掃描與防御技術(shù)

第2章掃描與防御技術(shù)2023/2/5網(wǎng)絡(luò)入侵與防范講義2本章內(nèi)容安排2.1掃描技術(shù)概述2.2常見的掃描技術(shù)2.3掃描工具賞析2.4掃描的防御2.5小結(jié)2023/2/5網(wǎng)絡(luò)入侵與防范講義32.1掃描技術(shù)概述什么是掃描器網(wǎng)絡(luò)掃描器是一把雙刃劍為什么需要網(wǎng)絡(luò)掃描器掃描的重要性網(wǎng)絡(luò)掃描器的主要功能網(wǎng)絡(luò)掃描器與漏洞的關(guān)系掃描三步曲一個典型的掃描案例2023/2/5網(wǎng)絡(luò)入侵與防范講義4什么是掃描器掃描器是一種自動檢測遠(yuǎn)程或本地主機(jī)安全性弱點的程序。它集成了常用的各種掃描技術(shù)，能自動發(fā)送數(shù)據(jù)包去探測和攻擊遠(yuǎn)端或本地的端口和服務(wù)，并自動收集和記錄目標(biāo)主機(jī)的反饋信息，從而發(fā)現(xiàn)目標(biāo)主機(jī)是否存活、目標(biāo)網(wǎng)絡(luò)內(nèi)所使用的設(shè)備類型與軟件版本、服務(wù)器或主機(jī)上各TCP/UDP端口的分配、所開放的服務(wù)、所存在的可能被利用的安全漏洞。據(jù)此提供一份可靠的安全性分析報告，報告可能存在的脆弱性。2023/2/5網(wǎng)絡(luò)入侵與防范講義5網(wǎng)絡(luò)掃描器是一把雙刃劍安全評估工具

系統(tǒng)管理員保障系統(tǒng)安全的有效工具網(wǎng)絡(luò)漏洞掃描器

網(wǎng)絡(luò)入侵者收集信息的重要手段掃描器是一把“雙刃劍”。2023/2/5網(wǎng)絡(luò)入侵與防范講義6為什么需要網(wǎng)絡(luò)掃描器由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)規(guī)模迅猛增長和計算機(jī)系統(tǒng)日益復(fù)雜，導(dǎo)致新的系統(tǒng)漏洞層出不窮由于系統(tǒng)管理員的疏忽或缺乏經(jīng)驗，導(dǎo)致舊有的漏洞依然存在許多人出于好奇或別有用心，不停的窺視網(wǎng)上資源2023/2/5網(wǎng)絡(luò)入侵與防范講義7掃描的重要性掃描的重要性在于把繁瑣的安全檢測，通過程序來自動完成，這不僅減輕了網(wǎng)絡(luò)管理員的工作，而且也縮短了檢測時間。同時，也可以認(rèn)為掃描器是一種網(wǎng)絡(luò)安全性評估軟件，利用掃描器可以快速、深入地對目標(biāo)網(wǎng)絡(luò)進(jìn)行安全評估。網(wǎng)絡(luò)安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠為網(wǎng)絡(luò)提供很高的安全性。網(wǎng)絡(luò)掃描VS.入室盜竊窺探2023/2/5網(wǎng)絡(luò)入侵與防范講義9網(wǎng)絡(luò)掃描器的主要功能掃描目標(biāo)主機(jī)識別其工作狀態(tài)（開/關(guān)機(jī)）識別目標(biāo)主機(jī)端口的狀態(tài)（監(jiān)聽/關(guān)閉）識別目標(biāo)主機(jī)操作系統(tǒng)的類型和版本識別目標(biāo)主機(jī)服務(wù)程序的類型和版本分析目標(biāo)主機(jī)、目標(biāo)網(wǎng)絡(luò)的漏洞（脆弱點）生成掃描結(jié)果報告2023/2/5網(wǎng)絡(luò)入侵與防范講義10網(wǎng)絡(luò)掃描器與漏洞的關(guān)系網(wǎng)絡(luò)漏洞是系統(tǒng)軟、硬件存在安全方面的脆弱性，安全漏洞的存在導(dǎo)致非法用戶入侵系統(tǒng)或未經(jīng)授權(quán)獲得訪問權(quán)限，造成信息篡改、拒絕服務(wù)或系統(tǒng)崩潰等問題。網(wǎng)絡(luò)掃描可以對計算機(jī)網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)設(shè)備進(jìn)行安全相關(guān)的檢測，以找出安全隱患和可能被黑客利用的漏洞。2023/2/5網(wǎng)絡(luò)入侵與防范講義11掃描三步曲一個完整的網(wǎng)絡(luò)安全掃描分為三個階段：第一階段：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)第二階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括操作系統(tǒng)類型、運行的服務(wù)以及服務(wù)軟件的版本等。如果目標(biāo)是一個網(wǎng)絡(luò)，還可以進(jìn)一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、路由設(shè)備以及各主機(jī)的信息第三階段：根據(jù)收集到的信息判斷或者進(jìn)一步測試系統(tǒng)是否存在安全漏洞2023/2/5網(wǎng)絡(luò)入侵與防范講義12掃描三步曲（續(xù)）網(wǎng)絡(luò)安全掃描技術(shù)包括PING掃描、操作系統(tǒng)探測、穿透防火墻探測、端口掃描、漏洞掃描等PING掃描用于掃描第一階段，識別系統(tǒng)是否活動OS探測、穿透防火墻探測、端口掃描用于掃描第二階段OS探測是對目標(biāo)主機(jī)運行的OS進(jìn)行識別穿透防火墻探測用于獲取被防火墻保護(hù)的網(wǎng)絡(luò)資料端口掃描是通過與目標(biāo)系統(tǒng)的TCP/IP端口連接，并查看該系統(tǒng)處于監(jiān)聽或運行狀態(tài)的服務(wù)漏洞掃描用于安全掃描第三階段，通常是在端口掃描的基礎(chǔ)上，進(jìn)而檢測出目標(biāo)系統(tǒng)存在的安全漏洞2023/2/5網(wǎng)絡(luò)入侵與防范講義13一個典型的掃描案例簡單郵件傳輸協(xié)議SMTP的脆弱性檢測2023/2/5網(wǎng)絡(luò)入侵與防范講義141.Findtargets選定目標(biāo)為：8測試此主機(jī)是否處于活動狀態(tài)，工具是用操作系統(tǒng)自帶的ping，使用命令： ping8結(jié)果見下頁圖。2023/2/5網(wǎng)絡(luò)入侵與防范講義15說明該主機(jī)處于活動狀態(tài)2023/2/5網(wǎng)絡(luò)入侵與防范講義162.PortScan運用掃描工具，檢查目標(biāo)主機(jī)開放的端口，判斷它運行了哪些服務(wù)使用的工具是Nmap（此工具將在后面進(jìn)行介紹）掃描命令：nmap8掃描結(jié)果見下面圖2023/2/5網(wǎng)絡(luò)入侵與防范講義172023/2/5網(wǎng)絡(luò)入侵與防范講義182.PortScan(2)端口開放信息如下：21/tcpopenftp25/tcpopensmtp42/tcpopennameserver53/tcpopendomain80/tcpopenhttp……我們將重點關(guān)注SMTP端口2023/2/5網(wǎng)絡(luò)入侵與防范講義193.VulnerabilityCheck檢測SMTP服務(wù)是否存在漏洞使用漏洞掃描工具Nessus（內(nèi)薩斯，此工具在后面將會介紹）掃描過程見下頁圖2023/2/5網(wǎng)絡(luò)入侵與防范講義20掃描目標(biāo)是82023/2/5網(wǎng)絡(luò)入侵與防范講義21Nessus正在進(jìn)行漏洞掃描2023/2/5網(wǎng)絡(luò)入侵與防范講義224.ReportNessus發(fā)現(xiàn)了目標(biāo)主機(jī)的SMTP服務(wù)存在漏洞。掃描報告中與SMTP漏洞相關(guān)的部分見下頁圖。