1、2.1 使用Sniffer捕獲數(shù)據(jù)包【實(shí)驗(yàn)?zāi)康摹客ㄟ^(guò)實(shí)驗(yàn)，了解FTP、HTTP等協(xié)議明文傳輸?shù)奶匦?，了解局域網(wǎng)內(nèi)的監(jiān)聽(tīng)手段，掌握Sniffer嗅探器軟件的使用方法，掌握對(duì)嗅探到的數(shù)據(jù)包進(jìn)行分析的基本方法，并能夠?qū)π崽降降臄?shù)據(jù)包進(jìn)行網(wǎng)絡(luò)狀況的判斷?！緦?shí)驗(yàn)環(huán)境】網(wǎng)內(nèi)設(shè)有三臺(tái)主機(jī)，IP地址分別為45、46、50，其中主機(jī)45安裝Sniffer軟件Ethereal和Sniffer Pro，在主機(jī)46上運(yùn)行FTP服務(wù)器，結(jié)構(gòu)如圖2-1所示。圖 2-1【實(shí)驗(yàn)原理】網(wǎng)絡(luò)監(jiān)聽(tīng)是一種常用的被動(dòng)

2、式網(wǎng)絡(luò)攻擊方法，能幫助入侵者輕易獲得用其他方法很難獲得的信息，包括用戶(hù)口令、賬號(hào)、敏感數(shù)據(jù)、IP地址、路由信息、TCP套接字號(hào)等。管理員使用網(wǎng)絡(luò)監(jiān)聽(tīng)工具可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰＰ崽狡鳎⊿niffer）是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲發(fā)往其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。它工作在網(wǎng)絡(luò)的底層，將網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來(lái)。嗅探器可以幫助網(wǎng)絡(luò)管理員查找網(wǎng)絡(luò)漏洞和檢測(cè)網(wǎng)絡(luò)性能。嗅探器可以分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問(wèn)題。不同傳輸介質(zhì)網(wǎng)絡(luò)的可監(jiān)聽(tīng)性是不同的。一般來(lái)說(shuō)，以太網(wǎng)被監(jiān)聽(tīng)的可能性比較高，因?yàn)橐蕴W(wǎng)是一個(gè)廣播型的網(wǎng)絡(luò)。微波和無(wú)線網(wǎng)被監(jiān)聽(tīng)的可能性同樣比較高，因?yàn)?/p>

3、無(wú)線電本身是一個(gè)廣播型的傳輸媒介，彌散在空中的無(wú)線電信號(hào)可以被很輕易地截獲。在以太網(wǎng)中，嗅探器通過(guò)將以太網(wǎng)卡設(shè)置成混雜模式來(lái)捕獲數(shù)據(jù)。因?yàn)橐蕴W(wǎng)協(xié)議工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī)，包中包含著應(yīng)該接收數(shù)據(jù)包主機(jī)的正確地址，只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才能接收。但是，當(dāng)主機(jī)工作在監(jiān)聽(tīng)模式下，無(wú)論數(shù)據(jù)包中的目標(biāo)地址是什么，主機(jī)都將接收（當(dāng)然自己只能監(jiān)聽(tīng)經(jīng)過(guò)自己網(wǎng)絡(luò)接口的那些包）。在Internet上有很多使用以太網(wǎng)協(xié)議的局域網(wǎng)，許多主機(jī)通過(guò)電纜、集線器連在一起，當(dāng)同一網(wǎng)絡(luò)中的兩臺(tái)主機(jī)通信的時(shí)候，源主機(jī)將寫(xiě)有目的主機(jī)地址的數(shù)據(jù)包直接發(fā)向目的主機(jī)。但這種數(shù)據(jù)包不能在IP層直接

4、發(fā)送，必須從TCP/IP協(xié)議的IP層交給網(wǎng)絡(luò)接口，也就是數(shù)據(jù)鏈路層，而網(wǎng)絡(luò)接口是不會(huì)識(shí)別IP地址的，因此在網(wǎng)絡(luò)接口數(shù)據(jù)包又增加了一部分以太幀頭的信息。在幀頭中有兩個(gè)域，分別為只有網(wǎng)絡(luò)接口才能識(shí)別的源主機(jī)和上的主機(jī)的物理地址，這是一個(gè)與IP地址相對(duì)應(yīng)的48位的以太地址。傳輸數(shù)據(jù)時(shí)，包含物理地址的幀從網(wǎng)絡(luò)接口（網(wǎng)卡）發(fā)送到物理的線路上，如果局域網(wǎng)是由一條粗纜連接而成，則數(shù)字信號(hào)在電纜上傳輸，能夠到達(dá)線路上的每一臺(tái)主機(jī)。當(dāng)使用集線器時(shí)，由集線器再發(fā)向連接在集線器上的每一條線路，數(shù)字信號(hào)也能到達(dá)連接在集線器上的每一臺(tái)主機(jī)。當(dāng)數(shù)字信號(hào)到達(dá)一臺(tái)主機(jī)的網(wǎng)絡(luò)接口時(shí)，正常情況下，網(wǎng)絡(luò)接口讀入數(shù)據(jù)幀，進(jìn)行檢查，如

