網(wǎng)絡(luò)掃描器的原理與分析第一頁(yè)，共五十九頁(yè)，2022年，8月28日主要內(nèi)容掃描器的基本概念掃描器的工作原理網(wǎng)絡(luò)掃描的主要技術(shù)現(xiàn)有掃描器介紹及選擇掃描器的實(shí)例分析第二頁(yè)，共五十九頁(yè)，2022年，8月28日一、掃描器的基本概念什么是網(wǎng)絡(luò)掃描器為什么需要網(wǎng)絡(luò)掃描器網(wǎng)絡(luò)掃描器的主要功能第三頁(yè)，共五十九頁(yè)，2022年，8月28日什么是網(wǎng)絡(luò)掃描器安全評(píng)估工具 系統(tǒng)管理員保障系統(tǒng)安全的有效工具網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)入侵者收集信息的重要手段第四頁(yè)，共五十九頁(yè)，2022年，8月28日為什么需要網(wǎng)絡(luò)掃描器由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)規(guī)模迅猛增長(zhǎng)和計(jì)算機(jī)系統(tǒng)日益復(fù)雜，導(dǎo)致新的系統(tǒng)漏洞層出不窮由于系統(tǒng)管理員的疏忽或缺乏經(jīng)驗(yàn)，導(dǎo)致舊有的漏洞依然存在許多人出于好奇或別有用心，不停的窺視網(wǎng)上資源第五頁(yè)，共五十九頁(yè)，2022年，8月28日網(wǎng)絡(luò)掃描器的主要功能掃描目標(biāo)主機(jī)識(shí)別其工作狀態(tài)（開(kāi)/關(guān)機(jī)）識(shí)別目標(biāo)主機(jī)端口的狀態(tài)（監(jiān)聽(tīng)/關(guān)閉）識(shí)別目標(biāo)主機(jī)系統(tǒng)及服務(wù)程序的類型和版本根據(jù)已知漏洞信息，分析系統(tǒng)脆弱點(diǎn)生成掃描結(jié)果報(bào)告第六頁(yè)，共五十九頁(yè)，2022年，8月28日二、掃描器的工作原理TCP協(xié)議ICMP協(xié)議掃描器的基本工作原理第七頁(yè)，共五十九頁(yè)，2022年，8月28日TCP協(xié)議（一）TCP是一種面向連接的，可靠的傳輸層協(xié)議。一次正常的TCP傳輸需要通過(guò)在客戶端和服務(wù)器之間建立特定的虛電路連接來(lái)完成，該過(guò)程通常被稱為“三次握手”。TCP通過(guò)數(shù)據(jù)分段中的序列號(hào)保證所有傳輸?shù)臄?shù)據(jù)可以在遠(yuǎn)端按照正常的次序進(jìn)行重組，而且通過(guò)確認(rèn)保證數(shù)據(jù)傳輸?shù)耐暾浴５诎隧?yè)，共五十九頁(yè)，2022年，8月28日TCP協(xié)議（二）TCP數(shù)據(jù)包格式第九頁(yè)，共五十九頁(yè)，2022年，8月28日TCP協(xié)議（三）TCP標(biāo)志位ACK： 確認(rèn)標(biāo)志RST： 復(fù)位標(biāo)志URG：緊急標(biāo)志SYN： 建立連接標(biāo)志PSH： 推標(biāo)志FIN： 結(jié)束標(biāo)志第十頁(yè)，共五十九頁(yè)，2022年，8月28日TCP協(xié)議（四）TCP連接建立示意圖第十一頁(yè)，共五十九頁(yè)，2022年，8月28日ICMP協(xié)議（一）InternetControlMessageProtocol，是IP的一部分，在IP協(xié)議棧中必須實(shí)現(xiàn)。用途：網(wǎng)關(guān)或者目標(biāo)機(jī)器利用ICMP與源通訊當(dāng)出現(xiàn)問(wèn)題時(shí)，提供反饋信息用于報(bào)告錯(cuò)誤特點(diǎn)：其控制能力并不用于保證傳輸?shù)目煽啃运旧硪膊皇强煽總鬏數(shù)牟⒉挥脕?lái)反映ICMP報(bào)文的傳輸情況第十二頁(yè)，共五十九頁(yè)，2022年，8月28日ICMP協(xié)議（二）ICMP報(bào)文類型0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply17AddressMaskRequest18AddressMaskReply第十三頁(yè)，共五十九頁(yè)，2022年，8月28日掃描器的基本工作原理第十四頁(yè)，共五十九頁(yè)，2022年，8月28日三、網(wǎng)絡(luò)掃描的主要技術(shù)主機(jī)掃描技術(shù)端口掃描技術(shù)棧指紋OS識(shí)別技術(shù)第十五頁(yè)，共五十九頁(yè)，2022年，8月28日主機(jī)掃描技術(shù)－傳統(tǒng)技術(shù)主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)。這是信息收集的初級(jí)階段，其效果直接影響到后續(xù)的掃描。常用的傳統(tǒng)掃描手段有：ICMPEcho掃描ICMPSweep掃描BroadcastICMP掃描Non-EchoICMP掃描第十六頁(yè)，共五十九頁(yè)，2022年，8月28日ICMPecho掃描實(shí)現(xiàn)原理：Ping的實(shí)現(xiàn)機(jī)制，在判斷在一個(gè)網(wǎng)絡(luò)上主機(jī)是否開(kāi)機(jī)時(shí)非常有用。向目標(biāo)主機(jī)發(fā)送ICMPEchoRequest(type8)數(shù)據(jù)包，等待回復(fù)的ICMPEchoReply包(type0)。如果能收到，則表明目標(biāo)系統(tǒng)可達(dá)，否則表明目標(biāo)系統(tǒng)已經(jīng)不可達(dá)或發(fā)送的包被對(duì)方的設(shè)備過(guò)濾掉。優(yōu)點(diǎn)：簡(jiǎn)單，系統(tǒng)支持缺點(diǎn)：很容易被防火墻限制可以通過(guò)并行發(fā)送，同時(shí)探測(cè)多個(gè)目標(biāo)主機(jī)，以提高探測(cè)效率（ICMPSweep掃描）。第十七頁(yè)，共五十九頁(yè)，2022年，8月28日BroadcastICMP掃描實(shí)現(xiàn)原理：將ICMP請(qǐng)求包的目標(biāo)地址設(shè)為廣播地址或網(wǎng)絡(luò)地址，則可以探測(cè)廣播域或整個(gè)網(wǎng)絡(luò)范圍內(nèi)的主機(jī)。缺點(diǎn)：只適合于UNIX/Linux系統(tǒng)，Windows會(huì)忽略這種請(qǐng)求包；這種掃描方式容易引起廣播風(fēng)暴第十八頁(yè)，共五十九頁(yè)，2022年，8月28日Non-EchoICMP掃描一些其它ICMP類型包也可以用于對(duì)主機(jī)或網(wǎng)絡(luò)設(shè)備的探測(cè)，如：StampRequest(Type13)Reply(Type14)InformationRequest(Type15)Reply(Type16)AddressMaskRequest(Type17)Reply(Type18)第十九頁(yè)，共五十九頁(yè)，2022年，8月28日主機(jī)掃描技術(shù)－高級(jí)技術(shù)防火墻和網(wǎng)絡(luò)過(guò)濾設(shè)備常常導(dǎo)致傳統(tǒng)的探測(cè)手段變得無(wú)效。為了突破這種限制，必須采用一些非常規(guī)的手段，利用ICMP協(xié)議提供網(wǎng)絡(luò)間傳送錯(cuò)誤信息的手段，往往可以更有效的達(dá)到目的：異常的IP包頭在IP頭中設(shè)置無(wú)效的字段值錯(cuò)誤的數(shù)據(jù)分片通過(guò)超長(zhǎng)包探測(cè)內(nèi)部路由器反向映射探測(cè)第二十頁(yè)，共五十九頁(yè)，2022年，8月28日異常的IP包頭向目標(biāo)主機(jī)發(fā)送包頭錯(cuò)誤的IP包，目標(biāo)主機(jī)或過(guò)濾設(shè)備會(huì)反饋ICMPParameterProblemError信息。常見(jiàn)的偽造錯(cuò)誤字段為HeaderLengthField和IPOptionsField。根據(jù)RFC1122的規(guī)定，主機(jī)應(yīng)該檢測(cè)IP包的VersionNumber、Checksum字段,路由器應(yīng)該檢測(cè)IP包的Checksum字段。