2023/2/5網(wǎng)絡(luò)入侵與防范講義23漏洞編號：CVE-2003-08182023/2/5網(wǎng)絡(luò)入侵與防范講義242.2常見的掃描技術(shù)TCP/IP相關(guān)知識常用網(wǎng)絡(luò)命令主機(jī)掃描端口掃描全掃描半掃描秘密掃描認(rèn)證(ident)掃描FTP代理掃描遠(yuǎn)程主機(jī)OS指紋識別漏洞掃描不可不學(xué)的掃描技術(shù)巧妙奇特的天才構(gòu)思2023/2/5網(wǎng)絡(luò)入侵與防范講義25TCP/IP相關(guān)知識TCP報文格式TCP通信過程ICMP協(xié)議2023/2/5網(wǎng)絡(luò)入侵與防范講義26TCP報文格式2023/2/5網(wǎng)絡(luò)入侵與防范講義27TCP控制位URG:為緊急數(shù)據(jù)標(biāo)志。如果它為1，表示本數(shù)據(jù)包中包含緊急數(shù)據(jù)。此時緊急數(shù)據(jù)指針有效。ACK:為確認(rèn)標(biāo)志位。如果為1，表示包中的確認(rèn)號是有效的。否則，包中的確認(rèn)號無效。PSH:如果置位，接收端應(yīng)盡快把數(shù)據(jù)傳送給應(yīng)用層。2023/2/5網(wǎng)絡(luò)入侵與防范講義28TCP控制位RST:用來復(fù)位一個連接。RST標(biāo)志置位的數(shù)據(jù)包稱為復(fù)位包。一般情況下，如果TCP收到的一個分段明顯不是屬于該主機(jī)上的任何一個連接，則向遠(yuǎn)端發(fā)送一個復(fù)位包。

SYN:標(biāo)志位用來建立連接，讓連接雙方同步序列號。如果SYN＝1而ACK=0，則表示該數(shù)據(jù)包為連接請求，如果SYN=1而ACK=1則表示接受連接。FIN:表示發(fā)送端已經(jīng)沒有數(shù)據(jù)要求傳輸了，希望釋放連接。2023/2/5網(wǎng)絡(luò)入侵與防范講義29TCP通信過程正常TCP通信過程:建立連接(數(shù)據(jù)傳輸)斷開連接2023/2/5網(wǎng)絡(luò)入侵與防范講義30建立TCP連接SYN_RCVD是TCP三次握手的中間狀態(tài)2023/2/5網(wǎng)絡(luò)入侵與防范講義31斷開TCP連接2023/2/5網(wǎng)絡(luò)入侵與防范講義32ICMP協(xié)議（1）InternetControlMessageProtocol，是IP的一部分，在IP協(xié)議棧中必須實現(xiàn)。用途：網(wǎng)關(guān)或者目標(biāo)機(jī)器利用ICMP與源通訊當(dāng)出現(xiàn)問題時，提供反饋信息用于報告錯誤特點：其控制能力并不用于保證傳輸?shù)目煽啃运旧硪膊皇强煽總鬏數(shù)牟⒉挥脕矸从矷CMP報文的傳輸情況2023/2/5網(wǎng)絡(luò)入侵與防范講義33ICMP協(xié)議（2） ICMP報文類型0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply17AddressMaskRequest18AddressMaskReply2023/2/5網(wǎng)絡(luò)入侵與防范講義34常用網(wǎng)絡(luò)命令PingTraceroute、Tracert、x-firewalkNet命令系列2023/2/5網(wǎng)絡(luò)入侵與防范講義35常用網(wǎng)絡(luò)命令--pingPing是最基本的掃描技術(shù)。ping命令——主要目的是檢測目標(biāo)主機(jī)是不是可連通，繼而探測一個IP范圍內(nèi)的主機(jī)是否處于激活狀態(tài)。不要小瞧ping黑客的攻擊往往都是從ping開始的2023/2/5網(wǎng)絡(luò)入侵與防范講義36常用網(wǎng)絡(luò)命令--ping的原理ping是一個基本的網(wǎng)絡(luò)命令，用來確定網(wǎng)絡(luò)上具有某個特定IP地址的主機(jī)是否存在以及是否能接收請求。Ping命令通過向計算機(jī)發(fā)送ICMP回應(yīng)報文并且監(jiān)聽回應(yīng)報文的返回，以校驗與遠(yuǎn)程計算機(jī)或本地計算機(jī)的連接。2023/2/5網(wǎng)絡(luò)入侵與防范講義37常用網(wǎng)絡(luò)命令--ping參數(shù)說明ping在安裝了TCP/IP協(xié)議后可以使用。2023/2/5網(wǎng)絡(luò)入侵與防范講義38常用網(wǎng)絡(luò)命令—ping命令使用-n:發(fā)送ICMP回應(yīng)報文的個數(shù)2023/2/5網(wǎng)絡(luò)入侵與防范講義39常用網(wǎng)絡(luò)命令--TracerouteTraceroute——跟蹤兩臺機(jī)器之間的路徑，顯示中間的每一個節(jié)點的信息。這個工具可以用來確定某個主機(jī)的位置。traceroute命令旨在用于網(wǎng)絡(luò)測試、評估和管理。它應(yīng)主要用于手動故障隔離。語法:2023/2/5網(wǎng)絡(luò)入侵與防范講義40常用網(wǎng)絡(luò)命令–Traceroute說明-f-f后指定一個初始TTL，它的范圍是大于0小于最大TTL，缺省為1。-m-m后指定一個最大TTL，它的范圍是大于初始TTL，缺省為30。-p-p后可以指定一個整數(shù)，該整數(shù)是目的主機(jī)的端口號，它的缺省為33434，用戶一般無須更改此選項。-q-q后可以指定一個整數(shù),該整數(shù)是每次發(fā)送的探測數(shù)據(jù)包的個數(shù)，它的范圍是大于0，缺省為3。-w-w后可以指定一個整數(shù)，該整數(shù)指明IP包的超時時間，它的范圍是大于0，缺省為5秒。host目的主機(jī)的IP地址2023/2/5網(wǎng)絡(luò)入侵與防范講義41常用網(wǎng)絡(luò)命令–Traceroute示例Quid#traceroute8tracerouteto(8),30hopsmax,56bytepacket1()19ms19ms0ms2lilac-dmc.Berkeley.EDU()39ms39ms19ms3ccngw-ner-cc.Berkeley.EDU(3)39ms40ms39ms4ccn-nerif22.Berkeley.EDU(2)39ms39ms39ms5()40ms59ms59ms6()59ms59ms59ms73(3)99ms99ms80ms8()139ms239ms319ms9()220ms199ms199ms10(8)239ms239ms239ms可以看出從源主機(jī)到目的地都經(jīng)過了哪些網(wǎng)關(guān)，這對于網(wǎng)絡(luò)分析是非常有用的。2023/2/5網(wǎng)絡(luò)入侵與防范講義42常用的網(wǎng)絡(luò)命令—Tracert、x-firewalkWindows下用tracert命令可以查看路由信息，但是如今的路由器大部分都對tracert命令做了限制，此命令已經(jīng)沒有效果。有黑客開發(fā)出x-firewalk.exe可用于在Windows環(huán)境下查看路由信息，非常實用，下載地址是/。2023/2/5網(wǎng)絡(luò)入侵與防范講義43常用的網(wǎng)絡(luò)命令—x-firewalk示例命令：x-firewalk可以看到本地到達(dá)都經(jīng)過了哪些路由器2023/2/5網(wǎng)絡(luò)入侵與防范講義44常用網(wǎng)絡(luò)命令--netNet命令系列——很多的Windows的網(wǎng)絡(luò)命令都是net開頭的。利用net開頭的命令，可以實現(xiàn)很多的網(wǎng)絡(luò)管理功能……比如用netstartserver，可以啟動服務(wù)器；NETUSE用于將計算機(jī)與共享的資源相連接，或者切斷計算機(jī)與共享資源的連接，當(dāng)不帶選項使用本命令時，它會列出計算機(jī)的連接。以下以Windows的NetUSE命令為例。

