unit5_网络扫描与案例研究.pptVIP

入侵检测与扫描技术 —— 网络扫描及案例研究 网络扫描 网络扫描的三个阶段 寻找目标主机或网络 进一步搜集目标信息，包括OS类型、 运行的服务以及服务软件的版本等 判断或进一步检测系统是否存在安全漏洞 1 发现目标 从多方面检测目标主机是否存活，通常称ping扫射（sweep），即看网络上哪些主机处于存活状态 主要包括：ICMP扫射，广播ICMP，非回显ICMP，TCP扫射、UDP扫射 1 发现目标（续） ICMP扫射：利用了ICMP回显请求（利用了类型为8的ICMP报文），用来探知目标是否存活。 Unix下的ICMP扫射工具主要有ping和fping Windows下有Pinger Namp的sp选项也提供了ICMP扫射能力 广播ICMP：向目标网络地址或广播地址发送回显请求，以探知目标网络中存活的主机。 只能用于Unix下的主机 容易造成DOS 1 发现目标（续） 非回显ICMP：利用其他类型的ICMP报文探测主机是否存活 13：时间戳请求(如: icmpenum) 17：地址掩码请求 TCP扫射：利用TCP三次握手原理，向目标发送ACK或SYN报文，如果存活，则会收到RST报文 UDP扫射：发送UDP数据报到目标网络广播地址，如果收到ICMP端口不可达的错误，则目标存活。 几种Ping扫射技术的比较 2 攫取信息 得到目标主机的OS信息和开放服务的信息，即主机上运行什么系统，运行哪些网络服务。 主要技术有： 端口扫描（port scanning） 服务识别 OS探测（operating system detection） 端口扫描 取得目标主机开放的端口和服务信息 TCP Connect()扫描：利用OS提供的connect()系统调用，如果目标端口处于侦听状态，则connect()成功。 优点：系统中任何权限的用户都可使用这个调用 缺点：速度慢 TCP SYN扫描：半开扫描，只完成3次握手过程的一半。 TCP ACK扫描：用来探知防火墙过滤规则 端口扫描（续） TCP FIN扫描：基于Unix的系统，处于侦听状态端口的收到一个FIN报文后，不做回应；如果关闭，则响应一个RST报文。Win系统总是响应RST报文，只适用于Unix。 TCP XMAS扫描：向目标发送URG/PSH/FIN TCP空扫描：向目标发送一个所有标记都置0的报文。 FTP反弹扫描：利用一台服务器探测另一台主机的端口状态 优点：难以跟踪，能穿越防火墙； 缺点：速度慢 UDP扫描：类似UDP扫射，用来发现目标打开的UDP端口 服务识别 每种服务一般有对应的标准端口，但有些主机故意将某服务开设到某非标准端口； 例（主动式服务器）：扫描发现的TCP12345号端口开放，在RFC中没有定义该端口对应的服务， c:\ nc 12345 220 Micosoft FTP Service 由此可知对方在该端口上运行的是FTP服务 对于非主动式服务器：不主动提供旗标信息. 可建立服务特征数据库，通过模仿客户端发出命令，将收到的回应和数据库中的特征相比较，从而判断服务类型。 操所系统探测 目的是确定操作系统的类型，主要分两类： 利用系统旗标(banner)信息：通常被关闭或不提供该服务 利用TCP/IP堆栈指纹：不同系统或实现有不同的特征。 ICMP响应技术 TCP报文响应分析 TCP报文延时分析 被动特征探测 ICMP响应技术 向目标发送UDP或ICMP报文，然后分析目标响应的ICMP报文的内容，根据不同的响应特征来判断OS类型 例如：根据ICMP差错报文的“优先权”字段；根据ICMP差错报文引用的大小；根据ICMP差错报文回显完整性；根据ICMP报文头部的TTL字段等。 TCP报文响应分析 通过区分不同OS对特定TCP报文的不同反应，实现对OS的区分。代表：Queso, Nmap 例如：利用伪标记位（BOGUS Flag），即把SYN报文的CWR标记位的左边一位置1，然后将该非标准SYN报文发给目标TCP端口。低于2.0.35版本的LINUX内核会在回应包中保持这个标记。 例如：利用TCP选项：向目标主机发送带有可选项标记的数据包时，若OS支持这些选项，则会在返回包中也设置这些包；为增加探测的准确度，可以一次在数据包中设置多个选项 TCP报文延时分析 利用TCP报文重传的特性 优点：不会对目标主机造成任何不利影响 缺点：花费时间长 例如：使用RING探测OS类型 [root@localhost ring]# ./ring –d 28 –s 2 –p 111 –i eth0 3558202 6000667242200335 OS:Linux2.4 distance:1036218 被动协议栈指纹探测 不主动向目标系统发送分