网络扫描专题ppt课件

1、网络扫描网络扫描u 扫描的根本概念扫描的根本概念u 扫描的主要步骤扫描的主要步骤u 网络扫描技术网络扫描技术u 常用扫描工具常用扫描工具一、扫描的根本概念一、扫描的根本概念什么是网络扫描什么是网络扫描为什么需求网络扫描为什么需求网络扫描网络扫描的主要功能网络扫描的主要功能什么是网络扫描什么是网络扫描网络扫描是一种检测目的网络或本地主机网络扫描是一种检测目的网络或本地主机平安性脆弱点的技术。平安性脆弱点的技术。平安评价工具平安评价工具系统管理员保证系统平安的有效工具系统管理员保证系统平安的有效工具网络破绽扫描网络破绽扫描 网络入侵者搜集信息的重要手段网络入侵者搜集信息的重要手段为什么需求网络扫描

2、为什么需求网络扫描由于网络技术的飞速开展，网络规模迅猛增长和计由于网络技术的飞速开展，网络规模迅猛增长和计算机系统日益复杂，导致新的系统破绽层出不穷。算机系统日益复杂，导致新的系统破绽层出不穷。由于系统管理员的忽略或缺乏阅历，导致旧有的破由于系统管理员的忽略或缺乏阅历，导致旧有的破绽依然存在。绽依然存在。许多人出于猎奇或别有用心，不停的窥视网上资源。许多人出于猎奇或别有用心，不停的窥视网上资源。网络扫描器的主要功能网络扫描器的主要功能扫描目的主机识别其任务形状开扫描目的主机识别其任务形状开/关机关机识别目的主机端口的形状开识别目的主机端口的形状开/封锁封锁识别目的主机系统及效力程序的类型和版本

3、识别目的主机系统及效力程序的类型和版本根据知破绽信息，分析系统脆弱点根据知破绽信息，分析系统脆弱点生成扫描结果报告生成扫描结果报告二、扫描的主要步骤二、扫描的主要步骤TCP协议TCP数据包格式TCP标志位标志位ACK：确认标志确认标志RST：复位标志复位标志URG： 紧急标志紧急标志SYN：建立衔接标志建立衔接标志PSH：推标志推标志FIN：终了标志终了标志ICMP协议Internet Control Message Protocol，是，是IP的一部分。的一部分。用途：用途：网关或者目的主机利用网关或者目的主机利用ICMP与源主机通讯与源主机通讯当出现问题时，提供反响信息用于报告错误当出现问

4、题时，提供反响信息用于报告错误特点：特点：其控制才干并不用于保证传输的可靠性其控制才干并不用于保证传输的可靠性它本身也不是可靠传输的它本身也不是可靠传输的并不用来反映并不用来反映ICMP报文的传输情况报文的传输情况三、网络扫描的主要技术三、网络扫描的主要技术主机扫描技术主机扫描技术端口扫描技术端口扫描技术破绽扫描技术破绽扫描技术1主机扫描技术主机扫描技术主机扫描的目的是确定在目的网络上的主机能否可主机扫描的目的是确定在目的网络上的主机能否可达。这是信息搜集的初级阶段，其效果直接影响到达。这是信息搜集的初级阶段，其效果直接影响到后续的扫描。后续的扫描。常用的传统扫描手段有：常用的传统扫描手段有：

5、ICMP Echo扫描扫描ICMP Sweep扫描扫描Broadcast ICMP扫描扫描主机扫描高级技术主机扫描高级技术A. ICMP echo扫描实现原理：实现原理： Ping的实现机制，在判别在一个网络上主机能否开机时非常的实现机制，在判别在一个网络上主机能否开机时非常有用。向目的主机发送有用。向目的主机发送ICMP Echo Request (type 8)数据包，等数据包，等待回复的待回复的ICMP Echo Reply 包包(type 0) 。假设能收到，那么阐。假设能收到，那么阐明目的系统可达，否那么阐明目的系统曾经不可达或发送的包明目的系统可达，否那么阐明目的系统曾经不可达或发

6、送的包被对方的设备过滤掉。被对方的设备过滤掉。 优点：优点：简单，系统支持简单，系统支持可以经过并行发送，同时探测多个目的主机，以提高探测效率可以经过并行发送，同时探测多个目的主机，以提高探测效率ICMP Sweep扫描扫描缺陷：缺陷：很容易被防火墙限制很容易被防火墙限制B. Broadcast ICMP扫描实现原理：实现原理：将将ICMP恳求包的目的地址设为广播地址或网络地恳求包的目的地址设为广播地址或网络地址，那么可以探测广播域或整个网络范围内的主机。址，那么可以探测广播域或整个网络范围内的主机。缺陷：缺陷：只适宜于只适宜于UNIX/Linux系统，系统，Windows 会忽略这种会忽略这

