掃描與防御技術

第2章掃描與防御技術2023/2/5網(wǎng)絡入侵與防范講義2本章內(nèi)容安排2.1掃描技術概述2.2常見的掃描技術2.3掃描工具賞析2.4掃描的防御2.5小結2023/2/5網(wǎng)絡入侵與防范講義32.1掃描技術概述什么是掃描器網(wǎng)絡掃描器是一把雙刃劍為什么需要網(wǎng)絡掃描器掃描的重要性網(wǎng)絡掃描器的主要功能網(wǎng)絡掃描器與漏洞的關系掃描三步曲一個典型的掃描案例2023/2/5網(wǎng)絡入侵與防范講義4什么是掃描器掃描器是一種自動檢測遠程或本地主機安全性弱點的程序。它集成了常用的各種掃描技術，能自動發(fā)送數(shù)據(jù)包去探測和攻擊遠端或本地的端口和服務，并自動收集和記錄目標主機的反饋信息，從而發(fā)現(xiàn)目標主機是否存活、目標網(wǎng)絡內(nèi)所使用的設備類型與軟件版本、服務器或主機上各TCP/UDP端口的分配、所開放的服務、所存在的可能被利用的安全漏洞。據(jù)此提供一份可靠的安全性分析報告，報告可能存在的脆弱性。2023/2/5網(wǎng)絡入侵與防范講義5網(wǎng)絡掃描器是一把雙刃劍安全評估工具

系統(tǒng)管理員保障系統(tǒng)安全的有效工具網(wǎng)絡漏洞掃描器

網(wǎng)絡入侵者收集信息的重要手段掃描器是一把“雙刃劍”。2023/2/5網(wǎng)絡入侵與防范講義6為什么需要網(wǎng)絡掃描器由于網(wǎng)絡技術的飛速發(fā)展，網(wǎng)絡規(guī)模迅猛增長和計算機系統(tǒng)日益復雜，導致新的系統(tǒng)漏洞層出不窮由于系統(tǒng)管理員的疏忽或缺乏經(jīng)驗，導致舊有的漏洞依然存在許多人出于好奇或別有用心，不停的窺視網(wǎng)上資源2023/2/5網(wǎng)絡入侵與防范講義7掃描的重要性掃描的重要性在于把繁瑣的安全檢測，通過程序來自動完成，這不僅減輕了網(wǎng)絡管理員的工作，而且也縮短了檢測時間。同時，也可以認為掃描器是一種網(wǎng)絡安全性評估軟件，利用掃描器可以快速、深入地對目標網(wǎng)絡進行安全評估。網(wǎng)絡安全掃描技術與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠為網(wǎng)絡提供很高的安全性。網(wǎng)絡掃描VS.入室盜竊窺探2023/2/5網(wǎng)絡入侵與防范講義9網(wǎng)絡掃描器的主要功能掃描目標主機識別其工作狀態(tài)（開/關機）識別目標主機端口的狀態(tài)（監(jiān)聽/關閉）識別目標主機操作系統(tǒng)的類型和版本識別目標主機服務程序的類型和版本分析目標主機、目標網(wǎng)絡的漏洞（脆弱點）生成掃描結果報告2023/2/5網(wǎng)絡入侵與防范講義10網(wǎng)絡掃描器與漏洞的關系網(wǎng)絡漏洞是系統(tǒng)軟、硬件存在安全方面的脆弱性，安全漏洞的存在導致非法用戶入侵系統(tǒng)或未經(jīng)授權獲得訪問權限，造成信息篡改、拒絕服務或系統(tǒng)崩潰等問題。網(wǎng)絡掃描可以對計算機網(wǎng)絡系統(tǒng)或網(wǎng)絡設備進行安全相關的檢測，以找出安全隱患和可能被黑客利用的漏洞。2023/2/5網(wǎng)絡入侵與防范講義11掃描三步曲一個完整的網(wǎng)絡安全掃描分為三個階段：第一階段：發(fā)現(xiàn)目標主機或網(wǎng)絡第二階段：發(fā)現(xiàn)目標后進一步搜集目標信息，包括操作系統(tǒng)類型、運行的服務以及服務軟件的版本等。如果目標是一個網(wǎng)絡，還可以進一步發(fā)現(xiàn)該網(wǎng)絡的拓撲結構、路由設備以及各主機的信息第三階段：根據(jù)收集到的信息判斷或者進一步測試系統(tǒng)是否存在安全漏洞2023/2/5網(wǎng)絡入侵與防范講義12掃描三步曲（續(xù)）網(wǎng)絡安全掃描技術包括PING掃描、操作系統(tǒng)探測、穿透防火墻探測、端口掃描、漏洞掃描等PING掃描用于掃描第一階段，識別系統(tǒng)是否活動OS探測、穿透防火墻探測、端口掃描用于掃描第二階段OS探測是對目標主機運行的OS進行識別穿透防火墻探測用于獲取被防火墻保護的網(wǎng)絡資料端口掃描是通過與目標系統(tǒng)的TCP/IP端口連接，并查看該系統(tǒng)處于監(jiān)聽或運行狀態(tài)的服務漏洞掃描用于安全掃描第三階段，通常是在端口掃描的基礎上，進而檢測出目標系統(tǒng)存在的安全漏洞2023/2/5網(wǎng)絡入侵與防范講義13一個典型的掃描案例簡單郵件傳輸協(xié)議SMTP的脆弱性檢測2023/2/5網(wǎng)絡入侵與防范講義141.Findtargets選定目標為：8測試此主機是否處于活動狀態(tài)，工具是用操作系統(tǒng)自帶的ping，使用命令： ping8結果見下頁圖。2023/2/5網(wǎng)絡入侵與防范講義15說明該主機處于活動狀態(tài)2023/2/5網(wǎng)絡入侵與防范講義162.PortScan運用掃描工具，檢查目標主機開放的端口，判斷它運行了哪些服務使用的工具是Nmap（此工具將在后面進行介紹）掃描命令：nmap8掃描結果見下面圖2023/2/5網(wǎng)絡入侵與防范講義172023/2/5網(wǎng)絡入侵與防范講義182.PortScan(2)端口開放信息如下：21/tcpopenftp25/tcpopensmtp42/tcpopennameserver53/tcpopendomain80/tcpopenhttp……我們將重點關注SMTP端口2023/2/5網(wǎng)絡入侵與防范講義193.VulnerabilityCheck檢測SMTP服務是否存在漏洞使用漏洞掃描工具Nessus（內(nèi)薩斯，此工具在后面將會介紹）掃描過程見下頁圖2023/2/5網(wǎng)絡入侵與防范講義20掃描目標是82023/2/5網(wǎng)絡入侵與防范講義21Nessus正在進行漏洞掃描2023/2/5網(wǎng)絡入侵與防范講義224.ReportNessus發(fā)現(xiàn)了目標主機的SMTP服務存在漏洞。掃描報告中與SMTP漏洞相關的部分見下頁圖。2023/2/5網(wǎng)絡入侵與防范講義23漏洞編號：CVE-2003-08182023/2/5網(wǎng)絡入侵與防范講義242.2常見的掃描技術TCP/IP相關知識常用網(wǎng)絡命令主機掃描端口掃描全掃描半掃描秘密掃描認證(ident)掃描FTP代理掃描遠程主機OS指紋識別漏洞掃描不可不學的掃描技術巧妙奇特的天才構思2023/2/5網(wǎng)絡入侵與防范講義25TCP/IP相關知識TCP報文格式TCP通信過程ICMP協(xié)議2023/2/5網(wǎng)絡入侵與防范講義26TCP報文格式2023/2/5網(wǎng)絡入侵與防范講義27TCP控制位URG:為緊急數(shù)據(jù)標志。如果它為1，表示本數(shù)據(jù)包中包含緊急數(shù)據(jù)。此時緊急數(shù)據(jù)指針有效。ACK:為確認標志位。如果為1，表示包中的確認號是有效的。否則，包中的確認號無效。PSH:如果置位，接收端應盡快把數(shù)據(jù)傳送給應用層。2023/2/5網(wǎng)絡入侵與防范講義28TCP控制位RST:用來復位一個連接。RST標志置位的數(shù)據(jù)包稱為復位包。一般情況下，如果TCP收到的一個分段明顯不是屬于該主機上的任何一個連接，則向遠端發(fā)送一個復位包。

