1、網(wǎng)絡(luò)平安陳黎麗計(jì)算機(jī)系網(wǎng)絡(luò)教研室cici_608163課程安排周數(shù)：1-15周 課時(shí)：75課時(shí)考試方式：閉卷成果： 平常成果40%+考試成果60%課程安排平常成果40分： 考勤10分：第1次缺課扣2分；第2次扣2分，3次扣2分，3次以上考勤成果0分； 作業(yè)10分：三次不交此項(xiàng)為0分； 期中測(cè)評(píng)15分； 課堂表現(xiàn)5分。第 5 章破綻掃描5.1 計(jì)算機(jī)破綻5.2 實(shí)施網(wǎng)絡(luò)掃描5.3 常用的網(wǎng)絡(luò)掃描工具5.4 不同的掃描戰(zhàn)略目 錄5.1.1 計(jì)算機(jī)破綻的概念 “破綻指的是計(jì)算機(jī)系統(tǒng)具有的某種的能夠被侵入者惡意利用的屬性。在計(jì)算機(jī)平安領(lǐng)域，平安破綻通常又稱為脆弱性。 簡(jiǎn)單的說，計(jì)算機(jī)破綻使系統(tǒng)的一組特

2、性，惡意的主體可以利用這組特性，經(jīng)過已授權(quán)的手段和方式獲取對(duì)資源的未授權(quán)訪問，或者對(duì)系統(tǒng)呵斥損害。 此處的破綻包括單個(gè)計(jì)算機(jī)系統(tǒng)的脆弱性，也包括計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的破綻。5.1計(jì)算機(jī)破綻5.1.2 公開的計(jì)算機(jī)破綻信息 1.通用破綻和曝光CVE 是一個(gè)公共平安破綻和曝光信息的規(guī)范化名字列表。努力于為一切公開的破綻和平安曝光稱號(hào)規(guī)范化的任務(wù)。CVE不是一個(gè)數(shù)據(jù)庫(kù)而是一個(gè)字典，目的是使不同的破綻數(shù)據(jù)庫(kù)共享數(shù)據(jù)和搜索信息變得更容易。5.1計(jì)算機(jī)破綻5.1.3 公開的計(jì)算機(jī)破綻信息 2.BugTrap破綻數(shù)據(jù)庫(kù) 由SecurityFocus公司維護(hù)的一個(gè)關(guān)于計(jì)算機(jī)平安破綻概略信息討論的郵件列表，討論內(nèi)容包

3、括破綻的描畫、破綻的浸透方法及破綻的修補(bǔ)方法等。5.1計(jì)算機(jī)破綻5.1.3 公開的計(jì)算機(jī)破綻信息 3.ICAT破綻數(shù)據(jù)庫(kù) 由美國(guó)規(guī)范技術(shù)研討所NIST維護(hù)的的一個(gè)CVE兼容的破綻信息檢索索引。ICAT也提供下載的Microsoft Access格式的數(shù)據(jù)庫(kù)文件。每條破綻記錄的信息包括破綻的CVE名字、發(fā)布時(shí)間、描畫、危險(xiǎn)等級(jí)、破綻類型、實(shí)施范圍、受影響系統(tǒng)和參考鏈接等。5.1計(jì)算機(jī)破綻5.1.3 公開的計(jì)算機(jī)破綻信息 4.CERT/CC 破綻信息數(shù)據(jù)庫(kù) 也是一個(gè)CVE兼容的數(shù)據(jù)庫(kù)。可以經(jīng)過名字、ID號(hào)、CVE名字、公布日期、更新日期和嚴(yán)重性等方法索引破綻信息。5.1計(jì)算機(jī)破綻5.1.3 公開的

4、計(jì)算機(jī)破綻信息 5.X-Force數(shù)據(jù)庫(kù) 由ISS公司維護(hù)，是一個(gè)比較全面的破綻信息數(shù)據(jù)庫(kù)。可以在web頁(yè)面上運(yùn)用關(guān)鍵字對(duì)數(shù)據(jù)庫(kù)進(jìn)展檢索，檢索到的破綻記錄包括破綻描畫、受影響平臺(tái)、補(bǔ)救措施、風(fēng)險(xiǎn)等級(jí)、影響結(jié)果、報(bào)告時(shí)間和參考鏈接等信息。5.1計(jì)算機(jī)破綻一次完好的網(wǎng)絡(luò)掃描分為下面三個(gè)階段：1發(fā)現(xiàn)目的主機(jī)或者網(wǎng)絡(luò)2發(fā)現(xiàn)目的后進(jìn)一步搜集目的信息，包括操作系統(tǒng)類型、運(yùn)轉(zhuǎn)的效力及效力軟件的版本等。3根據(jù)搜集到的信息判別或者進(jìn)一步檢測(cè)系統(tǒng)能否存在平安破綻。5.2 實(shí)施網(wǎng)絡(luò)掃描5.2 實(shí)施網(wǎng)絡(luò)掃描5.2 實(shí)施網(wǎng)絡(luò)掃描1. TCP/IP協(xié)議層次和協(xié)議集1網(wǎng)絡(luò)接口層(SubNetwork Layer)TCP/I

5、P協(xié)議的網(wǎng)絡(luò)接口層與OSI協(xié)議的物理層、數(shù)據(jù)鏈路層以及網(wǎng)絡(luò)層的部分相對(duì)應(yīng)。該層沒有規(guī)定新的物理層和數(shù)據(jù)鏈路層協(xié)議，允許通訊子網(wǎng)采用已有的或未來的各種協(xié)議，例如以太網(wǎng)的802.3協(xié)議，分組交換網(wǎng)的X.25協(xié)議等。該層只定義了TCP/IP與各種通訊子網(wǎng)之間的網(wǎng)絡(luò)接口。網(wǎng)絡(luò)接口層的功能是傳輸經(jīng)網(wǎng)絡(luò)層處置過的音訊。5.2 實(shí)施網(wǎng)絡(luò)掃描1. TCP/IP協(xié)議層次和協(xié)議集2網(wǎng)絡(luò)層(Internet Layer)該層與OSI網(wǎng)絡(luò)層相對(duì)應(yīng)，由于它是針對(duì)網(wǎng)際環(huán)境設(shè)計(jì)的，具有更強(qiáng)的網(wǎng)際通訊才干。網(wǎng)絡(luò)層協(xié)議為IP協(xié)議。它將傳輸層送來的音訊組裝成IP數(shù)據(jù)包，并且把IP數(shù)據(jù)包傳送給網(wǎng)絡(luò)接口層。IP提供端到端分組發(fā)送功能

