第3章网络扫描与网络监听

1、版权所有，盗版必纠李 剑 北京邮电大学信息安全中心 E-mail: 电话权所有，盗版必纠 本章主要介绍黑客的相关知识、网络踩点的方法、网络扫描和网络监听技术。其中，网络扫描是黑客实施攻击前获得目标及其漏洞信息的重要手段，而网络监听则是黑客向内部网进行渗透的常用手法。版权所有，盗版必纠一一. 黑客概述黑客概述 二. 网络踩点 三. 网络扫描 四. 网络监听 版权所有，盗版必纠 3.1.1 黑客的概念 “黑客”一词是由英文单词“Hacker”音译过来的。最初起源于20世纪50年代，是指那些精力充沛、热衷于解决计算机难题的程序员。当时计算机非常昂贵，只存在于各大院校与科研机

2、构，技术人员使用一次计算机，需要很复杂的手续，而且计算机的效率也不高，为了绕过一些限制，最大限度地利用这些昂贵的计算机，一些程序员们就写出了一些简洁高效的捷径程序，这些程序往往较原有的程序系统更完善。 版权所有，盗版必纠 3.1.2 攻击的概念 攻击是对系统全策略的一种侵犯，是指任何企图破坏计算机资源的完整性（未授权的数据修改）、机密性（未授权的数据泄露或未授权的服务的使用）以及可用性（拒绝服务）的活动。通常，“攻击”和“入侵”同指这样一种活动。版权所有，盗版必纠 3.1.3 攻击的分类 互联计算机的威胁来自很多形式。1980年，Anderson在其著名的报告中，对不同类型的计算机系统安全威胁

3、进行了划分，他将入侵分为外部闯入、内部授权拥护的越权使用和滥用三种类型，并以此为基础提出了不同安全渗透的检测方法。 目前，攻击分类的主要依据有：威胁来源、攻击方式、安全属性、攻击目的和攻击使用的技术手段等。这里给出几种攻击分类方式。版权所有，盗版必纠1. 按照威胁的来源，潜在入侵者的攻击可以被粗略地分成两类。2. 按照安全属性，Stalling将攻击分为四类，如图3.1所示。3. 按照攻击方式，攻击可分为主动攻击和被动攻击。(a) 正常情况正常情况发送方发送方接收方接收方(b) 中断中断(c) 拦截侦听拦截侦听(d) 篡改篡改(e) 伪造伪造版权所有，盗版必纠4. 按照入侵者的攻击目的，可将攻

4、击分为下面四类。(1) 拒绝服务攻击：是最容易实施的攻击行为，它企图通过使目标计算机崩溃或把它压跨来阻止其提供服务。主要包括：Land，Syn flooding (UDP flooding)，Ping of death，Smurf (Fraggle)，Teardrop，TCP RST攻击，Jot2，电子邮件炸弹，畸形消息攻击。(2) 利用型攻击：是一类试图直接对你的机器进行控制的攻击。主要包括：口令猜测，特洛伊木马，缓冲区溢出。(3) 信息收集型攻击：这类攻击并不对目标本身造成危害，而是被用来为进一步入侵提供有用的信息。主要包括：扫描（包括：端口扫描、地址扫描、反向映射、慢速扫描），体系结构刺

5、探，利用信息服务（包括：DNS域转换、Finger服务，LDAP服务）。(4) 假消息攻击：用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。版权所有，盗版必纠 5. 按照入侵者使用的技术手段，攻击技术主要分为以下四类。 网络信息收集技术：包括目标网络中主机的拓扑结构分析技术、目标网络服务分布分析技术和目标网络漏洞扫描技术。 目标网络权限提升技术：包括本地权限提升和远程权限提升。 目标网络渗透技术：包括后门技术、Sniffer技术、欺骗技术、tunnel及代理技术。 目标网络摧毁技术：包括目标服务终止、目标系统瘫痪和目标网络瘫痪。版权所有，盗版必纠 踩点踩点，也就是信息

6、收集。黑客实施攻击前要做的第一步就是“踩点”。与劫匪抢银行类似，攻击者在实施攻击前会使用公开的和可利用的信息来调查攻击目标。通过信息收集，攻击者可获得目标系统的外围资料，如机构的注册资料、网络管理员的个人爱好、网络拓扑图等。攻击者将收集来的信息进行整理、综合和分析后，就能够初步了解一个机构网络的安全态势和存在的问题，并据此拟定出一个攻击方案。版权所有，盗版必纠 踩点踩点，版权所有，盗版必纠1利用搜索引擎搜索引擎是一个非常有利的踩点工具，如Google具有很强搜索能力，能够帮助攻击者准确地找到目标，包括网站的弱点和不完善配置。比如，多数网站只要设置了目录列举功能，Google就能搜索出Index