SYN:標志位用來建立連接，讓連接雙方同步序列號。如果SYN＝1而ACK=0，則表示該數(shù)據(jù)包為連接請求，如果SYN=1而ACK=1則表示接受連接。FIN:表示發(fā)送端已經(jīng)沒有數(shù)據(jù)要求傳輸了，希望釋放連接。2023/2/5網(wǎng)絡入侵與防范講義29TCP通信過程正常TCP通信過程:建立連接(數(shù)據(jù)傳輸)斷開連接2023/2/5網(wǎng)絡入侵與防范講義30建立TCP連接SYN_RCVD是TCP三次握手的中間狀態(tài)2023/2/5網(wǎng)絡入侵與防范講義31斷開TCP連接2023/2/5網(wǎng)絡入侵與防范講義32ICMP協(xié)議（1）InternetControlMessageProtocol，是IP的一部分，在IP協(xié)議棧中必須實現(xiàn)。用途：網(wǎng)關或者目標機器利用ICMP與源通訊當出現(xiàn)問題時，提供反饋信息用于報告錯誤特點：其控制能力并不用于保證傳輸?shù)目煽啃运旧硪膊皇强煽總鬏數(shù)牟⒉挥脕矸从矷CMP報文的傳輸情況2023/2/5網(wǎng)絡入侵與防范講義33ICMP協(xié)議（2） ICMP報文類型0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply17AddressMaskRequest18AddressMaskReply2023/2/5網(wǎng)絡入侵與防范講義34常用網(wǎng)絡命令PingTraceroute、Tracert、x-firewalkNet命令系列2023/2/5網(wǎng)絡入侵與防范講義35常用網(wǎng)絡命令--pingPing是最基本的掃描技術。ping命令——主要目的是檢測目標主機是不是可連通，繼而探測一個IP范圍內(nèi)的主機是否處于激活狀態(tài)。不要小瞧ping黑客的攻擊往往都是從ping開始的2023/2/5網(wǎng)絡入侵與防范講義36常用網(wǎng)絡命令--ping的原理ping是一個基本的網(wǎng)絡命令，用來確定網(wǎng)絡上具有某個特定IP地址的主機是否存在以及是否能接收請求。Ping命令通過向計算機發(fā)送ICMP回應報文并且監(jiān)聽回應報文的返回，以校驗與遠程計算機或本地計算機的連接。2023/2/5網(wǎng)絡入侵與防范講義37常用網(wǎng)絡命令--ping參數(shù)說明ping在安裝了TCP/IP協(xié)議后可以使用。2023/2/5網(wǎng)絡入侵與防范講義38常用網(wǎng)絡命令—ping命令使用-n:發(fā)送ICMP回應報文的個數(shù)2023/2/5網(wǎng)絡入侵與防范講義39常用網(wǎng)絡命令--TracerouteTraceroute——跟蹤兩臺機器之間的路徑，顯示中間的每一個節(jié)點的信息。這個工具可以用來確定某個主機的位置。traceroute命令旨在用于網(wǎng)絡測試、評估和管理。它應主要用于手動故障隔離。語法:2023/2/5網(wǎng)絡入侵與防范講義40常用網(wǎng)絡命令–Traceroute說明-f-f后指定一個初始TTL，它的范圍是大于0小于最大TTL，缺省為1。-m-m后指定一個最大TTL，它的范圍是大于初始TTL，缺省為30。-p-p后可以指定一個整數(shù)，該整數(shù)是目的主機的端口號，它的缺省為33434，用戶一般無須更改此選項。-q-q后可以指定一個整數(shù),該整數(shù)是每次發(fā)送的探測數(shù)據(jù)包的個數(shù)，它的范圍是大于0，缺省為3。-w-w后可以指定一個整數(shù)，該整數(shù)指明IP包的超時時間，它的范圍是大于0，缺省為5秒。host目的主機的IP地址2023/2/5網(wǎng)絡入侵與防范講義41常用網(wǎng)絡命令–Traceroute示例Quid#traceroute8tracerouteto(8),30hopsmax,56bytepacket1()19ms19ms0ms2lilac-dmc.Berkeley.EDU()39ms39ms19ms3ccngw-ner-cc.Berkeley.EDU(3)39ms40ms39ms4ccn-nerif22.Berkeley.EDU(2)39ms39ms39ms5()40ms59ms59ms6()59ms59ms59ms73(3)99ms99ms80ms8()139ms239ms319ms9()220ms199ms199ms10(8)239ms239ms239ms可以看出從源主機到目的地都經(jīng)過了哪些網(wǎng)關，這對于網(wǎng)絡分析是非常有用的。2023/2/5網(wǎng)絡入侵與防范講義42常用的網(wǎng)絡命令—Tracert、x-firewalkWindows下用tracert命令可以查看路由信息，但是如今的路由器大部分都對tracert命令做了限制，此命令已經(jīng)沒有效果。有黑客開發(fā)出x-firewalk.exe可用于在Windows環(huán)境下查看路由信息，非常實用，下載地址是/。2023/2/5網(wǎng)絡入侵與防范講義43常用的網(wǎng)絡命令—x-firewalk示例命令：x-firewalk可以看到本地到達都經(jīng)過了哪些路由器2023/2/5網(wǎng)絡入侵與防范講義44常用網(wǎng)絡命令--netNet命令系列——很多的Windows的網(wǎng)絡命令都是net開頭的。利用net開頭的命令，可以實現(xiàn)很多的網(wǎng)絡管理功能……比如用netstartserver，可以啟動服務器；NETUSE用于將計算機與共享的資源相連接，或者切斷計算機與共享資源的連接，當不帶選項使用本命令時，它會列出計算機的連接。以下以Windows的NetUSE命令為例。