5、果數(shù)據(jù)幀中攜帶的物理地址是自己的或者是廣播地址，則將數(shù)據(jù)幀交給上層協(xié)議軟件，也就是IP層軟件，否則就將這個(gè)幀丟棄，對(duì)于每一個(gè)到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)幀，都要進(jìn)行這個(gè)過(guò)程。然而，當(dāng)主機(jī)工作在監(jiān)聽(tīng)模式下，所有的數(shù)據(jù)幀都將交給上層協(xié)議軟件處理。而且當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個(gè)子網(wǎng)時(shí)，如果一臺(tái)主機(jī)處于監(jiān)聽(tīng)模式下，它還能接收到發(fā)向與自己不在同一子網(wǎng)（使用了不同的掩碼、IP地址和網(wǎng)關(guān)）的主機(jī)的數(shù)據(jù)包。也就是說(shuō)，在同一條物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏?。另外，現(xiàn)在網(wǎng)絡(luò)中使用的大部分網(wǎng)絡(luò)協(xié)議都是很早設(shè)計(jì)的，許多協(xié)議的實(shí)現(xiàn)都是基于一種非常友好的、通信雙方充分信任的基礎(chǔ)之上，許多信息以明文發(fā)

6、送。因此，如果用戶(hù)的賬戶(hù)名和口令等信息也以明文的方式在網(wǎng)絡(luò)上傳輸，而此時(shí)一個(gè)黑客或網(wǎng)絡(luò)攻擊者正在進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)，只要具有初步的網(wǎng)絡(luò)和TCP/IP協(xié)議知識(shí)，便能輕易地從監(jiān)聽(tīng)到的信息中提取出感興趣的部分。同理，正確地使用網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)也可以發(fā)現(xiàn)入侵并對(duì)入侵者進(jìn)行追蹤定位，在對(duì)網(wǎng)絡(luò)犯罪進(jìn)行偵查取證時(shí)獲取有關(guān)犯罪行為的重要信息，成為打擊網(wǎng)絡(luò)犯罪的有力手段。目前常用的嗅探器工具主要有Ethereal、Sniffer Pro等。兩個(gè)軟件功能相似，均具有捕獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)功能，除此之外，Sniffer Pro還具有捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析的功能，并能夠利用專(zhuān)家分析系統(tǒng)診斷問(wèn)題，可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)，收集網(wǎng)絡(luò)利

7、用率和錯(cuò)誤等信息?！緦?shí)驗(yàn)步驟】實(shí)驗(yàn)1：用Ethereal捕獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包。（1）打開(kāi)Ethereal窗口。雙擊桌面上Ethereal圖標(biāo)，打開(kāi)Ethereal窗口。（2）設(shè)置過(guò)濾規(guī)則。在主窗口中，單擊【Filter】按鈕，打開(kāi)過(guò)濾器的設(shè)置界面，可以根據(jù)需要選取或直接輸入過(guò)濾命令，并支持and/or的功能連接。這里輸入“ip.addr=46”，結(jié)果如圖2-2所示。單擊【OK】按鈕。圖 2-2（3）查看網(wǎng)絡(luò)監(jiān)聽(tīng)。單擊【Capture】【Interface】查看可以進(jìn)行監(jiān)聽(tīng)的網(wǎng)絡(luò)接口。如圖2-3所示。圖 2-3（4）選擇并設(shè)定監(jiān)聽(tīng)接口并選擇網(wǎng)絡(luò)接口。單擊需要監(jiān)聽(tīng)接口的【

8、Prepare】按鈕，可以進(jìn)行監(jiān)聽(tīng)接口的選擇和設(shè)定，在【Interface】欄選定接口。如圖2-4所示。單擊【Start】，開(kāi)始在【Interface】欄選定的接口上進(jìn)行嗅探、監(jiān)聽(tīng)。單擊【Cancel】回到【Interface】窗口。（5）進(jìn)入網(wǎng)絡(luò)嗅探狀態(tài)。在【Interface】窗口中，單擊需要監(jiān)聽(tīng)接口的【Capture】按鈕，即進(jìn)入網(wǎng)絡(luò)嗅探狀態(tài)，如圖2-5所示。（6）結(jié)束監(jiān)聽(tīng)。當(dāng)有需要的數(shù)據(jù)包出現(xiàn)或監(jiān)聽(tīng)一段時(shí)間后，單擊【Stop】按鈕，結(jié)束監(jiān)聽(tīng)并自動(dòng)進(jìn)入?yún)f(xié)議分析界面。如圖2-6所示。圖 2-4圖 2-5圖 2-6實(shí)驗(yàn)2：用Sniffer Pro捕獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包。（1）打開(kāi)Sniffe

