系统漏洞扫描原理介绍ppt课件

《系统漏洞扫描原理介绍ppt课件》由会员分享，可在线阅读，更多相关《系统漏洞扫描原理介绍ppt课件（59页珍藏版）》请在金锄头文库上搜索。

1、主要内容,扫描器的基本概念 扫描器的工作原理 网络扫描的主要技术 现有扫描器介绍及选择 扫描器的实例分析,一、扫描器的基本概念,什么是网络扫描器 为什么需要网络扫描器 网络扫描器的主要功能,什么是网络扫描器,安全评估工具 系统管理员保障系统安全的有效工具 网络漏洞扫描器 网络入侵者收集信息的重要手段,为什么需要网络扫描器,由于网络技术的飞速发展，网络规模迅猛增长和计算机系统日益复杂，导致新的系统漏洞层出不穷 由于系统管理员的疏忽或缺乏经验，导致旧有的漏洞依然存在 许多人出于好奇或别有用心，不停的窥视网上资源,网络扫描器的主要功能,扫描目标主机识别其工作状态（开/关机） 识别目标主机端口的状态（

2、监听/关闭） 识别目标主机系统及服务程序的类型和版本 根据已知漏洞信息，分析系统脆弱点 生成扫描结果报告,二、扫描器的工作原理,TCP协议 ICMP协议 扫描器的基本工作原理,TCP协议（一）,TCP是一种面向连接的，可靠的传输层协议。一次正常的TCP传输需要通过在客户端和服务器之间建立特定的虚电路连接来完成，该过程通常被称为“三次握手”。TCP通过数据分段中的序列号保证所有传输的数据可以在远端按照正常的次序进行重组，而且通过确认保证数据传输的完整性。,TCP协议（二）,TCP数据包格式,TCP协议（三）,TCP标志位 ACK：确认标志 RST：复位标志 URG：紧急标志 SYN：建立连接标志

3、 PSH：推标志 FIN：结束标志,TCP协议（四）,TCP连接建立示意图,ICMP协议（一）,Internet Control Message Protocol，是IP的一部分，在IP协议栈中必须实现。 用途： 网关或者目标机器利用ICMP与源通讯 当出现问题时，提供反馈信息用于报告错误 特点： 其控制能力并不用于保证传输的可靠性 它本身也不是可靠传输的 并不用来反映ICMP报文的传输情况,ICMP协议（二）,ICMP报文类型 0 Echo Reply 3 Destination Unreachable 4 Source Quench 5 Redirect 8 Echo 11 Time Ex

4、ceeded,12 Parameter Problem 13 Timestamp 14 Timestamp Reply 15 Information Request 16 Information Reply 17 Address Mask Request 18 Address Mask Reply,扫描器的基本工作原理,三、网络扫描的主要技术,主机扫描技术 端口扫描技术 栈指纹OS识别技术,主机扫描技术传统技术,主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果直接影响到后续的扫描。 常用的传统扫描手段有： ICMP Echo扫描 ICMP Sweep扫描 Broa

5、dcast ICMP扫描 Non-Echo ICMP扫描,ICMP echo扫描,实现原理：Ping的实现机制，在判断在一个网络上主机是否开机时非常有用。向目标主机发送ICMP Echo Request (type 8)数据包，等待回复的ICMP Echo Reply 包(type 0) 。如果能收到，则表明目标系统可达，否则表明目标系统已经不可达或发送的包被对方的设备过滤掉。 优点：简单，系统支持 缺点：很容易被防火墙限制 可以通过并行发送，同时探测多个目标主机，以提高探测效率（ICMP Sweep扫描）。,Broadcast ICMP扫描,实现原理：将ICMP请求包的目标地址设为广播地址或

6、网络地址，则可以探测广播域或整个网络范围内的主机。 缺点： 只适合于UNIX/Linux系统，Windows 会忽略这种请求包； 这种扫描方式容易引起广播风暴,Non-Echo ICMP扫描,一些其它ICMP类型包也可以用于对主机或网络设备的探测，如： Stamp Request(Type 13) Reply(Type 14) Information Request(Type 15) Reply(Type 16) Address Mask Request (Type 17) Reply(Type 18),主机扫描技术高级技术,防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制

7、，必须采用一些非常规的手段，利用ICMP协议提供网络间传送错误信息的手段，往往可以更有效的达到目的： 异常的IP包头 在IP头中设置无效的字段值 错误的数据分片 通过超长包探测内部路由器 反向映射探测,异常的IP包头,向目标主机发送包头错误的IP包，目标主机或过滤设备会反馈ICMP Parameter Problem Error信息。常见的伪造错误字段为Header Length Field 和IP Options Field。 根据RFC1122的规定，主机应该检测IP包的Version Number、Checksum字段, 路由器应该检测IP包的Checksum字段。不同厂家的路由器和操作

8、系统对这些错误的处理方式不同，返回的结果也各异。如果结合其它手段，可以初步判断目标系统所在网络过滤设备的ACL。,在IP头中设置无效的字段值,向目标主机发送的IP包中填充错误的字段值，目标主机或过滤设备会反馈ICMP Destination Unreachable信息。这种方法同样可以探测目标主机和网络设备以及其ACL。,错误的数据分片,当目标主机接收到错误的数据分片（如某些分片丢失），并且在规定的时间间隔内得不到更正时，将丢弃这些错误数据包，并向发送主机反馈ICMP Fragment Reassembly Time Exceeded 错误报文。利用这种方法同样可以检测到目标主机和网络过滤设备