不同廠家的路由器和操作系統(tǒng)對(duì)這些錯(cuò)誤的處理方式不同，返回的結(jié)果也各異。如果結(jié)合其它手段，可以初步判斷目標(biāo)系統(tǒng)所在網(wǎng)絡(luò)過(guò)濾設(shè)備的ACL。第二十一頁(yè)，共五十九頁(yè)，2022年，8月28日在IP頭中設(shè)置無(wú)效的字段值向目標(biāo)主機(jī)發(fā)送的IP包中填充錯(cuò)誤的字段值，目標(biāo)主機(jī)或過(guò)濾設(shè)備會(huì)反饋ICMPDestinationUnreachable信息。這種方法同樣可以探測(cè)目標(biāo)主機(jī)和網(wǎng)絡(luò)設(shè)備以及其ACL。第二十二頁(yè)，共五十九頁(yè)，2022年，8月28日錯(cuò)誤的數(shù)據(jù)分片當(dāng)目標(biāo)主機(jī)接收到錯(cuò)誤的數(shù)據(jù)分片（如某些分片丟失），并且在規(guī)定的時(shí)間間隔內(nèi)得不到更正時(shí)，將丟棄這些錯(cuò)誤數(shù)據(jù)包，并向發(fā)送主機(jī)反饋ICMPFragmentReassemblyTimeExceeded錯(cuò)誤報(bào)文。利用這種方法同樣可以檢測(cè)到目標(biāo)主機(jī)和網(wǎng)絡(luò)過(guò)濾設(shè)備及其ACL。第二十三頁(yè)，共五十九頁(yè)，2022年，8月28日通過(guò)超長(zhǎng)包探測(cè)內(nèi)部路由器若構(gòu)造的數(shù)據(jù)包長(zhǎng)度超過(guò)目標(biāo)系統(tǒng)所在路由器的PMTU且設(shè)置禁止分片標(biāo)志,該路由器會(huì)反饋FragmentationNeededandDon’tFragmentBitwasSet差錯(cuò)報(bào)文，從而獲取目標(biāo)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。第二十四頁(yè)，共五十九頁(yè)，2022年，8月28日反向映射探測(cè)該技術(shù)用于探測(cè)被過(guò)濾設(shè)備或防火墻保護(hù)的網(wǎng)絡(luò)和主機(jī)。通常這些系統(tǒng)無(wú)法從外部直接到達(dá)，但是我們可以采用反向映射技術(shù)，通過(guò)目標(biāo)系統(tǒng)的路由設(shè)備進(jìn)行有效的探測(cè)。當(dāng)我們想探測(cè)某個(gè)未知網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)時(shí)，可以構(gòu)造可能的內(nèi)部IP地址列表，并向這些地址發(fā)送數(shù)據(jù)包。當(dāng)對(duì)方路由器接收到這些數(shù)據(jù)包時(shí)，會(huì)進(jìn)行IP識(shí)別并路由，對(duì)不在其服務(wù)的范圍的IP包發(fā)送ICMPHostUnreachable或ICMPTimeExceeded錯(cuò)誤報(bào)文，沒(méi)有接收到相應(yīng)錯(cuò)誤報(bào)文的IP地址會(huì)可被認(rèn)為在該網(wǎng)絡(luò)中。當(dāng)然，這種方法也會(huì)受到過(guò)濾設(shè)備的影響。第二十五頁(yè)，共五十九頁(yè)，2022年，8月28日端口掃描技術(shù)當(dāng)確定了目標(biāo)主機(jī)可達(dá)后，就可以使用端口掃描技術(shù)，發(fā)現(xiàn)目標(biāo)主機(jī)的開(kāi)放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽(tīng)的端口。端口掃描技術(shù)主要包括以下三類：開(kāi)放掃描會(huì)產(chǎn)生大量的審計(jì)數(shù)據(jù)，容易被對(duì)方發(fā)現(xiàn)，但其可靠性高；隱蔽掃描能有效的避免對(duì)方入侵檢測(cè)系統(tǒng)和防火墻的檢測(cè)，但這種掃描使用的數(shù)據(jù)包在通過(guò)網(wǎng)絡(luò)時(shí)容易被丟棄從而產(chǎn)生錯(cuò)誤的探測(cè)信息；半開(kāi)放掃描隱蔽性和可靠性介于前兩者之間。