網(wǎng)絡(luò)掃描的研究

1、網(wǎng)絡(luò)掃描的研究 專(zhuān) 業(yè)：xxxxxxx 學(xué) 號(hào)：xxxxxxx 姓 名：xxxxxxx 指導(dǎo)老師 ：xxxxxxx 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 2012年11月11日 引言2一、掃描需要的協(xié)議21、ICMP協(xié)議22、TCP協(xié)議簡(jiǎn)介33、UDP協(xié)議簡(jiǎn)介4二、常見(jiàn)的網(wǎng)絡(luò)掃描技術(shù)分析及應(yīng)用51、PING掃描51.1 Ping基本原理51.2 Ping命令試驗(yàn)51.3技術(shù)分析72、TCP全掃描82.1 全掃描基本原理82.2 Tcp全掃描試驗(yàn)92.3 結(jié)果分析113、TCP SYN掃描113.2 SYN半掃描測(cè)試1233結(jié)果分析134、Null掃描134.1 null掃描原理134.2null掃描測(cè)試134

2、.3結(jié)果分析155、UDP端口掃描155.1 udp掃描原理155.2 udp掃描實(shí)驗(yàn)16三、研究結(jié)論17引言 收集目標(biāo)網(wǎng)絡(luò)和主機(jī)的信息, 是維護(hù)網(wǎng)絡(luò)安全的第一步。在網(wǎng)絡(luò)安全人員看來(lái), 只有收集到了足夠、有效的信息, 才有可能防止?jié)撛诘墓粜袨椤Ｕ绨踩珜?zhuān)家所做的那樣, 黑客也會(huì)盡可能地收集信息, 看系統(tǒng)是否存在漏洞或者弱點(diǎn)以實(shí)施攻擊。雙方攻防的第一步, 主要集中在網(wǎng)絡(luò)安全掃描領(lǐng)域。網(wǎng)絡(luò)掃描, 是基于Internet 的探測(cè)遠(yuǎn)端網(wǎng)絡(luò)或主機(jī)信息的一種技術(shù), 也是保證系統(tǒng)和網(wǎng)絡(luò)安全必不可少的一種手段。網(wǎng)絡(luò)掃描, 是對(duì)計(jì)算機(jī)主機(jī)或者其它網(wǎng)絡(luò)設(shè)備進(jìn)行安全性檢測(cè), 以找出安全隱患和系統(tǒng)漏洞。但是, 網(wǎng)絡(luò)

3、掃描軟件事實(shí)上也是一把雙刃劍: 入侵者利用它來(lái)尋找對(duì)系統(tǒng)發(fā)起攻擊的途徑, 而系統(tǒng)管理員則利用它來(lái)有效防范黑客入侵。通過(guò)網(wǎng)絡(luò)掃描, 掃描者能夠發(fā)現(xiàn)遠(yuǎn)端網(wǎng)絡(luò)或主機(jī)的配置信息、TCP/UDP端口的分配、提供的網(wǎng)絡(luò)服務(wù)、服務(wù)器的具體信息等。網(wǎng)絡(luò)掃描可以劃分為ping掃描、端口掃描、操作系統(tǒng)探測(cè)、弱點(diǎn)探測(cè)、防火墻規(guī)則探測(cè)五種主要技術(shù), 運(yùn)用的原理各不相同。一、掃描需要的協(xié)議1、ICMP協(xié)議 Internet控制報(bào)文協(xié)議（Internet Control Messages Protocol，ICMP）允許主機(jī)或路由器報(bào)告差錯(cuò)情況和提供有關(guān)異常情況的報(bào)告。一般來(lái)說(shuō)，ICMP報(bào)文提供針對(duì)網(wǎng)絡(luò)層的錯(cuò)誤診斷、擁塞

