網絡掃描器的原理與分析

網絡掃描器的原理與分析第一頁，共五十九頁，編輯于2023年，星期三主要內容掃描器的基本概念掃描器的工作原理網絡掃描的主要技術現有掃描器介紹及選擇掃描器的實例分析第二頁，共五十九頁，編輯于2023年，星期三一、掃描器的基本概念什么是網絡掃描器為什么需要網絡掃描器網絡掃描器的主要功能第三頁，共五十九頁，編輯于2023年，星期三什么是網絡掃描器安全評估工具 系統(tǒng)管理員保障系統(tǒng)安全的有效工具網絡漏洞掃描器網絡入侵者收集信息的重要手段第四頁，共五十九頁，編輯于2023年，星期三為什么需要網絡掃描器由于網絡技術的飛速發(fā)展，網絡規(guī)模迅猛增長和計算機系統(tǒng)日益復雜，導致新的系統(tǒng)漏洞層出不窮由于系統(tǒng)管理員的疏忽或缺乏經驗，導致舊有的漏洞依然存在許多人出于好奇或別有用心，不停的窺視網上資源第五頁，共五十九頁，編輯于2023年，星期三網絡掃描器的主要功能掃描目標主機識別其工作狀態(tài)（開/關機）識別目標主機端口的狀態(tài)（監(jiān)聽/關閉）識別目標主機系統(tǒng)及服務程序的類型和版本根據已知漏洞信息，分析系統(tǒng)脆弱點生成掃描結果報告第六頁，共五十九頁，編輯于2023年，星期三二、掃描器的工作原理TCP協(xié)議ICMP協(xié)議掃描器的基本工作原理第七頁，共五十九頁，編輯于2023年，星期三TCP協(xié)議（一）TCP是一種面向連接的，可靠的傳輸層協(xié)議。一次正常的TCP傳輸需要通過在客戶端和服務器之間建立特定的虛電路連接來完成，該過程通常被稱為“三次握手”。TCP通過數據分段中的序列號保證所有傳輸的數據可以在遠端按照正常的次序進行重組，而且通過確認保證數據傳輸的完整性。第八頁，共五十九頁，編輯于2023年，星期三TCP協(xié)議（二）TCP數據包格式第九頁，共五十九頁，編輯于2023年，星期三TCP協(xié)議（三）TCP標志位ACK： 確認標志RST： 復位標志URG：緊急標志SYN： 建立連接標志PSH： 推標志FIN： 結束標志第十頁，共五十九頁，編輯于2023年，星期三TCP協(xié)議（四）TCP連接建立示意圖第十一頁，共五十九頁，編輯于2023年，星期三ICMP協(xié)議（一）InternetControlMessageProtocol，是IP的一部分，在IP協(xié)議棧中必須實現。用途：網關或者目標機器利用ICMP與源通訊當出現問題時，提供反饋信息用于報告錯誤特點：其控制能力并不用于保證傳輸的可靠性它本身也不是可靠傳輸的并不用來反映ICMP報文的傳輸情況第十二頁，共五十九頁，編輯于2023年，星期三ICMP協(xié)議（二）ICMP報文類型0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply17AddressMaskRequest18AddressMaskReply第十三頁，共五十九頁，編輯于2023年，星期三掃描器的基本工作原理第十四頁，共五十九頁，編輯于2023年，星期三三、網絡掃描的主要技術主機掃描技術端口掃描技術棧指紋OS識別技術第十五頁，共五十九頁，編輯于2023年，星期三主機掃描技術－傳統(tǒng)技術主機掃描的目的是確定在目標網絡上的主機是否可達。這是信息收集的初級階段，其效果直接影響到后續(xù)的掃描。常用的傳統(tǒng)掃描手段有：ICMPEcho掃描ICMPSweep掃描BroadcastICMP掃描Non-EchoICMP掃描第十六頁，共五十九頁，編輯于2023年，星期三ICMPecho掃描實現原理：Ping的實現機制，在判斷在一個網絡上主機是否開機時非常有用。向目標主機發(fā)送ICMPEchoRequest(type8)數據包，等待回復的ICMPEchoReply包(type0)。如果能收到，則表明目標系統(tǒng)可達，否則表明目標系統(tǒng)已經不可達或發(fā)送的包被對方的設備過濾掉。