CIW網(wǎng)絡安全認證培訓

第五講掃描技術、應用程序漏洞的攻擊學習目標掃描技術應用程序漏洞的攻擊主要內(nèi)容掃描器的基本概念掃描器的工作原理網(wǎng)絡掃描的主要技術現(xiàn)有掃描器介紹及選擇掃描器的實例分析一、掃描器的基本概念什么是網(wǎng)絡掃描器為什么需要網(wǎng)絡掃描器網(wǎng)絡掃描器的主要功能什么是網(wǎng)絡掃描器安全評估工具系統(tǒng)管理員保障系統(tǒng)安全的有效工具網(wǎng)絡漏洞掃描器網(wǎng)絡入侵者收集信息的重要手段為什么需要網(wǎng)絡掃描器由于網(wǎng)絡技術的飛速發(fā)展，網(wǎng)絡規(guī)模迅猛增長和計算機系統(tǒng)日益復雜，導致新的系統(tǒng)漏洞層出不窮由于系統(tǒng)管理員的疏忽或缺乏經(jīng)驗，導致舊有的漏洞依然存在許多人出于好奇或別有用心，不停的窺視網(wǎng)上資源網(wǎng)絡掃描器的主要功能掃描目標主機識別其工作狀態(tài)（開/關機）識別目標主機端口的狀態(tài)（監(jiān)聽/關閉）識別目標主機系統(tǒng)及服務程序的類型和版本根據(jù)已知漏洞信息，分析系統(tǒng)脆弱點生成掃描結果報告二、掃描器的工作原理TCP協(xié)議ICMP協(xié)議掃描器的基本工作原理TCP協(xié)議（一）TCP是一種面向連接的，可靠的傳輸層協(xié)議。一次正常的TCP傳輸需要通過在客戶端和服務器之間建立特定的虛電路連接來完成，該過程通常被稱為“三次握手”。TCP通過數(shù)據(jù)分段中的序列號保證所有傳輸?shù)臄?shù)據(jù)可以在遠端按照正常的次序進行重組，而且通過確認保證數(shù)據(jù)傳輸?shù)耐暾?。TCP協(xié)議（二）TCP數(shù)據(jù)包格式TCP協(xié)議（三）TCP標志位ACK： 確認標志RST： 復位標志URG：緊急標志SYN： 建立連接標志PSH： 推標志FIN： 結束標志TCP協(xié)議（四）TCP連接建立示意圖ICMP協(xié)議（一）InternetControlMessageProtocol，是IP的一部分，在IP協(xié)議棧中必須實現(xiàn)。用途：網(wǎng)關或者目標機器利用ICMP與源通訊當出現(xiàn)問題時，提供反饋信息用于報告錯誤特點：其控制能力并不用于保證傳輸?shù)目煽啃运旧硪膊皇强煽總鬏數(shù)牟⒉挥脕矸从矷CMP報文的傳輸情況ICMP協(xié)議（二）ICMP報文類型0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echorequest11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply17AddressMaskRequest18AddressMaskReply掃描器的基本工作原理三、網(wǎng)絡掃描的主要技術主機掃描技術端口掃描技術棧指紋OS識別技術主機掃描技術－傳統(tǒng)技術主機掃描的目的是確定在目標網(wǎng)絡上的主機是否可達。這是信息收集的初級階段，其效果直接影響到后續(xù)的掃描。常用的傳統(tǒng)掃描手段有：ICMPEcho掃描ICMPSweep掃描BroadcastICMP掃描Non-EchoICMP掃描ICMPecho掃描實現(xiàn)原理：Ping的實現(xiàn)機制，在判斷在一個網(wǎng)絡上主機是否開機時非常有用。