7、种恳求包；恳求包；这种扫描方式容易引起广播风暴这种扫描方式容易引起广播风暴很容易被防火墙限制很容易被防火墙限制C. 主机扫描高级技术主机扫描高级技术原理：原理： 向目的主机发送构造的向目的主机发送构造的IP包，探测对方的前往信息。包，探测对方的前往信息。 属第三层攻击。属第三层攻击。方式方式1：向目的主机发送一个只需首部的：向目的主机发送一个只需首部的IP包，目的主机将前包，目的主机将前往往“Destination unreachable.方式方式2：向目的主机一个：向目的主机一个IP包，但协议项是错误的。假设目的包，但协议项是错误的。假设目的主机前有防火墙，那么能够被过滤，从而收不到主机前有

8、防火墙，那么能够被过滤，从而收不到“Destination unreachable；可以运用一个非常大的数字当天未用过作；可以运用一个非常大的数字当天未用过作为协议项，那么主机将前往为协议项，那么主机将前往“Destination unreachable，以此，以此可以判别：可以判别：主机开机且有防火墙主机开机且有防火墙主机开机且无防火墙主机开机且无防火墙主机未开机主机未开机方式方式3：探测协议向目的主机发送一个：探测协议向目的主机发送一个IP包，改动其协议包，改动其协议项，假设前往项，假设前往“Destination unreachable，那么主机没运用，那么主机没运用这个协议；假设未前往

9、任何信息那么运用该协议了或运用了这个协议；假设未前往任何信息那么运用该协议了或运用了防火墙。防火墙。方式方式4：当数据包分片且分片未全部收到，接纳端会在超时后：当数据包分片且分片未全部收到，接纳端会在超时后发送组装超时发送组装超时ICMP数据包。数据包。构造不完好的分片，等待目的主机发来的错误信息。构造不完好的分片，等待目的主机发来的错误信息。三、网络扫描的主要技术三、网络扫描的主要技术主机扫描技术主机扫描技术端口扫描技术端口扫描技术破绽扫描技术破绽扫描技术2端口扫描技术当确定了目的主机可达后，就可以运用端口扫描技术，发现目当确定了目的主机可达后，就可以运用端口扫描技术，发现目的主机的开放端口

10、，包括网络协议和各种运用监听的端口。的主机的开放端口，包括网络协议和各种运用监听的端口。端口扫描技术主要包括：端口扫描技术主要包括：TCP扫描扫描全衔接扫描全衔接扫描半衔接扫描半衔接扫描(TCP SYN扫描扫描)TCP FIN扫描扫描(扫描扫描)TCP Xmas和和TCP Null扫描扫描间接扫描间接扫描UDP扫描扫描其他扫描技术其他扫描技术A. TCP 扫描A1. TCP 全衔接扫描实现原理：实现原理：经过调用经过调用socket函数函数connect()衔接到目的计算机上，完成一衔接到目的计算机上，完成一次完好的三次握手过程。假设端口处于侦听形状，那么次完好的三次握手过程。假设端口处于侦听

11、形状，那么connect()就能胜利前往；否那么，这个端口不可用，即没就能胜利前往；否那么，这个端口不可用，即没有提供效力。有提供效力。优点：优点：稳定可靠，不需求特殊的权限。稳定可靠，不需求特殊的权限。缺陷：缺陷：扫描方式不隐蔽，效力器日志会记录下大量密集的衔接和扫描方式不隐蔽，效力器日志会记录下大量密集的衔接和错误记录错误记录 ，并容易被防火墙发现和屏蔽。，并容易被防火墙发现和屏蔽。A2. 半衔接TCP SYN扫描实现原理：实现原理：扫描器向目的主机端口发送扫描器向目的主机端口发送SYN包。假设应对是包。假设应对是RST包，那包，那么阐明端口是封锁的；假设应对中包含么阐明端口是封锁的；假设

12、应对中包含SYN和和ACK包，阐明包，阐明目的端口处于监听形状，再传送一个目的端口处于监听形状，再传送一个RST包给目的机从而停包给目的机从而停顿建立衔接。顿建立衔接。由于在由于在SYN扫描时，全衔接尚未建立，所以这种技术通常被扫描时，全衔接尚未建立，所以这种技术通常被称为半衔接扫描。称为半衔接扫描。优点：优点：隐蔽性较全衔接扫描好，普通系统对这种半扫描很少记录。隐蔽性较全衔接扫描好，普通系统对这种半扫描很少记录。缺陷：缺陷：通常构造通常构造SYN数据包需求超级用户或者授权用户访问专门的数据包需求超级用户或者授权用户访问专门的系统调用。系统调用。A3. TCP FIN扫描实现原理：实现原理：扫

