《CSNA網(wǎng)絡(luò)分析認證專家實戰(zhàn)案例》課件-第28章

第28章通過協(xié)議分析理解端口掃描原理28.1概述 28.2掃描分析28.3總結(jié)

端口掃描通常利用TCP、UDP等方式去檢測操作系統(tǒng)類型及開放的服務(wù)，為進一步的攻擊做好準(zhǔn)備。通常，蠕蟲病毒、網(wǎng)絡(luò)攻擊等常見影響網(wǎng)絡(luò)安全的行為，都是從掃描開始的。所以，深入了解各種網(wǎng)絡(luò)掃描的工作原理及其表現(xiàn)特征，對網(wǎng)絡(luò)管理者具有相當(dāng)?shù)膶崙?zhàn)意義。28.1概述

Nmap作為常見的網(wǎng)絡(luò)掃描工具，內(nèi)置了多種掃描方式，每種方式的工作原理不同，其數(shù)據(jù)包和通信特征也不盡相同。本章我們將通過網(wǎng)絡(luò)分析軟件，對常見的掃描方式進行分析和圖形化的展現(xiàn)，以方便對這些掃描方式進行深入的理解。

28.2.1TCPSYN掃描

1.掃描原理

TCPSYN掃描應(yīng)該是最受歡迎的掃描方式之一，其掃描速度快(每秒可以掃描數(shù)以千計的端口)，兼容性好(只要對端支持TCP協(xié)議棧即可)，且不易被發(fā)現(xiàn)。28.2掃描分析

TCPSYN掃描通常又叫“半開放”掃描，因為它不必打開一個完整的TCP連接，只發(fā)送一個SYN包，就像真的要打開一個連接一樣，然后等待對端的反應(yīng)。如果對端返回SYN/ACK報文則表示該端口處于監(jiān)聽狀態(tài)，此時掃描端必須再返回一個RST報文來關(guān)閉此連接；如果對端返回RST報文，則表示該端口沒有開放。

2.深入理解

TCPSYN掃描在科來網(wǎng)絡(luò)分析中的視圖表現(xiàn)：

(1)小包多(<128B)，見圖28-1。

圖28-1

(2)在TCPFlag統(tǒng)計中，TCP同步發(fā)送和TCP復(fù)位接收較多，見圖28-2。

圖28-2

(3)可能會觸發(fā)TCP端口掃描診斷，見圖28-3。

圖28-3

(4)以固定端口與被掃描IP嘗試連接，且會話大多具有相同的特征，見圖28-4。

圖28-4

(5)會話數(shù)據(jù)包總計為2個或3個，3個包表示端口開放，2個包表示端口未開放，見圖28-5和圖28-6。

圖28-5

圖28-628.2.2TCPconnect掃描

1.掃描原理

TCPconnect掃描也是一種常見的掃描方式，它通過操作系統(tǒng)與目標(biāo)機器建立連接，而不是直接發(fā)送原始數(shù)據(jù)包，這與瀏覽器、P2P客戶端及其大多數(shù)網(wǎng)絡(luò)應(yīng)用程序一樣，建立連接由高層系統(tǒng)調(diào)用。執(zhí)行這種掃描的最大好處是無需root權(quán)限，但會在系統(tǒng)日志里留下記錄，所以當(dāng)在日志系統(tǒng)里看到同一系統(tǒng)的大量連接嘗試，就應(yīng)該知道系統(tǒng)被掃描了。

2.深入理解

TCPconnect掃描在科來網(wǎng)絡(luò)分析中的視圖表現(xiàn)：

(1)小包多(<128B)，見圖28-7。

圖28-7

(2)在TCPFlag統(tǒng)計中，TCP同步發(fā)送和TCP復(fù)位接收較多，同時會有少量的同步確認接收和復(fù)位發(fā)送，見圖28-8。

