《网络器的原理与分析.ppt》由会员分享,可在线阅读,更多相关《网络器的原理与分析.ppt(59页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络扫描器的原理与分析主要内容扫描器的基本概念扫描器的工作原理网络扫描的主要技术现有扫描器介绍及选择扫描器的实例分析一、扫描器的基本概念什么是网络扫描器为什么需要网络扫描器网络扫描器的主要功能什么是网络扫描器安全评估工具系统管理员保障系统安全的有效工具网络漏洞扫描器 网络入侵者收集信息的重要手段为什么需要网络扫描器由于网络技术的飞速发展,网络规模迅猛增长和计算机系统日益复杂,导致新的系统漏洞层出不穷由于系统管理员的疏忽或缺乏经验,导致旧有的漏洞依然存在许多人出于好奇或别有用心,不停的窥视网上资源网络扫描器的主要功能扫描目标主机识别其工作状态(开/关机)识别目标主机端口的状态(监听/关闭)识别目
2、标主机系统及服务程序的类型和版本根据已知漏洞信息,分析系统脆弱点生成扫描结果报告二、扫描器的工作原理TCP协议ICMP协议扫描器的基本工作原理TCP协议(一)TCP是一种面向连接的,可靠的传输层协议。一次正常的TCP传输需要通过在客户端和服务器之间建立特定的虚电路连接来完成,该过程通常被称为“三次握手”。TCP通过数据分段中的序列号保证所有传输的数据可以在远端按照正常的次序进行重组,而且通过确认保证数据传输的完整性。TCP协议(二)TCPTCP数据包格式数据包格式TCP协议(三)TCP标志位ACKACK:确认标志确认标志RSTRST:复位标志复位标志URGURG:紧急标志:紧急标志SYNSYN
3、:建立连接标志建立连接标志PSHPSH:推标志推标志FINFIN:结束标志结束标志TCP协议(四)TCPTCP连接建立示意图连接建立示意图ICMP协议(一)Internet Control Message Protocol,是IP的一部分,在IP协议栈中必须实现。用途:网关或者目标机器利用网关或者目标机器利用ICMPICMP与源通讯与源通讯当出现问题时,提供反馈信息用于报告错误当出现问题时,提供反馈信息用于报告错误特点:其控制能力并不用于保证传输的可靠性其控制能力并不用于保证传输的可靠性它本身也不是可靠传输的它本身也不是可靠传输的并不用来反映并不用来反映ICMPICMP报文的传输情况报文的传输
4、情况ICMP协议(二)ICMPICMP报文类型报文类型0 Echo Reply0 Echo Reply3 Destination 3 Destination UnreachableUnreachable4 Source Quench 4 Source Quench 5 Redirect 5 Redirect 8 Echo 8 Echo 11 Time Exceeded11 Time Exceeded12 Parameter Problem12 Parameter Problem13 Timestamp 13 Timestamp 14 Timestamp Reply 14 Timestamp R
5、eply 15 Information Request 15 Information Request 16 Information Reply 16 Information Reply 17 Address Mask Request 17 Address Mask Request 18 Address Mask Reply 18 Address Mask Reply 扫描器的基本工作原理三、网络扫描的主要技术主机扫描技术端口扫描技术栈指纹OS识别技术主机扫描技术传统技术主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段,其效果直接影响到后续的扫描。常用的传统扫描手段有:IC
