第10章網(wǎng)絡(luò)掃描技術(shù)網(wǎng)絡(luò)掃描技術(shù)網(wǎng)絡(luò)安全掃描技術(shù)是一種基于Internet遠(yuǎn)程檢測目標(biāo)網(wǎng)絡(luò)或本地主機(jī)安全性脆弱點(diǎn)的技術(shù)。通過網(wǎng)絡(luò)安全掃描，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護(hù)的Web服務(wù)器的各種TCP/IP端口的分配、開放的服務(wù)、Web服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在Internet上的安全漏洞。網(wǎng)絡(luò)掃描技術(shù)一次完整的網(wǎng)絡(luò)安全掃描分為三個階段：第一階段：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)。第二階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括操作系統(tǒng)類型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等。如果目標(biāo)是一個網(wǎng)絡(luò)，還可以進(jìn)一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、路由設(shè)備以及各主機(jī)的信息。第三階段：根據(jù)搜集到的信息判斷或者進(jìn)一步測試系統(tǒng)是否存在安全漏洞。端口掃描漏洞掃描實(shí)用掃描器10.1端口掃描10.1端口掃描

端口掃描向目標(biāo)主機(jī)的TCP/IP服務(wù)端口發(fā)送探測數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。通過分析響應(yīng)來判斷服務(wù)端口是打開還是關(guān)閉，就可以得知端口提供的服務(wù)或信息。端口掃描也可以通過捕獲本地主機(jī)或服務(wù)器的流入流出IP數(shù)據(jù)包來監(jiān)視本地主機(jī)的運(yùn)行情況，它僅能對接收到的數(shù)據(jù)進(jìn)行分析，幫助我們發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在的弱點(diǎn)，而不會提供進(jìn)入一個系統(tǒng)的詳細(xì)步驟。10.1端口掃描1.TCPConnect()掃描此掃描試圖與每一個TCP端口進(jìn)行“三次握手”通信。如果能夠成功建立接連，則證明端口開發(fā)，否則為關(guān)閉。準(zhǔn)確度很高，但是最容易被防火墻和IDS檢測到，并且在目標(biāo)主機(jī)的日志中會記錄大量的連接請求以及錯誤信息。1.TCPConnect()掃描TCPconnect端口掃描服務(wù)端與客戶端建立連接成功（目標(biāo)端口開放）的過程：

Client端發(fā)送SYN；Server端返回SYN/ACK，表明端口開放；Client端返回ACK，表明連接已建立；Client端主動斷開連接。TCPconnect端口掃描服務(wù)端與客戶端未建立連接成功（目標(biāo)端口關(guān)閉）過程：

Client端發(fā)送SYN；Server端返回RST/ACK，表明端口未開放。1.TCPConnect()掃描優(yōu)點(diǎn)：實(shí)現(xiàn)簡單，對操作者的權(quán)限沒有嚴(yán)格要求（有些類型的端口掃描需要操作者具有root權(quán)限），系統(tǒng)中的任何用戶都有權(quán)力使用這個調(diào)用，而且如果想要得到從目標(biāo)端口返回banners信息，也只能采用這一方法。另一優(yōu)點(diǎn)是掃描速度快。如果對每個目標(biāo)端口以線性的方式，使用單獨(dú)的connect()調(diào)用，可以通過同時打開多個套接字，從而加速掃描。缺點(diǎn)：是會在目標(biāo)主機(jī)的日志記錄中留下痕跡，易被發(fā)現(xiàn)，并且數(shù)據(jù)包會被過濾掉。目標(biāo)主機(jī)的logs文件會顯示一連串的連接和連接出錯的服務(wù)信息，并且能很快地使它關(guān)閉。2.SYN掃描掃描器向目標(biāo)主機(jī)的一個端口發(fā)送請求連接的SYN包，掃描器在收到SYN/ACK后，不是發(fā)送的ACK應(yīng)答而是發(fā)送RST包請求斷開連接。這樣，三次握手就沒有完成，無法建立正常的TCP連接，因此，這次掃描就不會被記錄到系統(tǒng)日志中。這種掃描技術(shù)一般不會在目標(biāo)主機(jī)上留下掃描痕跡。但是，這種掃描需要有root權(quán)限。2.SYN掃描端口開放：Client發(fā)送SYN

