《网络攻击与防御第2章扫描与防御技术幻灯片.ppt》由会员分享,可在线阅读,更多相关《网络攻击与防御第2章扫描与防御技术幻灯片.ppt(188页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络攻击与防御第网络攻击与防御第2章扫描与防御技章扫描与防御技术术第1页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义2本章内容安排本章内容安排o2.1 扫描技术概述扫描技术概述o2.2 常见的扫描技术常见的扫描技术o2.3 扫描工具赏析扫描工具赏析o2.4 扫描的防御扫描的防御o2.5 小结小结第2页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义32.1 扫描技术概述扫描技术概述o什么是扫描器什么是扫描器o网络扫描器是一把双刃剑网络扫描器是一把双刃剑o为什么需要网络扫描器为什么需要网络扫描器o扫描的重要性扫描的重要性o网络扫描器的主要功
2、能网络扫描器的主要功能o网络扫描器与漏洞的关系网络扫描器与漏洞的关系o扫描三步曲扫描三步曲o一个典型的扫描案例一个典型的扫描案例第3页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义4什么是扫描器什么是扫描器o扫描器是一种自动检测远程或本地主机安全性弱点的扫描器是一种自动检测远程或本地主机安全性弱点的程序。它集成了常用的各种扫描技术,能自动发送数程序。它集成了常用的各种扫描技术,能自动发送数据包去探测和攻击远端或本地的端口和服务,并自动据包去探测和攻击远端或本地的端口和服务,并自动收集和记录目标主机的反馈信息,从而发现目标主机收集和记录目标主机的反馈信息,从而发现目标
3、主机是否存活、目标网络内所使用的设备类型与软件版本、是否存活、目标网络内所使用的设备类型与软件版本、服务器或主机上各服务器或主机上各TCP/UDP端口的分配、所开放端口的分配、所开放的服务、所存在的可能被利用的安全漏洞。据此提供的服务、所存在的可能被利用的安全漏洞。据此提供一份可靠的安全性分析报告,报告可能存在的脆弱性。一份可靠的安全性分析报告,报告可能存在的脆弱性。第4页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义5网络扫描器是一把双刃剑网络扫描器是一把双刃剑o安全评估工具安全评估工具系统管理员系统管理员保障系统安全的有效工具保障系统安全的有效工具o网络漏洞扫描
4、器网络漏洞扫描器网络入侵者网络入侵者收集信息的重要手段收集信息的重要手段o扫描器是一把扫描器是一把“双刃剑双刃剑”。第5页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义6为什么需要网络扫描器为什么需要网络扫描器o由于网络技术的飞速发展,网络规模迅猛增由于网络技术的飞速发展,网络规模迅猛增长和计算机系统日益复杂,导致新的系统漏长和计算机系统日益复杂,导致新的系统漏洞层出不穷洞层出不穷o由于系统管理员的疏忽或缺乏经验,导致旧由于系统管理员的疏忽或缺乏经验,导致旧有的漏洞依然存在有的漏洞依然存在o许多人出于好奇或别有用心,不停的窥视网许多人出于好奇或别有用心,不停的窥视网
5、上资源上资源第6页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义7扫描的重要性扫描的重要性o扫描的重要性扫描的重要性在于把繁琐的安全检测,通过在于把繁琐的安全检测,通过程序来自动完成,这不仅减轻了网络管理员程序来自动完成,这不仅减轻了网络管理员的工作,而且也缩短了检测时间。的工作,而且也缩短了检测时间。o同时,也可以认为扫描器是一种同时,也可以认为扫描器是一种网络安全性网络安全性评估软件评估软件,利用扫描器可以快速、深入地对,利用扫描器可以快速、深入地对目标网络进行安全评估。目标网络进行安全评估。o网络安全扫描技术与防火墙、安全监控系统网络安全扫描技术与防火墙、安全
6、监控系统互相配合能够为网络提供很高的安全性。互相配合能够为网络提供很高的安全性。第7页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义8网络扫描器的主要功能网络扫描器的主要功能o扫描目标主机识别其工作状态(开扫描目标主机识别其工作状态(开/关机)关机)o识别目标主机端口的状态(监听识别目标主机端口的状态(监听/关闭)关闭)o识别目标主机操作系统的类型和版本识别目标主机操作系统的类型和版本o识别目标主机服务程序的类型和版本识别目标主机服务程序的类型和版本o分析目标主机、目标网络的漏洞(脆弱点)分析目标主机、目标网络的漏洞(脆弱点)o生成扫描结果报告生成扫描结果报告第8页