9、r Pro主界面。雙擊桌面上Sniffer Pro圖標(biāo)，運(yùn)行Sniffer Pro，進(jìn)入主界面。如圖2-7所示。圖 2-7（2）選擇進(jìn)行監(jiān)聽(tīng)的網(wǎng)絡(luò)接口。選擇【File Select Settings】，在彈出的對(duì)話框中選擇要進(jìn)行監(jiān)聽(tīng)的網(wǎng)絡(luò)接口所對(duì)應(yīng)的網(wǎng)卡，并單擊【確定】按鈕。如圖2-8所示。圖 2-8（3）定義抓包過(guò)濾規(guī)則。選擇【Capture】|【Define Filter】，或單擊捕獲面板上的按鈕，彈出定義抓包過(guò)濾規(guī)則對(duì)話框。為簡(jiǎn)化實(shí)驗(yàn)過(guò)程，本實(shí)驗(yàn)僅對(duì)默認(rèn)規(guī)則進(jìn)行修改，更多的過(guò)濾規(guī)則可通過(guò)單擊【Profiles】按鈕并在彈出的對(duì)話框中進(jìn)行新建、刪除、重命名等操作，這里不再贅述。（4）設(shè)置監(jiān)

10、聽(tīng)地址。單擊【Address】選項(xiàng)卡，設(shè)置要監(jiān)聽(tīng)的網(wǎng)絡(luò)通信收發(fā)雙方的地址。其中【Address】下拉菜單用來(lái)設(shè)置地址的類(lèi)型（如網(wǎng)卡物理地址、IP地址等），Mode復(fù)選框用來(lái)設(shè)置應(yīng)包含（Include）還是排除（Exclude）下面地址列表中所列出的地址，地址列表中的三列分別表示通信雙方的地址及通信方向。在本實(shí)驗(yàn)中，應(yīng)在【Address】下拉菜單中選擇IP，在【Mode】復(fù)選框中選中【Include】，在地址列表的【Station 1】和【Station 2】列中填入要監(jiān)聽(tīng)的通信雙方的IP地址【50】和【46】，并在方向（Dir.）一列中選擇雙向箭

11、頭。如圖2-9所示。圖 2-9（5）設(shè)置所抓數(shù)據(jù)包屬性。單擊【Advanced】選項(xiàng)卡，對(duì)要抓取的數(shù)據(jù)包的大小、類(lèi)型、及使用的協(xié)議進(jìn)行設(shè)置。本實(shí)驗(yàn)中在IP及其下級(jí)選項(xiàng)ICMP前面的方框中打勾，其他設(shè)置不變，如圖2-10所示。圖 2-10要說(shuō)明的是，在此若不進(jìn)行任何設(shè)置，則Sniffer Pro捕獲通信雙方傳送的所有數(shù)據(jù)包；若僅在勾選了IP選項(xiàng)，而不勾選其任何下級(jí)選項(xiàng)，則Sniffer Pro捕獲通信雙方傳送的所有靠IP協(xié)議提供服務(wù)的數(shù)據(jù)包（包含ICMP數(shù)據(jù)包），這兩種設(shè)置也可用于本次實(shí)驗(yàn)，但捕獲的結(jié)果包含其他協(xié)議的數(shù)據(jù)包，不利于進(jìn)一步分析。單擊【Summary】選項(xiàng)卡，可看到修改后的過(guò)濾規(guī)則的

12、完整描述，如圖2-11所示。確認(rèn)無(wú)誤后，單擊【確定】按鈕結(jié)束過(guò)濾規(guī)則的設(shè)置。圖 2-11（6）捕獲數(shù)據(jù)包。選擇【Capture】|【Star】，或按【F10】，或單擊捕獲面板上的按鈕，開(kāi)始捕獲數(shù)據(jù)包。（7）發(fā)送Ping包。令I(lǐng)P地址為50的主機(jī)ping IP地址為46的主機(jī)。（8）結(jié)束捕獲。選擇【Capture】|【Stop and Display】，也可以按【F9】，或單擊捕獲面板上的按鈕，結(jié)束捕獲數(shù)據(jù)包，并顯示結(jié)果。單擊下面的【Decode】選項(xiàng)卡，得到捕獲數(shù)據(jù)包的解碼信息。其中包含上、中、下三個(gè)區(qū)域，上面的區(qū)域顯示了截獲的整個(gè)通信過(guò)程中所有

