《网络扫描技术》由会员分享,可在线阅读,更多相关《网络扫描技术(84页珍藏版)》请在金锄头文库上搜索。
1、网络扫描技术,2,内容,TCP/IP基础网络信息收集目标探测网络扫描查点从系统中获取有效账号或资源名网络监听截获网络上的数据包,3,安全层次,安全的密码算法,安全协议,网络安全,系统安全,应用安全,4,TCP/IP协议栈,5,网络攻击的完整过程,6,信息收集,信息收集技术是一把双刃剑黑客在攻击之前需要收集信息,才能实施有效的攻击安全管理员用信息收集技术来发现系统的弱点并进行修补,攻击工具攻击命令,攻击机制,目标网络,目标系统,攻击者,漏洞扫描评估加固,攻击过程,实时入侵检测,知己知彼,百战不殆,7,信息收集过程,信息收集(踩点,footprint)是一个综合过程从一些社会信息入手找到网络地址范
2、围找到关键的机器地址找到开放端口和入口点找到系统的制造商和版本,8,攻击者需要的信息,域名经过网络可以到达的IP地址每个主机上运行的TCP和UDP服务系统体系结构访问控制机制系统信息(用户名和用户组名、系统标识、路由表、SNMP信息等),9,社会信息,DNS域名网络实名管理人员在新闻组或者论坛上的求助信息也会泄漏信息网站的网页中新闻报道例如:XX公司采用XX系统,这样的信息可以合法地获取,10,例:来自网站的公开信息,11,网站上令人感兴趣的信息,机构所在位置与其关系紧密的公司或实体电话号码联系人姓名和电子邮件地址指示所用安全机制的类型的私密或安全策略与其相关联的Web服务器链接,此外,尝试查
3、阅HTML源代码,12,非网络技术的探查手段,社会工程通过一些公开的信息,获取支持人员的信任假冒网管人员,骗取员工的信任(安装木马、修改口令等)查电话簿、XX手册(指南)在信息发达的社会中,只要存在,就没有找不到的,是这样吗?通过搜索引擎可以获取到大量的信息搜索引擎提供的信息的有效性?(google、AltaVista),13,信息收集:whois,Whois为Internet提供目录服务,包括名字、通讯地址、电话号码、电子邮箱、IP地址等信息客户程序UNIX系统自带whois程序Windows也有一些工具直接通过Web查询,14,信息收集:DNS查询,关于DNS是一个全球分布式数据库,对于每
4、一个DNS节点,包含有该节点所在的机器的信息、邮件服务器的信息、主机CPU和操作系统等信息Nslookup是一个功能强大的客户程序熟悉nslookup,就可以把DNS数据库中的信息挖掘出来分两种运行模式非交互式,通过命令行提交命令交互式:可以访问DNS数据库中所有开放的信息UNIX/LINUX环境下的host命令有类似的功能,15,DNS & nslookup,通过nslookup可以做什么?区域传送:可以列出DNS节点中所有的配置信息这是为了主DNS和辅DNS之间同步复制才使用的查看一个域名,根据域名找到该域的域名服务器反向解析,根据IP地址得到域名名称从一台域名服务器可以得到哪些信息?如果
5、支持区域传送,可以从中获取大量信息否则的话,至少可以发现以下信息邮件服务器的信息,在实用环境中,邮件服务器往往在防火墙附近,甚至就在同一台机器上其他,比如ns、www、ftp等,这些机器可能被托管给ISP,16,nslookup交互环境中常用命令,server, 指定DNS服务器set type=XXX,设定查询类型ls, 列出记录domain name, or IP address,17,网络勘察,最常用的工具: Ping和TraceroutePing: Packet InterNet Groper用来判断远程设备可访问性最常用的方法原理:发送ICMP Echo消息,然后等待ICMP Rep
6、ly消息Traceroute用来发现实际的路由路径原理:给目标的一个无效端口发送一系列UDP,其TTL依次增一,中间路由器返回一个ICMP Time Exceeded消息Windows中为tracert,18,Ping工具,发送ICMP Echo消息,等待Echo Reply消息可以确定网络和外部主机的状态可以用来调试网络的软件和硬件每秒发送一个包,显示响应的输出,计算网络来回的时间最后显示统计结果丢包率,19,关于Ping,Ping有许多命令行参数,可以改变缺省的行为可以用来发现一台主机是否active为什么不能ping成功?没有路由,网关设置?网卡没有配置正确增大timeout值被防火墙阻
7、止“Ping of death”发送特大ping数据包(65535字节)导致机器崩溃许多老的操作系统都受影响,20,traceroute,发送一系列UDP包(缺省大小为38字节),其TTL字段从1开始递增,然后监听来自路径上网关发回来的ICMP Time Exceeded应答消息UDP包的端口设置为一个不太可能用到的值(缺省为33434),因此,目标会送回一个ICMP Destination Unreachable消息,指示端口不可达,21,关于traceroute,traceroute有一些命令行参数,可以改变缺省的行为可以用来发现到一台主机的路径,为勾画出网络拓扑图提供最基本的依据Trac
8、eroute允许指定宽松的源路由选项。许多防火墙是禁止带源路由的包的,22,网络勘察的对策,防火墙:设置过滤规则使用NIDS(Network Intrusion Detection System):商用以及免费的NIDS(Snort)使用其他工具:如rotoroutor,它可以记录外来的traceroute请求,产生虚假的应答,23,信息收集:扫描技术,基于TCP/IP协议,对各种网络服务,无论是主机或者防火墙、路由器都适用扫描可以确认各种配置的正确性,避免遭受不必要的攻击用途,双刃剑安全管理员可以用来确保自己系统的安全性黑客用来探查系统的入侵点端口扫描的技术已经非常成熟,目前有大量的商业、非