7、,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义9网络扫描器与漏洞的关系网络扫描器与漏洞的关系o网络漏洞网络漏洞是系统软、硬件存在安全方面的脆是系统软、硬件存在安全方面的脆弱性,安全漏洞的存在导致非法用户入侵系弱性,安全漏洞的存在导致非法用户入侵系统或未经授权获得访问权限,造成信息篡改、统或未经授权获得访问权限,造成信息篡改、拒绝服务或系统崩溃等问题。拒绝服务或系统崩溃等问题。o网络扫描网络扫描可以对计算机网络系统或网络设备可以对计算机网络系统或网络设备进行安全相关的检测,以找出安全隐患和可进行安全相关的检测,以找出安全隐患和可能被黑客利用的漏洞。能被黑客利用的漏洞。
8、第9页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义10扫描三步曲扫描三步曲o一个完整的网络安全扫描分为三个阶段:一个完整的网络安全扫描分为三个阶段:n第一阶段:发现目标主机或网络n第二阶段:发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息n第三阶段:根据收集到的信息判断或者进一步测试系统是否存在安全漏洞第10页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义11扫描三步曲(续)扫描三步曲(续)o网络安全扫描技术包括网络安全扫描技术
9、包括PING扫描、操作系统探测、穿透防火扫描、操作系统探测、穿透防火墙探测、端口扫描、漏洞扫描等墙探测、端口扫描、漏洞扫描等oPING扫描扫描用于扫描用于扫描第一阶段第一阶段,识别系统是否活动,识别系统是否活动oOS探测、穿透防火墙探测、端口扫描探测、穿透防火墙探测、端口扫描用于扫描用于扫描第二阶第二阶段段nOS探测是对目标主机运行的OS进行识别n穿透防火墙探测用于获取被防火墙保护的网络资料n端口扫描是通过与目标系统的TCP/IP端口连接,并查看该系统处于监听或运行状态的服务o漏洞扫描漏洞扫描用于安全扫描用于安全扫描第三阶段第三阶段,通常是在端口扫描的基础,通常是在端口扫描的基础上,进而检测出
10、目标系统存在的安全漏洞上,进而检测出目标系统存在的安全漏洞第11页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义12一个典型的扫描案例一个典型的扫描案例第12页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义131.Find targetso选定目标为:选定目标为:192.168.1.18o测试此主机是否处于活动状态,工具是用操测试此主机是否处于活动状态,工具是用操作系统自带的作系统自带的ping,使用命令:,使用命令:ping 192.168.1.18o结果见下页图。结果见下页图。第13页,共188页,编辑于2022年,星期二2023/4
11、/14网络入侵与防范讲义14说明该主机处于活动状态说明该主机处于活动状态第14页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义152.Port Scano运用扫描工具,检查目标主机开放的端口,运用扫描工具,检查目标主机开放的端口,判断它运行了哪些服务判断它运行了哪些服务o使用的工具是使用的工具是Nmap 4.20(此工具将在后(此工具将在后面进行介绍)面进行介绍)o扫描命令:扫描命令:nmap 192.168.1.18o扫描结果见下面图扫描结果见下面图第15页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义16第16页,共188页,编辑于2
12、022年,星期二2023/4/14网络入侵与防范讲义172.Port Scan(2)o端口开放信息如下:端口开放信息如下:n21/tcp open ftpn25/tcp open smtpn42/tcp open nameservern53/tcp open domainn80/tcp open httpno我们将重点关注我们将重点关注SMTP端口端口第17页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义183.Vulnerability Checko检测检测SMTP服务是否存在漏洞服务是否存在漏洞o使用漏洞扫描工具使用漏洞扫描工具Nessus 3(此工具在后(此工