13、數(shù)據(jù)包的簡(jiǎn)要描述，由此可以清楚地了解到通信協(xié)議的工作過(guò)程（本實(shí)驗(yàn)中是ICMP協(xié)議）；中間的區(qū)域顯示了在上面區(qū)域選中的包的詳細(xì)結(jié)構(gòu)，清楚地描述了各層協(xié)議所使用的數(shù)據(jù)包的格式結(jié)構(gòu)；下面的區(qū)域顯示的是在最上面區(qū)域所選中的數(shù)據(jù)包的完整二進(jìn)制表示，其中陰影部分是在中間區(qū)域中所選中的數(shù)據(jù)結(jié)構(gòu)的二進(jìn)制表示。請(qǐng)根據(jù)捕獲數(shù)據(jù)包的解碼結(jié)果，分析ICMP協(xié)議的工作過(guò)程及數(shù)據(jù)包格式。（9）修改過(guò)濾規(guī)則。使之只捕獲FTP協(xié)議傳送的數(shù)據(jù)包，然后在IP地址為50的主機(jī)上從IP地址為46的FTP服務(wù)器下載一個(gè)小文件，捕獲這個(gè)過(guò)程中通信雙方傳送的包，根據(jù)解碼結(jié)果分析FTP協(xié)議的工

14、作過(guò)程，并嘗試找出客戶(hù)端所使用的用戶(hù)名及密碼。（10）監(jiān)視抓包過(guò)程。除了對(duì)捕獲數(shù)據(jù)包的數(shù)據(jù)進(jìn)行解碼，以供使用者分析外，該軟件還可截獲網(wǎng)絡(luò)中所有主機(jī)傳送的包，并實(shí)時(shí)地對(duì)其進(jìn)行自動(dòng)分析，由此得到網(wǎng)絡(luò)的通信狀態(tài)信息，如網(wǎng)絡(luò)負(fù)荷、協(xié)議使用的分布規(guī)律、通信量靠前的若干主機(jī)的通信量、相互通信量靠前的若干主機(jī)對(duì)的通信量等。實(shí)現(xiàn)這些功能的子程序被稱(chēng)為監(jiān)視器。利用這些監(jiān)視器提供的信息，管理人員可以更好地管理網(wǎng)絡(luò)和檢測(cè)故障。單擊【Monitor】菜單下的子菜單，打開(kāi)監(jiān)視器。練習(xí)1：使用Sniffer Pro捕獲網(wǎng)絡(luò)中某臺(tái)主機(jī)的（IP地址自行確定）FTP數(shù)據(jù)包，并進(jìn)行分析（三次握手等）；練習(xí)2：使用Sniffer

15、Pro捕獲網(wǎng)絡(luò)中某臺(tái)主機(jī)的（IP地址自行確定）捕獲HTTP數(shù)據(jù)包，并進(jìn)行分析（瀏覽的網(wǎng)站、有無(wú)用戶(hù)賬號(hào)等）。 2.2 使用SuperScan掃描端口【實(shí)驗(yàn)?zāi)康摹苛私舛丝趻呙璧挠猛炯皰呙柙?，掌握使用SuperScan掃描工具對(duì)計(jì)算機(jī)端口進(jìn)行掃描的方法?！緦?shí)驗(yàn)環(huán)境】?jī)膳_(tái)裝有Windows 2000/XP/2003操作系統(tǒng)，SuperSscan等工具的計(jì)算機(jī)?！緦?shí)驗(yàn)原理】一個(gè)開(kāi)放的端口就是一條與計(jì)算機(jī)進(jìn)行通信的信道，對(duì)端口的掃描可以得到目標(biāo)計(jì)算機(jī)開(kāi)放的服務(wù)程序、運(yùn)行的系統(tǒng)版本信息。掃描工具是對(duì)目標(biāo)主機(jī)的安全性弱點(diǎn)進(jìn)行掃描檢測(cè)的軟件。它一般具有數(shù)據(jù)分析功能，通過(guò)對(duì)端口的掃描分析，可以發(fā)現(xiàn)目標(biāo)主機(jī)開(kāi)放

16、的端口和所提供的服務(wù)，以及相應(yīng)服務(wù)軟件版本和這些服務(wù)及軟件的安全漏洞，從而可以及時(shí)了解目標(biāo)主機(jī)存在的安全隱患。1.端口基本知識(shí)端口是TCP協(xié)議定義的。TCP協(xié)議通過(guò)套接字(socket)建立起兩臺(tái)計(jì)算機(jī)之間的網(wǎng)絡(luò)連接。套接字采用 IP地址：端口號(hào) 的形式來(lái)定義。通過(guò)套接字中不同的端口號(hào)來(lái)區(qū)別同一臺(tái)計(jì)算機(jī)上開(kāi)啟的不同TCP和UDP連接進(jìn)程。對(duì)于兩臺(tái)計(jì)算機(jī)間的任一個(gè)TCP連接，一臺(tái)計(jì)算機(jī)的一個(gè)IP地址：端口套接字會(huì)和另一臺(tái)計(jì)算機(jī)的一個(gè)IP地址：端口套接字相對(duì)應(yīng)，彼此標(biāo)識(shí)著源端、目的端上數(shù)據(jù)包傳輸?shù)脑催M(jìn)程和目標(biāo)進(jìn)程。這樣網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包就可以由套接字中的IP地址和端口號(hào)找到需要傳輸?shù)闹鳈C(jī)和連接進(jìn)程

