《网络攻防原理与技术第4章 网络扫描技术课件.pptx》由会员分享,可在线阅读,更多相关《网络攻防原理与技术第4章 网络扫描技术课件.pptx(86页珍藏版)》请在三一办公上搜索。
1、,第 四 章 网络扫描技术,内容提纲,主机扫描,2,端口扫描,3,操作系统识别,4,网络扫描概述,1,漏洞扫描,5,网络扫描技术,什么是网络扫描?使用网络扫描软件对特定目标进行各种试探性通信,以获取目标信息的行为。网络扫描的目的识别目标主机的工作状态(开/关机)识别目标主机端口的状态(监听/关闭)识别目标主机的操作系统类型识别目标系统可能存在的漏洞,主机扫描,端口扫描,漏洞扫描,操作系统识别,内容提纲,主机扫描,2,端口扫描,3,操作系统识别,4,网络扫描概述,1,漏洞扫描,5,主机扫描,向目标主机发送探测数据包,根据是否收到响应来判断主机的工作状态。ICMPICMP EchoICMP Non
2、-EchoIP异常的IP数据报首部错误的分片,(一)ICMP扫描,ICMPInternet控制报文协议。ICMP的作用:提高IP报文交付成功的机会网关或者目标机器利用ICMP与源通信。当出现问题时,提供反馈信息用于报告错误。,ICMP报文的结构,IP 首部,ICMP 报文,0,IP 数据部分,检验和,代码,(这 4 个字节取决于 ICMP 报文的类型),8,16,31,IP 数据报,ICMP 的数据部分(长度取决于类型),类型,ICMP报文种类,ICMP Echo扫描(1/5),ICMP 回送请求,黑客,目标主机,结论:目标主机在运行,ICMP Echo扫描(2/5),ICMP 回送请求,未收
3、到任何响应,黑客,目标主机,结论:目标主机未开机,ICMP Echo扫描(3/5),示例,D:ping 10.65.19.8Pinging 10.65.19.8 with 32 bytes of data:Reply from 10.65.19.8:bytes=32 time1ms TTL=128Reply from 10.65.19.8:bytes=32 time1ms TTL=128Reply from 10.65.19.8:bytes=32 time1ms TTL=128Reply from 10.65.19.8:bytes=32 time1ms TTL=128Ping statisti
4、cs for 10.65.19.8:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximate round trip times in milli-seconds:Minimum=0ms,Maximum=0ms,Average=0ms,ICMP Echo扫描(4/5),示例,D:ping 10.65.19.10Pinging 10.65.19.10 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping st
5、atistics for 10.65.19.10:Packets:Sent=4,Received=0,Lost=4(100%loss),ICMP Echo扫描(5/5),Broadcast ICMP扫描将ICMP请求包的目标地址设为广播地址或网络地址,则可以探测广播域或整个网络范围内的主机。缺点:只适合于UNIX/Linux系统,Windows 会忽略这种请求包;这种扫描方式容易引起广播风暴,ICMP Non-Echo扫描,利用其它类型的ICMP报文进行扫描,ICMP扫描的问题,很多企业防火墙对ICMP回送请求报文进行过滤,使其无法到达目标主机。主机上安装的个人防火墙往往也对ICMP报文进行阻
6、断。解决办法:使用IP数据报进行扫描。,(二)基于IP异常分组的扫描,异常的IP数据报首部:参数错,主机在收到首部异常(Header Length Field、IP Options Field、Version Number)的IP数据报时应当返回“参数问题”的ICMP报文。,首部异常的IP数据报,“参数问题”ICMP报文,黑客,目标主机,结论:目标主机在运行,未收到任何响应,结论:目标主机未开机,异常的IP数据报首部:目标不可达,向目标主机发送的IP包中填充错误的字段值,目标主机或过滤设备会反馈ICMP Destination Unreachable信息。,IP数据报分片,偏移=0/8=0,偏
