CIW-05(掃描技術(shù)、應(yīng)用程序漏洞的攻擊)

1、CIWCIW網(wǎng)絡(luò)安全認證培訓(xùn)網(wǎng)絡(luò)安全認證培訓(xùn)第五講掃描技術(shù)、應(yīng)用程序漏洞的攻擊第五講掃描技術(shù)、應(yīng)用程序漏洞的攻擊學(xué)習(xí)目標學(xué)習(xí)目標l 掃描技術(shù)掃描技術(shù)l 應(yīng)用程序漏洞的攻擊應(yīng)用程序漏洞的攻擊主要內(nèi)容 掃描器的基本概念掃描器的基本概念 掃描器的工作原理掃描器的工作原理 網(wǎng)絡(luò)掃描的主要技術(shù)網(wǎng)絡(luò)掃描的主要技術(shù) 現(xiàn)有掃描器介紹及選擇現(xiàn)有掃描器介紹及選擇 掃描器的實例分析掃描器的實例分析一、掃描器的基本概念 什么是網(wǎng)絡(luò)掃描器什么是網(wǎng)絡(luò)掃描器 為什么需要網(wǎng)絡(luò)掃描器為什么需要網(wǎng)絡(luò)掃描器 網(wǎng)絡(luò)掃描器的主要功能網(wǎng)絡(luò)掃描器的主要功能什么是網(wǎng)絡(luò)掃描器 安全評估工具安全評估工具系統(tǒng)管理員保障系統(tǒng)安全的有效工具系統(tǒng)管理員

2、保障系統(tǒng)安全的有效工具 網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)漏洞掃描器 網(wǎng)絡(luò)入侵者收集信息的重要手段網(wǎng)絡(luò)入侵者收集信息的重要手段為什么需要網(wǎng)絡(luò)掃描器 由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)規(guī)模迅猛增長和計由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)規(guī)模迅猛增長和計算機系統(tǒng)日益復(fù)雜，導(dǎo)致新的系統(tǒng)漏洞層出不窮算機系統(tǒng)日益復(fù)雜，導(dǎo)致新的系統(tǒng)漏洞層出不窮 由于系統(tǒng)管理員的疏忽或缺乏經(jīng)驗，導(dǎo)致舊有的漏由于系統(tǒng)管理員的疏忽或缺乏經(jīng)驗，導(dǎo)致舊有的漏洞依然存在洞依然存在 許多人出于好奇或別有用心，不停的窺視網(wǎng)上資源許多人出于好奇或別有用心，不停的窺視網(wǎng)上資源網(wǎng)絡(luò)掃描器的主要功能 掃描目標主機識別其工作狀態(tài)（開掃描目標主機識別其工作狀態(tài)（開/關(guān)機）關(guān)機）

3、 識別目標主機端口的狀態(tài)（監(jiān)聽識別目標主機端口的狀態(tài)（監(jiān)聽/關(guān)閉）關(guān)閉） 識別目標主機系統(tǒng)及服務(wù)程序的類型和版本識別目標主機系統(tǒng)及服務(wù)程序的類型和版本 根據(jù)已知漏洞信息，分析系統(tǒng)脆弱點根據(jù)已知漏洞信息，分析系統(tǒng)脆弱點 生成掃描結(jié)果報告生成掃描結(jié)果報告二、掃描器的工作原理 TCP協(xié)議協(xié)議 ICMP協(xié)議協(xié)議 掃描器的基本工作原理掃描器的基本工作原理TCP協(xié)議（一） TCP是一種面向連接的，可靠的傳輸層協(xié)議。一次是一種面向連接的，可靠的傳輸層協(xié)議。一次正常的正常的TCP傳輸需要通過在客戶端和服務(wù)器之間建傳輸需要通過在客戶端和服務(wù)器之間建立特定的虛電路連接來完成，該過程通常被稱為立特定的虛電路連接來完

4、成，該過程通常被稱為“三次握手三次握手”。TCP通過數(shù)據(jù)分段中的序列號保證所通過數(shù)據(jù)分段中的序列號保證所有傳輸?shù)臄?shù)據(jù)可以在遠端按照正常的次序進行重組有傳輸?shù)臄?shù)據(jù)可以在遠端按照正常的次序進行重組，而且通過確認保證數(shù)據(jù)傳輸?shù)耐暾?。，而且通過確認保證數(shù)據(jù)傳輸?shù)耐暾?。TCP協(xié)議（二） TCP數(shù)據(jù)包格式數(shù)據(jù)包格式TCP協(xié)議（三） TCP標志位標志位 ACK： 確認標志確認標志 RST： 復(fù)位標志復(fù)位標志 URG：緊急標志：緊急標志 SYN： 建立連接標志建立連接標志 PSH： 推標志推標志 FIN：結(jié)束標志結(jié)束標志TCP協(xié)議（四） TCP連接建立示意圖連接建立示意圖ICMP協(xié)議（一） Interne