17、了。由此可見(jiàn)，端口和服務(wù)進(jìn)程一一對(duì)應(yīng)，通過(guò)掃描開(kāi)放的端口，就可以判斷出計(jì)算機(jī)中正在運(yùn)行的服務(wù)進(jìn)程。TCP/UDP的端口號(hào)在065535范圍之內(nèi)，其中1024以下的端口保留給常用的網(wǎng)絡(luò)服務(wù)。例如：21端口為FTP服務(wù)，23端口為T(mén)ELNET服務(wù)，25端口為SMTP服務(wù)，80端口為HTTP服務(wù)，110端口為POP3服務(wù)等。2.掃描原理常用的端口掃描技術(shù)如下：（1）TCP connect()掃描這是最基本的TCP掃描，操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用可以用來(lái)與每一個(gè)感興趣的目標(biāo)計(jì)算機(jī)的端口進(jìn)行連接。如果端口處于監(jiān)聽(tīng)狀態(tài)，那么connect()就能成功。否則，這個(gè)端口是不能用的，即沒(méi)有提供服務(wù)

18、。使用這種方法可以檢測(cè)到目標(biāo)主機(jī)開(kāi)放了那些端口。這個(gè)技術(shù)的最大的優(yōu)點(diǎn)是，不需要任何權(quán)限。系統(tǒng)中的任何用戶(hù)都有權(quán)利使用這個(gè)調(diào)用。另一個(gè)好處就是速度，如果對(duì)每個(gè)目標(biāo)端口以線性的方式，使用單獨(dú)的connect()調(diào)用，那么將會(huì)花費(fèi)相當(dāng)長(zhǎng)時(shí)間，使用者可以通過(guò)同時(shí)打開(kāi)多個(gè)套接字來(lái)加速掃描。使用非阻塞I/O允許設(shè)置一個(gè)低的時(shí)間用盡周期，同時(shí)觀察多個(gè)套接字。但這種方法的缺點(diǎn)是很容易被察覺(jué)，并且被防火墻將掃描信息包過(guò)濾掉。目標(biāo)計(jì)算機(jī)的logs文件會(huì)顯示一連串的連接和連接出錯(cuò)信息，并且能很快使它關(guān)閉。（2）TCP SYN掃描這種掃描是向遠(yuǎn)程主機(jī)某端口發(fā)送一個(gè)只有SYN標(biāo)志位的TCP數(shù)據(jù)包，如果收到了遠(yuǎn)程目標(biāo)主機(jī)

19、的SYN/ACK數(shù)據(jù)包，那么說(shuō)明遠(yuǎn)程主機(jī)的該端口是打開(kāi)的；若沒(méi)有收到遠(yuǎn)程目標(biāo)主機(jī)的SYN/ACK數(shù)據(jù)包，而收到的是RST數(shù)據(jù)包，則說(shuō)明遠(yuǎn)程主機(jī)的該端口沒(méi)有打開(kāi)。這種掃描技術(shù)的優(yōu)點(diǎn)在于一般不會(huì)在目標(biāo)計(jì)算機(jī)上留下記錄，但這種方法的缺點(diǎn)是必須要有rrot權(quán)限才能建立自己的SYN數(shù)據(jù)包。（3）TCP FIN掃描FIN是中斷連接的數(shù)據(jù)包，很多日志不記錄這類(lèi)數(shù)據(jù)包。TCP FIN掃描的原理是向目標(biāo)端口發(fā)送FIN數(shù)據(jù)包，如果收到了RST的回復(fù)，表明該端口沒(méi)有開(kāi)放，反之該端口是開(kāi)放的，因?yàn)榇蜷_(kāi)的端口往往忽略對(duì)FIN的回復(fù)。這種方法還可以用來(lái)區(qū)別操作系統(tǒng)是Windows，還是UNIX。但是，有的系統(tǒng)不管端口是打

