8网络扫描与网络监听

1,二扫描,扫描的目的就是利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟正常的连接或攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。扫描可以定位节点、发现运行的服务、发现可能的安全漏洞,2,扫描器,扫描器主要分主机扫描器及网络扫描器两大类型：主机扫描器用于扫描本地主机，查找安全漏洞，查杀病毒，木马，蠕虫等危害系统安全的恶意程序我们主要关注网络扫描器,3,扫描器究竟能干什么？,端口及服务检测:检测目标主机上开放端口及运行的服务，并提示安全隐患的可能存在与否后门程序检测:检测PCANYWAYVNCBO2K冰河等等远程控制程序是否有存在于目标主机密码探测:检测操作系统用户密码，FTP、POP3、Telnet等等登陆或管理密码的脆弱性.应用程序安全性探测:检测CGI漏洞，WEB服务器IIS，APACHE等，FTP服务器等的安全漏洞,4,D.o.S.探测检测各种拒绝服务漏洞是否存在系统探测检测系统信息比如NT注册表，用户和组，网络情况等输出报告将检测结果整理出清单报告给用户，许多扫描器也会同时提出安全漏洞解决方案用户自定义接口一些扫描器允许用户自己添加扫描规则，并为用户提供一个便利的接口，比如俄罗斯SSS的BaseSDK,5,什么人经常使用/需要使用这种工具？,提供安全检测服务的安全公司的技术员在得到客户授权后，需要使用扫描工具来对客户的主机进行漏洞发掘，查点工作，在对主机彻头彻尾检查过之后，才能完成他的工作-提交给客户关于主机完整详细的安全解决方案,6,网络脚本小子Scriptkiddie，在网络上四处搜寻一些公开exploit信息，搜索引擎等WEB工具，匹配特殊的字符串来搜索存在这些漏洞的主机，以进行他们的游戏，在这个过程中扫描工具绝对是他们的一大帮凶，没有扫描工具的协助，他们很可能不能如此迅速没有了扫描工具意味着无法进行入侵行动,进入你的主机！可见，存在于网络上的扫描工具亦正亦邪，关键在于使用它们的人的动机。,7,1.主机扫描技术,主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果直接影响到后续的扫描。常用的传统扫描手段有：ICMPEcho扫描ICMPSweep扫描BroadcastICMP扫描Non-EchoICMP扫描,8,主机扫描技术举例：ICMPecho扫描,实现原理：Ping的实现机制，在判断在一个网络上主机是否开机时非常有用。向目标主机发送ICMPEchoRequest(type8)数据包，等待回复的ICMPEchoReply包(type0)。如果能收到，则表明目标系统可达，否则表明目标系统已经不可达或发送的包被对方的设备过滤掉。优点：简单，系统支持，可以通过并行发送，同时探测多个目标主机，以提高探测效率（ICMPSweep扫描）。缺点：很容易被防火墙限制。,9,主机扫描技术举例：Non-EchoICMP扫描,一些其它ICMP类型包也可以用于对主机或网络设备的探测，如：StampRequest(Type13):请求系统返回当前时间。目的是查看系统所在的时区。Reply(Type14)InformationRequest(Type15)Reply(Type16)AddressMaskRequest(Type17):地址掩码请求分组，即能请求返回某个设备的子网掩码。Reply(Type18),10,2.扫描确定哪些服务在运行,端口扫描：连接到目标系统的TCP和UDP端口上，确定哪些服务正在运行，即处于监听状态。确认监听着的端口对于确定目标系统所使用的操作系统和应用程序的类型至关重要。目的：确定运行在目标系统上的TCP服务和UDP服务。确定目标系统的操作系统类型。确定特定的应用程序或特定服务的版本。,11,端口扫描技术,当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和各种应用监听的端口。端口扫描技术主要包括以下三类：开放扫描会产生大量的审计数据，容易被对方发现，但其可靠性高；隐蔽扫描能有效的避免对方入侵检测系统和防火墙的检测，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息；半开放扫描隐蔽性和可靠性介于前两者之间。