第4章端口与系统漏洞检测.ppt

系统安全检测是系统管理员必须要做的一项工作，当一个系统架设好后，系统的管理和维护就是系统管理员的主要任务了。 为了能更好地防御黑客攻击，系统管理员必须要学会像 黑客攻击那样对系统进行安全检测的方法，然后根据得到的检测结果进行相关的安全设置。 因此，系统管理员必须要熟练掌握常用的系统检测工具，本章介绍了几款不错的安全检测工具，包括端口扫描、插件扫描和系统漏洞扫描。 第 4 章 端口扫描与系统漏洞检测 4.1 扫描原理 绝大多数应用程序都运行在TCP或UDP协议之上，这些协议是众多应用程序使用的传输机制。 端口扫描就是通过扫描主机确定哪一些TCP和UDP端口可以访问的过程。 TCP数据包的6个标志位（代表了不同的数据包）具体如下： URG：紧急数据包 ACK：确认（应答数据包） PSH：将数据强制压入缓冲区 RST：连接复位（断开连接） SYN：连接请求 FIN：TCP连接结束 TCP报文格式 4.1 扫描原理 TCP是可靠的面向连接的协议，传输数据报之前，必须先采用“三次握手”的方式建立传输连接。 TCP协议同样采用客户机/服务器模式。 客户机：主动发起建立连接请求的主机。 服务器：等待并接受连接建立请求的主机。 4.1 扫描原理 常见的端口扫描类型有以下几种： TCP Connect()扫描 SYN扫描 NULL扫描 FIN扫描 ACK扫描 Xmas-Tree扫描 Dumb扫描 4.1 扫描原理 1. TCP Connect()扫描 这种扫描试图与每一个TCP端口进行“三次握手”通信，如果能够成功建立连接，则证明端口开放，否则为关闭。 优点：准确性高 缺点：最容易被防火墙或入侵检测系统检测到，而且在目标主机的日志中会记录大批连接请求以及错误信息。 4.1 扫描原理 2. SYN扫描 这种扫描隐蔽一些，仅仅发送初始的SYN数据包给目标主机，如果端口处于开放状态，那么目标主机将响应SYN-ACK数据包；如果端口处于关闭状态，则目标主机响应RST数据包。 优点：能躲开某些防火墙的检测 缺点：许多IDS能够检测到SYN扫描 4.1 扫描原理 3. NULL扫描（反向扫描） 这种扫描将一个没有设置任何标志位的数据包发送给TCP端口。正常的TCP通信中，至少要设置标志位。根据RFC 793的要求，端口关闭的状态下，若收到没设置标志位的数据字段，则接收主机应该丢弃这个分段，并返回一个RST数据包，否则不会响应。 优点：可以辨别某台主机运行的是哪种操作系统。 缺点：使用NULL扫描要求所有主机都必须符合RFC 793标准，但现实中Windows系统主机并不遵从RFC 793标准（不管端口是否开放，收到无标志位的数据包时都返回RST数据包），故精确度相对低一些。 4.1 扫描原理 4. FIN扫描（反向扫描） 这种扫描将一个设置了FIN标志的数据包发送给目标主机的每一个端口。端口关闭的状态下，若收到设置FIN标志位的数据字段，则接收主机返回一个RST数据包，否则不会响应，则表示端口开放。 优点：更隐蔽一些。 缺点：现实中Windows系统主机并不遵从RFC 793标准，故精确度相对低一些。 4.1 扫描原理 5. ACK扫描 这种扫描使用响应包来发现防火墙的配置信息。如果某个端口被防火墙过滤，那么就不会返回数据包。若没被过滤，则返回RST数据包。通过侦听RST数据包，可了解哪些端口被防火墙过滤，哪些端口没有被防火墙过滤。 优点：常用于穿越防火墙的规则集。 4.1 扫描原理 6. Xmas-Tree扫描(圣诞树扫描） 这种扫描发送带有URG、PSH、FIN三种标志的TCP数据包。正常的TCP连接不应该同时设置这3个标志。 优点：能识别部分端口是否关闭。 缺点：依然不能确定Windows平台上端口的关闭与开放。 4.1 扫描原理 7. Dump扫描(哑扫描，Idle扫描或反向扫描） 这是另一种扫描方法，在扫描目标主机的过程中，它使用第三方的僵尸计算机作为“哑”主机进行扫描。僵尸主机是一台被入侵的空闲主机。典型情况下，这台主机并不存储敏感数据，对这样的主机的访问通常不引人注目。 在Idle扫描中，僵尸主机向目标主机发SYN包，目标主机根据端口的不同状态，发送不同的回应：端口开放时回应SYN/ACK，端口关闭时回应RST。僵尸主机对SYN/ACK回应RST，对RST不回应。因此，通过监控僵尸主机的发包数量就可以知道目标主机端口的状态。 优点：隐蔽性强，该扫描不是发自自己的计算机，而是发自某个僵尸主机。 4.1 扫描原理 漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞： 1.漏洞库的匹配方法： 端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足条件的