第10章網絡掃描技術網絡掃描技術網絡安全掃描技術是一種基于Internet遠程檢測目標網絡或本地主機安全性脆弱點的技術。通過網絡安全掃描，系統管理員能夠發現所維護的Web服務器的各種TCP/IP端口的分配、開放的服務、Web服務軟件版本和這些服務及軟件呈現在Internet上的安全漏洞。網絡掃描技術一次完整的網絡安全掃描分為三個階段：第一階段：發現目標主機或網絡。第二階段：發現目標后進一步搜集目標信息，包括操作系統類型、運行的服務以及服務軟件的版本等。如果目標是一個網絡，還可以進一步發現該網絡的拓撲結構、路由設備以及各主機的信息。第三階段：根據搜集到的信息判斷或者進一步測試系統是否存在安全漏洞。端口掃描漏洞掃描實用掃描器10.1端口掃描10.1端口掃描

端口掃描向目標主機的TCP/IP服務端口發送探測數據包，并記錄目標主機的響應。通過分析響應來判斷服務端口是打開還是關閉，就可以得知端口提供的服務或信息。端口掃描也可以通過捕獲本地主機或服務器的流入流出IP數據包來監視本地主機的運行情況，它僅能對接收到的數據進行分析，幫助我們發現目標主機的某些內在的弱點，而不會提供進入一個系統的詳細步驟。10.1端口掃描1.TCPConnect()掃描此掃描試圖與每一個TCP端口進行“三次握手”通信。如果能夠成功建立接連，則證明端口開發，否則為關閉。準確度很高，但是最容易被防火墻和IDS檢測到，并且在目標主機的日志中會記錄大量的連接請求以及錯誤信息。1.TCPConnect()掃描TCPconnect端口掃描服務端與客戶端建立連接成功（目標端口開放）的過程：

Client端發送SYN；Server端返回SYN/ACK，表明端口開放；Client端返回ACK，表明連接已建立；Client端主動斷開連接。TCPconnect端口掃描服務端與客戶端未建立連接成功（目標端口關閉）過程：

Client端發送SYN；Server端返回RST/ACK，表明端口未開放。1.TCPConnect()掃描優點：實現簡單，對操作者的權限沒有嚴格要求（有些類型的端口掃描需要操作者具有root權限），系統中的任何用戶都有權力使用這個調用，而且如果想要得到從目標端口返回banners信息，也只能采用這一方法。另一優點是掃描速度快。如果對每個目標端口以線性的方式，使用單獨的connect()調用，可以通過同時打開多個套接字，從而加速掃描。缺點：是會在目標主機的日志記錄中留下痕跡，易被發現，并且數據包會被過濾掉。目標主機的logs文件會顯示一連串的連接和連接出錯的服務信息，并且能很快地使它關閉。2.SYN掃描掃描器向目標主機的一個端口發送請求連接的SYN包，掃描器在收到SYN/ACK后，不是發送的ACK應答而是發送RST包請求斷開連接。這樣，三次握手就沒有完成，無法建立正常的TCP連接，因此，這次掃描就不會被記錄到系統日志中。這種掃描技術一般不會在目標主機上留下掃描痕跡。但是，這種掃描需要有root權限。2.SYN掃描端口開放：Client發送SYN

Server端發送SYN/ACKClient發送RST斷開（只需要前兩步就可以判斷端口開放）端口關閉：Client發送SYN

Server端回復RST（表示端口關閉）2.SYN掃描優點：SYN掃描要比TCPConnect()掃描隱蔽一些，SYN僅僅需要發送初始的SYN數據包給目標主機，如果端口開放，則相應SYN-ACK數據包；如果關閉，則響應RST數據包。3.秘密掃描秘密掃描是一種不被審計工具所檢測的掃描技術。它通常用于在通過普通的防火墻或路由器的篩選（filtering）時隱藏自己。秘密掃描能躲避IDS、防火墻、包過濾器和日志審計，從而獲取目標端口的開放或關閉的信息。由于沒有包含TCP3次握手協議的任何部分，所以無法被記錄下來，比半連接掃描更為隱蔽。但是這種掃描的缺點是掃描結果的不可靠性會增加，而且掃描主機也需要自己構造IP包。現有的秘密掃描有TCPFIN掃描、TCPACK掃描、NULL掃描、XMAS掃描和SYN/ACK掃描等。