2023/2/5網(wǎng)絡(luò)入侵與防范講義45常用網(wǎng)絡(luò)命令—netuse示例 netuse命令及參數(shù)使用2023/2/5網(wǎng)絡(luò)入侵與防范講義46常用網(wǎng)絡(luò)命令—netuse示例 (1)用戶名為Administrator，密碼為longmang與遠(yuǎn)程計算機(jī)4進(jìn)行IPC$連接，如圖所示。 (2)查看與遠(yuǎn)程計算機(jī)建立的連接，如圖所示。2023/2/5網(wǎng)絡(luò)入侵與防范講義47常用網(wǎng)絡(luò)命令—netuse示例 (3)將遠(yuǎn)程計算機(jī)的c盤映射到本地o盤，如圖所示。2023/2/5網(wǎng)絡(luò)入侵與防范講義48常用網(wǎng)絡(luò)命令—netuse示例 (4)刪除一個IPC$連接 (5)刪除共享映射2023/2/5網(wǎng)絡(luò)入侵與防范講義49主機(jī)掃描技術(shù)傳統(tǒng)技術(shù)高級技術(shù)2023/2/5網(wǎng)絡(luò)入侵與防范講義50主機(jī)掃描技術(shù)－傳統(tǒng)技術(shù)主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)。這是信息收集的初級階段，其效果直接影響到后續(xù)的掃描。常用的傳統(tǒng)掃描手段有：ICMPEcho掃描ICMPSweep掃描BroadcastICMP掃描Non-EchoICMP掃描2023/2/5網(wǎng)絡(luò)入侵與防范講義51ICMPecho掃描實現(xiàn)原理：Ping的實現(xiàn)機(jī)制，在判斷在一個網(wǎng)絡(luò)上主機(jī)是否開機(jī)時非常有用。向目標(biāo)主機(jī)發(fā)送ICMPEchoRequest(type8)數(shù)據(jù)包，等待回復(fù)的ICMPEchoReply包(type0)。如果能收到，則表明目標(biāo)系統(tǒng)可達(dá)，否則表明目標(biāo)系統(tǒng)已經(jīng)不可達(dá)或發(fā)送的包被對方的設(shè)備過濾掉。優(yōu)點：簡單，系統(tǒng)支持缺點：很容易被防火墻限制可以通過并行發(fā)送，同時探測多個目標(biāo)主機(jī)，以提高探測效率（ICMPSweep掃描）。2023/2/5網(wǎng)絡(luò)入侵與防范講義52ICMPsweep掃描使用ICMPECHO輪詢多個主機(jī)稱為ICMPSWEEP(或者PingSweep)。對于小的或者中等網(wǎng)絡(luò)使用這種方法來探測主機(jī)是一種比較可接受的行為，但對于一些大的網(wǎng)絡(luò)如A、B類，這種方法就顯的比較慢，原因是Ping在處理下一個之前將會等待正在探測主機(jī)的回應(yīng)。掃描工具Nmap實現(xiàn)了ICMPsweep的功能。2023/2/5網(wǎng)絡(luò)入侵與防范講義53BroadcastICMP掃描實現(xiàn)原理：將ICMP請求包的目標(biāo)地址設(shè)為廣播地址或網(wǎng)絡(luò)地址，則可以探測廣播域或整個網(wǎng)絡(luò)范圍內(nèi)的主機(jī)。缺點：只適合于UNIX/Linux系統(tǒng)，Windows會忽略這種請求包；這種掃描方式容易引起廣播風(fēng)暴2023/2/5網(wǎng)絡(luò)入侵與防范講義54Non-EchoICMP掃描一些其它ICMP類型包也可以用于對主機(jī)或網(wǎng)絡(luò)設(shè)備的探測，如：StampRequest(Type13)Reply(Type14)InformationRequest(Type15)Reply(Type16)AddressMaskRequest(Type17)Reply(Type18)2023/2/5網(wǎng)絡(luò)入侵與防范講義55主機(jī)掃描技術(shù)－高級技術(shù)防火墻和網(wǎng)絡(luò)過濾設(shè)備常常導(dǎo)致傳統(tǒng)的探測手段變得無效。為了突破這種限制，必須采用一些非常規(guī)的手段，利用ICMP協(xié)議提供網(wǎng)絡(luò)間傳送錯誤信息的手段，往往可以更有效的達(dá)到目的：異常的IP包頭在IP頭中設(shè)置無效的字段值錯誤的數(shù)據(jù)分片通過超長包探測內(nèi)部路由器反向映射探測端口掃描技術(shù)TCP/IP協(xié)議提出的端口是網(wǎng)絡(luò)通信進(jìn)程與外界通訊交流的出口，可被命名和尋址，可以認(rèn)為是網(wǎng)絡(luò)通信進(jìn)程的一種標(biāo)識符。進(jìn)程通過系統(tǒng)調(diào)用與某端口建立連接綁定后，便會監(jiān)聽這個端口，傳輸層傳給該端口的數(shù)據(jù)都被相應(yīng)進(jìn)程所接收，而相應(yīng)進(jìn)程發(fā)給傳輸層的數(shù)據(jù)都從該端口輸出?；ヂ?lián)網(wǎng)上的通信雙方不僅需要知道對方的IP地址，也需要知道通信程序的端口號。端口掃描技術(shù)目前IPv4協(xié)議支持16位的端口，端口號范圍是0～65535。其中，0～1023號端口稱為熟知端口，被提供給特定的服務(wù)使用；1024～49151號端口稱為注冊端口，由IANA記錄和追蹤；49152～65535號端口稱為動態(tài)端口或?qū)Ｓ枚丝冢峁┙o專用應(yīng)用程序。許多常用的服務(wù)使用的是標(biāo)準(zhǔn)的端口，只要掃描到相應(yīng)的端口，就能知道目標(biāo)主機(jī)上運行著什么服務(wù)。端口掃描技術(shù)就是利用這一點向目標(biāo)系統(tǒng)的TCP/UDP端口發(fā)送探測數(shù)據(jù)包，記錄目標(biāo)系統(tǒng)的響應(yīng)，通過分析響應(yīng)來查看該系統(tǒng)處于監(jiān)聽或運行狀態(tài)的服務(wù)。2023/2/5網(wǎng)絡(luò)入侵與防范講義58端口掃描技術(shù)當(dāng)確定了目標(biāo)主機(jī)可達(dá)后，就可以使用端口掃描技術(shù)，發(fā)現(xiàn)目標(biāo)主機(jī)的開放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽的端口。端口掃描技術(shù)包括以下幾種：全掃描需要掃描方通過三次握手過程與目標(biāo)主機(jī)建立完整的TCP連接會產(chǎn)生大量的審計數(shù)據(jù)，容易被對方發(fā)現(xiàn)，但其可靠性高。半掃描掃描方不需要打開一個完全的TCP連接隱蔽性和可靠性介于全掃描和秘密掃描之間。秘密掃描不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分能有效的避免對方入侵檢測系統(tǒng)和防火墻的檢測，但使用的數(shù)據(jù)包在通過網(wǎng)絡(luò)時容易被丟棄從而產(chǎn)生錯誤的探測信息。認(rèn)證(ident)掃描需要先建立一個完整的TCP連接。FTP代理掃描隱蔽性好，難以追蹤。但受到服務(wù)器設(shè)置的限制。Windows本身自帶的netstat命令Netstat顯示協(xié)議統(tǒng)計和當(dāng)前的TCP/IP網(wǎng)絡(luò)連接。命令格式netstat[-a][-e][-n][-s][-pprotocol][-r][interval]用DOS命令顯示所有的監(jiān)聽端口Netstat參數(shù)-a顯示所有連接和偵聽端口。