第二十六頁(yè)，共五十九頁(yè)，2022年，8月28日開(kāi)放掃描技術(shù)TCPConnect掃描TCP反向ident掃描第二十七頁(yè)，共五十九頁(yè)，2022年，8月28日TCPConnect掃描實(shí)現(xiàn)原理：通過(guò)調(diào)用socket函數(shù)connect()連接到目標(biāo)計(jì)算機(jī)上，完成一次完整的三次握手過(guò)程。如果端口處于偵聽(tīng)狀態(tài)，那么connect()就能成功返回。否則，這個(gè)端口不可用，即沒(méi)有提供服務(wù)。優(yōu)點(diǎn)：穩(wěn)定可靠，不需要特殊的權(quán)限缺點(diǎn)：掃描方式不隱蔽，服務(wù)器日志會(huì)記錄下大量密集的連接和錯(cuò)誤記錄，并容易被防火墻發(fā)現(xiàn)和屏蔽第二十八頁(yè)，共五十九頁(yè)，2022年，8月28日TCP反向ident掃描實(shí)現(xiàn)原理：ident協(xié)議允許看到通過(guò)TCP連接的任何進(jìn)程的擁有者的用戶名，即使這個(gè)連接不是由這個(gè)進(jìn)程開(kāi)始的。比如，連接到http端口，然后用identd來(lái)發(fā)現(xiàn)服務(wù)器是否正在以root權(quán)限運(yùn)行。缺點(diǎn)：這種方法只能在和目標(biāo)端口建立了一個(gè)完整的TCP連接后才能看到。第二十九頁(yè)，共五十九頁(yè)，2022年，8月28日半開(kāi)放掃描技術(shù)TCPSYN掃描TCP間接掃描第三十頁(yè)，共五十九頁(yè)，2022年，8月28日TCPSYN掃描實(shí)現(xiàn)原理：掃描器向目標(biāo)主機(jī)端口發(fā)送SYN包。如果應(yīng)答是RST包，那么說(shuō)明端口是關(guān)閉的；如果應(yīng)答中包含SYN和ACK包，說(shuō)明目標(biāo)端口處于監(jiān)聽(tīng)狀態(tài)，再傳送一個(gè)RST包給目標(biāo)機(jī)從而停止建立連接。由于在SYN掃描時(shí)，全連接尚未建立，所以這種技術(shù)通常被稱為半連接掃描優(yōu)點(diǎn)：隱蔽性較全連接掃描好，一般系統(tǒng)對(duì)這種半掃描很少記錄缺點(diǎn)：通常構(gòu)造SYN數(shù)據(jù)包需要超級(jí)用戶或者授權(quán)用戶訪問(wèn)專門的系統(tǒng)調(diào)用第三十一頁(yè)，共五十九頁(yè)，2022年，8月28日TCP間接掃描實(shí)現(xiàn)原理：利用第三方的IP（欺騙主機(jī)）來(lái)隱藏真正掃描者的IP。由于掃描主機(jī)會(huì)對(duì)欺騙主機(jī)發(fā)送回應(yīng)信息，所以必須監(jiān)控欺騙主機(jī)的IP行為，從而獲得原始掃描的結(jié)果。掃描主機(jī)通過(guò)偽造第三方主機(jī)IP地址向目標(biāo)主機(jī)發(fā)起SYN掃描，并通過(guò)觀察其IP序列號(hào)的增長(zhǎng)規(guī)律獲取端口的狀態(tài)優(yōu)點(diǎn)：隱蔽性好缺點(diǎn)：對(duì)第三方主機(jī)的要求較高第三十二頁(yè)，共五十九頁(yè)，2022年，8月28日隱蔽掃描技術(shù)TCPFIN掃描TCPXmas掃描TCPNull掃描TCPftpproxy掃描分段掃描第三十三頁(yè)，共五十九頁(yè)，2022年，8月28日TCPFIN掃描實(shí)現(xiàn)原理：掃描器向目標(biāo)主機(jī)端口發(fā)送FIN包。當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口，數(shù)據(jù)包會(huì)被丟掉，并且返回一個(gè)RST數(shù)據(jù)包。否則，若是打開(kāi)的端口，數(shù)據(jù)包只是簡(jiǎn)單的丟掉（不返回RST）。