3.秘密掃描（1）NULL掃描端口開放：Client發送Null，server沒有響應3.秘密掃描端口關閉：Client發送Null，Server回復RST3.秘密掃描（2）FIN掃描與NULL有點類似，只是FIN為指示TCP會話結束，在FIN掃描中一個設置了FIN位的數據包被發送后，若響應RST數據包，則表示端口關閉，沒有響應則表示開放。此類掃描同樣不能準確判斷windows系統上端口開發情況。端口開放：發送FIN，沒有響應端口關閉：發送FIN，回復RST3.秘密掃描（3）ACK掃描掃描主機向目標主機發送ACK數據包。根據返回的RST數據包可以得到端口的信息。若返回的RST數據包的TTL值小于或等于64，則端口開放，反之端口關閉，如圖所示。3.秘密掃描（4）Xmas-Tree掃描通過發送帶有下列標志位的tcp數據包URG：指示數據時緊急數據，應立即處理。PSH：強制將數據壓入緩沖區。FIN：在結束TCP會話時使用。

正常情況下，三個標志位不能被同時設置，但在此種掃描中可以用來判斷哪些端口關閉還是開放，與上面的反向掃描情況相同，依然不能判斷windows平臺上的端口。3.秘密掃描端口開放：發送URG/PSH/FIN，沒有響應端口關閉：發送URG/PSH/FIN，響應RST4.其他掃描Dump掃描：也被稱為Idle掃描或反向掃描，在掃描主機時應用了第三方僵尸計算機掃描。由僵尸主機向目標主機發送SYN包。目標主機端口開發時回應SYN|ACK，關閉時返回RST，僵尸主機對SYN|ACK回應RST，對RST不做回應。從僵尸主機上進行掃描時，進行的是一個從本地計算機到僵尸主機的、連續的ping操作。查看僵尸主機返回的Echo響應的ID字段，能確定目標主機上哪些端口是開放的還是關閉的。10.2漏洞掃描10.2漏洞掃描