9、商业的扫描器,24,扫描器的重要性,扫描器能够暴露网络上潜在的脆弱性无论扫描器被管理员利用,或者被黑客利用,都有助于加强系统的安全性它能使得漏洞被及早发现,而漏洞迟早会被发现的扫描器可以满足很多人的好奇心扫描器除了能扫描端口,往往还能够发现系统存活情况,以及哪些服务在运行用已知的漏洞测试这些系统对一批机器进行测试,简单的迭代过程有进一步的功能,包括操作系统辨识、应用系统识别,25,扫描器历史,早期80年代,网络没有普及,上网的好奇心驱使许多年轻人通过Modem拨号进入到UNIX系统中。这时候的手段需要大量的手工操作SATAN: Security Administrators Tool for
10、Analyzing Networks 1995年4月发布,引起了新闻界的轰动界面上的突破,从命令行走向图形界面(使用HTML界面),不依赖于X两位作者的影响(Dan Farmer写过网络安全检查工具COPS,另一位Weitse Venema是TCP_Wrapper的作者)Nmap作者为Fyodor,技术上,是最先进的扫描技术大集成结合了功能强大的通过栈指纹来识别操作系统的众多技术,26,扫描技术,主机扫描:确定在目标网络上的主机是否可达,同时尽可能多映射目标网络的拓扑结构,主要利用ICMP数据包 端口扫描:发现远程主机开放的端口以及服务操作系统指纹扫描:根据协议栈判别操作系统,27,传统主机扫
11、描技术,ICMP Echo Request (type 8) 和 Echo Reply (type 0) 通过简单地向目标主机发送ICMP Echo Request 数据包,并等待回复的ICMP Echo Reply 包,如PingICMP Sweep(Ping Sweep)使用ICMP Echo Request一次探测多个目标主机。通常这种探测包会并行发送,以提高探测效率 Broadcast ICMP 设置ICMP请求包的目标地址为广播地址或网络地址,则可以探测广播域或整个网络范围内的主机,这种情况只适合于UNIX/Linux系统 Non-Echo ICMP 其它ICMP服务类型(13和14
12、、15和16、17和18)也可以用于对主机或网络设备如路由器等的探测,28,高级主机扫描技术,利用被探测主机产生的ICMP错误报文来进行复杂的主机探测 异常的IP包头 向目标主机发送包头错误的IP包,目标主机或过滤设备会反馈ICMP Parameter Problem Error信息。常见的伪造错误字段为Header Length 和IP Options。不同厂家的路由器和操作系统对这些错误的处理方式不同,返回的结果也不同。在IP头中设置无效的字段值 向目标主机发送的IP包中填充错误的字段值,目标主机或过滤设备会反馈ICMP Destination Unreachable信息。这种方法同样可以
13、探测目标主机和网络设备,29,高级主机扫描技术(续),通过超长包探测内部路由器若构造的数据包长度超过目标系统所在路由器的PMTU且设置禁止分片标志, 该路由器会反馈 Fragmentation Needed and Dont Fragment Bit was Set差错报文。反向映射探测用于探测被过滤设备或防火墙保护的网络和主机 。构造可能的内部IP地址列表,并向这些地址发送数据包。当对方路由器接收到这些数据包时,会进行IP识别并路由,对不在其服务的范围的IP包发送ICMP Host Unreachable或ICMP Time Exceeded 错误报文,没有接收到相应错误报文的IP地址可被认
14、为在该网络中,30,主机扫描的对策,使用可以检测并记录ICMP扫描的工具使用入侵检测系统在防火墙或路由器中设置允许进出自己网络的ICMP分组类型,31,端口扫描技术,开放扫描(Open Scanning)需要扫描方通过三次握手过程与目标主机建立完整的TCP连接可靠性高,产生大量审计数据,容易被发现半开放扫描(Half-Open Scanning)扫描方不需要打开一个完全的TCP连接秘密扫描(Stealth Scanning)不包含标准的TCP三次握手协议的任何部分 隐蔽性好,但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息,32,端口扫描技术,基本的TCP connect()
15、扫描(开放)Reverse-ident扫描(开放)TCP SYN扫描(半开放)IP ID header aka “dump”扫描(半开放)TCP Fin扫描(秘密)TCP XMAS扫描(秘密)TCP ftp proxy扫描(bounce attack)用IP分片进行SYN/FIN扫描(躲开包过滤防火墙)UDP ICMP端口不可达扫描UDP recvfrom扫描,33,34,TCP connect()扫描,原理扫描器调用socket的connect()函数发起一个正常的连接如果端口是打开的,则连接成功否则,连接失败优点简单,不需要特殊的权限缺点服务器可以记录下客户的连接行为,如果同一个客户轮流对
16、每一个端口发起连接,则一定是在扫描,35,Reverse-ident扫描,Ident协议(RFC1413)使得可以发现任何一个通过TCP连接的进程的所有者的用户名,即使该进程并没有发起该连接只有在TCP全连接之后才有效TCP端口113例如可以先连接到80端口,然后通过identd来发现服务器是否在root下运行建议关闭ident服务,或者在防火墙上禁止,除非是为了审计的目的,36,TCP SYN扫描,原理向目标主机的特定端口发送一个SYN包如果应答包为RST包,则说明该端口是关闭的否则,会收到一个SYN|ACK包。于是,发送一个RST,停止建立连接由于连接没有完全建立,所以称为“半开连接扫描”优点很少有系统会记录这样的行为缺点在UNIX平台上,需要root权限才可以建立这样的SYN数据包,
