第2章：掃描與防御技術(shù)

1、第第2章章 掃描與防御技術(shù)掃描與防御技術(shù)2021-12-29網(wǎng)絡(luò)入侵與防范講義2本章內(nèi)容安排本章內(nèi)容安排o 2.1 掃描技術(shù)概述掃描技術(shù)概述o 2.2 常見的掃描技術(shù)常見的掃描技術(shù)o 2.3 掃描工具賞析掃描工具賞析o 2.4 掃描的防御掃描的防御o 2.5 小結(jié)小結(jié)2021-12-29網(wǎng)絡(luò)入侵與防范講義32.1 掃描技術(shù)概述掃描技術(shù)概述o 什么是掃描器什么是掃描器o 網(wǎng)絡(luò)掃描器是一把雙刃劍網(wǎng)絡(luò)掃描器是一把雙刃劍o 為什么需要網(wǎng)絡(luò)掃描器為什么需要網(wǎng)絡(luò)掃描器o 掃描的重要性掃描的重要性o 網(wǎng)絡(luò)掃描器的主要功能網(wǎng)絡(luò)掃描器的主要功能o 網(wǎng)絡(luò)掃描器與漏洞的關(guān)系網(wǎng)絡(luò)掃描器與漏洞的關(guān)系o 掃描三步曲掃描三

2、步曲o 一個(gè)典型的掃描案例一個(gè)典型的掃描案例2021-12-29網(wǎng)絡(luò)入侵與防范講義4什么是掃描器什么是掃描器o 掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。它集成了常用的各種掃描技術(shù)，弱點(diǎn)的程序。它集成了常用的各種掃描技術(shù)，能自動(dòng)發(fā)送數(shù)據(jù)包去探測(cè)和攻擊遠(yuǎn)端或本地的能自動(dòng)發(fā)送數(shù)據(jù)包去探測(cè)和攻擊遠(yuǎn)端或本地的端口和服務(wù)，并自動(dòng)收集和記錄目標(biāo)主機(jī)的反端口和服務(wù)，并自動(dòng)收集和記錄目標(biāo)主機(jī)的反饋信息，從而發(fā)現(xiàn)目標(biāo)主機(jī)是否存活、目標(biāo)網(wǎng)饋信息，從而發(fā)現(xiàn)目標(biāo)主機(jī)是否存活、目標(biāo)網(wǎng)絡(luò)內(nèi)所使用的設(shè)備類型與軟件版本、服務(wù)器或絡(luò)內(nèi)所使用的設(shè)備類型與軟件版本、服務(wù)器或主機(jī)上各

3、主機(jī)上各TCP/UDP端口的分配、所開放的服端口的分配、所開放的服務(wù)、所存在的可能被利用的安全漏洞。據(jù)此提務(wù)、所存在的可能被利用的安全漏洞。據(jù)此提供一份可靠的安全性分析報(bào)告，報(bào)告可能存在供一份可靠的安全性分析報(bào)告，報(bào)告可能存在的脆弱性。的脆弱性。2021-12-29網(wǎng)絡(luò)入侵與防范講義5網(wǎng)絡(luò)掃描器是一把雙刃劍網(wǎng)絡(luò)掃描器是一把雙刃劍o 安全評(píng)估工具安全評(píng)估工具系統(tǒng)管理員系統(tǒng)管理員保障系統(tǒng)安全的有效工具保障系統(tǒng)安全的有效工具o 網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)入侵者網(wǎng)絡(luò)入侵者收集信息的重要手段收集信息的重要手段o 掃描器是一把掃描器是一把“雙刃劍雙刃劍”。2021-12-29網(wǎng)絡(luò)入侵與防范講義6為什

4、么需要網(wǎng)絡(luò)掃描器為什么需要網(wǎng)絡(luò)掃描器o 由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)規(guī)模迅猛增由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)規(guī)模迅猛增長(zhǎng)和計(jì)算機(jī)系統(tǒng)日益復(fù)雜，導(dǎo)致新的系統(tǒng)漏長(zhǎng)和計(jì)算機(jī)系統(tǒng)日益復(fù)雜，導(dǎo)致新的系統(tǒng)漏洞層出不窮洞層出不窮o 由于系統(tǒng)管理員的疏忽或缺乏經(jīng)驗(yàn)，導(dǎo)致舊由于系統(tǒng)管理員的疏忽或缺乏經(jīng)驗(yàn)，導(dǎo)致舊有的漏洞依然存在有的漏洞依然存在o 許多人出于好奇或別有用心，不停的窺視網(wǎng)許多人出于好奇或別有用心，不停的窺視網(wǎng)上資源上資源2021-12-29網(wǎng)絡(luò)入侵與防范講義7掃描的重要性掃描的重要性o 掃描的重要性掃描的重要性在于把繁瑣的安全檢測(cè)，通過在于把繁瑣的安全檢測(cè)，通過程序來自動(dòng)完成，這不僅減輕了網(wǎng)絡(luò)管理員程

5、序來自動(dòng)完成，這不僅減輕了網(wǎng)絡(luò)管理員的工作，而且也縮短了檢測(cè)時(shí)間。的工作，而且也縮短了檢測(cè)時(shí)間。o 同時(shí)，也可以認(rèn)為掃描器是一種同時(shí)，也可以認(rèn)為掃描器是一種網(wǎng)絡(luò)安全性網(wǎng)絡(luò)安全性評(píng)估軟件評(píng)估軟件，利用掃描器可以快速、深入地對(duì)，利用掃描器可以快速、深入地對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行安全評(píng)估。目標(biāo)網(wǎng)絡(luò)進(jìn)行安全評(píng)估。o 網(wǎng)絡(luò)安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠?yàn)榫W(wǎng)絡(luò)提供很高的安全性?；ハ嗯浜夏軌?yàn)榫W(wǎng)絡(luò)提供很高的安全性。2021-12-29網(wǎng)絡(luò)入侵與防范講義8網(wǎng)絡(luò)掃描器的主要功能網(wǎng)絡(luò)掃描器的主要功能o 掃描目標(biāo)主機(jī)識(shí)別其工作狀態(tài)（開掃描目標(biāo)主機(jī)識(shí)別其工作狀態(tài)（開/關(guān)機(jī)）

6、關(guān)機(jī)）o 識(shí)別目標(biāo)主機(jī)端口的狀態(tài)（監(jiān)聽識(shí)別目標(biāo)主機(jī)端口的狀態(tài)（監(jiān)聽/關(guān)閉）關(guān)閉）o 識(shí)別目標(biāo)主機(jī)操作系統(tǒng)的類型和版本識(shí)別目標(biāo)主機(jī)操作系統(tǒng)的類型和版本o 識(shí)別目標(biāo)主機(jī)服務(wù)程序的類型和版本識(shí)別目標(biāo)主機(jī)服務(wù)程序的類型和版本o 分析目標(biāo)主機(jī)、目標(biāo)網(wǎng)絡(luò)的漏洞（脆弱點(diǎn)）分析目標(biāo)主機(jī)、目標(biāo)網(wǎng)絡(luò)的漏洞（脆弱點(diǎn)）o 生成掃描結(jié)果報(bào)告生成掃描結(jié)果報(bào)告2021-12-29網(wǎng)絡(luò)入侵與防范講義9網(wǎng)絡(luò)掃描器與漏洞的關(guān)系網(wǎng)絡(luò)掃描器與漏洞的關(guān)系o 網(wǎng)絡(luò)漏洞網(wǎng)絡(luò)漏洞是系統(tǒng)軟、硬件存在安全方面的是系統(tǒng)軟、硬件存在安全方面的脆弱性，安全漏洞的存在導(dǎo)致非法用戶入脆弱性，安全漏洞的存在導(dǎo)致非法用戶入侵系統(tǒng)或未經(jīng)授權(quán)獲得訪問權(quán)限，造成信

7、侵系統(tǒng)或未經(jīng)授權(quán)獲得訪問權(quán)限，造成信息篡改、拒絕服務(wù)或系統(tǒng)崩潰等問題。息篡改、拒絕服務(wù)或系統(tǒng)崩潰等問題。o 網(wǎng)絡(luò)掃描網(wǎng)絡(luò)掃描可以對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)設(shè)可以對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)設(shè)備進(jìn)行安全相關(guān)的檢測(cè)，以找出安全隱患備進(jìn)行安全相關(guān)的檢測(cè)，以找出安全隱患和可能被黑客利用的漏洞。和可能被黑客利用的漏洞。2021-12-29網(wǎng)絡(luò)入侵與防范講義10掃描三步曲掃描三步曲o 一個(gè)完整的網(wǎng)絡(luò)安全掃描分為三個(gè)階段：一個(gè)完整的網(wǎng)絡(luò)安全掃描分為三個(gè)階段：n 第一階段：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)n 第二階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括操作系統(tǒng)類型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等。如果目標(biāo)是一個(gè)網(wǎng)絡(luò)，還可以進(jìn)一步發(fā)現(xiàn)