服務(wù)器連接通常不顯示。-e顯示以太網(wǎng)統(tǒng)計。該參數(shù)可以與-s選項結(jié)合使用。-n以數(shù)字格式顯示地址和端口號(而不是嘗試查找名稱)。-s顯示每個協(xié)議的統(tǒng)計。默認(rèn)情況下，顯示TCP、UDP、ICMP和IP的統(tǒng)計。-p選項可以用來指定默認(rèn)的子集。-pprotocol-顯示由protocol指定的協(xié)議的連接;protocol可以是tcp或udp。如果與-s選項一同使用顯示每個協(xié)議的統(tǒng)計，protocol可以是tcp、udp、icmp或ip。-r顯示路由表的內(nèi)容。interval重新顯示所選的統(tǒng)計，在每次顯示之間暫停interval秒。按CTRL+B停止重新顯示統(tǒng)計。如果省略該參數(shù)，netstat將打印一次當(dāng)前的配置信息。Netstat實例：查看機(jī)器開放的端口本地機(jī)器的7626端口已經(jīng)開放，正在監(jiān)聽等待連接，像這樣的情況極有可能是已經(jīng)感染了冰河!必須先斷開網(wǎng)絡(luò)，再用殺毒軟件查殺病毒。在Windows中關(guān)閉/開啟端口在默認(rèn)的情況下，有很多不安全的或沒有什么用的端口是開啟的，比如Telnet服務(wù)的23端口、FTP服務(wù)的21端口、SMTP服務(wù)的25端口、RPC服務(wù)的135端口等等。為了保證系統(tǒng)的安全性，我們可以通過下面的方法來關(guān)閉/開啟端口。關(guān)閉端口

例如，在WindowsXP中關(guān)閉SMTP服務(wù)的25端口，可以這樣做：首先打開“控制面板”，雙擊“管理工具”，再雙擊“服務(wù)”。接著在打開的服務(wù)窗口中找到并雙擊“SimpleMailTransferProtocol（SMTP）”服務(wù)，單擊“停止”按鈕來停止該服務(wù)，然后在“啟動類型”中選擇“已禁用”，最后單擊“確定”按鈕即可。這樣，關(guān)閉了SMTP服務(wù)就相當(dāng)于關(guān)閉了對應(yīng)的端口。開啟端口

如果要開啟該端口只要先在“啟動類型”選擇“自動”，單擊“確定”按鈕，再打開該服務(wù)，在“服務(wù)狀態(tài)”中單擊“啟動”按鈕即可啟用該端口，最后，單擊“確定”按鈕即可。2023/2/5網(wǎng)絡(luò)入侵與防范講義63遠(yuǎn)程主機(jī)OS指紋識別基本原理主動協(xié)議棧指紋識別被動協(xié)議棧指紋識別2023/2/5網(wǎng)絡(luò)入侵與防范講義64遠(yuǎn)程主機(jī)OS指紋識別的基本原理操作系統(tǒng)（OperatingSystem，簡稱OS）識別是入侵或安全檢測需要收集的重要信息，是分析漏洞和各種安全隱患的基礎(chǔ)。只有確定了遠(yuǎn)程主機(jī)的操作系統(tǒng)類型、版本，才能對其安全狀況作進(jìn)一步的評估。利用TCP/IP堆棧作為特殊的“指紋”，以確定系統(tǒng)的技術(shù)——遠(yuǎn)程主機(jī)OS指紋識別。主動協(xié)議棧指紋識別被動協(xié)議棧指紋識別2023/2/5網(wǎng)絡(luò)入侵與防范講義65主動協(xié)議棧指紋識別

是主動向主機(jī)發(fā)起連接，并分析收到的響應(yīng)，從而確定OS類型的技術(shù)。由于TCP/IP協(xié)議棧技術(shù)只是在RFC文檔(RFC是RequestforComments首字母的縮寫，它是IETF（互聯(lián)網(wǎng)工程任務(wù)推進(jìn)組織）的一個無限制分發(fā)文檔。RFC被編號并且用編號來標(biāo)識)中描述，各個公司在編寫應(yīng)用于自己的OS的TCP/IP協(xié)議棧的時候，對RFC文檔做出了不盡相同的詮釋。造成了各個OS在TCP/IP協(xié)議的實現(xiàn)上的不同。通過對不同的OS的TCP/IP協(xié)議棧存在的些微差異(對錯誤包的響應(yīng)，默認(rèn)值等)都可以作為區(qū)分0S的依據(jù)。2023/2/5網(wǎng)絡(luò)入侵與防范講義66主動協(xié)議棧指紋識別（2）主要技術(shù)有：FIN探測ISN采樣探測Don’tFragment位探測TCP初始窗口的大小檢測ACK值探測ICMP出錯消息抑制ICMP出錯消息回射完整性TOS服務(wù)類型片斷處理2023/2/5網(wǎng)絡(luò)入侵與防范講義67FIN探測跳過TCP三次握手的順序，給目標(biāo)主機(jī)發(fā)送一個FIN包，然后等待回應(yīng)。RFC793規(guī)定，正確的處理是沒有響應(yīng)，但有些OS，如MSWindows，CISC0，HP/UX等會響應(yīng)一個RST(即Reset)包。

2023/2/5網(wǎng)絡(luò)入侵與防范講義68ISN采樣探測這是尋找初始化序列長度模板與特定的OS匹配的方法，這樣可以區(qū)分一些OS，如早些的UNIX系統(tǒng)是64K長度。而一些新的UNIX系統(tǒng)則是隨機(jī)增加長度，如Solaris、IRIX、FreeBSD、DigitalUnix、Cray等。2023/2/5網(wǎng)絡(luò)入侵與防范講義69Don’tFragment位探測一些操作系統(tǒng)會設(shè)置IP頭部“Don’tFragment位”（不分片位）以改善性能，監(jiān)視這個位就可以判定區(qū)分遠(yuǎn)程OS。2023/2/5網(wǎng)絡(luò)入侵與防范講義70TCP初始窗口大小探測簡單檢查返回的包里包含的窗口大小。某些OS在TCP/IP協(xié)議棧的實現(xiàn)中，這個值是獨特的。如AIX是0x3F25，NT和BSD是0x402E，可以增加指紋鑒別的準(zhǔn)確度。2023/2/5網(wǎng)絡(luò)入侵與防范講義71ACK值探測不同的OS對TCP/IP協(xié)議棧實現(xiàn)在ACK包的序列號的值的選擇上存在差異，有些OS發(fā)回所確認(rèn)的TCP包的序列號，另外一些則發(fā)回所確認(rèn)的TCP包的序列號加1。2023/2/5網(wǎng)絡(luò)入侵與防范講義72ICMP出錯信息抑制有些OS限制ICMP出錯消息的速率，通過某個隨機(jī)選定的高端口發(fā)送UDP包，可能統(tǒng)計出在某個給定時間段內(nèi)接受的不可達(dá)出錯消息的數(shù)目。RFC文件中規(guī)定，ICMPERROR消息要引用導(dǎo)致該消息的ICMP消息的部分內(nèi)容。例如對于端口不可達(dá)消息，某些OS返回收到的IP頭及后續(xù)的8個字節(jié)，Solaris返回的ERROR消息中則引用內(nèi)容更多一些，而Linux比Solaris還要多。2023/2/5網(wǎng)絡(luò)入侵與防范講義73ICMP出錯消息回射完整性某些OS對TCP/IP協(xié)議棧的實現(xiàn)在返回ICMP出錯消息的時候會修改所引用的IP頭，檢測對IP頭的改動的類型可以粗略判斷OS。RFCl812中規(guī)定了ICMPERROR消息的發(fā)送速度。Linux設(shè)定了目標(biāo)不可達(dá)消息上限為80個／4秒。0S探測時可以向隨機(jī)的高端UDP端口大量發(fā)包，然后統(tǒng)計收到的目標(biāo)不可達(dá)消息。用此技術(shù)進(jìn)行OS探測時時間會長一些，因為要大量發(fā)包，并且還要等待響應(yīng)，同時也可能出現(xiàn)網(wǎng)絡(luò)中丟包的情況。2023/2/5網(wǎng)絡(luò)入侵與防范講義74TOS服務(wù)類型檢測ICMP端口不可到達(dá)消息的TOS字段，多數(shù)OS會是0，而另一些則不是。2023/2/5網(wǎng)絡(luò)入侵與防范講義75片斷處理不同的TCP/IP協(xié)議棧實現(xiàn)對重疊的片斷處理上有差異。有些在重組時會用到后到達(dá)的新數(shù)據(jù)覆蓋舊數(shù)據(jù)，有些則相反。2023/2/5網(wǎng)絡(luò)入侵與防范講義76被動協(xié)議棧指紋識別