向目標主機發(fā)送ICMPEchoRequest(type8)數(shù)據(jù)包，等待回復的ICMPEchoReply包(type0)。如果能收到，則表明目標系統(tǒng)可達，否則表明目標系統(tǒng)已經(jīng)不可達或發(fā)送的包被對方的設備過濾掉。優(yōu)點：簡單，系統(tǒng)支持缺點：很容易被防火墻限制可以通過并行發(fā)送，同時探測多個目標主機，以提高探測效率（ICMPSweep掃描）。BroadcastICMP掃描實現(xiàn)原理：將ICMP請求包的目標地址設為廣播地址或網(wǎng)絡地址，則可以探測廣播域或整個網(wǎng)絡范圍內(nèi)的主機。缺點：只適合于UNIX/Linux系統(tǒng)，Windows會忽略這種請求包；這種掃描方式容易引起廣播風暴Non-EchoICMP掃描一些其它ICMP類型包也可以用于對主機或網(wǎng)絡設備的探測，如：StampRequest(Type13)Reply(Type14)InformationRequest(Type15)Reply(Type16)AddressMaskRequest(Type17)Reply(Type18)主機掃描技術－高級技術防火墻和網(wǎng)絡過濾設備常常導致傳統(tǒng)的探測手段變得無效。為了突破這種限制，必須采用一些非常規(guī)的手段，利用ICMP協(xié)議提供網(wǎng)絡間傳送錯誤信息的手段，往往可以更有效的達到目的：異常的IP包頭在IP頭中設置無效的字段值錯誤的數(shù)據(jù)分片通過超長包探測內(nèi)部路由器反向映射探測異常的IP包頭向目標主機發(fā)送包頭錯誤的IP包，目標主機或過濾設備會反饋ICMPParameterProblemError信息。常見的偽造錯誤字段為HeaderLengthField和IPOptionsField。根據(jù)RFC1122的規(guī)定，主機應該檢測IP包的VersionNumber、Checksum字段,路由器應該檢測IP包的Checksum字段。不同廠家的路由器和操作系統(tǒng)對這些錯誤的處理方式不同，返回的結果也各異。如果結合其它手段，可以初步判斷目標系統(tǒng)所在網(wǎng)絡過濾設備的ACL。在IP頭中設置無效的字段值向目標主機發(fā)送的IP包中填充錯誤的字段值，目標主機或過濾設備會反饋ICMPDestinationUnreachable信息。這種方法同樣可以探測目標主機和網(wǎng)絡設備以及其ACL。錯誤的數(shù)據(jù)分片當目標主機接收到錯誤的數(shù)據(jù)分片（如某些分片丟失），并且在規(guī)定的時間間隔內(nèi)得不到更正時，將丟棄這些錯誤數(shù)據(jù)包，并向發(fā)送主機反饋ICMPFragmentReassemblyTimeExceeded錯誤報文。利用這種方法同樣可以檢測到目標主機和網(wǎng)絡過濾設備及其ACL。通過超長包探測內(nèi)部路由器若構造的數(shù)據(jù)包長度超過目標系統(tǒng)所在路由器的PMTU且設置禁止分片標志,該路由器會反饋FragmentationNeededandDon’tFragmentBitwasSet差錯報文，從而獲取目標系統(tǒng)的網(wǎng)絡拓撲結構。反向映射探測該技術用于探測被過濾設備或防火墻保護的網(wǎng)絡和主機。