Server端發(fā)送SYN/ACKClient發(fā)送RST斷開（只需要前兩步就可以判斷端口開放）端口關(guān)閉：Client發(fā)送SYN

Server端回復(fù)RST（表示端口關(guān)閉）2.SYN掃描優(yōu)點(diǎn)：SYN掃描要比TCPConnect()掃描隱蔽一些，SYN僅僅需要發(fā)送初始的SYN數(shù)據(jù)包給目標(biāo)主機(jī)，如果端口開放，則相應(yīng)SYN-ACK數(shù)據(jù)包；如果關(guān)閉，則響應(yīng)RST數(shù)據(jù)包。3.秘密掃描秘密掃描是一種不被審計工具所檢測的掃描技術(shù)。它通常用于在通過普通的防火墻或路由器的篩選（filtering）時隱藏自己。秘密掃描能躲避IDS、防火墻、包過濾器和日志審計，從而獲取目標(biāo)端口的開放或關(guān)閉的信息。由于沒有包含TCP3次握手協(xié)議的任何部分，所以無法被記錄下來，比半連接掃描更為隱蔽。但是這種掃描的缺點(diǎn)是掃描結(jié)果的不可靠性會增加，而且掃描主機(jī)也需要自己構(gòu)造IP包。現(xiàn)有的秘密掃描有TCPFIN掃描、TCPACK掃描、NULL掃描、XMAS掃描和SYN/ACK掃描等。

3.秘密掃描（1）NULL掃描端口開放：Client發(fā)送Null，server沒有響應(yīng)3.秘密掃描端口關(guān)閉：Client發(fā)送Null，Server回復(fù)RST3.秘密掃描（2）FIN掃描與NULL有點(diǎn)類似，只是FIN為指示TCP會話結(jié)束，在FIN掃描中一個設(shè)置了FIN位的數(shù)據(jù)包被發(fā)送后，若響應(yīng)RST數(shù)據(jù)包，則表示端口關(guān)閉，沒有響應(yīng)則表示開放。此類掃描同樣不能準(zhǔn)確判斷windows系統(tǒng)上端口開發(fā)情況。端口開放：發(fā)送FIN，沒有響應(yīng)端口關(guān)閉：發(fā)送FIN，回復(fù)RST3.秘密掃描（3）ACK掃描掃描主機(jī)向目標(biāo)主機(jī)發(fā)送ACK數(shù)據(jù)包。根據(jù)返回的RST數(shù)據(jù)包可以得到端口的信息。若返回的RST數(shù)據(jù)包的TTL值小于或等于64，則端口開放，反之端口關(guān)閉，如圖所示。3.秘密掃描（4）Xmas-Tree掃描通過發(fā)送帶有下列標(biāo)志位的tcp數(shù)據(jù)包URG：指示數(shù)據(jù)時緊急數(shù)據(jù)，應(yīng)立即處理。PSH：強(qiáng)制將數(shù)據(jù)壓入緩沖區(qū)。FIN：在結(jié)束TCP會話時使用。

正常情況下，三個標(biāo)志位不能被同時設(shè)置，但在此種掃描中可以用來判斷哪些端口關(guān)閉還是開放，與上面的反向掃描情況相同，依然不能判斷windows平臺上的端口。3.秘密掃描端口開放：發(fā)送URG/PSH/FIN，沒有響應(yīng)端口關(guān)閉：發(fā)送URG/PSH/FIN，響應(yīng)RST4.其他掃描Dump掃描：也被稱為Idle掃描或反向掃描，在掃描主機(jī)時應(yīng)用了第三方僵尸計算機(jī)掃描。由僵尸主機(jī)向目標(biāo)主機(jī)發(fā)送SYN包。目標(biāo)主機(jī)端口開發(fā)時回應(yīng)SYN|ACK，關(guān)閉時返回RST，僵尸主機(jī)對SYN|ACK回應(yīng)RST，對RST不做回應(yīng)。從僵尸主機(jī)上進(jìn)行掃描時，進(jìn)行的是一個從本地計算機(jī)到僵尸主機(jī)的、連續(xù)的ping操作。查看僵尸主機(jī)返回的Echo響應(yīng)的ID字段，能確定目標(biāo)主機(jī)上哪些端口是開放的還是關(guān)閉的。10.2漏洞掃描10.2漏洞掃描

