第3章 网络扫描.ppt

第三章 网络扫描 主机发现技术 主机发现技术主要分三种： ping扫描 ARP扫描 端口扫描 1.Ping 扫描 确定哪些机器是up的 2种方式 ICMP 类似于ping，发送icmp消息给目标，看是否有返回 TCP ping 给目标特定的tcp端口(如常用的80)发送ack消息，如果返回rst，说明机器up。常用的tracetcp。 2. ARP扫描 ARP（Address Resolution Protocol）即地址解析协议，它是用于局域网内的物理地址。ARP扫描是指通过向目标主机发送ARP请求（查询目标主机的物理地址），如果目标主机回应一个ARP响应报文，则说明它是存活的。下面是ARP扫描的示意图： 3. 端口扫描 3.1 目的 判断目标主机开启了哪些端口及其对应的服务 确定目标系统正在运行的TCP/UDP服务 在扫描时希望隐藏自己 3.2 扫描基础 TCP数据报首部标志域 TCP连接的建立过程 TCP连接的释放过程 TCP/IP实现遵循的原则 TCP数据报首部标志域(1) 6个比特标志位 SYN 用来建立连接，同步双方的序列号。 SYN=1 ACK=0, 连接请求包 SYN=1 ACK=1, 接受请求 FIN 释放连接包 RST 复位一个连接 如果收到一个分段不属于该主机的任何一个连接，发送RST包 TCP数据报首部标志域（2） URG 紧急数据。表示数据包中包含紧急数据。 ACK 确认标志位。表示数据包中的确认号有效。 PSH PUSH，如果为1，接受端应尽快把数据传送给应用层。 TCP 可靠性 通过校验和、定时器、数据序号、应答号来实现数据的可靠传输 TCP中的序列号 为每个发送的字节分配一个序号，用来保证数据的顺序，剔除重复的数据 一个TCP连接包含两个流（分别代表每个方向的数据） 建立连接时流的发送方选择一个初始序号ISN(initial sequence number) ISN必须随机选取才安全 TCP连接的建立过程 TCP连接的释放过程 TCP/IP实现遵循的原则 TCP/IP实现遵循的原则 TCP/IP实现遵循的原则 TCP/IP实现遵循的原则 3.3 端口扫描分类技术 端口扫描分类 扫描技术分析 扫描技术分析 常规扫描技术 调用connect函数直接连接被扫描端口 无须任何特殊权限 速度较慢，易被记录 高级扫描技术 利用探测数据包的返回信息（例如RST）来进行间接扫描 较为隐蔽，不易被日志记录或防火墙发现 TCP connect扫描 直接用connect连接对方的端口 连接成功，说明对方端口是开放的 优点 简单，不需要特权用户 缺点 容易被察觉 在应用日志中会有记录下来一些没有任何动作的连接 TCP SYN扫描 Half open scan 在3次握手完成前终止连接 方法 发SYN 如果收到RST，说明端口关闭 如果收到SYN ACK，说明端口开放，发送RST 优点 应用程序日志没有记录 缺点 复杂，需要自己构造数据包 很多系统要超级用户才能进行 容易被发现 3.4 端口扫描工具 Nmap Xscan SuperScan Shadow Security Scanner MS06040Scanner Nmap——探测工具王 功能 NMAP是探测网络主机和开放服务的佼佼者。是Linux下使用者的最爱，现在已经有Windows的版本。NMAP支持多种协议的扫描如UDP，TCP connect,TCP SYN, ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和Null扫描。还提供一些实用功能，比如通过tcp/ip来甄别操作系统类型；秘密扫描、动态延迟和重发；欺骗扫描、端口过滤探测、分布扫描等。 -sT TCP Connect()扫描 这是对TCP的最基本形式的侦测。对目标主机端口进行试探，如果该端口开放，则连接成功，否则代表这个端口没有开放。 -sS TCP SYN扫描 就是我们介绍的‘半开’式的扫描，速度会比connect扫描快。 -sF -sX –sN Stealth FIN,Xmas Tree 或者Null扫描模式。 -sP Ping扫描 对指定的IP发送ICMP，如果对方屏蔽了echo request，nmap还能发送一个TCP ack包到80端口探测。 -sU UDP扫描 确定某个UDP端口是否打开。 xscan Superscan——速度之王 MS06040Scanner——专用的漏洞扫描器 MS06040Scanner的工作原理是首先是通过端口扫描和操作系统扫描获取操作系统类型和开放的端口，如果是w