13、具在后面将会介绍)面将会介绍)o扫描过程见下页图扫描过程见下页图第18页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义19扫描目标是扫描目标是192.168.1.18第19页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义20Nessus正在进行漏洞扫描正在进行漏洞扫描第20页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义214.ReportoNessus发现了目标主机的发现了目标主机的SMTP服务存在服务存在漏洞。漏洞。o扫描报告中与扫描报告中与SMTP漏洞相关的部分见下页漏洞相关的部分见下页图。图。第21页,
14、共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义22漏洞编号:漏洞编号:CVE-2003-0818第22页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义232.2 常见的扫描技术常见的扫描技术oTCP/IP相关知识相关知识o常用网络命令常用网络命令o主机扫描主机扫描o端口扫描端口扫描n全扫描n半扫描n秘密扫描n认证(ident)扫描nFTP代理扫描o远程主机远程主机OS指纹识别指纹识别o漏洞扫描漏洞扫描不可不学的扫描技术不可不学的扫描技术巧妙奇特的天才构思巧妙奇特的天才构思第23页,共188页,编辑于2022年,星期二2023/4/14网络入
15、侵与防范讲义24TCP/IP相关知识相关知识oTCP报文格式报文格式 oTCP通信过程通信过程oICMP协议协议第24页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义25TCP报文格式报文格式 第25页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义26TCP控制位控制位oURG:为紧急数据标志。如果它为为紧急数据标志。如果它为1,表示本数,表示本数据包中包含紧急数据。此时紧急数据指针有效。据包中包含紧急数据。此时紧急数据指针有效。oACK:为确认标志位。如果为为确认标志位。如果为1,表示包中的确认号,表示包中的确认号是有效的。否则,包中的
16、确认号无效。是有效的。否则,包中的确认号无效。oPSH:如果置位,接收端应尽快把数据传送给应用如果置位,接收端应尽快把数据传送给应用层。层。第26页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义27TCP控制位控制位oRST:用来复位一个连接。用来复位一个连接。RST标志置位的数据标志置位的数据包称为复位包。一般情况下,如果包称为复位包。一般情况下,如果TCP收到的一收到的一个分段明显不是属于该主机上的任何一个连接,个分段明显不是属于该主机上的任何一个连接,则向远端发送一个复位包。则向远端发送一个复位包。oSYN:标志位用来建立连接,让连接双方同步序标志位用来建立连
17、接,让连接双方同步序列号。如果列号。如果SYN1而而ACK=0,则表示该数据,则表示该数据包为连接请求,如果包为连接请求,如果SYN=1而而ACK=1则表示则表示接受连接。接受连接。oFIN:表示发送端已经没有数据要求传输了,希表示发送端已经没有数据要求传输了,希望释放连接。望释放连接。第27页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义28TCP通信过程通信过程o正常正常TCP通信过程通信过程:n建立连接n(数据传输)n断开连接第28页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义29建立建立TCP连接连接第29页,共188页,编辑于
18、2022年,星期二2023/4/14网络入侵与防范讲义30断开断开TCP连接连接第30页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义31ICMP协议(协议(1)oInternet Control Message Protocol,是,是IP的的一部分,在一部分,在IP协议栈中必须实现。协议栈中必须实现。o用途:用途:n网关或者目标机器利用ICMP与源通讯n当出现问题时,提供反馈信息用于报告错误o特点:特点:n其控制能力并不用于保证传输的可靠性n它本身也不是可靠传输的n并不用来反映ICMP报文的传输情况第31页,共188页,编辑于2022年,星期二2023/4/14