4、控制、路徑控制和查詢(xún)服務(wù)四項(xiàng)功能。ICMP協(xié)議掃描充分利用了ICMP協(xié)議的各種功能，在ICMP協(xié)議中定義了多種類(lèi)型的ICMP報(bào)文。一般的ICMP報(bào)文的首部如圖6-2所示。類(lèi)型字段表示ICMP報(bào)文的種類(lèi)，它是ICMP報(bào)文中的第一個(gè)字段。代碼字段進(jìn)一步限定了ICMP報(bào)文種類(lèi)。校驗(yàn)和字段存儲(chǔ)了ICMP所使用的校驗(yàn)和值。ICMP報(bào)文大體可以分為兩種類(lèi)型，即ICMP差錯(cuò)報(bào)文和ICMP詢(xún)問(wèn)報(bào)文。每個(gè)ICMP報(bào)頭均包含類(lèi)型、代碼和校驗(yàn)和這三項(xiàng)內(nèi)容，長(zhǎng)度為8位、8位和16位，其余選項(xiàng)則隨ICMP的功能不同而不同。根據(jù)不同的功能需要，在ICMP中提供了多種ICMP報(bào)文數(shù)據(jù)格式。2、TCP協(xié)議簡(jiǎn)介 &#

5、160;  TCP協(xié)議是TCP/IP協(xié)議族中的面向連接的、可靠的傳輸層協(xié)議。TCP允許發(fā)送和接收字節(jié)流形式的數(shù)據(jù)。TCP在報(bào)文中加上一個(gè)遞進(jìn)的確認(rèn)序列號(hào)來(lái)告訴發(fā)送者，接收者期望收到的下一個(gè)字節(jié)，如果在規(guī)定時(shí)間內(nèi)，沒(méi)有收到關(guān)于這個(gè)包的確認(rèn)響應(yīng)，則重新發(fā)送此包，這保證了TCP是一種可靠的傳輸層協(xié)議。圖19-3-1  TCP報(bào)文格式在TCP報(bào)文格式中，有一些關(guān)鍵的字段，其含義如下：源端口：該字段定義了發(fā)送這個(gè)報(bào)文的應(yīng)用程序的端口號(hào)。目的端口：該字段定義了接收這個(gè)報(bào)文的應(yīng)用程序的端口號(hào)?？刂疲涸撟侄味x了8種不同的控制位或標(biāo)志。如圖19-3-2所示。在一個(gè)報(bào)文中可設(shè)置一位或多位標(biāo)志

6、。這些位用在TCP的流量控制、連接建立和終止以及數(shù)據(jù)傳送的方式等方面。圖19-3-2  控制字段3、UDP協(xié)議簡(jiǎn)介    UDP（User Datagram Protocol）用戶(hù)數(shù)據(jù)報(bào)協(xié)議，主要用來(lái)支持那些需要在計(jì)算機(jī)之間傳輸數(shù)據(jù)的網(wǎng)絡(luò)應(yīng)用。包括網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)在內(nèi)的眾多的客戶(hù)/服務(wù)器模式的網(wǎng)絡(luò)應(yīng)用都需要使用UDP協(xié)議。UDP協(xié)議直接位于IP（網(wǎng)際協(xié)議）協(xié)議的上層。根據(jù)OSI參考模型，UDP和TCP都屬于傳輸層協(xié)議。UDP協(xié)議不提供端到端的確認(rèn)和重傳功能，它不保證信息包一定能到達(dá)目的地，因此稱(chēng)為不可靠協(xié)議。    圖19-

7、3-5顯示了UDP報(bào)文格式。每個(gè)UDP報(bào)文兩個(gè)部分：UDP首部和UDP數(shù)據(jù)區(qū)。首部被分為四個(gè)16位的字段，分別代表源端口號(hào)目的端口號(hào)報(bào)文的長(zhǎng)度以及UDP校驗(yàn)和。源端口（16位）目的端口（16位）有效負(fù)載長(zhǎng)度（16位）校驗(yàn)和（16位）數(shù)據(jù)圖19-3-5  UDP報(bào)文格式在UDP報(bào)文格式中，有一些關(guān)鍵的字段，其含義如下：    源端口：表示發(fā)送端的端口號(hào)。如果源端口沒(méi)有使用，那么此字段的值就被指定為0。這是一個(gè)可選的字段。    目的端口：表示目的端的端口號(hào)。UDP協(xié)議使用端口號(hào)為不同的應(yīng)用保留其各自的數(shù)據(jù)傳輸通道。UDP和TC

