风险评估与网络嗅探.pptVIP

UDPICMP端口不可达扫描利用UDP协议原理开放的UDP端口并不需要送回ACK包，而关闭的端口也不要求送回错误包，所以利用UDP包进行扫描非常困难有些协议栈实现的时候，对于关闭的UDP端口，会送回一个ICMPPortUnreach错误缺点速度慢，而且UDP包和ICMP包都不是可靠的需要root权限，才能读取ICMPPortUnreach消息一个应用例子Solaris的rpcbind端口(UDP)位于32770之上，这时可以通过这种技术来探测第29页，共65页，星期日，2025年，2月5日UDPrecvfrom()write()扫描非root用户不能直接读取ICMPPortUnreach消息，但是Linux提供了一种方法可以间接通知到原理第二次对一个关闭的UDP端口调用write()总是会失败经验：在ICMP错误到达之前，在UDP端口上调用recvfrom()会返回EAGAIN(重试)，否则会返回ECONNREFUSED(连接拒绝…)第30页，共65页，星期日，2025年，2月5日端口扫描的对策设置防火墙过滤规则，阻止对端口的扫描例如可以设置检测SYN扫描而忽略FIN扫描使用入侵检测系统禁止所有不必要的服务，把自己的暴露程度降到最低Unix或linux中，在/etc/inetd.conf中注释掉不必要的服务，并在系统启动脚本中禁止其他不必要的服务Windows中通过Services禁止敏感服务，如IIS第31页，共65页，星期日，2025年，2月5日操作系统辨识操作系统辨识的动机许多漏洞是系统相关的，而且往往与相应的版本对应从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统操作系统的信息还可以与其他信息结合起来，比如漏洞库，或者社会诈骗(社会工程，socialengineering)如何辨识一个操作系统一些端口服务的提示信息，例如，telnet、http、ftp等服务的提示信息TCP/IP栈指纹DNS泄漏出OS系统第32页，共65页，星期日，2025年，2月5日端口服务提供的信息Telnet服务Http服务Ftp服务第33页，共65页，星期日，2025年，2月5日栈指纹技术定义：利用TCP/IP协议栈实现上的特点来辨识一个操作系统技术导向可辨识的OS的种类，包括哪些操作系统结论的精确度，细微的版本差异是否能识别一些工具Checkos,byShokQueso,bySavageNmap,byFyodor第34页，共65页，星期日，2025年，2月5日主动栈指纹识别技术原理：寻找不同操作系统之间在处理网络数据包上的差异，并且把足够多的差异组合起来，以便精确地识别出一个系统的OS版本配置能力扩展性，新的OS，版本不断推出定义一种配置语言或者格式第35页，共65页，星期日，2025年，2月5日主动栈指纹识别方法常用的手段给一个开放的端口发送FIN包，有些操作系统有回应，有的没有回应对于非正常数据包的反应比如，发送一个包含未定义TCP标记的数据包根据TCP连接的序列号风格寻找初始序列号之间的规律ACK值有些系统会发送回所确认的TCP分组的序列号，有些会发回序列号加1TCP初始化窗口有些操作系统会使用一些固定的窗口大小DF位(DontFragmentbit)某些操作系统会设置IP头的DF位来改善性能第36页，共65页，星期日，2025年，2月5日主动栈指纹识别方法分片处理方式分片重叠的情况下，处理会不同：用后到的新数据覆盖先到的旧数据或者反之ICMP协议ICMP错误消息的限制发送一批UDP包给高端关闭的端口，然后计算返回来的不可达错误消息ICMP端口不可达消息的大小通常情况下送回IP头+8个字节，但是个别系统送回的数据更多一些ICMP回应消息中对于校验和的处理方法不同ICMP回应消息中，TOS域的值TCP选项(RFC793和更新的RFC1323)这里充满了各种组合的可能性应答方式“Query-Reply”，可以把多个选项放到一个包中有些高级选项在新的协议栈实现中加入SYNflooding测试如果发送太多的伪造SYN包，一些操作系统会停止建立新的连接。许多操作系统只能处理8个包。第37页，共65页，星期日，2025年，2月5日被动栈指纹识别方法它和主动栈指纹识别方法类似不是向目标系统发送分组，而是被动监测网络通信，以确定所用的操作系统如根据TCP/IP会话中的几个属性：TTL窗口大小DFTOSSiphon工具，/第38页，共65页，星期日，2025年，2月5日例