19、网络入侵与防范讲义32ICMP协议(协议(2)ICMP报文类型报文类型n0 Echo Replyn3 Destination Unreachablen4 Source Quench n5 Redirect n8 Echo n11 Time Exceededn12 Parameter Problemn13 Timestamp n14 Timestamp Reply n15 Information Request n16 Information Reply n17 Address Mask Request n18 Address Mask Reply 第32页,共188页,编辑于2022年,星期二
20、2023/4/14网络入侵与防范讲义33常用网络命令常用网络命令oPingoTraceroute、Tracert、x-firewalkoNet命令系列命令系列第33页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义34常用网络命令常用网络命令-pingoPing是最基本的扫描技术。是最基本的扫描技术。oping命令命令主要目的是检测目标主机是不是可连主要目的是检测目标主机是不是可连通,继而探测一个通,继而探测一个IP范围内的主机是否处于激活状态。范围内的主机是否处于激活状态。不要小瞧不要小瞧pingping黑客的攻击往往都是从黑客的攻击往往都是从pingping开始的
21、开始的第34页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义35常用网络命令常用网络命令-ping的原理的原理oping是一个基本的网络命令,用来确定网是一个基本的网络命令,用来确定网络上具有某个特定络上具有某个特定IP地址的主机是否存在以地址的主机是否存在以及是否能接收请求。及是否能接收请求。o Ping命令通过向计算机发送命令通过向计算机发送ICMP回应报回应报文并且监听回应报文的返回,以校验与远程文并且监听回应报文的返回,以校验与远程计算机或本地计算机的连接。计算机或本地计算机的连接。第35页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防
22、范讲义36常用网络命令常用网络命令-ping参数说明参数说明oping在安装了在安装了TCP/IP协议后可以使用。协议后可以使用。第36页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义37常用网络命令常用网络命令ping命令使用命令使用l-n:发送发送ICMP回应报文的个数回应报文的个数第37页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义38常用网络命令常用网络命令-TracerouteoTraceroute跟踪两台机器之间的路径,显示中间的跟踪两台机器之间的路径,显示中间的每一个节点的信息。这个工具可以用来确定某个主机的位每一个节点的
23、信息。这个工具可以用来确定某个主机的位置。置。otraceroute 命令旨在用于网络测试、评估和管理。它应主要用命令旨在用于网络测试、评估和管理。它应主要用于手动故障隔离。于手动故障隔离。o语法语法:第38页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义39常用网络命令常用网络命令 Traceroute说明说明o-f-f后指定一个初始后指定一个初始TTL,它的范围是大于,它的范围是大于0小于最大小于最大TTL,缺省为,缺省为1。o-m-m后指定一个最大后指定一个最大TTL,它的范围是大于初始,它的范围是大于初始TTL,缺省为,缺省为30。o-p-p后可以指定一个整
24、数,该整数是目的主机的端口号,它后可以指定一个整数,该整数是目的主机的端口号,它的缺省为的缺省为33434,用户一般无须更改此选项。,用户一般无须更改此选项。o-q-q后可以指定一个整数后可以指定一个整数,该整数是每次发送的探测数据包的该整数是每次发送的探测数据包的个数,它的范围是大于个数,它的范围是大于0,缺省为,缺省为3。o-w-w后可以指定一个整数,该整数指明后可以指定一个整数,该整数指明IP包的超时包的超时时间,它的范围是大于时间,它的范围是大于0,缺省为,缺省为5秒。秒。ohost 目的主机的目的主机的IP地址地址第39页,共188页,编辑于2022年,星期二2023/4/14网络入
25、侵与防范讲义40常用网络命令常用网络命令 Traceroute示例示例Quid#traceroute 35.1.1.48 traceroute to (35.1.1.48),30 hops max,56byte packet1 helios.ee.lbl.gov(128.3.112.1)19 ms 19 ms 0 ms 2 lilac-dmc.Berkeley.EDU(128.32.216.1)39 ms 39 ms 19 ms3 ccngw-ner-cc.Berkeley.EDU(128.32.136.23)39ms 40ms 39ms4 ccn-nerif22.Berkeley.EDU(1