8、該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、路由設(shè)備以及各主機(jī)的信息n 第三階段：根據(jù)收集到的信息判斷或者進(jìn)一步測(cè)試系統(tǒng)是否存在安全漏洞2021-12-29網(wǎng)絡(luò)入侵與防范講義11掃描三步曲（續(xù)）掃描三步曲（續(xù)）o 網(wǎng)絡(luò)安全掃描技術(shù)包括網(wǎng)絡(luò)安全掃描技術(shù)包括PING掃描、操作系統(tǒng)探測(cè)、掃描、操作系統(tǒng)探測(cè)、穿透防火墻探測(cè)、端口掃描、漏洞掃描等穿透防火墻探測(cè)、端口掃描、漏洞掃描等o PING掃描掃描用于掃描用于掃描第一階段第一階段，識(shí)別系統(tǒng)是否活動(dòng)，識(shí)別系統(tǒng)是否活動(dòng)o OS探測(cè)、穿透防火墻探測(cè)、端口掃描探測(cè)、穿透防火墻探測(cè)、端口掃描用于掃描用于掃描第二第二階段階段n OS探測(cè)是對(duì)目標(biāo)主機(jī)運(yùn)行的OS進(jìn)行識(shí)別n 穿透防火墻探測(cè)用于

9、獲取被防火墻保護(hù)的網(wǎng)絡(luò)資料n 端口掃描是通過與目標(biāo)系統(tǒng)的TCP/IP端口連接，并查看該系統(tǒng)處于監(jiān)聽或運(yùn)行狀態(tài)的服務(wù)o 漏洞掃描漏洞掃描用于安全掃描用于安全掃描第三階段第三階段，通常是在端口掃，通常是在端口掃描的基礎(chǔ)上，進(jìn)而檢測(cè)出目標(biāo)系統(tǒng)存在的安全漏洞描的基礎(chǔ)上，進(jìn)而檢測(cè)出目標(biāo)系統(tǒng)存在的安全漏洞2021-12-29網(wǎng)絡(luò)入侵與防范講義12一個(gè)典型的掃描案例一個(gè)典型的掃描案例2021-12-29網(wǎng)絡(luò)入侵與防范講義131. Find targetso 選定目標(biāo)為：選定目標(biāo)為：8o 測(cè)試此主機(jī)是否處于活動(dòng)狀態(tài)，工具是用操測(cè)試此主機(jī)是否處于活動(dòng)狀態(tài)，工具是用操作系統(tǒng)自帶的作系統(tǒng)自帶的

10、ping，使用命令：，使用命令：ping 8o 結(jié)果見下頁(yè)圖。結(jié)果見下頁(yè)圖。2021-12-29網(wǎng)絡(luò)入侵與防范講義14說明該主機(jī)處于活動(dòng)狀態(tài)說明該主機(jī)處于活動(dòng)狀態(tài)2021-12-29網(wǎng)絡(luò)入侵與防范講義152. Port Scano 運(yùn)用掃描工具，檢查目標(biāo)主機(jī)開放的端口，運(yùn)用掃描工具，檢查目標(biāo)主機(jī)開放的端口，判斷它運(yùn)行了哪些服務(wù)判斷它運(yùn)行了哪些服務(wù)o 使用的工具是使用的工具是Nmap 4.20（此工具將在后（此工具將在后面進(jìn)行介紹）面進(jìn)行介紹）o 掃描命令：掃描命令：nmap 8o 掃描結(jié)果見下面圖掃描結(jié)果見下面圖2021-12-29網(wǎng)絡(luò)入侵與防范講義

11、162021-12-29網(wǎng)絡(luò)入侵與防范講義172. Port Scan(2)o 端口開放信息如下：端口開放信息如下：n 21/tcp open ftpn 25/tcp open smtpn 42/tcp open nameservern 53/tcp open domainn 80/tcp open httpn o 我們將重點(diǎn)關(guān)注我們將重點(diǎn)關(guān)注SMTP端口端口2021-12-29網(wǎng)絡(luò)入侵與防范講義183. Vulnerability Checko 檢測(cè)檢測(cè)SMTP服務(wù)是否存在漏洞服務(wù)是否存在漏洞o 使用漏洞掃描工具使用漏洞掃描工具Nessus 3（此工具在后（此工具在后面將會(huì)介紹）面將會(huì)介紹）

12、o 掃描過程見下頁(yè)圖掃描過程見下頁(yè)圖2021-12-29網(wǎng)絡(luò)入侵與防范講義19掃描目標(biāo)是掃描目標(biāo)是82021-12-29網(wǎng)絡(luò)入侵與防范講義20Nessus正在進(jìn)行漏洞掃描正在進(jìn)行漏洞掃描2021-12-29網(wǎng)絡(luò)入侵與防范講義214. Reporto Nessus發(fā)現(xiàn)了目標(biāo)主機(jī)的發(fā)現(xiàn)了目標(biāo)主機(jī)的SMTP服務(wù)存在服務(wù)存在漏洞。漏洞。o 掃描報(bào)告中與掃描報(bào)告中與SMTP漏洞相關(guān)的部分見下頁(yè)漏洞相關(guān)的部分見下頁(yè)圖。圖。2021-12-29網(wǎng)絡(luò)入侵與防范講義22漏洞編號(hào)：漏洞編號(hào)：CVE-2003-08182021-12-29網(wǎng)絡(luò)入侵與防范講義232.2 常見的掃描技術(shù)常見的掃描技

13、術(shù)o TCP/IP相關(guān)知識(shí)相關(guān)知識(shí)o 常用網(wǎng)絡(luò)命令常用網(wǎng)絡(luò)命令o 主機(jī)掃描主機(jī)掃描o 端口掃描端口掃描n全掃描n半掃描n秘密掃描n認(rèn)證(ident)掃描nFTP代理掃描o 遠(yuǎn)程主機(jī)遠(yuǎn)程主機(jī)OS指紋識(shí)別指紋識(shí)別o 漏洞掃描漏洞掃描不可不學(xué)的掃描技術(shù)不可不學(xué)的掃描技術(shù)巧妙奇特的天才構(gòu)思巧妙奇特的天才構(gòu)思2021-12-29網(wǎng)絡(luò)入侵與防范講義24TCP/IP相關(guān)知識(shí)相關(guān)知識(shí)o TCP報(bào)文格式報(bào)文格式 o TCP通信過程通信過程o ICMP協(xié)議協(xié)議2021-12-29網(wǎng)絡(luò)入侵與防范講義25TCP報(bào)文格式報(bào)文格式 2021-12-29網(wǎng)絡(luò)入侵與防范講義26TCP控制位控制位o URG: 為緊急數(shù)據(jù)標(biāo)志。

14、如果它為為緊急數(shù)據(jù)標(biāo)志。如果它為1，表示本，表示本數(shù)據(jù)包中包含緊急數(shù)據(jù)。此時(shí)緊急數(shù)據(jù)指針有數(shù)據(jù)包中包含緊急數(shù)據(jù)。此時(shí)緊急數(shù)據(jù)指針有效。效。o ACK: 為確認(rèn)標(biāo)志位。如果為為確認(rèn)標(biāo)志位。如果為1，表示包中的，表示包中的確認(rèn)號(hào)是有效的。否則，包中的確認(rèn)號(hào)無效。確認(rèn)號(hào)是有效的。否則，包中的確認(rèn)號(hào)無效。o PSH: 如果置位，接收端應(yīng)盡快把數(shù)據(jù)傳送給如果置位，接收端應(yīng)盡快把數(shù)據(jù)傳送給應(yīng)用層。應(yīng)用層。2021-12-29網(wǎng)絡(luò)入侵與防范講義27TCP控制位控制位o RST: 用來復(fù)位一個(gè)連接。用來復(fù)位一個(gè)連接。RST標(biāo)志置位的數(shù)標(biāo)志置位的數(shù)據(jù)包稱為復(fù)位包。一般情況下，如果據(jù)包稱為復(fù)位包。一般情況下，如果

