收藏
下载资源

曹天杰全套配套课件计算机系统安全第3版 13扫描器

上传人:f****u 文档编号:122864122 上传时间:2020-03-07 格式:PPT 页数:40 大小:447KB
返回 下载 相关 举报
曹天杰全套配套课件计算机系统安全第3版 13扫描器_第1页
第1页 / 共40页
曹天杰全套配套课件计算机系统安全第3版 13扫描器_第2页
第2页 / 共40页
曹天杰全套配套课件计算机系统安全第3版 13扫描器_第3页
第3页 / 共40页
曹天杰全套配套课件计算机系统安全第3版 13扫描器_第4页
第4页 / 共40页
曹天杰全套配套课件计算机系统安全第3版 13扫描器_第5页
第5页 / 共40页
点击查看更多>>
资源描述

《曹天杰全套配套课件计算机系统安全第3版 13扫描器》由会员分享,可在线阅读,更多相关《曹天杰全套配套课件计算机系统安全第3版 13扫描器(40页珍藏版)》请在金锄头文库上搜索。

1、1 扫描器 曹天杰 tjcao 中国矿业大学计算机科学与技术学院 2 什么是网络扫描器 n扫描器是一种自动检测远程或本地系统 安全性弱点 漏洞 的程序 n安全评估工具 系统管理员保障系统安全的有效工具 目标可以是工作站 服务器 交换机 数据库应用等各种对象 n网络漏洞扫描器 网络入侵者收集信息的重要手段 3 为什么需要网络扫描器 n由于网络技术的飞速发展 网络规模迅 猛增长和计算机系统日益复杂 导致新 的系统漏洞层出不穷 n由于系统管理员的疏忽或缺乏经验 导 致旧有的漏洞依然存在 n许多人出于好奇或别有用心 不停的窥 视网上资源 4 网络扫描器的主要功能 n扫描目标主机识别其工作状态 开 关机

2、 n识别目标主机端口的状态 监听 关闭 n识别目标主机系统及服务程序的类型和版本 n根据已知漏洞信息 分析系统脆弱点 n生成扫描结果报告 5 扫描器的工作原理 nTCP协议 nICMP协议 n扫描器的基本工作原理 6 TCP协议 一 TCP是一种面向连接的 可靠的传输层 协议 一次正常的TCP传输需要通过在客户 端和服务器之间建立特定的虚电路连接来完 成 该过程通常被称为 三次握手 TCP通 过数据分段中的序列号保证所有传输的数据 可以在远端按照正常的次序进行重组 而且 通过确认保证数据传输的完整性 7 来源端口 2字节 目的端口 2字节 窗口大小 2字节 确认序号 4字节 序号 4字节 保留

3、 6位 TCP协议 二 8 TCP协议 三 nTCP控制位CTL nACK 确认标志 nRST 复位标志 nURG 紧急标志 nSYN 建立连接标志 nPSH 推标志 nFIN 结束标志 9 TCP协议 四 TCP连接建立示意图 10 ICMP协议 一 nInternet Control Message Protocol 是IP的一 部分 在IP协议栈中必须实现 n用途 n网关或者目标机器利用ICMP与源通讯 n当出现问题时 提供反馈信息用于报告错误 n特点 n其控制能力并不用于保证传输的可靠性 n它本身也不是可靠传输的 n并不用来反映ICMP报文的传输情况 11 ICMP协议 二 nICMP

4、报文类型 n0 Echo Reply n3 Destination Unreachable n4 Source Quench n5 Redirect n8 Echo n11 Time Exceeded n12 Parameter Problem n13 Timestamp n14 Timestamp Reply n15 Information Request n16 Information Reply n17 Address Mask Request n18 Address Mask Reply 12 扫描器的基本工作原理 13 安全扫描工具 n基于服务器的扫描器主要扫描服务器相关的安 全漏洞

