信息安全,原理,陳天洲第二十一章網(wǎng)絡(luò)信息獲取課件

第二十一章網(wǎng)絡(luò)信息獲取網(wǎng)絡(luò)信息獲取掃描器掃描器基本概念掃描原理監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的概念和工作原理網(wǎng)絡(luò)監(jiān)聽在Windows2000下的基本實(shí)現(xiàn)方法NETVIEW監(jiān)聽器示例Linux下的BBS監(jiān)聽程序例子偵聽檢測(cè)掃描器基本概念掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序，通過使用掃描器你可一不留痕跡的發(fā)現(xiàn)遠(yuǎn)程服務(wù)器的各種TCP端口的分配及提供的服務(wù)和它們的軟件版本。掃描器通過選用遠(yuǎn)程TCP/IP不同的端口的服務(wù)，并記錄目標(biāo)給予的回答，通過這種方法，可以搜集到很多關(guān)于目標(biāo)主機(jī)的各種有用的信息掃描器并不是一個(gè)直接的攻擊網(wǎng)絡(luò)漏洞的程序，它僅僅能幫助我們發(fā)現(xiàn)目標(biāo)機(jī)的某些內(nèi)在的弱點(diǎn)掃描器應(yīng)該有三項(xiàng)功能：發(fā)現(xiàn)一個(gè)主機(jī)或網(wǎng)絡(luò)的能力；一旦發(fā)現(xiàn)一臺(tái)主機(jī)，有發(fā)現(xiàn)什么服務(wù)正運(yùn)行在這臺(tái)主機(jī)上的能力；通過測(cè)試這些服務(wù)，發(fā)現(xiàn)漏洞的能力。掃描原理TCPconnect()掃描基本原理TCPconnect是最基本的TCP掃描。操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用，用來與每一個(gè)感興趣的目標(biāo)計(jì)算機(jī)的端口進(jìn)行連接。如果端口處于偵聽狀態(tài)，那么connect()就能成功。否則，這個(gè)端口是不能用的，即沒有提供服務(wù)。

TCPSYN掃描掃描程序發(fā)送的是一個(gè)SYN數(shù)據(jù)包，好象準(zhǔn)備打開一個(gè)實(shí)際的連接并等待反應(yīng)一樣（參考TCP的三次握手建立一個(gè)TCP連接的過程）。一個(gè)SYN|ACK的返回信息表示端口處于偵聽狀態(tài)。一個(gè)RST返回，表示端口沒有處于偵聽?wèi)B(tài)。如果收到一個(gè)SYN|ACK，則掃描程序必須再發(fā)送一個(gè)RST信號(hào)，來關(guān)閉這個(gè)連接過程。

TCPFIN掃描TCPFIN掃描方法的思想是關(guān)閉的端口會(huì)用適當(dāng)?shù)腞ST來回復(fù)FIN數(shù)據(jù)包。另一方面，打開的端口會(huì)忽略對(duì)FIN數(shù)據(jù)包的回復(fù)。IP段掃描IP段掃描不能算是新方法，只是其它技術(shù)的變化。它并不是直接發(fā)送TCP探測(cè)數(shù)據(jù)包，是將數(shù)據(jù)包分成兩個(gè)較小的IP段。這樣就將一個(gè)TCP頭分成好幾個(gè)數(shù)據(jù)包，從而過濾器就很難探測(cè)到。