26、28.32.168.22)39 ms 39 ms 39 ms5 128.32.197.4(128.32.197.4)40 ms 59 ms 59 ms6 131.119.2.5(131.119.2.5)59 ms 59 ms 59 ms7 129.140.70.13(129.140.70.13)99 ms 99 ms 80 ms8 129.140.71.6(129.140.71.6)139 ms 239 ms 319 ms9 129.140.81.7(129.140.81.7)220 ms 199 ms 199 ms10 nic.merit.edu(35.1.1.48)239 ms 239 m
27、s 239 ms可以看出从源主机到目的地都经过了哪些网关,这对于网络分析是非常有用的。可以看出从源主机到目的地都经过了哪些网关,这对于网络分析是非常有用的。第40页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义41常用的网络命令常用的网络命令Tracert、x-firewalkoWindows下用下用tracert命令可以查看路由信息,命令可以查看路由信息,但是如今的路由器大部分都对但是如今的路由器大部分都对tracert命令做了命令做了限制,此命令已经没有效果。限制,此命令已经没有效果。o有黑客开发出有黑客开发出x-firewalk.exe可用于在可用于在Wind
28、ows环境下查看路由信息,非常实用,下环境下查看路由信息,非常实用,下载地址是载地址是http:/ o可以看到本地到达可以看到本地到达都经过了哪些路由器都经过了哪些路由器第42页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义43常用网络命令常用网络命令-netoNet命令系列命令系列很多的很多的Windows的网络命令都是的网络命令都是net开头的。利用开头的。利用net开头的命令,可以实现很多的网络管理开头的命令,可以实现很多的网络管理功能功能比如用比如用net start server,可以启动服务器;,可以启动服务器;NET USE 用于将计算机与共享的资源相
29、连接,或者切断用于将计算机与共享的资源相连接,或者切断计算机与共享资源的连接,当不带选项使用本命令时,它会计算机与共享资源的连接,当不带选项使用本命令时,它会列出计算机的连接。列出计算机的连接。o以下以以下以Windows NT下的下的Net USE命令为例。命令为例。第43页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义44常用网络命令常用网络命令net use示例示例net use命令及参数使用命令及参数使用第44页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义45常用网络命令常用网络命令net use示例示例(1)用户名为用户名为A
30、dministrator,密码为,密码为longmang与远程计算机与远程计算机192.168.1.34进行进行IPC$连接,如图所示。连接,如图所示。(2)查看与远程计算机建立的连接,如图所示。查看与远程计算机建立的连接,如图所示。第45页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义46常用网络命令常用网络命令net use示例示例(3)将远程计算机的将远程计算机的c盘映射到本地盘映射到本地o盘,如图所示。盘,如图所示。第46页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义47常用网络命令常用网络命令net use示例示例(4)删除一
31、个删除一个IPC$连接连接(5)删除共享映射删除共享映射第47页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义48主机扫描技术主机扫描技术o传统技术传统技术o高级技术高级技术第48页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义49主机扫描技术传统技术主机扫描技术传统技术o主机扫描的目的是确定在目标网络上的主机主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段,其效是否可达。这是信息收集的初级阶段,其效果直接影响到后续的扫描。果直接影响到后续的扫描。o常用的传统扫描手段有:常用的传统扫描手段有:nICMP Echo扫描