15、TCP收到收到的一個(gè)分段明顯不是屬于該主機(jī)上的任何一個(gè)的一個(gè)分段明顯不是屬于該主機(jī)上的任何一個(gè)連接，則向遠(yuǎn)端發(fā)送一個(gè)復(fù)位包。連接，則向遠(yuǎn)端發(fā)送一個(gè)復(fù)位包。 o SYN: 標(biāo)志位用來建立連接，讓連接雙方同步標(biāo)志位用來建立連接，讓連接雙方同步序列號(hào)。如果序列號(hào)。如果SYN1而而ACK=0，則表示該，則表示該數(shù)據(jù)包為連接請(qǐng)求，如果數(shù)據(jù)包為連接請(qǐng)求，如果SYN=1而而ACK=1則表示接受連接。則表示接受連接。o FIN: 表示發(fā)送端已經(jīng)沒有數(shù)據(jù)要求傳輸了，表示發(fā)送端已經(jīng)沒有數(shù)據(jù)要求傳輸了，希望釋放連接。希望釋放連接。2021-12-29網(wǎng)絡(luò)入侵與防范講義28TCP通信過程通信過程o正常正常TCP通信過

16、程通信過程:n 建立連接n (數(shù)據(jù)傳輸)n 斷開連接2021-12-29網(wǎng)絡(luò)入侵與防范講義29建立建立TCP連接連接ClientServer SYN JSYN,ACK,J+1 ACK K+1SYN_SENT(主動(dòng)打開) ESTABLISHED LISTEN(被動(dòng)監(jiān)聽)SYN RCVDESTABLISHED2021-12-29網(wǎng)絡(luò)入侵與防范講義30斷開斷開TCP連接連接2021-12-29網(wǎng)絡(luò)入侵與防范講義31ICMP協(xié)議（協(xié)議（1）o Internet Control Message Protocol，是是IP的一部分，在的一部分，在IP協(xié)議棧中必須實(shí)現(xiàn)。協(xié)議棧中必須實(shí)現(xiàn)。o 用途：用途：n

17、網(wǎng)關(guān)或者目標(biāo)機(jī)器利用ICMP與源通訊n 當(dāng)出現(xiàn)問題時(shí)，提供反饋信息用于報(bào)告錯(cuò)誤o 特點(diǎn)：特點(diǎn)：n 其控制能力并不用于保證傳輸?shù)目煽啃詎 它本身也不是可靠傳輸?shù)膎 并不用來反映ICMP報(bào)文的傳輸情況2021-12-29網(wǎng)絡(luò)入侵與防范講義32ICMP協(xié)議（協(xié)議（2）ICMP報(bào)文類型報(bào)文類型n 0 Echo Replyn 3 Destination Unreachablen 4 Source Quench n 5 Redirect n 8 Echo n 11 Time Exceededn 12 Parameter Problemn 13 Timestamp n 14 Timestamp Reply

18、n 15 Information Request n 16 Information Reply n 17 Address Mask Request n 18 Address Mask Reply 2021-12-29網(wǎng)絡(luò)入侵與防范講義33常用網(wǎng)絡(luò)命令常用網(wǎng)絡(luò)命令o Pingo Traceroute、Tracert、x-firewalko Net命令系列命令系列2021-12-29網(wǎng)絡(luò)入侵與防范講義34常用網(wǎng)絡(luò)命令常用網(wǎng)絡(luò)命令-pingo Ping是最基本的掃描技術(shù)。是最基本的掃描技術(shù)。o ping命令命令主要目的是檢測(cè)目標(biāo)主機(jī)是不主要目的是檢測(cè)目標(biāo)主機(jī)是不是可連通，繼而探測(cè)一個(gè)是可連通，繼而探

19、測(cè)一個(gè)IP范圍內(nèi)的主機(jī)是范圍內(nèi)的主機(jī)是否處于激活狀態(tài)。否處于激活狀態(tài)。不要小瞧不要小瞧pingping黑客的攻擊往往都是從黑客的攻擊往往都是從pingping開始的開始的2021-12-29網(wǎng)絡(luò)入侵與防范講義35常用網(wǎng)絡(luò)命令常用網(wǎng)絡(luò)命令-ping的原理的原理o ping是一個(gè)基本的網(wǎng)絡(luò)命令，用來確定網(wǎng)是一個(gè)基本的網(wǎng)絡(luò)命令，用來確定網(wǎng)絡(luò)上具有某個(gè)特定絡(luò)上具有某個(gè)特定IP地址的主機(jī)是否存在地址的主機(jī)是否存在以及是否能接收請(qǐng)求。以及是否能接收請(qǐng)求。o Ping命令通過向計(jì)算機(jī)發(fā)送命令通過向計(jì)算機(jī)發(fā)送ICMP回應(yīng)報(bào)回應(yīng)報(bào)文并且監(jiān)聽回應(yīng)報(bào)文的返回，以校驗(yàn)與遠(yuǎn)程文并且監(jiān)聽回應(yīng)報(bào)文的返回，以校驗(yàn)與遠(yuǎn)程計(jì)算機(jī)

20、或本地計(jì)算機(jī)的連接。計(jì)算機(jī)或本地計(jì)算機(jī)的連接。 2021-12-29網(wǎng)絡(luò)入侵與防范講義36常用網(wǎng)絡(luò)命令常用網(wǎng)絡(luò)命令-ping參數(shù)說明參數(shù)說明o ping在安裝了在安裝了TCP/IP協(xié)議后可以使用。協(xié)議后可以使用。2021-12-29網(wǎng)絡(luò)入侵與防范講義37常用網(wǎng)絡(luò)命令常用網(wǎng)絡(luò)命令ping命令使用命令使用l -n: 發(fā)送發(fā)送ICMP回應(yīng)報(bào)文的個(gè)數(shù)回應(yīng)報(bào)文的個(gè)數(shù)2021-12-29網(wǎng)絡(luò)入侵與防范講義38常用網(wǎng)絡(luò)命令常用網(wǎng)絡(luò)命令- Tracerouteo Traceroute跟蹤兩臺(tái)機(jī)器之間的路徑，顯示中跟蹤兩臺(tái)機(jī)器之間的路徑，顯示中間的每一個(gè)節(jié)點(diǎn)的信息。這個(gè)工具可以用來確定某個(gè)間的每一個(gè)節(jié)點(diǎn)的信息。

21、這個(gè)工具可以用來確定某個(gè)主機(jī)的位置。主機(jī)的位置。o traceroute 命令旨在用于網(wǎng)絡(luò)測(cè)試、評(píng)估和管理。命令旨在用于網(wǎng)絡(luò)測(cè)試、評(píng)估和管理。它應(yīng)主要用于手動(dòng)故障隔離。它應(yīng)主要用于手動(dòng)故障隔離。 o 語(yǔ)法語(yǔ)法:2021-12-29網(wǎng)絡(luò)入侵與防范講義39常用網(wǎng)絡(luò)命令常用網(wǎng)絡(luò)命令 Traceroute說明說明o -f -f后指定一個(gè)初始后指定一個(gè)初始TTL，它的范圍是大于，它的范圍是大于0小于小于最大最大TTL，缺省為，缺省為1。o -m -m后指定一個(gè)最大后指定一個(gè)最大TTL，它的范圍是大于初始，它的范圍是大于初始TTL，缺省為，缺省為30。o -p -p后可以指定一個(gè)整數(shù)，該整數(shù)是目的主機(jī)的端

22、后可以指定一個(gè)整數(shù)，該整數(shù)是目的主機(jī)的端口號(hào)，它的缺省為口號(hào)，它的缺省為33434，用戶一般無須更改此選，用戶一般無須更改此選項(xiàng)。項(xiàng)。o -q -q后可以指定一個(gè)整數(shù)后可以指定一個(gè)整數(shù),該整數(shù)是每次發(fā)送的探該整數(shù)是每次發(fā)送的探測(cè)數(shù)據(jù)包的個(gè)數(shù)，它的范圍是大于測(cè)數(shù)據(jù)包的個(gè)數(shù)，它的范圍是大于0，缺省為，缺省為3。o -w -w后可以指定一個(gè)整數(shù)，該整數(shù)指明后可以指定一個(gè)整數(shù)，該整數(shù)指明IP包的超包的超時(shí)時(shí)間，它的范圍是大于時(shí)時(shí)間，它的范圍是大于0，缺省為，缺省為5秒。秒。o host 目的主機(jī)的目的主機(jī)的IP地址地址2021-12-29網(wǎng)絡(luò)入侵與防范講義40常用網(wǎng)絡(luò)命令常用網(wǎng)絡(luò)命令 Tracerou