UDPICMP端口不能到達(dá)掃描這種方法與上面幾種方法的不同之處在于使用的是UDP協(xié)議。許多主機(jī)在你向一個(gè)未打開的UDP端口發(fā)送一個(gè)數(shù)據(jù)包時(shí)，會(huì)返回一個(gè)ICMP_PORT_UNREACH錯(cuò)誤。這樣你就能發(fā)現(xiàn)哪個(gè)端口是關(guān)閉的。UDP和ICMP錯(cuò)誤都不保證能到達(dá)，因此這種掃描器必須還實(shí)現(xiàn)在一個(gè)包看上去是丟失的時(shí)候能重新傳輸。UDPrecvfrom()和write()掃描當(dāng)非root用戶不能直接讀到端口不能到達(dá)錯(cuò)誤時(shí)，Linux能間接地在它們到達(dá)時(shí)通知用戶。比如，對(duì)一個(gè)關(guān)閉的端口的第二個(gè)write()調(diào)用將失敗。在非阻塞的UDP套接字上調(diào)用recvfrom()時(shí)，如果ICMP出錯(cuò)還沒有到達(dá)時(shí)回返回EAGAIN-重試。如果ICMP到達(dá)時(shí)，返回ECONNREFUSED-連接被拒絕。這就是用來查看端口是否打開的技術(shù)。ICMPecho掃描這并不是真正意義上的掃描。但有時(shí)通過ping，在判斷在一個(gè)網(wǎng)絡(luò)上主機(jī)是否開機(jī)時(shí)非常有用。網(wǎng)絡(luò)監(jiān)聽的概念和工作原理監(jiān)聽器（Sniffer）本是提供給網(wǎng)絡(luò)管理員的一類工具，利用這類工具，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)，數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒁员阏页鼍W(wǎng)絡(luò)中潛在的問題。包監(jiān)聽和網(wǎng)絡(luò)監(jiān)測(cè)最初是為了監(jiān)測(cè)以太網(wǎng)的流量而設(shè)計(jì)的，最初的代表性產(chǎn)品就是NOVEL的LANALYSER和MS的NETWORKMONITOR。網(wǎng)絡(luò)監(jiān)聽的概念和工作原理在正常情況下，一個(gè)合法的網(wǎng)絡(luò)接口應(yīng)只響應(yīng)下面兩種數(shù)據(jù)報(bào)：報(bào)文的目的地址與本地網(wǎng)絡(luò)接口地硬件地址相匹配，報(bào)文的目的地址是廣播地址。所有包監(jiān)聽都需要網(wǎng)卡被設(shè)置為雜亂模式，因?yàn)閮H在此模式下，所有通過網(wǎng)卡的數(shù)據(jù)可以被傳送到監(jiān)聽器，包監(jiān)聽的使用前提是安裝他的機(jī)器上使用者具有管理員權(quán)限。網(wǎng)絡(luò)監(jiān)聽在Windows2000下的基本實(shí)現(xiàn)方法為了實(shí)現(xiàn)Sniffer，需要將NIC設(shè)置為promicuous模式。為了提高編寫網(wǎng)絡(luò)驅(qū)動(dòng)程序的效率，也為了使各種協(xié)議驅(qū)動(dòng)程序在各種網(wǎng)卡之間獨(dú)立，Microsoft創(chuàng)建了一個(gè)網(wǎng)絡(luò)驅(qū)動(dòng)程序界面規(guī)范，即NetworkDeviceInterfaceSpecification（NDIS），這個(gè)規(guī)范是為原本復(fù)雜的網(wǎng)絡(luò)驅(qū)動(dòng)程序編寫框架提供一個(gè)并不嚴(yán)格的封裝。在Windows2000下，集成了新版本的Winsock，即Winsock2.2。在Winsock2.2中，Microsoft增加了三個(gè)socker選項(xiàng)，使得一個(gè)socket可以接收到更多本來接收不到的IP數(shù)據(jù)包，使得實(shí)現(xiàn)一個(gè)Sniffer簡(jiǎn)單了許多。Linux下的BBS監(jiān)聽程序例子BBS是較為常見的網(wǎng)絡(luò)交流手段。但是在bbs的客戶端與服務(wù)端都沒有安全機(jī)制來保護(hù)，可以通過監(jiān)聽程序截獲明文數(shù)據(jù)。網(wǎng)絡(luò)信息獲取掃描器掃描器基本概念掃描原理監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的概念和工作原理網(wǎng)絡(luò)監(jiān)聽在Windows2000下的基本實(shí)現(xiàn)方法NETVIEW監(jiān)聽器示例Linux下的BBS監(jiān)聽程序例子偵聽檢測(cè)偵聽檢測(cè)偵聽檢測(cè)系統(tǒng)能夠主動(dòng)地檢測(cè)到不同系統(tǒng)下可能存在的監(jiān)聽可以確定可疑機(jī)器的IP地址，記錄下來并加以防范。同時(shí)可以完成數(shù)據(jù)包檢測(cè)的功能，也就