6、，標(biāo)識(shí)網(wǎng)絡(luò)號(hào)及主機(jī)節(jié)點(diǎn)地址的功能，為使IP數(shù)據(jù)包長(zhǎng)度與通訊子網(wǎng)允許的數(shù)據(jù)包長(zhǎng)度匹配，提供了數(shù)據(jù)分段和重新組裝的功能。該層還提供建立獨(dú)立的局域網(wǎng)之間的互連網(wǎng)絡(luò)。在互連網(wǎng)絡(luò)中，銜接兩個(gè)以上網(wǎng)絡(luò)的節(jié)點(diǎn)稱為路由器(網(wǎng)關(guān))，其允許網(wǎng)間的報(bào)文根據(jù)它的目的地址經(jīng)過路由器傳送到另一個(gè)網(wǎng)絡(luò)。5.2 實(shí)施網(wǎng)絡(luò)掃描3傳輸層(Transport Layer) 該層與OSI傳輸層相對(duì)應(yīng)，為運(yùn)用程序提供端到端通訊功能。傳輸層有3個(gè)主要協(xié)議，其分別為傳輸控制協(xié)議TCP，用戶數(shù)據(jù)報(bào)協(xié)議UDP和互聯(lián)網(wǎng)控制音訊協(xié)議ICMP。TCP協(xié)議擔(dān)任將用戶數(shù)據(jù)按規(guī)定長(zhǎng)度組成數(shù)據(jù)包發(fā)送，在接納端對(duì)數(shù)據(jù)包按順序進(jìn)展分解重組以恢復(fù)用戶數(shù)據(jù)。TCP

7、協(xié)議是以建立高可靠性信息傳輸為目的，為了可靠傳輸數(shù)據(jù)，該協(xié)議具有數(shù)據(jù)包的順序控制、過失檢測(cè)、檢驗(yàn)以及再發(fā)送控制等功能。5.2 實(shí)施網(wǎng)絡(luò)掃描 UDP協(xié)議擔(dān)任主機(jī)和網(wǎng)關(guān)以及Internet運(yùn)轉(zhuǎn)管理中心等的信息通訊，控制管理網(wǎng)絡(luò)的運(yùn)轉(zhuǎn)。ICMP協(xié)議擔(dān)任當(dāng)數(shù)據(jù)包傳輸有誤時(shí)，發(fā)送出錯(cuò)信息給數(shù)據(jù)包發(fā)送端主機(jī)，另外還具有控制數(shù)據(jù)包流量的功能。(4)運(yùn)用層(Application Layer)該層包含了OSI會(huì)話層，表示層和運(yùn)用層的功能，為用戶提供各類效力。例如，遠(yuǎn)程登陸、文件傳輸、電子郵件、Web效力器等。5.2 實(shí)施網(wǎng)絡(luò)掃描5.2.1 發(fā)現(xiàn)目的 通常稱為ping掃射，包括ICMP掃射、廣播ICMP、非回顯

8、ICMP、TCP掃射、UDP掃射。ICMP掃射 ICMP是IP層的一個(gè)組成部分，用來傳送過失報(bào)文和其他需求留意的信息。經(jīng)常用到ping命令就是運(yùn)用的ICMP。ICMP報(bào)文在IP數(shù)據(jù)報(bào)內(nèi)部傳輸?shù)?，如圖5-1所示圖5-1 ICMP報(bào)文封裝在IP數(shù)據(jù)報(bào)內(nèi) 5.2 實(shí)施網(wǎng)絡(luò)掃描5-2 ICMP報(bào)文格式ICMP掃射利用了類型為8的ICMP報(bào)文，即ICMP回顯懇求。通常網(wǎng)絡(luò)上遭到ICMP回顯懇求的主機(jī)都回向懇求者發(fā)送ICMP回顯應(yīng)對(duì)類型為0報(bào)文。5.2 實(shí)施網(wǎng)絡(luò)掃描ICMP報(bào)文格式如圖5-2所示。報(bào)文的前兩個(gè)字節(jié)決議了報(bào)文的類型。第3個(gè)和第4個(gè)字節(jié)是ICMP報(bào)文的校驗(yàn)和字段。ICMP掃射工具比較多。UNI

9、X環(huán)境中主要有ping和fping，gping。ping：ping命令是第一個(gè)必需掌握的DOS命令，它所利用的原理是這樣的：利用網(wǎng)絡(luò)上機(jī)器IP地址的獨(dú)一性，給目的IP地址發(fā)送一個(gè)數(shù)據(jù)包，再要求對(duì)方前往一個(gè)同樣大小的數(shù)據(jù)包來確定兩臺(tái)網(wǎng)絡(luò)機(jī)器能否銜接相通，時(shí)延是多少。5.2 實(shí)施網(wǎng)絡(luò)掃描fping：掃射多個(gè)IP地址時(shí)，速度明顯超越ping的速度。gping：與fping一同運(yùn)用，為fping聲稱掃射的IP地址列表。5.2 實(shí)施網(wǎng)絡(luò)掃描廣播ICMP與ICMP掃射一樣，廣播ICMP也是利用了ICMP回顯應(yīng)對(duì)這兩種報(bào)文。與前者不同的是，廣播的ICMP只需求向目的網(wǎng)絡(luò)的網(wǎng)絡(luò)地址和/或廣播地址發(fā)送一兩個(gè)回顯

10、懇求，就可以收到目的網(wǎng)絡(luò)中一切存活主機(jī)的ICMP回顯應(yīng)對(duì)。eg.網(wǎng)絡(luò)/24中有4臺(tái)活動(dòng)主機(jī)，期中和運(yùn)轉(zhuǎn)的是Linux，和19運(yùn)轉(zhuǎn)的是Windos 操作系統(tǒng)5.2 實(shí)施網(wǎng)絡(luò)掃描rootlocalhost root#ping -bWARNING: pinging broadcast addressPING () from :56(84) bytes of data.64 bytes from :icmp_seq=1 ttl=255 time=0.36ms64 bytes from :icmp_seq=2 ttl=255 time=0.565ms64 bytes from :icmp_seq=3 t