20、開(kāi)與否，一律回復(fù)RST。這時(shí)，F(xiàn)IN掃描就不適用了。（4）UDP ICMP掃描這種方法與上面幾種方法不同的是它使用的UDP協(xié)議，由于UDP協(xié)議很簡(jiǎn)單，所以掃描變得相對(duì)比較困難。這是由于打開(kāi)的端口掃描探測(cè)并不發(fā)送確認(rèn)信息，關(guān)閉的端口也并不需要發(fā)送一個(gè)錯(cuò)誤數(shù)據(jù)包。當(dāng)向目標(biāo)主機(jī)的一個(gè)未打開(kāi)的UDP端口發(fā)送一個(gè)數(shù)據(jù)包時(shí)，會(huì)返回一個(gè)ICMP_PORT_UNREACHABLE錯(cuò)誤，這樣就會(huì)發(fā)現(xiàn)關(guān)閉的端口。端口掃描器是黑客常用的工具，目前的掃描工具有很多種，例如Nmap、Netcat、X-Scan、port、PortScanner、Netscan tools、Winscan、WUPS、Fscan、LANgu

21、ard Network Scanner、SuperScan等在本實(shí)驗(yàn)以SuperScan工具為例詳細(xì)介紹掃描器的使用。SuperScan是一款專(zhuān)門(mén)的IP和端口掃描軟件，往往黑客利用它來(lái)收集遠(yuǎn)程網(wǎng)絡(luò)主機(jī)的信息。SuperScan的主要功能包括：通過(guò)ping來(lái)檢驗(yàn)IP是否在線；IP和域名相互轉(zhuǎn)換；檢驗(yàn)?zāi)繕?biāo)計(jì)算機(jī)提供的服務(wù)類(lèi)別；檢驗(yàn)一定范圍目標(biāo)計(jì)算機(jī)的是否在線和端口情況；自定義列表檢驗(yàn)?zāi)繕?biāo)計(jì)算機(jī)是否在線和端口情況；自定義并保存要檢驗(yàn)的端口；軟件自帶木馬端口列表trojans.lst，通過(guò)這個(gè)列表可以檢測(cè)目標(biāo)計(jì)算機(jī)是否有木馬，同時(shí)也可以自定義修改這個(gè)木馬端口列表，更多的木馬列表可以參考網(wǎng)址http:/

22、/book/list.asp? id=15。可以看出這款軟件幾乎擁有與IP掃描有關(guān)的所有功能，而且每一個(gè)功能都很專(zhuān)業(yè)。【實(shí)驗(yàn)步驟】（1）打開(kāi)SuperScan主界面。如圖2-12所示。圖 2-12（2）鎖定主機(jī)。在【解析】文本框中輸入要解析的域名或IP地址，單擊【鎖定】按鈕，則在IP項(xiàng)目中顯示相應(yīng)的IP地址。單擊【本機(jī)】按鈕，IP項(xiàng)目中將顯示本機(jī)的IP地址。單擊【網(wǎng)絡(luò)】按鈕，可以顯示本地計(jì)算機(jī)詳細(xì)的IP配置信息。如圖2-13所示。圖 2-13（3）端口掃描。 可以掃描一個(gè)IP地址，也可以掃描一個(gè)IP地址段。若掃描一個(gè)IP地址，則在【開(kāi)始】文本框和【停止】文本框中輸入要掃

23、描的IP地址；若掃描IP地址段，則在【開(kāi)始】文本框輸入IP地址段的開(kāi)始IP地址，在【停止】文本框中輸入IP段的結(jié)束IP地址，然后單擊【開(kāi)始】按鈕。如圖2-14所示。圖 2-14還可以掃描選定的端口。單擊【配置】欄中的【端口設(shè)置】按鈕，顯示如圖2-15所示窗口。在【端口選擇】下的列表框中選中某一個(gè)端口，在左上角的【添加/刪除/修改端口信息】組中會(huì)出現(xiàn)這個(gè)端口的信息。選中左上角【選擇】復(fù)選框，單擊【應(yīng)用】按鈕就可以將此端口添加到掃描的端口列表中。圖 2-15（4）查找活動(dòng)主機(jī)（Ping）。在【IP】組中輸入起始和結(jié)束的IP地址，選中【掃描類(lèi)型】欄中的【僅僅Ping計(jì)算機(jī)】單選按鈕，然后單擊【開(kāi)始】

24、按鈕，啟動(dòng)Ping掃描。如圖2-16所示。圖 2-16（5）檢查目標(biāo)計(jì)算機(jī)是否被種植木馬。單擊【配置】欄中的【端口設(shè)置】按鈕，從【端口列表清單】下拉清單中選擇【trojans.lst】端口列表文件（該文件是軟件自帶的，提供了常用的木馬端口，可以使用這個(gè)端口列表來(lái)檢測(cè)目標(biāo)計(jì)算機(jī)是否被種植了木馬），單擊【確定】按鈕，單擊【開(kāi)始】按鈕開(kāi)始掃描。使用SuperScan工具注意：每次掃描的IP地址不要太多，否則會(huì)掃描很長(zhǎng)時(shí)間。練習(xí)1：使用SuperScan對(duì)本地主機(jī)進(jìn)行端口掃描（主要檢查21、23、139、3389端口是否開(kāi)放）。 練習(xí)2：使用SuperScan對(duì)局域網(wǎng)的特定主機(jī)（IP地址自行確定）進(jìn)行