6、MP EchoICMP Echo扫描扫描ICMP SweepICMP Sweep扫描扫描Broadcast ICMPBroadcast ICMP扫描扫描Non-Echo ICMPNon-Echo ICMP扫描扫描ICMP echo扫描实现原理:实现原理:PingPing的实现机制,在判断在一个网络的实现机制,在判断在一个网络上主机是否开机时非常有用。向目标主机发送上主机是否开机时非常有用。向目标主机发送ICMP Echo Request(type 8)ICMP Echo Request(type 8)数据包,等待回复数据包,等待回复的的ICMP Echo Reply ICMP Echo Rep
7、ly 包包(type 0)(type 0)。如果能收到,。如果能收到,则表明目标系统可达,否则表明目标系统已经不则表明目标系统可达,否则表明目标系统已经不可达或发送的包被对方的设备过滤掉。可达或发送的包被对方的设备过滤掉。优点:简单,系统支持优点:简单,系统支持缺点:很容易被防火墙限制缺点:很容易被防火墙限制可以通过并行发送,同时探测多个目标主机,以可以通过并行发送,同时探测多个目标主机,以提高探测效率(提高探测效率(ICMP SweepICMP Sweep扫描)。扫描)。Broadcast ICMP扫描实现原理:将ICMP请求包的目标地址设为广播地址或网络地址,则可以探测广播域或整个网络范围
8、内的主机。缺点:只适合于只适合于UNIX/LinuxUNIX/Linux系统,系统,Windows Windows 会忽略这会忽略这种请求包;种请求包;这种扫描方式容易引起广播风暴这种扫描方式容易引起广播风暴Non-Echo ICMP扫描一些其它ICMP类型包也可以用于对主机或网络设备的探测,如:Stamp Request(Type 13)Stamp Request(Type 13)Reply(Type 14)Reply(Type 14)Information Request(Type 15)Information Request(Type 15)Reply(Type 16)Reply(Typ
9、e 16)Address Mask Request(Type 17)Address Mask Request(Type 17)Reply(Type 18)Reply(Type 18)主机扫描技术高级技术防火墙和网络过滤设备常常导致传统的探测手段防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制,必须采用一些非变得无效。为了突破这种限制,必须采用一些非常规的手段,利用常规的手段,利用ICMPICMP协议提供网络间传送错误协议提供网络间传送错误信息的手段,往往可以更有效的达到目的:信息的手段,往往可以更有效的达到目的:异常的异常的IPIP包头包头在在IPIP头中设置无效的字段值头
10、中设置无效的字段值错误的数据分片错误的数据分片通过超长包探测内部路由器通过超长包探测内部路由器反向映射探测反向映射探测异常的IP包头向目标主机发送包头错误的向目标主机发送包头错误的IPIP包,目标主机或过包,目标主机或过滤设备会反馈滤设备会反馈ICMP Parameter Problem ErrorICMP Parameter Problem Error信信息。常见的伪造错误字段为息。常见的伪造错误字段为Header Length Field Header Length Field 和和IP Options FieldIP Options Field。根据根据RFC1122RFC1122的规定
11、,主机应该检测的规定,主机应该检测IPIP包的包的Version NumberVersion Number、ChecksumChecksum字段字段,路由器应该检路由器应该检测测IPIP包的包的ChecksumChecksum字段。不同厂家的路由器和操字段。不同厂家的路由器和操作系统对这些错误的处理方式不同,返回的结果作系统对这些错误的处理方式不同,返回的结果也各异。如果结合其它手段,可以初步判断目标也各异。如果结合其它手段,可以初步判断目标系统所在网络过滤设备的系统所在网络过滤设备的ACLACL。在IP头中设置无效的字段值向目标主机发送的IP包中填充错误的字段值,目标主机或过滤设备会反馈IC