11、tl=255 time=0.164ms(dup!)64 bytes from :icmp_seq=4 ttl=255 time=0.246ms(dup!)5.2 實(shí)施網(wǎng)絡(luò)掃描3.非回顯ICMP 假設(shè)目的主機(jī)阻塞了ICMP回顯懇求報(bào)文，依然可以經(jīng)過運(yùn)用其他類型的ICMP報(bào)文探測(cè)目的主機(jī)能否存活。 eg：類型13的ICMP報(bào)文， ICMP時(shí)間戳懇求允許系統(tǒng)向另一個(gè)系統(tǒng)查詢當(dāng)前時(shí)間； 類型17的ICMP報(bào)文，ICMP地址掩碼懇求用于無盤系統(tǒng)引導(dǎo)過程中獲得本人的子網(wǎng)掩碼。5.2 實(shí)施網(wǎng)絡(luò)掃描下面的一個(gè)例子運(yùn)用一個(gè)叫icmpenum的工具對(duì)目的進(jìn)展ICMP時(shí)間戳懇求探測(cè)。rootlocalhost ro

12、ot#icmpenum-i2-c is up is up is up is up5.2 實(shí)施網(wǎng)絡(luò)掃描對(duì)于ICMP地址掩碼懇求報(bào)文而言，雖然RFC1122規(guī)定，除非是地址掩碼的授權(quán)代理，否那么一個(gè)系統(tǒng)不能發(fā)送地址掩碼應(yīng)對(duì)為了成為授權(quán)代理，必需進(jìn)展特殊配置。但是，大多主機(jī)在收到懇求時(shí)都會(huì)發(fā)送一個(gè)應(yīng)對(duì)，甚至有些主機(jī)還回發(fā)送過失的應(yīng)對(duì)。所以也可以運(yùn)用類型17的ICMP報(bào)文來探測(cè)主機(jī)是都存活。TCP掃射5.2 實(shí)施網(wǎng)絡(luò)掃描5-3 TCP報(bào)文封裝在IP數(shù)據(jù)報(bào)中TCP掃射傳輸控制協(xié)議transmission control protocol,TCP為運(yùn)用層提供一種面向銜接的、可靠地字節(jié)流效力。與ICMP報(bào)文

13、一樣，TCP報(bào)文也是封裝在一個(gè)IP數(shù)據(jù)報(bào)中。它運(yùn)用“3次握手的方式建立銜接。5.2 實(shí)施網(wǎng)絡(luò)掃描TCP掃射5.2 實(shí)施網(wǎng)絡(luò)掃描根本原理：假設(shè)向目的發(fā)送一個(gè)SYN報(bào)文，那么無論是收到SYN/ACK報(bào)文還是一個(gè)RST報(bào)文，都闡明目的處于存活形狀。與此類似，也可以向目的發(fā)送一個(gè)ACK報(bào)文，假設(shè)目的存活，那么收到一個(gè)RST報(bào)文。TCP掃描看起來比用ICMP協(xié)議進(jìn)展探測(cè)更加有效。但是TCP掃射也不是百分百可靠，有的防火墻可以偽造RST報(bào)文，從而呵斥防火墻后的某個(gè)主機(jī)存活的假象。5.2 實(shí)施網(wǎng)絡(luò)掃描UDP掃射用戶數(shù)據(jù)報(bào)協(xié)議user datagram protocol,UDP是一個(gè)面向數(shù)據(jù)報(bào)的傳輸層協(xié)議。U

14、DP數(shù)據(jù)報(bào)也封裝在IP數(shù)據(jù)報(bào)之中，如圖5-4。5.2 實(shí)施網(wǎng)絡(luò)掃描5-4 UDP數(shù)據(jù)報(bào)封裝在IP數(shù)據(jù)報(bào)中5.UDP掃射用戶數(shù)據(jù)報(bào)協(xié)議user datagram protocol,UDP的規(guī)那么之一是假設(shè)接納到一份目的端口并沒有處于偵聽形狀的數(shù)據(jù)報(bào)，那么發(fā)送一個(gè)ICMP端口不可到達(dá)報(bào)文；否那么不做任何呼應(yīng)。5.2 實(shí)施網(wǎng)絡(luò)掃描5.2 實(shí)施網(wǎng)絡(luò)掃描5.2 實(shí)施網(wǎng)絡(luò)掃描5.2.2攫取信息廣義上講，在入侵系統(tǒng)之前所做的一切任務(wù)都可以為成為信息，包括踩點(diǎn)、掃描、查點(diǎn)。由于這些任務(wù)走勢(shì)在搜索著這樣或那樣的信息。本小節(jié)主要講的主要是掃描階段攫取的技術(shù)和方法。在找出網(wǎng)絡(luò)上存活的系統(tǒng)之后，下一步就是要得到主機(jī)的

15、操作系統(tǒng)信息和開放的效力信息。用到的技術(shù)主要有端口掃描port scanning、效力識(shí)別和操作系統(tǒng)探測(cè)Operating System Detection。3. 操作系統(tǒng)探測(cè)5.2.2攫取信息端口掃描端口掃描主要獲得目的主機(jī)開放的端口和效力信息，從而為下一步的“破綻檢測(cè)做預(yù)備。1TCP connect掃描根本方法：是TCP connect掃描。他利用操作系統(tǒng)提供的connect系統(tǒng)調(diào)用，與每一個(gè)感興趣的目的計(jì)算機(jī)的端口進(jìn)展銜接。假設(shè)目的端口處于偵聽形狀，那么connet()就能勝利；否那么端口是不能用的，即沒有提供效力。優(yōu)點(diǎn)：不需求任何特殊權(quán)限，系統(tǒng)中的任何用戶都有權(quán)益運(yùn)用這個(gè)調(diào)用; 缺陷：