25、端口掃描。練習(xí)3：使用SuperScan對(duì)局域網(wǎng)的某些主機(jī)（IP地址自行確定）進(jìn)行在線檢測(cè)。【實(shí)驗(yàn)思考】1.ping命令使用的網(wǎng)絡(luò)協(xié)議是什么？2.如何查看局域網(wǎng)內(nèi)哪臺(tái)計(jì)算機(jī)被種植了冰河木馬。 2.3 使用SSS掃描漏洞【實(shí)驗(yàn)?zāi)康摹苛私庀到y(tǒng)漏洞對(duì)網(wǎng)絡(luò)安全的影響，掌握網(wǎng)絡(luò)漏洞掃描的原理及Shadow Security Scanner漏洞掃描器的使用方法?！緦?shí)驗(yàn)環(huán)境】?jī)膳_(tái)裝有Windows 2000/XP/2003操作系統(tǒng)，Shadow Security Scanner等工具的計(jì)算機(jī)?！緦?shí)驗(yàn)原理】網(wǎng)絡(luò)漏洞掃描器是一種基于網(wǎng)絡(luò)的漏洞掃描和分析工具軟件，能夠自動(dòng)檢查主機(jī)、網(wǎng)絡(luò)設(shè)備的安全漏洞，并且提供檢測(cè)

26、報(bào)告和解決方案。使用網(wǎng)絡(luò)漏洞掃描器，可以找出各系統(tǒng)的漏洞，并集中了解網(wǎng)絡(luò)風(fēng)險(xiǎn)所在，不需要每天在各個(gè)廠商站點(diǎn)和安全站點(diǎn)上注意各操作系統(tǒng)和設(shè)備的漏洞通報(bào)。漏洞掃描器將極為煩瑣的安全檢測(cè)，通過(guò)程序來(lái)自動(dòng)完成，這不僅減輕管理者的工作，而且縮短了檢測(cè)時(shí)間，使問(wèn)題發(fā)現(xiàn)更快，是網(wǎng)絡(luò)安全管理和維護(hù)人員的必備工具。Shadow Security Scanner漏洞掃描器是一種非常優(yōu)秀的安全掃描軟件。可以對(duì)很大范圍內(nèi)的系統(tǒng)漏洞進(jìn)行安全、高效、可靠的安全檢測(cè)，對(duì)系統(tǒng)全面掃描之后，SSS可以對(duì)收集的信息進(jìn)行分析，發(fā)現(xiàn)系統(tǒng)設(shè)置中容易被攻擊的可能的錯(cuò)誤，得出對(duì)發(fā)現(xiàn)問(wèn)題的可能的解決方法。SSS使用了完整的系統(tǒng)安全分析算法I

27、ntellectual Core，其系統(tǒng)掃描的速度、精度和專(zhuān)業(yè)的安全機(jī)構(gòu)與想侵入網(wǎng)絡(luò)的黑客相當(dāng)。SSS不僅可以掃描Windows系列平臺(tái)，而且還可以應(yīng)用在Unix及其分支上，如Linux、FreeBSD、IpenBSDNetBSDSolaris等。由于采用了獨(dú)特的架構(gòu)，SSS是世界上唯一的可以檢測(cè)出思科、惠普及其他網(wǎng)絡(luò)設(shè)備錯(cuò)誤的軟件，而且它在所有的商用軟件中還是唯一能在每個(gè)系統(tǒng)中跟蹤超過(guò)2000個(gè)審核的軟件?！緦?shí)驗(yàn)步驟】（1）選擇掃描項(xiàng)目。打開(kāi)SSS主界面，如圖2-17所示。其中有5個(gè)掃描項(xiàng)目，其含義如下表所示。掃描項(xiàng)目功能掃描項(xiàng)目功能Scanner掃描主機(jī)漏洞Dos Checker拒絕服務(wù)攻

28、擊漏洞測(cè)試Base SDK掃描一些特殊的漏洞History歷史信息Script腳本編輯形式一般選用Scanner進(jìn)行主機(jī)掃描。圖 2-17（2）設(shè)置掃描方式。單擊【Scanner】按鈕，彈出Scanner窗口，如圖2-18所示。圖 2-18其中有6種掃描的方式可供選擇，如下表所示。掃描方式名稱(chēng)用途Complete Scan除了拒絕服務(wù)掃描以外，對(duì)遠(yuǎn)程計(jì)算機(jī)的所有的標(biāo)準(zhǔn)端口和漏洞進(jìn)行掃描Full Scan除了拒絕服務(wù)掃描以外，對(duì)遠(yuǎn)程計(jì)算機(jī)的所有的端口（165535）和漏洞進(jìn)行掃描Quick Scan只對(duì)遠(yuǎn)程計(jì)算機(jī)的標(biāo)準(zhǔn)端口和漏洞進(jìn)行掃描Only NetBIOS Scan只掃描NetBIOS的漏洞