32、nICMP Sweep扫描nBroadcast ICMP扫描nNon-Echo ICMP扫描第49页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义50ICMP echo扫描扫描o实现原理:实现原理:Ping的实现机制,在判断在一个网络上的实现机制,在判断在一个网络上主机是否开机时非常有用。向目标主机发送主机是否开机时非常有用。向目标主机发送ICMP Echo Request(type 8)数据包,等待回复的数据包,等待回复的ICMP Echo Reply 包包(type 0)。如果能收到,。如果能收到,则表明目标系统可达,否则表明目标系统已经不可达则表明目标系统可达
33、,否则表明目标系统已经不可达或发送的包被对方的设备过滤掉。或发送的包被对方的设备过滤掉。o优点:简单,系统支持优点:简单,系统支持o缺点:很容易被防火墙限制缺点:很容易被防火墙限制o可以通过并行发送,同时探测多个目标主机,以提高探测效可以通过并行发送,同时探测多个目标主机,以提高探测效率(率(ICMP Sweep扫描)。扫描)。第50页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义51ICMP sweep扫描扫描o使用使用ICMP ECHO轮询多个主机称为轮询多个主机称为ICMP SWEEP(或者或者Ping Sweep)。o对于小的或者中等网络使用这种方法来探测对
34、于小的或者中等网络使用这种方法来探测主机是一种比较可接受的行为,但对于一些主机是一种比较可接受的行为,但对于一些大的网络如大的网络如CLASS A,B,这种方法就显,这种方法就显的比较慢,原因是的比较慢,原因是Ping在处理下一个之前在处理下一个之前将会等待正在探测主机的回应。将会等待正在探测主机的回应。o扫描工具扫描工具Nmap实现了实现了ICMP sweep的功的功能。能。第51页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义52Broadcast ICMP扫描扫描o实现原理:将实现原理:将ICMP请求包的目标地址设为广请求包的目标地址设为广播地址或网络地址,则
35、可以探测广播域或整个播地址或网络地址,则可以探测广播域或整个网络范围内的主机。网络范围内的主机。o缺点:缺点:n只适合于UNIX/Linux系统,Windows 会忽略这种请求包;n这种扫描方式容易引起广播风暴第52页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义53Non-Echo ICMP扫描扫描o一些其它一些其它ICMP类型包也可以用于对主机或类型包也可以用于对主机或网络设备的探测,如:网络设备的探测,如:nStamp Request(Type 13)nReply(Type 14)nInformation Request(Type 15)nReply(Type
36、 16)nAddress Mask Request(Type 17)nReply(Type 18)第53页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义54主机扫描技术高级技术主机扫描技术高级技术o防火墙和网络过滤设备常常导致传统的探测手段变得无效。防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制,必须采用一些非常规的手段,利用为了突破这种限制,必须采用一些非常规的手段,利用ICMP协议提供网络间传送错误信息的手段,往往可协议提供网络间传送错误信息的手段,往往可以更有效的达到目的:以更有效的达到目的:n异常的IP包头n在IP头中设置无效的字段值n
37、错误的数据分片n通过超长包探测内部路由器n反向映射探测第54页,共188页,编辑于2022年,星期二端口扫描技术端口扫描技术oTCP/IP协议提出的端口是网络通信进程与协议提出的端口是网络通信进程与外界通讯交流的出口,可被命名和寻址,可外界通讯交流的出口,可被命名和寻址,可以认为是网络通信进程的一种标识符。以认为是网络通信进程的一种标识符。o进程通过系统调用与某端口建立连接绑定后,进程通过系统调用与某端口建立连接绑定后,便会监听这个端口,传输层传给该端口的数便会监听这个端口,传输层传给该端口的数据都被相应进程所接收,而相应进程发给传据都被相应进程所接收,而相应进程发给传输层的数据都从该端口输出