16、容易被過濾或記錄。對(duì)于平安管理員而言，運(yùn)用此方法的獨(dú)一缺陷是速度慢。3. 操作系統(tǒng)探測(cè)5.2.2攫取信息3. 操作系統(tǒng)探測(cè)2TCP SYN掃描 又稱“半開掃描。TCP掃射時(shí)結(jié)識(shí)解釋了建立TCP銜接的“3次握手過程。 TCP SYN掃描只完成了3次握手過程的一半。當(dāng)時(shí)我們只是說假設(shè)向目的特定端口發(fā)送一個(gè)SYN報(bào)文，只需接納到來自目的的呼應(yīng)就闡明目的處于存活形狀。但可以很容易看出，只需再一下收到的呼應(yīng)是SYN/ACK報(bào)文還是RST報(bào)文，便可知目的的呼應(yīng)端口是處于偵聽形狀還是封鎖形狀。3TCP ACK掃描 不適用于掃描目的翻開了哪些端口，而用來探測(cè)防火墻的規(guī)那么設(shè)計(jì)，從而確定防火墻是簡(jiǎn)單地包過濾還是

17、形狀監(jiān)測(cè)機(jī)制。5.2.2攫取信息3. 操作系統(tǒng)探測(cè)4TCP Fin掃描假設(shè)處于偵聽形狀的端口接納到一個(gè)FIN報(bào)文，那么不做任何回應(yīng)；假設(shè)處于封鎖形狀的端口接納到一個(gè)FIN報(bào)文，那么呼應(yīng)一個(gè)RST報(bào)文。據(jù)此，可以用FIN報(bào)文來探測(cè)目的翻開了那些端口。通常只任務(wù)在基于UNIX的TCP/IP協(xié)議棧上。5TCP Xmas掃描向目的發(fā)送一個(gè)URG/PSH/FIN報(bào)文，假設(shè)目的相應(yīng)端口翻開，那么不會(huì)收到來自目的的任何回應(yīng)；否那么會(huì)遭到一個(gè)RST報(bào)文。(6)TCP空掃描向目的發(fā)送一個(gè)一切標(biāo)志位都置0的報(bào)文，假設(shè)目的呼應(yīng)端口翻開，那么不會(huì)收到來自目的的任何回應(yīng)；否那么收到一個(gè)RST報(bào)文。(7)FTP反彈掃描F

18、TP協(xié)議的一個(gè)特點(diǎn)是它支持代理FTP銜接。即入侵者可以將本人的計(jì)算機(jī)和目的主機(jī)的FTP效力器建立一個(gè)控制通訊銜接。(8) UDP掃描這里的與前的UDP掃射原理完全不一樣，這里強(qiáng)調(diào)另一個(gè)作用，發(fā)現(xiàn)目的翻開的UDP端口。3. 操作系統(tǒng)探測(cè)5.2.2攫取信息2. 效力識(shí)別3. 操作系統(tǒng)探測(cè)圖5-5識(shí)別效力類型5.2.2攫取信息2. 效力識(shí)別 端口掃描的目的是為了獲得目的主機(jī)提供的效力，而通常獲取效力類型的方法是根據(jù)RFC1700直接推斷。但是下面幾種情況能夠會(huì)使這項(xiàng)任務(wù)變得略微有些費(fèi)事：該主機(jī)將某效力故意開設(shè)了非規(guī)范端口；該主機(jī)開設(shè)了一個(gè)RFC1700中未定義的效力；該主機(jī)被安頓了后門程序。 所以有

19、時(shí)候僅憑端口號(hào)來判別效力類型是不夠的，能夠需求更多的信息。5.2.2攫取信息3. 操作系統(tǒng)探測(cè)由于許多破綻是和操作系統(tǒng)嚴(yán)密相關(guān)的，因此，確定操作系統(tǒng)類型對(duì)于脆弱性評(píng)價(jià)工具而言也非常重要。目前用于探測(cè)操作系統(tǒng)的方法主要可以分為兩類：利用系統(tǒng)旗標(biāo)信息和利用TCP/IP堆棧指紋。而后者又有多種不同的實(shí)現(xiàn)方法。利用系統(tǒng)旗標(biāo)信息是最原始的探測(cè)方法。然而它至今依然被包括ISS在內(nèi)的許多網(wǎng)絡(luò)平安掃描工具運(yùn)用，由于在大多數(shù)情況下，操作系統(tǒng)的多種效力都會(huì)暴露其“身份，例如Telnet、WWW、FTP、SMTP等。同時(shí)，這種方法實(shí)現(xiàn)起來也特別簡(jiǎn)單。但是在很多情況下，管理員出于平安思索都會(huì)修正或者封鎖旗標(biāo)信息，或者

20、目的機(jī)器并不提供有旗標(biāo)信息的效力，在這樣的情況下，這種方法就不能發(fā)揚(yáng)作用了。5.2.2攫取信息3. 操作系統(tǒng)探測(cè)利用TCP/IP堆棧指紋識(shí)別操作系統(tǒng)是近年來開展迅速的一類技術(shù)。這類技術(shù)的出現(xiàn)主要基于以下幾個(gè)緣由： 每個(gè)操作系統(tǒng)通常都運(yùn)用本人的IP棧實(shí)現(xiàn)； TCP/IP規(guī)范并不是被嚴(yán)厲地執(zhí)行，每個(gè)不同的實(shí)現(xiàn)將會(huì)擁有本人的特點(diǎn)； 規(guī)范中一些選擇性的特性能夠在某些系統(tǒng)中運(yùn)用，而在其他的一些系統(tǒng)中那么沒有運(yùn)用； 某些系統(tǒng)私自對(duì)IP協(xié)議做了改良。目前主要的網(wǎng)絡(luò)堆棧特征探測(cè)技術(shù)有如下幾種：ICMP呼應(yīng)分析、TCP報(bào)文呼應(yīng)分析、TCP報(bào)文延時(shí)分析、被動(dòng)特征探測(cè)。5.2.2攫取信息1 ICMP呼應(yīng)分析這種方法

21、向目的發(fā)送UDP或者ICMP報(bào)文，然后分析目的呼應(yīng)的ICMP報(bào)文的內(nèi)容，根據(jù)不同的呼應(yīng)特征來判別操作系統(tǒng)。前面曾經(jīng)引見過，ICMP數(shù)據(jù)報(bào)是封裝在IP數(shù)據(jù)報(bào)之內(nèi)的，而且這種判別操作系統(tǒng)的方法也利用了IP頭部的字段內(nèi)容，所以在詳細(xì)闡明這種方法運(yùn)用的技術(shù)之前，有必要先熟習(xí)一下IP數(shù)據(jù)報(bào)的頭部。其中需求留意的是效力級(jí)別TOS、總長(zhǎng)度、標(biāo)識(shí)、DF位、生存期TTL和校驗(yàn)和字段。5.2.2攫取信息下面分別闡明ICMP呼應(yīng)分析方法運(yùn)用的詳細(xì)技術(shù)。 ICMP過失報(bào)文援用大小。ICMP的規(guī)那么之一是ICMP過失報(bào)文必需包括生成該過失報(bào)文的數(shù)據(jù)報(bào)IP頭部包含任何選項(xiàng)，還必需至少包括跟在該IP頭部后面的前8個(gè)字節(jié)。圖