7、移=0/8=0,偏移=1400/8=175,偏移=2800/8=350,1400,2800,3799,2799,1399,3799,需分片的数据报,数据报片 1,首部,数据部分共 3800 字节,首部 1,首部 2,首部 3,字节 0,数据报片 2,数据报片 3,1400,2800,字节 0,错误的IP数据报分片,由于缺少分片而无法完成IP数据报重组(超时)时,主机应当回应“分片重组超时”的ICMP报文。,分片1和分片3,“分片重组超时”ICMP报文,黑客,目标主机,结论:目标主机在运行,未收到任何响应,结论:目标主机未开机,超长包探测内部路由器,若构造的数据包长度超过目标系统所在路由器的PM
8、TU且设置禁止分段标志,该路由器会反馈 Fragmentation Needed and Dont Fragment Bit was Set 差错报文。,(三)反向映射探测,目标主机无法从外部直接到达,采用反向映射技术,通过目标系统的路由设备探测被过滤设备或防火墙保护的网络和主机。想探测某个未知网络内部的结构时,可以推测可能的内部IP地址(列表),并向这些地址发送数据包。目标网络的路由器收到这些数据包时,会进行IP识别并转发,对不在其服务范围的IP包发送ICMP Host Unreachable或ICMP Time Exceeded 错误报文。没有收到错误报文的IP地址可认为在该网络中。这种方
9、法也会受过滤设备的影响。,内容提纲,主机扫描,2,端口扫描,3,操作系统识别,4,网络扫描概述,1,漏洞扫描,5,端口扫描:概述,什么是端口?为什么可以进行端口扫描?一个端口就是一个潜在的通信信道,也就是入侵通道!当确定了目标主机可达后,就可以使用端口扫描技术,发现目标主机的开放端口,包括网络协议和各种应用监听的端口。向目标端口发送探测数据包,根据收到的响应来判断端口的状态。TCP 扫描UDP扫描,端口扫描:方法,向目标端口发送探测数据包,根据收到的响应来判断端口的状态。TCP 扫描FTP代理扫描UDP扫描,一、TCP扫描,TCP报文段的结构,TCP连接请求报文及响应,TCP连接的建立过程,S
10、YN,主机 B,SYN,ACK,ACK,主机 A,目标端口,(一)TCP Connect扫描(1/2),尝试同目标端口建立正常的TCP连接(直接调用系统提供的connect()函数)。连接建立成功结论:目标端口开放连接建立失败结论:目标端口关闭,TCP Connect扫描的特点(2/2),优点稳定可靠,不需要特殊的权限。缺点扫描方式不隐蔽,服务器会记录下客户机的连接行为。如何隐藏扫描行为?,(二)SYN扫描(1/3),SYN,主机 B,SYN,ACK,RST,主机 A,结论:端口开放,目标端口,SYN扫描(2/3),SYN,主机 B,RST,主机 A,结论:端口关闭,目标端口,SYN扫描的特点
11、(3/3),优点很少有系统会记录这样的行为。缺点需要管理员权限才可以构造这样的SYN数据包。,(三)FIN扫描(1/3),FIN,主机 B,主机 A,结论:端口开放,未收到任何响应,目标端口,FIN扫描(2/3),FIN,主机 B,RST,主机 A,结论:端口关闭,目标端口,FIN扫描的特点(3/3),优点不是TCP建立连接的过程,比较隐蔽。缺点与SYN扫描类似,也需要构造专门的数据包。只适用于Unix系统的目标主机,Windows系统总是发送RST报文段。,(四)Xmas扫描和Null扫描,Xmas扫描和Null扫描是FIN扫描的两个变种。Xmas扫描打开FIN、URG、ACK、PSH、RS
12、T、SYN标记,既全部置1。Null扫描关闭所有标记,既全部置0。扫描过程同FIN扫描一样。,二、FTP代理扫描,FTP proxy扫描(1/4),FTP代理选项允许客户端控制一个FTP服务器向另一个服务器传输数据。利用这一特点可以实现端口扫描的功能。,FTP proxy扫描(2/4),建立FTP会话,使用PORT命令指定一个端口P,黑客,FTP服务器,目标主机,使用LIST命令启动一个到P的数据传输,传输成功,结论:目标端口开放,无法打开数据连接,结论:目标端口关闭,FTP proxy扫描的特点(3/4),优点不但难以跟踪,而且可以穿越防火墙。缺点一些FTP服务器禁止这种特性。,示例(4/4
13、),D:Program FilesNmapnmap-sS 192.168.1.2Starting Nmap 4.01(http:/www.insecure.org/nmap)at 2006-04-20 20:53 中国标准时间Interesting ports on 192.168.1.2:(The 1666 ports scanned but not shown below are in state:closed)PORT STATE SERVICE21/tcp open ftp135/tcp open msrpc139/tcp open netbios-ssn445/tcp open mi