23、te示例示例Quid # traceroute 8 traceroute to (8), 30 hops max, 56byte packet1 () 19 ms 19 ms 0 ms 2 lilac-dmc.Berkeley.EDU () 39 ms 39 ms 19 ms3 ccngw-ner-cc.Berkeley.EDU (3) 39ms 40ms 39ms4 ccn-nerif22.Berkeley.EDU (2) 39 m

24、s 39 ms 39 ms5 () 40 ms 59 ms 59 ms6 () 59 ms 59 ms 59 ms7 3 (3) 99 ms 99 ms 80 ms8 () 139 ms 239 ms 319 ms9 () 220 ms 199 ms 199 ms10 (8) 239 ms 239 ms 239

25、 ms可以看出從源主機(jī)到目的地都經(jīng)過了哪些網(wǎng)關(guān)，這對(duì)于網(wǎng)絡(luò)分析是非常有用的?？梢钥闯鰪脑粗鳈C(jī)到目的地都經(jīng)過了哪些網(wǎng)關(guān)，這對(duì)于網(wǎng)絡(luò)分析是非常有用的。2021-12-29網(wǎng)絡(luò)入侵與防范講義41常用的網(wǎng)絡(luò)命令常用的網(wǎng)絡(luò)命令Tracert、x-firewalko Windows下用下用tracert命令可以查看路由信命令可以查看路由信息，但是如今的路由器大部分都對(duì)息，但是如今的路由器大部分都對(duì)tracert命命令做了限制，此命令已經(jīng)沒有效果。令做了限制，此命令已經(jīng)沒有效果。o 有黑客開發(fā)出有黑客開發(fā)出x-firewalk.exe可用于在可用于在Windows環(huán)境下查看路由信息，非常實(shí)用，環(huán)境下查看路由

26、信息，非常實(shí)用，下載地址是下載地址是http:/ 命令：命令：x-firewalk o 可以看到本地到達(dá)可以看到本地到達(dá)都經(jīng)過了哪些路由器都經(jīng)過了哪些路由器2021-12-29網(wǎng)絡(luò)入侵與防范講義43常用網(wǎng)絡(luò)命令常用網(wǎng)絡(luò)命令-neto Net命令系列命令系列很多的很多的Windows的網(wǎng)絡(luò)命令的網(wǎng)絡(luò)命令都是都是net開頭的。利用開頭的。利用net開頭的命令，可以實(shí)現(xiàn)開頭的命令，可以實(shí)現(xiàn)很多的網(wǎng)絡(luò)管理功能很多的網(wǎng)絡(luò)管理功能比如用比如用net start server，可以啟動(dòng)服務(wù)器；，可以啟動(dòng)服務(wù)器；NET USE 用于將計(jì)用于將計(jì)算機(jī)與共享的資源相連接，或者切斷計(jì)算機(jī)與共算機(jī)與共享的資源相連接，

27、或者切斷計(jì)算機(jī)與共享資源的連接，當(dāng)不帶選項(xiàng)使用本命令時(shí)，它會(huì)享資源的連接，當(dāng)不帶選項(xiàng)使用本命令時(shí)，它會(huì)列出計(jì)算機(jī)的連接。列出計(jì)算機(jī)的連接。 o 以下以以下以Windows NT下的下的Net USE命令為例。命令為例。 2021-12-29網(wǎng)絡(luò)入侵與防范講義44常用網(wǎng)絡(luò)命令常用網(wǎng)絡(luò)命令net use示例示例net use命令及參數(shù)使用命令及參數(shù)使用2021-12-29網(wǎng)絡(luò)入侵與防范講義45常用網(wǎng)絡(luò)命令常用網(wǎng)絡(luò)命令net use示例示例(1) 用戶名為用戶名為Administrator，密碼為，密碼為longmang與遠(yuǎn)程計(jì)與遠(yuǎn)程計(jì)算機(jī)算機(jī)4進(jìn)行進(jìn)行IPC$連接，如圖所示。

28、連接，如圖所示。(2)查看與遠(yuǎn)程計(jì)算機(jī)建立的連接，如圖所示。查看與遠(yuǎn)程計(jì)算機(jī)建立的連接，如圖所示。 2021-12-29網(wǎng)絡(luò)入侵與防范講義46常用網(wǎng)絡(luò)命令常用網(wǎng)絡(luò)命令net use示例示例(3)將遠(yuǎn)程計(jì)算機(jī)的將遠(yuǎn)程計(jì)算機(jī)的c盤映射到本地盤映射到本地o盤，如圖所示。盤，如圖所示。 2021-12-29網(wǎng)絡(luò)入侵與防范講義47常用網(wǎng)絡(luò)命令常用網(wǎng)絡(luò)命令net use示例示例(4)刪除一個(gè)刪除一個(gè)IPC$連接連接(5)刪除共享映射刪除共享映射2021-12-29網(wǎng)絡(luò)入侵與防范講義48主機(jī)掃描技術(shù)主機(jī)掃描技術(shù)o 傳統(tǒng)技術(shù)傳統(tǒng)技術(shù)o 高級(jí)技術(shù)高級(jí)技術(shù)2021-12-29網(wǎng)絡(luò)入侵與防范講義49主機(jī)掃描技術(shù)傳統(tǒng)

29、技術(shù)主機(jī)掃描技術(shù)傳統(tǒng)技術(shù)o 主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)。這是信息收集的初級(jí)階段，其效是否可達(dá)。這是信息收集的初級(jí)階段，其效果直接影響到后續(xù)的掃描。果直接影響到后續(xù)的掃描。o 常用的傳統(tǒng)掃描手段有：常用的傳統(tǒng)掃描手段有：n ICMP Echo掃描n ICMP Sweep掃描n Broadcast ICMP掃描n Non-Echo ICMP掃描2021-12-29網(wǎng)絡(luò)入侵與防范講義50ICMP echo掃描掃描o 實(shí)現(xiàn)原理：實(shí)現(xiàn)原理：Ping的實(shí)現(xiàn)機(jī)制，在判斷在一個(gè)網(wǎng)絡(luò)的實(shí)現(xiàn)機(jī)制，在判斷在一個(gè)網(wǎng)絡(luò)上主機(jī)是否開機(jī)時(shí)非常有用。向目標(biāo)主機(jī)發(fā)送上主

30、機(jī)是否開機(jī)時(shí)非常有用。向目標(biāo)主機(jī)發(fā)送ICMP Echo Request (type 8)數(shù)據(jù)包，等待數(shù)據(jù)包，等待回復(fù)的回復(fù)的ICMP Echo Reply 包包(type 0) 。如果。如果能收到，則表明目標(biāo)系統(tǒng)可達(dá)，否則表明目標(biāo)系統(tǒng)能收到，則表明目標(biāo)系統(tǒng)可達(dá)，否則表明目標(biāo)系統(tǒng)已經(jīng)不可達(dá)或發(fā)送的包被對(duì)方的設(shè)備過濾掉。已經(jīng)不可達(dá)或發(fā)送的包被對(duì)方的設(shè)備過濾掉。 o 優(yōu)點(diǎn)：簡(jiǎn)單，系統(tǒng)支持優(yōu)點(diǎn)：簡(jiǎn)單，系統(tǒng)支持o 缺點(diǎn)：很容易被防火墻限制缺點(diǎn)：很容易被防火墻限制o 可以通過并行發(fā)送，同時(shí)探測(cè)多個(gè)目標(biāo)主機(jī)，以提可以通過并行發(fā)送，同時(shí)探測(cè)多個(gè)目標(biāo)主機(jī)，以提高探測(cè)效率（高探測(cè)效率（ICMP Sweep掃描）。

31、掃描）。2021-12-29網(wǎng)絡(luò)入侵與防范講義51ICMP sweep掃描掃描o 使用使用ICMP ECHO輪詢多個(gè)主機(jī)稱為輪詢多個(gè)主機(jī)稱為ICMP SWEEP(或者或者Ping Sweep)。o 對(duì)于小的或者中等網(wǎng)絡(luò)使用這種方法來探測(cè)對(duì)于小的或者中等網(wǎng)絡(luò)使用這種方法來探測(cè)主機(jī)是一種比較可接受的行為，但對(duì)于一些主機(jī)是一種比較可接受的行為，但對(duì)于一些大的網(wǎng)絡(luò)如大的網(wǎng)絡(luò)如CLASS A，B，這種方法就顯，這種方法就顯的比較慢，原因是的比較慢，原因是Ping在處理下一個(gè)之前在處理下一個(gè)之前將會(huì)等待正在探測(cè)主機(jī)的回應(yīng)。將會(huì)等待正在探測(cè)主機(jī)的回應(yīng)。o 掃描工具掃描工具Nmap實(shí)現(xiàn)了實(shí)現(xiàn)了ICMP swe

