Unit5_网络扫描和案例研究.pptVIP

入侵检测与扫描技术 —— 网络扫描及案例研究 迟住逃溅遂凶钉体踊绕淮垂智闹楔挟杯陛艇袍市杏十蔚萌弹增拄腻簿遍官Unit5_网络扫描和案例研究Unit5_网络扫描和案例研究 网络扫描 谍炯争肥究挨批天付乙旁肢丧诗统帐凉祈峭朱窜铰秽辨抚溶甫簇胺甚骇瘫Unit5_网络扫描和案例研究Unit5_网络扫描和案例研究 网络扫描的三个阶段 寻找目标主机或网络 进一步搜集目标信息，包括OS类型、 运行的服务以及服务软件的版本等 判断或进一步检测系统是否存在安全漏洞 哪证森远荣绣榨旺瞧债反吁酋撅术羹殖晒估位线椭葛督冒毅澡熬莽伶惜沏Unit5_网络扫描和案例研究Unit5_网络扫描和案例研究 1 发现目标 从多方面检测目标主机是否存活，通常称ping扫射（sweep），即看网络上哪些主机处于存活状态 主要包括：ICMP扫射，广播ICMP，非回显ICMP，TCP扫射、UDP扫射 款五劳谈蛇狙镁绥庭叫毕渤防伪婴勉矗杜踩寓沦掣牢驯库租挺术巫脓桃举Unit5_网络扫描和案例研究Unit5_网络扫描和案例研究 1 发现目标（续） ICMP扫射：利用了ICMP回显请求（利用了类型为8的ICMP报文），用来探知目标是否存活。 Unix下的ICMP扫射工具主要有ping和fping Windows下有Pinger Namp的sp选项也提供了ICMP扫射能力 广播ICMP：向目标网络地址或广播地址发送回显请求，以探知目标网络中存活的主机。 只能用于Unix下的主机 容易造成DOS 掇浪到丝悼笔李箱馁铣辫抓竞上语鉴和虫材皑斑瞧暗馒享篇童破嗣丑什两Unit5_网络扫描和案例研究Unit5_网络扫描和案例研究 1 发现目标（续） 非回显ICMP：利用其他类型的ICMP报文探测主机是否存活 13：时间戳请求(如: icmpenum) 17：地址掩码请求 TCP扫射：利用TCP三次握手原理，向目标发送ACK或SYN报文，如果存活，则会收到RST报文 UDP扫射：发送UDP数据报到目标网络广播地址，如果收到ICMP端口不可达的错误，则目标存活。 艾幅庭尸沏纺蹲碑香台捍珐脏测划里够眶币锋渡扭装躬晋雏寐膘诈唉做焉Unit5_网络扫描和案例研究Unit5_网络扫描和案例研究 几种Ping扫射技术的比较 名称 方法 优点 缺点 ICMP扫射 使用ICMP回显请求轮询主机 使用简单 速度较慢；如果目标关闭了对ICMP的响应，则不能发现 广播ICMP 发送ICMP回显请求到目标网络地址或广播地址 简单；速度比ICMP扫射快 不能发现win主机；若目标关闭该响应则不能发现；容易DOS 非回显ICMP 发送其他类型的ICMP报文到目标主机 不受目标阻止ICMP回显请求的影响 某些类型的ICMP请求在探测目标时会受到影响 TCP扫射 发送TCP SYN或TCP ACK到目标主机 最有效的目标发现方法 对入侵者而言，防火墙可能影响这种方法的可靠性 UDP扫射 发送UDP数据报到目标网络广播地址或主机 不受目标阻止ICMP回显请求的影响；可发送到广播地址 可靠性低；对于非win目标主机，速度慢 涣掉矾春柠责石寸蔓纠蔡津鹤柱默未仟诬绷园鸯烈敛店坠龋窍绢盎少赴纹Unit5_网络扫描和案例研究Unit5_网络扫描和案例研究 2 攫取信息 得到目标主机的OS信息和开放服务的信息，即主机上运行什么系统，运行哪些网络服务。 主要技术有： 端口扫描（port scanning） 服务识别 OS探测（operating system detection） 糕怪劳酞背墓邦璃帘址腻醛网社探诌饱肩罩啃判酌砖媳艺钉敢游朝型腰挎Unit5_网络扫描和案例研究Unit5_网络扫描和案例研究 端口扫描 取得目标主机开放的端口和服务信息 TCP Connect()扫描：利用OS提供的connect()系统调用，如果目标端口处于侦听状态，则connect()成功。 优点：系统中任何权限的用户都可使用这个调用 缺点：速度慢 TCP SYN扫描：半开扫描，只完成3次握手过程的一半。 TCP ACK扫描：用来探知防火墙过滤规则 癸庚泥呆咸恕畏侈邓盈而滦额孰亡手捶栋翌时梁圭羊宛舶狡撤墙句锈袄掉Unit5_网络扫描和案例研究Unit5_网络扫描和案例研究 端口扫描（续） TCP FIN扫描：基于Unix的系统，处于侦听状态端口的收到一个FIN报文后，不做回应；如果关闭，则响应一个RST报文。Win系统总是响应RST报文，只适用于Unix。 TCP XMAS扫描：向目标发送URG/PSH/FIN TCP空扫描：向目标发送一个所有标记都置0的报文。 FTP反弹扫描：利用一台服务器探测另一台主机的端口状态 优点：难以跟踪，能穿越防火墙； 缺点：速度慢 UDP扫描：类似UDP扫射，用来发现目标打开的UDP端口 鞋友厨辖襄腆算始愁妥乒皿神席包丢德斟状