网络扫描器的原理与分析.pptx

网络扫描器的原理与分析主要内容扫描器的基本概念扫描器的工作原理网络扫描的主要技术现有扫描器介绍及选择扫描器的实例分析一、扫描器的基本概念什么是网络扫描器为什么需要网络扫描器网络扫描器的主要功能什么是网络扫描器安全评估工具 系统管理员保障系统安全的有效工具网络漏洞扫描器 网络入侵者收集信息的重要手段为什么需要网络扫描器由于网络技术的飞速发展，网络规模迅猛增长和计算机系统日益复杂，导致新的系统漏洞层出不穷由于系统管理员的疏忽或缺乏经验，导致旧有的漏洞依然存在许多人出于好奇或别有用心，不停的窥视网上资源网络扫描器的主要功能扫描目标主机识别其工作状态（开/关机）识别目标主机端口的状态（监听/关闭）识别目标主机系统及服务程序的类型和版本根据已知漏洞信息，分析系统脆弱点生成扫描结果报告二、扫描器的工作原理TCP协议ICMP协议扫描器的基本工作原理TCP协议（一）TCP是一种面向连接的，可靠的传输层协议。一次正常的TCP传输需要通过在客户端和服务器之间建立特定的虚电路连接来完成，该过程通常被称为“三次握手”。TCP通过数据分段中的序列号保证所有传输的数据可以在远端按照正常的次序进行重组，而且通过确认保证数据传输的完整性。TCP协议（二）TCP数据包格式TCP协议（三）TCP标志位ACK： 确认标志RST： 复位标志URG：紧急标志SYN： 建立连接标志PSH： 推标志FIN： 结束标志TCP协议（四）TCP连接建立示意图ICMP协议（一）Internet Control Message Protocol，是IP的一部分，在IP协议栈中必须实现。用途：网关或者目标机器利用ICMP与源通讯当出现问题时，提供反馈信息用于报告错误特点：其控制能力并不用于保证传输的可靠性它本身也不是可靠传输的并不用来反映ICMP报文的传输情况ICMP协议（二）ICMP报文类型0 Echo Reply3 Destination Unreachable4 Source Quench 5 Redirect 8 Echo 11 Time Exceeded12 Parameter Problem13 Timestamp 14 Timestamp Reply 15 Information Request 16 Information Reply 17 Address Mask Request 18 Address Mask Reply 扫描器的基本工作原理三、网络扫描的主要技术主机扫描技术端口扫描技术栈指纹OS识别技术主机扫描技术－传统技术主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果直接影响到后续的扫描。常用的传统扫描手段有：ICMP Echo扫描ICMP Sweep扫描Broadcast ICMP扫描Non-Echo ICMP扫描ICMP echo扫描实现原理：Ping的实现机制，在判断在一个网络上主机是否开机时非常有用。向目标主机发送ICMP Echo Request (type 8)数据包，等待回复的ICMP Echo Reply 包(type 0) 。如果能收到，则表明目标系统可达，否则表明目标系统已经不可达或发送的包被对方的设备过滤掉。 优点：简单，系统支持缺点：很容易被防火墙限制可以通过并行发送，同时探测多个目标主机，以提高探测效率（ICMP Sweep扫描）。Broadcast ICMP扫描实现原理：将ICMP请求包的目标地址设为广播地址或网络地址，则可以探测广播域或整个网络范围内的主机。缺点：只适合于UNIX/Linux系统，Windows 会忽略这种请求包；这种扫描方式容易引起广播风暴Non-Echo ICMP扫描一些其它ICMP类型包也可以用于对主机或网络设备的探测，如：Stamp Request(Type 13)Reply(Type 14)Information Request(Type 15)Reply(Type 16)Address Mask Request (Type 17)Reply(Type 18)主机扫描技术－高级技术防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制，必须采用一些非常规的手段，利用ICMP协议提供网络间传送错误信息的手段，往往可以更有效的达到目的：异常的IP包头在IP头中设置无效的字段值错误的数据分片通过超长包探测内部路由器反向映射探测异常的IP包头向目标主机发送包头错误的IP包，目标主机或过滤设备会反馈ICMP Parameter Problem Error信息。常见的伪造错误字段为Header Length Field 和IP Options Field。根据RFC1122的规定，主机应该检测IP包的Version Number、Checksum字段, 路由器应该检测IP