是在網(wǎng)絡(luò)中監(jiān)聽，分析系統(tǒng)流量，用默認(rèn)值來猜測0S類型的技術(shù)。

主動協(xié)議棧指紋識別由于需要主動往目標(biāo)發(fā)送數(shù)據(jù)包，但這些數(shù)據(jù)包在網(wǎng)絡(luò)流量中比較惹人注意，因為正常使用網(wǎng)絡(luò)不會按這樣的順序出現(xiàn)包，因此比較容易被IDS捕獲。為了隱秘的識別遠(yuǎn)程OS，需要使用被動協(xié)議棧指紋識別。2023/2/5網(wǎng)絡(luò)入侵與防范講義77被動協(xié)議棧指紋識別（2）被動協(xié)議棧指紋識別在原理上和主動協(xié)議棧指紋識別相似，但是它從不主動發(fā)送數(shù)據(jù)包，只是被動的捕獲遠(yuǎn)程主機(jī)返回的包來分析其OS類型版本，一般可以從4個反面著手：TTL值：這個數(shù)據(jù)是操作系統(tǒng)對出站的信息包設(shè)置的存活時間。WindowsSize：操作系統(tǒng)設(shè)置的TCP窗口大小，這個窗口大小是在發(fā)送FIN信息包時包含的選項。DF：可以查看操作系統(tǒng)是否設(shè)置了不準(zhǔn)分片位。TOS：操作系統(tǒng)是否設(shè)置了服務(wù)類型。2023/2/5網(wǎng)絡(luò)入侵與防范講義78漏洞掃描漏洞掃描技術(shù)的原理漏洞掃描技術(shù)的分類和實現(xiàn)方法漏洞掃描的問題為什么會有漏洞只要是人做出來的東西，就沒有完美的，所以有問題也不奇怪。這就好像一個打字員打了一篇稿子，打字員本身發(fā)現(xiàn)錯字的可能性很小，倒是別人一眼就可以看到打字員打錯的字。微軟當(dāng)初在編寫系統(tǒng)的時候為什么不知道有漏洞？很多所謂的漏洞都不算是漏洞，都是正常的數(shù)據(jù)值，所以不容易被發(fā)現(xiàn)。舉個例子，在檢測一些ASP網(wǎng)站的時候，會用到1=1OR1=2之類的語句，這本身是ASP的一種正常的程序語句，但是到了黑客手中，就成了檢測ASP網(wǎng)站的重要檢查項目，黑客會根據(jù)檢測網(wǎng)站返回的數(shù)據(jù)值，而得到大量的信息。微軟發(fā)現(xiàn)后會發(fā)布相應(yīng)的補(bǔ)丁，如果用戶及時下載補(bǔ)丁安裝則操作系統(tǒng)是相對安全的，但是有的用戶偷懶，不及時更新補(bǔ)丁，漏洞就得不到修補(bǔ)。黑客先是用掃描器掃描遠(yuǎn)程的操作系統(tǒng)有何漏洞，然后根據(jù)這些漏洞編寫相應(yīng)的病毒包或者木馬包，植入有漏洞的電腦。在這里掃描起了關(guān)鍵作用。2023/2/5網(wǎng)絡(luò)入侵與防范講義82漏洞掃描－－原理漏洞掃描主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：基于漏洞庫的特征匹配：通過端口掃描得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)后，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；基于模擬攻擊：通過模擬黑客的攻擊手段，編寫攻擊模塊，對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。2023/2/5網(wǎng)絡(luò)入侵與防范講義83漏洞掃描－－分類和實現(xiàn)方法基于網(wǎng)絡(luò)系統(tǒng)漏洞庫，漏洞掃描大體包括CGI漏洞掃描、POP3漏洞掃描、FTP漏洞掃描、SSH漏洞掃描、HTTP漏洞掃描等。這些漏洞掃描是基于漏洞庫，將掃描結(jié)果與漏洞庫相關(guān)數(shù)據(jù)匹配比較得到漏洞信息；漏洞掃描還包括沒有相應(yīng)漏洞庫的各種掃描，比如Unicode遍歷目錄漏洞探測、FTP弱勢密碼探測、OPENRelay郵件轉(zhuǎn)發(fā)漏洞探測等，這些掃描通過使用插件（功能模塊技術(shù)）進(jìn)行模擬攻擊，測試出目標(biāo)主機(jī)的漏洞信息。下面就這兩種掃描的實現(xiàn)方法進(jìn)行討論。2023/2/5網(wǎng)絡(luò)入侵與防范講義84漏洞掃描－－分類和實現(xiàn)方法基于漏洞庫的規(guī)則匹配基于網(wǎng)絡(luò)系統(tǒng)漏洞庫的漏洞掃描的關(guān)鍵部分就是它所使用的漏洞庫。通過采用基于規(guī)則的匹配技術(shù)，即根據(jù)安全專家對網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員對網(wǎng)絡(luò)系統(tǒng)安全配置的實際經(jīng)驗，可以形成一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)漏洞庫，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的匹配規(guī)則，由掃描程序自動的進(jìn)行漏洞掃描的工作。這樣，漏洞庫信息的完整性和有效性決定了漏洞掃描系統(tǒng)的性能，漏洞庫的修訂和更新的性能也會影響漏洞掃描系統(tǒng)運行的時間。因此，漏洞庫的編制不僅要對每個存在安全隱患的網(wǎng)絡(luò)服務(wù)建立對應(yīng)的漏洞庫文件，而且應(yīng)當(dāng)能滿足前面所提出的性能要求。2023/2/5網(wǎng)絡(luò)入侵與防范講義85漏洞掃描－－分類和實現(xiàn)方法基于模擬攻擊將模擬攻擊的模塊做成插件的形式，插件是由腳本語言編寫的子程序，掃描程序可以通過調(diào)用它來執(zhí)行漏洞掃描，檢測出系統(tǒng)中存在的一個或多個漏洞。添加新的插件就可以使漏洞掃描軟件增加新的功能，掃描出更多的漏洞。插件編寫規(guī)范化后，甚至用戶自己都可以用perl、c或自行設(shè)計的腳本語言編寫的插件來擴(kuò)充漏洞掃描軟件的功能。這種技術(shù)使漏洞掃描軟件的升級維護(hù)變得相對簡單，而專用腳本語言的使用也簡化了編寫新插件的編程工作，使漏洞掃描軟件具有強(qiáng)的擴(kuò)展性。2023/2/5網(wǎng)絡(luò)入侵與防范講義86漏洞掃描－－問題系統(tǒng)配置規(guī)則庫問題如果規(guī)則庫設(shè)計的不準(zhǔn)確，預(yù)報的準(zhǔn)確度就無從談起；它是根據(jù)已知的安全漏洞進(jìn)行安排和策劃的，而對網(wǎng)絡(luò)系統(tǒng)的很多危險的威脅卻是來自未知的漏洞，這樣，如果規(guī)則庫更新不及時，預(yù)報準(zhǔn)確度也會逐漸降低。2023/2/5網(wǎng)絡(luò)入侵與防范講義87漏洞掃描－－問題漏洞庫信息要求漏洞庫信息是基于網(wǎng)絡(luò)系統(tǒng)漏洞庫的漏洞掃描的主要判斷依據(jù)。如果漏洞庫信息不全面或得不到即時的更新，不但不能發(fā)揮漏洞掃描的作用，還會給系統(tǒng)管理員以錯誤的引導(dǎo)，從而對系統(tǒng)的安全隱患不能采取有效措施并及時的消除。2023/2/5網(wǎng)絡(luò)入侵與防范講義882.3掃描工具賞析掃描工具概述如何獲取掃描工具常用掃描工具常用掃描工具比較其它掃描工具2023/2/5網(wǎng)絡(luò)入侵與防范講義89掃描工具概述如果掃描范圍具有一定的規(guī)模，比如要在一個較大的范圍內(nèi)對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評估，那就需要使用一些多功能的綜合性工具。