13、描器向目的主机端口发送扫描器向目的主机端口发送FIN包。当一个包。当一个FIN数据包到达一个数据包到达一个封锁的端口，数据包会被丢掉，并且前往一个封锁的端口，数据包会被丢掉，并且前往一个RST数据包。否那数据包。否那么，假设是翻开的端口，数据包只是简单的丢掉不前往么，假设是翻开的端口，数据包只是简单的丢掉不前往RST。l优点：优点：l 由于这种技术不包含规范的由于这种技术不包含规范的TCP三次握手协议的任何部分，所以三次握手协议的任何部分，所以无法被记录下来，从而比无法被记录下来，从而比SYN扫描隐蔽得多，扫描隐蔽得多，FIN数据包可以经过只监数据包可以经过只监测测SYN包的包过滤器。包的包过

14、滤器。l缺陷：缺陷：l 跟跟SYN扫描类似，需求本人构造数据包，要求由超级用户或者授扫描类似，需求本人构造数据包，要求由超级用户或者授权用户访问专门的系统调用；权用户访问专门的系统调用；l 通常适用于通常适用于UNIX目的主机，在目的主机，在Windows95/NT环境下，该方法环境下，该方法无效，由于不论目的端口能否翻开，操作系统都前往无效，由于不论目的端口能否翻开，操作系统都前往RST包。包。A3. TCP FIN扫描A4. TCP Xmas 和TCP Null 扫描实现原理：实现原理：TCP Xmas和和Null扫描是扫描是FIN扫描的两个变种。扫描的两个变种。Xmas扫描翻开扫描翻开F

15、IN，URG和和PUSH标志，而标志，而Null扫扫描封锁一切标志。目的是为了防止数据包被过滤。描封锁一切标志。目的是为了防止数据包被过滤。优点：优点：隐蔽性好。隐蔽性好。缺陷：缺陷：需求本人构造数据包，要求由超级用户或者授权用需求本人构造数据包，要求由超级用户或者授权用户权限；户权限；通常适用于通常适用于UNIX目的主机，而目的主机，而Windows系统不支系统不支持。持。A5. TCP间接扫描实现原理：实现原理：利用第三方的利用第三方的IP欺骗主机来隐藏真正扫描者的欺骗主机来隐藏真正扫描者的IP。由于扫描主时机对欺骗主机发送回应信息，所。由于扫描主时机对欺骗主机发送回应信息，所以必需监控欺

16、骗主机的以必需监控欺骗主机的IP行为，从而获得原始扫描行为，从而获得原始扫描的结果。的结果。扫描主机经过伪造第三方主机扫描主机经过伪造第三方主机IP地址向目的主机发地址向目的主机发起起SYN扫描，并经过察看其报文段序列号的增长规扫描，并经过察看其报文段序列号的增长规律获取端口的形状律获取端口的形状 。优点：隐蔽性好。优点：隐蔽性好。缺陷：对第三方主机的监控要求较高缺陷：对第三方主机的监控要求较高 。B. UDP扫描l扫描扫描UDP端口只需一种方法端口只需一种方法l向一个未开放的向一个未开放的UDP端口发送数据时端口发送数据时, 其主机就会反回一个其主机就会反回一个ICMP不不可达信息可达信息,

17、 因此大多数因此大多数UDP端口扫描的方法就是向各个被扫描的端口扫描的方法就是向各个被扫描的UDP端口发送零字节的端口发送零字节的UDP数据包数据包, 假设收到一个假设收到一个ICMP不可到达的不可到达的回应回应, 那么以为这个端口是封锁的那么以为这个端口是封锁的, 对于没有回应的端口那么以为是对于没有回应的端口那么以为是开放的。开放的。 lUDP是一个不可靠的无链接的协议是一个不可靠的无链接的协议, 当向目的主机的当向目的主机的UDP端口发送端口发送数据数据,并不能收到一个开放端口确实认信息并不能收到一个开放端口确实认信息,或是封锁端口的错误信或是封锁端口的错误信息息.l问题：问题：l假设目

18、的主机安装有防火墙或其它可以过滤数据包的软硬件假设目的主机安装有防火墙或其它可以过滤数据包的软硬件, 发出发出UDP数据包后数据包后, 将能够得不到任何回应将能够得不到任何回应, 误以为一切的被扫描端口都误以为一切的被扫描端口都是开放的是开放的. l由于由于UDP协议是无衔接的协议，这种扫描技术的准确性高度依赖于协议是无衔接的协议，这种扫描技术的准确性高度依赖于网络性能和系统资源。网络性能和系统资源。反监测扫描技术反监测扫描技术慢速扫描慢速扫描随机地址扫描随机地址扫描IP隐藏隐藏分片段扫描分片段扫描分布式扫描分布式扫描C. 其他扫描技术其他扫描技术C. 其他扫描技术其他扫描技术分段扫描分段扫描不直接发送不直接发送TCP探测数据包，是将数据包分成探测数据包，是将数据包分成两个较小的两个较小的IP段。这样就将一个段。这样就将一个TCP头分成好头分成好几个数据包，从而包过滤器