5、t Control Message Protocol，是，是IP的一的一部分，在部分，在IP協(xié)議棧中必須實現(xiàn)。協(xié)議棧中必須實現(xiàn)。 用途：用途： 網(wǎng)關(guān)或者目標機器利用網(wǎng)關(guān)或者目標機器利用ICMP與源通訊與源通訊 當出現(xiàn)問題時，提供反饋信息用于報告錯誤當出現(xiàn)問題時，提供反饋信息用于報告錯誤 特點：特點： 其控制能力并不用于保證傳輸?shù)目煽啃云淇刂颇芰Σ⒉挥糜诒ＷC傳輸?shù)目煽啃?它本身也不是可靠傳輸?shù)乃旧硪膊皇强煽總鬏數(shù)?并不用來反映并不用來反映ICMP報文的傳輸情況報文的傳輸情況ICMP協(xié)議（二） ICMP報文類型報文類型 0 Echo Reply 3 Destination Unreachable

6、 4 Source Quench 5 Redirect 8 Echo request 11 Time Exceeded 12 Parameter Problem 13 Timestamp 14 Timestamp Reply 15 Information Request 16 Information Reply 17 Address Mask Request 18 Address Mask Reply 掃描器的基本工作原理三、網(wǎng)絡(luò)掃描的主要技術(shù) 主機掃描技術(shù)主機掃描技術(shù) 端口掃描技術(shù)端口掃描技術(shù) 棧指紋棧指紋OS識別技術(shù)識別技術(shù)主機掃描技術(shù)傳統(tǒng)技術(shù) 主機掃描的目的是確定在目標網(wǎng)絡(luò)上的主機是否可

7、主機掃描的目的是確定在目標網(wǎng)絡(luò)上的主機是否可達。這是信息收集的初級階段，其效果直接影響到達。這是信息收集的初級階段，其效果直接影響到后續(xù)的掃描。后續(xù)的掃描。 常用的傳統(tǒng)掃描手段有：常用的傳統(tǒng)掃描手段有： ICMP Echo掃描掃描 ICMP Sweep掃描掃描 Broadcast ICMP掃描掃描 Non-Echo ICMP掃描掃描ICMP echo掃描 實現(xiàn)原理：實現(xiàn)原理：Ping的實現(xiàn)機制，在判斷在一個網(wǎng)絡(luò)上的實現(xiàn)機制，在判斷在一個網(wǎng)絡(luò)上主機是否開機時非常有用。向目標主機發(fā)送主機是否開機時非常有用。向目標主機發(fā)送ICMP Echo Request (type 8)數(shù)據(jù)包，等待回復(fù)的數(shù)據(jù)包，

8、等待回復(fù)的ICMP Echo Reply 包包(type 0) 。如果能收到，則表明目。如果能收到，則表明目標系統(tǒng)可達，否則表明目標系統(tǒng)已經(jīng)不可達或發(fā)送標系統(tǒng)可達，否則表明目標系統(tǒng)已經(jīng)不可達或發(fā)送的包被對方的設(shè)備過濾掉。的包被對方的設(shè)備過濾掉。 優(yōu)點：簡單，系統(tǒng)支持優(yōu)點：簡單，系統(tǒng)支持 缺點：很容易被防火墻限制缺點：很容易被防火墻限制 可以通過并行發(fā)送，同時探測多個目標主機，以提可以通過并行發(fā)送，同時探測多個目標主機，以提高探測效率（高探測效率（ICMP Sweep掃描）。掃描）。Broadcast ICMP掃描 實現(xiàn)原理：將實現(xiàn)原理：將ICMP請求包的目標地址設(shè)為廣播地請求包的目標地址設(shè)為廣

9、播地址或網(wǎng)絡(luò)地址，則可以探測廣播域或整個網(wǎng)絡(luò)范圍址或網(wǎng)絡(luò)地址，則可以探測廣播域或整個網(wǎng)絡(luò)范圍內(nèi)的主機。內(nèi)的主機。 缺點：缺點： 只適合于只適合于UNIX/Linux系統(tǒng)，系統(tǒng)，Windows 會忽略會忽略這種請求包；這種請求包； 這種掃描方式容易引起廣播風(fēng)暴這種掃描方式容易引起廣播風(fēng)暴Non-Echo ICMP掃描 一些其它一些其它ICMP類型包也可以用于對主機或網(wǎng)絡(luò)設(shè)類型包也可以用于對主機或網(wǎng)絡(luò)設(shè)備的探測，如：備的探測，如： Stamp Request(Type 13) Reply(Type 14) Information Request(Type 15) Reply(Type 16) Ad

