网络扫描专题课件

1、网络扫描专题课件网络扫描网络扫描u扫描的基本概念扫描的基本概念u扫描的主要步骤扫描的主要步骤u网络扫描技术网络扫描技术u常用扫描工具常用扫描工具网络扫描专题课件一、扫描的基本概念一、扫描的基本概念什么是网络扫描什么是网络扫描为什么需要网络扫描为什么需要网络扫描网络扫描的主要功能网络扫描的主要功能网络扫描专题课件什么是网络扫描什么是网络扫描网络扫描是一种检测目标网络或本地主机网络扫描是一种检测目标网络或本地主机安全性脆弱点的技术。安全性脆弱点的技术。l安全评估工具安全评估工具系统管理员保障系统安全的有效工具系统管理员保障系统安全的有效工具l网络漏洞扫描网络漏洞扫描 网络入侵者收集信息的重要手段网

2、络入侵者收集信息的重要手段网络扫描专题课件为什么需要网络扫描为什么需要网络扫描由于网络技术的飞速发展，网络规模迅猛增长和计由于网络技术的飞速发展，网络规模迅猛增长和计算机系统日益复杂，导致新的系统漏洞层出不穷。算机系统日益复杂，导致新的系统漏洞层出不穷。由于系统管理员的疏忽或缺乏经验，导致旧有的漏由于系统管理员的疏忽或缺乏经验，导致旧有的漏洞依然存在。洞依然存在。许多人出于好奇或别有用心，不停的窥视网上资源。许多人出于好奇或别有用心，不停的窥视网上资源。网络扫描专题课件网络扫描器的主要功能网络扫描器的主要功能扫描目标主机识别其扫描目标主机识别其工作状态工作状态（开（开/关机）关机）识别目标主机

3、识别目标主机端口的状态端口的状态（开（开/关闭）关闭）识别目标主机系统及服务程序的识别目标主机系统及服务程序的类型和版本类型和版本根据已知漏洞信息，分析根据已知漏洞信息，分析系统脆弱点系统脆弱点生成扫描结果报告生成扫描结果报告网络扫描专题课件二、扫描的主要步骤二、扫描的主要步骤网络扫描专题课件TCP协议TCP数据包格式TCP标志位标志位lACK：确认标志确认标志lRST：复位标志复位标志lURG： 紧急标志紧急标志lSYN：建立连接标志建立连接标志lPSH：推标志推标志lFIN：结束标志结束标志网络扫描专题课件ICMP协议Internet Control Message Protocol，是，

4、是IP的一部分。的一部分。用途：用途：l网关或者目标主机利用网关或者目标主机利用ICMP与源主机通讯与源主机通讯l当出现问题时，提供反馈信息用于报告错误当出现问题时，提供反馈信息用于报告错误特点：特点：l其控制能力并不用于保证传输的可靠性其控制能力并不用于保证传输的可靠性l它本身也不是可靠传输的它本身也不是可靠传输的l并不用来反映并不用来反映ICMP报文的传输情况报文的传输情况网络扫描专题课件三、网络扫描的主要技术三、网络扫描的主要技术主机扫描技术主机扫描技术端口扫描技术端口扫描技术漏洞扫描技术漏洞扫描技术网络扫描专题课件（1）主机扫描技术）主机扫描技术主机扫描的目的是确定在主机扫描的目的是确

5、定在目标网络上的主机目标网络上的主机是否可是否可达。这是达。这是信息收集的初级阶段信息收集的初级阶段，其效果直接影响到，其效果直接影响到后续的扫描。后续的扫描。常用的传统扫描手段有：常用的传统扫描手段有：lICMP Echo扫描扫描lICMP Sweep扫描扫描lBroadcast ICMP扫描扫描l主机扫描高级技术主机扫描高级技术网络扫描专题课件A. ICMP echo扫描实现原理：实现原理： Ping的实现机制，在判断在一个网络上主机是否开机时非常有用。向的实现机制，在判断在一个网络上主机是否开机时非常有用。向目标主机发送目标主机发送ICMP Echo Request (type 8)数据

6、包，等待回复的数据包，等待回复的ICMP Echo Reply 包包(type 0) 。如果能收到，则表明目标系统可达，否则表。如果能收到，则表明目标系统可达，否则表明目标系统已经不可达或发送的包被对方的设备过滤掉。明目标系统已经不可达或发送的包被对方的设备过滤掉。 优点：优点：l简单，系统支持简单，系统支持l可以通过并行发送，同时探测多个目标主机，以提高探测效率可以通过并行发送，同时探测多个目标主机，以提高探测效率（ICMP Sweep扫描）扫描）缺点：缺点：l很容易被防火墙限制很容易被防火墙限制网络扫描专题课件B. Broadcast ICMP扫描实现原理：实现原理：l将将ICMP请求包的