圖28-8

(3)以連續(xù)端口與被掃描IP嘗試連接，且會話大多具有相同的特征，見圖28-9。

圖28-9

(4)會話數(shù)據(jù)包總計為2～6個不等，需查看數(shù)據(jù)信息確認端口狀態(tài)，見圖28-10。

圖28-10

28.2.3UDP掃描

1.掃描原理

UDP掃描通常與ICMP相結(jié)合進行，它發(fā)送沒有攜帶任何數(shù)據(jù)的UDP數(shù)據(jù)包到目標(biāo)主機，如果返回ICMP端口不可達(類型為3，代碼為3)的提示，則表示目標(biāo)端口是關(guān)閉的，但主機是存活的；如果某服務(wù)響應(yīng)一個UDP報文，則表明該端口是開放的。

當(dāng)然，UDP掃描存在瓶頸，那就是速度。很多主機默認限制發(fā)送ICMP端口不可達信息，或者限制發(fā)包的頻率，如Linux2.4.20內(nèi)核一秒鐘只允許發(fā)送一條目標(biāo)不可達信息，這樣掃描65535個端口就需要18小時的時間，這是不可接受的。所以，加速UDP掃描的方法通常是并發(fā)掃描或先掃描主要端口。

2.深入理解

UDP掃描在科來網(wǎng)絡(luò)分析中的視圖表現(xiàn)：

(1)出現(xiàn)大量UDP會話，見圖28-11。

圖28-11

(2)大量的UDP小包，且不攜帶任何數(shù)據(jù)，見圖28-12。圖28-12

(3)觸發(fā)大量ICMP端口不可達診斷，見圖28-13。

(4)會話數(shù)據(jù)包總計為1、2個，通常情況1個表示端口關(guān)閉，2個或以上表示端口開放，見圖28-14。圖28-13

圖28-1428.2.4NULL掃描

1.掃描原理

根據(jù)RFC793協(xié)議，主機發(fā)送一個沒有任何標(biāo)志位的TCP包，如果目標(biāo)主機的對應(yīng)端口是關(guān)閉的話，則會返回一個RST數(shù)據(jù)包，如果沒有響應(yīng)則表示該端口是開放的。

NULL掃描可以躲過無狀態(tài)防火墻和報文過濾路由器，且比SYN掃描要隱秘。值得注意的是，并不是所有系統(tǒng)都遵循RFC793協(xié)議，一些系統(tǒng)不管端口是開放還是關(guān)閉都響應(yīng)RST數(shù)據(jù)包，如Cisco設(shè)備、BSDI等。根據(jù)RFC793協(xié)議，類似的掃描還有FIN掃描、FIN+PSH+URG掃描。

2．深入理解

NULL掃描在科來網(wǎng)絡(luò)分析中的視圖表現(xiàn)：

(1)網(wǎng)絡(luò)中存在大量小包，大量的TCP復(fù)位接收數(shù)據(jù)包，見圖28-15。

圖28-15

(2)大量的沒有任何標(biāo)志位的數(shù)據(jù)包，見圖28-16。圖28-1628.2.5ACK掃描

1.掃描原理

ACK掃描發(fā)送一個只設(shè)置ACK標(biāo)志位的數(shù)據(jù)包，目標(biāo)主機端口無論是關(guān)閉還是開放都會返回RST數(shù)據(jù)包，但ACK掃描不能確定目標(biāo)主機的端口狀態(tài)，可以確定對方主機是否存活，以及發(fā)現(xiàn)防火墻規(guī)則來確定防火墻的狀態(tài)。

2.深入理解

ACK掃描在科來網(wǎng)絡(luò)分析中的視圖表現(xiàn)：

(1)網(wǎng)絡(luò)中存在大量小包，大量的TCP復(fù)位接收數(shù)據(jù)包，見圖28-17。

圖28-17

(2)大量的ACK標(biāo)志位置1的數(shù)據(jù)包，見圖28-18。圖28-1828.2.6窗口掃描

1.掃描原理

在某些系統(tǒng)上，開放端口用正數(shù)表示窗口大小，而關(guān)閉的窗口大小則為0。窗口掃描就是通過檢查返回RST報文的窗口字段來判斷端口是否開放。