優(yōu)點：簡單，系統(tǒng)支持缺點：很容易被防火墻限制可以通過并行發(fā)送，同時探測多個目標主機，以提高探測效率（ICMPSweep掃描）。第十七頁，共五十九頁，編輯于2023年，星期三BroadcastICMP掃描實現原理：將ICMP請求包的目標地址設為廣播地址或網絡地址，則可以探測廣播域或整個網絡范圍內的主機。缺點：只適合于UNIX/Linux系統(tǒng)，Windows會忽略這種請求包；這種掃描方式容易引起廣播風暴第十八頁，共五十九頁，編輯于2023年，星期三Non-EchoICMP掃描一些其它ICMP類型包也可以用于對主機或網絡設備的探測，如：StampRequest(Type13)Reply(Type14)InformationRequest(Type15)Reply(Type16)AddressMaskRequest(Type17)Reply(Type18)第十九頁，共五十九頁，編輯于2023年，星期三主機掃描技術－高級技術防火墻和網絡過濾設備常常導致傳統(tǒng)的探測手段變得無效。為了突破這種限制，必須采用一些非常規(guī)的手段，利用ICMP協(xié)議提供網絡間傳送錯誤信息的手段，往往可以更有效的達到目的：異常的IP包頭在IP頭中設置無效的字段值錯誤的數據分片通過超長包探測內部路由器反向映射探測第二十頁，共五十九頁，編輯于2023年，星期三異常的IP包頭向目標主機發(fā)送包頭錯誤的IP包，目標主機或過濾設備會反饋ICMPParameterProblemError信息。常見的偽造錯誤字段為HeaderLengthField和IPOptionsField。根據RFC1122的規(guī)定，主機應該檢測IP包的VersionNumber、Checksum字段,路由器應該檢測IP包的Checksum字段。不同廠家的路由器和操作系統(tǒng)對這些錯誤的處理方式不同，返回的結果也各異。如果結合其它手段，可以初步判斷目標系統(tǒng)所在網絡過濾設備的ACL。第二十一頁，共五十九頁，編輯于2023年，星期三在IP頭中設置無效的字段值向目標主機發(fā)送的IP包中填充錯誤的字段值，目標主機或過濾設備會反饋ICMPDestinationUnreachable信息。這種方法同樣可以探測目標主機和網絡設備以及其ACL。第二十二頁，共五十九頁，編輯于2023年，星期三錯誤的數據分片當目標主機接收到錯誤的數據分片（如某些分片丟失），并且在規(guī)定的時間間隔內得不到更正時，將丟棄這些錯誤數據包，并向發(fā)送主機反饋ICMPFragmentReassemblyTimeExceeded錯誤報文。利用這種方法同樣可以檢測到目標主機和網絡過濾設備及其ACL。第二十三頁，共五十九頁，編輯于2023年，星期三通過超長包探測內部路由器若構造的數據包長度超過目標系統(tǒng)所在路由器的PMTU且設置禁止分片標志,該路由器會反饋FragmentationNeededandDon’tFragmentBitwasSet差錯報文，從而獲取目標系統(tǒng)的網絡拓撲結構。第二十四頁，共五十九頁，編輯于2023年，星期三反向映射探測該技術用于探測被過濾設備或防火墻保護的網絡和主機。通常這些系統(tǒng)無法從外部直接到達，但是我們可以采用反向映射技術，通過目標系統(tǒng)的路由設備進行有效的探測。當我們想探測某個未知網絡內部的結構時，可以構造可能的內部IP地址列表，并向這些地址發(fā)送數據包。當對方路由器接收到這些數據包時，會進行IP識別并路由，對不在其服務的范圍的IP包發(fā)送ICMPHostUnreachable或ICMPTimeExceeded錯誤報文，沒有接收到相應錯誤報文的IP地址會可被認為在該網絡中。當然，這種方法也會受到過濾設備的影響。