通常這些系統(tǒng)無法從外部直接到達，但是我們可以采用反向映射技術，通過目標系統(tǒng)的路由設備進行有效的探測。當我們想探測某個未知網(wǎng)絡內(nèi)部的結構時，可以構造可能的內(nèi)部IP地址列表，并向這些地址發(fā)送數(shù)據(jù)包。當對方路由器接收到這些數(shù)據(jù)包時，會進行IP識別并路由，對不在其服務的范圍的IP包發(fā)送ICMPHostUnreachable或ICMPTimeExceeded錯誤報文，沒有接收到相應錯誤報文的IP地址會可被認為在該網(wǎng)絡中。當然，這種方法也會受到過濾設備的影響。demoIcmp掃描技術端口掃描技術當確定了目標主機可達后，就可以使用端口掃描技術，發(fā)現(xiàn)目標主機的開放端口，包括網(wǎng)絡協(xié)議和各種應用監(jiān)聽的端口。端口掃描技術主要包括以下三類：開放掃描會產(chǎn)生大量的審計數(shù)據(jù)，容易被對方發(fā)現(xiàn)，但其可靠性高；隱蔽掃描能有效的避免對方入侵檢測系統(tǒng)和防火墻的檢測，但這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡時容易被丟棄從而產(chǎn)生錯誤的探測信息；半開放掃描隱蔽性和可靠性介于前兩者之間。開放掃描技術TCPConnect掃描TCP反向ident掃描TCPConnect掃描實現(xiàn)原理：通過調(diào)用socket函數(shù)connect()連接到目標計算機上，完成一次完整的三次握手過程。如果端口處于偵聽狀態(tài)，那么connect()就能成功返回。否則，這個端口不可用，即沒有提供服務。優(yōu)點：穩(wěn)定可靠，不需要特殊的權限缺點：掃描方式不隱蔽，服務器日志會記錄下大量密集的連接和錯誤記錄，并容易被防火墻發(fā)現(xiàn)和屏蔽TCP反向ident掃描實現(xiàn)原理：ident協(xié)議允許看到通過TCP連接的任何進程的擁有者的用戶名，即使這個連接不是由這個進程開始的。比如，連接到http端口，然后用identd來發(fā)現(xiàn)服務器是否正在以root權限運行。缺點：這種方法只能在和目標端口建立了一個完整的TCP連接后才能看到。半開放掃描技術TCPSYN掃描TCP間接掃描TCPSYN掃描實現(xiàn)原理：掃描器向目標主機端口發(fā)送SYN包。如果應答是RST包，那么說明端口是關閉的；如果應答中包含SYN和ACK包，說明目標端口處于監(jiān)聽狀態(tài)，再傳送一個RST包給目標機從而停止建立連接。由于在SYN掃描時，全連接尚未建立，所以這種技術通常被稱為半連接掃描優(yōu)點：隱蔽性較全連接掃描好，一般系統(tǒng)對這種半掃描很少記錄缺點：通常構造SYN數(shù)據(jù)包需要超級用戶或者授權用戶訪問專門的系統(tǒng)調(diào)用TCP間接掃描實現(xiàn)原理：利用第三方的IP（欺騙主機）來隱藏真正掃描者的IP。由于掃描主機會對欺騙主機發(fā)送回應信息，所以必須監(jiān)控欺騙主機的IP行為，從而獲得原始掃描的結果。掃描主機通過偽造第三方主機IP地址向目標主機發(fā)起SYN掃描，并通過觀察其IP序列號的增長規(guī)律獲取端口的狀態(tài)優(yōu)點：隱蔽性好缺點：對第三方主機的要求較高隱蔽掃描技術TCPFIN掃描TCPXmas掃描TCP