7、请求包的目标地址设为广播地址或网络地址目标地址设为广播地址或网络地址，则，则可以探测广播域或整个网络范围内的主机。可以探测广播域或整个网络范围内的主机。缺点：缺点：l只适合于只适合于UNIX/Linux系统，系统，Windows 会忽略这种请求包；会忽略这种请求包；l这种扫描方式容易引起广播风暴这种扫描方式容易引起广播风暴l很容易被防火墙限制很容易被防火墙限制网络扫描专题课件C. 主机扫描高级技术主机扫描高级技术原理：原理： 向目标主机发送构造的向目标主机发送构造的IP包，探测对方的返回信息。包，探测对方的返回信息。 属第三层攻击。属第三层攻击。方式方式1：向目标主机发送一个只有首部的：向目标

8、主机发送一个只有首部的IP包，目标主机将返包，目标主机将返回回“Destination unreachable”.方式方式2：向目标主机一个：向目标主机一个IP包，但协议项是错误的。如果目标包，但协议项是错误的。如果目标主机前有防火墙，则可能被过滤，从而收不到主机前有防火墙，则可能被过滤，从而收不到“Destination unreachable”；可以使用一个非常大的数字（当天未用过）作；可以使用一个非常大的数字（当天未用过）作为协议项，则主机将返回为协议项，则主机将返回“Destination unreachable”，以此可，以此可以判断：以判断：主机开机且有防火墙主机开机且有防火墙主机

9、开机且无防火墙主机开机且无防火墙主机未开机主机未开机网络扫描专题课件方式方式3：（：（探测协议探测协议）向目标主机发送一个）向目标主机发送一个IP包，改变其协议包，改变其协议项，如果返回项，如果返回“Destination unreachable”，则主机没使用这，则主机没使用这个协议；如果未返回任何信息则使用该协议了或使用了防火个协议；如果未返回任何信息则使用该协议了或使用了防火墙。墙。方式方式4：当数据包分片且分片未全部收到，接收端会在超时后：当数据包分片且分片未全部收到，接收端会在超时后发送组装超时发送组装超时ICMP数据包。数据包。l构造不完整的分片，等待目的主机发来的错误信息。构造不

10、完整的分片，等待目的主机发来的错误信息。网络扫描专题课件三、网络扫描的主要技术三、网络扫描的主要技术主机扫描技术主机扫描技术端口扫描技术端口扫描技术漏洞扫描技术漏洞扫描技术网络扫描专题课件（2）端口扫描技术当确定了目标主机可达后，就可以使用端口扫描技术，当确定了目标主机可达后，就可以使用端口扫描技术，发现目发现目标主机的开放端口标主机的开放端口，包括网络协议和各种应用监听的端口。，包括网络协议和各种应用监听的端口。端口扫描技术主要包括：端口扫描技术主要包括：lTCP扫描扫描全连接扫描全连接扫描半连接扫描半连接扫描(TCP SYN扫描扫描)TCP FIN扫描扫描(秘密扫描秘密扫描)TCP Xma

11、s和和TCP Null扫描扫描间接扫描间接扫描lUDP扫描扫描l其他扫描技术其他扫描技术网络扫描专题课件A. TCP 扫描网络扫描专题课件A1. TCP 全连接扫描实现原理：实现原理：l通过调用通过调用socket函数函数connect()连接到目标计算机上，完成一次连接到目标计算机上，完成一次完整的三次握手完整的三次握手过程。如果端口处于侦听状态，那么过程。如果端口处于侦听状态，那么connect()就能成功返回；否则，这个端口不可用，即没有提供服务。就能成功返回；否则，这个端口不可用，即没有提供服务。优点：优点：l稳定可靠，不需要特殊的权限。稳定可靠，不需要特殊的权限。缺点：缺点：l扫描方

12、式不隐蔽，服务器日志会记录下大量密集的连接和错误扫描方式不隐蔽，服务器日志会记录下大量密集的连接和错误记录记录 ，并容易被防火墙发现和屏蔽。，并容易被防火墙发现和屏蔽。网络扫描专题课件网络扫描专题课件A2. 半连接（TCP SYN）扫描实现原理：实现原理：l扫描器向目标主机端口发送扫描器向目标主机端口发送SYN包。如果应答是包。如果应答是RST包，那么说包，那么说明端口是关闭的；如果应答中包含明端口是关闭的；如果应答中包含SYN和和ACK包，说明目标端包，说明目标端口处于监听状态，再传送一个口处于监听状态，再传送一个RST包给目标机从而停止建立连包给目标机从而停止建立连接。接。l由于在由于在S