第二十五頁，共五十九頁，編輯于2023年，星期三端口掃描技術當確定了目標主機可達后，就可以使用端口掃描技術，發(fā)現目標主機的開放端口，包括網絡協(xié)議和各種應用監(jiān)聽的端口。端口掃描技術主要包括以下三類：開放掃描會產生大量的審計數據，容易被對方發(fā)現，但其可靠性高；隱蔽掃描能有效的避免對方入侵檢測系統(tǒng)和防火墻的檢測，但這種掃描使用的數據包在通過網絡時容易被丟棄從而產生錯誤的探測信息；半開放掃描隱蔽性和可靠性介于前兩者之間。第二十六頁，共五十九頁，編輯于2023年，星期三開放掃描技術TCPConnect掃描TCP反向ident掃描第二十七頁，共五十九頁，編輯于2023年，星期三TCPConnect掃描實現原理：通過調用socket函數connect()連接到目標計算機上，完成一次完整的三次握手過程。如果端口處于偵聽狀態(tài)，那么connect()就能成功返回。否則，這個端口不可用，即沒有提供服務。優(yōu)點：穩(wěn)定可靠，不需要特殊的權限缺點：掃描方式不隱蔽，服務器日志會記錄下大量密集的連接和錯誤記錄，并容易被防火墻發(fā)現和屏蔽第二十八頁，共五十九頁，編輯于2023年，星期三TCP反向ident掃描實現原理：ident協(xié)議允許看到通過TCP連接的任何進程的擁有者的用戶名，即使這個連接不是由這個進程開始的。比如，連接到http端口，然后用identd來發(fā)現服務器是否正在以root權限運行。缺點：這種方法只能在和目標端口建立了一個完整的TCP連接后才能看到。第二十九頁，共五十九頁，編輯于2023年，星期三半開放掃描技術TCPSYN掃描TCP間接掃描第三十頁，共五十九頁，編輯于2023年，星期三TCPSYN掃描實現原理：掃描器向目標主機端口發(fā)送SYN包。如果應答是RST包，那么說明端口是關閉的；如果應答中包含SYN和ACK包，說明目標端口處于監(jiān)聽狀態(tài)，再傳送一個RST包給目標機從而停止建立連接。由于在SYN掃描時，全連接尚未建立，所以這種技術通常被稱為半連接掃描優(yōu)點：隱蔽性較全連接掃描好，一般系統(tǒng)對這種半掃描很少記錄缺點：通常構造SYN數據包需要超級用戶或者授權用戶訪問專門的系統(tǒng)調用第三十一頁，共五十九頁，編輯于2023年，星期三TCP間接掃描實現原理：利用第三方的IP（欺騙主機）來隱藏真正掃描者的IP。由于掃描主機會對欺騙主機發(fā)送回應信息，所以必須監(jiān)控欺騙主機的IP行為，從而獲得原始掃描的結果。掃描主機通過偽造第三方主機IP地址向目標主機發(fā)起SYN掃描，并通過觀察其IP序列號的增長規(guī)律獲取端口的狀態(tài)優(yōu)點：隱蔽性好缺點：對第三方主機的要求較高第三十二頁，共五十九頁，編輯于2023年，星期三隱蔽掃描技術TCPFIN掃描TCPXmas掃描TCPNull掃描TCPftpproxy掃描分段掃描第三十三頁，共五十九頁，編輯于2023年，星期三TCPFIN掃描實現原理：掃描器向目標主機端口發(fā)送FIN包。當一個FIN數據包到達一個關閉的端口，數據包會被丟掉，并且返回一個RST數據包。否則，若是打開的端口，數據包只是簡單的丟掉（不返回RST）。優(yōu)點：由于這種技術不包含標準的TCP三次握手協(xié)議的任何部分，所以無法被記錄下來，從而必SYN掃描隱蔽得多，FIN數據包能夠通過只監(jiān)測SYN包的包過濾器。缺點：跟SYN掃描類似，需要自己構造數據包，要求由超級用戶或者授權用戶訪問專門的系統(tǒng)調用；通常適用于UNIX目標主機，除過少量的應當丟棄數據包卻發(fā)送RST包的操作系統(tǒng)（包括CISCO，HP/UX，MVS和IRIX）。但在Windows95/NT環(huán)境下，該方法無效，因為不論目標端口是否打開，操作系統(tǒng)都返回RST包。第三十四頁，共五十九頁，編輯于2023年，星期三TCPXmas和TCPNull掃描實現原理：TCPXmas和Null掃描是FIN掃描的兩個變種。