第三章 扫描——探测漏洞（上）.pptVIP

第三章 扫描——探测漏洞（上） 3.1 简介 3.2 探测操作系统 3.3 针对特定应用和服务的漏洞扫描 3.4 综合性网络安全扫描评估工具 3.5 扫描过程中的隐藏技术 3.6 扫描对策 本章重点和复习要点 本章重点和复习要点 完全连接扫描和半连接扫描有什么不同？各有什么优缺点？ 为什么说SYN|ACK端口扫描方式可以逃避一般的包过滤型防火墙的检测？它不能逃避什么类型的防火墙的检测？为什么？ 利用Ping探测操作系统类型的实现依据是什么？如何大致区分被探测的操作系统是Windows、UNIX和Linux的哪一种？ 什么是“空会话连接”漏洞？Windows 2000设计时为什么会出现这样的漏洞？ 用图形和文字结合说明IP地址欺骗扫描的基本原理和过程。 返回首页 3.1 简介 当黑客通过踩点得到关于目标网络的敏感信息后，下一步有可能利用许多现成的工具，对目标网络进行有针对性的扫描，扫描的最终结果决定了他们能否对目标网络进行攻击。 返回首页 1.安全敏感信息（踩点得到的信息，扫描得到的关于端口开放以及OS类型的信息）：不至于直接造成黑客对目标网络的渗透和攻击，但有助于全面了解目标网络的安全状况。 2.安全漏洞信息（系统配置疏忽或软件系统自身缺陷）：黑客可以很容易地利用漏洞进入并控制目标网络，或对目标网络造成一定程度甚至全面的损害。 第一种方法：Ping——检测目标主机是否激活，可简单通过禁止ping包来避免被扫描。 第二种方法：全面的端口扫描——不仅是为确定其开放的网络服务，还确定其是否真正处于激活状态。 扫描者不仅获得目标主机对外开放的TCP和UDP端口列表，且还能通过一些连接测试得到监听端口返回的Banners信息。 端口扫描策略 1）随机端口扫描（Random Port Scan） 许多商业IDS和防火墙会搜寻顺序的连接尝试，一旦找到就报告存在端口扫描攻击。随机端口扫描可能躲避它们的检测。 2）慢扫描（Slow Scan） IDS可确定某个特定的IP是否正扫描被保护网络。这通常根据分析某段时间内的网络通信量来实现。很多入侵者非常有耐心，扫描持续很久。 3）分片扫描（Fragmentation Scanning） 在TCP协议中，8个字节的数据（最小分片长度）只能用来包含源和目的端口号，TCP协议的标志字段被放到第二个分片当中。 由于过滤设备在第一个分组中无法测试SYN=1和ACK=0标志位，因此可能无法正确处理连接请求，而且可能继续忽略后续其他分片包，从而绕过这些过滤设备。 4）诱骗（Decoy） 某些网络扫描器还包含选项用于诱骗或伪造假地址，使得IDS认为有很多主机在扫描被保护网络，要确定真正攻击者几乎不可能。 一种解决方法是利用TTL字段。如果所有进入分组的TTL值相同，可认为它们是同一台主机产生的。 但如果攻击者利用Nmap工具扫描，那么IDS无法利用它判断，因为它是随机产生介于51~64的TTL值的分组的。 A假冒C向B的20端口发连接请求（源地址假，源端口是想扫描的C端口），B向C返回一个应答，B根据C返回的③应答就能判断C相应端口是否打开（是一种假冒源IP/端口的SYN+ACK扫描）。 因A和B之间此时还存在控制连接，所以A能间接判断C端口的情况。使用的需求：A和C之间有防火墙，不让A直接扫描C。 FTP反弹式扫描：隐藏扫描者身份，难以被追踪，能够穿越防火墙。缺点：速度太慢，现在FTP服务器一般不提供FTP反弹扫描。 对策：要求客户端控制连接所用的端口与数据连接所用端口在同一个IP地址。 3.1.2 图形界面方式的端口扫描工具——Superscan ? 速度快、可靠性高、多线程； ? 最基本的TCP Connect扫描方法； ? 进行ping扫描以及强制性端口扫描； ? 可指定任意IP范围，方便地自定义扫描端口； ? 容易留下扫描痕迹，隐蔽性较差。 3.1.3 命令行方式的端口扫描工具——Fscan Windows平台；精巧而功能齐全； 既可扫描TCP端口，也可扫描UDP端口； 例：扫描主机上所有从1~200的TCP端口： fscan –p 1-200 例：扫描~254网段，1~65535TCP端口，输 出到out.txt： fscan –p 1-65535 -254 –o out.txt 3.1.4 经典的多功能扫描工具——Nmap 除了提供基本的TCP和UDP端口扫描功