22、顯示了由UDP數(shù)據(jù)報(bào)引起的ICMP端口不可到達(dá)過失報(bào)文。圖 “UDP端口不可到達(dá)過失報(bào)文3. 操作系統(tǒng)探測(cè)5.2.2攫取信息 導(dǎo)致過失的數(shù)據(jù)報(bào)中的IP頭部要被送回的緣由是IP頭部中包含了協(xié)議字段，使得ICMP可以知道如何解釋后面的8個(gè)字節(jié)在圖12.6中是UDP頭部。大多數(shù)操作系統(tǒng)都只前往產(chǎn)生過失的數(shù)據(jù)報(bào)的IP頭部后的前8個(gè)字節(jié)，然而有一些操作系統(tǒng)在這8個(gè)字節(jié)之后還前往更多的字節(jié)這些字節(jié)通常是沒有任何意義的。 這樣的系統(tǒng)包括Linux內(nèi)核2.0.x/2.2.x/2.4.x、SUN Solaris、HPUX 11.x、MacOS 7.55/8.x/9.04、Nokia系統(tǒng)、Foundry交換機(jī)和其

23、他一些操作系統(tǒng)或者網(wǎng)絡(luò)設(shè)備。5.2.2攫取信息 ICMP過失報(bào)文回顯完好性。普通而言，在發(fā)送ICMP過失報(bào)文時(shí)，過失報(bào)文的數(shù)據(jù)部分，只需產(chǎn)生過失的數(shù)據(jù)報(bào)IP頭部的TTL字段和IP頭部校驗(yàn)和字段會(huì)與初始報(bào)文不同，由于初始報(bào)文到達(dá)目的之前會(huì)經(jīng)過一系列的路由設(shè)備，而每經(jīng)過一個(gè)設(shè)備TTL都會(huì)減一，相應(yīng)的校驗(yàn)和也要重新計(jì)算。然而實(shí)踐情況是，有些操作系統(tǒng)會(huì)改動(dòng)產(chǎn)生過失的數(shù)據(jù)報(bào)IP頭部的其他字段的內(nèi)容和/或后面數(shù)據(jù)的內(nèi)容。假設(shè)用UDP數(shù)據(jù)報(bào)產(chǎn)生的端口不可到達(dá)過失報(bào)文來進(jìn)展分析，可以利用的特點(diǎn)包括下面一些內(nèi)容：IP數(shù)據(jù)報(bào)總長(zhǎng)度AIX 4.x和BSDI 4.1等操作系統(tǒng)的IP棧會(huì)將產(chǎn)生過失的數(shù)據(jù)報(bào)IP頭部的總長(zhǎng)

24、度字段加上20，而另一些系統(tǒng)會(huì)將這個(gè)字段的數(shù)值減少20，更多的系統(tǒng)會(huì)堅(jiān)持這個(gè)字段的內(nèi)容不變。5.2.2攫取信息 IP數(shù)據(jù)報(bào)標(biāo)識(shí)IPIDFreeBSD 4.0、OpenVMSs和ULTRIX等系統(tǒng)的IP棧不能正確回顯產(chǎn)生過失數(shù)據(jù)報(bào)的IPID，它們回顯的IPID的位順序和初始順序不同。其他更多的系統(tǒng)那么可以正確回顯IPID字段。分段標(biāo)志3位和片偏移有一些系統(tǒng)會(huì)改動(dòng)產(chǎn)生差錯(cuò)的數(shù)據(jù)報(bào)頭部中3位分段標(biāo)志和片偏移字段的位順序，而另一些系統(tǒng)只能正確回顯。IP頭部校驗(yàn)和FreeBSD 4.0、OpenVMSs和ULTRIX等系統(tǒng)會(huì)將產(chǎn)生過失的數(shù)據(jù)報(bào)IP頭部的校驗(yàn)和字段置為0，而大多數(shù)的系統(tǒng)只是將重新計(jì)算的校驗(yàn)

25、和回顯。UDP頭部校驗(yàn)和FreeBSD 4.0/4.11、Compaq Tru64、DGUX 5.6、AIX 4.3/4.2.1、ULTRIX和OpenVMS等系統(tǒng)會(huì)將過失報(bào)文中的UDP頭部的校驗(yàn)和字段置為0。另外的一些系統(tǒng)那么會(huì)堅(jiān)持UDP校驗(yàn)和不變。5.2.2攫取信息 ICMP過失報(bào)文的“優(yōu)先權(quán)字段。IP頭部中有一個(gè)8位的TOS字段，TOS字段包括一個(gè)3位的優(yōu)先權(quán)字段、4位的TOS子字段和一位必需置0的未用位，如圖Ipuuee頭部的TOS字段。5.2.2攫取信息 ICMP過失報(bào)文IP頭部的不分片DF位。有一些操作系統(tǒng)在發(fā)送ICMP過失報(bào)文時(shí)，會(huì)根據(jù)引起過失的數(shù)據(jù)報(bào)的IP頭部的DF位來設(shè)置過失

26、報(bào)文本身IP頭部的DF位。Linux、ULTRIX、Novell Netware、HPUX、Windows98/98SE/ME、Windows NT4 Server SP6、Windows 2000 Family等系統(tǒng)那么不會(huì)這么做。 ICMP報(bào)文IP頭部的TTL字段。不同的操作系統(tǒng)在設(shè)置ICMP報(bào)文IP頭部的TTL字段時(shí)有不同的默許值。而且普通來講，ICMP應(yīng)對(duì)報(bào)文和ICMP查詢報(bào)文的TTL還不一樣。例如，Windows 95應(yīng)對(duì)報(bào)文和查詢報(bào)文的TTL都是32Windows 98/98SE/ME/NT4應(yīng)對(duì)報(bào)文的TTL是128、查詢報(bào)文的TTL是32；Windows 2000應(yīng)對(duì)報(bào)文和查詢報(bào)