8、P協(xié)議正是采用這一機(jī)制實(shí)現(xiàn)對(duì)同一時(shí)刻內(nèi)多個(gè)應(yīng)用程序同時(shí)發(fā)送和接收數(shù)據(jù)的支持。數(shù)據(jù)發(fā)送一方（可以是客戶(hù)端或服務(wù)器端）將UDP數(shù)據(jù)報(bào)通過(guò)源端口發(fā)送出去，而數(shù)據(jù)接收一方則通過(guò)目標(biāo)端口接收數(shù)據(jù)。有的網(wǎng)絡(luò)應(yīng)用只能使用預(yù)先為其預(yù)留或注冊(cè)的靜態(tài)端口；而另外一些網(wǎng)絡(luò)應(yīng)用則可以使用未被注冊(cè)的動(dòng)態(tài)端口。因?yàn)閁DP報(bào)頭使用兩個(gè)字節(jié)存放端口號(hào)，所以端口號(hào)的有效范圍是從0到65535。二、常見(jiàn)的網(wǎng)絡(luò)掃描技術(shù)分析及應(yīng)用1、PING掃描1.1 Ping基本原理Ping利用ICMP協(xié)議包來(lái)偵測(cè)另一個(gè)主機(jī)是否可達(dá)。原理是發(fā)送ICMP回送請(qǐng)求消息（類(lèi)型碼為8）給目的主機(jī)。ICMP協(xié)議規(guī)定：目的主機(jī)必須返回ICMP回送應(yīng)答消息給源

9、主機(jī)。如果源主機(jī)在一定時(shí)間內(nèi)收到類(lèi)型碼為0的ICMP回應(yīng)信息，則認(rèn)為主機(jī)可達(dá)。Ping程序來(lái)計(jì)算間隔時(shí)間，并計(jì)算有多少個(gè)包被送達(dá)。用戶(hù)就可以判斷網(wǎng)絡(luò)大致的情況。1.2 Ping命令試驗(yàn)試驗(yàn)環(huán)境：掃描主機(jī)A：172.16.1.5 OS：windowsXP 被掃描主機(jī)B：172.16.1.3 OS：windowsXP首先我們?cè)贐主機(jī)上不安裝任何的防火墻，只安裝wireshark檢測(cè)網(wǎng)卡上收到的數(shù)據(jù)包在沒(méi)有開(kāi)啟防火墻的情況下主機(jī)A顯示能掃描到主機(jī)B 同樣主機(jī)B上的wireshark軟件也檢測(cè)到了主機(jī)A發(fā)送到B上的ICMP的請(qǐng)求數(shù)據(jù)包現(xiàn)在再在B主機(jī)上安裝瑞星防火墻，來(lái)對(duì)B主機(jī)開(kāi)啟安全防護(hù)再用主機(jī)A對(duì)主

10、機(jī)B進(jìn)行ping操作現(xiàn)在主機(jī)A上顯示掃描不到主機(jī)B同時(shí)防火墻上顯示出對(duì)主機(jī)A的ping操作進(jìn)行的攔截1.3技術(shù)分析最常用的ICMP掃描方法就是利用PING的原理，發(fā)送ICMP回顯請(qǐng)求報(bào)文，然后監(jiān)聽(tīng)是否有ICMP回顯應(yīng)答報(bào)文返回，如果沒(méi)有就證明目標(biāo)主機(jī)不存在或者已經(jīng)停機(jī)，如果能夠返回ICMP回顯應(yīng)答報(bào)文，就證明主機(jī)正在運(yùn)行。其過(guò)程如圖3-9所示。 （點(diǎn)擊查看大圖）圖3-9  ICMP回顯探測(cè)顯然防火墻阻斷了主機(jī)B的ICMP的回顯請(qǐng)求，而導(dǎo)致主機(jī)A掃描不到主機(jī)B2、TCP全掃描2.1 全掃描基本原理    TCP全掃描也叫做TCP Connect掃