漏洞掃描技術(shù)是為使系統(tǒng)管理員能夠及時了解系統(tǒng)中存在的安全漏洞，并采取相應(yīng)防范措施，從而降低系統(tǒng)的安全風(fēng)險而發(fā)展起來的一種安全技術(shù)。利用安全漏洞掃描技術(shù)，可以對局域網(wǎng)、從WEB站點(diǎn)、主機(jī)操作系統(tǒng)、系統(tǒng)服務(wù)以及防火培系統(tǒng)的安全漏洞進(jìn)行掃描，系統(tǒng)管理員可以檢查出正在運(yùn)行的網(wǎng)絡(luò)系統(tǒng)中存在的不安全網(wǎng)絡(luò)服務(wù)，在操作系統(tǒng)上存在的可能會導(dǎo)致遭受緩沖區(qū)溢出攻擊或者拒絕服務(wù)攻擊的安全漏洞，還可以檢查出手機(jī)系統(tǒng)中是否被安裝了竊聽程序，防火墻系統(tǒng)是否存在安全漏洞和配置錯誤。10.2漏洞掃描漏洞掃描技術(shù)主要是檢查目標(biāo)主機(jī)是否存在漏洞。它主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。10.2漏洞掃描從不同角度可以對掃描技術(shù)進(jìn)行不同分類。從掃描對象來分，可以分為基于網(wǎng)絡(luò)的掃描(NetworkbasedScanning)和基于上機(jī)的掃描(Host—basedScanning)。1.基于網(wǎng)絡(luò)的漏洞掃描技術(shù)基于網(wǎng)絡(luò)的漏洞掃描，就是通過網(wǎng)絡(luò)來掃描遠(yuǎn)程計算機(jī)中的漏洞。比如，利用低版本的DNSBind漏洞，攻擊者能夠獲取root權(quán)限，侵入系統(tǒng)或者攻擊者能夠在遠(yuǎn)程計算機(jī)中執(zhí)行惡意代碼。基于網(wǎng)絡(luò)的漏洞掃描器一般結(jié)合了Nmap網(wǎng)絡(luò)端口掃描功能，常常用來檢測目標(biāo)系統(tǒng)中到底開放了哪些端口，并通過特定系統(tǒng)中提供的相關(guān)端口信息，增強(qiáng)了漏洞掃描器的功能。1.基于網(wǎng)絡(luò)的漏洞掃描技術(shù)基于網(wǎng)絡(luò)的漏洞掃描器一般有以下幾個方面組成：(1)漏洞數(shù)據(jù)庫模塊(2)用戶配置控制臺模塊(3)掃描引擎模塊(4)當(dāng)前活動的掃描知識庫模塊2.基于主機(jī)的漏洞掃描技術(shù)基于主機(jī)的漏洞掃描，就是通過以root身份登錄目標(biāo)網(wǎng)絡(luò)上的主機(jī)，記錄系統(tǒng)配置的各項(xiàng)主要要參數(shù)，分析配置的漏洞。通過這種方法，可以搜集到很多目標(biāo)豐機(jī)的配置信息。在獲得目標(biāo)主機(jī)配置信息的情況下，將之與安全配置標(biāo)準(zhǔn)庫進(jìn)行比較和匹配，凡不滿足者即視為漏洞。通常在目標(biāo)系統(tǒng)上安裝了一個代理(Agent)或者是服務(wù)(Services)，以便能夠訪問所有的文件與進(jìn)程。這也使得基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞。2.基于主機(jī)的漏洞掃描技術(shù)從掃描方式來分，可以分為主動掃描(ActireScanning)與被動掃描(PassiveScanning)。主動掃描是傳統(tǒng)的掃描方式，擁有較長的發(fā)展歷史，它是通過給目標(biāo)主機(jī)發(fā)送特定的包并收集回應(yīng)包來取得相關(guān)信息的。當(dāng)然，無響應(yīng)本身也是信息，它表明可能存在過濾設(shè)備將探測包或探測回應(yīng)包過濾了。主動掃描的優(yōu)勢在于通常能較快獲取信息，準(zhǔn)確性也比較高。缺點(diǎn)在于：(1)易于被發(fā)現(xiàn)。很難掩蓋掃描痕跡；(2)要成功實(shí)施主動掃描通常需要突破防火墻，但突破防火墻是很困難的。2.基于主機(jī)的漏洞掃描技術(shù)被動掃描是通過監(jiān)聽網(wǎng)絡(luò)包來取得信息。由于被動掃描具有很多優(yōu)點(diǎn)，近來倍受重視，其主要優(yōu)點(diǎn)是對它的檢測幾乎是不可能的。