32、ep的功的功能。能。2021-12-29網(wǎng)絡(luò)入侵與防范講義52Broadcast ICMP掃描掃描o 實(shí)現(xiàn)原理：將實(shí)現(xiàn)原理：將ICMP請(qǐng)求包的目標(biāo)地址設(shè)為廣請(qǐng)求包的目標(biāo)地址設(shè)為廣播地址或網(wǎng)絡(luò)地址，則可以探測(cè)廣播域或整個(gè)播地址或網(wǎng)絡(luò)地址，則可以探測(cè)廣播域或整個(gè)網(wǎng)絡(luò)范圍內(nèi)的主機(jī)。網(wǎng)絡(luò)范圍內(nèi)的主機(jī)。o 缺點(diǎn)：缺點(diǎn)：n 只適合于UNIX/Linux系統(tǒng)，Windows 會(huì)忽略這種請(qǐng)求包；n 這種掃描方式容易引起廣播風(fēng)暴2021-12-29網(wǎng)絡(luò)入侵與防范講義53Non-Echo ICMP掃描掃描o 一些其它一些其它ICMP類型包也可以用于對(duì)主機(jī)或類型包也可以用于對(duì)主機(jī)或網(wǎng)絡(luò)設(shè)備的探測(cè)，如：網(wǎng)絡(luò)設(shè)備的探測(cè)

33、，如：n Stamp Request (Type 13)n Reply (Type 14)n Information Request (Type 15)n Reply (Type 16)n Address Mask Request (Type 17)n Reply (Type 18)2021-12-29網(wǎng)絡(luò)入侵與防范講義54主機(jī)掃描技術(shù)高級(jí)技術(shù)主機(jī)掃描技術(shù)高級(jí)技術(shù)o 防火墻和網(wǎng)絡(luò)過濾設(shè)備常常導(dǎo)致傳統(tǒng)的探測(cè)手段變防火墻和網(wǎng)絡(luò)過濾設(shè)備常常導(dǎo)致傳統(tǒng)的探測(cè)手段變得無效。為了突破這種限制，必須采用一些非常規(guī)得無效。為了突破這種限制，必須采用一些非常規(guī)的手段，利用的手段，利用ICMP協(xié)議提供網(wǎng)絡(luò)間傳送錯(cuò)誤

34、信息協(xié)議提供網(wǎng)絡(luò)間傳送錯(cuò)誤信息的手段，往往可以更有效的達(dá)到目的：的手段，往往可以更有效的達(dá)到目的：n 異常的IP包頭n 在IP頭中設(shè)置無效的字段值n 錯(cuò)誤的數(shù)據(jù)分片n 通過超長(zhǎng)包探測(cè)內(nèi)部路由器n 反向映射探測(cè)端口掃描技術(shù)端口掃描技術(shù)o TCP/IP協(xié)議提出的端口是網(wǎng)絡(luò)通信進(jìn)程與協(xié)議提出的端口是網(wǎng)絡(luò)通信進(jìn)程與外界通訊交流的出口，可被命名和尋址，可外界通訊交流的出口，可被命名和尋址，可以認(rèn)為是網(wǎng)絡(luò)通信進(jìn)程的一種標(biāo)識(shí)符。以認(rèn)為是網(wǎng)絡(luò)通信進(jìn)程的一種標(biāo)識(shí)符。o 進(jìn)程通過系統(tǒng)調(diào)用與某端口建立連接綁定后進(jìn)程通過系統(tǒng)調(diào)用與某端口建立連接綁定后，便會(huì)監(jiān)聽這個(gè)端口，傳輸層傳給該端口的，便會(huì)監(jiān)聽這個(gè)端口，傳輸層傳給

35、該端口的數(shù)據(jù)都被相應(yīng)進(jìn)程所接收，而相應(yīng)進(jìn)程發(fā)給數(shù)據(jù)都被相應(yīng)進(jìn)程所接收，而相應(yīng)進(jìn)程發(fā)給傳輸層的數(shù)據(jù)都從該端口輸出。傳輸層的數(shù)據(jù)都從該端口輸出。o 互聯(lián)網(wǎng)上的通信雙方不僅需要知道對(duì)方的互聯(lián)網(wǎng)上的通信雙方不僅需要知道對(duì)方的IP地址，也需要知道通信程序的端口號(hào)。地址，也需要知道通信程序的端口號(hào)。端口掃描技術(shù)端口掃描技術(shù)o 目前目前IPv4協(xié)議支持協(xié)議支持16位的端口，端口號(hào)范圍是位的端口，端口號(hào)范圍是065535。其中，。其中，01023號(hào)端口稱為熟知端口號(hào)端口稱為熟知端口，被提供給特定的服務(wù)使用；，被提供給特定的服務(wù)使用；102449151號(hào)號(hào)端口稱為注冊(cè)端口，由端口稱為注冊(cè)端口，由IANA記錄和追

36、蹤；記錄和追蹤；4915265535號(hào)端口稱為動(dòng)態(tài)端口或?qū)Ｓ枚丝谔?hào)端口稱為動(dòng)態(tài)端口或?qū)Ｓ枚丝?，提供給專用應(yīng)用程序。，提供給專用應(yīng)用程序。 o 許多常用的服務(wù)使用的是標(biāo)準(zhǔn)的端口，只要掃描到許多常用的服務(wù)使用的是標(biāo)準(zhǔn)的端口，只要掃描到相應(yīng)的端口，就能知道目標(biāo)主機(jī)上運(yùn)行著什么服務(wù)相應(yīng)的端口，就能知道目標(biāo)主機(jī)上運(yùn)行著什么服務(wù)。端口掃描技術(shù)就是利用這一點(diǎn)向目標(biāo)系統(tǒng)的。端口掃描技術(shù)就是利用這一點(diǎn)向目標(biāo)系統(tǒng)的TCP/UDP端口發(fā)送探測(cè)數(shù)據(jù)包，記錄目標(biāo)系統(tǒng)端口發(fā)送探測(cè)數(shù)據(jù)包，記錄目標(biāo)系統(tǒng)的響應(yīng)，通過分析響應(yīng)來查看該系統(tǒng)處于監(jiān)聽或運(yùn)的響應(yīng)，通過分析響應(yīng)來查看該系統(tǒng)處于監(jiān)聽或運(yùn)行狀態(tài)的服務(wù)。行狀態(tài)的服務(wù)。2021

37、-12-29網(wǎng)絡(luò)入侵與防范講義57端口掃描技術(shù)端口掃描技術(shù)o當(dāng)確定了目標(biāo)主機(jī)可達(dá)后，就可以使用端口掃描技術(shù)，發(fā)現(xiàn)目當(dāng)確定了目標(biāo)主機(jī)可達(dá)后，就可以使用端口掃描技術(shù)，發(fā)現(xiàn)目標(biāo)主機(jī)的開放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽的端口。端標(biāo)主機(jī)的開放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽的端口。端口掃描技術(shù)包括以下幾種：口掃描技術(shù)包括以下幾種：o全掃描全掃描n會(huì)產(chǎn)生大量的審計(jì)數(shù)據(jù)，容易被對(duì)方發(fā)現(xiàn)，但其可靠性高。o半掃描半掃描n隱蔽性和可靠性介于全掃描和秘密掃描之間。o秘密掃描秘密掃描n能有效的避免對(duì)方入侵檢測(cè)系統(tǒng)和防火墻的檢測(cè)，但使用的數(shù)據(jù)包在通過網(wǎng)絡(luò)時(shí)容易被丟棄從而產(chǎn)生錯(cuò)誤的探測(cè)信息。o認(rèn)證認(rèn)證(ident)掃描