10、dress Mask Request (Type 17) Reply(Type 18)主機掃描技術(shù)高級技術(shù) 防火墻和網(wǎng)絡(luò)過濾設(shè)備常常導(dǎo)致傳統(tǒng)的探測手段變防火墻和網(wǎng)絡(luò)過濾設(shè)備常常導(dǎo)致傳統(tǒng)的探測手段變得無效。為了突破這種限制，必須采用一些非常規(guī)得無效。為了突破這種限制，必須采用一些非常規(guī)的手段，利用的手段，利用ICMP協(xié)議提供網(wǎng)絡(luò)間傳送錯誤信息協(xié)議提供網(wǎng)絡(luò)間傳送錯誤信息的手段，往往可以更有效的達到目的：的手段，往往可以更有效的達到目的： 異常的異常的IP包頭包頭 在在IP頭中設(shè)置無效的字段值頭中設(shè)置無效的字段值 錯誤的數(shù)據(jù)分片錯誤的數(shù)據(jù)分片 通過超長包探測內(nèi)部路由器通過超長包探測內(nèi)部路由器 反向映

11、射探測反向映射探測異常的IP包頭 向目標主機發(fā)送包頭錯誤的向目標主機發(fā)送包頭錯誤的IP包，目標主機或過濾包，目標主機或過濾設(shè)備會反饋設(shè)備會反饋ICMP Parameter Problem Error信息信息。常見的偽造錯誤字段為。常見的偽造錯誤字段為Header Length Field 和和IP Options Field。 根據(jù)根據(jù)RFC1122的規(guī)定，主機應(yīng)該檢測的規(guī)定，主機應(yīng)該檢測IP包的包的Version Number、Checksum字段字段, 路由器應(yīng)該路由器應(yīng)該檢測檢測IP包的包的Checksum字段。不同廠家的路由器和字段。不同廠家的路由器和操作系統(tǒng)對這些錯誤的處理方式不同，

12、返回的結(jié)果操作系統(tǒng)對這些錯誤的處理方式不同，返回的結(jié)果也各異。如果結(jié)合其它手段，可以初步判斷目標系也各異。如果結(jié)合其它手段，可以初步判斷目標系統(tǒng)所在網(wǎng)絡(luò)過濾設(shè)備的統(tǒng)所在網(wǎng)絡(luò)過濾設(shè)備的ACL。在IP頭中設(shè)置無效的字段值 向目標主機發(fā)送的向目標主機發(fā)送的IP包中填充錯誤的字段值，目標包中填充錯誤的字段值，目標主機或過濾設(shè)備會反饋主機或過濾設(shè)備會反饋ICMP Destination Unreachable信息。這種方法同樣可以探測目標主信息。這種方法同樣可以探測目標主機和網(wǎng)絡(luò)設(shè)備以及其機和網(wǎng)絡(luò)設(shè)備以及其ACL。錯誤的數(shù)據(jù)分片 當目標主機接收到錯誤的數(shù)據(jù)分片（如某些分片丟當目標主機接收到錯誤的數(shù)據(jù)分片

13、（如某些分片丟失），并且在規(guī)定的時間間隔內(nèi)得不到更正時，將失），并且在規(guī)定的時間間隔內(nèi)得不到更正時，將丟棄這些錯誤數(shù)據(jù)包，并向發(fā)送主機反饋丟棄這些錯誤數(shù)據(jù)包，并向發(fā)送主機反饋ICMP Fragment Reassembly Time Exceeded 錯誤報錯誤報文。利用這種方法同樣可以檢測到目標主機和網(wǎng)絡(luò)文。利用這種方法同樣可以檢測到目標主機和網(wǎng)絡(luò)過濾設(shè)備及其過濾設(shè)備及其ACL。通過超長包探測內(nèi)部路由器 若構(gòu)造的數(shù)據(jù)包長度超過目標系統(tǒng)所在路由器的若構(gòu)造的數(shù)據(jù)包長度超過目標系統(tǒng)所在路由器的PMTU且設(shè)置禁止分片標志且設(shè)置禁止分片標志, 該路由器會反饋該路由器會反饋 Fragmentation

14、Needed and Dont Fragment Bit was Set差錯報文，從而獲取目標系統(tǒng)的網(wǎng)絡(luò)拓撲差錯報文，從而獲取目標系統(tǒng)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。結(jié)構(gòu)。反向映射探測 該技術(shù)用于探測被過濾設(shè)備或防火墻保護的網(wǎng)絡(luò)和該技術(shù)用于探測被過濾設(shè)備或防火墻保護的網(wǎng)絡(luò)和主機。通常這些系統(tǒng)無法從外部直接到達，但是我主機。通常這些系統(tǒng)無法從外部直接到達，但是我們可以采用反向映射技術(shù)，通過目標系統(tǒng)的路由設(shè)們可以采用反向映射技術(shù)，通過目標系統(tǒng)的路由設(shè)備進行有效的探測。備進行有效的探測。 當我們想探測某個未知網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)時，可以構(gòu)當我們想探測某個未知網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)時，可以構(gòu)造可能的內(nèi)部造可能的內(nèi)部IP地址列表，并

