第二十一章网络信息获取.ppt

* * 软 件 学 院 第一页，共二十一页，2022年，8月28日 网络信息获取 扫描器 扫描器基本概念 扫描原理 监听 网络监听的概念和工作原理 网络监听在Windows2000下的基本实现方法 NETVIEW监听器示例 Linux下的BBS监听程序例子 侦听检测 第二页，共二十一页，2022年，8月28日 扫描器基本概念 扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器你可一不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本。 扫描器通过选用远程TCP/IP不同的端口的服务，并记录目标给予的回答，通过这种方法，可以搜集到很多关于目标主机的各种有用的信息 扫描器并不是一个直接的攻击网络漏洞的程序，它仅仅能帮助我们发现目标机的某些内在的弱点 第三页，共二十一页，2022年，8月28日 扫描器种类主要有 NNS(网络安全扫描器) STROBE(超级优化TCP端口检测程序) SATAN(安全管理员的网络分析工具) Jakal（秘密扫描器） IdenTCPscan ESPScan XSCAN 第四页，共二十一页，2022年，8月28日 扫描器应该有三项功能： 发现一个主机或网络的能力； 一旦发现一台主机，有发现什么服务正运行在这台主机上的能力； 通过测试这些服务，发现漏洞的能力。 第五页，共二十一页，2022年，8月28日 扫描原理 TCPconnect()扫描基本原理 TCPconnect是最基本的TCP扫描。操作系统提供的connect()系统调用，用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态，那么connect()就能成功。否则，这个端口是不能用的，即没有提供服务。 TCPSYN扫描 扫描程序发送的是一个SYN数据包，好象准备打开一个实际的连接并等待反应一样（参考TCP的三次握手建立一个TCP连接的过程）。一个SYN|ACK的返回信息表示端口处于侦听状态。一个RST返回，表示端口没有处于侦听态。如果收到一个SYN|ACK，则扫描程序必须再发送一个RST信号，来关闭这个连接过程。 第六页，共二十一页，2022年，8月28日 TCPFIN扫描 TCPFIN扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包。另一方面，打开的端口会忽略对FIN数据包的回复。 IP段扫描 IP段扫描不能算是新方法，只是其它技术的变化。它并不是直接发送TCP探测数据包，是将数据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包，从而过滤器就很难探测到。 第七页，共二十一页，2022年，8月28日 TCP反向ident扫描 ident协议允许(rfc1413)看到通过TCP连接的任何进程的拥有者的用户名，即使这个连接不是由这个进程开始的。因此你能，举个例子，连接到http端口，然后用identd来发现服务器是否正在以root权限运行。这种方法只能在和目标端口建立了一个完整的TCP连接后才能看到。 FTP返回攻击 FTP协议的一个有趣的特点是它支持代理（proxy）FTP连接。即入侵者可以从自己的计算机和目标主机的FTPserver-PI(协议解释器)连接，建立一个控制通信连接。然后，请求这个server-PI激活一个有效的server-DTP(数据传输进程)来给Internet上任何地方发送文件。 第八页，共二十一页，2022年，8月28日 UDPICMP端口不能到达扫描 这种方法与上面几种方法的不同之处在于使用的是UDP协议。 许多主机在你向一个未打开的UDP端口发送一个数据包时，会返回一个ICMP_PORT_UNREACH错误。这样你就能发现哪个端口是关闭的。UDP和ICMP错误都不保证能到达，因此这种扫描器必须还实现在一个包看上去是丢失的时候能重新传输。 第九页，共二十一页，2022年，8月28日 UDPrecvfrom()和write()扫描 当非root用户不能直接读到端口不能到达错误时，Linux能间接地在它们到达时通知用户。比如，对一个关闭的端口的第二个write()调用将失败。在非阻塞的UDP套接字上调用recvfrom()时，如果ICMP出错还没有到达时回返回EAGAIN-重试。如果ICMP到达时，返回ECONNREFUSED-连接被拒绝。这就是用来查看端口是否打开的技术。 第十页，共二十一页，2022年，8月28日 ICMPecho扫描 这并不是真正意义上的扫描。但有时通过ping，在判断在一个网络上主机是否开机时非常有用。 第十一页，共二十一页，2022年，8月28日 网络信息获取 扫描器 扫描器基本概念 扫描原理 监听