2023/2/5網(wǎng)絡入侵與防范講義45常用網(wǎng)絡命令—netuse示例 netuse命令及參數(shù)使用2023/2/5網(wǎng)絡入侵與防范講義46常用網(wǎng)絡命令—netuse示例 (1)用戶名為Administrator，密碼為longmang與遠程計算機4進行IPC$連接，如圖所示。 (2)查看與遠程計算機建立的連接，如圖所示。2023/2/5網(wǎng)絡入侵與防范講義47常用網(wǎng)絡命令—netuse示例 (3)將遠程計算機的c盤映射到本地o盤，如圖所示。2023/2/5網(wǎng)絡入侵與防范講義48常用網(wǎng)絡命令—netuse示例 (4)刪除一個IPC$連接 (5)刪除共享映射2023/2/5網(wǎng)絡入侵與防范講義49主機掃描技術傳統(tǒng)技術高級技術2023/2/5網(wǎng)絡入侵與防范講義50主機掃描技術－傳統(tǒng)技術主機掃描的目的是確定在目標網(wǎng)絡上的主機是否可達。這是信息收集的初級階段，其效果直接影響到后續(xù)的掃描。常用的傳統(tǒng)掃描手段有：ICMPEcho掃描ICMPSweep掃描BroadcastICMP掃描Non-EchoICMP掃描2023/2/5網(wǎng)絡入侵與防范講義51ICMPecho掃描實現(xiàn)原理：Ping的實現(xiàn)機制，在判斷在一個網(wǎng)絡上主機是否開機時非常有用。向目標主機發(fā)送ICMPEchoRequest(type8)數(shù)據(jù)包，等待回復的ICMPEchoReply包(type0)。如果能收到，則表明目標系統(tǒng)可達，否則表明目標系統(tǒng)已經(jīng)不可達或發(fā)送的包被對方的設備過濾掉。優(yōu)點：簡單，系統(tǒng)支持缺點：很容易被防火墻限制可以通過并行發(fā)送，同時探測多個目標主機，以提高探測效率（ICMPSweep掃描）。2023/2/5網(wǎng)絡入侵與防范講義52ICMPsweep掃描使用ICMPECHO輪詢多個主機稱為ICMPSWEEP(或者PingSweep)。對于小的或者中等網(wǎng)絡使用這種方法來探測主機是一種比較可接受的行為，但對于一些大的網(wǎng)絡如A、B類，這種方法就顯的比較慢，原因是Ping在處理下一個之前將會等待正在探測主機的回應。掃描工具Nmap實現(xiàn)了ICMPsweep的功能。2023/2/5網(wǎng)絡入侵與防范講義53BroadcastICMP掃描實現(xiàn)原理：將ICMP請求包的目標地址設為廣播地址或網(wǎng)絡地址，則可以探測廣播域或整個網(wǎng)絡范圍內(nèi)的主機。缺點：只適合于UNIX/Linux系統(tǒng)，Windows會忽略這種請求包；這種掃描方式容易引起廣播風暴2023/2/5網(wǎng)絡入侵與防范講義54Non-EchoICMP掃描一些其它ICMP類型包也可以用于對主機或網(wǎng)絡設備的探測，如：StampRequest(Type13)Reply(Type14)InformationRequest(Type15)Reply(Type16)AddressMaskRequest(Type17)Reply(Type18)2023/2/5網(wǎng)絡入侵與防范講義55主機掃描技術－高級技術防火墻和網(wǎng)絡過濾設備常常導致傳統(tǒng)的探測手段變得無效。為了突破這種限制，必須采用一些非常規(guī)的手段，利用ICMP協(xié)議提供網(wǎng)絡間傳送錯誤信息的手段，往往可以更有效的達到目的：異常的IP包頭在IP頭中設置無效的字段值錯誤的數(shù)據(jù)分片通過超長包探測內(nèi)部路由器反向映射探測端口掃描技術TCP/IP協(xié)議提出的端口是網(wǎng)絡通信進程與外界通訊交流的出口，可被命名和尋址，可以認為是網(wǎng)絡通信進程的一種標識符。進程通過系統(tǒng)調(diào)用與某端口建立連接綁定后，便會監(jiān)聽這個端口，傳輸層傳給該端口的數(shù)據(jù)都被相應進程所接收，而相應進程發(fā)給傳輸層的數(shù)據(jù)都從該端口輸出?；ヂ?lián)網(wǎng)上的通信雙方不僅需要知道對方的IP地址，也需要知道通信程序的端口號。端口掃描技術目前IPv4協(xié)議支持16位的端口，端口號范圍是0～65535。其中，0～1023號端口稱為熟知端口，被提供給特定的服務使用；1024～49151號端口稱為注冊端口，由IANA記錄和追蹤；49152～65535號端口稱為動態(tài)端口或專用端口，提供給專用應用程序。許多常用的服務使用的是標準的端口，只要掃描到相應的端口，就能知道目標主機上運行著什么服務。端口掃描技術就是利用這一點向目標系統(tǒng)的TCP/UDP端口發(fā)送探測數(shù)據(jù)包，記錄目標系統(tǒng)的響應，通過分析響應來查看該系統(tǒng)處于監(jiān)聽或運行狀態(tài)的服務。2023/2/5網(wǎng)絡入侵與防范講義58端口掃描技術當確定了目標主機可達后，就可以使用端口掃描技術，發(fā)現(xiàn)目標主機的開放端口，包括網(wǎng)絡協(xié)議和各種應用監(jiān)聽的端口。端口掃描技術包括以下幾種：全掃描需要掃描方通過三次握手過程與目標主機建立完整的TCP連接會產(chǎn)生大量的審計數(shù)據(jù)，容易被對方發(fā)現(xiàn)，但其可靠性高。半掃描掃描方不需要打開一個完全的TCP連接隱蔽性和可靠性介于全掃描和秘密掃描之間。秘密掃描不包含標準的TCP三次握手協(xié)議的任何部分能有效的避免對方入侵檢測系統(tǒng)和防火墻的檢測，但使用的數(shù)據(jù)包在通過網(wǎng)絡時容易被丟棄從而產(chǎn)生錯誤的探測信息。認證(ident)掃描需要先建立一個完整的TCP連接。FTP代理掃描隱蔽性好，難以追蹤。但受到服務器設置的限制。Windows本身自帶的netstat命令Netstat顯示協(xié)議統(tǒng)計和當前的TCP/IP網(wǎng)絡連接。命令格式netstat[-a][-e][-n][-s][-pprotocol][-r][interval]用DOS命令顯示所有的監(jiān)聽端口Netstat參數(shù)-a顯示所有連接和偵聽端口。服務器連接通常不顯示。-e顯示以太網(wǎng)統(tǒng)計。該參數(shù)可以與-s選項結合使用。-n以數(shù)字格式顯示地址和端口號(而不是嘗試查找名稱)。-s顯示每個協(xié)議的統(tǒng)計。默認情況下，顯示TCP、UDP、ICMP和IP的統(tǒng)計。-p選項可以用來指定默認的子集。-pprotocol-顯示由protocol指定的協(xié)議的連接;protocol可以是tcp或udp。如果與-s選項一同使用顯示每個協(xié)議的統(tǒng)計，protocol可以是tcp、udp、icmp或ip。-r顯示路由表的內(nèi)容。interval重新顯示所選的統(tǒng)計，在每次顯示之間暫停interval秒。按CTRL+B停止重新顯示統(tǒng)計。如果省略該參數(shù)，netstat將打印一次當前的配置信息。Netstat實例：查看機器開放的端口本地機器的7626端口已經(jīng)開放，正在監(jiān)聽等待連接，像這樣的情況極有可能是已經(jīng)感染了冰河!必須先斷開網(wǎng)絡，再用殺毒軟件查殺病毒。在Windows中關閉/開啟端口在默認的情況下，有很多不安全的或沒有什么用的端口是開啟的，比如Telnet服務的23端口、FTP服務的21端口、SMTP服務的25端口、RPC服務的135端口等等。為了保證系統(tǒng)的安全性，我們可以通過下面的方法來關閉/開啟端口。關閉端口