9、及其ACL。,通过超长包探测内部路由器,若构造的数据包长度超过目标系统所在路由器的PMTU且设置禁止分片标志, 该路由器会反馈 Fragmentation Needed and Dont Fragment Bit was Set差错报文，从而获取目标系统的网络拓扑结构。,反向映射探测,该技术用于探测被过滤设备或防火墙保护的网络和主机。通常这些系统无法从外部直接到达，但是我们可以采用反向映射技术，通过目标系统的路由设备进行有效的探测。 当我们想探测某个未知网络内部的结构时，可以构造可能的内部IP地址列表，并向这些地址发送数据包。当对方路由器接收到这些数据包时，会进行IP识别并路由，对不在其服务的

10、范围的IP包发送ICMP Host Unreachable或ICMP Time Exceeded 错误报文，没有接收到相应错误报文的IP地址会可被认为在该网络中。当然，这种方法也会受到过滤设备的影响。,端口扫描技术,当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和各种应用监听的端口。端口扫描技术主要包括以下三类： 开放扫描 会产生大量的审计数据，容易被对方发现，但其可靠性高； 隐蔽扫描 能有效的避免对方入侵检测系统和防火墙的检测，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息； 半开放扫描 隐蔽性和可靠性介于前两者之间。,开放扫描技术,

11、TCP Connect 扫描 TCP反向ident扫描,TCP Connect 扫描,实现原理：通过调用socket函数connect()连接到目标计算机上，完成一次完整的三次握手过程。如果端口处于侦听状态，那么connect()就能成功返回。否则，这个端口不可用，即没有提供服务。 优点：稳定可靠，不需要特殊的权限 缺点：扫描方式不隐蔽，服务器日志会记录下大量密集的连接和错误记录 ，并容易被防火墙发现和屏蔽,TCP反向ident扫描,实现原理：ident 协议允许看到通过TCP连接的任何进程的拥有者的用户名，即使这个连接不是由这个进程开始的。比如，连接到http端口，然后用identd来发现服

12、务器是否正在以root权限运行。 缺点：这种方法只能在和目标端口建立了一个完整的TCP连接后才能看到。,半开放扫描技术,TCP SYN 扫描 TCP间接扫描,TCP SYN 扫描,实现原理：扫描器向目标主机端口发送SYN包。如果应答是RST包，那么说明端口是关闭的；如果应答中包含SYN和ACK包，说明目标端口处于监听状态，再传送一个RST包给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半连接扫描 优点：隐蔽性较全连接扫描好，一般系统对这种半扫描很少记录 缺点：通常构造SYN数据包需要超级用户或者授权用户访问专门的系统调用,TCP间接扫描,实现原理：利用第三

13、方的IP（欺骗主机）来隐藏真正扫描者的IP。由于扫描主机会对欺骗主机发送回应信息，所以必须监控欺骗主机的IP行为，从而获得原始扫描的结果。扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描，并通过观察其IP序列号的增长规律获取端口的状态 优点：隐蔽性好 缺点：对第三方主机的要求较高,隐蔽扫描技术,TCP FIN 扫描 TCP Xmas扫描 TCP Null 扫描 TCP ftp proxy扫描 分段扫描,TCP FIN 扫描,实现原理：扫描器向目标主机端口发送FIN包。当一个FIN数据包到达一个关闭的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是打开的端口，数据包只是简单的

14、丢掉（不返回RST）。 优点：由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而必SYN扫描隐蔽得多，FIN数据包能够通过只监测SYN包的包过滤器。 缺点： 跟SYN扫描类似，需要自己构造数据包，要求由超级用户或者授权用户访问专门的系统调用； 通常适用于UNIX目标主机，除过少量的应当丢弃数据包却发送RST包的操作系统（包括CISCO，HP/UX，MVS和IRIX）。但在Windows95/NT环境下，该方法无效，因为不论目标端口是否打开，操作系统都返回RST包。,TCP Xmas 和TCP Null 扫描,实现原理：TCP Xmas和Null扫描是FIN扫描的两个

15、变种。Xmas扫描打开FIN，URG和PUSH标记，而Null扫描关闭所有标记。这些组合的目的是为了通过对FIN标记数据包的过滤。当一个这种数据包到达一个关闭的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是打开的端口，数据包只是简单的丢掉（不返回RST）。 优点：隐蔽性好； 缺点： 需要自己构造数据包，要求由超级用户或者授权用户权限； 通常适用于UNIX目标主机，而Windows系统不支持。,TCP ftp proxy扫描,实现原理：FTP代理连接选项，其目的是允许一个客户端同时跟两个FTP服务器建立连接，然后在服务器之间直接传输数据。然而，在大部分实现中，实际上能够使得FTP服务

16、器发送文件到Internet的任何地方。该方法正是利用了这个缺陷，其扫描步骤如下： 1：假定S是扫描机，T是扫描目标，F是一个ftp服务器，这个服务器支持代理选项，能够跟S和T建立连接。 2：S与F建立一个ftp会话，使用PORT命令声明一个选择的端口（称之为pT）作为代理传输所需要的被动端口。 3：然后S使用一个LIST命令尝试启动一个到pT的数据传输。 4：如果端口pT确实在监听，传输就会成功（返回码150和226被发送回给S），否则S回收到425无法打开数据连接的应答。 5：S持续使用PORT和LIST命令，直到T上所有的选择端口扫描完毕。 优点：FTP代理扫描不但难以跟踪，而且可以穿越防火墙 缺点：一些ftp server禁止这种特性,分段扫描,实现原理：并不直接发送TCP探测数据包，是将数据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包，从而包过滤器就很难探测到。 优点：隐蔽性好，可穿越防火墙 缺点： 可能被丢弃； 某些程序在处理这些小数据包时会出现异常。,栈指纹OS识别技术（一）,原理：根据各个OS在TCP/IP协议栈实现上的不同特点，采用黑盒测试方法，通过研