38、。输层的数据都从该端口输出。o互联网上的通信双方不仅需要知道对方的互联网上的通信双方不仅需要知道对方的IP地址,也需要知道通信程序的端口号。地址,也需要知道通信程序的端口号。第55页,共188页,编辑于2022年,星期二端口扫描技术端口扫描技术o目前目前IPv4协议支持协议支持16位的端口,端口号范围是位的端口,端口号范围是065535。其中,。其中,01023号端口称为熟知端口,被提供给号端口称为熟知端口,被提供给特定的服务使用;特定的服务使用;102449151号端口称为注册端口,号端口称为注册端口,由由IANA记录和追踪;记录和追踪;4915265535号端口称为动态端号端口称为动态端口
39、或专用端口,提供给专用应用程序。口或专用端口,提供给专用应用程序。o许多常用的服务使用的是标准的端口,只要扫描到相应许多常用的服务使用的是标准的端口,只要扫描到相应的端口,就能知道目标主机上运行着什么服务。端口扫的端口,就能知道目标主机上运行着什么服务。端口扫描技术就是利用这一点向目标系统的描技术就是利用这一点向目标系统的TCP/UDP端口端口发送探测数据包,记录目标系统的响应,通过分析响应发送探测数据包,记录目标系统的响应,通过分析响应来查看该系统处于监听或运行状态的服务。来查看该系统处于监听或运行状态的服务。第56页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义
40、57端口扫描技术端口扫描技术o当确定了目标主机可达后,就可以使用端口扫描技术,发现目标当确定了目标主机可达后,就可以使用端口扫描技术,发现目标主机的开放端口,包括网络协议和各种应用监听的端口。端口扫主机的开放端口,包括网络协议和各种应用监听的端口。端口扫描技术包括以下几种:描技术包括以下几种:o全扫描全扫描n会产生大量的审计数据,容易被对方发现,但其可靠性高。o半扫描半扫描n隐蔽性和可靠性介于全扫描和秘密扫描之间。o秘密扫描秘密扫描n能有效的避免对方入侵检测系统和防火墙的检测,但使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息。o认证认证(ident)扫描扫描n需要先建立一个完整的TC
41、P连接。oFTP代理扫描代理扫描n隐蔽性好,难以追踪。但受到服务器设置的限制。第57页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义58全扫描全扫描o全扫描原理全扫描原理o全扫描过程全扫描过程o全扫描特点全扫描特点第58页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义59全扫描全扫描原理全扫描全扫描原理o全全TCP连接是连接是TCP端口扫描的基础。端口扫描的基础。o扫描主机尝试(使用三次握手)与目标主扫描主机尝试(使用三次握手)与目标主机的某个端口建立正规的连接。机的某个端口建立正规的连接。o连接由系统调用连接由系统调用connect()
42、开始。如果开始。如果端口端口开放开放,则连接将建立成功;否则,返,则连接将建立成功;否则,返回回-1,则表示端口,则表示端口关闭关闭。第59页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义60全扫描全扫描过程(流程图)全扫描全扫描过程(流程图)第60页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义61全扫描全扫描过程(成功)全扫描全扫描过程(成功)oTCP Connect端口扫描服务端与客户端建端口扫描服务端与客户端建立连接成功(目标端口开放)的过程:立连接成功(目标端口开放)的过程:(1)Client端发送端发送SYN;(2)Serve
43、r端返回端返回SYN/ACK,表明端口,表明端口开放;开放;(3)Client端返回端返回ACK,表明连接已建立;,表明连接已建立;(4)Client端主动断开连接。端主动断开连接。第61页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义62全扫描全扫描过程(成功)全扫描全扫描过程(成功)o建立连接成功(目标端口开放)如图所示建立连接成功(目标端口开放)如图所示:ACKSYN/ACKSYNClient端Server端第62页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义63全扫描全扫描过程(未成功)全扫描全扫描过程(未成功)oTCP Con
44、nect端口扫描服务端与客户端口扫描服务端与客户端未建立连接成功(目标端口关闭)过端未建立连接成功(目标端口关闭)过程:程:(1)Client端发送端发送SYN;(2)Server端返回端返回RST/ACK,表,表明端口未开放。明端口未开放。第63页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义64全扫描全扫描过程(未成功)全扫描全扫描过程(未成功)o未建立连接成功未建立连接成功(目标端口关闭目标端口关闭)如图所示如图所示:RSTRST/ACKSYNClient端Server端第64页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义65全扫