Xmas掃描打開FIN，URG和PUSH標記，而Null掃描關閉所有標記。這些組合的目的是為了通過對FIN標記數據包的過濾。當一個這種數據包到達一個關閉的端口，數據包會被丟掉，并且返回一個RST數據包。否則，若是打開的端口，數據包只是簡單的丟掉（不返回RST）。優(yōu)點：隱蔽性好；缺點：需要自己構造數據包，要求由超級用戶或者授權用戶權限；通常適用于UNIX目標主機，而Windows系統(tǒng)不支持。第三十五頁，共五十九頁，編輯于2023年，星期三TCPftpproxy掃描實現原理：FTP代理連接選項，其目的是允許一個客戶端同時跟兩個FTP服務器建立連接，然后在服務器之間直接傳輸數據。然而，在大部分實現中，實際上能夠使得FTP服務器發(fā)送文件到Internet的任何地方。該方法正是利用了這個缺陷，其掃描步驟如下：1：假定S是掃描機，T是掃描目標，F是一個ftp服務器，這個服務器支持代理選項，能夠跟S和T建立連接。2：S與F建立一個ftp會話，使用PORT命令聲明一個選擇的端口（稱之為p－T）作為代理傳輸所需要的被動端口。3：然后S使用一個LIST命令嘗試啟動一個到p－T的數據傳輸。4：如果端口p－T確實在監(jiān)聽，傳輸就會成功（返回碼150和226被發(fā)送回給S），否則S回收到"425無法打開數據連接"的應答。5：S持續(xù)使用PORT和LIST命令，直到T上所有的選擇端口掃描完畢。優(yōu)點：FTP代理掃描不但難以跟蹤，而且可以穿越防火墻缺點：一些ftpserver禁止這種特性第三十六頁，共五十九頁，編輯于2023年，星期三分段掃描實現原理：并不直接發(fā)送TCP探測數據包，是將數據包分成兩個較小的IP段。這樣就將一個TCP頭分成好幾個數據包，從而包過濾器就很難探測到。優(yōu)點：隱蔽性好，可穿越防火墻缺點：可能被丟棄；某些程序在處理這些小數據包時會出現異常。第三十七頁，共五十九頁，編輯于2023年，星期三棧指紋OS識別技術（一）原理：根據各個OS在TCP/IP協(xié)議棧實現上的不同特點，采用黑盒測試方法，通過研究其對各種探測的響應形成識別指紋，進而識別目標主機運行的操作系統(tǒng)。根據采集指紋信息的方式，又可以分為主動掃描和被動掃描兩種方式。第三十八頁，共五十九頁，編輯于2023年，星期三被動掃描通過Sniff收集數據包，再對數據包的不同特征（TCPWindow-size、IPTTL、IPTOS、DF位等參數）進行分析，來識別操作系統(tǒng)。被動掃描基本不具備攻擊特征，具有很好的隱蔽性，但其實現嚴格依賴掃描主機所處的網絡拓撲結構；和主動探測相比較，具有速度慢、可靠性不高等缺點。第三十九頁，共五十九頁，編輯于2023年，星期三主動掃描采用向目標系統(tǒng)發(fā)送構造的特殊包并監(jiān)控其應答的方式來識別操作系統(tǒng)類型。主動掃描具有速度快、可靠性高等優(yōu)點，但同樣嚴重依賴于目標系統(tǒng)網絡拓撲結構和過濾規(guī)則。第四十頁，共五十九頁，編輯于2023年，星期三主動掃描－識別技術（一）FIN探測：發(fā)送一個FIN包給一個打開的端口，一般的行為是不響應，但某些實現例如MSWindows,BSDI,CISCO,HP/UX,MVS,和IRIX發(fā)回一個RESET。BOGUS標記探測：設置一個未定義的TCP"標記"（64或128）在SYN包的TCP頭里。Linux機器到2.0.35之前在回應中保持這個標記。TCPISN取樣：找出當響應一個連接請求時由TCP實現所選擇的初始化序列數式樣。這可分為許多組例如傳統(tǒng)的64K（許多老UNIX機器），隨機增量（新版本的Solaris，IRIX，FreeBSD，DigitalUNIX，Cray，等），真“隨機”（Linux2.0.*，OpenVMS,新的AIX,等），Windows機器（和一些其他的）用一個“時間相關”模型，每過一段時間ISN就被加上一個小的固定數。