网络攻防原理 作者 吴礼发1-4 第04讲-网络扫描技术.pptVIP

第四讲 网络扫描技术 吴礼发，洪征，李华波 （wulifa@ ） 回顾 网络侦察的内容？ 有哪些网络侦察技术？ 内容提纲 网络扫描技术 什么是网络扫描？ 使用网络扫描软件对特定目标进行各种试探性通信，以获取目标信息的行为。 网络扫描的目的 识别目标主机的工作状态（开/关机） 识别目标主机端口的状态（监听/关闭） 识别目标主机的操作系统类型 识别目标系统可能存在的漏洞 内容提纲 一、主机扫描 向目标主机发送探测数据包，根据是否收到响应来判断主机的工作状态。 ICMP ICMP Echo ICMP Non-Echo IP 异常的IP数据报首部 错误的分片 （一）ICMP扫描 ICMP Internet控制报文协议。 ICMP的作用：提高IP报文交付成功的机会 网关或者目标机器利用ICMP与源通信。 当出现问题时，提供反馈信息用于报告错误。 ICMP报文的结构 ICMP报文种类 ICMP Echo扫描(1/5) ICMP Echo扫描(2/5) ICMP Echo扫描(3/5) 示例 ICMP Echo扫描(4/5) 示例 ICMP Echo扫描(5/5) Broadcast ICMP扫描 将ICMP请求包的目标地址设为广播地址或网络地址，则可以探测广播域或整个网络范围内的主机。 缺点： 只适合于UNIX/Linux系统，Windows 会忽略这种请求包； 这种扫描方式容易引起广播风暴 ICMP Non-Echo扫描 利用其它类型的ICMP报文进行扫描 ICMP扫描的问题 很多企业防火墙对ICMP回送请求报文进行过滤，使其无法到达目标主机。 主机上安装的个人防火墙往往也对ICMP报文进行阻断。 解决办法：使用IP数据报进行扫描。 (二）基于IP异常分组的扫描 异常的IP数据报首部：参数错 主机在收到首部异常（ Header Length Field、IP Options Field 、Version Number）的IP数据报时应当返回“参数问题”的ICMP报文。 异常的IP数据报首部：目标不可达 向目标主机发送的IP包中填充错误的字段值，目标主机或过滤设备会反馈ICMP Destination Unreachable信息。 错误的IP数据报分片 由于缺少分片而无法完成IP数据报重组（超时）时，主机应当回应“分片重组超时”的ICMP报文。 超长包探测内部路由器 若构造的数据包长度超过目标系统所在路由器的PMTU且设置禁止分段标志, 该路由器会反馈 Fragmentation Needed and Don’t Fragment Bit was Set 差错报文。 （三）反向映射探测 目标主机无法从外部直接到达，采用反向映射技术，通过目标系统的路由设备探测被过滤设备或防火墙保护的网络和主机。 想探测某个未知网络内部的结构时，可以推测可能的内部IP地址（列表），并向这些地址发送数据包。目标网络的路由器收到这些数据包时，会进行IP识别并转发，对不在其服务范围的IP包发送ICMP Host Unreachable或ICMP Time Exceeded 错误报文。 没有接收到错误报文的IP地址可认为在该网络中。 这种方法也会受过滤设备的影响。 内容提纲 端口扫描：概述 什么是端口？为什么可以进行端口扫描？ 一个端口就是一个潜在的通信信道，也就是入侵通道！ 当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和各种应用监听的端口。端口扫描技术主要包括以下三类： 开放扫描：会产生大量的审计数据，容易被对方发现，但其可靠性高； 隐蔽扫描：能有效的避免对方入侵检测系统和防火墙的检测，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息； 半开放扫描：隐蔽性和可靠性介于前两者之间。 端口扫描：方法 向目标端口发送探测数据包，根据收到的响应来判断端口的状态。 开放扫描：TCP Connect扫描 半开放扫描：SYN扫描 隐蔽扫描： FIN 扫描 Xmas扫描 Null 扫描 FTP proxy扫描 TCP报文段的结构 TCP连接的建立过程 （一）TCP Connect扫描(1/2) 尝试同目标端口建立正常的TCP连接(直接调用系统提供的connect(…)函数)。 连接建立成功 结论：目标端口开放 连接建立失败 结论：目标端口关闭 TCP Connect扫描的特点(2/2) 优点 稳定可靠，不需要特殊的权限。 缺点 扫描方式不隐蔽，服务器会记录下客户机的连接行为。 如何隐藏扫描行为？ （二）SYN扫描(1/3) SYN扫描(2/3) SYN扫描的特点(3/3) 优点 很少有系统会记录这样的行为。 缺点 需要管理员权限才可以构造这样的SYN数据包。 （三）FIN扫描(1/3) FIN扫描(2/3)