例如，在WindowsXP中關閉SMTP服務的25端口，可以這樣做：首先打開“控制面板”，雙擊“管理工具”，再雙擊“服務”。接著在打開的服務窗口中找到并雙擊“SimpleMailTransferProtocol（SMTP）”服務，單擊“停止”按鈕來停止該服務，然后在“啟動類型”中選擇“已禁用”，最后單擊“確定”按鈕即可。這樣，關閉了SMTP服務就相當于關閉了對應的端口。開啟端口

如果要開啟該端口只要先在“啟動類型”選擇“自動”，單擊“確定”按鈕，再打開該服務，在“服務狀態(tài)”中單擊“啟動”按鈕即可啟用該端口，最后，單擊“確定”按鈕即可。2023/2/5網(wǎng)絡入侵與防范講義63遠程主機OS指紋識別基本原理主動協(xié)議棧指紋識別被動協(xié)議棧指紋識別2023/2/5網(wǎng)絡入侵與防范講義64遠程主機OS指紋識別的基本原理操作系統(tǒng)（OperatingSystem，簡稱OS）識別是入侵或安全檢測需要收集的重要信息，是分析漏洞和各種安全隱患的基礎。只有確定了遠程主機的操作系統(tǒng)類型、版本，才能對其安全狀況作進一步的評估。利用TCP/IP堆棧作為特殊的“指紋”，以確定系統(tǒng)的技術——遠程主機OS指紋識別。主動協(xié)議棧指紋識別被動協(xié)議棧指紋識別2023/2/5網(wǎng)絡入侵與防范講義65主動協(xié)議棧指紋識別

是主動向主機發(fā)起連接，并分析收到的響應，從而確定OS類型的技術。由于TCP/IP協(xié)議棧技術只是在RFC文檔(RFC是RequestforComments首字母的縮寫，它是IETF（互聯(lián)網(wǎng)工程任務推進組織）的一個無限制分發(fā)文檔。RFC被編號并且用編號來標識)中描述，各個公司在編寫應用于自己的OS的TCP/IP協(xié)議棧的時候，對RFC文檔做出了不盡相同的詮釋。造成了各個OS在TCP/IP協(xié)議的實現(xiàn)上的不同。通過對不同的OS的TCP/IP協(xié)議棧存在的些微差異(對錯誤包的響應，默認值等)都可以作為區(qū)分0S的依據(jù)。2023/2/5網(wǎng)絡入侵與防范講義66主動協(xié)議棧指紋識別（2）主要技術有：FIN探測ISN采樣探測Don’tFragment位探測TCP初始窗口的大小檢測ACK值探測ICMP出錯消息抑制ICMP出錯消息回射完整性TOS服務類型片斷處理2023/2/5網(wǎng)絡入侵與防范講義67FIN探測跳過TCP三次握手的順序，給目標主機發(fā)送一個FIN包，然后等待回應。RFC793規(guī)定，正確的處理是沒有響應，但有些OS，如MSWindows，CISC0，HP/UX等會響應一個RST(即Reset)包。

2023/2/5網(wǎng)絡入侵與防范講義68ISN采樣探測這是尋找初始化序列長度模板與特定的OS匹配的方法，這樣可以區(qū)分一些OS，如早些的UNIX系統(tǒng)是64K長度。而一些新的UNIX系統(tǒng)則是隨機增加長度，如Solaris、IRIX、FreeBSD、DigitalUnix、Cray等。2023/2/5網(wǎng)絡入侵與防范講義69Don’tFragment位探測一些操作系統(tǒng)會設置IP頭部“Don’tFragment位”（不分片位）以改善性能，監(jiān)視這個位就可以判定區(qū)分遠程OS。2023/2/5網(wǎng)絡入侵與防范講義70TCP初始窗口大小探測簡單檢查返回的包里包含的窗口大小。某些OS在TCP/IP協(xié)議棧的實現(xiàn)中，這個值是獨特的。如AIX是0x3F25，NT和BSD是0x402E，可以增加指紋鑒別的準確度。2023/2/5網(wǎng)絡入侵與防范講義71ACK值探測不同的OS對TCP/IP協(xié)議棧實現(xiàn)在ACK包的序列號的值的選擇上存在差異，有些OS發(fā)回所確認的TCP包的序列號，另外一些則發(fā)回所確認的TCP包的序列號加1。2023/2/5網(wǎng)絡入侵與防范講義72ICMP出錯信息抑制有些OS限制ICMP出錯消息的速率，通過某個隨機選定的高端口發(fā)送UDP包，可能統(tǒng)計出在某個給定時間段內(nèi)接受的不可達出錯消息的數(shù)目。RFC文件中規(guī)定，ICMPERROR消息要引用導致該消息的ICMP消息的部分內(nèi)容。例如對于端口不可達消息，某些OS返回收到的IP頭及后續(xù)的8個字節(jié)，Solaris返回的ERROR消息中則引用內(nèi)容更多一些，而Linux比Solaris還要多。2023/2/5網(wǎng)絡入侵與防范講義73ICMP出錯消息回射完整性某些OS對TCP/IP協(xié)議棧的實現(xiàn)在返回ICMP出錯消息的時候會修改所引用的IP頭，檢測對IP頭的改動的類型可以粗略判斷OS。RFCl812中規(guī)定了ICMPERROR消息的發(fā)送速度。Linux設定了目標不可達消息上限為80個／4秒。0S探測時可以向隨機的高端UDP端口大量發(fā)包，然后統(tǒng)計收到的目標不可達消息。用此技術進行OS探測時時間會長一些，因為要大量發(fā)包，并且還要等待響應，同時也可能出現(xiàn)網(wǎng)絡中丟包的情況。2023/2/5網(wǎng)絡入侵與防范講義74TOS服務類型檢測ICMP端口不可到達消息的TOS字段，多數(shù)OS會是0，而另一些則不是。2023/2/5網(wǎng)絡入侵與防范講義75片斷處理不同的TCP/IP協(xié)議棧實現(xiàn)對重疊的片斷處理上有差異。有些在重組時會用到后到達的新數(shù)據(jù)覆蓋舊數(shù)據(jù)，有些則相反。2023/2/5網(wǎng)絡入侵與防范講義76被動協(xié)議棧指紋識別

是在網(wǎng)絡中監(jiān)聽，分析系統(tǒng)流量，用默認值來猜測0S類型的技術。