29、Only FTPScan只掃描FTP的漏洞Only HTTP Scan只掃描HTTP的漏洞也可以單擊【Add rule】按鈕添加自己的掃描規(guī)則或者單擊【Edit rule】按鈕來(lái)編輯已經(jīng)有的規(guī)則。如果選擇【Quick Scan】，再單擊【Next】按鈕，出現(xiàn)如圖2-19所示的窗口。圖 2-19（3）添加掃描主機(jī)。單擊【Add Host】按鈕，彈出【Add Host】對(duì)話框。選擇【Host】選項(xiàng)卡，在【Host name or IP Address】中輸入IP地址，如圖2-20所示。如果想掃描一組主機(jī)，單擊【IP Zone】選項(xiàng)卡，輸入開(kāi)始IP地址和結(jié)束IP地址，如圖2-21所示。單擊【OK】按

30、鈕，回到對(duì)話框。選中要掃描主機(jī)的IP地址，單擊【Next】按鈕。設(shè)置結(jié)果如圖2-22所示。圖 2-20圖 2-21圖 2-22（4）掃描漏洞。單擊工具欄中的【開(kāi)始】按鈕開(kāi)始掃描，掃描至100%后，完成掃描，如圖2-23所示。這時(shí)打開(kāi)圖中掃描細(xì)節(jié)選項(xiàng)，就可以看到具體的掃描結(jié)果了。（5）查看并分析結(jié)果。圖2-23顯示的是掃描到的【General】中的信息，這是系統(tǒng)中的一般信息。從中可以看到主機(jī)的IP地址、主機(jī)名、主機(jī)的TTL值等信息。圖2-24是【Audits】中的掃描結(jié)果信息，從中可以看到系統(tǒng)內(nèi)在中存在著哪些漏洞。圖2-25是【Machine】和【TCP Ports】中的掃描結(jié)果信息?！綧ach

31、ine】記錄著操作系統(tǒng)的一些信息，【TCP Ports】記錄著系統(tǒng)中所開(kāi)放的一些端口信息。圖2-26是【Serveices】中的掃描結(jié)果，其中記錄的是系統(tǒng)中開(kāi)放的服務(wù)。圖 2-23圖 2-24圖 2-25圖 2-26圖2-27是【Shares】、【UsersShares】和【Pipes】中的掃描結(jié)果?！維hares】存放的是系統(tǒng)中開(kāi)放的共享；【UsersShares】存放的是系統(tǒng)已經(jīng)有的賬戶(hù)信息；【Pipes】存放的是系統(tǒng)中當(dāng)前通道中的通信情況。圖 2-27（6）顯示系統(tǒng)漏洞信息。在主窗口中，單擊【Vulnerabilities】選項(xiàng)卡，系統(tǒng)將顯示主機(jī)有哪些漏洞，如圖2-28所示。圖中信息前面

32、的紅色標(biāo)簽代表危險(xiǎn)等“高”，桔紅色標(biāo)簽代表危險(xiǎn)等級(jí)“低”，藍(lán)色標(biāo)簽代表危險(xiǎn)等級(jí)更“低”一些。單擊其中的一項(xiàng)，下面的窗口中就會(huì)顯示這個(gè)漏洞更為詳細(xì)的信息。圖 2-28（7）顯示掃描統(tǒng)計(jì)信息。單擊【Statistics】選項(xiàng)卡，系統(tǒng)將顯示本次掃描的統(tǒng)計(jì)信息，如圖2-29所示。例如在本次掃描中，共有15項(xiàng)記錄，3個(gè)端口是開(kāi)放的。練習(xí)1：使用Shadow Security Scanne對(duì)本地主機(jī)進(jìn)行安全檢測(cè)（發(fā)現(xiàn)本地主機(jī)的漏洞或弱口令漏洞）。 練習(xí)2：使用Shadow Security Scanner對(duì)局域網(wǎng)的特定主機(jī)（IP地址自行確定）進(jìn)行安全檢測(cè)。2.4 使用Ping掃描綜合信息【實(shí)驗(yàn)?zāi)康摹客ㄟ^(guò)實(shí)驗(yàn)，理解ping命令數(shù)據(jù)包交互過(guò)程、理解ICMP協(xié)議的工作原理；掌握Ping命令的基本使用方式和帶參數(shù)的高級(jí)使用方式；了解以下參數(shù)命