第三章網(wǎng)絡(luò)掃描主機(jī)發(fā)現(xiàn)技術(shù)

主機(jī)發(fā)現(xiàn)技術(shù)主要分三種：ping掃描ARP掃描端口掃描1.Ping掃描確定哪些機(jī)器是up的2種方式ICMP類似于ping，發(fā)送icmp消息給目標(biāo)，看是否有返回TCPping給目標(biāo)特定的tcp端口(如常用的80)發(fā)送ack消息，如果返回rst，說明機(jī)器up。常用的tracetcp。2.ARP掃描

ARP（AddressResolutionProtocol）即地址解析協(xié)議，它是用于局域網(wǎng)內(nèi)的物理地址。ARP掃描是指通過向目標(biāo)主機(jī)發(fā)送ARP請(qǐng)求（查詢目標(biāo)主機(jī)的物理地址），如果目標(biāo)主機(jī)回應(yīng)一個(gè)ARP響應(yīng)報(bào)文，則說明它是存活的。下面是ARP掃描的示意圖：3.端口掃描3.1目的判斷目標(biāo)主機(jī)開啟了哪些端口及其對(duì)應(yīng)的服務(wù)確定目標(biāo)系統(tǒng)正在運(yùn)行的TCP/UDP服務(wù)在掃描時(shí)希望隱藏自己3.2掃描基礎(chǔ)TCP數(shù)據(jù)報(bào)首部標(biāo)志域TCP連接的建立過程TCP連接的釋放過程TCP/IP實(shí)現(xiàn)遵循的原則TCP數(shù)據(jù)報(bào)首部標(biāo)志域(1)6個(gè)比特標(biāo)志位SYN用來建立連接，同步雙方的序列號(hào)。SYN=1&ACK=0,連接請(qǐng)求包SYN=1&ACK=1,接受請(qǐng)求FIN釋放連接包RST復(fù)位一個(gè)連接如果收到一個(gè)分段不屬于該主機(jī)的任何一個(gè)連接，發(fā)送RST包TCP數(shù)據(jù)報(bào)首部標(biāo)志域（2）URG緊急數(shù)據(jù)。表示數(shù)據(jù)包中包含緊急數(shù)據(jù)。ACK確認(rèn)標(biāo)志位。表示數(shù)據(jù)包中的確認(rèn)號(hào)有效。PSHPUSH，如果為1，接受端應(yīng)盡快把數(shù)據(jù)傳送給應(yīng)用層。TCP可靠性通過校驗(yàn)和、定時(shí)器、數(shù)據(jù)序號(hào)、應(yīng)答號(hào)來實(shí)現(xiàn)數(shù)據(jù)的可靠傳輸TCP中的序列號(hào)為每個(gè)發(fā)送的字節(jié)分配一個(gè)序號(hào)，用來保證數(shù)據(jù)的順序，剔除重復(fù)的數(shù)據(jù)一個(gè)TCP連接包含兩個(gè)流（分別代表每個(gè)方向的數(shù)據(jù)）建立連接時(shí)流的發(fā)送方選擇一個(gè)初始序號(hào)ISN(initialsequencenumber)ISN必須隨機(jī)選取才安全TCP連接的建立過程TCP連接的釋放過程1CSSYNSEQ=104ACK=02SCSYNACKSEQ=319ACK=1053CSACKSEQ=105ACK=3204SCPSHACKSEQ=320ACK=105Data15bytes5CSPSHACKSEQ=105ACK=335Data15bytes6SCACKSEQ=335ACK=120TCP/IP實(shí)現(xiàn)遵循的原則原則1：當(dāng)一個(gè)SYN或者FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉了的端口，服務(wù)器丟棄該數(shù)據(jù)包，并返回一個(gè)RST數(shù)據(jù)包；

TCP/IP實(shí)現(xiàn)遵循的原則原則2：當(dāng)一個(gè)RST數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽端口或者關(guān)閉的端口，RST數(shù)據(jù)包都會(huì)被服務(wù)器丟棄。

TCP/IP實(shí)現(xiàn)遵循的原則原則3：當(dāng)一個(gè)ACK數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽的端口，服務(wù)器會(huì)丟棄這個(gè)數(shù)據(jù)包，并回應(yīng)一個(gè)RST數(shù)據(jù)包。

TCP/IP實(shí)現(xiàn)遵循的原則原則4：當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽端口時(shí)，數(shù)據(jù)包將會(huì)被丟棄。

