第3章 网络扫描技术.pptVIP

第3章 网络扫描技术 3.1 Ping扫射 3.2 端口扫描 3.3 常用扫描器 3.4 操作系统检测 3.5 可视化信息获取工具 3.6 小结 3.1 Ping扫射 3.1.1 ICMP扫射 使用ICMP协议分组可以确定目标IP地址是否存活，这只要简单地向目标系统发送一个ICMP ECHO请求(ICMP类型8)分组，然后等待片刻，看是否可以收到ICMP ECHO响应(ICMP类型0)分组。如果收到ICMP ECHO响应就表示目标存活；没有响应则表示目标关机。用这种方法连续查询多台主机称为Ping扫射。Ping扫射是最基本的网络映射方法。 系统自带的Ping命令经常用来对TCP/IP网络进行诊断。通过向目标计算机发送一个ICMP ECHO数据包，让它将这个数据包返送回来，如果返回的数据包和发送的数据包一致，那就说明你的Ping命令成功了。通过这种方式对返回的数据进行分析，就能判断计算机是否开着，或者这个数据包从发送到返回需要多长时间。这种方法的缺点在于扫描速度太慢。 在UNIX和Windows系统上有众多的工具可用来执行Ping扫射。 UNIX系统： fping gping[1] nmap[2] Windows系统： Pinger，来自Rhino9[3] Pinger是最快的ICMP扫射工具之一。其优点在于能够同时发送多个ICMP ECHO数据分组，然后等待它们的响应。它还允许对主机名字进行解析并把结果保存到文件当中。 阻塞ICMP扫射相对来说比较容易，只要禁止ICMP ECHO请求数据包从网络外部进入内部网络即可。 [1]. /pub/UNIX/src/ [2]. [3]. /security/tools.htm 3.1.2 广播ICMP 向网络或者广播地址发送ICMP ECHO请求是获取整个目标网络地址映射信息的最简单的一种方法。这些请求将被广播到目标网络中所有存活的主机，而这些主机将发送ICMP ECHO应答数据包到攻击者。整个过程如图3-1所示。 利用这种扫描技术我们可以区分UNIX系统和Windows系统。对于UNIX系统，它通常会对这些发送到网络地址的请求数据包进行应答，而Windows系统则是简单地忽略这些请求数据包。 3.1.3 Non-ECHO ICMP 阻塞进入网络的ICMP ECHO请求数据包还不够，我们还可以使用非ECHO类ICMP协议分组来收集一个系统的不同信息。 ICMP类型13消息(Timestamp)和ICMP类型17消息(Address Mask Request)就是很好的例子。 ICMP时间戳请求和响应数据包允许系统查询另外一个系统的当前时间。而ICMP地址掩码请求和响应数据包用于无盘系统在系统引导时获得网络的子网掩码。利用这种请求数据包，我们可以获得特定设备的网络掩码。 能够完成这类扫描技术的工具有：icmpush和icmpquery。 许多防火墙的配置都不允许任何ICMP ECHO数据包通过，在这种情况下，非ECHO请求数据包就成了一种有效识别主机系统的手段。 即使ICMP通信无法通过边界路由器或者防火墙，仍然可以使用其他技术来确定目标系统是否存活，尽管这些技术的准确性不如ICMP扫射。 3.1.4 TCP扫射 TCP的连接建立过程称为“三次握手”，整个过程由三个数据包组成： (1) 客户发送一个SYN置位的包，指定相应的服务器端口号和客户端的初始序列号。 (2) 如果服务器的服务(或者端口)是激活的，服务器将用一个包含服务器初始序列号的ACK、SYN包来响应。如果由客户端所指定的服务器端口没有激活(不处于侦听状态)，服务器将发送一个RESET包，连接被复位。 (3) 如果客户端收到ACK、SYN包，则发送相应的ACK应答包，连接建立完毕。 那系统在什么情况下会发送一个RESET包呢？通常是只要一个到达的包看起来不像是属于某条参考连接(Referenced Connection)的一个正确的包。所谓参考连接就是由目的IP地址和端口号，源IP地址和端口号确定的连接(RFC 793，/rfc/rfc0793.txt)。 而TCP扫射(Sweeps)技术，发送的不是ICMP ECHO请求分组，而是TCP ACK或者TCP SYN分组(根据发送者是否拥有超级用户权限而定)。端口号可以根据实际情况选择，通常会在下列几个端口号之中选择其一：21/22/23/25/80，特别是目标网络受到防火墙保护时更是如此。如果发送端可以收到响应，通常意味着目标系统是存活的。响应的具体内容视所使用的目标操作系统、防火墙、路由器或者分组过滤设备而定。需要