7、 of页面，如图3.2。 版权所有，盗版必纠打开Index of页面就能够浏览一些隐藏在互联网背后的开放了目录浏览的网站服务器的目录，并下载本无法看到的密码账户等有用文件，如图3.3。 版权所有，盗版必纠2利用whois数据库 除了搜索引擎外，Internet上的各种whois数据库也是非常有用的信息来源。这些数据库包含各种关于Internet地址分配、域名和个人联系方式等数据元素。攻击者可以从Whois数据库了解目标的一些注册信息。提供whois服务的机构很多，其中和中国最相关的机构及其对应网址如表3.2。版权所有，盗版必纠下面给出一个例子，利用http:/提供的whois服务查询信息，如图

8、3.4、图3.5所示。版权所有，盗版必纠下面给出一个例子，利用http:/提供的whois服务查询信息，如图3.4、图3.5所示。版权所有，盗版必纠3利用DNS服务器DNS服务中维护的信息除了域名和IP地址的对应关系外，还有主机类型、一个域中的邮件服务器地址、邮件转发信息、从IP地址到域名的反向解析信息等。用nslookup程序可以从DNS服务器上查询一些网站的相关信息，如图3.6是查询和得到的结果。 版权所有，盗版必纠 扫描是进行信息收集的一种必要工具，它可以完成大量的重复性工作，为使用者收集与系统相关的必要信息。对于黑客来讲，扫描是攻击系统时的有力助手；而对于管理员，扫描同样具备检查漏洞，

9、提高安全性的重要作用。版权所有，盗版必纠3.3.1 安全漏洞概述 通常，网络或主机中存在的安全漏洞是攻击者成功地实施攻击的关键。那么，什么是安全漏洞？安全漏洞产生的根源是什么？这些漏洞有哪些危害呢？ 1安全漏洞的概念 这里所说的漏洞不是一个物理上的概念，而是指计算机系统具有的某种可能被入侵者恶意利用的属性，在计算机安全领域，安全漏洞通常又称作脆弱性。简单地说，计算机漏洞是系统的一组特性，恶意的主体能够利用这组特性，通过已授权的手段和方式获取对资源的未授权访问，或者对系统造成损害。这里的漏洞既包括单个计算机系统的脆弱性，也包括计算机网络系统的漏洞。版权所有，盗版必纠2漏洞存在原因现在Intern

10、et上仍然在使用的基础协议中，有很多早期的协议在最初设计时并没有考虑安全方面的需求。并且，Internet是一个快速变化的动态环境，要在这样一个基础设施并不安全、动态的、分布式的环境中保证应用的安全是相当困难的。正是由于Internet的开放性和其协议的原始设计，攻击者无需与被攻击者有物理上的接触，就可以成功地对目标实施攻击，而不被检测到或跟踪到。 从技术角度来看，漏洞的来源主要有以下几个方面：（1）软件或协议设计时的瑕疵（2）软件或协议实现中的弱点（3）软件本身的瑕疵（4）系统和网络的错误配置版权所有，盗版必纠3漏洞的危害 漏洞主要存在于操作系统、应用程序以及脚本中，它使得入侵者能够执行特殊

11、的操作，从而获得不应该获得的权限。几乎每天都能在某些程序或操作系统中发现新的漏洞，许多漏洞都能导致攻击者获得root权限，从而可以控制系统并获得机密资料，导致公司或个人遭受巨大损失。不同的漏洞其表现形式不一样，危害也有大小之分，但是总的说来，安全漏洞危害系统的完整性、系统的可用性、系统的机密性、系统的可控性和系统的可靠性等。版权所有，盗版必纠 3.3.2 为什么进行网络扫描 很多入侵者常常通过扫描来发现存活的目标及其存在的安全漏洞，然后通过漏洞入侵目标系统。为了解决安全问题，网络管理员也常借助扫描器对所管辖的网络进行扫描，以发现自身系统中的安全隐患和存在的棘手问题，然后修补漏洞排除隐患。所以说