12、MP Destination Unreachable信息。这种方法同样可以探测目标主机和网络设备以及其ACL。错误的数据分片当目标主机接收到错误的数据分片(如某些分片丢失),并且在规定的时间间隔内得不到更正时,将丢弃这些错误数据包,并向发送主机反馈ICMP Fragment Reassembly Time Exceeded 错误报文。利用这种方法同样可以检测到目标主机和网络过滤设备及其ACL。通过超长包探测内部路由器若构造的数据包长度超过目标系统所在路由器的PMTU且设置禁止分片标志,该路由器会反馈 Fragmentation Needed and Dont Fragment Bit was
13、Set差错报文,从而获取目标系统的网络拓扑结构。反向映射探测该技术用于探测被过滤设备或防火墙保护的网络该技术用于探测被过滤设备或防火墙保护的网络和主机。通常这些系统无法从外部直接到达,但和主机。通常这些系统无法从外部直接到达,但是我们可以采用反向映射技术,通过目标系统的是我们可以采用反向映射技术,通过目标系统的路由设备进行有效的探测。路由设备进行有效的探测。当我们想探测某个未知网络内部的结构时,可以当我们想探测某个未知网络内部的结构时,可以构造可能的内部构造可能的内部IPIP地址列表,并向这些地址发送地址列表,并向这些地址发送数据包。当对方路由器接收到这些数据包时,会数据包。当对方路由器接收到
14、这些数据包时,会进行进行IPIP识别并路由,对不在其服务的范围的识别并路由,对不在其服务的范围的IPIP包包发送发送ICMP Host UnreachableICMP Host Unreachable或或ICMP Time ICMP Time Exceeded Exceeded 错误报文,没有接收到相应错误报文错误报文,没有接收到相应错误报文的的IPIP地址会可被认为在该网络中。当然,这种方地址会可被认为在该网络中。当然,这种方法也会受到过滤设备的影响。法也会受到过滤设备的影响。端口扫描技术当确定了目标主机可达后,就可以使用端口扫描技术,发当确定了目标主机可达后,就可以使用端口扫描技术,发现目
15、标主机的开放端口,包括网络协议和各种应用监听的现目标主机的开放端口,包括网络协议和各种应用监听的端口。端口扫描技术主要包括以下三类:端口。端口扫描技术主要包括以下三类:开放扫描开放扫描会产生大量的审计数据,容易被对方发现,但其可靠性高;会产生大量的审计数据,容易被对方发现,但其可靠性高;隐蔽扫描隐蔽扫描能有效的避免对方入侵检测系统和防火墙的检测,但这种扫描使能有效的避免对方入侵检测系统和防火墙的检测,但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息;用的数据包在通过网络时容易被丢弃从而产生错误的探测信息;半开放扫描半开放扫描隐蔽性和可靠性介于前两者之间。隐蔽性和可靠性介于前两
16、者之间。开放扫描技术TCP Connect 扫描TCP反向ident扫描TCP Connect 扫描实现原理:通过调用实现原理:通过调用socketsocket函数函数connect()connect()连接到连接到目标计算机上,完成一次完整的三次握手过程。目标计算机上,完成一次完整的三次握手过程。如果端口处于侦听状态,那么如果端口处于侦听状态,那么connect()connect()就能成就能成功返回。否则,这个端口不可用,即没有提供服功返回。否则,这个端口不可用,即没有提供服务。务。优点:稳定可靠,不需要特殊的权限优点:稳定可靠,不需要特殊的权限缺点:扫描方式不隐蔽,服务器日志会记录下大缺
17、点:扫描方式不隐蔽,服务器日志会记录下大量密集的连接和错误记录量密集的连接和错误记录 ,并容易被防火墙发,并容易被防火墙发现和屏蔽现和屏蔽TCP反向ident扫描实现原理:ident 协议允许看到通过TCP连接的任何进程的拥有者的用户名,即使这个连接不是由这个进程开始的。比如,连接到http端口,然后用identd来发现服务器是否正在以root权限运行。缺点:这种方法只能在和目标端口建立了一个完整的TCP连接后才能看到。半开放扫描技术TCP SYN 扫描TCP间接扫描TCP SYN 扫描实现原理:扫描器向目标主机端口发送实现原理:扫描器向目标主机端口发送SYNSYN包。包。如果应答是如果应答是