漏洞掃描技術是為使系統管理員能夠及時了解系統中存在的安全漏洞，并采取相應防范措施，從而降低系統的安全風險而發展起來的一種安全技術。利用安全漏洞掃描技術，可以對局域網、從WEB站點、主機操作系統、系統服務以及防火培系統的安全漏洞進行掃描，系統管理員可以檢查出正在運行的網絡系統中存在的不安全網絡服務，在操作系統上存在的可能會導致遭受緩沖區溢出攻擊或者拒絕服務攻擊的安全漏洞，還可以檢查出手機系統中是否被安裝了竊聽程序，防火墻系統是否存在安全漏洞和配置錯誤。10.2漏洞掃描漏洞掃描技術主要是檢查目標主機是否存在漏洞。它主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務，將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統存在安全漏洞。10.2漏洞掃描從不同角度可以對掃描技術進行不同分類。從掃描對象來分，可以分為基于網絡的掃描(NetworkbasedScanning)和基于上機的掃描(Host—basedScanning)。1.基于網絡的漏洞掃描技術基于網絡的漏洞掃描，就是通過網絡來掃描遠程計算機中的漏洞。比如，利用低版本的DNSBind漏洞，攻擊者能夠獲取root權限，侵入系統或者攻擊者能夠在遠程計算機中執行惡意代碼。基于網絡的漏洞掃描器一般結合了Nmap網絡端口掃描功能，常常用來檢測目標系統中到底開放了哪些端口，并通過特定系統中提供的相關端口信息，增強了漏洞掃描器的功能。1.基于網絡的漏洞掃描技術基于網絡的漏洞掃描器一般有以下幾個方面組成：(1)漏洞數據庫模塊(2)用戶配置控制臺模塊(3)掃描引擎模塊(4)當前活動的掃描知識庫模塊2.基于主機的漏洞掃描技術基于主機的漏洞掃描，就是通過以root身份登錄目標網絡上的主機，記錄系統配置的各項主要要參數，分析配置的漏洞。通過這種方法，可以搜集到很多目標豐機的配置信息。在獲得目標主機配置信息的情況下，將之與安全配置標準庫進行比較和匹配，凡不滿足者即視為漏洞。通常在目標系統上安裝了一個代理(Agent)或者是服務(Services)，以便能夠訪問所有的文件與進程。這也使得基于主機的漏洞掃描器能夠掃描更多的漏洞。2.基于主機的漏洞掃描技術從掃描方式來分，可以分為主動掃描(ActireScanning)與被動掃描(PassiveScanning)。主動掃描是傳統的掃描方式，擁有較長的發展歷史，它是通過給目標主機發送特定的包并收集回應包來取得相關信息的。當然，無響應本身也是信息，它表明可能存在過濾設備將探測包或探測回應包過濾了。主動掃描的優勢在于通常能較快獲取信息，準確性也比較高。缺點在于：(1)易于被發現。很難掩蓋掃描痕跡；(2)要成功實施主動掃描通常需要突破防火墻，但突破防火墻是很困難的。2.基于主機的漏洞掃描技術被動掃描是通過監聽網絡包來取得信息。由于被動掃描具有很多優點，近來倍受重視，其主要優點是對它的檢測幾乎是不可能的。被動掃描一般只需要監聽網絡流最而不需要主動發送網絡包，也不易受防火墻影響。而其主要缺點在于速度較慢而且準確性較差，當目標不產生網絡流量時，就無法得知目標的任何信息。雖然被動掃描存在弱點但依舊被認為是大有可為的，近來出現了一些算法可以增進被動掃描的速度和準確性，如使用正常方式讓目標系統產生流量。10.3實用掃描器10.3實用掃描器掃描器是一種自動檢測遠程或本地主機安全性弱點的程序，通過使用掃描器可以不留痕跡的發現遠程服務器的各種TCP端口的分配及提供的服務和它們的軟件版本。這能間接或直觀的了解遠程主機所存在的安全問題。掃描器并不是一個直接的攻擊網絡漏洞的程序，它僅能幫助發現目標機的某些內在的弱點。一個好的掃描器能對它得到的數據進行分析，幫助查找目標主機的漏洞。但它不會提供進入一個系統的詳細步驟。10.3實用掃描器掃描器應該有三項功能：發現一個主機或網絡的能力；一旦發現一臺主機，有發現什么服務正運行在這臺主機上的能力；通過測試這些服務，發現漏洞的能力。常用的掃描器有：Nmap、Nessus、SuperScan、ShadowSecurityScanner、MS06040Scanner。1.NmapNmap是一款網絡掃描和主機檢測的非常有用的工具。Nmap是不局限于僅僅收集信息和枚舉，同時可以用來作為一個漏洞探測器或安全掃描器。它可以適用于winodws,linux,mac等操作系統。Nmap是一款非常強大的實用工具,可用于：檢測活在網絡上的主機（主機發現）檢測主機上開放的端口（端口發現或枚舉）檢測到相應的端口（服務發現）的軟件和版本檢測操作系統，硬件地址，以及軟件版本檢測脆弱性的漏洞。Nmap是一個非常普遍的工具，它有命令行界面和圖形用戶界面。Nmap使用不同的技術來執行掃描，包括：TCP的connect（）掃描，TCP反向的ident掃描，FTP反彈掃描等。1.Nmapnmap基本的命令如下：進行ping掃描，打印出對掃描做出響應的主機,不做進一步測試(如端口掃描或者操作系統探測)：nmap-sP/24僅列出指定網絡上的每臺主機，不發送任何報文到目標主機：nmap-sL/24探測目標主機開放的端口，可以指定一個以逗號分隔的端口列表(如-PS22，23，25，80)：nmap-PS34使用UDPping探測主機：nmap-PU/241.Nmap使用頻率最高的掃描選項：SYN掃描,又稱為半開放掃描，它不打開一個完全的TCP連接，執行得很快：nmap-sS/24當SYN掃描不能用時，TCPConnect()掃描就是默認的TCP掃描：nmap-sT/24UDP掃描用-sU選項,UDP掃描發送空的(沒有數據)UDP報頭到每個目標端口:nmap-sU/24確定目標機支持哪些IP協議(TCP，ICMP，IGMP等):nmap-sO9探測目標主機的操作系統：nmap-O9nmap-A92.NessusNes