13、YN扫描时，扫描时，全连接尚未建立全连接尚未建立，所以这种技术通常被称，所以这种技术通常被称为半连接扫描。为半连接扫描。优点：优点：l隐蔽性较全连接扫描好，一般系统对这种半扫描很少记录。隐蔽性较全连接扫描好，一般系统对这种半扫描很少记录。缺点：缺点：l通常构造通常构造SYN数据包需要数据包需要超级用户或者授权用户访问超级用户或者授权用户访问专门的系专门的系统调用。统调用。网络扫描专题课件网络扫描专题课件A3. TCP FIN扫描实现原理：实现原理：l扫描器向目标主机端口发送扫描器向目标主机端口发送FIN包。当一个包。当一个FIN数据包到达一个关闭数据包到达一个关闭的端口，数据包会被丢掉，并且返

14、回一个的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是数据包。否则，若是打开的端口，数据包只是简单的丢掉（不返回打开的端口，数据包只是简单的丢掉（不返回RST）。）。网络扫描专题课件l优点：优点： 由于这种技术由于这种技术不包含标准的不包含标准的TCP三次握手协议三次握手协议的任何部分，的任何部分，所以无法被记录下来，从而比所以无法被记录下来，从而比SYN扫描隐蔽得多，扫描隐蔽得多，FIN数据包能够数据包能够通过只监测通过只监测SYN包的包过滤器。包的包过滤器。l缺点：缺点： 跟跟SYN扫描类似，需要自己构造数据包，要求由扫描类似，需要自己构造数据包，要求由超级用户或超级用户或者授

15、权用户访问者授权用户访问专门的系统调用；专门的系统调用； 通常通常适用于适用于UNIX目标主机目标主机，在，在Windows95/NT环境下，该方环境下，该方法无效，因为不论目标端口是否打开，操作系统都返回法无效，因为不论目标端口是否打开，操作系统都返回RST包。包。A3. TCP FIN扫描网络扫描专题课件A4. TCP Xmas 和TCP Null 扫描实现原理：实现原理：lTCP Xmas和和Null扫描是扫描是FIN扫描的两个变种。扫描的两个变种。Xmas扫描扫描打开打开FIN，URG和和PUSH标记，而标记，而Null扫描关闭所有标记。扫描关闭所有标记。目的是为了防止数据包被过滤。目

16、的是为了防止数据包被过滤。优点：优点：l隐蔽性好。隐蔽性好。缺点：缺点：l需要自己构造数据包，要求由超级用户或者授权用户权限；需要自己构造数据包，要求由超级用户或者授权用户权限；l通常适用于通常适用于UNIX目标主机，而目标主机，而Windows系统不支持。系统不支持。网络扫描专题课件A5. TCP间接扫描实现原理：实现原理：l利用第三方的利用第三方的IP（欺骗主机）来隐藏真正扫描者的（欺骗主机）来隐藏真正扫描者的IP。由。由于扫描主机会对欺骗主机发送回应信息，所以必须监控欺于扫描主机会对欺骗主机发送回应信息，所以必须监控欺骗主机的骗主机的IP行为，从而获得原始扫描的结果。行为，从而获得原始扫

17、描的结果。l扫描主机通过伪造第三方主机扫描主机通过伪造第三方主机IP地址向目标主机发起地址向目标主机发起SYN扫描，并通过观察其报文段序列号的增长规律获取端口的扫描，并通过观察其报文段序列号的增长规律获取端口的状态状态 。优点：隐蔽性好。优点：隐蔽性好。缺点：对第三方主机的监控要求较高缺点：对第三方主机的监控要求较高 。网络扫描专题课件网络扫描专题课件B. UDP扫描l扫描扫描UDP端口只有一种方法端口只有一种方法向一个向一个未开放的未开放的UDP端口端口发送数据时发送数据时, 其主机就会反回一个其主机就会反回一个ICMP不可达不可达信息信息, 因此大多数因此大多数UDP端口扫描的方法就是向各

18、个被扫描的端口扫描的方法就是向各个被扫描的UDP端口发端口发送零字节的送零字节的UDP数据包数据包, 如果收到一个如果收到一个ICMP不可到达的回应不可到达的回应, 则认为这则认为这个端口是关闭的个端口是关闭的, 对于没有回应的端口则认为是开放的。对于没有回应的端口则认为是开放的。 UDP是一个不可靠的无链接的协议是一个不可靠的无链接的协议, 当向目标主机的当向目标主机的UDP端口发送数据端口发送数据,并不能收到一个开放端口的确认信息并不能收到一个开放端口的确认信息,或是关闭端口的错误信息或是关闭端口的错误信息.l问题：问题：如果目标主机安装有防火墙或其它可以过滤数据包的软硬件如果目标主机安装有防火墙或其它可以过滤数据包的软硬件, 发出发出UDP数据包后数据包后, 将可能得不到任何回应将可能得不到任何回应, 误认为所有的被扫描端口都是开放的误认为所有的被扫描端口都是开放的. 由于由于UDP协议是无连接的协议，这种扫描技术的精确性高度协