14、crosoft-ds1025/tcp open NFS-or-IIS5000/tcp open UPnPMAC Address:52:54:AB:33:E7:71(Unknown)Nmap finished:1 IP address(1 host up)scanned in 5.829 seconds,三、UDP扫描,UDP扫描,UDP没有连接建立过程,该如何判断一个UDP端口打开了呢?依据:扫描主机向目标主机的UDP端口发送UDP数据包,如果目标端口处于监听状态,将不会做出任何响应;而如果目标端口处于关闭状态,将会返回ICMP_PORT_UNREACH错误。,UDP扫描,从表面上看,目标端口
15、工作状态不同对扫描数据包将做出不同响应,区分度很好。但实际应用中必须考虑到UDP数据包和ICMP错误消息在通信中都可能丢失,不能保证到达,这将使得判断出现偏差。,四、扫描策略,扫描策略,扫描过程中一般要连续向目标发送大量的探测报文,有什么问题吗?很容易被防火墙、入侵检测系统发现。怎么办?,扫描策略,随机端口扫描(Random Port Scan)慢扫描(Slow Scan)分片扫描(Fragmentation Scanning)将TCP连接控制报文分成多个短IP报文段传送隐蔽性好,可穿越防火墙,躲避安全检测缺点:可能被进行排队过滤的防火墙丢弃;某些程序在处理这些小数据包时会出现异常。诱骗(De
16、coy):伪造源地址,目标主机分不清分布式协调扫描(Coordinated Scans),四、扫描工具,51,端口扫描小结,内容提纲,主机扫描,2,端口扫描,3,操作系统识别,4,网络扫描概述,1,漏洞扫描,5,操作系统识别,根据使用的信息可分为三类:通过获取旗标信息,利用端口信息,通过TCP/IP协议栈指纹,一、旗标信息,旗标,旗标(banner):客户端向服务器端提出连接请求时服务器端所返回的欢迎信息,旗标,旗标(banner):客户端向服务器端提出连接请求时服务器端所返回的欢迎信息,二、端口信息,端口信息,端口扫描的结果在操作系统检测阶段也可以加以利用。不同操作系统通常会有一些默认开放的
17、服务,这些服务使用特定的端口进行网络监听。例如,Windows XP、Windows 2003等系统默认开放了TCP 135端口、TCP 139端口以及TCP 445端口,而Linux系统通常不会使用这些端口。端口工作状态的差异能够为操作系统检测提供一定的依据,三、TCP/IP协议栈指纹,根据OS在TCP/IP协议栈实现上的不同特点,通过其对各种探测的响应规律形成识别指纹,进而识别目标主机运行的操作系统,TCP/IP协议栈指纹,(一)主动扫描(1/4),采用向目标系统发送构造的特殊包并监控其应答的方式来识别操作系统类型。主动扫描具有速度快、可靠性高等优点,但同样严重依赖于目标系统网络拓扑结构和
18、过滤规则。,(一)主动扫描(2/4),FIN探测:发送一个FIN包给一个打开的端口,一般的行为是不响应,但某些实现例如 MS Windows,BSDI,CISCO,HP/UX,MVS,和IRIX 发回一个RESET。BOGUS标记探测:设置一个未定义的TCP 标记(64或128)在SYN包的TCP头里。Linux机器到2.0.35之前在回应中保持这个标记。TCP ISN 取样:找出当响应一个连接请求时由TCP 实现所选择的初始化序列数式样。这可分为许多组例如传统的64K(许多老UNIX机器),随机增量(新版本的Solaris,IRIX,FreeBSD,Digital UNIX,Cray,等),
19、真“随机”(Linux 2.0.*,OpenVMS,新的AIX,等),Windows 机器(和一些其他的)用一个“时间相关”模型,每过一段时间ISN就被加上一个小的固定数。,(一)主动扫描(3/4),不分段指示位:许多操作系统开始在送出的一些包中设置IP的Dont Fragment位。TCP初始化窗口值:检查返回包的窗口大小。如queso和nmap保持对窗口的精确跟踪因为它对于特定OS基本是常数。ACK值:不同实现中一些情况下ACK域的值是不同的。例如,如果你送了一个FIN|PSH|URG 到一个关闭的TCP 端口。大多数实现会设置ACK 为你的初始序列数,而Windows 会送给你序列数加1