一般來說，這些多功能的綜合性掃描工具，都可以對大段的網(wǎng)絡(luò)IP進(jìn)行掃描，其掃描內(nèi)容非常廣泛，基本上包含了各種專項掃描工具的各個方面。我們將要介紹的掃描工具都是綜合性掃描工具。2023/2/5網(wǎng)絡(luò)入侵與防范講義90如何獲取掃描工具掃描工具大本營/tools/1.html（xfocus的網(wǎng)站上的，下載速度也還可以接受）/（黑鷹基地華南站，菜鳥級工具較多）各種工具的官方主頁//有些工具是系統(tǒng)自帶的，比如windows和linux中的ping，linux中的nmap2023/2/5網(wǎng)絡(luò)入侵與防范講義91常用掃描工具SATAN(安全管理員的網(wǎng)絡(luò)分析工具用于掃描遠(yuǎn)程主機(jī)，發(fā)現(xiàn)漏洞)古老的經(jīng)典Nmap 掃描技術(shù)集大成者Nessus 黑客的血滴子，網(wǎng)管的百寶箱X-scan 國內(nèi)黑客的最愛2023/2/5網(wǎng)絡(luò)入侵與防范講義92SATANSATAN概述SATAN的分級輕度掃描標(biāo)準(zhǔn)掃描重度掃描攻入系統(tǒng)SATAN的特點2023/2/5網(wǎng)絡(luò)入侵與防范講義93SATAN概述SATAN是SecurityAdministratorToolforAnalyzingNetworks（用于分析網(wǎng)絡(luò)的安全管理員工具）的縮寫，作者是DanFarmer和WietseVenema。1995年4月5日，SATAN的發(fā)布引起了軒然大波。但是引起爭論的更重要的原因，主要是SATAN帶來了關(guān)于網(wǎng)絡(luò)安全的全新觀念。2023/2/5網(wǎng)絡(luò)入侵與防范講義94SATAN概述(2)在SATAN發(fā)表之前，關(guān)于網(wǎng)絡(luò)安全的防護(hù)上，模糊安全論已經(jīng)有很長一段時間的討論。模糊安全的概念——是大多數(shù)軟件、操作系統(tǒng)廠商喜歡處理安全漏洞的一種方法，他們認(rèn)為安全漏洞應(yīng)該隱藏，不要在文檔中公布，因為很少人會發(fā)現(xiàn)這些漏洞，即使有人發(fā)現(xiàn)這些漏洞，也不會去研究和利用漏洞。2023/2/5網(wǎng)絡(luò)入侵與防范講義95SATAN概述(3)實際上隨著軟件規(guī)模的日益增大，盡管程序員一般不會故意在程序中留下漏洞，軟件中出現(xiàn)安全漏洞也是不可避免的。及時地公布安全漏洞和補(bǔ)丁，讓網(wǎng)絡(luò)管理員及時進(jìn)行補(bǔ)救，才是正確的方法。而SATAN的公布，的確促使所有的操作系統(tǒng)廠商意識到應(yīng)該及時修正他們的系統(tǒng)中的漏洞。2023/2/5網(wǎng)絡(luò)入侵與防范講義96SATAN概述(4)SATAN的出現(xiàn)，帶來了網(wǎng)絡(luò)安全方面的全新的觀念：以黑客的方式來思考網(wǎng)絡(luò)安全的問題。這個觀念體現(xiàn)在Farmer和Venema于1993年發(fā)表的文章《通過攻入你的網(wǎng)站來提高安全》（ImprovingtheSecurityofYourSitebyBreakingIntoIt）中。2023/2/5網(wǎng)絡(luò)入侵與防范講義97SATAN的分級輕度掃描標(biāo)準(zhǔn)掃描重度掃描攻入系統(tǒng)2023/2/5網(wǎng)絡(luò)入侵與防范講義98輕度掃描輕度掃描包含最少的入侵掃描。SATAN從域名系統(tǒng)（DomainNameSystem，簡稱DNS）收集信息，看看主機(jī)提供哪些遠(yuǎn)程過程調(diào)用，通過網(wǎng)絡(luò)提供哪些文件共享。根據(jù)這些信息，SATAN就得到主機(jī)的一般信息。2023/2/5網(wǎng)絡(luò)入侵與防范講義99標(biāo)準(zhǔn)掃描在這個層次上，SATAN探測常見的網(wǎng)絡(luò)服務(wù)，包括finger、remotelogin、ftp、www、gopher、email等。根據(jù)這些信息，SATAN能判斷主機(jī)的類型，是Windows服務(wù)器，還是HP-UNIX，Soloaris還是Linux，甚至還能探測服務(wù)器軟件的版本。2023/2/5網(wǎng)絡(luò)入侵與防范講義100重度掃描當(dāng)知道目標(biāo)主機(jī)提供什么服務(wù)之后，SATAN進(jìn)行更深入的掃描。在這個掃描級別上，SATAN探測匿名服務(wù)器的目錄是不是可寫，XWindows服務(wù)器是不是關(guān)閉了訪問控制，/etc/hosts.equiv文件中是否有“*”號，等等。2023/2/5網(wǎng)絡(luò)入侵與防范講義101攻入系統(tǒng)本級別還包括了對系統(tǒng)進(jìn)行的攻擊、清掃攻擊時留下的痕跡、隱藏自己等，不過SATAN只提出了這一級別的思想，但并沒有實現(xiàn)。2023/2/5網(wǎng)絡(luò)入侵與防范講義102SATAN的特點SATAN作為最早的并且是最典型的掃描工具，具備以下特點：掃描指定的主機(jī)系統(tǒng)掃描常見的弱點給數(shù)據(jù)分析提供幫助總之，SATAN能夠自動掃描本地和遠(yuǎn)程系統(tǒng)的弱點，為系統(tǒng)的安全或遠(yuǎn)程攻擊提供幫助。2023/2/5網(wǎng)絡(luò)入侵與防范講義103NMAPNMAP簡介NMAP基本功能NMAP使用說明NMAP使用示例NMAP特點NMAP簡介Nmap(NetworkMapper,網(wǎng)絡(luò)映射器)，是由Fyodor制作的端口掃描工具。它除了提供基本的TCP和UDP端口掃描功能外，還綜合集成了眾多掃描技術(shù)，可以說，現(xiàn)在的端口掃描技術(shù)很大程度上是根據(jù)Nmap的功能設(shè)置來劃分的。Nmap還有一個卓越的功能，那就是采用一種叫做“TCP棧指紋鑒別(stackfingerprinting)”的技術(shù)來探測目標(biāo)主機(jī)的操作系統(tǒng)類型。NMAP基本功能其基本功能有三個：探測一組主機(jī)是否在線主機(jī)掃描技術(shù)掃描主機(jī)端口，嗅探所提供的網(wǎng)絡(luò)服務(wù)端口掃描技術(shù)還可以推斷主機(jī)所用的操作系統(tǒng)遠(yuǎn)程主機(jī)OS指紋識別2023/2/5網(wǎng)絡(luò)入侵與防范講義106NMAP使用說明Ping掃描：了解哪些機(jī)器是up的nmap–sP缺省時同時使用發(fā)送icmp和對80端口發(fā)送ack來探測可以用nmap–sP–P0不發(fā)送icmp消息TCPconnect掃描：nmap–sTTCPSYN掃描nmap–sSTCPFIN,XMAS,NULL掃描：nmap–sFnmap–sXnmap–sNUDP掃描：nmap–sU2023/2/5網(wǎng)絡(luò)入侵與防范講義107NMAP使用示例(ping掃描)使用-sP選項進(jìn)行ping掃描，缺省情況下，Nmap給每個掃描到的主機(jī)發(fā)送一個ICMPecho包和一個TCPACK包，主機(jī)對這兩種包的任何一種產(chǎn)生的響應(yīng)都會被Nmap得到。Nmap也提供掃描整個網(wǎng)絡(luò)的簡易手段。下圖是對一個網(wǎng)段進(jìn)行ping掃描的情況。2023/2/5網(wǎng)絡(luò)入侵與防范講義108NMAP使用示例(TCPconnect掃描)使用-sT選項指定進(jìn)行TCPconnect端口掃描（全掃描），如果不指定端口號，缺省情況下Nmap會掃描1-1024和nmap-services文件(在Nmap下載包中)中列出的服務(wù)端口號。下圖是利用-sT對192．168．0．