主動協(xié)議棧指紋識別由于需要主動往目標發(fā)送數(shù)據(jù)包，但這些數(shù)據(jù)包在網(wǎng)絡流量中比較惹人注意，因為正常使用網(wǎng)絡不會按這樣的順序出現(xiàn)包，因此比較容易被IDS捕獲。為了隱秘的識別遠程OS，需要使用被動協(xié)議棧指紋識別。2023/2/5網(wǎng)絡入侵與防范講義77被動協(xié)議棧指紋識別（2）被動協(xié)議棧指紋識別在原理上和主動協(xié)議棧指紋識別相似，但是它從不主動發(fā)送數(shù)據(jù)包，只是被動的捕獲遠程主機返回的包來分析其OS類型版本，一般可以從4個反面著手：TTL值：這個數(shù)據(jù)是操作系統(tǒng)對出站的信息包設置的存活時間。WindowsSize：操作系統(tǒng)設置的TCP窗口大小，這個窗口大小是在發(fā)送FIN信息包時包含的選項。DF：可以查看操作系統(tǒng)是否設置了不準分片位。TOS：操作系統(tǒng)是否設置了服務類型。2023/2/5網(wǎng)絡入侵與防范講義78漏洞掃描漏洞掃描技術的原理漏洞掃描技術的分類和實現(xiàn)方法漏洞掃描的問題為什么會有漏洞只要是人做出來的東西，就沒有完美的，所以有問題也不奇怪。這就好像一個打字員打了一篇稿子，打字員本身發(fā)現(xiàn)錯字的可能性很小，倒是別人一眼就可以看到打字員打錯的字。微軟當初在編寫系統(tǒng)的時候為什么不知道有漏洞？很多所謂的漏洞都不算是漏洞，都是正常的數(shù)據(jù)值，所以不容易被發(fā)現(xiàn)。舉個例子，在檢測一些ASP網(wǎng)站的時候，會用到1=1OR1=2之類的語句，這本身是ASP的一種正常的程序語句，但是到了黑客手中，就成了檢測ASP網(wǎng)站的重要檢查項目，黑客會根據(jù)檢測網(wǎng)站返回的數(shù)據(jù)值，而得到大量的信息。微軟發(fā)現(xiàn)后會發(fā)布相應的補丁，如果用戶及時下載補丁安裝則操作系統(tǒng)是相對安全的，但是有的用戶偷懶，不及時更新補丁，漏洞就得不到修補。黑客先是用掃描器掃描遠程的操作系統(tǒng)有何漏洞，然后根據(jù)這些漏洞編寫相應的病毒包或者木馬包，植入有漏洞的電腦。在這里掃描起了關鍵作用。2023/2/5網(wǎng)絡入侵與防范講義82漏洞掃描－－原理漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：基于漏洞庫的特征匹配：通過端口掃描得知目標主機開啟的端口以及端口上的網(wǎng)絡服務后，將這些相關信息與網(wǎng)絡漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；基于模擬攻擊：通過模擬黑客的攻擊手段，編寫攻擊模塊，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。2023/2/5網(wǎng)絡入侵與防范講義83漏洞掃描－－分類和實現(xiàn)方法基于網(wǎng)絡系統(tǒng)漏洞庫，漏洞掃描大體包括CGI漏洞掃描、POP3漏洞掃描、FTP漏洞掃描、SSH漏洞掃描、HTTP漏洞掃描等。這些漏洞掃描是基于漏洞庫，將掃描結果與漏洞庫相關數(shù)據(jù)匹配比較得到漏洞信息；漏洞掃描還包括沒有相應漏洞庫的各種掃描，比如Unicode遍歷目錄漏洞探測、FTP弱勢密碼探測、OPENRelay郵件轉發(fā)漏洞探測等，這些掃描通過使用插件（功能模塊技術）進行模擬攻擊，測試出目標主機的漏洞信息。下面就這兩種掃描的實現(xiàn)方法進行討論。2023/2/5網(wǎng)絡入侵與防范講義84漏洞掃描－－分類和實現(xiàn)方法基于漏洞庫的規(guī)則匹配基于網(wǎng)絡系統(tǒng)漏洞庫的漏洞掃描的關鍵部分就是它所使用的漏洞庫。通過采用基于規(guī)則的匹配技術，即根據(jù)安全專家對網(wǎng)絡系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員對網(wǎng)絡系統(tǒng)安全配置的實際經(jīng)驗，可以形成一套標準的網(wǎng)絡系統(tǒng)漏洞庫，然后再在此基礎之上構成相應的匹配規(guī)則，由掃描程序自動的進行漏洞掃描的工作。這樣，漏洞庫信息的完整性和有效性決定了漏洞掃描系統(tǒng)的性能，漏洞庫的修訂和更新的性能也會影響漏洞掃描系統(tǒng)運行的時間。因此，漏洞庫的編制不僅要對每個存在安全隱患的網(wǎng)絡服務建立對應的漏洞庫文件，而且應當能滿足前面所提出的性能要求。2023/2/5網(wǎng)絡入侵與防范講義85漏洞掃描－－分類和實現(xiàn)方法基于模擬攻擊將模擬攻擊的模塊做成插件的形式，插件是由腳本語言編寫的子程序，掃描程序可以通過調(diào)用它來執(zhí)行漏洞掃描，檢測出系統(tǒng)中存在的一個或多個漏洞。添加新的插件就可以使漏洞掃描軟件增加新的功能，掃描出更多的漏洞。插件編寫規(guī)范化后，甚至用戶自己都可以用perl、c或自行設計的腳本語言編寫的插件來擴充漏洞掃描軟件的功能。這種技術使漏洞掃描軟件的升級維護變得相對簡單，而專用腳本語言的使用也簡化了編寫新插件的編程工作，使漏洞掃描軟件具有強的擴展性。2023/2/5網(wǎng)絡入侵與防范講義86漏洞掃描－－問題系統(tǒng)配置規(guī)則庫問題如果規(guī)則庫設計的不準確，預報的準確度就無從談起；它是根據(jù)已知的安全漏洞進行安排和策劃的，而對網(wǎng)絡系統(tǒng)的很多危險的威脅卻是來自未知的漏洞，這樣，如果規(guī)則庫更新不及時，預報準確度也會逐漸降低。2023/2/5網(wǎng)絡入侵與防范講義87漏洞掃描－－問題漏洞庫信息要求漏洞庫信息是基于網(wǎng)絡系統(tǒng)漏洞庫的漏洞掃描的主要判斷依據(jù)。如果漏洞庫信息不全面或得不到即時的更新，不但不能發(fā)揮漏洞掃描的作用，還會給系統(tǒng)管理員以錯誤的引導，從而對系統(tǒng)的安全隱患不能采取有效措施并及時的消除。2023/2/5網(wǎng)絡入侵與防范講義882.3掃描工具賞析掃描工具概述如何獲取掃描工具常用掃描工具常用掃描工具比較其它掃描工具2023/2/5網(wǎng)絡入侵與防范講義89掃描工具概述如果掃描范圍具有一定的規(guī)模，比如要在一個較大的范圍內(nèi)對網(wǎng)絡系統(tǒng)進行安全評估，那就需要使用一些多功能的綜合性工具。一般來說，這些多功能的綜合性掃描工具，都可以對大段的網(wǎng)絡IP進行掃描，其掃描內(nèi)容非常廣泛，基本上包含了各種專項掃描工具的各個方面。我們將要介紹的掃描工具都是綜合性掃描工具。