3.3端口掃描分類技術(shù)

端口掃描分類掃描技術(shù)分析掃描分類TCP全連接開放掃描半開放掃描TCP反向ident掃描IP頭信息dumb掃描SYN掃描FIN掃描隱蔽掃描TCP分段ACK掃描XMAS掃描空掃描掃射掃描SYN/ACK掃描ping掃射其它掃描UDP/ICMP不可達(dá)FTP彈跳UDP掃射UDPrecvfrom/write掃描ACK掃射SYN掃射ICMP掃射掃描技術(shù)分析常規(guī)掃描技術(shù)調(diào)用connect函數(shù)直接連接被掃描端口無須任何特殊權(quán)限速度較慢，易被記錄高級(jí)掃描技術(shù)利用探測(cè)數(shù)據(jù)包的返回信息（例如RST）來進(jìn)行間接掃描較為隱蔽，不易被日志記錄或防火墻發(fā)現(xiàn)完全連接掃描(TCPconnect掃描)ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口開放端口關(guān)閉TCPconnect掃描直接用connect連接對(duì)方的端口連接成功，說明對(duì)方端口是開放的優(yōu)點(diǎn)簡(jiǎn)單，不需要特權(quán)用戶缺點(diǎn)容易被察覺在應(yīng)用日志中會(huì)有記錄下來一些沒有任何動(dòng)作的連接被掃描主機(jī)開放的端口不提供服務(wù)的端口防火墻過濾的端口

掃描器SYNSYNSYNSYN+ACK握手RST重置沒有回應(yīng)或者其他利用TCP三次握手的第一次進(jìn)行掃描。半連接SYN掃描(TCPSYN掃描)TCPSYN掃描Halfopenscan在3次握手完成前終止連接方法發(fā)SYN如果收到RST，說明端口關(guān)閉如果收到SYNACK，說明端口開放，發(fā)送RST優(yōu)點(diǎn)應(yīng)用程序日志沒有記錄缺點(diǎn)復(fù)雜，需要自己構(gòu)造數(shù)據(jù)包很多系統(tǒng)要超級(jí)用戶才能進(jìn)行容易被發(fā)現(xiàn)ClientACKServerRSTClientACKServer--端口開放端口關(guān)閉隱蔽掃描：ACK隱蔽掃描：FINClientFINServerRSTClientFINServer--未監(jiān)聽端口在監(jiān)聽端口3.4端口掃描工具NmapXscanSuperScanShadowSecurityScannerMS06040ScannerNmap——探測(cè)工具王功能

NMAP是探測(cè)網(wǎng)絡(luò)主機(jī)和開放服務(wù)的佼佼者。是Linux下使用者的最愛，現(xiàn)在已經(jīng)有Windows的版本。NMAP支持多種協(xié)議的掃描如UDP，TCPconnect,TCPSYN,ftpproxy(bounceattack),Reverse-ident,ICMP(pingsweep),FIN,ACKsweep,XmasTree,SYNsweep,和Null掃描。還提供一些實(shí)用功能，比如通過tcp/ip來甄別操作系統(tǒng)類型；秘密掃描、動(dòng)態(tài)延遲和重發(fā)；欺騙掃描、端口過濾探測(cè)、分布掃描等。-sTTCPConnect()掃描 這是對(duì)TCP的最基本形式的偵測(cè)。對(duì)目標(biāo)主機(jī)端口進(jìn)行試探，如果該端口開放，則連接成功，否則代表這個(gè)端口沒有開放。-sSTCPSYN掃描 就是我們介紹的‘半開’式的掃描，速度會(huì)比connect掃描快。-sF-sX–sN StealthFIN,XmasTree或者Null掃描模式。-sPPing掃描 對(duì)指定的IP發(fā)送ICMP，如果對(duì)方屏蔽了echorequest，nmap還能發(fā)送一個(gè)TCPack包到80端口探測(cè)。-sUUDP掃描 確定某個(gè)UDP端口是否打開。xscanSuperscan——速度之王

MS06040Scanner——專用的漏洞掃描器用于檢測(cè)目標(biāo)系統(tǒng)是否存在MS06040漏洞。MS06040Scanner的工作原理是首先是通過端口掃描和操作系統(tǒng)掃描獲取操作系統(tǒng)類型和開放的端口，如果是windows2000系統(tǒng)，開放了TCP139或者TCP445