安全产品介绍-漏洞扫描系统.ppt

参考文献 ICMP Usage in Scanning Nmap Remote OS Detection /nmap/nmap-fingerprinting-article.html /downloads/document/Ss.ppt * * 开放扫描技术 TCP Connect 扫描 TCP反向ident扫描 TCP Connect 扫描 实现原理：通过调用socket函数connect()连接到目标计算机上，完成一次完整的三次握手过程。如果端口处于侦听状态，那么connect()就能成功返回。否则，这个端口不可用，即没有提供服务。 优点：稳定可靠，不需要特殊的权限 缺点：扫描方式不隐蔽，服务器日志会记录下大量密集的连接和错误记录 ，并容易被防火墙发现和屏蔽 TCP反向ident扫描 实现原理：ident 协议允许看到通过TCP连接的任何进程的拥有者的用户名，即使这个连接不是由这个进程开始的。比如，连接到http端口，然后用identd来发现服务器是否正在以root权限运行。 缺点：这种方法只能在和目标端口建立了一个完整的TCP连接后才能看到。 半开放扫描技术 TCP SYN 扫描 TCP间接扫描 TCP SYN 扫描 实现原理：扫描器向目标主机端口发送SYN包。如果应答是RST包，那么说明端口是关闭的；如果应答中包含SYN和ACK包，说明目标端口处于监听状态，再传送一个RST包给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半连接扫描 优点：隐蔽性较全连接扫描好，一般系统对这种半扫描很少记录 缺点：通常构造SYN数据包需要超级用户或者授权用户访问专门的系统调用 TCP间接扫描 实现原理：利用第三方的IP（欺骗主机）来隐藏真正扫描者的IP。由于扫描主机会对欺骗主机发送回应信息，所以必须监控欺骗主机的IP行为，从而获得原始扫描的结果。扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描，并通过观察其IP序列号的增长规律获取端口的状态 优点：隐蔽性好 缺点：对第三方主机的要求较高 隐蔽扫描技术 TCP FIN 扫描 TCP Xmas扫描 TCP Null 扫描 TCP ftp proxy扫描 分段扫描 TCP FIN 扫描 实现原理：扫描器向目标主机端口发送FIN包。当一个FIN数据包到达一个关闭的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是打开的端口，数据包只是简单的丢掉（不返回RST）。 优点：由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而必SYN扫描隐蔽得多，FIN数据包能够通过只监测SYN包的包过滤器。 缺点： 跟SYN扫描类似，需要自己构造数据包，要求由超级用户或者授权用户访问专门的系统调用； 通常适用于UNIX目标主机，除过少量的应当丢弃数据包却发送RST包的操作系统（包括CISCO，HP/UX，MVS和IRIX）。但在Windows95/NT环境下，该方法无效，因为不论目标端口是否打开，操作系统都返回RST包。 TCP Xmas 和TCP Null 扫描 实现原理：TCP Xmas和Null扫描是FIN扫描的两个变种。Xmas扫描打开FIN，URG和PUSH标记，而Null扫描关闭所有标记。这些组合的目的是为了通过对FIN标记数据包的过滤。当一个这种数据包到达一个关闭的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是打开的端口，数据包只是简单的丢掉（不返回RST）。 优点：隐蔽性好； 缺点： 需要自己构造数据包，要求由超级用户或者授权用户权限； 通常适用于UNIX目标主机，而Windows系统不支持。 TCP ftp proxy扫描 实现原理：FTP代理连接选项，其目的是允许一个客户端同时跟两个FTP服务器建立连接，然后在服务器之间直接传输数据。然而，在大部分实现中，实际上能够使得FTP服务器发送文件到Internet的任何地方。该方法正是利用了这个缺陷，其扫描步骤如下： 1：假定S是扫描机，T是扫描目标，F是一个ftp服务器，这个服务器支持代理选项，能够跟S和T建立连接。 2：S与F建立一个ftp会话，使用PORT命令声明一个选择的端口（称之为p－T）作为代理传输所需要的被动端口。 3：然后S使用一个LIST命令尝试启动一个到p－T的数据传输。 4：如果端口p－T确实在监听，传输就会成功（返回码150和226被发送回给S），否则S回收到425无法打开数据连接的应答。 5：S持续使用PORT和LIST命令，直到T上所有的选择端口扫描完毕。 优点：FTP代理扫描不但难以跟踪，而且可以穿越防火墙 缺点：一些ftp server禁止这种特性 分段扫描 实现原理：并不直接发送TCP探测数据包，是将数