网络扫描和网络监听.pptVIP

* 二 扫描 扫描的目的就是利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟正常的连接或攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。 扫描可以定位节点、发现运行的服务、发现可能的安全漏洞 * 扫描器 扫描器主要分主机扫描器及网络扫描器两大类型： 主机扫描器用于扫描本地主机，查找安全漏洞，查杀病毒，木马，蠕虫等危害系统安全的恶意程序 我们主要关注网络扫描器 * 扫描器究竟能干什么？ 端口及服务检测:检测 目标主机上开放端口及运行的服务，并提示安全隐患的可能存在与否 后门程序检测:检测PCANYWAY VNC BO2K 冰河等等远程控制程序是否有存在于目标主机 密码探测:检测 操作系统用户密码，FTP、POP3、Telnet等等登陆或管理密码的脆弱性. 应用程序安全性探测:检测 CGI漏洞，WEB服务器[IIS，APACHE等，FTP服务器等的安全漏洞 * D.o.S.探测 检测 各种拒绝服务漏洞是否存在 系统探测 检测 系统信息比如NT 注册表，用户和组，网络情况等 输出报告 将检测结果整理出清单报告给用户，许多扫描器也会同时提出安全漏洞解决方案 用户自定义接口 一些扫描器允许用户自己添加扫描规则，并为用户提供一个便利的接口，比如俄罗斯SSS的Base SDK * 什么人经常使用/需要使用这种工具？ 提供安全检测服务的安全公司的技术员在得到客户授权后，需要使用扫描工具来对客户的主机进行漏洞发掘，查点工作，在对主机彻头彻尾检查过之后，才能完成他的工作--提交给客户关于主机完整详细的安全解决方案  * 网络脚本小子[Script kiddie]，在网络上四处搜寻一些公开exploit信息，搜索引擎等WEB工具，匹配特殊的字符串来搜索存在这些漏洞的主机，以进行他们的游戏，在这个过程中扫描工具绝对是他们的一大帮凶，没有扫描工具的协助，他们很可能不能如此迅速 没有了扫描工具意味着无法进行入侵行动,进入你的主机！ 可见，存在于网络上的扫描工具亦正亦邪，关键在于使用它们的人的动机。 * 1. 主机扫描技术 主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果直接影响到后续的扫描。 常用的传统扫描手段有： ICMP Echo扫描 ICMP Sweep扫描 Broadcast ICMP扫描 Non-Echo ICMP扫描 * 主机扫描技术举例：ICMP echo扫描 实现原理：Ping的实现机制，在判断在一个网络上主机是否开机时非常有用。向目标主机发送ICMP Echo Request (type 8)数据包，等待回复的ICMP Echo Reply 包(type 0) 。如果能收到，则表明目标系统可达，否则表明目标系统已经不可达或发送的包被对方的设备过滤掉。 优点：简单，系统支持，可以通过并行发送，同时探测多个目标主机，以提高探测效率（ICMP Sweep扫描）。 缺点：很容易被防火墙限制。 * 主机扫描技术举例： Non-Echo ICMP扫描 一些其它ICMP类型包也可以用于对主机或网络设备的探测，如： Stamp Request (Type 13):请求系统返回当前时间。目的是查看系统所在的时区。 Reply (Type 14) Information Request (Type 15) Reply (Type 16) Address Mask Request (Type 17):地址掩码请求分组，即能请求返回某个设备的子网掩码。 Reply (Type 18) * 2. 扫描——确定哪些服务在运行 端口扫描：连接到目标系统的TCP和UDP端口上，确定哪些服务正在运行，即处于监听状态。 确认监听着的端口对于确定目标系统所使用的操作系统和应用程序的类型至关重要。 目的： 确定运行在目标系统上的TCP服务和UDP服务。 确定目标系统的操作系统类型。 确定特定的应用程序或特定服务的版本。 * 端口扫描技术 当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和各种应用监听的端口。端口扫描技术主要包括以下三类： 开放扫描 会产生大量的审计数据，容易被对方发现，但其可靠性高； 隐蔽扫描 能有效的避免对方入侵检测系统和防火墙的检测，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息； 半开放扫描 隐蔽性和可靠性介于前两者之间。 * 开放扫描技术——TCP Connect 扫描 实现原理：通过调用socket函数connect()连接到目标计算机上，完成一次完整的三次握手过程。如果端口处于侦听状态，那么connect