11、描，這種掃描方法很簡(jiǎn)單，直接連接到目標(biāo)端口并完成一個(gè)完整的三次握手過(guò)程（SYN，SYN/ACK，和ACK）。操作系統(tǒng)提供了“connect()”函數(shù)來(lái)完成系統(tǒng)調(diào)用，用來(lái)與每一個(gè)感興趣的目標(biāo)計(jì)算機(jī)的端口進(jìn)行連接。如果端口處于偵聽(tīng)狀態(tài)，那么connect()函數(shù)就能成功。否則，connect()函數(shù)將調(diào)用失敗。這個(gè)技術(shù)的優(yōu)點(diǎn)是不需要任何權(quán)限，系統(tǒng)中的任何用戶(hù)都有權(quán)利使用這個(gè)調(diào)用。另一個(gè)優(yōu)點(diǎn)是速度。如果對(duì)每個(gè)目標(biāo)端口以線(xiàn)性的方式使用單獨(dú)的connect()函數(shù)調(diào)用，那么將會(huì)花費(fèi)相當(dāng)長(zhǎng)的時(shí)間，你可以通過(guò)同時(shí)打開(kāi)多個(gè)套接字，從而加速掃描。但這種方法的缺點(diǎn)是很容易被發(fā)覺(jué)，并且很容易被過(guò)濾掉。目標(biāo)計(jì)算機(jī)的日

12、志文件會(huì)顯示一連串的連接和連接出錯(cuò)的服務(wù)消息，目標(biāo)計(jì)算機(jī)用戶(hù)發(fā)現(xiàn)后就能很快使它關(guān)閉。    圖19-3-3是端口開(kāi)放與端口關(guān)閉時(shí)TCP全掃描情況。圖19-3-3  TCP全掃描2.2 Tcp全掃描試驗(yàn)測(cè)試環(huán)境： 掃描主機(jī)A：192.168.0.133 OS：windowsXP 使用軟件：Zenmap被掃描主機(jī)B：192.168.0.105 OS：windowsXP 使用的檢測(cè)軟件：薩客嘶入侵檢測(cè)系統(tǒng)1.0 wireshark1.8.3 金山個(gè)人防火墻再打開(kāi)防火墻之前先用Zenmap對(duì)B主機(jī)進(jìn)行掃描掃描結(jié)果如下圖，顯示有1351394452383號(hào)端口打開(kāi)

13、同時(shí)主機(jī)B上顯示有大量的來(lái)于192.168.0.133的初始化連接，但總是連接失敗打開(kāi)防火墻重新重復(fù)以上操作主機(jī)B上截獲大量的未成功的Tcp連接，而且數(shù)據(jù)包里面內(nèi)容長(zhǎng)度都為0入侵檢測(cè)系統(tǒng)上面也顯示有未連接成功的Tcp連接同樣，防火墻上有被惡意端口掃描的記錄2.3 結(jié)果分析主機(jī)A能成功掃描到主機(jī)B，但是大量的連接和連接出錯(cuò)的服務(wù)消息很快被防火墻給阻止3、TCP SYN掃描 3.1 SYN半掃描原理TCP SYN掃描也叫做半開(kāi)放式掃描（half-open scanning），因?yàn)樗鼪](méi)有完成一個(gè)完整的TCP協(xié)議三次握手過(guò)程。TCP SYN掃描方法向目標(biāo)端口發(fā)送一個(gè)TCP SYN分組，如果目

14、標(biāo)端口返回SYN/ACK標(biāo)志，那么可以肯定該端口處于偵聽(tīng)狀態(tài)，接下來(lái)必須再向目標(biāo)發(fā)送一個(gè)RST分組，來(lái)關(guān)閉這個(gè)連接；返回RST/ACK標(biāo)志則表示端口沒(méi)有處于監(jiān)聽(tīng)狀態(tài)。這種方法比TCP全掃描方法更具隱蔽性，可能不會(huì)在目標(biāo)主機(jī)中留下掃描痕跡。但這種方法實(shí)現(xiàn)比較復(fù)雜。圖19-3-4是端口開(kāi)放與端口關(guān)閉時(shí)TCP SYN掃描情況。圖19-3-4  TCP SYN掃描3.2 SYN半掃描測(cè)試主機(jī)A上同樣能掃描到主機(jī)B上的端口信息主機(jī)B上用wireshark軟件記錄了大量的半連接的Tcp記錄但是金山防火墻上卻沒(méi)有惡意掃描的記錄33結(jié)果分析顯然半掃描比全掃描更具隱蔽性4、Null掃描4.1 null