優(yōu)點(diǎn)：由于這種技術(shù)不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分，所以無(wú)法被記錄下來(lái)，從而必SYN掃描隱蔽得多，F(xiàn)IN數(shù)據(jù)包能夠通過(guò)只監(jiān)測(cè)SYN包的包過(guò)濾器。缺點(diǎn)：跟SYN掃描類似，需要自己構(gòu)造數(shù)據(jù)包，要求由超級(jí)用戶或者授權(quán)用戶訪問(wèn)專門的系統(tǒng)調(diào)用；通常適用于UNIX目標(biāo)主機(jī)，除過(guò)少量的應(yīng)當(dāng)丟棄數(shù)據(jù)包卻發(fā)送RST包的操作系統(tǒng)（包括CISCO，HP/UX，MVS和IRIX）。但在Windows95/NT環(huán)境下，該方法無(wú)效，因?yàn)椴徽撃繕?biāo)端口是否打開(kāi)，操作系統(tǒng)都返回RST包。第三十四頁(yè)，共五十九頁(yè)，2022年，8月28日TCPXmas和TCPNull掃描實(shí)現(xiàn)原理：TCPXmas和Null掃描是FIN掃描的兩個(gè)變種。Xmas掃描打開(kāi)FIN，URG和PUSH標(biāo)記，而Null掃描關(guān)閉所有標(biāo)記。這些組合的目的是為了通過(guò)對(duì)FIN標(biāo)記數(shù)據(jù)包的過(guò)濾。當(dāng)一個(gè)這種數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口，數(shù)據(jù)包會(huì)被丟掉，并且返回一個(gè)RST數(shù)據(jù)包。否則，若是打開(kāi)的端口，數(shù)據(jù)包只是簡(jiǎn)單的丟掉（不返回RST）。優(yōu)點(diǎn)：隱蔽性好；缺點(diǎn)：需要自己構(gòu)造數(shù)據(jù)包，要求由超級(jí)用戶或者授權(quán)用戶權(quán)限；通常適用于UNIX目標(biāo)主機(jī)，而Windows系統(tǒng)不支持。第三十五頁(yè)，共五十九頁(yè)，2022年，8月28日TCPftpproxy掃描實(shí)現(xiàn)原理：FTP代理連接選項(xiàng)，其目的是允許一個(gè)客戶端同時(shí)跟兩個(gè)FTP服務(wù)器建立連接，然后在服務(wù)器之間直接傳輸數(shù)據(jù)。然而，在大部分實(shí)現(xiàn)中，實(shí)際上能夠使得FTP服務(wù)器發(fā)送文件到Internet的任何地方。該方法正是利用了這個(gè)缺陷，其掃描步驟如下：1：假定S是掃描機(jī)，T是掃描目標(biāo)，F(xiàn)是一個(gè)ftp服務(wù)器，這個(gè)服務(wù)器支持代理選項(xiàng)，能夠跟S和T建立連接。2：S與F建立一個(gè)ftp會(huì)話，使用PORT命令聲明一個(gè)選擇的端口（稱之為p－T）作為代理傳輸所需要的被動(dòng)端口。3：然后S使用一個(gè)LIST命令嘗試啟動(dòng)一個(gè)到p－T的數(shù)據(jù)傳輸。4：如果端口p－T確實(shí)在監(jiān)聽(tīng)，傳輸就會(huì)成功（返回碼150和226被發(fā)送回給S），否則S回收到"425無(wú)法打開(kāi)數(shù)據(jù)連接"的應(yīng)答。5：S持續(xù)使用PORT和LIST命令，直到T上所有的選擇端口掃描完畢。優(yōu)點(diǎn)：FTP代理掃描不但難以跟蹤，而且可以穿越防火墻缺點(diǎn)：一些ftpserver禁止這種特性第三十六頁(yè)，共五十九頁(yè)，2022年，8月28日分段掃描實(shí)現(xiàn)原理：并不直接發(fā)送TCP探測(cè)數(shù)據(jù)包，是將數(shù)據(jù)包分成兩個(gè)較小的IP段。這樣就將一個(gè)TCP頭分成好幾個(gè)數(shù)據(jù)包，從而包過(guò)濾器就很難探測(cè)到。優(yōu)點(diǎn)：隱蔽性好，可穿越防火墻缺點(diǎn)：可能被丟棄；某些程序在處理這些小數(shù)據(jù)包時(shí)會(huì)出現(xiàn)異常。