网络与内容安全-005.漏洞扫描技术.ppt

-23- 主要扫描技术(Cont.) Non-Echo ICMP扫描 -探测网络设备 -ICMP的服务类型（Stamp Request、 Information Request、 Address Mask Request） ICMP Sweep 扫描 -使用ICMP Echo Request一次探测多个目标主机 -适用于大范围的评估 -24- 主要扫描技术(Cont.) 主机扫描技术－高级技术 原理：ICMP错误报文 异常的IP包头 -发送包头错误的IP包 -反馈ICMP Parameter Problem Error信息 在IP头中设置无效的字段值 -发送的IP包中填充错误的字段值 -反馈ICMP Destination Unreachable信息 -25- 主要扫描技术(Cont.) -26- 主要扫描技术(Cont.) -27- 主要扫描技术(Cont.) 错误的数据分片 -收到错误的数据分片（如某些分片丢失） -反馈ICMP Fragment Reassembly Time Exceeded 通过超长包探测内部路由器 -数据包长度超过路由器的PMTU且设置禁止分片标志 -反馈Fragmentation Needed and Don’t Fragment Bit was Set 反向映射探测 -构造可能的内部IP地址列表，并向这些地址发送数据包 -反馈ICMP Host Unreachable或ICMP Time Exceeded -28- 主要扫描技术(Cont.) ---端口扫描技术 端口扫描技术 开放扫描 -可靠性高但易被发现 隐蔽扫描 -能有效避免检测但易被丢弃 半开放扫描 -隐蔽性和可靠性介于前两者之间 -29- 主要扫描技术(Cont.) 开放扫描技术:TCP Connect 扫描;TCP反向ident扫描 TCP Connect 扫描 -实现原理：通过调用socket函数connect()连接到目标主机 -优点：稳定可靠，不需要特殊的权限 -缺点：不隐蔽，易被发现和屏蔽 Reverse-ident扫描 -实现原理：Ident协议(RFC1413)鉴别TCP连接的用户 -只能在tcp全连接之后才有效 -30- 主要扫描技术(Cont.) 半开放扫描技术:TCP SYN 扫描；TCP间接扫描 TCP SYN扫描 -实现原理：发送SYN包，如果应答中包含SYN和ACK包，再传 送一个RST包给目标机从而停止建立连接。 -优点：隐蔽性较全连接扫描好 -缺点：需要超级用户或者授权用户访问专门的系统调用 TCP间接扫描 -实现原理：伪造第三方主机IP地址向目标主机发起SYN扫描 -优点：隐蔽性好 -缺点：对第三方主机的要求较高 -31- 主要扫描技术(Cont.) 隐蔽扫描技术 TCP FIN 扫描 -实现原理：发送FIN包 -优点：比SYN扫描隐蔽 -缺点：需构造数据包，需访问专门的系统调用；常用于UNIX TCP Xmas和TCP Null扫描 -实现原理：FIN扫描的两个变种 -优点：隐蔽性好 -缺点：需构造数据包，需访问专门的系统调用；常用于UNIX -32- 主要扫描技术(Cont.) TCP ftp proxy扫描 -实现原理：FTP代理连接选项允许一个客户端同时跟两个FT P服务器建立连接，然后在服务器之间直接传输数据 -优点：隐蔽性好 -缺点：一些ftp server禁止此特性 分段扫描 -实现原理：将一个TCP头分成好几个数据包 -优点：隐蔽性好 -缺点：可能被丢弃和出现异常 -33- 主要扫描技术(Cont.) UDP扫描 -原理：利用UDP端口关闭时返回的ICMP信息 -优点：隐蔽性好 -缺点：速度慢、精度低 -34- 主要扫描技术(Cont.) -35- 主要扫描技术(Cont.)--- 服务识别技术 服务识别技术 根据端口判定 -原理：利用端口与服务对应的关系 -缺点：精度较低 BANNER -原理：模拟各种协议初始化握手，获取信息 -优点：相对精确 -36- 主要扫描技术(Cont.) 对Banner的伪装 -37- 主要扫描技术(Cont.)---栈指纹OS识别技术 栈指纹OS识别技术 原理：各个OS在TCP/IP协议栈实现上的不同 被动扫描 -对数据包的不同特征进行分析 -优点：隐蔽性好 -缺点：速度慢、可靠性不高；依赖于拓扑结构和过滤规则 主动扫描 -发送构造的特殊包并监控其应答的方式 -优点：速度快、可靠性高 -缺点：依赖于目标系统网络拓扑结构和过滤规则 -38- 第五章 漏洞扫描技术 5 1. 漏洞扫描概述 2. 安全