1主機(jī)進(jìn)行TCPconnect掃描的情況，掃描端口為TCP21-25、80以及139端口，最終結(jié)果顯示，21、25、80和139端口是開放的。2023/2/5網(wǎng)絡(luò)入侵與防范講義109NMAP使用示例(UDP端口掃描)Nmap也可以用于進(jìn)行UDP端口掃描，只需要指定-sU選項，或者還可以指定掃描的目標(biāo)端口，掃描情況如圖所示。2023/2/5網(wǎng)絡(luò)入侵與防范講義110NMAP使用示例(操作系統(tǒng)類型探測)Nmap可以進(jìn)行目標(biāo)主機(jī)操作系統(tǒng)類型的探測，這需要使用-O選項。另外，我們可以使用-P0選項來指定不進(jìn)行ping掃描。-v選項可以指定詳細(xì)結(jié)果輸出。下圖所示的例子中，綜合運用了上述選項。NMAP特點NMAP是一款開源的掃描工具,用于系統(tǒng)管理員查看一個大型的網(wǎng)絡(luò)有哪些主機(jī)以及其上運行何種服務(wù)。它支持多種協(xié)議多種形式的掃描技術(shù)，還提供一些實用功能如通過TCP/IP來鑒別操作系統(tǒng)類型、秘密掃描、動態(tài)延遲和重發(fā)、平行掃描、通過并行的PING鑒別下屬的主機(jī)、欺騙掃描、端口過濾探測、直接的RPC掃描、分布掃描、靈活的目標(biāo)選擇以及端口的描述。NMAP主要的特色就是多種掃描模式以及指紋識別技術(shù)。2023/2/5網(wǎng)絡(luò)入侵與防范講義112NessusNessus的特點Nessus的結(jié)構(gòu)Nessus的掃描過程N(yùn)essus的安裝Nessus的配置運行用Nessus進(jìn)行掃描2023/2/5網(wǎng)絡(luò)入侵與防范講義113Nessus簡介Nessus是一個功能強(qiáng)大而又簡單易用的網(wǎng)絡(luò)安全掃描工具，對網(wǎng)絡(luò)管理員來說，它是不可多得的審核堵漏工具。2000年、2003年、2006年，Nmap官方在Nmap用戶中間分別發(fā)起“Top50SecurityTools”、“Top75SecurityTools”、“Top100SecurityTools”的評選活動，Nessus“戰(zhàn)勝”眾多的商業(yè)化漏洞掃描工具而三次奪魁。Nessus被譽(yù)為黑客的血滴子，網(wǎng)管的百寶箱。2023/2/5網(wǎng)絡(luò)入侵與防范講義114Nessus簡介(2)Nessus采用基于插件的技術(shù)。工作原理是通過插件模擬黑客的攻擊，對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。Nessus可以完成多項安全工作，如掃描選定范圍內(nèi)的主機(jī)的端口開放情況、提供的服務(wù)、是否存在安全漏洞等等。2023/2/5網(wǎng)絡(luò)入侵與防范講義115Nessus的特點它是免費的，比起商業(yè)的安全掃描工具如ISS具有價格優(yōu)勢。采用了基于多種安全漏洞的掃描，避免了掃描不完整的情況。Nessus基于插件體制，擴(kuò)展性強(qiáng)，支持及時的在線升級，可以掃描自定義漏洞或者最新安全漏洞。Nessus采用客戶端/服務(wù)端機(jī)制，容易使用、功能強(qiáng)大。2023/2/5網(wǎng)絡(luò)入侵與防范講義116Nessus的功能與所用的技術(shù)主機(jī)掃描技術(shù)端口掃描技術(shù)遠(yuǎn)程主機(jī)OS識別漏洞掃描技術(shù)這是比Nmap多的功能Nessus自帶的上萬個掃描插件是其最引人注目的功能2023/2/5網(wǎng)絡(luò)入侵與防范講義117Nessus的結(jié)構(gòu)2023/2/5網(wǎng)絡(luò)入侵與防范講義118Nessus的掃描過程2023/2/5網(wǎng)絡(luò)入侵與防范講義119Nessus的安裝Nessus的服務(wù)器可以安裝在Linux、FreeBSD、Solaris、MacOSX、Windows上。客戶端有Linux/Windows的GUI。如果想在多臺計算機(jī)中使用Nessus，可以在一臺計算機(jī)中安裝服務(wù)器，其它計算機(jī)中安裝客戶端，客戶端連接到服務(wù)器就可以進(jìn)行掃描。服務(wù)器自帶了掃描功能。Nessus4以前的版本是c/s模式的，Nessus4以后已經(jīng)完全是b/s模式的，需要在網(wǎng)站上直接安裝。官網(wǎng)：2023/2/5網(wǎng)絡(luò)入侵與防范講義120Nessus的安裝(2)在Windows下安裝Nessus(服務(wù)端)，安裝完成后主界面如圖。2023/2/5網(wǎng)絡(luò)入侵與防范講義121Nessus的安裝(3)在Windows下安裝NessusWX(客戶端)，安裝完成后主界面如圖。2023/2/5網(wǎng)絡(luò)入侵與防范講義122Nessus的配置運行Nessus服務(wù)器端插件升級2023/2/5網(wǎng)絡(luò)入侵與防范講義123Nessus的配置運行（2）Nessus服務(wù)器端為客戶端分配登陸用戶2023/2/5網(wǎng)絡(luò)入侵與防范講義124用Nessus進(jìn)行掃描(1)啟動Nessus客戶端，操作者需要指定Nessus服務(wù)器的IP地址、端口號、通信加密方式以及登陸帳號、口令。2023/2/5網(wǎng)絡(luò)入侵與防范講義125用Nessus進(jìn)行掃描(2)(2)創(chuàng)建掃描會話，在此例中，掃描本機(jī)。2023/2/5網(wǎng)絡(luò)入侵與防范講義126用Nessus進(jìn)行掃描(3)(3)開始掃描2023/2/5網(wǎng)絡(luò)入侵與防范講義127用Nessus進(jìn)行掃描(4)(4)掃描結(jié)果報告，說明在1433端口開啟了SqlServer服務(wù)，且存在弱口令漏洞：用戶sa的密碼為sa。2023/2/5網(wǎng)絡(luò)入侵與防范講義128X-scanX-scan概述X-scan功能簡介X-scan圖形主界面案例：用X-Scan掃描一個網(wǎng)段的主機(jī)X-scan的命令行掃描2023/2/5網(wǎng)絡(luò)入侵與防范講義129X-Scan概述X-Scan是國內(nèi)最著名的綜合掃描器，它完全免費，是不需要安裝的綠色軟件、界面支持中文和英文兩種語言、包括圖形界面和命令行方式。主要由國內(nèi)著名的網(wǎng)絡(luò)安全組織“安全焦點”（）完成，“冰河木馬”的作者是其核心作者之一。從2000年的內(nèi)部測試版X-ScanV0.2到目前的最新版本X-ScanV3.3都凝聚了國內(nèi)眾多專家的心血。X-Scan把掃描報告對掃描到的每個漏洞進(jìn)行“風(fēng)險等級”評估，并提供漏洞描述、漏洞溢出程序，方便網(wǎng)管測試、修補(bǔ)漏洞。2023/2/5網(wǎng)絡(luò)入侵與防范講義130X-scan功能簡介采用多線程方式對指定IP地址段（或單機(jī)）進(jìn)行安全漏洞檢測，支持插件功能。3.0及后續(xù)版本提供了簡單的插件開發(fā)包，便于有編程基礎(chǔ)的朋友自己編寫或?qū)⑵渌{(diào)試通過的代碼修改為X-Scan插件。2023/2/5網(wǎng)絡(luò)入侵與防范講義131X-scan功能簡介(2)掃描內(nèi)容包括：遠(yuǎn)程服務(wù)類型、操作系統(tǒng)類型及版本，各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕服務(wù)漏洞等20多個大類。對于多數(shù)已知漏洞，給出了相應(yīng)的漏洞描述、解決方案及詳細(xì)描述鏈接。因此，X-scan與Nessus一樣，也完成了主機(jī)掃描、端口掃描、遠(yuǎn)程主機(jī)OS識別和漏洞掃描四大功能。