45、描全扫描特点(优点)全扫描全扫描特点(优点)o优点是实现简单,对操作者的权限没有严格优点是实现简单,对操作者的权限没有严格要求(有些类型的端口扫描需要操作者具有要求(有些类型的端口扫描需要操作者具有root权限),系统中的任何用户都有权力权限),系统中的任何用户都有权力使用这个调用。使用这个调用。o另一优点是扫描速度快。如果对每个目标端另一优点是扫描速度快。如果对每个目标端口以线性的方式,使用单独的口以线性的方式,使用单独的connect()调用,可以通过同时打开多个套接字,从而调用,可以通过同时打开多个套接字,从而加速扫描。加速扫描。第65页,共188页,编辑于2022年,星期二2023/4
46、/14网络入侵与防范讲义66全扫描全扫描特点(缺点)全扫描全扫描特点(缺点)o扫描方式不隐蔽扫描方式不隐蔽o这种扫描方法很容易被检测出来,在日志文这种扫描方法很容易被检测出来,在日志文件中会有大量密集的连接和错误记录件中会有大量密集的连接和错误记录o并容易被防火墙发现和屏蔽并容易被防火墙发现和屏蔽第66页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义67半扫描半扫描oTCP SYN扫描的原理扫描的原理oTCP SYN扫描的过程扫描的过程oTCP SYN扫描的特点扫描的特点第67页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义68TCP S
47、YN扫描原理扫描原理o在这种技术中,扫描主机向目标主机的选择在这种技术中,扫描主机向目标主机的选择端口发送端口发送SYN数据段。数据段。n如果应答是RST,那么,说明端口是关闭的,按照设定继续探听其他端口;n如果应答中包含SYN和ACK,说明目标端口处于监听状态。o由于由于SYN扫描时,全连接尚未建立,所以,扫描时,全连接尚未建立,所以,这种技术通常被称为这种技术通常被称为“半连接半连接”扫描。扫描。第68页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义69TCP SYN扫描过程(成功)扫描过程(成功)RSTSYN/ACKSYNClient端Server端第69页,
48、共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义70TCP SYN扫描过程(未成功)扫描过程(未成功)第70页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义71TCP SYN扫描特点扫描特点oSYN扫描的优点扫描的优点在于即使日志中对于扫描有在于即使日志中对于扫描有所记录,但是尝试进行连接的记录也要比全所记录,但是尝试进行连接的记录也要比全扫描的记录少的多。扫描的记录少的多。oSYN扫描缺点扫描缺点是在大部分操作系统中,发送是在大部分操作系统中,发送主机需要构造适用于这种扫描的主机需要构造适用于这种扫描的IP包,通常包,通常情况下,构造情况下
49、,构造SYN数据包需要超级用户或者数据包需要超级用户或者得到授权的用户,才能访问专门的系统调用。得到授权的用户,才能访问专门的系统调用。第71页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义72秘密扫描秘密扫描oTCP FIN扫描的原理扫描的原理oTCP FIN扫描的过程扫描的过程oTCP FIN扫描的特点扫描的特点o两个变种两个变种nNull扫描nXmas扫描 第72页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义73TCP FIN扫描原理扫描原理oTCP FIN扫描技术使用扫描技术使用FIN数据包探测端口:数据包探测端口:n当一个FI
50、N数据包到达一个关闭的端口,数据包会被丢掉,且返回一个RST数据包。n当一个FIN数据包到达一个打开的端口,数据包只是简单丢掉(不返回RST数据包)。o由于这种技术不包含标准的由于这种技术不包含标准的TCP三次握手协议的任何部三次握手协议的任何部分,所以无法被记录下来,从而比分,所以无法被记录下来,从而比SYN扫描隐蔽的多。扫描隐蔽的多。oFIN数据包能通过监测数据包能通过监测SYN包的包过滤器包的包过滤器TCP FIN扫描又称作扫描又称作秘密扫描秘密扫描。第73页,共188页,编辑于2022年,星期二2023/4/14网络入侵与防范讲义74TCP FIN扫描过程(成功)扫描过程(成功)o扫描