20、。ICMP错误信息终结:一些操作系统限制各种错误信息的发送率。例如,Linux 内核限制目的不可达消息的生成每4 秒钟最多80个。测试的一种办法是发一串包到一些随机的高UDP端口并计数收到的不可达消息。,(一)主动扫描(4/4),ICMP消息引用:ICMP错误消息中可以引用一部分引起错误的源消息。对一个端口不可达消息,几乎所有实现只送回IP请求头外加8个字节。然而,Solaris 送回的稍多,而Linux 更多。SYN洪泛限度:如果收到过多的伪造SYN数据包,一些操作系统会停止新的连接尝试。许多操作系统只能处理 8 个包。,TCP选项,TCP选项探测,(1)构造6 个不同的数据包作为探针来获取
21、目标主机的响应数据包,分别设置了不同的可选项值,TCP选项探测,分别向Windows、Linux、Solaris 和Mac 等操作系统发送这六个数据包,分析响应数据包,并从中提取这些操作系统对6 个数据包可选项的不同响应,所得结果下。,TCP选项探测,分析发现Windows 对TCP 可选项的响应顺序为MSS、WS、TS、S,ST 的值为(0,0);Linux 对TCP 可选项的响应顺序为MSS、S、TS、WS,内核版本为2.4 的Linux 和内核版本为2.6 的Linux 的差别在于对WS 的响应值是不同的:前者是0,后者是2;Sun Solaris 对TCP 可选项的响应顺序为TS、MS
22、S、WS、S;Mac 对TCP 可选项的响应顺序为MSS、WS、TS、S,ST 的值为(1,1)。,TCP选项探测,不同操作系统对于含有相同TCP 可选项数据包的响应是不同的,差异主要表现在以下三个方面:响应值不同,响应顺序不同,响应值和响应顺序都不同。这些差异可以用作操作系统识别的依据。,(二)被动扫描,通过监听工具收集数据包,再对数据包的不同特征(TCP Window-size、IP TTL、IP TOS、DF位等参数)进行分析,来识别操作系统。被动扫描基本不具备攻击特征,具有很好的隐蔽性,但其实现严格依赖扫描主机所处的网络拓扑结构;和主动探测相比较,具有速度慢、可靠性不高等缺点。,常见操
23、作系统的TTL值,四、操作系统识别工具,内容提纲,主机扫描,2,端口扫描,3,操作系统识别,4,网络扫描概述,1,漏洞扫描,5,漏洞扫描,目的发现服务程序或系统可能存在的漏洞。漏洞存在的原因实现缺陷、配置不当等。扫描方法向探测目标发送特定报文,根据响应判断是否存在漏洞。,实例:CGI漏洞扫描,漏洞扫描流程连接目标WEB SERVER发送一个特殊的请求接收目标服务器返回数据根据返回数据判断目标服务器是否有此CGI漏洞。,CGI漏洞扫描,比如识别出Web 服务器为IIS,则向其发出Http请求:GET/iissamples/exair/howitworks/codebrws.asp,GET/iis
24、samples/sdk/asp/docs/codebrws.asp,GET/iissamples/exair/howitworks/code.asp,GET/msadc/samples/selector/showcode.asp,GET/scripts/tools/newdsn.exe”如果返回“200 OK”的Http应答,则表明存在”http IIS samples“漏洞,需要提示用户进行修改。,CGI漏洞扫描,如果向IIS服务器发Http请求,“GET/NULL.printer“其返回信息为500 13rnServer:Microsoft-IIS/5.0则目标系统存在”IIS5 NULL
25、.printer”漏洞。,常见扫描软件,免费Nmap支持多种扫描模式以及指纹识别技术Nessus 安全评估软件X-Scan漏洞扫描功能强流光支持自定义字典进行暴力破解集成工具:Metasploit,BackTrack,Nessus,Nessus是一种用来自动检测和发现已知安全问题的强大工具。,Nessus,Nessus,Nessus,小结,主机扫描目的:判断目标主机是否正在运行手段:利用ICMP报文、IP数据报端口扫描目的:判断目标端口是否开放手段:利用TCP连接、FTP proxy操作系统识别目的:判断目标操作系统的类型手段:主动扫描、被动扫描漏洞扫描目的:判断目标系统是否存在特定漏洞手段:利用特殊报文,作业,4-1 简要说明ICMP协议的哪些报文常被用来进行网络扫描?4-2 简述有几种常见的端口扫描策略。4-3 TCP/IP协议中哪些特征可以用来识别操作系统?4-4 列出几种利用TCP的三次握手过程进行网络扫描的技术。,