18、RSTRST包,那么说明端口是关闭的;如包,那么说明端口是关闭的;如果应答中包含果应答中包含SYNSYN和和ACKACK包,说明目标端口处于包,说明目标端口处于监听状态,再传送一个监听状态,再传送一个RSTRST包给目标机从而停止包给目标机从而停止建立连接。由于在建立连接。由于在SYNSYN扫描时,全连接尚未建立,扫描时,全连接尚未建立,所以这种技术通常被称为半连接扫描所以这种技术通常被称为半连接扫描优点:隐蔽性较全连接扫描好,一般系统对这种优点:隐蔽性较全连接扫描好,一般系统对这种半扫描很少记录半扫描很少记录缺点:通常构造缺点:通常构造SYNSYN数据包需要超级用户或者授数据包需要超级用户或
19、者授权用户访问专门的系统调用权用户访问专门的系统调用TCP间接扫描实现原理:利用第三方的IP(欺骗主机)来隐藏真正扫描者的IP。由于扫描主机会对欺骗主机发送回应信息,所以必须监控欺骗主机的IP行为,从而获得原始扫描的结果。扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描,并通过观察其IP序列号的增长规律获取端口的状态 优点:隐蔽性好缺点:对第三方主机的要求较高 隐蔽扫描技术TCP FIN 扫描TCP Xmas扫描TCP Null 扫描TCP ftp proxy扫描分段扫描TCP FIN 扫描实现原理:扫描器向目标主机端口发送实现原理:扫描器向目标主机端口发送FINFIN包。包。当当一
20、个一个FINFIN数据包到达一个关闭的端口,数据包会被丢掉,数据包到达一个关闭的端口,数据包会被丢掉,并且返回一个并且返回一个RSTRST数据包。否则,若是打开的端口,数据数据包。否则,若是打开的端口,数据包只是简单的丢掉(不返回包只是简单的丢掉(不返回RSTRST)。)。优点:优点:由于这种技术不包含标准的由于这种技术不包含标准的TCPTCP三次握手协议的三次握手协议的任何部分,所以无法被记录下来,从而必任何部分,所以无法被记录下来,从而必SYNSYN扫描隐蔽得扫描隐蔽得多,多,FINFIN数据包能够通过只监测数据包能够通过只监测SYNSYN包的包过滤器。包的包过滤器。缺点:缺点:跟跟SYN
21、SYN扫描类似,需要自己构造数据包,要求由超级用户或者授扫描类似,需要自己构造数据包,要求由超级用户或者授权用户访问专门的系统调用;权用户访问专门的系统调用;通常适用于通常适用于UNIXUNIX目标主机,除过少量的应当丢弃数据包却发送目标主机,除过少量的应当丢弃数据包却发送RSTRST包的操作系统(包括包的操作系统(包括CISCOCISCO,HP/UXHP/UX,MVSMVS和和IRIXIRIX)。但在)。但在Windows95/NTWindows95/NT环境下,该方法无效,因为不论目标端口是否打环境下,该方法无效,因为不论目标端口是否打开,操作系统都返回开,操作系统都返回RSTRST包。包
22、。TCP Xmas 和TCP Null 扫描实现原理:TCP XmasXmas和和NullNull扫描是扫描是FINFIN扫描的扫描的两个变种。两个变种。XmasXmas扫描打开扫描打开FINFIN,URGURG和和PUSHPUSH标标记,而记,而NullNull扫描关闭所有标记。这些组合的目的扫描关闭所有标记。这些组合的目的是为了通过对是为了通过对FINFIN标记数据包的过滤。当一个这种标记数据包的过滤。当一个这种数据包到达一个关闭的端口,数据包会被丢掉,数据包到达一个关闭的端口,数据包会被丢掉,并且返回一个并且返回一个RSTRST数据包。否则,若是打开的端数据包。否则,若是打开的端口,数据