15、向這些地址發(fā)送數(shù)據(jù)地址列表，并向這些地址發(fā)送數(shù)據(jù)包。當對方路由器接收到這些數(shù)據(jù)包時，會進行包。當對方路由器接收到這些數(shù)據(jù)包時，會進行IP識別并路由，對不在其服務(wù)的范圍的識別并路由，對不在其服務(wù)的范圍的IP包發(fā)送包發(fā)送ICMP Host Unreachable或或ICMP Time Exceeded 錯誤報文，沒有接收到相應(yīng)錯誤報文的錯誤報文，沒有接收到相應(yīng)錯誤報文的IP地址會可被認為在該網(wǎng)絡(luò)中。當然，這種方法也地址會可被認為在該網(wǎng)絡(luò)中。當然，這種方法也會受到過濾設(shè)備的影響。會受到過濾設(shè)備的影響。demo Icmp 掃描技術(shù)掃描技術(shù)端口掃描技術(shù) 當確定了目標主機可達后，就可以使用端口掃描技當確定

16、了目標主機可達后，就可以使用端口掃描技術(shù)，發(fā)現(xiàn)目標主機的開放端口，包括網(wǎng)絡(luò)協(xié)議和各術(shù)，發(fā)現(xiàn)目標主機的開放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽的端口。端口掃描技術(shù)主要包括以下三種應(yīng)用監(jiān)聽的端口。端口掃描技術(shù)主要包括以下三類：類： 開放掃描開放掃描 會產(chǎn)生大量的審計數(shù)據(jù)，容易被對方發(fā)現(xiàn)，但會產(chǎn)生大量的審計數(shù)據(jù)，容易被對方發(fā)現(xiàn)，但其可靠性高；其可靠性高； 隱蔽掃描隱蔽掃描 能有效的避免對方入侵檢測系統(tǒng)和防火墻的檢能有效的避免對方入侵檢測系統(tǒng)和防火墻的檢測，但這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡(luò)時容測，但這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡(luò)時容易被丟棄從而產(chǎn)生錯誤的探測信息；易被丟棄從而產(chǎn)生錯誤的探測信息； 半開放掃

17、描半開放掃描 隱蔽性和可靠性介于前兩者之間。隱蔽性和可靠性介于前兩者之間。開放掃描技術(shù) TCP Connect 掃描掃描 TCP反向反向ident掃描掃描TCP Connect 掃描 實現(xiàn)原理：通過調(diào)用實現(xiàn)原理：通過調(diào)用socket函數(shù)函數(shù)connect()連接到連接到目標計算機上，完成一次完整的三次握手過程。如目標計算機上，完成一次完整的三次握手過程。如果端口處于偵聽狀態(tài)，那么果端口處于偵聽狀態(tài)，那么connect()就能成功返就能成功返回。否則，這個端口不可用，即沒有提供服務(wù)?；亍７駝t，這個端口不可用，即沒有提供服務(wù)。 優(yōu)點：穩(wěn)定可靠，不需要特殊的權(quán)限優(yōu)點：穩(wěn)定可靠，不需要特殊的權(quán)限 缺點

18、：掃描方式不隱蔽，服務(wù)器日志會記錄下大量缺點：掃描方式不隱蔽，服務(wù)器日志會記錄下大量密集的連接和錯誤記錄密集的連接和錯誤記錄 ，并容易被防火墻發(fā)現(xiàn)和，并容易被防火墻發(fā)現(xiàn)和屏蔽屏蔽TCP反向ident掃描 實現(xiàn)原理：實現(xiàn)原理：ident 協(xié)議允許看到通過協(xié)議允許看到通過TCP連接的任連接的任何進程的擁有者的用戶名，即使這個連接不是由這何進程的擁有者的用戶名，即使這個連接不是由這個進程開始的。比如，連接到個進程開始的。比如，連接到http端口，然后用端口，然后用identd來發(fā)現(xiàn)服務(wù)器是否正在以來發(fā)現(xiàn)服務(wù)器是否正在以root權(quán)限運行。權(quán)限運行。 缺點：這種方法只能在和目標端口建立了一個完整缺點：這

19、種方法只能在和目標端口建立了一個完整的的TCP連接后才能看到。連接后才能看到。 半開放掃描技術(shù) TCP SYN 掃描掃描 TCP間接掃描間接掃描TCP SYN 掃描 實現(xiàn)原理：掃描器向目標主機端口發(fā)送實現(xiàn)原理：掃描器向目標主機端口發(fā)送SYN包。如包。如果應(yīng)答是果應(yīng)答是RST包，那么說明端口是關(guān)閉的；如果應(yīng)包，那么說明端口是關(guān)閉的；如果應(yīng)答中包含答中包含SYN和和ACK包，說明目標端口處于監(jiān)聽包，說明目標端口處于監(jiān)聽狀態(tài)，再傳送一個狀態(tài)，再傳送一個RST包給目標機從而停止建立連包給目標機從而停止建立連接。由于在接。由于在SYN掃描時，全連接尚未建立，所以這掃描時，全連接尚未建立，所以這種技術(shù)通常