2023/2/5網(wǎng)絡入侵與防范講義90如何獲取掃描工具掃描工具大本營/tools/1.html（xfocus的網(wǎng)站上的，下載速度也還可以接受）/（黑鷹基地華南站，菜鳥級工具較多）各種工具的官方主頁//有些工具是系統(tǒng)自帶的，比如windows和linux中的ping，linux中的nmap2023/2/5網(wǎng)絡入侵與防范講義91常用掃描工具SATAN(安全管理員的網(wǎng)絡分析工具用于掃描遠程主機，發(fā)現(xiàn)漏洞)古老的經(jīng)典Nmap 掃描技術集大成者Nessus 黑客的血滴子，網(wǎng)管的百寶箱X-scan 國內(nèi)黑客的最愛2023/2/5網(wǎng)絡入侵與防范講義92SATANSATAN概述SATAN的分級輕度掃描標準掃描重度掃描攻入系統(tǒng)SATAN的特點2023/2/5網(wǎng)絡入侵與防范講義93SATAN概述SATAN是SecurityAdministratorToolforAnalyzingNetworks（用于分析網(wǎng)絡的安全管理員工具）的縮寫，作者是DanFarmer和WietseVenema。1995年4月5日，SATAN的發(fā)布引起了軒然大波。但是引起爭論的更重要的原因，主要是SATAN帶來了關于網(wǎng)絡安全的全新觀念。2023/2/5網(wǎng)絡入侵與防范講義94SATAN概述(2)在SATAN發(fā)表之前，關于網(wǎng)絡安全的防護上，模糊安全論已經(jīng)有很長一段時間的討論。模糊安全的概念——是大多數(shù)軟件、操作系統(tǒng)廠商喜歡處理安全漏洞的一種方法，他們認為安全漏洞應該隱藏，不要在文檔中公布，因為很少人會發(fā)現(xiàn)這些漏洞，即使有人發(fā)現(xiàn)這些漏洞，也不會去研究和利用漏洞。2023/2/5網(wǎng)絡入侵與防范講義95SATAN概述(3)實際上隨著軟件規(guī)模的日益增大，盡管程序員一般不會故意在程序中留下漏洞，軟件中出現(xiàn)安全漏洞也是不可避免的。及時地公布安全漏洞和補丁，讓網(wǎng)絡管理員及時進行補救，才是正確的方法。而SATAN的公布，的確促使所有的操作系統(tǒng)廠商意識到應該及時修正他們的系統(tǒng)中的漏洞。2023/2/5網(wǎng)絡入侵與防范講義96SATAN概述(4)SATAN的出現(xiàn)，帶來了網(wǎng)絡安全方面的全新的觀念：以黑客的方式來思考網(wǎng)絡安全的問題。這個觀念體現(xiàn)在Farmer和Venema于1993年發(fā)表的文章《通過攻入你的網(wǎng)站來提高安全》（ImprovingtheSecurityofYourSitebyBreakingIntoIt）中。2023/2/5網(wǎng)絡入侵與防范講義97SATAN的分級輕度掃描標準掃描重度掃描攻入系統(tǒng)2023/2/5網(wǎng)絡入侵與防范講義98輕度掃描輕度掃描包含最少的入侵掃描。SATAN從域名系統(tǒng)（DomainNameSystem，簡稱DNS）收集信息，看看主機提供哪些遠程過程調(diào)用，通過網(wǎng)絡提供哪些文件共享。根據(jù)這些信息，SATAN就得到主機的一般信息。2023/2/5網(wǎng)絡入侵與防范講義99標準掃描在這個層次上，SATAN探測常見的網(wǎng)絡服務，包括finger、remotelogin、ftp、www、gopher、email等。根據(jù)這些信息，SATAN能判斷主機的類型，是Windows服務器，還是HP-UNIX，Soloaris還是Linux，甚至還能探測服務器軟件的版本。2023/2/5網(wǎng)絡入侵與防范講義100重度掃描當知道目標主機提供什么服務之后，SATAN進行更深入的掃描。在這個掃描級別上，SATAN探測匿名服務器的目錄是不是可寫，XWindows服務器是不是關閉了訪問控制，/etc/hosts.equiv文件中是否有“*”號，等等。2023/2/5網(wǎng)絡入侵與防范講義101攻入系統(tǒng)本級別還包括了對系統(tǒng)進行的攻擊、清掃攻擊時留下的痕跡、隱藏自己等，不過SATAN只提出了這一級別的思想，但并沒有實現(xiàn)。2023/2/5網(wǎng)絡入侵與防范講義102SATAN的特點SATAN作為最早的并且是最典型的掃描工具，具備以下特點：掃描指定的主機系統(tǒng)掃描常見的弱點給數(shù)據(jù)分析提供幫助總之，SATAN能夠自動掃描本地和遠程系統(tǒng)的弱點，為系統(tǒng)的安全或遠程攻擊提供幫助。2023/2/5網(wǎng)絡入侵與防范講義103NMAPNMAP簡介NMAP基本功能NMAP使用說明NMAP使用示例NMAP特點NMAP簡介Nmap(NetworkMapper,網(wǎng)絡映射器)，是由Fyodor制作的端口掃描工具。它除了提供基本的TCP和UDP端口掃描功能外，還綜合集成了眾多掃描技術，可以說，現(xiàn)在的端口掃描技術很大程度上是根據(jù)Nmap的功能設置來劃分的。Nmap還有一個卓越的功能，那就是采用一種叫做“TCP棧指紋鑒別(stackfingerprinting)”的技術來探測目標主機的操作系統(tǒng)類型。NMAP基本功能其基本功能有三個：探測一組主機是否在線主機掃描技術掃描主機端口，嗅探所提供的網(wǎng)絡服務端口掃描技術還可以推斷主機所用的操作系統(tǒng)遠程主機OS指紋識別2023/2/5網(wǎng)絡入侵與防范講義106NMAP使用說明Ping掃描：了解哪些機器是up的nmap–sP缺省時同時使用發(fā)送icmp和對80端口發(fā)送ack來探測可以用nmap–sP–P0不發(fā)送icmp消息TCPconnect掃描：nmap–sTTCPSYN掃描nmap–sSTCPFIN,XMAS,NULL掃描：nmap–sFnmap–sXnmap–sNUDP掃描：nmap–sU2023/2/5網(wǎng)絡入侵與防范講義107NMAP使用示例(ping掃描)使用-sP選項進行ping掃描，缺省情況下，Nmap給每個掃描到的主機發(fā)送一個ICMPecho包和一個TCPACK包，主機對這兩種包的任何一種產(chǎn)生的響應都會被Nmap得到。Nmap也提供掃描整個網(wǎng)絡的簡易手段。下圖是對一個網(wǎng)段進行ping掃描的情況。2023/2/5網(wǎng)絡入侵與防范講義108NMAP使用示例(TCPconnect掃描)使用-sT選項指定進行TCPconnect端口掃描（全掃描），如果不指定端口號，缺省情況下Nmap會掃描1-1024和nmap-services文件(在Nmap下載包中)中列出的服務端口號。下圖是利用-sT對192．168．0．1主機進行TCPconnect掃描的情況，掃描端口為TCP21-25、80以及139端口，最終結果顯示，21、25、80和139端口是開放的。