15、掃描原理有時(shí)甚至SYN掃描都不夠隱蔽，一些防火墻及信息包過(guò)濾裝置會(huì)在重要端口守護(hù)，SYN包在此時(shí)會(huì)被截獲，一些應(yīng)用軟件如Synlogger以及Courtney對(duì)偵測(cè)這類(lèi)型的掃描都是行家。關(guān)閉的端口會(huì)對(duì)你發(fā)送的探測(cè)信息包返回一個(gè)RST，而打開(kāi)的端口則對(duì)其忽略不理（你可以參閱RFC 973PP64）。所以FIN掃描使用空的FIN信息包作為探針、Xmastree使用FIN，URG，PUSH標(biāo)記、Null掃描則不用任何標(biāo)記。但是不幸的是微軟以他們一貫的風(fēng)格不理睬這一標(biāo)準(zhǔn)所以這一掃描在WINDOWS9X以及NT下不能工作。4.2null掃描測(cè)試本機(jī)測(cè)試的平臺(tái)測(cè)試的系統(tǒng)都是windows系統(tǒng)，所以Null

16、掃描模式在實(shí)驗(yàn)的結(jié)果沒(méi)有掃描到任何的端口，防火墻上也沒(méi)有任何記錄，但B主機(jī)上的網(wǎng)卡卻有主機(jī)A發(fā)來(lái)的大量tcp數(shù)據(jù)包Zenmap上沒(méi)有掃描到任何信息金山也沒(méi)有捕獲惡意掃描大量的tcp連接成功的建立4.3結(jié)果分析這其實(shí)也是一個(gè)很好的區(qū)分平臺(tái)的辦法如果掃描發(fā)現(xiàn)了打開(kāi)的端口，那你就能明白這臺(tái)機(jī)器不是運(yùn)行WINDOWS。如果的掃描顯示所有端口都是關(guān)閉的但一個(gè)SYN掃描卻顯示有打開(kāi)端口，那你就能大致推斷它是WINDOWS平臺(tái)。5、UDP端口掃描5.1 udp掃描原理    UDP端口掃描方法向目標(biāo)端口發(fā)送一個(gè)UDP協(xié)議分組。如果目標(biāo)端口以ICMP端口不可達(dá)（Port Unre

17、achable）報(bào)文響應(yīng)，那么說(shuō)明該端口是關(guān)閉的；反之，如果沒(méi)有收到ICMP端口不可達(dá)響應(yīng)報(bào)文，則可以肯定該端口是打開(kāi)的。由于UDP協(xié)議是面向無(wú)連接的協(xié)議，這種掃描技術(shù)的精確性高度依賴(lài)于網(wǎng)絡(luò)性能和系統(tǒng)資源。另外，如果目標(biāo)系統(tǒng)采用了大量分組過(guò)濾技術(shù)，那么UDP協(xié)議掃描過(guò)程會(huì)變得非常慢。如果你想對(duì)Internet進(jìn)行UDP協(xié)議掃描，那么你不能指望得到可靠的結(jié)果。    圖19-3-6是UDP端口關(guān)閉時(shí)的網(wǎng)絡(luò)會(huì)話(huà)情況。圖19-3-6  UDP端口掃描UDP掃描：這一方法是用來(lái)確定哪個(gè)UDP(User Datagram Protocol,RFC768)端口在主機(jī)端開(kāi)放。這一技術(shù)是以發(fā)送零字節(jié)的UDP信息包到目標(biāo)機(jī)器的各個(gè)端口，如果我們收到一個(gè)ICMP端口無(wú)法到達(dá)的回應(yīng)，那么該端口是關(guān)閉的，否則我們可以認(rèn)為它是敞開(kāi)大門(mén)的。5.2 udp掃描實(shí)驗(yàn)大量的半連接三、研究結(jié)論分析并測(cè)試當(dāng)前比較常見(jiàn)的幾種掃描方式得到下表：掃描方式使用協(xié)議ZenmapWiresharkSax金山防火墻Ping掃描ICMP有記錄有記錄有記錄Tcp全掃描TCP成功有記錄有記錄有記錄SYN半掃描TCP成功有記錄有記錄沒(méi)有記錄Null掃描