23、包只是简单的丢掉(不返回口,数据包只是简单的丢掉(不返回RSTRST)。)。优点:隐蔽性好;隐蔽性好;缺点:l l需要自己构造数据包,要求由超级用户或者授权用户需要自己构造数据包,要求由超级用户或者授权用户权限;权限;l l通常适用于通常适用于UNIXUNIX目标主机,而目标主机,而WindowsWindows系统不支持。系统不支持。TCP ftp proxy扫描实现原理:实现原理:FTPFTP代理连接选项,其目的是允许一个客户端同时跟两个代理连接选项,其目的是允许一个客户端同时跟两个FTPFTP服务器建立连接,然后在服务器之间直接传输数据。然而,在大服务器建立连接,然后在服务器之间直接传输数
24、据。然而,在大部分实现中,实际上能够使得部分实现中,实际上能够使得FTPFTP服务器发送文件到服务器发送文件到InternetInternet的任何地的任何地方。该方法正是利用了这个缺陷,其扫描步骤如下:方。该方法正是利用了这个缺陷,其扫描步骤如下:1 1:假定:假定S S是扫描机,是扫描机,T T是扫描目标,是扫描目标,F F是一个是一个ftpftp服务器,这个服务服务器,这个服务器支持代理选项,能够跟器支持代理选项,能够跟S S和和T T建立连接。建立连接。2 2:S S与与F F建立一个建立一个ftpftp会话,使用会话,使用PORTPORT命令声明一个选择的端口命令声明一个选择的端口(
25、称之为(称之为p pT T)作为代理传输所需要的被动端口。)作为代理传输所需要的被动端口。3 3:然后:然后S S使用一个使用一个LISTLIST命令尝试启动一个到命令尝试启动一个到p pT T的数据传输。的数据传输。4 4:如果端口:如果端口p pT T确实在监听,传输就会成功(返回码确实在监听,传输就会成功(返回码150150和和226226被发送回给被发送回给S S),否则),否则S S回收到回收到425425无法打开数据连接无法打开数据连接 的应答。的应答。5 5:S S持续使用持续使用PORTPORT和和LISTLIST命令,直到命令,直到T T上所有的选择端口扫描完上所有的选择端口
26、扫描完毕。毕。优点:优点:FTPFTP代理扫描不但难以跟踪,而且可以穿越防火墙代理扫描不但难以跟踪,而且可以穿越防火墙缺点:一些缺点:一些ftp serverftp server禁止这种特性禁止这种特性分段扫描实现原理:并不直接发送TCP探测数据包,是将数据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包,从而包过滤器就很难探测到。优点:隐蔽性好,可穿越防火墙缺点:可能被丢弃;可能被丢弃;某些程序在处理这些小数据包时会出现异常。某些程序在处理这些小数据包时会出现异常。栈指纹OS识别技术(一)原理:根据各个OS在TCP/IP协议栈实现上的不同特点,采用黑盒测试方法,通过研究其对各种探
27、测的响应形成识别指纹,进而识别目标主机运行的操作系统。根据采集指纹信息的方式,又可以分为主动扫描和被动扫描两种方式。被动扫描通过Sniff收集数据包,再对数据包的不同特征(TCP Window-size、IP TTL、IP TOS、DF位等参数)进行分析,来识别操作系统。被动扫描基本不具备攻击特征,具有很好的隐蔽性,但其实现严格依赖扫描主机所处的网络拓扑结构;和主动探测相比较,具有速度慢、可靠性不高等缺点。主动扫描采用向目标系统发送构造的特殊包并监控其应答的方式来识别操作系统类型。主动扫描具有速度快、可靠性高等优点,但同样严重依赖于目标系统网络拓扑结构和过滤规则。主动扫描识别技术(一)FINF
28、IN探测:发送一个探测:发送一个FINFIN包给一个打开的端口,一般的行为包给一个打开的端口,一般的行为是不响应,但某些实现例如是不响应,但某些实现例如 MS Windows,BSDI,MS Windows,BSDI,CISCO,HP/UX,MVS,CISCO,HP/UX,MVS,和和IRIX IRIX 发回一个发回一个RESETRESET。BOGUSBOGUS标记探测:设置一个未定义的标记探测:设置一个未定义的TCP TCP 标记标记(6464或或128128)在)在SYNSYN包的包的TCPTCP头里。头里。LinuxLinux机器到机器到2.0.352.0.35之前在回应之前在回应中保持
