第三章 扫描——探测漏洞(上)[yeti].pptVIP

第三章 扫描——探测漏洞（上） 3.1 简介 3.2 探测操作系统 3.3 针对特定应用和服务的漏洞扫描 3.4 综合性网络安全扫描评估工具 3.5 扫描过程中的隐藏技术 3.6 扫描对策 本章重点和复习要点 本章重点和复习要点 完全连接扫描和半连接扫描有什么不同？各有什么优缺点？ 为什么说SYN|ACK端口扫描方式可以逃避一般的包过滤型防火墙的检测？它不能逃避什么类型的防火墙的检测？为什么？ 利用Ping探测操作系统类型的实现依据是什么？如何大致区分被探测的操作系统是Windows、UNIX和Linux的哪一种？ 什么是“空会话连接”漏洞？Windows 2000设计时为什么会出现这样的漏洞？ 用图形和文字结合说明IP地址欺骗扫描的基本原理和过程。 返回首页 3.1 简介 当黑客通过踩点得到关于目标网络的敏感信息后，下一步有可能利用许多现成的工具，对目标网络进行有针对性的扫描，扫描的最终结果决定了他们能否对目标网络进行攻击。 返回首页 1.安全敏感信息（踩点得到的信息，扫描得到的关于端口开放以及OS类型的信息）：不至于直接造成黑客对目标网络的渗透和攻击，但有助于全面了解目标网络的安全状况。 2.安全漏洞信息（系统配置疏忽或软件系统自身缺陷）：黑客可以很容易地利用漏洞进入并控制目标网络，或对目标网络造成一定程度甚至全面的损害。 第一种方法：Ping——检测目标主机是否是激活的（开机状态），可简单通过禁止ping探测包来避免被扫描。 第二种方法：全面的端口扫描——不仅是为了确定其开放的网络服务，更基本的还在于确定其是否真正处于激活状态。 扫描者不仅获得目标主机对外开放的TCP和UDP端口列表，而且还能通过一些连接测试来得到监听端口返回的Banners信息。 3.1.1 端口扫描类型 3.1.2 图形界面方式的端口扫描工具——Superscan ? 速度快、可靠性高、多线程； ? 最基本的TCP Connect扫描方法； ? 进行ping扫描以及强制性端口扫描； ? 可指定任意的IP范围，方便地自定义扫描端口； ? 容易留下扫描痕迹，隐蔽性较差。 3.1.3 命令行运行方式的端口扫描工具——Fscan Windows平台；精巧而功能齐全； 既可对TCP端口扫描，也可扫描UDP端口； 例：扫描主机上所有从1~200的TCP端口： fscan –p 1-200 例：扫描~254网段，1~65535TCP端口，输出到out.txt： fscan –p 1-65535 -254 –o out.txt 3.1.4 经典的多功能扫描工具——Nmap 除了提供基本的TCP和UDP端口扫描功能外，还综合集成了众多扫描技术。现在的端口扫描类型，很大程度上是根据Nmap的功能设置来划分的。还可采用“TCP栈指纹鉴别(stack fingerprinting）”的技术来探测目标主机的操作系统类型。 3.2 探测操作系统 3.2.1 主动探测 1. 利用系统旗标（Banners）信息 最原始的探测方法，但包括ISS在内的许多网络扫描工具仍在使用。通常，操作系统及其多种服务都会暴露其“身份”，如Telnet、WWW、FTP、SMTP等，而且它实现简单。 但在许多情况下，管理员都会修改或者关闭旗标信息，或目标机器并不提供有旗标信息的服务，这种方法不起作用了。 返回首页 2. TCP栈指纹探测技术（TCP Stack Fingerprinting） TCP是有RFC标准可依的，因此绝大多数情形，按照标准实现的协议实例的表现都是相同的。但是由于以下的原因，各个操作系统实现的细节不同： ? 每个OS通常都使用自己的IP栈实现； ? TCP/IP规范并不是被严格地执行，每个实现有自己特点； ? 规范中的一些选择性的特性可能只在某些系统中使用； ? 某些系统私自对IP协议做了改进。 这就可以区别不同的操作系统。这项新技术已在checkos、Queso、nmap等探测器中使用。影响OS探测的因素包括： ? 对TCP FIN包的应答处理 ? 对虚假Flag探测包的应答处理 ? 初始序列号（ISN）采样 ? TCP初始窗口大小 ? 监视“不要分片（DF）”位