第三十七頁(yè)，共五十九頁(yè)，2022年，8月28日棧指紋OS識(shí)別技術(shù)（一）原理：根據(jù)各個(gè)OS在TCP/IP協(xié)議棧實(shí)現(xiàn)上的不同特點(diǎn)，采用黑盒測(cè)試方法，通過(guò)研究其對(duì)各種探測(cè)的響應(yīng)形成識(shí)別指紋，進(jìn)而識(shí)別目標(biāo)主機(jī)運(yùn)行的操作系統(tǒng)。根據(jù)采集指紋信息的方式，又可以分為主動(dòng)掃描和被動(dòng)掃描兩種方式。第三十八頁(yè)，共五十九頁(yè)，2022年，8月28日被動(dòng)掃描通過(guò)Sniff收集數(shù)據(jù)包，再對(duì)數(shù)據(jù)包的不同特征（TCPWindow-size、IPTTL、IPTOS、DF位等參數(shù)）進(jìn)行分析，來(lái)識(shí)別操作系統(tǒng)。被動(dòng)掃描基本不具備攻擊特征，具有很好的隱蔽性，但其實(shí)現(xiàn)嚴(yán)格依賴掃描主機(jī)所處的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；和主動(dòng)探測(cè)相比較，具有速度慢、可靠性不高等缺點(diǎn)。第三十九頁(yè)，共五十九頁(yè)，2022年，8月28日主動(dòng)掃描采用向目標(biāo)系統(tǒng)發(fā)送構(gòu)造的特殊包并監(jiān)控其應(yīng)答的方式來(lái)識(shí)別操作系統(tǒng)類型。主動(dòng)掃描具有速度快、可靠性高等優(yōu)點(diǎn)，但同樣嚴(yán)重依賴于目標(biāo)系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和過(guò)濾規(guī)則。第四十頁(yè)，共五十九頁(yè)，2022年，8月28日主動(dòng)掃描－識(shí)別技術(shù)（一）FIN探測(cè)：發(fā)送一個(gè)FIN包給一個(gè)打開(kāi)的端口，一般的行為是不響應(yīng)，但某些實(shí)現(xiàn)例如MSWindows,BSDI,CISCO,HP/UX,MVS,和IRIX發(fā)回一個(gè)RESET。BOGUS標(biāo)記探測(cè)：設(shè)置一個(gè)未定義的TCP"標(biāo)記"（64或128）在SYN包的TCP頭里。Linux機(jī)器到之前在回應(yīng)中保持這個(gè)標(biāo)記。TCPISN取樣：找出當(dāng)響應(yīng)一個(gè)連接請(qǐng)求時(shí)由TCP實(shí)現(xiàn)所選擇的初始化序列數(shù)式樣。這可分為許多組例如傳統(tǒng)的64K（許多老UNIX機(jī)器），隨機(jī)增量（新版本的Solaris，IRIX，F(xiàn)reeBSD，DigitalUNIX，Cray，等），真“隨機(jī)”（Linux2.0.*，OpenVMS,新的AIX,等），Windows機(jī)器（和一些其他的）用一個(gè)“時(shí)間相關(guān)”模型，每過(guò)一段時(shí)間ISN就被加上一個(gè)小的固定數(shù)。第四十一頁(yè)，共五十九頁(yè)，2022年，8月28日主動(dòng)掃描－識(shí)別技術(shù)（二）不分段位：許多操作系統(tǒng)開(kāi)始在送出的一些包中設(shè)置IP的"Don'tFragment"位。TCP初始化窗口：檢查返回包的窗口大小。如queso和nmap保持對(duì)窗口的精確跟蹤因?yàn)樗鼘?duì)于特定OS基本是常數(shù)。ACK值：不同實(shí)現(xiàn)中一些情況下ACK域的值是不同的。例如，如果你送了一個(gè)FIN|PSH|URG到一個(gè)關(guān)閉的TCP端口。大多數(shù)實(shí)現(xiàn)會(huì)設(shè)置ACK為你的初始序列數(shù)，而Windows會(huì)送給你序列數(shù)加1。ICMP錯(cuò)誤信息終結(jié)：一些操作系統(tǒng)跟從限制各種錯(cuò)誤信息的發(fā)送率。例如，Linux內(nèi)核限制目的不可達(dá)消息的生成每4秒鐘80個(gè)。測(cè)試的一種辦法是發(fā)一串包到一些隨機(jī)的高UDP端口并計(jì)數(shù)收到的不可達(dá)消息。