38、掃描n需要先建立一個(gè)完整的TCP連接。oFTP代理掃描代理掃描n隱蔽性好，難以追蹤。但受到服務(wù)器設(shè)置的限制。2021-12-29網(wǎng)絡(luò)入侵與防范講義58全掃描全掃描o 全掃描原理全掃描原理o 全掃描過程全掃描過程o 全掃描特點(diǎn)全掃描特點(diǎn)2021-12-29網(wǎng)絡(luò)入侵與防范講義59全掃描全掃描原理全掃描全掃描原理o 全全TCP連接是連接是TCP端口掃描的基礎(chǔ)。端口掃描的基礎(chǔ)。o 掃描主機(jī)嘗試（使用三次握手）與目標(biāo)主掃描主機(jī)嘗試（使用三次握手）與目標(biāo)主機(jī)的某個(gè)端口建立正規(guī)的連接。機(jī)的某個(gè)端口建立正規(guī)的連接。o 連接由系統(tǒng)調(diào)用連接由系統(tǒng)調(diào)用connect()開始。如果開始。如果端口端口開放開放，則連接將

39、建立成功；否則，返，則連接將建立成功；否則，返回回-1，則表示端口，則表示端口關(guān)閉關(guān)閉。2021-12-29網(wǎng)絡(luò)入侵與防范講義60全掃描全掃描過程（流程圖）全掃描全掃描過程（流程圖）initial (獲取主機(jī)地址，填寫主機(jī)地址列表)對(duì)目標(biāo)主機(jī)的端口依次進(jìn)行連接socket() 建立新套接字connect() 嘗試建立連接連接成功，輸出端口號(hào)Shutdown()，禁止數(shù)據(jù)的收和發(fā)嘗試下一個(gè)端口號(hào)連接失敗，嘗試下一個(gè)端口號(hào)測(cè)試完畢，close(net)2021-12-29網(wǎng)絡(luò)入侵與防范講義61全掃描全掃描過程（成功）全掃描全掃描過程（成功）o TCP Connect端口掃描服務(wù)端與客戶端建端口掃描

40、服務(wù)端與客戶端建立連接成功（目標(biāo)端口開放）的過程：立連接成功（目標(biāo)端口開放）的過程：（1）Client端發(fā)送端發(fā)送SYN；（2）Server端返回端返回SYN/ACK，表明端口，表明端口開放；開放；（3）Client端返回端返回ACK，表明連接已建立；，表明連接已建立；（4）Client端主動(dòng)斷開連接。端主動(dòng)斷開連接。2021-12-29網(wǎng)絡(luò)入侵與防范講義62全掃描全掃描過程（成功）全掃描全掃描過程（成功）o 建立連接成功（目標(biāo)端口開放）如圖所示建立連接成功（目標(biāo)端口開放）如圖所示:ACKSYN/ACKSYNClient端Server端2021-12-29網(wǎng)絡(luò)入侵與防范講義63全掃描全掃描過程

41、（未成功）全掃描全掃描過程（未成功）o TCP Connect端口掃描服務(wù)端與客戶端口掃描服務(wù)端與客戶端未建立連接成功（目標(biāo)端口關(guān)閉）過端未建立連接成功（目標(biāo)端口關(guān)閉）過程：程：（1）Client端發(fā)送端發(fā)送SYN；（2）Server端返回端返回RST/ACK，表，表明端口未開放。明端口未開放。2021-12-29網(wǎng)絡(luò)入侵與防范講義64全掃描全掃描過程（未成功）全掃描全掃描過程（未成功）o 未建立連接成功未建立連接成功(目標(biāo)端口關(guān)閉目標(biāo)端口關(guān)閉)如圖所示如圖所示 :RSTRST/ACKSYNClient端Server端2021-12-29網(wǎng)絡(luò)入侵與防范講義65全掃描全掃描特點(diǎn)（優(yōu)點(diǎn)）全掃描全掃

42、描特點(diǎn)（優(yōu)點(diǎn)）o 優(yōu)點(diǎn)是實(shí)現(xiàn)簡(jiǎn)單，對(duì)操作者的權(quán)限沒有嚴(yán)格優(yōu)點(diǎn)是實(shí)現(xiàn)簡(jiǎn)單，對(duì)操作者的權(quán)限沒有嚴(yán)格要求（有些類型的端口掃描需要操作者具有要求（有些類型的端口掃描需要操作者具有root權(quán)限），系統(tǒng)中的任何用戶都有權(quán)力權(quán)限），系統(tǒng)中的任何用戶都有權(quán)力使用這個(gè)調(diào)用。使用這個(gè)調(diào)用。o 另一優(yōu)點(diǎn)是掃描速度快。如果對(duì)每個(gè)目標(biāo)端另一優(yōu)點(diǎn)是掃描速度快。如果對(duì)每個(gè)目標(biāo)端口以線性的方式，使用單獨(dú)的口以線性的方式，使用單獨(dú)的connect()調(diào)用，可以通過同時(shí)打開多個(gè)套接字，從而調(diào)用，可以通過同時(shí)打開多個(gè)套接字，從而加速掃描。加速掃描。 2021-12-29網(wǎng)絡(luò)入侵與防范講義66全掃描全掃描特點(diǎn)（缺點(diǎn)）全掃描全掃描特點(diǎn)

43、（缺點(diǎn)）o 掃描方式不隱蔽掃描方式不隱蔽o 這種掃描方法很容易被檢測(cè)出來，在日志文這種掃描方法很容易被檢測(cè)出來，在日志文件中會(huì)有大量密集的連接和錯(cuò)誤記錄件中會(huì)有大量密集的連接和錯(cuò)誤記錄o 并容易被防火墻發(fā)現(xiàn)和屏蔽并容易被防火墻發(fā)現(xiàn)和屏蔽2021-12-29網(wǎng)絡(luò)入侵與防范講義67半掃描半掃描o TCP SYN掃描的原理掃描的原理o TCP SYN掃描的過程掃描的過程o TCP SYN掃描的特點(diǎn)掃描的特點(diǎn)2021-12-29網(wǎng)絡(luò)入侵與防范講義68TCP SYN掃描原理掃描原理o 在這種技術(shù)中，掃描主機(jī)向目標(biāo)主機(jī)的選擇在這種技術(shù)中，掃描主機(jī)向目標(biāo)主機(jī)的選擇端口發(fā)送端口發(fā)送SYN數(shù)據(jù)段。數(shù)據(jù)段。n 如

44、果應(yīng)答是RST，那么，說明端口是關(guān)閉的，按照設(shè)定繼續(xù)探聽其他端口；n 如果應(yīng)答中包含SYN和ACK，說明目標(biāo)端口處于監(jiān)聽狀態(tài)。o 由于由于SYN掃描時(shí)，全連接尚未建立，所以，掃描時(shí)，全連接尚未建立，所以，這種技術(shù)通常被稱為這種技術(shù)通常被稱為“半連接半連接”掃描。掃描。2021-12-29網(wǎng)絡(luò)入侵與防范講義69TCP SYN掃描過程（成功）掃描過程（成功）RSTSYN/ACKSYNClient端Server端2021-12-29網(wǎng)絡(luò)入侵與防范講義70TCP SYN掃描過程（未成功）掃描過程（未成功）RST/ACKClient端Server端SYN2021-12-29網(wǎng)絡(luò)入侵與防范講義71TCP

45、SYN掃描特點(diǎn)掃描特點(diǎn)o SYN掃描的優(yōu)點(diǎn)掃描的優(yōu)點(diǎn)在于即使日志中對(duì)于掃描在于即使日志中對(duì)于掃描有所記錄，但是嘗試進(jìn)行連接的記錄也要比有所記錄，但是嘗試進(jìn)行連接的記錄也要比全掃描的記錄少的多。全掃描的記錄少的多。o SYN掃描缺點(diǎn)掃描缺點(diǎn)是在大部分操作系統(tǒng)中，發(fā)是在大部分操作系統(tǒng)中，發(fā)送主機(jī)需要構(gòu)造適用于這種掃描的送主機(jī)需要構(gòu)造適用于這種掃描的IP包，包，通常情況下，構(gòu)造通常情況下，構(gòu)造SYN數(shù)據(jù)包需要超級(jí)用數(shù)據(jù)包需要超級(jí)用戶或者得到授權(quán)的用戶，才能訪問專門的系戶或者得到授權(quán)的用戶，才能訪問專門的系統(tǒng)調(diào)用。統(tǒng)調(diào)用。2021-12-29網(wǎng)絡(luò)入侵與防范講義72秘密掃描秘密掃描o TCP FIN掃描