Null掃描TCPftpproxy掃描分段掃描TCPFIN掃描實現(xiàn)原理：掃描器向目標主機端口發(fā)送FIN包。當一個FIN數(shù)據(jù)包到達一個關閉的端口，數(shù)據(jù)包會被丟掉，并且返回一個RST數(shù)據(jù)包。否則，若是打開的端口，數(shù)據(jù)包只是簡單的丟掉（不返回RST）。優(yōu)點：由于這種技術不包含標準的TCP三次握手協(xié)議的任何部分，所以無法被記錄下來，從而必SYN掃描隱蔽得多，F(xiàn)IN數(shù)據(jù)包能夠通過只監(jiān)測SYN包的包過濾器。缺點：跟SYN掃描類似，需要自己構造數(shù)據(jù)包，要求由超級用戶或者授權用戶訪問專門的系統(tǒng)調(diào)用；通常適用于UNIX目標主機，除過少量的應當丟棄數(shù)據(jù)包卻發(fā)送RST包的操作系統(tǒng)（包括CISCO，HP/UX，MVS和IRIX）。但在Windows環(huán)境下，該方法無效，因為不論目標端口是否打開，操作系統(tǒng)都返回RST包。TCPXmas和TCP

Null掃描實現(xiàn)原理：TCPXmas和Null掃描是FIN掃描的兩個變種。Xmas掃描打開FIN，URG和PUSH標記，而Null掃描關閉所有標記。這些組合的目的是為了通過對FIN標記數(shù)據(jù)包的過濾。當一個這種數(shù)據(jù)包到達一個關閉的端口，數(shù)據(jù)包會被丟掉，并且返回一個RST數(shù)據(jù)包。否則，若是打開的端口，數(shù)據(jù)包只是簡單的丟掉（不返回RST）。優(yōu)點：隱蔽性好；缺點：需要自己構造數(shù)據(jù)包，要求由超級用戶或者授權用戶權限；通常適用于UNIX目標主機，而Windows系統(tǒng)不支持。TCPftpproxy掃描實現(xiàn)原理

在ftp協(xié)議中，數(shù)據(jù)連接可以與控制連接位于不同的機器上

讓ftpserver與目標主機建立連接，而且目標主機的端口可以指定

如果端口打開，則可以傳輸否則，返回"425Can'tbuilddataconnection:Connectionrefused."

