4章。端口扫描与系统漏洞检测.ppt

系统安全检测是系统管理员必须要做的一项工作，当一个系统架设好后，系统的管理和维护就是系统管理员的主要任务了。 为了能更好地防御黑客攻击，系统管理员必须要学会像 黑客攻击那样对系统进行安全检测的方法，然后根据得到的检测结果进行相关的安全设置。 因此，系统管理员必须要熟练掌握常用的系统检测工具，本章介绍了几款不错的安全检测工具，包括端口扫描、插件扫描和系统漏洞扫描。;第 4 章 端口扫描与系统漏洞检测;4.1 扫描原理;TCP报文格式;4.1 扫描原理;常见的端口扫描类型有以下几种： TCP Connect()扫描 SYN扫描 NULL扫描 FIN扫描 ACK扫描 Xmas-Tree扫描 Dumb扫描 ;1. TCP Connect()扫描 这种扫描试图与每一个TCP端口进行“三次握手”通信，如果能够成功建立连接，则证明端口开放，否则为关闭。 优点：准确性高 缺点：最容易被防火墙或入侵检测系统检测到，而且在目标主机的日志中会记录大批连接请求以及错误信息。;2. SYN扫描 这种扫描隐蔽一些，仅仅发送初始的SYN数据包给目标主机，如果端口处于开放状态，那么目标主机将响应SYN-ACK数据包；如果端口处于关闭状态，则目标主机响应RST数据包。 优点：能躲开某些防火墙的检测 缺点：许多IDS能够检测到SYN扫描;3. NULL扫描（反向扫描） 这种扫描将一个没有设置任何标志位的数据包发送给TCP端口。正常的TCP通信中，至少要设置标志位。根据RFC 793的要求，端口关闭的状态下，若收到没设置标志位的数据字段，则接收主机应该丢弃这个分段，并返回一个RST数据包，否则不会响应。 优点：可以辨别某台主机运行的是哪种操作系统。 缺点：使用NULL扫描要求所有主机都必须符合RFC 793标准，但现实中Windows系统主机并不遵从RFC 793标准（不管端口是否开放，收到无标志位的数据包时都返回RST数据包），故精确度相对低一些。;4. FIN扫描（反向扫描） 这种扫描将一个设置了FIN标志的数据包发送给目标主机的每一个端口。端口关闭的状态下，若收到设置FIN标志位的数据字段，则接收主机返回一个RST数据包，否则不会响应，则表示端口开放。 优点：更隐蔽一些。 缺点：现实中Windows系统主机并不遵从RFC 793标准，故精确度相对低一些。;5. ACK扫描 这种扫描使用响应包来发现防火墙的配置信息。如果某个端口被防火墙过滤，那么就不会返回数据包。若没被过滤，则返回RST数据包。通过侦听RST数据包，可了解哪些端口被防火墙过滤，哪些端口没有被防火墙过滤。 优点：常用于穿越防火墙的规则集。;6. Xmas-Tree扫描(圣诞树扫描） 这种扫描发送带有URG、PSH、FIN三种标志的TCP数据包。正常的TCP连接不应该同时设置这3个标志。 优点：能识别部分端口是否关闭。 缺点：依然不能确定Windows平台上端口的关闭与开放。 ;7. Dump扫描(哑扫描，Idle扫描或反向扫描） 这是另一种扫描方法，在扫描目标主机的过程中，它使用第三方的僵尸计算机作为“哑”主机进行扫描。僵尸主机是一台被入侵的空闲主机。典型情况下，这台主机并不存储敏感数据，对这样的主机的访问通常不引人注目。 在Idle扫描中，僵尸主机向目标主机发SYN包，目标主机根据端口的不同状态，发送不同的回应：端口开放时回应SYN/ACK，端口关闭时回应RST。僵尸主机对SYN/ACK回应RST，对RST不回应。因此，通过监控僵尸主机的发包数量就可以知道目标主机端口的状态。 优点：隐蔽性强，该扫描不是发自自己的计算机，而是发自某个僵尸主机。;4.1 扫描原理;4.1 扫描原理;4.1 扫描原理;4.2 扫描工具;4.2 扫描工具;4.2 扫描工具;4.2 扫描工具;4.2 扫描工具;4.2 扫描工具;4.2 扫描工具;4.2 扫描工具;4.2 扫描工具;打开官方网站：/ 下载nmap-4.76-win32.zip 和 nmap-4.76-setup.exe 解压安装Winpcap，注册表导入 开始-运行，打开CMD，进入Nmap目录，运行，输入Nmap或Nmap –h查看帮助;Nmap被开发用于允许系统管理员查看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描，TCP connect()、TCP SYN (half open)、 ICMP ping、 FIN、ACK、Xmas-Tree、SYN 和Null扫描等。 Nmap还提供一些实用功能，如通过TCP/IP来辨别操作系统类型、秘密扫描、动态延迟和重发、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述等。 运行Nmap后通常会得到一个关于你扫描的机器