《网络安全 端口 扫描器简介》由会员分享,可在线阅读,更多相关《网络安全 端口 扫描器简介(8页珍藏版)》请在金锄头文库上搜索。
1、网络平安扫描器简介 迅速开展的Internet给人们的生活、工作带来了巨大的方便,但同时,也带来了一些不容无视的问题,网络信息的平安保密问题就是其中之一。 网络的开放性以及黑客的攻击是造成网络不平安的主要原因。科学家在设计Internet之初就缺乏对平安性的总体设想和设计,我们所用的TCP/IP 协议是建立在可信的环境之下,首先考虑的是网络互连,它是缺乏对平安方面的考虑的。而且TCP/IP协议是完全公开的,远程访问使许多攻击者无须到现场就能够得手,连接的主机基于互相信任的原那么等等这一些性质使网络更加不平安。 先进的技术是实现网络信息平安的有力武器,这些技术包括:密码技术、身份验证技术、访问控
2、制技术、平安内核技术、网络反病毒技术、信息泄漏防治技术、防火墙技术、网络平安漏洞扫描技术、入侵检测技术等。而在系统发生平安事故之前对其进行预防性检查,及时发现问题并予以解决不失为一种很好的方法,于是网络平安漏洞扫描技术应运而生。 1. 扫描器根本工作原理 扫描器是一种自动检测远程或本地主机平安脆弱点的程序,通过使用扫描器可以不留痕迹的发现远程效劳器的各种TCP端口的分配及提供的效劳和它们的软件版本,这就能让我们间接的或直观的了解到远程主机所存在的平安问题。 扫描器采用模拟攻击的形式对目标可能存在的平安漏洞进行逐项检查。目标可以是工作站、效劳器、交换机、数据库应用等各种对象。然后根据扫描结果向系
3、统管理员提供周密可靠的平安性分析报告,为提高网络平安整体水平产生重要依据。在网络平安体系的建设中,平安扫描工具花费低、效果好、见效快、与网络的运行相对对立、安装运行简单,可以大规模减少平安管理员的手工劳动,有利于保持全网平安政策的统一和稳定。 扫描器并不是一个直接的攻击网络漏洞的程序,它仅仅能帮助我们发现目标机的某些存在的弱点。一个好的扫描器能对它得到的数据进行分析,帮助我们查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。 扫描器应该有三项功能:发现一个主机和网络的能力;一旦发现一台主机,有发现什么效劳正运行在这台主机上的能力;通过测试这些效劳,发现这些漏洞的能力。 扫描器对Inter
4、net平安很重要,因为它能揭示一个网络的脆弱点。在任何一个现有的平台上都有几百个熟知的平安脆弱点。在大多数情况下,这些脆弱点都是唯一的,仅影响一个网络效劳。人工测试单台主机的脆弱点是一项极其繁琐的工作,而扫描程序能轻易的解决这些问题。扫描程序开发者利用可得到的常用攻击方法并把它们集成到整个扫描中,这样使用者就可以通过分析输出的结果发现系统的漏洞。 2.端口扫描介绍 真正的扫描器是TCP端口扫描器,这种程序可以选通TCP/IP端口和效劳比方,Telnet或FTP,并记录目标的答复。通过这种方法,可以搜集到关于目标主机的有用信息比方,一个匿旬用户是否可以登录等等。而其他所谓的扫描器仅仅是UNIX网
5、络应用程序,这些程序一般用于观察某一效劳是否正在一台远程机器上正常工作,它们不是真正的扫描器,但也可以用于收集目标主机的信息UNIX平台上通用的rusers和host命令就是这类程序的很好的例子。 2.1 TCP SYN 扫描 扫描程序发送的SYN数据包,好似准备翻开一个新的连接并等待反映一样。一个SYN|ACK的返回信息表示端口处于侦听状态。一个RST 返回表示端口没有处于侦听状态。如果收到一个SYN|ACK,扫描程序必须再发送一个RST 信号,来关闭这个连接过程。 优点:不会在目标计算机上留下纪录。 缺点:扫描程序必须要有root权限才能建立自己的SYN数据包。 2.2 TCP FIN 扫
6、描 关闭的端口会用适当的RST来回复FIN数据包,而翻开的端口会忽略对FIN数据包的回复。 优点:FIN数据包可以不惹任何麻烦的通过。 缺点:这种方法和系统的实现有一定的关系,有些系统不管是翻开的或关闭的端口对FIN数据包都要给以回复,这种情况下该方法就不实用了。 2.3 TCP connect()扫描 操作系统提供connect系统调用,用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否那么,这个端口是不能用的,即没有提供效劳。 优点:系统中的任何用户都有权利使用这个调用;如果对每个目标端口以线性的方式扫描,将会花费相当长的时间,但如果同时
7、翻开多个套接字,就能加速扫描。 缺点:很容易被发现,目标计算机的logs文件会显示一连串连接和连接出错的消息,并且能很快的将它关闭。 3扫描程序介绍 目前存在的扫描器产品主要可分为基于主机的和基于网络的两种,前者主要关注软件所在主机上面的风险漏洞,而后者那么是通过网络远程探测其它主机的平安风险漏洞。 国外,基于主机的产品主要有:AXENT公司的ESM,ISS公司的System Scanner等,基于网络的产品包括ISS公司的Internet Scanner、AXENT公司的NetRecon、NAI公司的CyberCops Scanner、Cisco的NetSonar等。目前国内有中科院网威工作
8、室开发的NetPower产品出现,另外北方计算机公司*也有类似产品。 下面介绍一些可以在Internet上免费获得的扫描程序。常用的端口扫描技术 TCP connect() 扫描 这是最根本的TCP扫描。操作系统提供的connect()系统调用,用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否那么,这个端口是不能用的,即没有提供效劳。这个技术的一个最大的优点是,你不需要任何权限。系统中的任何用户都有权利使用这个调用。另一个好处就是速度。如果对每个目标端口以线性的方式,使用单独的connect()调用,那么将会花费相当长的时间,你可以通过同时