27、文的TTL都是128。5.2.2攫取信息 運(yùn)用代碼字段不為0的ICMP回顯懇求。ICMP報(bào)文的種類由第一個(gè)字節(jié)類型字段和第二個(gè)字節(jié)代碼字段決議?；仫@懇求的類型字段為8，默許的代碼字段為0。假設(shè)把回顯懇求的代碼字段設(shè)置為非0值，這樣的回顯懇求就不是規(guī)范的ICMP報(bào)文了。對(duì)于這樣的回顯懇求報(bào)文，Windows操作系統(tǒng)做出的回顯應(yīng)對(duì)類型為0的代碼字段值為0，而其他系統(tǒng)和網(wǎng)絡(luò)設(shè)備做出的回顯應(yīng)對(duì)的代碼字段值和它收到的回顯懇求中的代碼字段值一樣。5.2.2攫取信息 TOS子字段回顯。RFC1349定義了ICMP報(bào)文運(yùn)用TOS子字段的方法。其中區(qū)分了過失報(bào)文、查詢報(bào)文和應(yīng)對(duì)報(bào)文的不同運(yùn)用方法，規(guī)那么是：過失

28、報(bào)文總是運(yùn)用默許值0；查詢報(bào)文可以在TOS子字段中運(yùn)用任何值；應(yīng)對(duì)報(bào)文應(yīng)該在TOS子字段中運(yùn)用呵斥應(yīng)對(duì)的查詢報(bào)文中運(yùn)用的TOS值。 然而有些操作系統(tǒng)例如Linux在發(fā)送回顯應(yīng)對(duì)報(bào)文時(shí)忽視了這項(xiàng)規(guī)定，無論查詢報(bào)文運(yùn)用何種TOS值，它的應(yīng)對(duì)報(bào)文的TOS值都是一樣的。5.2.2攫取信息2 TCP報(bào)文呼應(yīng)分析這種技術(shù)經(jīng)過區(qū)分不同操作系統(tǒng)對(duì)特定TCP報(bào)文規(guī)范或非規(guī)范的不同反響，實(shí)現(xiàn)對(duì)操作系統(tǒng)的區(qū)分。運(yùn)用這種技術(shù)的代表有Queso和NmapNmap其實(shí)也運(yùn)用了一些ICMP呼應(yīng)分析的技巧。下面將分別闡明Nmap運(yùn)用的操作系統(tǒng)探測(cè)技巧。 FIN探測(cè)。前面講端口掃描的技巧時(shí)曾提到，“FIN掃描通常只任務(wù)在基于U

29、NIX的TCP/IP協(xié)議棧上，這就可以用來作為一個(gè)探測(cè)操作系統(tǒng)的判別根據(jù)。5.2.2攫取信息 偽標(biāo)志位探測(cè)。TCP報(bào)文的頭部有8個(gè)標(biāo)志位。運(yùn)用“偽標(biāo)志位BOGUS Flag，即把SYN報(bào)文的CWR標(biāo)志位的左邊一位置1，然后將這樣的非規(guī)范SYN報(bào)文發(fā)給目的TCP端口。低于2.0.35版本的Linux內(nèi)核會(huì)在回應(yīng)包中堅(jiān)持這個(gè)標(biāo)志，而其他的操作系統(tǒng)似乎都沒有這個(gè)問題。不過有的操作系統(tǒng)在收到這樣的SYN/BOGUS報(bào)文時(shí)會(huì)發(fā)送一個(gè)RST復(fù)位銜接。5.2.2攫取信息 TCP ISN取樣。其原理是在操作系統(tǒng)對(duì)銜接懇求的回應(yīng)中尋覓TCP銜接初始化序列號(hào)ISN的特征。目前可以區(qū)分的類別有傳統(tǒng)的64000方式舊

30、UNIX系統(tǒng)運(yùn)用、隨機(jī)添加方式新版本的Solaris、IRIX、FreeBSD、Digital UNIX、Cray和其他許多系統(tǒng)運(yùn)用、真“隨機(jī)方式Linux 2.0.*及更高版本、OpenVMS和新版本的AIX等操作系統(tǒng)運(yùn)用等。Windows平臺(tái)還有其他一些平臺(tái)運(yùn)用“基于時(shí)間方式產(chǎn)生的ISN會(huì)隨著時(shí)間的變化而呈相對(duì)固定的增長(zhǎng)。另外還有一些系統(tǒng)總是運(yùn)用固定的ISN，如某些3Com集線器運(yùn)用0 x83和Apple LaserWriter打印機(jī)運(yùn)用0 xC7001。根據(jù)計(jì)算ISN的變化、最大公約數(shù)和其他一些有跡可循的規(guī)律，還可以將這些類別分得更細(xì)、更準(zhǔn)確。5.2.2攫取信息 DF位監(jiān)視。許多操作系統(tǒng)

31、逐漸開場(chǎng)在它們發(fā)送的IP數(shù)據(jù)報(bào)中設(shè)置DF位，從而有益于提高傳輸性能。但并不是一切操作系統(tǒng)都進(jìn)展這種設(shè)置，或者有的系統(tǒng)只是在某些情況下運(yùn)用這種設(shè)置。因此經(jīng)過留意這個(gè)標(biāo)志位的設(shè)置可以搜集到關(guān)于目的主機(jī)操作系統(tǒng)的更多有用信息。 TCP初始化窗口大小。這種技巧就是得到目的的初始化TCP窗口大小。有的操作系統(tǒng)總是運(yùn)用比較特殊的值。例如AIX是獨(dú)一運(yùn)用0 x3F25窗口值的操作系統(tǒng)。而在OpenBSD、和2000/XP的TCP堆棧中，71Free BSDWindows 運(yùn)用的窗口值總是0 x402E。5.2.2攫取信息 ACK值。不同協(xié)議棧實(shí)如今TCP報(bào)文的ACK值的選擇上也存在差別。例如，假設(shè)向一個(gè)封鎖