46、的原理掃描的原理o TCP FIN掃描的過程掃描的過程o TCP FIN掃描的特點(diǎn)掃描的特點(diǎn)o 兩個(gè)變種兩個(gè)變種n Null掃描n Xmas掃描 2021-12-29網(wǎng)絡(luò)入侵與防范講義73TCP FIN掃描原理掃描原理o TCP FIN掃描技術(shù)使用掃描技術(shù)使用FIN數(shù)據(jù)包探測(cè)端口：數(shù)據(jù)包探測(cè)端口：n 當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口，數(shù)據(jù)包會(huì)被丟掉，且返回一個(gè)RST數(shù)據(jù)包。n 當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)打開的端口，數(shù)據(jù)包只是簡(jiǎn)單丟掉（不返回RST數(shù)據(jù)包）。o 由于這種技術(shù)不包含標(biāo)準(zhǔn)的由于這種技術(shù)不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的三次握手協(xié)議的任何部分，所以無法被記錄下來，從而比任何部分，所以

47、無法被記錄下來，從而比SYN掃掃描隱蔽的多。描隱蔽的多。o FIN數(shù)據(jù)包能通過監(jiān)測(cè)數(shù)據(jù)包能通過監(jiān)測(cè)SYN包的包過濾器包的包過濾器TCP FIN掃描又稱作掃描又稱作秘密掃描秘密掃描。2021-12-29網(wǎng)絡(luò)入侵與防范講義74TCP FIN掃描過程（成功）掃描過程（成功）o 掃描主機(jī)向目標(biāo)主機(jī)發(fā)送掃描主機(jī)向目標(biāo)主機(jī)發(fā)送FIN數(shù)據(jù)包來探數(shù)據(jù)包來探聽端口，若聽端口，若FIN數(shù)據(jù)包到達(dá)的是一個(gè)打開數(shù)據(jù)包到達(dá)的是一個(gè)打開的端口，數(shù)據(jù)包則被簡(jiǎn)單的丟掉，并不返的端口，數(shù)據(jù)包則被簡(jiǎn)單的丟掉，并不返回任何信息，如圖所示：回任何信息，如圖所示：Client端Server端FIN2021-12-29網(wǎng)絡(luò)入侵與防范講義

48、75TCP FIN掃描過程（未成功）掃描過程（未成功）o 當(dāng)當(dāng)FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口，數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口，TCP會(huì)把它判斷成是錯(cuò)誤，數(shù)據(jù)包會(huì)被丟掉，會(huì)把它判斷成是錯(cuò)誤，數(shù)據(jù)包會(huì)被丟掉，并且回返回一個(gè)并且回返回一個(gè)RST數(shù)據(jù)包，如圖所示：數(shù)據(jù)包，如圖所示：RSTClient端Server端FIN2021-12-29網(wǎng)絡(luò)入侵與防范講義76TCP FIN掃描特點(diǎn)掃描特點(diǎn)p 秘密掃描能躲避秘密掃描能躲避IDS、防火墻、包過、防火墻、包過濾器和日志審計(jì)，從而獲取目標(biāo)端口濾器和日志審計(jì)，從而獲取目標(biāo)端口的開放或關(guān)閉的信息。的開放或關(guān)閉的信息。 p 和和SYN掃描類似，秘密掃描也需要構(gòu)掃描類似

49、，秘密掃描也需要構(gòu)造自己的造自己的IP包。包。2021-12-29網(wǎng)絡(luò)入侵與防范講義77TCP FIN掃描特點(diǎn)（掃描特點(diǎn)（2）o TCP FIN掃描通常適用于掃描通常適用于UNIX目標(biāo)主目標(biāo)主機(jī)。機(jī)。o 在在Windows NT環(huán)境下，該方法無效，環(huán)境下，該方法無效，因?yàn)椴徽撃繕?biāo)端口是否打開，操作系統(tǒng)因?yàn)椴徽撃繕?biāo)端口是否打開，操作系統(tǒng)都發(fā)送都發(fā)送RST。這在區(qū)分。這在區(qū)分UNIX和和NT時(shí)，時(shí)，是十分有用的。是十分有用的。2021-12-29網(wǎng)絡(luò)入侵與防范講義78TCP FIN掃描的兩個(gè)變種掃描的兩個(gè)變種o Xmas和和Null掃描是秘密掃描的兩個(gè)變種掃描是秘密掃描的兩個(gè)變種n Xmas掃描打

50、開FIN、URG和PSH標(biāo)記n 而Null掃描關(guān)閉所有標(biāo)記o 使用這些組合的目的是為了通過所謂的使用這些組合的目的是為了通過所謂的FIN標(biāo)記監(jiān)測(cè)器的過濾。標(biāo)記監(jiān)測(cè)器的過濾。2021-12-29網(wǎng)絡(luò)入侵與防范講義79TCP FIN掃描的變種掃描的變種Null掃描掃描o 掃描主機(jī)將掃描主機(jī)將TCP數(shù)據(jù)包中的數(shù)據(jù)包中的ACK（確認(rèn)）、（確認(rèn)）、FIN（結(jié)束連接）、（結(jié)束連接）、RST（重新設(shè)定連（重新設(shè)定連接）、接）、SYN（連接同步化要求）、（連接同步化要求）、URG（緊急）、（緊急）、PSH(接收端將數(shù)據(jù)轉(zhuǎn)由應(yīng)用處接收端將數(shù)據(jù)轉(zhuǎn)由應(yīng)用處理理)標(biāo)志位置空后發(fā)送給目標(biāo)主機(jī)。標(biāo)志位置空后發(fā)送給目標(biāo)主機(jī)

51、。 2021-12-29網(wǎng)絡(luò)入侵與防范講義80TCP FIN掃描的變種掃描的變種Null掃描掃描o 若目標(biāo)端口開放，若目標(biāo)端口開放，目標(biāo)主機(jī)將不返目標(biāo)主機(jī)將不返回任何信息，如回任何信息，如圖所示：圖所示：o 若目標(biāo)主機(jī)返回若目標(biāo)主機(jī)返回RST信息，則信息，則表示端口關(guān)閉，表示端口關(guān)閉，如圖所示：如圖所示：Client端Server端NULL(no flags)RSTClient端Server端NULL(no flags)2021-12-29網(wǎng)絡(luò)入侵與防范講義81TCP FIN掃描的變種掃描的變種XMAS掃描掃描o XMAS掃描原理和掃描原理和NULL掃描的類似，將掃描的類似，將TCP數(shù)據(jù)包中的

52、數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH標(biāo)志位置標(biāo)志位置1后發(fā)送給目標(biāo)主機(jī)。后發(fā)送給目標(biāo)主機(jī)。 2021-12-29網(wǎng)絡(luò)入侵與防范講義82TCP FIN掃描的變種掃描的變種XMAS掃描掃描o 若目標(biāo)端口開放，若目標(biāo)端口開放，目標(biāo)主機(jī)將不返目標(biāo)主機(jī)將不返回任何信息，如回任何信息，如圖所示：圖所示： o 若目標(biāo)主機(jī)返回若目標(biāo)主機(jī)返回RST信息，則表信息，則表示端口關(guān)閉，如示端口關(guān)閉，如圖所示：圖所示：Client端Server端XMAS(all flags)RSTClient端Server端XMAS(all flags)2021-12-29網(wǎng)絡(luò)入侵與防范講義83認(rèn)證認(rèn)證(ident

53、)掃描掃描o 認(rèn)證（認(rèn)證（ident）協(xié)議一般用于網(wǎng)絡(luò)連接過程中服）協(xié)議一般用于網(wǎng)絡(luò)連接過程中服務(wù)器驗(yàn)證客戶端身份，因而監(jiān)聽務(wù)器驗(yàn)證客戶端身份，因而監(jiān)聽TCP 113端口端口的的ident服務(wù)應(yīng)該是安裝在客戶端的，并由該服務(wù)應(yīng)該是安裝在客戶端的，并由該TCP連接的服務(wù)端向客戶端的連接的服務(wù)端向客戶端的113號(hào)端口發(fā)起號(hào)端口發(fā)起認(rèn)證連接。認(rèn)證連接。o 連接過程：當(dāng)客戶端向服務(wù)器發(fā)送某個(gè)連接請(qǐng)求連接過程：當(dāng)客戶端向服務(wù)器發(fā)送某個(gè)連接請(qǐng)求后，服務(wù)器便先向客戶端的后，服務(wù)器便先向客戶端的TCP 113端口發(fā)起端口發(fā)起連接，詢問客戶端該進(jìn)程的擁有者名稱，也就是連接，詢問客戶端該進(jìn)程的擁有者名稱，也就是問