第四十二頁(yè)，共五十九頁(yè)，2022年，8月28日主動(dòng)掃描－識(shí)別技術(shù)（三）ICMP消息引用：ICMP錯(cuò)誤消息可以引用一部分引起錯(cuò)誤的源消息。對(duì)一個(gè)端口不可達(dá)消息，幾乎所有實(shí)現(xiàn)只送回IP請(qǐng)求頭外加8個(gè)字節(jié)。然而，Solaris送回的稍多，而Linux更多。SYN洪水限度：如果收到過(guò)多的偽造SYN數(shù)據(jù)包，一些操作系統(tǒng)會(huì)停止新的連接嘗試。許多操作系統(tǒng)只能處理8個(gè)包。參考：NmapRemoteOSDetection第四十三頁(yè)，共五十九頁(yè)，2022年，8月28日四、現(xiàn)有掃描器介紹及選擇現(xiàn)有主要掃描器產(chǎn)品介紹評(píng)價(jià)掃描器的原則現(xiàn)有掃描器產(chǎn)品的不足第四十四頁(yè)，共五十九頁(yè)，2022年，8月28日掃描器產(chǎn)品介紹（一）ISSInternetScanner

該產(chǎn)品一直是安全掃描器的業(yè)界標(biāo)準(zhǔn)。優(yōu)點(diǎn)：報(bào)告功能強(qiáng)大，漏洞檢查集完備，可用性很好。平臺(tái)：WindowsNTURL：

第四十五頁(yè)，共五十九頁(yè)，2022年，8月28日掃描器產(chǎn)品介紹（二）Nessus

由Renaud編寫的開(kāi)放源碼項(xiàng)目。優(yōu)點(diǎn)：采用分布式結(jié)構(gòu)引擎具有極大彈性，可擴(kuò)展性強(qiáng)，漏洞庫(kù)較全面。平臺(tái)：UNIXURL：第四十六頁(yè)，共五十九頁(yè)，2022年，8月28日掃描器產(chǎn)品介紹（三）SAINT

以SATAN為基礎(chǔ)的網(wǎng)絡(luò)安全掃描工具。平臺(tái)：UNIXURL：第四十七頁(yè)，共五十九頁(yè)，2022年，8月28日評(píng)價(jià)掃描器的原則（一）漏洞檢測(cè)的完整性 是否能掃描各類重要的系統(tǒng)漏洞，漏洞庫(kù)信息的完備程度如何？漏洞檢測(cè)的精確性 是否能準(zhǔn)確報(bào)告系統(tǒng)漏洞，很少誤報(bào)或漏報(bào)漏洞檢測(cè)的范圍 是否能進(jìn)行本地主機(jī)或遠(yuǎn)端主機(jī)的掃描及時(shí)更新 是否能及時(shí)更新漏洞庫(kù)，加入新發(fā)現(xiàn)的漏洞信息第四十八頁(yè)，共五十九頁(yè)，2022年，8月28日評(píng)價(jià)掃描器的原則（二）報(bào)告功能 是否有完善的報(bào)告功能，是客戶便于理解和維護(hù)價(jià)格 產(chǎn)品價(jià)格是否合理第四十九頁(yè)，共五十九頁(yè)，2022年，8月28日現(xiàn)有掃描器產(chǎn)品的不足檢測(cè)的完整性 沒(méi)有一種產(chǎn)品可以發(fā)現(xiàn)所有漏洞檢測(cè)的準(zhǔn)確性 常有漏報(bào)、誤報(bào)現(xiàn)象更新的及時(shí)性 對(duì)新漏洞的更新不夠及時(shí)第五十頁(yè)，共五十九頁(yè)，2022年，8月28日五、掃描器實(shí)例分析主要實(shí)現(xiàn)功能掃描器的總體結(jié)構(gòu)主要工作流程漏洞分析第五十一頁(yè)，共五十九頁(yè)，2022年，8月28日主要實(shí)現(xiàn)功能采用眾多的掃描規(guī)避和隱蔽技術(shù)，掃描目標(biāo)主機(jī)和端口，識(shí)別其工作狀態(tài)；識(shí)別目標(biāo)主機(jī)系統(tǒng)及服務(wù)程序的類型和版本；根據(jù)漏洞庫(kù)信息，分析系統(tǒng)脆弱點(diǎn)；提供漏洞產(chǎn)生背景、影響、攻擊方式、修補(bǔ)措施等信息；以網(wǎng)頁(yè)形式生成掃描結(jié)果報(bào)告；具有可擴(kuò)展性，提供用戶動(dòng)態(tài)加載和擴(kuò)充系統(tǒng)的接口第五十二頁(yè)，共五十九頁(yè)，2022年，8月28日掃描器的