2023/2/5網(wǎng)絡入侵與防范講義109NMAP使用示例(UDP端口掃描)Nmap也可以用于進行UDP端口掃描，只需要指定-sU選項，或者還可以指定掃描的目標端口，掃描情況如圖所示。2023/2/5網(wǎng)絡入侵與防范講義110NMAP使用示例(操作系統(tǒng)類型探測)Nmap可以進行目標主機操作系統(tǒng)類型的探測，這需要使用-O選項。另外，我們可以使用-P0選項來指定不進行ping掃描。-v選項可以指定詳細結果輸出。下圖所示的例子中，綜合運用了上述選項。NMAP特點NMAP是一款開源的掃描工具,用于系統(tǒng)管理員查看一個大型的網(wǎng)絡有哪些主機以及其上運行何種服務。它支持多種協(xié)議多種形式的掃描技術，還提供一些實用功能如通過TCP/IP來鑒別操作系統(tǒng)類型、秘密掃描、動態(tài)延遲和重發(fā)、平行掃描、通過并行的PING鑒別下屬的主機、欺騙掃描、端口過濾探測、直接的RPC掃描、分布掃描、靈活的目標選擇以及端口的描述。NMAP主要的特色就是多種掃描模式以及指紋識別技術。2023/2/5網(wǎng)絡入侵與防范講義112NessusNessus的特點Nessus的結構Nessus的掃描過程Nessus的安裝Nessus的配置運行用Nessus進行掃描2023/2/5網(wǎng)絡入侵與防范講義113Nessus簡介Nessus是一個功能強大而又簡單易用的網(wǎng)絡安全掃描工具，對網(wǎng)絡管理員來說，它是不可多得的審核堵漏工具。2000年、2003年、2006年，Nmap官方在Nmap用戶中間分別發(fā)起“Top50SecurityTools”、“Top75SecurityTools”、“Top100SecurityTools”的評選活動，Nessus“戰(zhàn)勝”眾多的商業(yè)化漏洞掃描工具而三次奪魁。Nessus被譽為黑客的血滴子，網(wǎng)管的百寶箱。2023/2/5網(wǎng)絡入侵與防范講義114Nessus簡介(2)Nessus采用基于插件的技術。工作原理是通過插件模擬黑客的攻擊，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。Nessus可以完成多項安全工作，如掃描選定范圍內(nèi)的主機的端口開放情況、提供的服務、是否存在安全漏洞等等。2023/2/5網(wǎng)絡入侵與防范講義115Nessus的特點它是免費的，比起商業(yè)的安全掃描工具如ISS具有價格優(yōu)勢。采用了基于多種安全漏洞的掃描，避免了掃描不完整的情況。Nessus基于插件體制，擴展性強，支持及時的在線升級，可以掃描自定義漏洞或者最新安全漏洞。Nessus采用客戶端/服務端機制，容易使用、功能強大。2023/2/5網(wǎng)絡入侵與防范講義116Nessus的功能與所用的技術主機掃描技術端口掃描技術遠程主機OS識別漏洞掃描技術這是比Nmap多的功能Nessus自帶的上萬個掃描插件是其最引人注目的功能2023/2/5網(wǎng)絡入侵與防范講義117Nessus的結構2023/2/5網(wǎng)絡入侵與防范講義118Nessus的掃描過程2023/2/5網(wǎng)絡入侵與防范講義119Nessus的安裝Nessus的服務器可以安裝在Linux、FreeBSD、Solaris、MacOSX、Windows上?？蛻舳擞蠰inux/Windows的GUI。如果想在多臺計算機中使用Nessus，可以在一臺計算機中安裝服務器，其它計算機中安裝客戶端，客戶端連接到服務器就可以進行掃描。服務器自帶了掃描功能。Nessus4以前的版本是c/s模式的，Nessus4以后已經(jīng)完全是b/s模式的，需要在網(wǎng)站上直接安裝。官網(wǎng)：2023/2/5網(wǎng)絡入侵與防范講義120Nessus的安裝(2)在Windows下安裝Nessus(服務端)，安裝完成后主界面如圖。2023/2/5網(wǎng)絡入侵與防范講義121Nessus的安裝(3)在Windows下安裝NessusWX(客戶端)，安裝完成后主界面如圖。2023/2/5網(wǎng)絡入侵與防范講義122Nessus的配置運行Nessus服務器端插件升級2023/2/5網(wǎng)絡入侵與防范講義123Nessus的配置運行（2）Nessus服務器端為客戶端分配登陸用戶2023/2/5網(wǎng)絡入侵與防范講義124用Nessus進行掃描(1)啟動Nessus客戶端，操作者需要指定Nessus服務器的IP地址、端口號、通信加密方式以及登陸帳號、口令。2023/2/5網(wǎng)絡入侵與防范講義125用Nessus進行掃描(2)(2)創(chuàng)建掃描會話，在此例中，掃描本機。2023/2/5網(wǎng)絡入侵與防范講義126用Nessus進行掃描(3)(3)開始掃描2023/2/5網(wǎng)絡入侵與防范講義127用Nessus進行掃描(4)(4)掃描結果報告，說明在1433端口開啟了SqlServer服務，且存在弱口令漏洞：用戶sa的密碼為sa。2023/2/5網(wǎng)絡入侵與防范講義128X-scanX-scan概述X-scan功能簡介X-scan圖形主界面案例：用X-Scan掃描一個網(wǎng)段的主機X-scan的命令行掃描2023/2/5網(wǎng)絡入侵與防范講義129X-Scan概述X-Scan是國內(nèi)最著名的綜合掃描器，它完全免費，是不需要安裝的綠色軟件、界面支持中文和英文兩種語言、包括圖形界面和命令行方式。主要由國內(nèi)著名的網(wǎng)絡安全組織“安全焦點”（）完成，“冰河木馬”的作者是其核心作者之一。從2000年的內(nèi)部測試版X-ScanV0.2到目前的最新版本X-ScanV3.3都凝聚了國內(nèi)眾多專家的心血。X-Scan把掃描報告對掃描到的每個漏洞進行“風險等級”評估，并提供漏洞描述、漏洞溢出程序，方便網(wǎng)管測試、修補漏洞。2023/2/5網(wǎng)絡入侵與防范講義130X-scan功能簡介采用多線程方式對指定IP地址段（或單機）進行安全漏洞檢測，支持插件功能。3.0及后續(xù)版本提供了簡單的插件開發(fā)包，便于有編程基礎的朋友自己編寫或將其他調(diào)試通過的代碼修改為X-Scan插件。2023/2/5網(wǎng)絡入侵與防范講義131X-scan功能簡介(2)掃描內(nèi)容包括：遠程服務類型、操作系統(tǒng)類型及版本，各種弱口令漏洞、后門、應用服務漏洞、網(wǎng)絡設備漏洞、拒絕服務漏洞等20多個大類。對于多數(shù)已知漏洞，給出了相應的漏洞描述、解決方案及詳細描述鏈接。因此，X-scan與Nessus一樣，也完成了主機掃描、端口掃描、遠程主機OS識別和漏洞掃描四大功能。