《《网络扫描介绍》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《网络扫描介绍》PPT课件.ppt(29页珍藏版)》请在三一办公上搜索。
1、网络扫描介绍,代恒,为什么做网络扫描?,攻击者:信息收集的一部分,攻击目标定位,鉴别目标,发现目标弱点管理员:网络安全检查,Outline,网络扫描的目标主机扫描端口扫描系统类型探查漏洞扫描网络扫描的防范,网络扫描的目标,主机发现目标主机上运行的可访问的TCP及UDP网络服务目标主机的操作平台及其配置目标主机漏洞(包括系统漏洞和协议栈漏洞)过滤机制与安全系统的配置(包括防火墙、边界路由器、交换机以及IDS探测器等),主机扫描,目的:检查目标主机是否处于活动状态(active)扫描方式:ICMP Ping扫描ACK Ping扫描SYN Ping扫描UDP Ping扫描:到关闭端口arp扫描(局域
2、网),主机扫描,主机扫描程序:PingNmap:-sP选项,缺省执行,集合了ICMP/SYN/ACK/UDP Ping功能(SYN/ACK针对80端口)SING(Send ICMP Nasty Garbage):发送完全定制的ICMP数据包的命令行工具,主机扫描,Ping扫射同时扫描大量的IP地址段,以发现某个IP地址是否绑定活跃主机的扫描Ping扫射工具软件UNIX:Nmap,fping,hping2Win32:Superscan,TCP/UDP端口扫描,端口TCP/UDP(1-65535),运行网络应用服务由IANA/ICANN负责分配端口扫描连接目标主机的TCP和UDP端口,确定哪些服务
3、正在运行即处于监听状态的过程端口扫描目的防御者:更加了解所管理的网络状况,找出没有必要开放的端口并关闭,这是保证业务网络安全的第一步攻击者:找出可供进一步攻击的网络服务,同时结合操作系统探测技术也可以确定目标主机所安装的操作系统版本。开放网络服务和操作系统版本信息为攻击者提供了破解攻击的目标,使其更容易找出进入目标主机的漏洞路径,TCP端口扫描,标准的扫描方法TCP连接扫描调用connect()socket函数连接目标端口开放端口:完成完整的TCP三次握手(SYN,SYN|ACK,ACK),timeout/RST关闭端口:SYN,RST优势&弱势:无需特权用户权限可发起,目标主机记录大量连接和
4、错误信息,容易检测SYN扫描半开扫描(half-open scanning)开放端口:攻击者SYN,目标主机SYN|ACK,攻击者立即反馈RST包关闭连接关闭端口:攻击者SYN,目标主机RST优势&弱势:目标主机不会记录未建立连接,较为隐蔽,需根用户权限构建定制SYN包,C,S开放,SYN,SYN|ACK,ACK,C,SYN,RST,RST,S关闭,C,S开放,SYN,SYN|ACK,C,SYN,RST,RST,S关闭,TCP端口扫描,隐秘TCP端口扫描隐蔽端口扫描通过构造特殊的TCP标志位,以躲避检测,同时达成端口扫描目方法:反转 TCP 标记扫描FIN扫描(只带FIN位),nmap-sFN
5、ull扫描(全为0),nmap-sNXMAS扫描(FIN/URG/PUSH),nmap-sXACK 标记探测扫描,nmap-sA/-sW,TCP端口扫描,欺骗性TCP扫描FTP 跳板扫描,nmap-P0-b代理跳板扫描基于监听的欺骗性扫描,jsbach的spoofscanIP ID 头扫描,nmap-sI(加-P0禁止主机扫描)提供扫描服务的网站,TCP端口扫描,TCP端口扫描工具:UNIX:Nmap,Unicornscan,nast,Knockerwin:SuperScan,vscan,Xscan.,UDP端口扫描,UDP端口扫描对目标端口发送特殊定制的UDP数据报文开放端口:UDP反馈关闭
6、端口:ICMP port unreachable报文(可能会被防火墙拦截)UDP端口扫描工具UNIX:udp_scan,nmap-sU,nc-u-v-z-w2 HOST PORT_LISTWin32:WUPS,ScanLine,C,S开放,UDP ACK,C,ICMP端口不可达,S关闭,UDP REP,UDP REP,TCP/UDP端口扫描,IDS逃避与过滤欺骗数据包分片。Dug Song的fragroute工具包;nmap-f源地址伪造(混淆检测)。nmap-P0-D使用源路由使用特定的 TCP、UDP源端口。nmap-g被动监听,系统类型探查,系统类型探查:探查活跃主机的系统及开放网络服务
7、的类型目标主机上运行着何种类型什么版本的操作系统各个开放端口上监听的是哪些网络服务目的为更为深入的情报信息收集,真正实施攻击做好准备如远程渗透攻击需了解目标系统操作系统类型,并配置,操作系统类型探查,操作系统类型探查(OS Identification)通过各种不同操作系统类型和版本实现机制上的差异通过特定方法以确定目标主机所安装的操作系统类型和版本的技术手段明确操作系统类型和版本是进一步进行安全漏洞发现和渗透攻击的必要前提不同操作系统类型和版本的差异性协议栈实现差异协议栈指纹鉴别开放端口的差异端口扫描应用服务的差异旗标攫取辨识方式主动:操作系统主动探测技术被动:被动操作系统识别技术,操作系统
