网络与内容安全-005.漏洞扫描技术说课讲解.pptVIP

-19- 扫描器类型 基于主机的扫描器 -与待检查系统运行于同一节点 优点 -扫描的漏洞数量多 -集中化管理 -网络流量负载小 -通讯过程中的加密机制 不足之处 -价格方面 -需在目标主机上安装代理或服务 -工作周期 -20- 扫描器类型(Cont.) 基于网络的扫描器 -一般与待检查系统运行于不同的节点上 优点 -价格 -不需要在目标系统上安装任何东西 -维护简便 不足之处 -不能直接访问目标系统的文件系统 -不能穿过防火墙 -扫描服务器与目标主机之间的通讯数据保没有加密 -21- 主要扫描技术 主机扫描技术 端口扫描技术 服务识别技术 栈指纹OS识别技术 -22- 主要扫描技术(Cont.)---主机扫描技术 主机扫描技术－传统技术 ICMP Echo扫描 -利用icmp的echo字段 -优点：简单，系统支持 -缺点：很容易被防火墙限制 Broadcast ICMP扫描 -将ICMP请求包的目标地址设为广播地址或网络地址 -缺点：只适合于UNIX/Linux系统；易引起广播风暴 -23- 主要扫描技术(Cont.) Non-Echo ICMP扫描 -探测网络设备 -ICMP的服务类型（Stamp Request、 Information Request、 Address Mask Request） ICMP Sweep 扫描 -使用ICMP Echo Request一次探测多个目标主机 -适用于大范围的评估 -24- 主要扫描技术(Cont.) 主机扫描技术－高级技术 原理：ICMP错误报文 异常的IP包头 -发送包头错误的IP包 -反馈ICMP Parameter Problem Error信息 在IP头中设置无效的字段值 -发送的IP包中填充错误的字段值 -反馈ICMP Destination Unreachable信息 -25- 主要扫描技术(Cont.) -26- 主要扫描技术(Cont.) -27- 主要扫描技术(Cont.) 错误的数据分片 -收到错误的数据分片（如某些分片丢失） -反馈ICMP Fragment Reassembly Time Exceeded 通过超长包探测内部路由器 -数据包长度超过路由器的PMTU且设置禁止分片标志 -反馈Fragmentation Needed and Don’t Fragment Bit was Set 反向映射探测 -构造可能的内部IP地址列表，并向这些地址发送数据包 -反馈ICMP Host Unreachable或ICMP Time Exceeded -28- 主要扫描技术(Cont.) ---端口扫描技术 端口扫描技术 开放扫描 -可靠性高但易被发现 隐蔽扫描 -能有效避免检测但易被丢弃 半开放扫描 -隐蔽性和可靠性介于前两者之间 -29- 主要扫描技术(Cont.) 开放扫描技术:TCP Connect 扫描;TCP反向ident扫描 TCP Connect 扫描 -实现原理：通过调用socket函数connect()连接到目标主机 -优点：稳定可靠，不需要特殊的权限 -缺点：不隐蔽，易被发现和屏蔽 Reverse-ident扫描 -实现原理：Ident协议(RFC1413)鉴别TCP连接的用户 -只能在tcp全连接之后才有效 -30- 主要扫描技术(Cont.) 半开放扫描技术:TCP SYN 扫描；TCP间接扫描 TCP SYN扫描 -实现原理：发送SYN包，如果应答中包含SYN和ACK包，再传 送一个RST包给目标机从而停止建立连接。 -优点：隐蔽性较全连接扫描好 -缺点：需要超级用户或者授权用户访问专门的系统调用 TCP间接扫描 -实现原理：伪造第三方主机IP地址向目标主机发起SYN扫描 -优点：隐蔽性好 -缺点：对第三方主机的要求较高 -31- 主要扫描技术(Cont.) 隐蔽扫描技术 TCP FIN 扫描 -实现原理：发送FIN包 -优点：比SYN扫描隐蔽 -缺点：需构造数据包，需访问专门的系统调用；常用于UNIX TCP Xmas和TCP Null扫描 -实现原理：FIN扫描的两个变种 -优点：隐蔽性好 -缺点：需构造数据包，需访问专门的系统调用；常用于UNIX -32- 主要扫描技术(Cont.) TCP ftp proxy扫描 -实现原理：FTP代理连接选项允许一个客户端同时跟两个FT P服务器建立连接，然后在服务器之间直接传输数据 -优点：隐蔽性好 -缺点：一些ftp server禁止此特性 分段扫描 -实现原理：将一个TCP头分成好几个数据包 -优点：隐蔽性好