系统漏洞扫描原理介绍及应用举例.ppt

系统漏洞扫描原理介绍及应用举例.ppt

《系统漏洞扫描原理介绍及应用举例.ppt》由会员分享，可在线阅读，更多相关《系统漏洞扫描原理介绍及应用举例.ppt（105页珍藏版）》请在冰豆网上搜索。

网络扫描器的原理与分析袁治11/4/202211/4/2022主要内容l扫描器的基本概念l扫描器的工作原理l网络扫描的主要技术l现有扫描器介绍及选择l扫描器的实例分析一、扫描器的基本概念l什么是网络扫描器l为什么需要网络扫描器l网络扫描器的主要功能什么是网络扫描器l安全评估工具系统管理员保障系统安全的有效工具l网络漏洞扫描器网络入侵者收集信息的重要手段为什么需要网络扫描器l由于网络技术的飞速发展，网络规模迅猛增长和计算机系统日益复杂，导致新的系统漏洞层出不穷l由于系统管理员的疏忽或缺乏经验，导致旧有的漏洞依然存在l许多人出于好奇或别有用心，不停的窥视网上资源网络扫描器的主要功能l扫描目标主机识别其工作状态（开/关机）l识别目标主机端口的状态（监听/关闭）l识别目标主机系统及服务程序的类型和版本l根据已知漏洞信息，分析系统脆弱点l生成扫描结果报告二、扫描器的工作原理lTCP协议lICMP协议l扫描器的基本工作原理TCP协议

（一）TCP是一种面向连接的，可靠的传输层协议。

一次正常的TCP传输需要通过在客户端和服务器之间建立特定的虚电路连接来完成，该过程通常被称为“三次握手”。

TCP通过数据分段中的序列号保证所有传输的数据可以在远端按照正常的次序进行重组，而且通过确认保证数据传输的完整性。

TCP协议

（二）TCPTCP数据包格式数据包格式TCP协议（三）lTCP标志位ACKACK：

确认标志确认标志RSTRST：

复位标志复位标志URGURG：

紧急标志：

紧急标志SYNSYN：

建立连接标志建立连接标志PSHPSH：

推标志推标志FINFIN：

结束标志结束标志TCP协议（四）TCPTCP连接建立示意图连接建立示意图ICMP协议

（一）lInternetControlMessageProtocol，是IP的一部分，在IP协议栈中必须实现。

l用途：

网关或者目标机器利用网关或者目标机器利用ICMPICMP与源通讯与源通讯当出现问题时，提供反馈信息用于报告错误当出现问题时，提供反馈信息用于报告错误l特点：

其控制能力并不用于保证传输的可靠性其控制能力并不用于保证传输的可靠性它本身也不是可靠传输的它本身也不是可靠传输的并不用来反映并不用来反映ICMPICMP报文的传输情况报文的传输情况ICMP协议

（二）llICMPICMP报文类型报文类型0EchoReply0EchoReply3Destination3DestinationUnreachableUnreachable4SourceQuench4SourceQuench5Redirect5Redirect8Echo8Echo11TimeExceeded11TimeExceeded12ParameterProblem12ParameterProblem13Timestamp13Timestamp14TimestampReply14TimestampReply15InformationRequest15InformationRequest16InformationReply16InformationReply17AddressMaskRequest17AddressMaskRequest18AddressMaskReply18AddressMaskReply扫描器的基本工作原理三、网络扫描的主要技术l主机扫描技术l端口扫描技术l栈指纹OS识别技术主机扫描技术传统技术l主机扫描的目的是确定在目标网络上的主机是否可达。

这是信息收集的初级阶段，其效果直接影响到后续的扫描。

l常用的传统扫描手段有：

ICMPEchoICMPEcho扫描扫描ICMPSweepICMPSweep扫描扫描BroadcastICMPBroadcastICMP扫描扫描Non-EchoICMPNon-EchoICMP扫描扫描ICMPecho扫描ll实现原理：

实现原理：

PingPing的实现机制，在判断在一个网络的实现机制，在判断在一个网络上主机是否开机时非常有用。

向目标主机发送上主机是否开机时非常有用。

向目标主机发送ICMPEchoRequest（type8）ICMPEchoRequest（type8）数据包，等待回复数据包，等待回复的的ICMPEchoReplyICMPEchoReply包包（type0）（type0）。

如果能收到，。

如果能收到，则表明目标系统可达，否则表明目标系统已经不则表明目标系统可达，否则表明目标系统已经不可达或发送的包被对方的设备过滤掉。

可达或发送的包被对方的设备过滤掉。

ll优点：

简单，系统支持优点：

简单，系统支持ll缺点：

很容易被防火墙限制缺点：

很容易被防火墙限制ll可以通过并行发送，同时探测多个目标主机，以可以通过并行发送，同时探测多个目标主机，以提高探测效率（提高探测效率（ICMPSweepICMPSweep扫描）。

扫描）。

BroadcastICMP扫描l实现原理：

将ICMP请求包的目标地址设为广播地址或网络地址，则可以探测广播域或整个网络范围内的主机。

l缺点：

只适合于只适合于UNIX/LinuxUNIX/Linux系统，系统，WindowsWindows会忽略这会忽略这种请求包；种请求包；这种扫描方式容易引起广播风暴这种扫描方式容易引起广播风暴Non-EchoICMP扫描l一些其它ICMP类型包也可以用于对主机或网络设备的探测，如：

StampStampRequest（TypeRequest（Type13）13）Reply（TypeReply（Type14）14）InformationInformationRequest（TypeRequest（Type15）15）Reply（TypeReply（Type16）16）AddressMaskRequest（Type17）AddressMaskRequest（Type17）Reply（TypeReply（Type18）18）主机扫描技术高级技术ll防火墙和网络过滤设备常常导致传统的探测手段防火墙和网络过滤设备常常导致传统的探测手段变得无效。

