shù)）進(jìn)行分析，來識別操作系統(tǒng)。被動掃描基本不具備攻擊特征，具有很好的隱蔽性，但其實現(xiàn)嚴(yán)格依賴掃描主機所處的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；和主動探測相比較，具有速度慢、可靠性不高等缺點。常見操作系統(tǒng)的TTL值操作系統(tǒng)類型TTL返回值Windows2000128WindowsNT107Windows9X128或107Solaris252IRIX240AIX247Linux241或240四、操作系統(tǒng)識別工具內(nèi)容提綱主機掃描2端口掃描3操作系統(tǒng)識別4網(wǎng)絡(luò)掃描概述1漏洞掃描5漏洞掃描目的發(fā)現(xiàn)服務(wù)程序或系統(tǒng)可能存在的漏洞。漏洞存在的原因?qū)崿F(xiàn)缺陷、配置不當(dāng)?shù)?。掃描方法向探測目標(biāo)發(fā)送特定報文，根據(jù)響應(yīng)判斷是否存在漏洞。實例：CGI漏洞掃描漏洞掃描流程連接目標(biāo)WEBSERVER發(fā)送一個特殊的請求接收目標(biāo)服務(wù)器返回數(shù)據(jù)根據(jù)返回數(shù)據(jù)判斷目標(biāo)服務(wù)器是否有此C