8、主动探测,操作系统主动探测技术端口扫描应用服务旗标攫取主动协议栈指纹鉴别主动协议栈指纹鉴别Fyodor,Phrack,Remote OS detection via TCP/IP Stack Finger-Printing,1998.鉴别项:FIN,BOGUS flag,ISN采样,DF位,TCP初始窗口大小,ACK值,ICMP出错消息抑制,ICMP消息引用,ICMP出错消息回射完整性,TOS,重叠分片处理,TCP选项nmap-O选项,qeuso,Xprobe,被动操作系统识别,被动操作系统识别技术流量监听(开放端口):tcpdump,被动应用服务识别:PADS被动协议栈指纹鉴别:siphon
9、,p0f被动协议栈指纹鉴别Lance Spitzner,Passive fingerprinting四个常用特征:TTL,Window Size,DF,TOSP0f v2:p0f.fp,wwww:ttt:D:ss:OOO.:QQ:OS:DetailsWWS:TTL:DF:Syn pkt size:option,order,quirksOS genre,OS description,网络服务类型探查,网络服务类型探查确定目标网络中开放端口上绑定的网络应用服务类型和版本了解目标系统更丰富信息,可支持进一步的操作系统辨识和漏洞识别网络服务主动探测网络服务旗标抓取和探测:nmap-sV网络服务被动识别
10、网络服务特征匹配和识别:PADS,漏洞扫描,漏洞:Security Vulnerability,安全脆弱性漏洞扫描:检查系统是否存在已公布安全漏洞,硬件、软件或策略是否存在安全缺陷,从而使得攻击者能够在未授权的情况下访问、攻击、控制系统,漏洞扫描,漏洞扫描技术检查系统是否存在已公布安全漏洞,从而易于遭受网络攻击双刃剑网络管理员用来检查系统安全性,渗透测试团队(Red Team)用于安全评估攻击者用来列出最可能成功的攻击方法,提高攻击效率已发布安全漏洞数据库业界标准漏洞命名库CVE 微软安全漏洞公告MSxx-xxxSecurityFocus BIDNational Vulnerability D
11、atabase:NVD,漏洞扫描软件,ISS(Internet Security Scanner)1993年:第一个漏洞扫描软件,商业2006年被IBM以16亿美元收购SATAN/SAINT1995年:Dan Farmer第一个公开发布的漏洞扫描软件,引发媒体负面报导Nessus目前最优秀的共享漏洞扫描软件1998-:Renaud Deraison,Nessus v2.x 开源2005-:Tenable Network Security,Nessus v3.x,v4.x,freeware,plugin license,国内漏洞扫描软件,开源软件Xscan:“冰河”黄鑫2001年开始开发2005
12、年v3.3之后无更新兼容Nessus的NASL语言开发插件国内厂商绿盟:“极光”启明星辰:“天镜”方正、中软、东软,完整解决方案-自动化侦察工具,自动化侦察工具HP OpenViewCheopsCheops-ngtkined,网络扫描的防范,主机扫描防范措施监测:网络入侵检测系统Snort主机扫描监测工具Scanlogd防御:仔细考虑对ICMP通信的过滤策略,端口扫描防范措施,端口扫描的监测网络入侵检测系统:Snort中的portscan检测插件系统扫描检测工具:scanlogd,PortSentry,Genius端口扫描的预防开启防火墙类UNIX:netfilter/IPTablesWin3
13、2:个人防火墙商用防火墙:Check Point、NetScreen、WatchGuard等禁用所有不必要的服务,尽可能减少暴露面(进一步的受攻击面)类UNIX:/etc/inetd.conf Win32:控制面板/服务,系统类型探查防范措施,没有太多好办法检测端口扫描监测工具对被动式静默监听并辨识系统类型行为则基本无能为力挫败系统类型探查活动的防御机制也很难更改默认旗标和默认配置代理“不出声就不会被发现”这一古老格言并不适用于网络攻防领域应立足于即使攻击者探查出了操作系统和网络服务类型,也不能轻易的攻破这道“坚固的防线”,漏洞扫描防范措施,最简单对策:提前进行漏洞扫描补丁自动更新和分发:修补漏洞联邦桌面核心配置计划(FDCC)确保桌面计算机的安全漏洞及补丁自动管理中国2010年才开始政务终端安全配置(CGDCC)标准的发展检测和防御漏洞扫描行为网络入侵检测系统:Snort仔细审查防火墙配置规则,Thanks!,