5、 如password文件 目录和文件权限 共享文件系统 敏感服务 软件 系统漏洞等 并给出相应的解决办法建议 通常与相应的 服务器操作系统紧密相关 n基于网络的安全扫描主要扫描设定网络内的服 务器 路由器 网桥 交换机 访问服务器 防火墙等设备的安全漏洞 并可设定模拟攻击 以测试系统的防御能力 通常该类扫描器限 制使用范围 IP地址或路由器跳数 14 网络扫描的主要技术 n主机扫描技术 n端口扫描技术 15 主机扫描技术 传统技术 n主机扫描的目的是确定在目标网络上的 主机是否可达 这是信息收集的初级阶 段 其效果直接影响到后续的扫描 n常用的传统扫描手段有 nICMP Echo扫描 nICM

6、P Sweep扫描 nBroadcast ICMP扫描 nNon Echo ICMP扫描 16 ICMP echo扫描 n实现原理 Ping的实现机制 在判断在一个网 络上主机是否开机时非常有用 向目标主机发 送ICMP Echo Request type 8 数据包 等待 回复的ICMP Echo Reply 包 type 0 如果能 收到 则表明目标系统可达 否则表明目标系 统已经不可达或发送的包被对方的设备过滤掉 n优点 简单 系统支持 n缺点 很容易被防火墙限制 n可以通过并行发送 同时探测多个目标主机 以提高探测效率 ICMP Sweep扫描 17 Broadcast ICMP扫描

7、n实现原理 将ICMP ECHO request包的目标 地址设为广播地址或网络地址 则可以探测 广播域或整个网络范围内的主机 n缺点 n只适合于UNIX Linux系统 Windows 会忽略这 种请求包 n这种扫描方式容易引起广播风暴 18 Non Echo ICMP扫描 n一些其它ICMP类型包也可以用于对主机 或网络设备的探测 如 nStamp Request Type 13 nReply Type 14 nInformation Request Type 15 nReply Type 16 nAddress Mask Request Type 17 nReply Type 18 19

8、 主机扫描技术 高级技术 n防火墙和网络过滤设备常常导致传统的探测手 段变得无效 为了突破这种限制 必须采用一 些非常规的手段 利用ICMP协议提供网络间传 送错误信息的手段 往往可以更有效的达到目 的 n异常的IP包头 n在IP头中设置无效的字段值 n错误的数据分片 n通过超长包探测内部路由器 n反向映射探测 20 异常的IP包头 n向目标主机发送包头错误的IP包 目标主机或 过滤设备会反馈ICMP Parameter Problem Error信息 常见的伪造错误字段为Header Length Field 和IP Options Field n根据RFC1122的规定 主机应该检测IP包

9、的 Version Number Checksum字段 路由器应该 检测IP包的Checksum字段 不同厂家的路由 器和操作系统对这些错误的处理方式不同 返 回的结果也各异 如果结合其它手段 可以初 步判断目标系统所在网络过滤设备的访问列表 ACL 21 在IP头中设置无效的字段值 n向目标主机发送的IP包中填充错误的字 段值 目标主机或过滤设备会反馈ICMP Destination Unreachable信息 这种方法 同样可以探测目标主机和网络设备以及 其ACL 22 错误的数据分片 n当目标主机接收到错误的数据分片 如 某些分片丢失 并且在规定的时间间 隔内得不到更正时 将丢弃这些错误

10、数 据包 并向发送主机反馈ICMP Fragment Reassembly Time Exceeded 错误报文 利用这种方法同样可以检测到目标主机 和网络过滤设备及其ACL 23 通过超长包探测内部路由器 n若构造的数据包长度超过目标系统所在 路由器的PMTU且设置禁止分片标志 该 路由器会反馈 Fragmentation Needed and Don t Fragment Bit was Set差错报 文 从而获取目标系统的网络拓扑结构 24 反向映射探测 n该技术用于探测被过滤设备或防火墙保护的网络 和主机 通常这些系统无法从外部直接到达 n当我们想探测某个未知网络内部的结构时 可以 构

11、造可能的内部IP地址列表 并向这些地址发送 数据包 当对方路由器接收到这些数据包时 会 进行IP识别并路由 对不在其服务的范围的IP包 发送ICMP Host Unreachable或ICMP Time Exceeded 错误报文 没有接收到相应错误报文的 IP地址会可被认为在该网络中 当然 这种方法 也会受到过滤设备的影响 25 端口扫描技术 n当确定了目标主机可达后 就可以使用端口扫描技术 发现目标主机的开放端口 包括网络协议和各种应 用监听的端口 端口扫描技术主要包括以下三类 n开放扫描 TCP Connect 扫描 n会产生大量的审计数据 容易被对方发现 但其可靠性高 n隐蔽扫描 TC

