网络扫描专题(“扫描”相关文档)共37张.pptx

网络扫描;一、扫描的根本概念;什么是网络扫描;否那么，假设是翻开的端口，数据包只是简单的丢掉〔不前往RST〕。 某些程序在处置这些小数据包时会出现异常。 半衔接〔TCP SYN〕扫描 识别目的主机系统及效力程序的类型和版本 TCP Xmas和TCP Null扫描 扫描目的主机识别其任务形状〔开/关机〕 目的是为了防止数据包被过滤。 网关或者目的主机利用ICMP与源主机通讯 TCP FIN扫描(扫描) 其控制才干并不用于保证传输的可靠性 UDP是一个不可靠的无链接的协议, 当向目的主机的UDP端口发送数据,并不能收到一个开放端口确实认信息,或是封锁端口的错误信息. 随机地址扫描〔IP隐藏〕 由于网络技术的飞速开展，网络规模迅猛增长和计算机系统日益复杂，导致新的系统破绽层出不穷。 Broadcast ICMP扫描 许多人出于猎奇或别有用心，不停的窥视网上资源。 向一个未开放的UDP端口发送数据时, 其主机就会反回一个ICMP不可达信息, 因此大多数UDP端口扫描的方法就是向各个被扫描的UDP端口发送零字节的UDP数据包, 假设收到一个ICMP不可到达的回应, 那么以为这个端口是封锁的, 对于没有回应的端口那么以为是开放的。;网络扫描器的主要功能;二、扫描的主要步骤;TCP协议;ICMP协议;三、网络扫描的主要技术;〔1〕主机扫描技术;A. ICMP echo扫描;B. Broadcast ICMP扫描;C. 主机扫描高级技术;方式3：〔探测协议〕向目的主机发送一个IP包，改动其协议项，假设前往“Destination unreachable〞，那么主机没运用这个协议；假设未前往任何信息那么运用该协议了或运用了防火墙。 方式4：当数据包分片且分片未全部收到，接纳端会在超时后发送组装超时ICMP数据包。 构造不完好的分片，等待目的主机发来的错误信息。;三、网络扫描的主要技术;〔2〕端口扫描技术;A. TCP 扫描;A1. TCP 全衔接扫描;A2. 半衔接〔TCP SYN〕扫描;A3. TCP FIN扫描;优点： 由于这种技术不包含规范的TCP三次握手协议的任何部分，所以无法被记录下来，从而比SYN扫描隐蔽得多，FIN数据包可以经过只监测SYN包的包过滤器。 缺陷： 跟SYN扫描类似，需求本人构造数据包，要求由超级用户或者授权用户访问专门的系统调用； 通常适用于UNIX目的主???，在Windows95/NT环境下，该方法无效，由于不论目的端口能否翻开，操作系统都前往RST包。;A4. TCP Xmas 和TCP Null 扫描;A5. TCP间接扫描;B. UDP扫描;反监测扫描技术 慢速扫描 随机地址扫描〔IP隐藏〕 分片〔段〕扫描 分布式扫描;C. 其他扫描技术;目的是为了防止数据包被过滤。 利用第三方的IP〔欺骗主机〕来隐藏真正扫描者的IP。 优点：隐蔽性好，可穿越防火墙 TCP Xmas和TCP Null扫描 Xmas扫描翻开FIN，URG和PUSH标志，而Null扫描封锁一切标志。 由于网络技术的飞速开展，网络规模迅猛增长和计算机系统日益复杂，导致新的系统破绽层出不穷。 假设未前往任何信息那么运用该协议了或运用了防火墙。 这种扫描方式容易引起广播风暴 目的是为了防止数据包被过滤。;破绽扫描;破绽扫描原理;利用第三方的IP〔欺骗主机〕来隐藏真正扫描者的IP。 Internet Control Message Protocol，是IP的一部分。 由于在SYN扫描时，全衔接尚未建立，所以这种技术通常被称为半衔接扫描。 扫描目的主机识别其任务形状〔开/关机〕 不直接发送TCP探测数据包，是将数据包分成两个较小的IP段。 扫描主机经过伪造第三方主机IP地址向目的主机发起SYN扫描，并经过察看其报文段序列号的增长规律获取端口的形状 。 半衔接〔TCP SYN〕扫描 扫描目的主机识别其任务形状〔开/关机〕 跟SYN扫描类似，需求本人构造数据包，要求由超级用户或者授权用户访问专门的系统调用； 由于系统管理员的忽略或缺乏阅历，导致旧有的破绽依然存在。 这种扫描方式容易引起广播风暴 Xmas扫描翻开FIN，URG和PUSH标志，而Null扫描封锁一切标志。 Internet Control Message Protocol，是IP的一部分。 三、网络扫描的主要技术 由于UDP协议是无衔接的协议，这种扫描技术的准确性高度依赖于网络性能和系统资源。;扫描防备;四、常用的端口扫描工具