被動掃描一般只需要監(jiān)聽網(wǎng)絡(luò)流最而不需要主動發(fā)送網(wǎng)絡(luò)包，也不易受防火墻影響。而其主要缺點(diǎn)在于速度較慢而且準(zhǔn)確性較差，當(dāng)目標(biāo)不產(chǎn)生網(wǎng)絡(luò)流量時，就無法得知目標(biāo)的任何信息。雖然被動掃描存在弱點(diǎn)但依舊被認(rèn)為是大有可為的，近來出現(xiàn)了一些算法可以增進(jìn)被動掃描的速度和準(zhǔn)確性，如使用正常方式讓目標(biāo)系統(tǒng)產(chǎn)生流量。10.3實(shí)用掃描器10.3實(shí)用掃描器掃描器是一種自動檢測遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序，通過使用掃描器可以不留痕跡的發(fā)現(xiàn)遠(yuǎn)程服務(wù)器的各種TCP端口的分配及提供的服務(wù)和它們的軟件版本。這能間接或直觀的了解遠(yuǎn)程主機(jī)所存在的安全問題。掃描器并不是一個直接的攻擊網(wǎng)絡(luò)漏洞的程序，它僅能幫助發(fā)現(xiàn)目標(biāo)機(jī)的某些內(nèi)在的弱點(diǎn)。一個好的掃描器能對它得到的數(shù)據(jù)進(jìn)行分析，幫助查找目標(biāo)主機(jī)的漏洞。但它不會提供進(jìn)入一個系統(tǒng)的詳細(xì)步驟。10.3實(shí)用掃描器掃描器應(yīng)該有三項(xiàng)功能：發(fā)現(xiàn)一個主機(jī)或網(wǎng)絡(luò)的能力；一旦發(fā)現(xiàn)一臺主機(jī)，有發(fā)現(xiàn)什么服務(wù)正運(yùn)行在這臺主機(jī)上的能力；通過測試這些服務(wù)，發(fā)現(xiàn)漏洞的能力。常用的掃描器有：Nmap、Nessus、SuperScan、ShadowSecurityScanner、MS06040Scanner。1.NmapNmap是一款網(wǎng)絡(luò)掃描和主機(jī)檢測的非常有用的工具。Nmap是不局限于僅僅收集信息和枚舉，同時可以用來作為一個漏洞探測器或安全掃描器。它可以適用于winodws,linux,mac等操作系統(tǒng)。Nmap是一款非常強(qiáng)大的實(shí)用工具,可用于：檢測活在網(wǎng)絡(luò)上的主機(jī)（主機(jī)發(fā)現(xiàn)）檢測主機(jī)上開放的端口（端口發(fā)現(xiàn)或枚舉）檢測到相應(yīng)的端口（服務(wù)發(fā)現(xiàn)）的軟件和版本檢測操作系統(tǒng)，硬件地址，以及軟件版本檢測脆弱性的漏洞。Nmap是一個非常普遍的工具，它有命令行界面和圖形用戶界面。Nmap使用不同的技術(shù)來執(zhí)行掃描，包括：TCP的connect（）掃描，TCP反向的ident掃描，F(xiàn)TP反彈掃描等。1.Nmapnmap基本的命令如下：進(jìn)行ping掃描，打印出對掃描做出響應(yīng)的主機(jī),不做進(jìn)一步測試(如端口掃描或者操作系統(tǒng)探測)：nmap-sP/24僅列出指定網(wǎng)絡(luò)上的每臺主機(jī)，不發(fā)送任何報文到目標(biāo)主機(jī)：nmap-sL/24探測目標(biāo)主機(jī)開放的端口，可以指定一個以逗號分隔的端口列表(如-PS22，23，25，80)：nmap-PS34使用UDPping探測主機(jī)：nmap-PU/241.Nmap使用頻率最高的掃描選項(xiàng)：SYN掃描,又稱為半開放掃描，它不打開一個完全的TCP連接，執(zhí)行得很快：nmap-sS/24當(dāng)SYN掃描不能用時，TCPConnect()掃描就是默認(rèn)的TCP掃描：nmap-sT/24UDP掃描用-sU選項(xiàng),UDP掃描發(fā)送空的(沒有數(shù)據(jù))UDP報頭到每個目標(biāo)端口:nmap-sU/24確定目標(biāo)機(jī)支持哪些IP協(xié)議(TCP，ICMP，IGMP等):nmap-sO9探測目標(biāo)主機(jī)的操作系統(tǒng)：nmap-O9nmap-A92.NessusNes