20、被稱為半連接掃描種技術(shù)通常被稱為半連接掃描 優(yōu)點：隱蔽性較全連接掃描好，一般系統(tǒng)對這種半優(yōu)點：隱蔽性較全連接掃描好，一般系統(tǒng)對這種半掃描很少記錄掃描很少記錄 缺點：通常構(gòu)造缺點：通常構(gòu)造SYN數(shù)據(jù)包需要超級用戶或者授權(quán)數(shù)據(jù)包需要超級用戶或者授權(quán)用戶訪問專門的系統(tǒng)調(diào)用用戶訪問專門的系統(tǒng)調(diào)用TCP間接掃描 實現(xiàn)原理：利用第三方的實現(xiàn)原理：利用第三方的IP（欺騙主機）來隱藏真（欺騙主機）來隱藏真正掃描者的正掃描者的IP。由于掃描主機會對欺騙主機發(fā)送回。由于掃描主機會對欺騙主機發(fā)送回應(yīng)信息，所以必須監(jiān)控欺騙主機的應(yīng)信息，所以必須監(jiān)控欺騙主機的IP行為，從而獲行為，從而獲得原始掃描的結(jié)果。掃描主機通過偽

21、造第三方主機得原始掃描的結(jié)果。掃描主機通過偽造第三方主機IP地址向目標主機發(fā)起地址向目標主機發(fā)起SYN掃描，并通過觀察其掃描，并通過觀察其IP序列號的增長規(guī)律獲取端口的狀態(tài)序列號的增長規(guī)律獲取端口的狀態(tài) 優(yōu)點：隱蔽性好優(yōu)點：隱蔽性好 缺點：對第三方主機的要求較高缺點：對第三方主機的要求較高 隱蔽掃描技術(shù) TCP FIN 掃描掃描 TCP Xmas掃描掃描 TCP Null 掃描掃描 TCP ftp proxy掃描掃描 分段掃描分段掃描TCP FIN 掃描 實現(xiàn)原理：掃描器向目標主機端口發(fā)送實現(xiàn)原理：掃描器向目標主機端口發(fā)送FIN包。包。當一個當一個FIN數(shù)據(jù)包到達一個關(guān)閉的端口，數(shù)據(jù)數(shù)據(jù)包到達

22、一個關(guān)閉的端口，數(shù)據(jù)包會被丟掉，并且返回一個包會被丟掉，并且返回一個RST數(shù)據(jù)包。否則，若數(shù)據(jù)包。否則，若是打開的端口，數(shù)據(jù)包只是簡單的丟掉（不返回是打開的端口，數(shù)據(jù)包只是簡單的丟掉（不返回RST）。）。 優(yōu)點：優(yōu)點：由于這種技術(shù)不包含標準的由于這種技術(shù)不包含標準的TCP三次握手三次握手協(xié)議的任何部分，所以無法被記錄下來，從而必協(xié)議的任何部分，所以無法被記錄下來，從而必SYN掃描隱蔽得多，掃描隱蔽得多，F(xiàn)IN數(shù)據(jù)包能夠通過只監(jiān)測數(shù)據(jù)包能夠通過只監(jiān)測SYN包的包過濾器。包的包過濾器。 缺點：缺點：跟跟SYN掃描類似，需要自己構(gòu)造數(shù)據(jù)包，要求由超級用掃描類似，需要自己構(gòu)造數(shù)據(jù)包，要求由超級用戶或者

23、授權(quán)用戶訪問專門的系統(tǒng)調(diào)用；戶或者授權(quán)用戶訪問專門的系統(tǒng)調(diào)用；通常適用于通常適用于UNIX目標主機，除過少量的應(yīng)當丟棄數(shù)據(jù)包目標主機，除過少量的應(yīng)當丟棄數(shù)據(jù)包卻發(fā)送卻發(fā)送RST包的操作系統(tǒng)（包括包的操作系統(tǒng)（包括CISCO，HP/UX，MVS和和IRIX）。但在）。但在Windows環(huán)境下，該方法無效，因為不環(huán)境下，該方法無效，因為不論目標端口是否打開，操作系統(tǒng)都返回論目標端口是否打開，操作系統(tǒng)都返回RST包。包。TCP Xmas 和TCP Null 掃描 實現(xiàn)原理：實現(xiàn)原理：TCP Xmas和和Null掃描是掃描是FIN掃描掃描的兩個變種。的兩個變種。Xmas掃描打開掃描打開FIN，URG和