9、翻开多个套接字,从而加速扫描。使用非阻塞I/O允许你设置一个低的时间用尽周期,同时观察多个套接字。但这种方法的缺点是很容易被觉察,并且被过滤掉。目标计算机的logs文件会显示一连串的连接和连接是出错的效劳消息,并且能很快的使它关闭。 TCP SYN扫描 这种技术通常认为是“半开放扫描,这是因为扫描程序不必要翻开一个完全的TCP连接。扫描程序发送的是一个SYN数据包,好象准备翻开一个实际的连接并等待反响一样参考TCP的三次握手建立一个TCP连接的过程。一个SYN|ACK的返回信息表示端口处于侦听状态。一个RST返回,表示端口没有处于侦听态。如果收到一个SYN|ACK,那么扫描程序必须再发送一个R
10、ST信号,来关闭这个连接过程。这种扫描技术的优点在于一般不会在目标计算机上留下记录。但这种方法的一个缺点是,必须要有root权限才能建立自己的SYN数据包。 TCP FIN 扫描 有的时候有可能SYN扫描都不够秘密。一些防火墙和包过滤器会对一些指定的端口进行监视,有的程序能检测到这些扫描。相反,FIN数据包可能会没有任何麻烦的通过。这种扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包。另一方面,翻开的端口会忽略对FIN数据包的回复。这种方法和系统的实现有一定的关系。有的系统不管端口是否翻开,都回复RST,这样,这种扫描方法就不适用了。并且这种方法在区分Unix和NT时,是十分有用的
11、。 IP段扫描 这种不能算是新方法,只是其它技术的变化。它并不是直接发送TCP探测数据包,是将数据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包,从而过滤器就很难探测到。但必须小心。一些程序在处理这些小数据包时会有些麻烦。 TCP 反向 ident扫描 ident 协议允许(rfc1413)看到通过TCP连接的任何进程的拥有者的用户名,即使这个连接不是由这个进程开始的。因此你能,举个例子,连接到 端口,然后用identd来发现效劳器是否正在以root权限运行。这种方法只能在和目标端口建立了一个完整的TCP连接后才能看到。 FTP 返回攻击 FTP协议的一个有趣的特点是它支持代理p
12、roxyFTP连接。即入侵者可以从自己的计算机a 和目标主机target 的FTP server-PI(协议解释器)连接,建立一个控制通信连接。然后,请求这个server-PI激活一个有效的server-DTP(数据传输进程)来给Internet上任何地方发送文件。对于一个User-DTP,这是个推测,尽管RFC明确地定义请求一个效劳器发送文件到另一个效劳器是可以的。但现在这个方法好象不行了。这个协议的缺点是“能用来发送不能跟踪的邮件和新闻,给许多效劳器造成打击,用尽磁盘,企图越过防火墙。 我们利用这个的目的是从一个代理的FTP效劳器来扫描TCP端口。这样,你能在一个防火墙后面连接到一个FTP
13、效劳器,然后扫描端口这些原来有可能被阻塞。如果FTP效劳器允许从一个目录读写数据,你就能发送任意的数据到发现的翻开的端口。 对于端口扫描,这个技术是使用PORT命令来表示被动的User DTP正在目标计算机上的某个端口侦听。然后入侵者试图用LIST命令列出当前目录,结果通过Server-DTP发送出去。如果目标主机正在某个端口侦听,传输就会成功产生一个150或226的回应。否那么,会出现425 Can build data connection: Connection refused.。然后,使用另一个PORT命令,尝试目标计算机上的下一个端口。这种方法的优点很明显,难以跟踪,能穿过防火墙。主
14、要缺点是速度很慢,有的FTP效劳器最终能得到一些线索,关闭代理功能。 这种方法能成功的情景: 220 xxxxxxx FTP server (Version wu-2.4(3) Wed Dec 14 .) ready. 220 xxx.xxx.xxx.edu FTP server ready. 220 xx.Telcom.xxxx.EDU FTP server (Version wu-2.4(3) Tue Jun 11 .) ready. 220 lem FTP server (SunOS 4.1) ready. 220 xxx.xxx.es FTP server (Version wu-2.
15、4(11) Sat Apr 27 .) ready. 220 elios FTP server (SunOS 4.1) ready 这种方法不能成功的情景: 220 wcarchive.cdrom FTP server (Version DG-2.0.39 Sun May 4 .) ready. 220 xxx.xx.xxxxx.EDU Version wu-2.4.2-academBETA-12(1) Fri Feb 7 220 ftp Microsoft FTP Service (Version 3.0). 220 xxx FTP server (Version wu-2.4.2-academBETA-11(1) Tue Sep 3 .) ready. 220 xxx.unc.edu FTP server (Version wu-2.4.2-academBETA-13(6) .) ready. UDP ICMP端口不能到达扫描 这种方法与上面几种方法的不同之处在于使用的是UDP协议。由于这个协议很简单,所以扫描变得相比照拟困难。这是由于翻开的端口对扫描探测并不发送一个确认,关闭的端口也并不需要发送一个错误数据包。幸运的是,许多主机在你向一个未翻开的