54、問問問“現(xiàn)在要連上我的這個(gè)家伙，在你那兒是什現(xiàn)在要連上我的這個(gè)家伙，在你那兒是什么身份么身份”。服務(wù)器獲取這一信息并認(rèn)證成功后，。服務(wù)器獲取這一信息并認(rèn)證成功后，記錄下記錄下“某年某月某日誰(shuí)連到我的機(jī)器上某年某月某日誰(shuí)連到我的機(jī)器上”，再，再建立服務(wù)連接進(jìn)行通信。建立服務(wù)連接進(jìn)行通信。認(rèn)證認(rèn)證(ident)掃描掃描o 在端口掃描中，利用這一協(xié)議，掃描程序先主動(dòng)嘗試在端口掃描中，利用這一協(xié)議，掃描程序先主動(dòng)嘗試與目標(biāo)主機(jī)建立起一個(gè)與目標(biāo)主機(jī)建立起一個(gè)TCP連接（如連接（如Http連接等），連接等），連接成功之后，它向目標(biāo)主機(jī)的連接成功之后，它向目標(biāo)主機(jī)的TCP 113端口建立另端口建立另一連接，

55、并通過該連接向目標(biāo)主機(jī)的一連接，并通過該連接向目標(biāo)主機(jī)的ident服務(wù)發(fā)送第服務(wù)發(fā)送第一個(gè)一個(gè)TCP連接所對(duì)應(yīng)的兩個(gè)端口號(hào)。如果目標(biāo)主機(jī)安連接所對(duì)應(yīng)的兩個(gè)端口號(hào)。如果目標(biāo)主機(jī)安裝并運(yùn)行了裝并運(yùn)行了ident服務(wù)，那么該服務(wù)將向掃描程序返回服務(wù)，那么該服務(wù)將向掃描程序返回相關(guān)聯(lián)的進(jìn)程的用戶屬性等信息。相關(guān)聯(lián)的進(jìn)程的用戶屬性等信息。o 由于在此過程中，掃描程序先以客戶方身份與目標(biāo)主由于在此過程中，掃描程序先以客戶方身份與目標(biāo)主機(jī)建立連接，后又以服務(wù)方身份對(duì)目標(biāo)主機(jī)進(jìn)行認(rèn)證機(jī)建立連接，后又以服務(wù)方身份對(duì)目標(biāo)主機(jī)進(jìn)行認(rèn)證，因此這種掃描方式也被稱為反向認(rèn)證掃描。不過，因此這種掃描方式也被稱為反向認(rèn)證掃描

56、。不過，這種方法只能在和目標(biāo)端口建立了一個(gè)完整的這種方法只能在和目標(biāo)端口建立了一個(gè)完整的TCP連連接后才能發(fā)揮作用。接后才能發(fā)揮作用。FTP代理掃描代理掃描o 文件傳輸協(xié)議（文件傳輸協(xié)議（FTP）允許數(shù)據(jù)連接與控制連接位）允許數(shù)據(jù)連接與控制連接位于不同的機(jī)器上，并支持代理于不同的機(jī)器上，并支持代理FTP連接。連接。FTP代理代理掃描正是利用了這個(gè)缺陷，使用支持代理的掃描正是利用了這個(gè)缺陷，使用支持代理的FTP服服務(wù)器來掃描務(wù)器來掃描TCP端口。這種掃描方式又被稱為端口。這種掃描方式又被稱為FTP反彈掃描（反彈掃描（FTP Bounce Attack）。）。o 掃描程序先在本地與一個(gè)支持代理的掃

57、描程序先在本地與一個(gè)支持代理的FTP服務(wù)器建服務(wù)器建立控制連接，然后使用立控制連接，然后使用PORT命令向命令向FTP服務(wù)器聲服務(wù)器聲明欲掃描的目標(biāo)機(jī)器的明欲掃描的目標(biāo)機(jī)器的IP地址和端口號(hào)，其中地址和端口號(hào)，其中IP地址為代理傳輸?shù)哪康牡刂?，而端口?hào)則為傳輸時(shí)地址為代理傳輸?shù)哪康牡刂罚丝谔?hào)則為傳輸時(shí)所需的被動(dòng)端口，并發(fā)送所需的被動(dòng)端口，并發(fā)送LIST命令。這時(shí)，命令。這時(shí)，F(xiàn)TP服務(wù)器會(huì)嘗試向目標(biāo)主機(jī)指定端口發(fā)起數(shù)據(jù)連接請(qǐng)服務(wù)器會(huì)嘗試向目標(biāo)主機(jī)指定端口發(fā)起數(shù)據(jù)連接請(qǐng)求。求。FTP代理掃描代理掃描o 如果目標(biāo)主機(jī)對(duì)應(yīng)端口確實(shí)處于監(jiān)聽狀態(tài)，如果目標(biāo)主機(jī)對(duì)應(yīng)端口確實(shí)處于監(jiān)聽狀態(tài)，F(xiàn)TP服服務(wù)器

58、就會(huì)向掃描程序返回成功信息，返回碼為務(wù)器就會(huì)向掃描程序返回成功信息，返回碼為150和和226。否則返回類似這樣的錯(cuò)誤信息：。否則返回類似這樣的錯(cuò)誤信息：“425 Cant build data connection: Connection refused”。o 掃描程序持續(xù)使用掃描程序持續(xù)使用PORT和和LIST命令，直到目標(biāo)命令，直到目標(biāo)機(jī)器上所有的選擇端口掃描完畢。機(jī)器上所有的選擇端口掃描完畢。o 這種方式隱藏性很好，難以跟蹤，能輕而易舉的繞這種方式隱藏性很好，難以跟蹤，能輕而易舉的繞過防火墻。不過對(duì)所有需掃描的端口都要逐一進(jìn)行過防火墻。不過對(duì)所有需掃描的端口都要逐一進(jìn)行上述步驟，速度比較

59、慢。而且，現(xiàn)在許多上述步驟，速度比較慢。而且，現(xiàn)在許多FTP服務(wù)服務(wù)器都禁止了代理這一特性器都禁止了代理這一特性。 2021-12-29網(wǎng)絡(luò)入侵與防范講義87遠(yuǎn)程主機(jī)遠(yuǎn)程主機(jī)OS指紋識(shí)別指紋識(shí)別o 基本原理基本原理o 主動(dòng)協(xié)議棧指紋識(shí)別主動(dòng)協(xié)議棧指紋識(shí)別o 被動(dòng)協(xié)議棧指紋識(shí)別被動(dòng)協(xié)議棧指紋識(shí)別2021-12-29網(wǎng)絡(luò)入侵與防范講義88遠(yuǎn)程主機(jī)遠(yuǎn)程主機(jī)OS指紋識(shí)別的基本原理指紋識(shí)別的基本原理o 操作系統(tǒng)（操作系統(tǒng)（Operating System，簡(jiǎn)稱，簡(jiǎn)稱OS）識(shí)）識(shí)別是入侵或安全檢測(cè)需要收集的重要信息，是分別是入侵或安全檢測(cè)需要收集的重要信息，是分析漏洞和各種安全隱患的基礎(chǔ)。析漏洞和各種安全

60、隱患的基礎(chǔ)。o 只有確定了遠(yuǎn)程主機(jī)的操作系統(tǒng)類型、版本，才只有確定了遠(yuǎn)程主機(jī)的操作系統(tǒng)類型、版本，才能對(duì)其安全狀況作進(jìn)一步的評(píng)估。能對(duì)其安全狀況作進(jìn)一步的評(píng)估。o 利用利用TCP/IP堆棧作為特殊的堆棧作為特殊的“指紋指紋”，以確定，以確定系統(tǒng)的技術(shù)系統(tǒng)的技術(shù)遠(yuǎn)程主機(jī)遠(yuǎn)程主機(jī)OS指紋識(shí)別。指紋識(shí)別。n 主動(dòng)協(xié)議棧指紋識(shí)別主動(dòng)協(xié)議棧指紋識(shí)別 n 被動(dòng)協(xié)議棧指紋識(shí)別被動(dòng)協(xié)議棧指紋識(shí)別2021-12-29網(wǎng)絡(luò)入侵與防范講義89主動(dòng)協(xié)議棧指紋識(shí)別主動(dòng)協(xié)議棧指紋識(shí)別 o 由于由于TCP/IP協(xié)議棧技術(shù)只是在協(xié)議棧技術(shù)只是在RFC文檔文檔中描述，各個(gè)公司在編寫應(yīng)用于自己的中描述，各個(gè)公司在編寫應(yīng)用于自己的