网络信息对抗第二篇网络信息收集技术.ppt

网络扫描 VS. 入室盗窃窥探 主机扫描(ping扫描) 主机扫描目的：检查目标主机是否活跃(active). 主机扫描方式 传统ICMP Ping扫描 ACK Ping扫描 SYN Ping扫描 UDP Ping扫描 主机扫描(ping扫描) 主机扫描程序 Ping Nmap: -sP选项, 缺省执行,集合了ICMP/SYN/ ACK/ UDP Ping功能 Ping扫射 Ping扫射 同时扫描大量的IP地址段，以发现某个IP地址是否绑定活跃主机的扫描 Ping扫射工具软件 UNIX: Nmap, fping, hping2 Win32: Superscan 主机扫描防范措施 单一主机Ping扫描很常见，危害性也不大，更关注Ping扫射 监测：网络入侵检测系统Snort；主机扫描监测工具Scanlogd 防御：仔细考虑对ICMP通信的过滤策略 利用Ping构建后门: loki(Phrackv51#06), pingd 端口扫描技术 端口 TCP/UDP (1-64K), 运行网络应用服务 由IANA/ICANN负责分配 端口扫描定义 连接目标主机的TCP和UDP端口，确定哪些服务正在运行即处于监听状态的过程。 端口扫描目的 防御者－更加了解所管理的网络状况，找出没有必要开放的端口并关闭，这是保证业务网络安全的第一步。 攻击者－找出可供进一步攻击的网络服务，同时结合操作系统探测技术也可以确定目标主机所安装的操作系统版本。开放网络服务和操作系统版本信息为攻击者提供了破解攻击的目标，使其更容易找出进入目标主机的漏洞路径。 TCP端口扫描 Connect扫描 调用socket 的connect() 函数连接目标端口 开放端口：完成完整的TCP三次握手(SYN, SYN|ACK, ACK)，timeout/RST 关闭端口：SYN, RST 优势弱势：无需特权用户权限可发起，目标主机记录大量连接和错误信息，容易检测 TCP端口扫描 SYN扫描 半开扫描(half-open scanning) 开放端口：攻击者SYN, 目标主机SYN|ACK, 攻击者立即反馈RST包关闭连接 关闭端口：攻击者SYN, 目标主机RST 优势弱势：目标主机不会记录未建立连接，较为隐蔽，需根用户权限构建定制SYN包 隐蔽端口扫描 隐蔽端口扫描方式 TCP连接扫描和SYN扫描并不隐蔽：防火墙会监控发往受限端口的SYN包 隐蔽端口扫描通过构造特殊的TCP标志位，以躲避检测，同时达成端口扫描目的。 FIN扫描(只带FIN位), Null扫描(全为0), XMAS扫描(FIN/URG/PUSH) FTP弹射扫描：利用FTP代理选项达到隐蔽源地址 如何达成扫描目的 开放端口：标准TCP协议规范，接受这些伪造TCP包，丢弃，无任何反馈 关闭端口：反馈RST包 Windows/Cisco等系统没有遵从规范，开放端口对于伪造TCP包也反馈RST，这三种方法不适用 UDP端口扫描 UDP端口扫描 对目标端口发送特殊定制的UDP数据报文 开放端口: UDP反馈 关闭端口: ICMP port unreachable报文 UDP端口扫描 UDP端口扫描工具 UNIX: udp_scan, nmap-sU, nc-u -v -z -w2 HOST PORT_LIST Win32: netcat , SuperScan , WinScan , WUPS, ScanLine,Nmap 端口扫描防范措施 任何攻击技术都是双刃剑 网络管理员也可利用端口扫描确定开放必要服务 端口扫描的监测 网络入侵检测系统: Snort中的portscan检测插件 系统扫描检测工具: scanlogd, PortSentry, Genius 端口扫描的预防 开启防火墙 类UNIX: netfilter/IPTables Win32: 个人防火墙 禁用所有不必要的服务,尽可能减少暴露面(进一步的受攻击面) 类UNIX: /etc/inetd.conf Win32: 控制面板/服务 系统类型探查 系统类型探查 探查活跃主机的系统及开放网络服务的类型 目标主机上运行着何种类型什么版本的操作系统 各个开放端口上监听的是哪些网络服务 目的 为更为深入的情报信息收集，真正实施攻击做好准备 如远程渗透攻击需了解目标系统操作系统类型，并配置 系统类型探查 操作系统类型探查 操作系统类型探查(OS Identification) 通过各种不同操作系统类型和版本实现机制上的差异 通过特定方法以确定目标主机所安装的操作系统类型和版本的技术手段 明确操作系统类型和版本是进一步进行安全漏洞发现和渗透攻击的必要前提 不同操作系统类型和版本的差异性 协议栈实现差异－协议栈指纹鉴别 开放端口的差异－端口扫描 应用服务的差异－