29、这个标记。中保持这个标记。TCP ISN TCP ISN 取样:找出当响应一个连接请求时由取样:找出当响应一个连接请求时由TCP TCP 实现所实现所选择的初始化序列数式样。这可分为许多组例如传统的选择的初始化序列数式样。这可分为许多组例如传统的64K64K(许多老(许多老UNIXUNIX机器),随机增量(新版本的机器),随机增量(新版本的SolarisSolaris,IRIXIRIX,FreeBSDFreeBSD,Digital UNIXDigital UNIX,CrayCray,等),真,等),真“随机随机”(Linux 2.0.*Linux 2.0.*,OpenVMSOpenVMS,新的
30、新的AIX,AIX,等),等),Windows Windows 机器机器(和一些其他的)用一个(和一些其他的)用一个“时间相关时间相关”模型,每过一段时间模型,每过一段时间ISNISN就被加上一个小的固定数。就被加上一个小的固定数。主动扫描识别技术(二)不分段位:许多操作系统开始在送出的一些包中设置不分段位:许多操作系统开始在送出的一些包中设置IPIP的的Dont FragmentDont Fragment位。位。TCPTCP初始化窗口:检查返回包的窗口大小。如初始化窗口:检查返回包的窗口大小。如quesoqueso和和nmapnmap保持对窗口的精确跟踪因为它对于特定保持对窗口的精确跟踪因为
31、它对于特定OSOS基本是常数。基本是常数。ACKACK值:不同实现中一些情况下值:不同实现中一些情况下ACKACK域的值是不同的。例如,域的值是不同的。例如,如果你送了一个如果你送了一个FIN|PSH|URG FIN|PSH|URG 到一个关闭的到一个关闭的TCP TCP 端口。大端口。大多数实现会设置多数实现会设置ACK ACK 为你的初始序列数,而为你的初始序列数,而Windows Windows 会送会送给你序列数加给你序列数加1 1。ICMPICMP错误信息终结:一些操作系统跟从限制各种错误信息错误信息终结:一些操作系统跟从限制各种错误信息的发送率。例如,的发送率。例如,Linux L
32、inux 内核限制目的不可达消息的生成每内核限制目的不可达消息的生成每4 4 秒钟秒钟8080个。测试的一种办法是发一串包到一些随机的高个。测试的一种办法是发一串包到一些随机的高UDPUDP端口并计数收到的不可达消息。端口并计数收到的不可达消息。主动扫描识别技术(三)ICMPICMP消息引用:消息引用:ICMPICMP错误消息可以引用一部分引起错误的错误消息可以引用一部分引起错误的源消息。对一个端口不可达消息,几乎所有实现只送回源消息。对一个端口不可达消息,几乎所有实现只送回IPIP请请求头外加求头外加8 8个字节。然而,个字节。然而,Solaris Solaris 送回的稍多,而送回的稍多,
33、而Linux Linux 更更多。多。SYNSYN洪水限度:如果收到过多的伪造洪水限度:如果收到过多的伪造SYNSYN数据包,一些操作数据包,一些操作系统会停止新的连接尝试。许多操作系统只能处理系统会停止新的连接尝试。许多操作系统只能处理8 8 个包。个包。参考:参考:Nmap Remote OS DetectionNmap Remote OS Detectionhttp:/www.insecure.org/nmap/nmap-fingerprinting-article.htmlhttp:/www.insecure.org/nmap/nmap-fingerprinting-article.h
34、tml四、现有扫描器介绍及选择现有主要扫描器产品介绍评价扫描器的原则现有扫描器产品的不足扫描器产品介绍(一)ISS Internet Scanner该产品一直是安全扫描器的业界标准。优点:报告功能强大,漏洞检查集完备,可用性很好。平台:Windows NTURL:Http:/ 扫描器产品介绍(二)Nessus由Renaud编写的开放源码项目。优点:采用分布式结构引擎具有极大弹性,可扩展性强,漏洞库较全面。平台:UNIXURL:Http:/www.nessus.org扫描器产品介绍(三)SAINT以SATAN为基础的网络安全扫描工具。平台:UNIXURL:Http:/评价扫描器的原则(一)漏洞检