12、P FIN 扫描 分段扫描 n能有效的避免对方入侵检测系统和防火墙的检测 但这种扫 描使用的数据包在通过网络时容易被丢弃从而产生错误的探 测信息 n半开放扫描 TCP SYN 扫描 n隐蔽性和可靠性介于前两者之间 26 开放扫描TCP Connect 扫描 n实现原理 通过调用socket函数connect 连 接到目标计算机上 完成一次完整的三次握 手过程 如果端口处于侦听状态 那么 connect 就能成功返回 否则 这个端口不 可用 即没有提供服务 n优点 稳定可靠 不需要特殊的权限 n缺点 扫描方式不隐蔽 服务器日志会记录 下大量密集的连接和错误记录 并容易被防 火墙发现和屏蔽 27

13、开放扫描TCP Connect 扫描 SYN 我可以连接吗 ACK 可以 SYN 请确认 ACK 确认连接 发起方 应答方 28 半开放扫描TCP SYN 扫描 n实现原理 扫描器向目标主机端口发送SYN包 如果应答是RST包 那么说明端口是关闭的 如果应答中包含SYN和ACK包 说明目标端 口处于监听状态 再传送一个RST包给目标机 从而停止建立连接 在SYN扫描时 全连接尚 未建立 所以这种技术通常被称为半连接扫描 n优点 隐蔽性较全连接扫描好 一般系统对这 种半扫描很少记录 n缺点 通常构造SYN数据包需要超级用户或者 授权用户访问专门的系统调用 29 隐蔽扫描技术 nTCP FIN 扫

14、描 n分段扫描 30 TCP FIN 扫描 n实现原理 扫描器向目标主机端口发送FIN包 当一个 FIN数据包到达一个关闭的端口 数据包会被丢掉 并且返回一 个RST数据包 否则 若是打开的端口 数据包只是简单的丢掉 不返回RST n优点 由于这种技术不包含标准的TCP三次握手协议的任何部分 所以无法被记录下来 从而必SYN扫描隐蔽得多 FIN数据包能 够通过只监测SYN包的包过滤器 n缺点 跟SYN扫描类似 需要自己构造数据包 要求由超级用户或者授权 用户访问专门的系统调用 通常适用于UNIX目标主机 但在Windows95 NT环境下 该方法无 效 因为不论目标端口是否打开 操作系统都返回

15、RST包 31 分段扫描 n实现原理 并不直接发送TCP探测数据包 是将数据包分成两个较小的IP段 这 样就将一个TCP头分成好几个数据包 从 而包过滤器就很难探测到 n优点 隐蔽性好 可穿越防火墙 n缺点 n可能被丢弃 n某些程序在处理这些小数据包时会出现异常 32 UDP 端口扫描 nUDP是无连接的 n向某个端口发送UDP数据 n如果该端口关闭 会触发ICMP port unreachable n缺点 n有的系统限制了ICMP的发送速率 33 nmap扫描器 nNMap 也就是Network Mapper n探测一组主机是否在线 n扫描 主机端口 嗅探所提供的网络服务 n推断主机所用的操

16、作系统 n获取Nmap帮助 命令行下运行不带参数 的nmap 34 Nmap用法 nnmap Scan Type s Options target specification n目标主机Ex scanme nmap org 192 168 0 1 10 0 0 255 1 254 n目标端口Ex p22 p1 65535 p U 53 111 137 T 21 25 80 139 8080 n扫描技术 n sS sT sA sW sM TCP SYN Connect ACK Window Maimon scans n sN sF sX TCP Null FIN and Xmas scans 35 开放扫描TCP Connect 扫描 nnmap sT 192 168 61 128 n在使用nmap的同时 在另一个terminal中用 tcpdump察看nmap发送和接收的数据包 nwindump D 列出当前系统中所有的网 络设备接口 nWinDump exe i 3监听第三个网络接口 设备 36 ICMP Sweep扫描 nnmap sP 192 168 0 0 24 37 半开放扫

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号