2023/2/5網(wǎng)絡入侵與防范講義132X-scan圖形主界面2023/2/5網(wǎng)絡入侵與防范講義133案例：用X-Scan掃描一個網(wǎng)段的主機步驟1設置掃描參數(shù)步驟2開始掃描步驟3查看掃描報告 此案例中使用的X-scan版本是V3.32023/2/5網(wǎng)絡入侵與防范講義1341設置掃描參數(shù)2023/2/5網(wǎng)絡入侵與防范講義135檢測范圍通過右側窗口的“指定IP范圍”可以輸入獨立的IP地址或域名，也可輸入以“-”和“,”分隔的IP地址范圍，如“-20，0-54”，或類似“/24”的格式。2023/2/5網(wǎng)絡入侵與防范講義136全局設置“掃描模塊”項：選擇本次掃描需要加載的插件“并發(fā)掃描”項：設置并發(fā)掃描的主機和并發(fā)線程數(shù)，也可以單獨為每個主機的各個插件設置最大線程數(shù)“網(wǎng)絡設置”項：設置適合的網(wǎng)絡適配器“掃描報告”項：掃描結束后生成的報告文件名，保存在LOG目錄下“其他設置”項2023/2/5網(wǎng)絡入侵與防范講義137插件設置該模塊提供對各個插件的設置方法。包括如圖所示幾項內(nèi)容。2023/2/5網(wǎng)絡入侵與防范講義1382開始掃描在此案例中，設置檢測范圍為0-20，其它使用默認設置，掃描過程如圖所示。2023/2/5網(wǎng)絡入侵與防范講義1393查看掃描報告詳細漏洞信息見下頁圖2023/2/5網(wǎng)絡入侵與防范講義140說明：9的phpMyAdmin存在高危漏洞2023/2/5網(wǎng)絡入侵與防范講義141X-scan的命令行掃描以上介紹了X-Scan圖形界面的使用方法。另外，X-Scan還有一個命令行方式的掃描程序。其原理與圖形界面的X-Scan相同，所不同的是使用的方法不同而已。圖形界面的掃描器主要用在本機執(zhí)行，而命令行下的掃描器經(jīng)常被入侵者用來制作第三方掃描。2023/2/5網(wǎng)絡入侵與防范講義142常用掃描工具比較主機掃描端口掃描OS識別漏洞掃描NmapNessusX-scan掃描工具掃描技術2023/2/5網(wǎng)絡入侵與防范講義143其它掃描工具AdvanceLANScannerBlue’sPortScannerNBSI2Fluxay（流光）X-portSuperScanISS2023/2/5網(wǎng)絡入侵與防范講義1442.4掃描的防御反掃描技術端口掃描監(jiān)測工具防火墻技術審計技術其它防御技術2023/2/5網(wǎng)絡入侵與防范講義145反掃描技術反掃描技術是針對掃描技術提出的。掃描技術一般可以分為主動掃描和被動掃描兩種，它們的共同點在于在其執(zhí)行的過程中都需要與受害主機互通正常或非正常的數(shù)據(jù)報文。2023/2/5網(wǎng)絡入侵與防范講義146主動掃描其中主動掃描是主動向受害主機發(fā)送各種探測數(shù)據(jù)包，根據(jù)其回應判斷掃描的結果。因此防范主動掃描可以從以下幾個方面入手：（1）減少開放端口，做好系統(tǒng)防護；（2）實時監(jiān)測掃描，及時做出告警；（3）偽裝知名端口，進行信息欺騙。2023/2/5網(wǎng)絡入侵與防范講義147被動掃描被動掃描由其性質(zhì)決定，它與受害主機建立的通常是正常連接，發(fā)送的數(shù)據(jù)包也屬于正常范疇，而且被動掃描不會向受害主機發(fā)送大規(guī)模的探測數(shù)據(jù)，因此其防范方法到目前為止只能采用信息欺騙（如返回自定義的banner信息或偽裝知名端口）這一種方法。端口掃描監(jiān)測工具對網(wǎng)絡管理員來說，盡早的發(fā)現(xiàn)黑客的掃描活動，也許就能及時采取措施，避免黑客進一步實施真正的攻擊和破壞。監(jiān)測端口掃描的工具有好多種，最簡單的一種是在某個不常用的端口進行監(jiān)聽，如果發(fā)現(xiàn)有對該端口的外來連接請求，就認為有端口掃描。一般這些工具都會對連接請求的來源進行反探測，同時彈出提示窗口。另一類工具，是在混雜模式下抓包并進一步分析判斷。它本身并不開啟任何端口。這類端口掃描監(jiān)視器十分類似IDS系統(tǒng)中主要負責行使端口掃描監(jiān)測職責的模塊。蜜罐系統(tǒng)也是一種非常好的防御方法。端口掃描監(jiān)測工具下面列出幾種端口掃描的監(jiān)測工具ProtectXWinetd和DTK：蜜罐工具PortSentry2023/2/5網(wǎng)絡入侵與防范講義150防火墻技術防火墻技術是一種允許內(nèi)部網(wǎng)接入外部網(wǎng)絡，但同時又能識別和抵抗非授權訪問的網(wǎng)絡技術，是網(wǎng)絡控制技術中的一種。防火墻的目的是要在內(nèi)部、外部兩個網(wǎng)絡之間建立一個安全控制點，控制所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都經(jīng)過防火墻，并檢查這些信息，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡的服務和訪問的審計和控制。防火墻技術(2)個人防火墻和企業(yè)級防火墻因為其應用場景不同，也在功能、性能等方面有所差異。下面列出幾種個人防火墻產(chǎn)品ZoneAlarmProBlackICENortonPersonalFirewall天網(wǎng)防火墻2023/2/5網(wǎng)絡入侵與防范講義152審計技術審計技術是使用信息系統(tǒng)自動記錄下的網(wǎng)絡中機器的使用時間、敏感操作和違紀操作等，為系統(tǒng)進行事故原因查詢、事故發(fā)生后的實時處理提供詳細可靠的依據(jù)或支持。審計技術可以記錄網(wǎng)絡連接的請求、返回等信息，從中識別出掃描行為。審計技術(2)以Web服務器為例，它的日志記錄能幫助我們跟蹤客戶端IP地址，確定其地理位置信息，檢測訪問者所請求的路徑和文件，了解訪問狀態(tài)，檢查訪問者使用的瀏覽器版本和操作系統(tǒng)類型等。下面簡要介紹兩種經(jīng)常使用的服務器——IIS服務器和Apache服務器的日志文件。IIS服務器的日志記錄IIS服務器工作在Windows平臺上。服務器日志一般放在“%SystemRoot%/System32/LogFiles”目錄下，該目錄用于存放IIS服務器關于WWW、FTP、SMTP等服務的日志目錄。WWW服務的日志目錄是“W3SVCn”，這里的“n”是數(shù)字，表示第幾個WWW網(wǎng)站（虛擬主機），F(xiàn)TP服務的日志目錄是“MSFTPSVCn”，“n”的含義與前類似。IIS服務器的日志記錄(2)IIS服務器的日志格式MicrosoftIISLogFileFormat（IIS日志文件格式，一個固定的ASCII格式）NCSACommonLogFileFormat（NCSA通用日志文件格式）W3CEx