24、和PUSH標記，而標記，而Null掃描關(guān)閉所有標記。這掃描關(guān)閉所有標記。這些組合的目的是為了通過對些組合的目的是為了通過對FIN標記數(shù)據(jù)包標記數(shù)據(jù)包的過濾。當一個這種數(shù)據(jù)包到達一個關(guān)閉的過濾。當一個這種數(shù)據(jù)包到達一個關(guān)閉的端口，數(shù)據(jù)包會被丟掉，并且返回一個的端口，數(shù)據(jù)包會被丟掉，并且返回一個RST數(shù)據(jù)包。否則，若是打開的端口，數(shù)據(jù)數(shù)據(jù)包。否則，若是打開的端口，數(shù)據(jù)包只是簡單的丟掉（不返回包只是簡單的丟掉（不返回RST）。）。 優(yōu)點：優(yōu)點：隱蔽性好；隱蔽性好； 缺點：缺點：需要自己構(gòu)造數(shù)據(jù)包，要求由超級用戶或者授需要自己構(gòu)造數(shù)據(jù)包，要求由超級用戶或者授權(quán)用戶權(quán)限；權(quán)用戶權(quán)限；通常適用于通常適用于

25、UNIX目標主機，而目標主機，而Windows系統(tǒng)不系統(tǒng)不支持。支持。TCP ftp proxy掃描實現(xiàn)原理實現(xiàn)原理 在在ftp協(xié)議中，數(shù)據(jù)連接可以與控制連接位于不同的機器上協(xié)議中，數(shù)據(jù)連接可以與控制連接位于不同的機器上 讓讓ftp server與目標主機建立連接，而且目標主機的端口可與目標主機建立連接，而且目標主機的端口可以指定以指定 如果端口打開，則可以傳輸否則，返回如果端口打開，則可以傳輸否則，返回425 Cant build data connection: Connection refused. Ftp這個缺陷還可以被用來向目標這個缺陷還可以被用來向目標(郵件郵件,新聞新聞)傳送匿名

26、信息傳送匿名信息 優(yōu)點：這種技術(shù)可以用來穿透防火墻優(yōu)點：這種技術(shù)可以用來穿透防火墻 缺點：慢，且有些缺點：慢，且有些ftp server禁止這種特性禁止這種特性分段掃描 實現(xiàn)原理：并不直接發(fā)送實現(xiàn)原理：并不直接發(fā)送TCP探測數(shù)據(jù)包，是將數(shù)探測數(shù)據(jù)包，是將數(shù)據(jù)包分成兩個較小的據(jù)包分成兩個較小的IP段。這樣就將一個段。這樣就將一個TCP頭分頭分成好幾個數(shù)據(jù)包，從而包過濾器就很難探測到。成好幾個數(shù)據(jù)包，從而包過濾器就很難探測到。 優(yōu)點：隱蔽性好，可穿越防火墻優(yōu)點：隱蔽性好，可穿越防火墻 缺點：缺點： 可能被丟棄；可能被丟棄； 某些程序在處理這些小數(shù)據(jù)包時會出現(xiàn)異常。某些程序在處理這些小數(shù)據(jù)包時會出現(xiàn)

27、異常。棧指紋OS識別技術(shù)（一） 原理：根據(jù)各個原理：根據(jù)各個OS在在TCP/IP協(xié)議棧實現(xiàn)上的不同協(xié)議棧實現(xiàn)上的不同特點，采用黑盒測試方法，通過研究其對各種探測特點，采用黑盒測試方法，通過研究其對各種探測的響應(yīng)形成識別指紋，進而識別目標主機運行的操的響應(yīng)形成識別指紋，進而識別目標主機運行的操作系統(tǒng)。根據(jù)采集指紋信息的方式，又可以分為主作系統(tǒng)。根據(jù)采集指紋信息的方式，又可以分為主動掃描和被動掃描兩種方式。動掃描和被動掃描兩種方式。被動掃描 通過通過Sniff收集數(shù)據(jù)包，再對數(shù)據(jù)包的不同特征（收集數(shù)據(jù)包，再對數(shù)據(jù)包的不同特征（TCP Window-size、 IP TTL、IP TOS、DF位等位

