CIW-05(扫描技术、应用程序漏洞的攻击).ppt

* * * * 端口扫描技术 当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和各种应用监听的端口。端口扫描技术主要包括以下三类： 开放扫描 会产生大量的审计数据，容易被对方发现，但其可靠性高； 隐蔽扫描 能有效的避免对方入侵检测系统和防火墙的检测，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息； 半开放扫描 隐蔽性和可靠性介于前两者之间。 开放扫描技术 TCP Connect 扫描 TCP反向ident扫描 TCP Connect 扫描 实现原理：通过调用socket函数connect()连接到目标计算机上，完成一次完整的三次握手过程。如果端口处于侦听状态，那么connect()就能成功返回。否则，这个端口不可用，即没有提供服务。 优点：稳定可靠，不需要特殊的权限 缺点：扫描方式不隐蔽，服务器日志会记录下大量密集的连接和错误记录 ，并容易被防火墙发现和屏蔽 TCP反向ident扫描 实现原理：ident 协议允许看到通过TCP连接的任何进程的拥有者的用户名，即使这个连接不是由这个进程开始的。比如，连接到http端口，然后用identd来发现服务器是否正在以root权限运行。 缺点：这种方法只能在和目标端口建立了一个完整的TCP连接后才能看到。 半开放扫描技术 TCP SYN 扫描 TCP间接扫描 TCP SYN 扫描 实现原理：扫描器向目标主机端口发送SYN包。如果应答是RST包，那么说明端口是关闭的；如果应答中包含SYN和ACK包，说明目标端口处于监听状态，再传送一个RST包给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半连接扫描 优点：隐蔽性较全连接扫描好，一般系统对这种半扫描很少记录 缺点：通常构造SYN数据包需要超级用户或者授权用户访问专门的系统调用 TCP间接扫描 实现原理：利用第三方的IP（欺骗主机）来隐藏真正扫描者的IP。由于扫描主机会对欺骗主机发送回应信息，所以必须监控欺骗主机的IP行为，从而获得原始扫描的结果。扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描，并通过观察其IP序列号的增长规律获取端口的状态 优点：隐蔽性好 缺点：对第三方主机的要求较高 隐蔽扫描技术 TCP FIN 扫描 TCP Xmas扫描 TCP Null 扫描 TCP ftp proxy扫描 分段扫描 TCP FIN 扫描 实现原理：扫描器向目标主机端口发送FIN包。当一个FIN数据包到达一个关闭的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是打开的端口，数据包只是简单的丢掉（不返回RST）。 优点：由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而必SYN扫描隐蔽得多，FIN数据包能够通过只监测SYN包的包过滤器。 缺点： 跟SYN扫描类似，需要自己构造数据包，要求由超级用户或者授权用户访问专门的系统调用； 通常适用于UNIX目标主机，除过少量的应当丢弃数据包却发送RST包的操作系统（包括CISCO，HP/UX，MVS和IRIX）。但在Windows环境下，该方法无效，因为不论目标端口是否打开，操作系统都返回RST包。 TCP Xmas 和TCP Null 扫描 实现原理：TCP Xmas和Null扫描是FIN扫描的两个变种。Xmas扫描打开FIN，URG和PUSH标记，而Null扫描关闭所有标记。这些组合的目的是为了通过对FIN标记数据包的过滤。当一个这种数据包到达一个关闭的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是打开的端口，数据包只是简单的丢掉（不返回RST）。 优点：隐蔽性好； 缺点： 需要自己构造数据包，要求由超级用户或者授权用户权限； 通常适用于UNIX目标主机，而Windows系统不支持。 TCP ftp proxy扫描 实现原理?在ftp协议中，数据连接可以与控制连接位于不同的机器上?让ftp server与目标主机建立连接，而且目标主机的端口可以指定?如果端口打开，则可以传输否则，返回425 Cant build data connection: Connection refused. ?Ftp这个缺陷还可以被用来向目标(邮件,新闻)传送匿名信息 ?优点：这种技术可以用来穿透防火墙 ?缺点：慢，且有些ftp server禁止这种特性 分段扫描 实现原理：并不直接发送TCP探测数据包，是将数据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包，从而包过滤器就很难探测到。 优点：隐蔽性好，可穿越防火墙 缺点： 可能被丢弃； 某些程序在处理这些小数据包时会出现异常。 栈指纹OS识别技术（一） 原理：根据各个OS在TCP/IP协议栈实现上的不同