32、的TCP端口發(fā)送一個(gè)FIN/PSH/URG報(bào)文，許多操作系統(tǒng)會(huì)將ACK值設(shè)置為ISN值，但Windows和某些打印時(shí)機(jī)設(shè)置為接納到的報(bào)文的SEQ+1。假設(shè)向翻開的端口發(fā)送SYN/FIN/URG /PSH報(bào)文，Windows的前往值就會(huì)非常不確定，有時(shí)是接納到的報(bào)文的SEQ值，有時(shí)是SEQ+，而有時(shí)回送的是一個(gè)似乎很隨機(jī)的數(shù)值。 片段處置。不同操作系統(tǒng)在處置IP片段重疊時(shí)采用了不同的方式。有些用新的內(nèi)容覆蓋舊的內(nèi)容，有些是以舊的內(nèi)容為優(yōu)先。有很多探測(cè)方法能確定這些包是72如何重組的，從而能協(xié)助確定操作系統(tǒng)類型。5.2.2攫取信息 TCP選項(xiàng)。這是搜集信息的最有效方法之一。其基于以下緣由：它們通常

33、是“可選的，因此并不是一切的操作系統(tǒng)都運(yùn)用它們。向目的主機(jī)發(fā)送帶有可選項(xiàng)標(biāo)志的數(shù)據(jù)包時(shí)，假設(shè)操作系統(tǒng)支持這些選項(xiàng)，會(huì)在前往包中也設(shè)置這些標(biāo)志?？梢砸淮卧跀?shù)據(jù)包中設(shè)置多個(gè)可選項(xiàng)，從而添加了探測(cè)的準(zhǔn)確度。5.2.2攫取信息5.2.2攫取信息3 TCP報(bào)文延時(shí)分析這是利用了TCP報(bào)文重傳的特性。這種方法的詳細(xì)實(shí)現(xiàn)是在“3次握手的過程中放棄對(duì)遠(yuǎn)程主機(jī)SYN/ACK報(bào)文確實(shí)認(rèn)，迫使其重傳，經(jīng)過丈量重傳TCP報(bào)文之間的延時(shí)圖忽略SYN/ACK報(bào)文迫使效力器重傳序列，獲取遠(yuǎn)程操作系統(tǒng)指紋。左圖闡明了延時(shí)序列的意義。 采用這種方法的代表是RING。這種技術(shù)的最大優(yōu)勢(shì)就是它只需求一個(gè)翻開的端口。假設(shè)目的主機(jī)是被

34、防火墻所維護(hù)的，那么很能夠只開了一個(gè)端口，其他的端口那么是被過濾了的。而且這種技術(shù)是運(yùn)用了一個(gè)規(guī)范的TCP數(shù)據(jù)報(bào)，它將不會(huì)對(duì)目的主機(jī)呵斥任何的不利影響。但是這種探測(cè)方式需求花比nmap或Xprobe更多的時(shí)間，這是丈量延續(xù)數(shù)據(jù)報(bào)時(shí)間延74遲的一個(gè)固有缺陷。下面的例子是運(yùn)用RING探測(cè)操作系統(tǒng)類型。rootlocalhost ring# ./ring -d 28 -s 2 -p 111 -i eth03558202 6000667 11999952 24200335OS:Linux2.4distance:10362185.2.2攫取信息4 被動(dòng)協(xié)議棧指紋探測(cè)被動(dòng)的協(xié)議棧指紋探測(cè)和自動(dòng)的協(xié)議棧指紋

35、探測(cè)很類似，不同之處在于這種方法不自動(dòng)向目的系統(tǒng)發(fā)送分組，而是經(jīng)過嗅探目的網(wǎng)絡(luò)的通訊，抓取從遠(yuǎn)程主機(jī)上發(fā)送的數(shù)據(jù)報(bào)，獲取包括TTL、窗口大小、DF位、效力類型等在內(nèi)的數(shù)據(jù)報(bào)屬性，構(gòu)成目的系統(tǒng)的指紋。這種方法主要被入侵者運(yùn)用，由于它不容易被發(fā)現(xiàn)。5.2.2攫取信息5.2.2攫取信息 經(jīng)過發(fā)現(xiàn)目的和攫取信息兩個(gè)步驟以后，曾經(jīng)能夠得到下面一些信息： 目的網(wǎng)絡(luò)上有哪些主機(jī)處于存活形狀？ 這些主機(jī)上都運(yùn)轉(zhuǎn)什么系統(tǒng)？ 這些主機(jī)運(yùn)轉(zhuǎn)了哪些網(wǎng)絡(luò)效力？而破綻檢測(cè)就是要回答最關(guān)鍵的一個(gè)問題這些主機(jī)存在哪些破綻？破綻檢測(cè)的方法主要分為3種：直接測(cè)試(test)推斷(inference)帶憑證的測(cè)試(Test wit

36、h Credentials)。5.2.3破綻檢測(cè) 1.直接測(cè)試直接測(cè)試是指利用破綻特點(diǎn)發(fā)現(xiàn)系統(tǒng)破綻的方法。要找出系統(tǒng)中的常見破綻，最顯而易見的方法就是試圖浸透破綻。浸透測(cè)試是指運(yùn)用針對(duì)破綻特點(diǎn)設(shè)計(jì)的腳本或者程序檢測(cè)破綻。測(cè)試代碼通常和浸透攻擊代碼類似，不同的是測(cè)試代碼前往與“風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng)的提示，而浸透攻擊代碼那么直接向入侵者前往具有超級(jí)權(quán)限的執(zhí)行環(huán)境。另外也有一些浸透攻擊不前往任何東西，只是讓系統(tǒng)處于易被攻擊的形狀，用戶必需另外采取動(dòng)作來判別能否有破綻被浸透了。根據(jù)這一點(diǎn)，測(cè)試方法可以分為兩種不同的類型：可以直接察看到的測(cè)試和只能間接察看到的測(cè)試。下面經(jīng)過一個(gè)例子詳細(xì)闡明直接測(cè)試破綻的方法。5