28、等參數(shù)）進行分析，來識別操作系統(tǒng)。參數(shù)）進行分析，來識別操作系統(tǒng)。 被動掃描基本不具備攻擊特征，具有很好的隱蔽性被動掃描基本不具備攻擊特征，具有很好的隱蔽性，但其實現(xiàn)嚴格依賴掃描主機所處的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，但其實現(xiàn)嚴格依賴掃描主機所處的網(wǎng)絡(luò)拓撲結(jié)構(gòu)；和主動探測相比較，具有速度慢、可靠性不高等；和主動探測相比較，具有速度慢、可靠性不高等缺點。缺點。主動掃描 采用向目標系統(tǒng)發(fā)送構(gòu)造的特殊包并監(jiān)控其應(yīng)答的采用向目標系統(tǒng)發(fā)送構(gòu)造的特殊包并監(jiān)控其應(yīng)答的方式來識別操作系統(tǒng)類型。方式來識別操作系統(tǒng)類型。 主動掃描具有速度快、可靠性高等優(yōu)點，但同樣嚴主動掃描具有速度快、可靠性高等優(yōu)點，但同樣嚴重依賴于目標系統(tǒng)網(wǎng)絡(luò)

29、拓撲結(jié)構(gòu)和過濾規(guī)則。重依賴于目標系統(tǒng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)和過濾規(guī)則。主動掃描識別技術(shù)（一） FIN探測：發(fā)送一個探測：發(fā)送一個FIN包給一個打開的端口，一般包給一個打開的端口，一般的行為是不響應(yīng)，但某些實現(xiàn)例如的行為是不響應(yīng)，但某些實現(xiàn)例如 MS Windows, BSDI, CISCO,HP/UX,MVS,和和IRIX 發(fā)回一個發(fā)回一個RESET。 BOGUS標記探測：設(shè)置一個未定義的標記探測：設(shè)置一個未定義的TCP 標記標記（64或或128）在）在SYN包的包的TCP頭里。頭里。Linux機器到機器到2.0.35之前在回應(yīng)中保持這個標記。之前在回應(yīng)中保持這個標記。 TCP ISN 取樣：找出當響應(yīng)

30、一個連接請求時由取樣：找出當響應(yīng)一個連接請求時由TCP 實現(xiàn)所選擇的初始化序列數(shù)式樣。這可分為許多組實現(xiàn)所選擇的初始化序列數(shù)式樣。這可分為許多組例如傳統(tǒng)的例如傳統(tǒng)的64K（許多老（許多老UNIX機器），隨機增量（機器），隨機增量（新版本的新版本的Solaris，IRIX，F(xiàn)reeBSD，Digital UNIX，Cray，等），真，等），真“隨機隨機”（Linux 2.0.*，OpenVMS,新的新的AIX,等），等），Windows 機器（和一些機器（和一些其他的）用一個其他的）用一個“時間相關(guān)時間相關(guān)”模型，每過一段時間模型，每過一段時間ISN就被加上一個小的固定數(shù)。就被加上一個小的固定數(shù)

31、。主動掃描識別技術(shù)（二） 不分段位：許多操作系統(tǒng)開始在送出的一些包中設(shè)不分段位：許多操作系統(tǒng)開始在送出的一些包中設(shè)置置IP的的Dont Fragment位。位。 TCP初始化窗口：檢查返回包的窗口大小。如初始化窗口：檢查返回包的窗口大小。如queso和和nmap保持對窗口的精確跟蹤因為它對于特保持對窗口的精確跟蹤因為它對于特定定OS基本是常數(shù)?；臼浅?shù)。 ACK值：不同實現(xiàn)中一些情況下值：不同實現(xiàn)中一些情況下ACK域的值是不同域的值是不同的。例如，如果你送了一個的。例如，如果你送了一個FIN|PSH|URG 到一個關(guān)到一個關(guān)閉的閉的TCP 端口。大多數(shù)實現(xiàn)會設(shè)置端口。大多數(shù)實現(xiàn)會設(shè)置ACK

32、為你的初始為你的初始序列數(shù)，而序列數(shù)，而Windows 會送給你序列數(shù)加會送給你序列數(shù)加1 。 ICMP錯誤信息終結(jié)：一些操作系統(tǒng)跟從限制各種錯錯誤信息終結(jié)：一些操作系統(tǒng)跟從限制各種錯誤信息的發(fā)送率。例如，誤信息的發(fā)送率。例如，Linux 內(nèi)核限制目的不可內(nèi)核限制目的不可達消息的生成每達消息的生成每4 秒鐘秒鐘80個。測試的一種辦法是發(fā)個。測試的一種辦法是發(fā)一串包到一些隨機的高一串包到一些隨機的高UDP端口并計數(shù)收到的不可端口并計數(shù)收到的不可達消息。達消息。主動掃描識別技術(shù)（三） ICMP消息引用：消息引用：ICMP錯誤消息可以引用一部分引錯誤消息可以引用一部分引起錯誤的源消息。對一個端口不可