为了突破这种限制，必须采用一些非变得无效。

为了突破这种限制，必须采用一些非常规的手段，利用常规的手段，利用ICMPICMP协议提供网络间传送错误协议提供网络间传送错误信息的手段，往往可以更有效的达到目的：

信息的手段，往往可以更有效的达到目的：

异常的异常的IPIP包头包头在在IPIP头中设置无效的字段值头中设置无效的字段值错误的数据分片错误的数据分片通过超长包探测内部路由器通过超长包探测内部路由器反向映射探测反向映射探测异常的IP包头ll向目标主机发送包头错误的向目标主机发送包头错误的IPIP包，目标主机或过包，目标主机或过滤设备会反馈滤设备会反馈ICMPParameterProblemErrorICMPParameterProblemError信信息。

常见的伪造错误字段为息。

常见的伪造错误字段为HeaderLengthFieldHeaderLengthField和和IPOptionsFieldIPOptionsField。

ll根据根据RFC1122RFC1122的规定，主机应该检测的规定，主机应该检测IPIP包的包的VersionNumberVersionNumber、ChecksumChecksum字段字段,路由器应该检路由器应该检测测IPIP包的包的ChecksumChecksum字段。

不同厂家的路由器和操字段。

不同厂家的路由器和操作系统对这些错误的处理方式不同，返回的结果作系统对这些错误的处理方式不同，返回的结果也各异。

如果结合其它手段，可以初步判断目标也各异。

如果结合其它手段，可以初步判断目标系统所在网络过滤设备的系统所在网络过滤设备的ACLACL。

在IP头中设置无效的字段值l向目标主机发送的IP包中填充错误的字段值，目标主机或过滤设备会反馈ICMPDestinationUnreachable信息。

这种方法同样可以探测目标主机和网络设备以及其ACL。

错误的数据分片l当目标主机接收到错误的数据分片（如某些分片丢失），并且在规定的时间间隔内得不到更正时，将丢弃这些错误数据包，并向发送主机反馈ICMPFragmentReassemblyTimeExceeded错误报文。

利用这种方法同样可以检测到目标主机和网络过滤设备及其ACL。

通过超长包探测内部路由器l若构造的数据包长度超过目标系统所在路由器的PMTU且设置禁止分片标志,该路由器会反馈FragmentationNeededandDontFragmentBitwasSet差错报文，从而获取目标系统的网络拓扑结构。

反向映射探测ll该技术用于探测被过滤设备或防火墙保护的网络该技术用于探测被过滤设备或防火墙保护的网络和主机。

通常这些系统无法从外部直接到达，但和主机。

通常这些系统无法从外部直接到达，但是我们可以采用反向映射技术，通过目标系统的是我们可以采用反向映射技术，通过目标系统的路由设备进行有效的探测。

路由设备进行有效的探测。

ll当我们想探测某个未知网络内部的结构时，可以当我们想探测某个未知网络内部的结构时，可以构造可能的内部构造可能的内部IPIP地址列表，并向这些地址发送地址列表，并向这些地址发送数据包。

当对方路由器接收到这些数据包时，会数据包。

当对方路由器接收到这些数据包时，会进行进行IPIP识别并路由，对不在其服务的范围的识别并路由，对不在其服务的范围的IPIP包包发送发送ICMPHostUnreachableICMPHostUnreachable或或ICMPTimeICMPTimeExceededExceeded错误报文，没有接收到相应错误报文错误报文，没有接收到相应错误报文的的IPIP地址会可被认为在该网络中。

当然，这种方地址会可被认为在该网络中。

当然，这种方法也会受到过滤设备的影响。

法也会受到过滤设备的影响。

端口扫描技术ll当确定了目标主机可达后，就可以使用端口扫描技术，发当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和各种应用监听的现目标主机的开放端口，包括网络协议和各种应用监听的端口。

端口扫描技术主要包括以下三类：

端口。

端口扫描技术主要包括以下三类：

ll开放扫描开放扫描会产生大量的审计数据，容易被对方发现，但其可靠性高；会产生大量的审计数据，容易被对方发现，但其可靠性高；ll隐蔽扫描隐蔽扫描能有效的避免对方入侵检测系统和防火墙的检测，但这种扫描使能有效的避免对方入侵检测系统和防火墙的检测，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息；用的数据包在通过网络时容易被丢弃从而产生错误的探测信息；ll半开放扫描半开放扫描隐蔽性和可靠性介于前两者之间。

隐蔽性和可靠性介于前两者之间。

开放扫描技术lTCPConnect扫描lTCP反向ident扫描TCPConnect扫描ll实现原理：

通过调用实现原理：

通过调用socketsocket函数函数connect（）connect（）连接到连接到目标计算机上，完成一次完整的三次握手过程。

目标计算机上，完成一次完整的三次握手过程。

如果端口处于侦听状态，那么如果端口处于侦听状态，那么connect（）connect（）就能成就能成功返回。

否则，这个端口不可用，即没有提供服功返回。

否则，这个端口不可用，即没有提供服务。

务。

ll优点：

稳定可靠，不需要特殊的权限优点：

稳定可靠，不需要特殊的权限ll缺点：

扫描方式不隐蔽，服务器日志会记录下大缺点：

扫描方式不隐蔽，服务器日志会记录下大量密集的连接和错误记录量密集的连接和错误记录，并容易被防火墙发，并容易被防火墙发现和屏蔽现和屏蔽TCP反向ident扫描l实