信息对抗技术知识-网络扫描 研究生课程 .pptVIP

操作系统探测技术 ACK值： ACK值不同操作系统具有不同的实现 如，发送一个FIN|PSH|URG给一个关闭的TCP端口，许多系统将设置ACK等于你的初始序列号，而Windows和某些打印机将发送seq+1； 发送SYN|FIN|URG|PSH到打开的端口，不同的Windows系统实现不一致，有些返回seq，有些seq+1，有些返回随机数 操作系统探测技术 ICMP错误信息抑制：某些操作系统按照RFC的建议，限制不同错误消息的发送速率，Eg，Linux内核限制目标不可到达消息的产生速率为4秒内80个，超过将有1/4秒的惩罚。测试方式：发送一大串包到某些随机选取的高端口，计算返回的不可到达包的数目，测试时间会稍长，可能网络丢包。 操作系统探测技术 ICMP消息引用： RFC规定：ICMP错误消息将引用一小部分导致此错误消息报的原始消息内容；对于端口不可达消息，几乎所有的实现都只发送所需要的IP头+8字节，不过Solaris引用的内容更多，Linux引用的东西最多。 ICMP错误消息回射完整性：主机对于端口不可到达错误消息将引用一小部分原始消息的内容（通常协议头部），某些系统送回的包中所引用的协议头部会被改变。某些系统送回原样的IP标识符，某些系统将送回不一致或等于0的校验和 操作系统探测技术 ICMP返回包的服务类型： ICMP端口不可到达消息，可以查看返回包中的服务类型（TOS）值，几乎所有实现都使用了0，而Linux使用0xC0。 TCP选项（options）: TCP选项是实现TCP/IP协议时可选的一部分功能，它跟不同的系统实现有关 Window Scale; Max Segment Size; Timestamp;等 端口扫描的几大武器！ 怎么才能“控制”TCP首部的标志位？我们需要怎样做呢？ 端口扫描的几大武器！ 为了能“控制”TCP的首部，随心所欲的修改TCP的标志位。我们要使用原始数据协议（RAW SOCKET）来创建套接字。我们的目的只有一个就是能够自己构造TCP首部。 下面是TCP首部构造的一些代码： //tcp 首部结构的定义 struct tcphdr { unsigned short th_sport; unsigned short th_dport; unsigned int th_seq; unsigned int th_ack; unsigned char th_vl:4,th_off:4; unsigned char th_flags; #define TH_FIN 0x01 #define TH_SYN 0x02 #define TH_RST 0x04 #define TH_PSH 0x08 #define TH_ACK 0x10 #define TH_URG 0x20 unsigned short th_win; unsigned short th_cksum; unsigned short th_urg; }; 端口扫描的几大武器！ //构造TCP首部，添入我们想要的内容 void MakeupTcp( unsigned char flags,unsigned long saddr,unsigned long daddr,unsigned short sport,unsigned dport,int seq,int ack,short win_size) { tcp-th_sport=htons(sport); tcp-th_dport=htons(dport); tcp-th_seq=(seq)?htonl(seq):htonl(88888); tcp-th_ack=(ack)?htonl(ack):htonl(99999); tcp-th_urg=0; tcp-th_off=sizeof(struct tcphdr)/sizeof(unsigned long); tcp-th_win=(win_size)?htons(win_size):htons(16384); tcp-th_flags=flags; tcp-th_cksum=0; } 端口扫描的几大武器！ 在准备好发送的TCP包后，让我们来想一想怎样抓取一个从目标主机返回的数据包，我们都需要做些什么准备工作？ 端口扫描的几大武器！ （1）设置网卡为混杂模式，也就是让网卡“思维混乱”，把所有的报文（包括IP首部）都交给我们来处理(如果未设置“混杂模式”，网络接口会有一层过滤机制，只接收两种数据帧；一种是与自己硬件地址相匹配的数据帧 ，一种是发向所有机器的广