33、達消息，幾乎所起錯誤的源消息。對一個端口不可達消息，幾乎所有實現(xiàn)只送回有實現(xiàn)只送回IP請求頭外加請求頭外加8個字節(jié)。然而，個字節(jié)。然而，Solaris 送回的稍多，而送回的稍多，而Linux 更多。更多。 SYN洪水限度：如果收到過多的偽造洪水限度：如果收到過多的偽造SYN數(shù)據(jù)包，數(shù)據(jù)包，一些操作系統(tǒng)會停止新的連接嘗試。許多操作系統(tǒng)一些操作系統(tǒng)會停止新的連接嘗試。許多操作系統(tǒng)只能處理只能處理8 個包。個包。 參考：參考：Nmap Remote OS Detection/nmap/nmap-fingerprinting-article.html六、優(yōu)秀

34、掃描工具 nMAP ：世界上最受黑客歡迎的掃描器，能實現(xiàn)秘：世界上最受黑客歡迎的掃描器，能實現(xiàn)秘密掃描、動態(tài)延遲、重發(fā)與平行掃描、欺騙掃描、密掃描、動態(tài)延遲、重發(fā)與平行掃描、欺騙掃描、端口過濾探測、端口過濾探測、RPC直接掃描、分布掃描等，靈活直接掃描、分布掃描等，靈活性非常好，功能強大性非常好，功能強大 。 官方主頁官方主頁/nmap/ SATAN 掃描器的鼻祖，它采用掃描器的鼻祖，它采用Perl寫的內(nèi)核，通寫的內(nèi)核，通過過PERL調(diào)用大量的調(diào)用大量的C語言的檢測工具對目標網(wǎng)站語言的檢測工具對目標網(wǎng)站進行分析，因此可以嵌入瀏覽器中使用。進行分析，因

35、此可以嵌入瀏覽器中使用。 X-scan 國內(nèi)著名國內(nèi)著名網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全站點站點-安全焦點的牛人安全焦點的牛人 glacier 冰河作者，也是知名女黑客冰河作者，也是知名女黑客wollf的好老公的好老公：P 的作品的作品實驗5-3 漏洞掃描 X-scan 3.3使用使用七、安全評估工具 目前存在的掃描器產(chǎn)品主要可分為基于主機的和基目前存在的掃描器產(chǎn)品主要可分為基于主機的和基于網(wǎng)絡(luò)的兩種，前者主要關(guān)注軟件所在主機上面的于網(wǎng)絡(luò)的兩種，前者主要關(guān)注軟件所在主機上面的風(fēng)險漏洞，而后者則是通過網(wǎng)絡(luò)遠程探測其它主機風(fēng)險漏洞，而后者則是通過網(wǎng)絡(luò)遠程探測其它主機的安全風(fēng)險漏洞。的安全風(fēng)險漏洞。 國外，基于主機

36、的產(chǎn)品主要有：國外，基于主機的產(chǎn)品主要有：AXENT公司的公司的ESM，ISS公司的公司的System Scanner等，基于網(wǎng)絡(luò)等，基于網(wǎng)絡(luò)的產(chǎn)品包括的產(chǎn)品包括ISS公司的公司的Internet Scanner、AXENT公司的公司的NetRecon、NAI公司的公司的CyberCops Scanner、Cisco的的NetSonar等。等。NessusNessus是一個功能強大而又易于使用的遠程安全掃描器，安全是一個功能強大而又易于使用的遠程安全掃描器，安全掃描器的功能是對指定網(wǎng)絡(luò)進行安全檢查，找出該網(wǎng)絡(luò)是否存在掃描器的功能是對指定網(wǎng)絡(luò)進行安全檢查，找出該網(wǎng)絡(luò)是否存在有導(dǎo)致對手攻擊的安全漏

37、洞。該系統(tǒng)被設(shè)計為有導(dǎo)致對手攻擊的安全漏洞。該系統(tǒng)被設(shè)計為client/sever模式模式Nessus的優(yōu)點在于：的優(yōu)點在于： 1、 其采用了基于多種安全漏洞的掃描，避免了掃描不完整的情其采用了基于多種安全漏洞的掃描，避免了掃描不完整的情況。況。 2、 比起商業(yè)的安全掃描工具如比起商業(yè)的安全掃描工具如ISS具有價格優(yōu)勢。具有價格優(yōu)勢。 3、 在在Nmap用戶參與的一次關(guān)于最喜歡的安全工具問卷調(diào)查中用戶參與的一次關(guān)于最喜歡的安全工具問卷調(diào)查中（評選結(jié)果附后），在與眾多商用系統(tǒng)及開放源代碼的系統(tǒng)競爭（評選結(jié)果附后），在與眾多商用系統(tǒng)及開放源代碼的系統(tǒng)競爭中，中，Nessus名列榜首。群眾的眼睛是雪亮的：）。名列榜首。群眾的眼睛是雪亮的：）。 4、 Nessus擴展性強、容易使用、功能強大，可以掃描出多種擴展性強、容易使用、功能強大，可以掃描出多種安全漏洞。安全漏洞。N-Stalker Enterprise Edition N-Stalker Web Application Security Scanner是是N-Sta