37、.2.3破綻檢測(cè)對(duì)于回絕效力DoS破綻也可以直接運(yùn)用浸透代碼進(jìn)展測(cè)試，所不同的只是測(cè)試DoS破綻的浸透代碼通常是經(jīng)過編譯的二進(jìn)制代碼。直接測(cè)試的方法具有下面一些特點(diǎn)： 通常用于對(duì)Web效力器破綻、回絕效力DoS破綻進(jìn)展檢測(cè)； 可以準(zhǔn)確地判別系統(tǒng)能否存在特定破綻； 對(duì)于浸透所需步驟較多的破綻速度較慢； 攻擊性較強(qiáng)，能夠?qū)Υ嬖谄凭`的系統(tǒng)呵斥破壞； 對(duì)于DoS破綻，測(cè)試方法會(huì)呵斥系統(tǒng)解體； 不是一切破綻的信息都能經(jīng)過測(cè)試方法獲得。5.2.3破綻檢測(cè) 2.推斷推斷是指不利用系統(tǒng)破綻而判別破綻能否存在的方法。它并不直接浸透破綻，只是間接尋覓破綻存在的證據(jù)。采用推斷方法的檢測(cè)手段主要有版本檢查Versio

38、n Check、程序行為分析、操作系統(tǒng)堆棧指紋分析、時(shí)序分析等。其中，版本檢查是推斷方法中最簡(jiǎn)單的一個(gè)運(yùn)用。它依賴于效力器對(duì)懇求呼應(yīng)的旗標(biāo)獲取系統(tǒng)的有關(guān)信息，然后將獲得的版本號(hào)與知信息比較，以判別目的系統(tǒng)能否是受破綻影響的系統(tǒng)。5.2.3破綻檢測(cè)行為分析在需求推翻某個(gè)“風(fēng)險(xiǎn)假設(shè)的時(shí)候非常有用。在這種情況下，它分析目的程序的行為，假設(shè)發(fā)現(xiàn)該程序的行為和具有破綻的版本的程序行為不一致，就以為目的程序不存在破綻。這種方法不如浸透測(cè)試方法可靠，但是攻擊性更小。這種方法在推斷沒有公開細(xì)節(jié)的新破綻時(shí)也很有用。另外，它也可以用于檢查DoS破綻，由于它根本沒有攻擊性，所以可以在檢查很多DoS破綻以后再重新啟動(dòng)

39、系統(tǒng)。5.2.3破綻檢測(cè)推斷方法有時(shí)也和測(cè)試方法結(jié)合運(yùn)用，如首先推斷出目的采用的系統(tǒng)類型，然后進(jìn)展針對(duì)該系統(tǒng)的測(cè)試。推斷的方法在快速檢查大量目的時(shí)很有用，由于這種方法對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的要求都很低。而它最主要的缺陷就是可靠性較低。5.2.3破綻檢測(cè) 3.帶憑證的測(cè)試憑證是指訪問效力所需求的用戶名或者密碼，包括UNIX的登錄權(quán)限和從網(wǎng)絡(luò)調(diào)用Windows NT的U W API的才干。除了目的主機(jī)IP地址以外，直接測(cè)試和推斷兩種方法都不需求其他任何信息。然而，很多攻擊都是由擁有UNIX shell訪問權(quán)限或者NT資源訪問權(quán)限的用戶發(fā)起的，他們的目的在于將本人的權(quán)限提升成為超級(jí)用戶，從而可以執(zhí)行某個(gè)命令

40、。對(duì)于這樣的破綻，前面兩種方法很難檢查出來。因此，假設(shè)賦予測(cè)試進(jìn)程目的系統(tǒng)的角色，將可以檢查出更多的破綻。這種方法就是帶憑證的測(cè)試。5.2.3破綻檢測(cè)由于擁有了目的主機(jī)的證書，一些原來只能由本地掃描發(fā)現(xiàn)的破綻就可以經(jīng)過網(wǎng)絡(luò)平安掃描發(fā)現(xiàn)了。然而需求留意的是，由于擁有了目的主機(jī)的證書，檢測(cè)系統(tǒng)本身的平安就更加值得留意，由于入侵者能夠從檢測(cè)系統(tǒng)上得到目的系統(tǒng)的訪問權(quán)限。所以一個(gè)好的檢測(cè)系統(tǒng)應(yīng)該集成對(duì)本人進(jìn)展掃描的功能，否那么，破綻掃描有能夠變得很危險(xiǎn)5.2.3破綻檢測(cè)5.2.3常用的網(wǎng)絡(luò)掃描工具網(wǎng)絡(luò)掃描的一些常用工具都是可以從Internet上免費(fèi)獲得的。在運(yùn)用這些工具之前請(qǐng)一定確認(rèn)目的網(wǎng)絡(luò)曾經(jīng)授權(quán)

41、他對(duì)其進(jìn)展掃描。由于這些工具有能夠?qū)呙璧哪康暮浅馕：Α?.Netcat由Hobbithobbit編寫的Netcat或稱nc是一個(gè)優(yōu)秀的適用工具，Weld Pondweld10pht將其移植到了NT平臺(tái)上。它能執(zhí)行的義務(wù)是如此之多，以致于被稱作網(wǎng)絡(luò)工具箱中的“瑞士軍刀2.網(wǎng)絡(luò)映射程序Nmap由Fyodorfyodor編寫的Nmap是一個(gè)開放源碼的網(wǎng)絡(luò)掃描工具。Nmap實(shí)現(xiàn)了前面提到的絕大部分的掃描技巧和操作系統(tǒng)探測(cè)技巧，可以用來發(fā)現(xiàn)網(wǎng)絡(luò)上存活的主機(jī)、這些主機(jī)開放了哪些TCP和UDP端口、這些主機(jī)運(yùn)轉(zhuǎn)什么樣的操作系統(tǒng)以及操作系統(tǒng)的版本、正在運(yùn)用什么樣的防火墻和過濾設(shè)備等信息。5.2.3常用的網(wǎng)絡(luò)掃描工具3.SATAN前面的兩個(gè)工具主要是用于發(fā)現(xiàn)目的和攫取信息兩個(gè)階段，而一次完好的破綻掃描還應(yīng)該包括“破綻檢測(cè)這個(gè)階段。SATAN即“網(wǎng)絡(luò)分析的平安管理工具。它提供一整套平安管理、測(cè)試和報(bào)告的功能，可以用來搜集網(wǎng)絡(luò)上主機(jī)的許多信息，可以識(shí)別并且自動(dòng)報(bào)告與網(wǎng)絡(luò)相關(guān)的平安問題。5.2.3常用的網(wǎng)絡(luò)掃描工具4.nessusnessus是一個(gè)功能強(qiáng)大而又易于運(yùn)用的網(wǎng)絡(luò)破綻掃描工具，運(yùn)轉(zhuǎn)于POSIX系統(tǒng)Solaris、FreeBSD、GN