计算机安全技术TOOLS教程课件5.3 实例：端口与漏洞扫描及网络监听.docVIP

5.3 实例：端口与漏洞扫描及网络监听 1．漏洞扫描与网络监听 扫描与监听的实验环境如图5-6所示。 图5-6 实验环境 入侵者（）：运行x-scan对进行漏洞扫描。 被入侵者（）：用Analyzer分析进来的数据包，判断是否遭到扫描攻击。 第1步：入侵者，启动x-scan，设置参数。 安装好x-scan后，有两个运行程序：xscann.exe和xscan_gui.exe。xscann.exe是扫描器的控制台版本，xscan_gui.exe是扫描器的窗口版本。 在此运行窗口版本（xscan_gui.exe），如图5-7所示。单击工具栏最左边的【设置扫描参数】按钮，进行相关参数的设置，比如扫描范围的设定，xscanner可以支持对多个IP地址的扫描，也就是说使用者可以利用xscanner成批扫描多个IP地址，例如在IP地址范围内输入～55。如果只输入一个IP地址，扫描程序将针对单独的IP地址进行扫描，在此输入。 第2步：入侵者，进行漏洞扫描。 如图5-7所示，单击工具栏左边第二个按钮，即三角形按钮。进行漏洞扫描。 图5-7 启动x-scan，设置参数 第3步：入侵者，扫描结果。 如图5-8所示，【普通信息】标签页显示漏洞扫描过程中的信息，【漏洞信息】标签页显示可能存在的漏洞，比如终端服务（端口3389）的运行，就为黑客提供了很好的入侵通道。 第4步：被入侵者，网络监听。 由于Analyzer 3.0a12在Windows 2003 SP2下不能正常运行（在Windows XP SP3下可以正常运行），因此选用以前的版本Analyzer 2.2进行测试，读者可以在http://analyzer.polito.it/ download.htm下载。 提示： 安装Analyzer之前，先安装WinPcap。 在入侵者运行xscan_gui.exe之前被入侵者运行analyzer。在入侵者运行xscan_gui.exe漏洞扫描结束后，停止Analyzer的抓包，然后分析Analyzer抓获的数据包，如图5-9所示，对从发来的数据包进行分析，可知对进行了端口和漏洞扫描。 图5-8 扫描结果 2．扫描器的组成 扫描器是指自动监测远程或本地主机安全性弱点的程序。可以被黑客利用的扫描器有主机存活扫描器、端口扫描器和漏洞扫描器。扫描器一般是由用户界面、扫描引擎、扫描方法集、漏洞数据库、扫描输出报告等模块组成。整个扫描过程由用户界面驱动，首先由用户建立新会话，选定扫描策略，启动扫描引擎，然后根据用户制订的扫描策略，扫描引擎开始调度扫描方法，扫描方法根据漏洞数据库中的漏洞信息对目标系统进行扫描，最后由报告模块组织扫描结果并输出。 扫描器的关键是要有一个组织良好的漏洞数据库和相应的扫描方法集。漏洞数据库是核心，一般含漏洞编号、分类、受影响系统、漏洞描述、修补方法等内容。扫描方法集则要根据漏洞描述内容，提取出漏洞的主要特征，进一步转化出检测出这个漏洞的方法，这是一个技术实现的过程。 漏洞数据库的建立需要一大批安全专家和技术人员长期协同工作，目前国内外都有相应的组织开展这方面的工作，最具影响力的就是CVE（Common Vulnerabilites and Exposures）。由于新的漏洞层出不穷，所以必须时刻注意漏洞数据库和检测方法集的更新。 图5-9 被入侵者进行网络监听 3．漏洞 漏洞一词是从英文单词Vulnerability翻译而来，Vulnerability应译为“脆弱性”，但是中国的技术人员已经更愿意接受“漏洞（Hole）”这一通俗化的名词。 4．端口扫描 （1）端口扫描的定义 端口扫描是通过TCP/UDP的连接，判断目标主机上是否有相关的服务正在运行，并且进行监听。如使用端口扫描器Advanced Port Scanner对某网段进行扫描，结果如图5-10所示。 图5-10 用Advanced Port Scanner对某网段进行扫描 （2）端口 端口在计算机网络领域中是个非常重要的概念，它是专门为计算机通信而设计的，它是由计算机的通信协议TCP/IP协议定义的。其中规定，用IP地址和端口作为套接字，它代表TCP连接的一个连接端，一般称为Socket。具体来说，就是用[IP：端口]来定位一台主机中的某个进程，目的是为了让两台计算机能够找到对方的进程。可见，端口与进程是一一对应的关系，如果某个进程正在等待连接，则称该进程正在监听，那么就会出现与该进程相对应的端口。由此可见，入侵者通过扫描端口，就可以判断目标计算机有哪些服务进程正在等待连接。 （3）端口的分类 客户/服务器系统通过Internet提供了众多服务，DNS、Web、电子邮件、FTP、IM和 VoIP只是其中一部分，这些服务可由一台或多台服务器提供。无论是哪种情况，服务