Ftp這個缺陷還可以被用來向目標(郵件,新聞)傳送匿名信息

優(yōu)點：這種技術可以用來穿透防火墻

缺點：慢，且有些ftpserver禁止這種特性分段掃描實現(xiàn)原理：并不直接發(fā)送TCP探測數(shù)據(jù)包，是將數(shù)據(jù)包分成兩個較小的IP段。這樣就將一個TCP頭分成好幾個數(shù)據(jù)包，從而包過濾器就很難探測到。優(yōu)點：隱蔽性好，可穿越防火墻缺點：可能被丟棄；某些程序在處理這些小數(shù)據(jù)包時會出現(xiàn)異常。棧指紋OS識別技術（一）原理：根據(jù)各個OS在TCP/IP協(xié)議棧實現(xiàn)上的不同特點，采用黑盒測試方法，通過研究其對各種探測的響應形成識別指紋，進而識別目標主機運行的操作系統(tǒng)。根據(jù)采集指紋信息的方式，又可以分為主動掃描和被動掃描兩種方式。被動掃描通過Sniff收集數(shù)據(jù)包，再對數(shù)據(jù)包的不同特征（TCPWindow-size、IPTTL、IPTOS、DF位等參數(shù)）進行分析，來識別操作系統(tǒng)。被動掃描基本不具備攻擊特征，具有很好的隱蔽性，但其實現(xiàn)嚴格依賴掃描主機所處的網(wǎng)絡拓撲結構；和主動探測相比較，具有速度慢、可靠性不高等缺點。主動掃描采用向目標系統(tǒng)發(fā)送構造的特殊包并監(jiān)控其應答的方式來識別操作系統(tǒng)類型。主動掃描具有速度快、可靠性高等優(yōu)點，但同樣嚴重依賴于目標系統(tǒng)網(wǎng)絡拓撲結構和過濾規(guī)則。主動掃描－識別技術（一）FIN探測：發(fā)送一個FIN包給一個打開的端口，一般的行為是不響應，但某些實現(xiàn)例如MSWindows,BSDI,CISCO,HP/UX,MVS,和IRIX發(fā)回一個RESET。BOGUS標記探測：設置一個未定義的TCP"標記"（64或128）在SYN包的TCP頭里。Linux機器到2.0.35之前在回應中保持這個標記。TCPISN取樣：找出當響應一個連接請求時由TCP實現(xiàn)所選擇的初始化序列數(shù)式樣。這可分為許多組例如傳統(tǒng)的64K（許多老UNIX機器），隨機增量（新版本的Solaris，IRIX，F(xiàn)reeBSD，DigitalUNIX，Cray，等），真“隨機”（Linux2.0.*，OpenVMS,新的AIX,等），Windows機器（和一些其他的）用一個“時間相關”模型，每過一段時間ISN就被加上一個小的固定數(shù)。主動掃描－識別技術（二）不分段位：許多操作系統(tǒng)開始在送出的一些包中設置IP的"Don'tFragment"位。TCP初始化窗口：檢查返回包的窗口大小。如queso和nmap保持對窗口的精確跟蹤因為它對于特定OS基本是常數(shù)。ACK值：不同實現(xiàn)中一些情況下ACK域的值是不同的。例如，如果你送了一個FIN|PSH|URG到一個關閉的TCP端口。大多數(shù)實現(xiàn)會設置ACK為你的初始序列數(shù)，而Windows會送給你序列數(shù)加1。ICMP錯誤信息終結：一些操作系統(tǒng)跟從限制各種錯誤信息的發(fā)送率。例如，Linux內(nèi)核限制目的不可達消息的生成每4秒鐘80個。測試的一種辦法是發(fā)一串包到一些隨機的高UDP端口并計數(shù)收到的不可達消息。主動掃描－識別技術（三）ICMP消息引用：ICMP錯誤消息可以引用一部分引起錯誤的源消息。對一個端口不可達消息，幾乎所有實現(xiàn)只送回IP請求頭外加8個字節(jié)。然而，Solaris送回的稍多，而Linux更多。SYN洪水限度：如果收到過多的偽造SYN數(shù)據(jù)包，一些操作系統(tǒng)會停止新的連接嘗試。許多操作系統(tǒng)只能處理8個包。參考：NmapRemoteOSDetection/nmap/nmap-fingerprinting-article.html六、優(yōu)秀掃描工具nMAP：世界上最受黑客歡迎的掃描器，能實現(xiàn)秘密掃描、動態(tài)延遲、重發(fā)與平行掃描、欺騙掃描、端口過濾探測、RPC直接掃描、分布掃描等，靈活性非常好，功能強大。官方主頁/nmap/SATAN掃描器的鼻祖，它采用Perl寫的內(nèi)核，通過PERL調(diào)用大量的C語言的檢測工具對目標網(wǎng)站進行分析，因此可以嵌入瀏覽器中使用。X-scan國內(nèi)著名網(wǎng)絡安全站點-安全焦點的牛人glacier[冰河作者，也是知名女黑客wollf的好老公~~：P]的作品實驗5-3漏洞掃描X-scan3.3使用七、安全評估工具目前存在的掃描器產(chǎn)品主要可分為基于主機的和基于網(wǎng)絡的兩種，前者主要關注軟件所在主機上面的風險漏洞，而后者則是通過網(wǎng)絡遠程探測其它主機的安全風險漏洞。國外，基于主機的產(chǎn)品主要有：AXENT公司的ESM，ISS公司的SystemScanner等，基于網(wǎng)絡的產(chǎn)品包括ISS公司的InternetScanner、AXENT公司的NetRecon、NAI公司的CyberCopsScanner、Cisco的NetSonar等。NessusNessus是一個功能強大而又易于使用的遠程安全掃描器，安全掃描器的功能是對指定網(wǎng)絡進行安全檢查，找出該網(wǎng)絡是否存在有導致對手攻擊的安全漏洞。該系統(tǒng)被設計為client/sever模式

Nessus的優(yōu)點在于：

1、其采用了基于多種安全漏洞的掃描，避免了掃描不完整的情況。

2、比起商業(yè)的安全掃描工具如ISS具有價格優(yōu)勢。

3、在Nmap用戶參與的一次關于最喜歡的安全工具問卷調(diào)查中（評選結果附后），在與眾多商用系統(tǒng)及開放源代碼的系統(tǒng)競爭中，Nessus名列榜首。群眾的眼睛是雪亮的：）。

4、Nessus擴展性強、容易使用、功能強大，可以掃描出多種安全漏洞。N-StalkerEnterpriseEditionN-StalkerWebApplicationSe