2023/2/5網(wǎng)絡(luò)入侵與防范講義132X-scan圖形主界面2023/2/5網(wǎng)絡(luò)入侵與防范講義133案例：用X-Scan掃描一個網(wǎng)段的主機(jī)步驟1設(shè)置掃描參數(shù)步驟2開始掃描步驟3查看掃描報告 此案例中使用的X-scan版本是V3.32023/2/5網(wǎng)絡(luò)入侵與防范講義1341設(shè)置掃描參數(shù)2023/2/5網(wǎng)絡(luò)入侵與防范講義135檢測范圍通過右側(cè)窗口的“指定IP范圍”可以輸入獨立的IP地址或域名，也可輸入以“-”和“,”分隔的IP地址范圍，如“-20，0-54”，或類似“/24”的格式。2023/2/5網(wǎng)絡(luò)入侵與防范講義136全局設(shè)置“掃描模塊”項：選擇本次掃描需要加載的插件“并發(fā)掃描”項：設(shè)置并發(fā)掃描的主機(jī)和并發(fā)線程數(shù)，也可以單獨為每個主機(jī)的各個插件設(shè)置最大線程數(shù)“網(wǎng)絡(luò)設(shè)置”項：設(shè)置適合的網(wǎng)絡(luò)適配器“掃描報告”項：掃描結(jié)束后生成的報告文件名，保存在LOG目錄下“其他設(shè)置”項2023/2/5網(wǎng)絡(luò)入侵與防范講義137插件設(shè)置該模塊提供對各個插件的設(shè)置方法。包括如圖所示幾項內(nèi)容。2023/2/5網(wǎng)絡(luò)入侵與防范講義1382開始掃描在此案例中，設(shè)置檢測范圍為0-20，其它使用默認(rèn)設(shè)置，掃描過程如圖所示。2023/2/5網(wǎng)絡(luò)入侵與防范講義1393查看掃描報告詳細(xì)漏洞信息見下頁圖2023/2/5網(wǎng)絡(luò)入侵與防范講義140說明：9的phpMyAdmin存在高危漏洞2023/2/5網(wǎng)絡(luò)入侵與防范講義141X-scan的命令行掃描以上介紹了X-Scan圖形界面的使用方法。另外，X-Scan還有一個命令行方式的掃描程序。其原理與圖形界面的X-Scan相同，所不同的是使用的方法不同而已。圖形界面的掃描器主要用在本機(jī)執(zhí)行，而命令行下的掃描器經(jīng)常被入侵者用來制作第三方掃描。2023/2/5網(wǎng)絡(luò)入侵與防范講義142常用掃描工具比較主機(jī)掃描端口掃描OS識別漏洞掃描NmapNessusX-scan掃描工具掃描技術(shù)2023/2/5網(wǎng)絡(luò)入侵與防范講義143其它掃描工具AdvanceLANScannerBlue’sPortScannerNBSI2Fluxay（流光）X-portSuperScanISS2023/2/5網(wǎng)絡(luò)入侵與防范講義1442.4掃描的防御反掃描技術(shù)端口掃描監(jiān)測工具防火墻技術(shù)審計技術(shù)其它防御技術(shù)2023/2/5網(wǎng)絡(luò)入侵與防范講義145反掃描技術(shù)反掃描技術(shù)是針對掃描技術(shù)提出的。掃描技術(shù)一般可以分為主動掃描和被動掃描兩種，它們的共同點在于在其執(zhí)行的過程中都需要與受害主機(jī)互通正?；蚍钦５臄?shù)據(jù)報文。2023/2/5網(wǎng)絡(luò)入侵與防范講義146主動掃描其中主動掃描是主動向受害主機(jī)發(fā)送各種探測數(shù)據(jù)包，根據(jù)其回應(yīng)判斷掃描的結(jié)果。因此防范主動掃描可以從以下幾個方面入手：（1）減少開放端口，做好系統(tǒng)防護(hù)；（2）實時監(jiān)測掃描，及時做出告警；（3）偽裝知名端口，進(jìn)行信息欺騙。2023/2/5網(wǎng)絡(luò)入侵與防范講義147被動掃描被動掃描由其性質(zhì)決定，它與受害主機(jī)建立的通常是正常連接，發(fā)送的數(shù)據(jù)包也屬于正常范疇，而且被動掃描不會向受害主機(jī)發(fā)送大規(guī)模的探測數(shù)據(jù)，因此其防范方法到目前為止只能采用信息欺騙（如返回自定義的banner信息或偽裝知名端口）這一種方法。端口掃描監(jiān)測工具對網(wǎng)絡(luò)管理員來說，盡早的發(fā)現(xiàn)黑客的掃描活動，也許就能及時采取措施，避免黑客進(jìn)一步實施真正的攻擊和破壞。監(jiān)測端口掃描的工具有好多種，最簡單的一種是在某個不常用的端口進(jìn)行監(jiān)聽，如果發(fā)現(xiàn)有對該端口的外來連接請求，就認(rèn)為有端口掃描。一般這些工具都會對連接請求的來源進(jìn)行反探測，同時彈出提示窗口。另一類工具，是在混雜模式下抓包并進(jìn)一步分析判斷。它本身并不開啟任何端口。這類端口掃描監(jiān)視器十分類似IDS系統(tǒng)中主要負(fù)責(zé)行使端口掃描監(jiān)測職責(zé)的模塊。蜜罐系統(tǒng)也是一種非常好的防御方法。端口掃描監(jiān)測工具下面列出幾種端口掃描的監(jiān)測工具ProtectXWinetd和DTK：蜜罐工具PortSentry2023/2/5網(wǎng)絡(luò)入侵與防范講義150防火墻技術(shù)防火墻技術(shù)是一種允許內(nèi)部網(wǎng)接入外部網(wǎng)絡(luò)，但同時又能識別和抵抗非授權(quán)訪問的網(wǎng)絡(luò)技術(shù)，是網(wǎng)絡(luò)控制技術(shù)中的一種。防火墻的目的是要在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立一個安全控制點，控制所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都經(jīng)過防火墻，并檢查這些信息，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。防火墻技術(shù)(2)個人防火墻和企業(yè)級防火墻因為其應(yīng)用場景不同，也在功能、性能等方面有所差異。下面列出幾種個人防火墻產(chǎn)品ZoneAlarmProBlackICENortonPersonalFirewall天網(wǎng)防火墻2023/2/5網(wǎng)絡(luò)入侵與防范講義152審計技術(shù)審計技術(shù)是使用信息系統(tǒng)自動記錄下的網(wǎng)絡(luò)中機(jī)器的使用時間、敏感操作和違紀(jì)操作等，為系統(tǒng)進(jìn)行事故原因查詢、事故發(fā)生后的實時處理提供詳細(xì)可靠的依據(jù)或支持。審計技術(shù)可以記錄網(wǎng)絡(luò)連接的請求、返回等信息，從中識別出掃描行為。審計技術(shù)(2)以Web服務(wù)器為例，它的日志記錄能幫助我們跟蹤客戶端IP地址，確定其地理位置信息，檢測訪問者所請求的路徑和文件，了解訪問狀態(tài)，檢查訪問者使用的瀏覽器版本和操作系統(tǒng)類型等。下面簡要介紹兩種經(jīng)常使用的服務(wù)器——IIS服務(wù)器和Apache服務(wù)器的日志文件。IIS服務(wù)器的日志記錄IIS服務(wù)器工作在Windows平臺上。服務(wù)器日志一般放在“%SystemRoot%/System32/LogFiles”目錄下，該目錄用于存放IIS服務(wù)器關(guān)于WWW、FTP、SMTP等服務(wù)的日志目錄。WWW服務(wù)的日志目錄是“W3SVCn”，這里的“n”是數(shù)字，表示第幾個WWW網(wǎng)站（虛擬主機(jī)），F(xiàn)TP服務(wù)的日志目錄是“MSFTPSVCn”，“n”的含義與前類似。IIS服務(wù)器的日志記錄(2)IIS服務(wù)器的日志格式MicrosoftIISLogFileFormat（IIS日志文件格式，一個固定的ASCII格式）NCSACommonLogFileFormat（NCSA通用日志文件格式）W3CEx