,12,开放扫描技术TCPConnect扫描,实现原理：通过调用socket函数connect()连接到目标计算机上，完成一次完整的三次握手过程。如果端口处于侦听状态，那么connect()就能成功返回。否则，这个端口不可用，即没有提供服务。优点：稳定可靠，不需要特殊的权限缺点：扫描方式不隐蔽，服务器日志会记录下大量密集的连接和错误记录，并容易被防火墙发现和屏蔽,13,半开放扫描技术TCPSYN扫描,实现原理：扫描器向目标主机端口发送SYN包。如果应答是RST包，那么说明端口是关闭的；如果应答中包含SYN和ACK包，说明目标端口处于监听状态，再传送一个RST包给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半连接扫描优点：隐蔽性较全连接扫描好，一般系统对这种半扫描很少记录缺点：通常构造SYN数据包需要超级用户或者授权用户访问专门的系统调用,14,隐蔽扫描技术TCPFIN扫描,实现原理：扫描器向目标主机端口发送FIN包。当一个FIN数据包到达一个关闭的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是打开的端口，数据包只是简单的丢掉（不返回RST）。优点：由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而必SYN扫描隐蔽得多，FIN数据包能够通过只监测SYN包的包过滤器。缺点：跟SYN扫描类似，需要自己构造数据包，要求由超级用户或者授权用户访问专门的系统调用；通常适用于UNIX目标主机，除过少量的应当丢弃数据包却发送RST包的操作系统（包括CISCO，HP/UX，MVS和IRIX）。但在Windows95/NT环境下，该方法无效，因为不论目标端口是否打开，操作系统都返回RST包。,15,3.检测操作系统,原理：根据各个OS在TCP/IP协议栈实现上的不同特点，采用黑盒测试方法，通过研究其对各种探测的响应形成识别指纹，进而识别目标主机运行的操作系统。根据采集指纹信息的方式，又可以分为主动扫描和被动扫描两种方式。,16,被动扫描,通过Sniff收集数据包，再对数据包的不同特征（TCPWindow-size、IPTTL、IPTOS、DF位等参数）进行分析，来识别操作系统。被动扫描基本不具备攻击特征，具有很好的隐蔽性，但其实现严格依赖扫描主机所处的网络拓扑结构；和主动探测相比较，具有速度慢、可靠性不高等缺点。,17,被动扫描技术举例,TTL-这个数据是操作系统对出站的信息包设置的存活时间。WindowSize-是操作系统设置的窗口大小，这个窗口大小是在发送FIN信息包时包含的选项。DF-可以查看是否操作系统设置了不准分片位TOS-是否操作系统设置了服务类型,18,主动扫描,采用向目标系统发送构造的特殊包并监控其应答的方式来识别操作系统类型。主动扫描具有速度快、可靠性高等优点，但同样严重依赖于目标系统网络拓扑结构和过滤规则。,19,主动扫描技术举例,FIN探测：发送一个FIN包给一个打开的端口，一般的行为是不响应，但某些实现例如MSWindows,BSDI,CISCO,HP/UX,MVS,和IRIX发回一个RESET。BOGUS标记探测：设置一个未定义的TCP标记（64或128）在SYN包的TCP头里。Linux机器到2.0.35之前在回应中保持这个标记。TCPISN取样：找出当响应一个连接请求时由TCP实现所选择的初始化序列数式样。这可分为许多组例如传统的64K（许多老UNIX机器），随机增量（新版本的Solaris，IRIX，FreeBSD，DigitalUNIX，Cray，等），真“随机”（Linux2.0.*，OpenVMS,新的AIX,等），Windows机器（和一些其他的）用一个“时间相关”模型，每过一段时间ISN就被加上一个小的固定数。,20,扫描方式,扫描方式可以分成两大类：主动式扫描：基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞被动式扫描：基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查被动式扫描不会对系统造成破坏，而主动式扫描对系统进行模拟攻击，可能会对系统造成破坏。,21,被动式策略扫描,被动式策略是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。被动式扫描不会对系统造成破坏，而主动式扫描对系统进行模拟攻