35、测的完整性漏洞检测的完整性是否能扫描各类重要的系统漏洞,漏洞库信息的是否能扫描各类重要的系统漏洞,漏洞库信息的完备程度如何?完备程度如何?漏洞检测的精确性漏洞检测的精确性是否能准确报告系统漏洞,很少误报或漏报是否能准确报告系统漏洞,很少误报或漏报漏洞检测的范围漏洞检测的范围是否能进行本地主机或远端主机的扫描是否能进行本地主机或远端主机的扫描及时更新及时更新是否能及时更新漏洞库,加入新发现的漏洞信息是否能及时更新漏洞库,加入新发现的漏洞信息评价扫描器的原则(二)报告功能是否有完善的报告功能,是客户便于理解和维护价格产品价格是否合理现有扫描器产品的不足检测的完整性没有一种产品可以发现所有漏洞检测的
36、准确性常有漏报、误报现象更新的及时性对新漏洞的更新不够及时五、扫描器实例分析主要实现功能扫描器的总体结构主要工作流程漏洞分析主要实现功能采用众多的扫描规避和隐蔽技术,扫描目标主机扫描目标主机和端口,识别其工作状态;和端口,识别其工作状态;识别目标主机系统及服务程序的类型和版本;识别目标主机系统及服务程序的类型和版本;根据漏洞库信息,分析系统脆弱点;根据漏洞库信息,分析系统脆弱点;提供漏洞产生背景、影响、攻击方式、修补措施等信息;以网页形式生成扫描结果报告;以网页形式生成扫描结果报告;具有可扩展性,提供用户动态加载和扩充系统的接口扫描器的总体结构(一)扫描器基于B/S结构扫描器运行在Linux平
37、台,工作于一个Linux、UNIX和Windows操作系统相混合的TCP/IP网络环境中扫描器建有漏洞库控制平台则提供一个人机交互的界面。扫描器的总体结构(二)主要工作流程主机扫描端口扫描识别系统及服务程序的类型根据已知漏洞信息,分析系统脆弱点生成扫描结果报告漏洞分析:CGI漏洞扫描漏洞扫描流程连接目标连接目标WEB SERVERWEB SERVER发送一个特殊的请求发送一个特殊的请求接收目标服务器返回数据接收目标服务器返回数据根据返回数据判断目标服务器是否有此根据返回数据判断目标服务器是否有此CGICGI漏漏洞。洞。CGI漏洞扫描(一)比如识别出Web 服务器为IIS,则向其发出Http请求
38、:GET/GET/iissamplesiissamples/exairexair/howitworkshowitworks/codebrwscodebrws.asp,.asp,GET/GET/iissamplesiissamples/sdksdk/asp/docs/asp/docs/codebrwscodebrws.asp,.asp,GET/GET/iissamplesiissamples/exairexair/howitworkshowitworks/code.asp,/code.asp,GET/GET/msadcmsadc/samples/selector/samples/selector
39、/showcodeshowcode.asp,.asp,GET/scripts/tools/GET/scripts/tools/newdsnnewdsn.exe”.exe”如果返回如果返回“200 OK”200 OK”的的HttpHttp应答,则表明存在应答,则表明存在”http IIS http IIS samplessamples“漏洞,需要提示用户进行修改。漏洞,需要提示用户进行修改。CGI漏洞扫描(二)如果向IIS服务器发Http请求,“GET/NULL.printer“GET/NULL.printer“其返回信息为其返回信息为500 13r500 13rnServernServer:Microsoft-IIS/5.0:Microsoft-IIS/5.0则目标系统存在则目标系统存在”IIS5 NULL.printerIIS5 NULL.printer”漏洞漏洞。参考文献ICMP Usage in Scanninghttp:/www.sys- Nmap Remote OS Detectionhttp:/www.insecure.org/nmap/nmap-fingerprinting-article.htmlhttp:/