窗口掃描依賴于少數(shù)的系統(tǒng)實現(xiàn)細節(jié)，不支持它的系統(tǒng)通常會返回所有端口都關(guān)閉的信息，甚至有些系統(tǒng)會給出相反的行為(比如掃描顯示1000端口開放，3個端口關(guān)閉，實際上這3個端口反而是開放的)。2.深入理解

窗口掃描在科來網(wǎng)絡(luò)分析中的視圖表現(xiàn)：

(1)網(wǎng)絡(luò)中存在大量小包，大量的TCP復(fù)位接收數(shù)據(jù)包，見圖28-19和圖28-20。

圖28-19

(2)網(wǎng)絡(luò)中存大量特征相同的協(xié)議統(tǒng)計，見圖28-21。圖28-20

圖28-21

(3)大量window(窗口)字段為0的數(shù)據(jù)包。28.2.7IP掃描

1.掃描原理

IP協(xié)議掃描用來確定目標(biāo)主機支持的IP協(xié)議，如TCP、UDP、ICMP等，它不對任何TCP或UDP端口發(fā)送報文，而是對IP協(xié)議號發(fā)送對應(yīng)的數(shù)據(jù)包。

IP協(xié)議掃描發(fā)送IP報文，報文不包含任何數(shù)據(jù)，甚至不包含協(xié)議的正確報文頭(TCP、UDP、ICMP例外)。IP協(xié)議掃描需要關(guān)注ICMP協(xié)議不可達信息，收到目標(biāo)主機的任何協(xié)議響應(yīng)，即表示該協(xié)議是開放的。

2.深入理解

IP掃描在科來網(wǎng)絡(luò)分析中的視圖表現(xiàn)：

(1)網(wǎng)絡(luò)中存在大量小包，見圖28-22。圖28-22

(2)網(wǎng)絡(luò)中存大量特征相同的IP數(shù)據(jù)包，且不攜帶任何數(shù)據(jù)，見圖28-23。圖28-23

圖28-23

28.2.8FIN/ACK掃描

1.掃描原理

FIN/ACK掃描也被稱作Maimon掃描，以發(fā)現(xiàn)者UrielMaimon命名。其實，Maimon掃描與NULL、FIN掃描的原理一樣，根據(jù)RFC793協(xié)議，無論端口是關(guān)閉還是開放，目標(biāo)主機都會對FIN+ACK探測數(shù)據(jù)包響應(yīng)RST報文(但許多基于BSD的系統(tǒng)會丟棄FIN+ACK探測數(shù)據(jù)包)。

2．深入理解

FIN/ACK掃描在科來網(wǎng)絡(luò)分析中的視圖表現(xiàn)：

(1)網(wǎng)絡(luò)中存在大量小包，大量的TCP復(fù)位發(fā)送和接收，見圖28-24和圖28-25。

圖28-24

圖28-25

(2)網(wǎng)絡(luò)中存大量特征相同的協(xié)議統(tǒng)計，見圖28-26。圖28-26

(3)大量同步位(ACK)和終止位(FIN)置1的數(shù)據(jù)包，見圖28-27。圖28-2728.2.9定制掃描

1.掃描原理

一些高級用戶不會遵循現(xiàn)成的掃描類型和規(guī)則，而是根據(jù)實際情況，任意指定TCP的相關(guān)標(biāo)志位和掃描類型，從而避免IDS等設(shè)備的檢測。

2.深入理解

定制掃描沒有固定的模式或特征，我們可以結(jié)合前面總結(jié)的各類掃描行為特征，利用概要、協(xié)議、TCP/UDP會話、解碼視圖進行綜合分析。

1.端口掃描的大致特征

(1)小包多，大小基本在64～128B之間。

(2)

SYN置1、RST置1的數(shù)據(jù)包較多。

(3)大量