第四十一頁，共五十九頁，編輯于2023年，星期三主動掃描－識別技術（二）不分段位：許多操作系統(tǒng)開始在送出的一些包中設置IP的"Don'tFragment"位。TCP初始化窗口：檢查返回包的窗口大小。如queso和nmap保持對窗口的精確跟蹤因為它對于特定OS基本是常數。ACK值：不同實現中一些情況下ACK域的值是不同的。例如，如果你送了一個FIN|PSH|URG到一個關閉的TCP端口。大多數實現會設置ACK為你的初始序列數，而Windows會送給你序列數加1。ICMP錯誤信息終結：一些操作系統(tǒng)跟從限制各種錯誤信息的發(fā)送率。例如，Linux內核限制目的不可達消息的生成每4秒鐘80個。測試的一種辦法是發(fā)一串包到一些隨機的高UDP端口并計數收到的不可達消息。第四十二頁，共五十九頁，編輯于2023年，星期三主動掃描－識別技術（三）ICMP消息引用：ICMP錯誤消息可以引用一部分引起錯誤的源消息。對一個端口不可達消息，幾乎所有實現只送回IP請求頭外加8個字節(jié)。然而，Solaris送回的稍多，而Linux更多。SYN洪水限度：如果收到過多的偽造SYN數據包，一些操作系統(tǒng)會停止新的連接嘗試。許多操作系統(tǒng)只能處理8個包。參考：NmapRemoteOSDetection/nmap/nmap-fingerprinting-article.html第四十三頁，共五十九頁，編輯于2023年，星期三四、現有掃描器介紹及選擇現有主要掃描器產品介紹評價掃描器的原則現有掃描器產品的不足第四十四頁，共五十九頁，編輯于2023年，星期三掃描器產品介紹（一）ISSInternetScanner

該產品一直是安全掃描器的業(yè)界標準。優(yōu)點：報告功能強大，漏洞檢查集完備，可用性很好。平臺：WindowsNTURL：Http://

第四十五頁，共五十九頁，編輯于2023年，星期三掃描器產品介紹（二）Nessus

由Renaud編寫的開放源碼項目。優(yōu)點：采用分布式結構引擎具有極大彈性，可擴展性強，漏洞庫較全面。平臺：UNIXURL：Http://第四十六頁，共五十九頁，編輯于2023年，星期三掃描器產品介紹（三）SAINT

以SATAN為基礎的網絡安全掃描工具。平臺：UNIXURL：Http://第四十七頁，共五十九頁，編輯于2023年，星期三評價掃描器的原則（一）漏洞檢測的完整性 是否能掃描各類重要的系統(tǒng)漏洞，漏洞庫信息的完備程度如何？漏洞檢測的精確性 是否能準確報告系統(tǒng)漏洞，很少誤報或漏報漏洞檢測的范圍 是否能進行本地主機或遠端主機的掃描及時更新 是否能及時更新漏洞庫，加入新發(fā)現的漏洞信息第四十八頁，共五十九頁，編輯于2023年，星期三評價掃描器的原則（二）報告功能 是否有完善的報告功能，是客戶便于理解和維護價格 產品價格是否合理第四十九頁，共五十九頁，編輯于2023年，星期三現有掃描器產品的不足檢測的完整性 沒有一種產品可以發(fā)現所有漏洞檢測的準確性 常有漏報、誤報現象更新的及時性 對新漏洞的更新不夠及時第五十頁，共五十九頁，編輯于2023年，星期三五、掃描器實例分析主要實現功能掃描器的總體結構主要工作流程漏洞分析第五十一頁，共五十九頁，編輯于2023年，星期三主要實現功能采用眾多的掃描規(guī)避和隱蔽技術，掃描目標主機和端口，識別其工作狀態(tài)；識別目標主機系統(tǒng)及服務程序的類型和版本；根據漏洞庫信息，分析系統(tǒng)脆弱點；提供漏洞產生背景、影響、攻擊方式、修補措施等信息；以網頁形式生成掃描結果報告；具有可擴展性，提供用戶動態(tài)加載和擴充系統(tǒng)的接口第五十二頁，共五十九頁，編輯于2023年，星期三掃描器的總體結構（一）掃描器基于B/S結構掃描器運行在Linux平臺，工作于一個Linux、UNIX和Windo