12、扫描是一把双刃剑。为了解决安全隐患和提高扫描效率，很多公司和开源组织开发了各种各样的漏洞评估工具，这些漏洞评估工具也被称为扫描器，其种类繁多、性能各异。版权所有，盗版必纠 3.3.3 发现目标的扫描 如果将扫描比拟为收集情报的话，扫描目标就是寻找突破口了。本节介绍基本的扫描技术和扫描技巧，利用这些技术和技巧可以确定目标是否存活在网络上，以及正在从事的工作类型。该类扫描目前主要有Ping扫描和ICMP查询两种。版权所有，盗版必纠1Ping扫描版权所有，盗版必纠在“开始IP”和“结束IP”文本框分别输入需要进行Ping扫描的起始地址和结束地址，并单击右侧按钮将其加入右侧文本框，如图3.8所示。版权

13、所有，盗版必纠在版权所有，盗版必纠扫描完成后可以单击SuperScan提供的“查看HTML结果”按钮，查看主机存活情况，如图3.10所示。版权所有，盗版必纠2ICMP查询 如果目标主机阻塞了ICMP回显请求报文，仍然可以通过使用其它类型的ICMP报文探测目标主机是否存活，并收集到各种关于该系统的有价值的信息。例如，向该系统发送ICMP类型为13的消息，若主机存活就能获得该系统的系统时间；发送ICMP类型为17的消息，若主机存活就能获得该目标主机的子网掩码。版权所有，盗版必纠 3. TCP扫射和UDP扫射 另外，TCP扫射和UDP扫射也可用于发现目标是否存活。从TCP连接的三次握手过程可以知道，

14、如果向目标发送一个SYN报文，则无论收到一个SYN/ACK报文还是一个RST报文，都表明目标处于存活状态，或向目标发送一个ACK报文，如果收到一个RST报文则表明目标存活。这就是TCP扫射的基本原理。如果向目标特定端口发送一个UDP数据报之后，接收到ICMP端口不可达的错误，则表明目标存活，否则表明目标不在线或者目标的相应UDP端口是打开的。这是UDP扫射的原理。版权所有，盗版必纠 3.3.4 探测开放服务的端口扫描 在找出网络上存活的系统之后，入侵者下一步就是要得到目标主机的操作系统信息和开放的服务。端口扫描就是发送信息到目标计算机的所需要扫描的端口，然后根据返回端口状态来分析目标计算机的端

15、口是否打开、是否可用。 1端口 2端口扫描原理 3常见的端口扫描技术版权所有，盗版必纠端口扫描分类端口扫描分类 版权所有，盗版必纠 3.3.5 漏洞扫描漏洞扫描 漏洞扫描是使用漏洞扫描程序对目标系统进行信息查询，通过漏洞扫描，可以发现系统中存在的不安全的地方。针对各种服务的漏洞是一个庞大的数字，在2001年一年中，仅微软就针对自己的产品一共发布了上百个安全漏洞，而其中接近一半都是IIS漏洞。这些庞大的漏洞全部由手工检测是非常困难的。版权所有，盗版必纠1漏洞扫描技术的原理漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息

16、与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。版权所有，盗版必纠2漏洞扫描技术的分类和实现方法基于网络系统漏洞库，漏洞扫描大体包括：CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等，这些漏洞扫描基于漏洞库，将扫描结果与漏洞库相关数据匹配比较得到漏洞信息。漏洞扫描还包括没有相应漏洞库的各种扫描，比如Unicode遍历目录漏洞探测、FTP弱势密码探测、OPENRelay邮件转发漏洞探测等，这些扫描通过使用插

17、件（功能模块技术）进行模拟攻击，测试出目标主机的漏洞信息。下面就这两种扫描的实现方法进行讨论。版权所有，盗版必纠 好的扫描工具是黑客手中的利器，也是网络管理员手中的重要武器。这里介绍三款著名的扫描器，它们均为开源或者免费的扫描器，也是迄今为止最好的扫描器。1Nmap：扫描器之王Nmap（Network Mapper，网络映射器）是一款开放源代码的网络探测和安全审核的工具。它可以在大多数版本的Unix系统中运行，并且已经被移植到了Windows系统中。它主要在命令行方式下使用，可以快速地扫描大型网络，也可以扫描单个主机。Nmap以新颖的方式使用原始IP报文来发现网络上有哪些主机，那些主机提供什么

18、服务（应用程序名和版本），那些服务运行在什么操作系统（包括版本信息），它们使用什么类型的报文过滤器/防火墙，等等。虽然Nmap通常用于安全审核，但许多系统管理员和网络管理员也用它来做一些日常的工作，比如查看整个网络的信息，管理服务升级计划，以及监视主机和服务的运行。版权所有，盗版必纠2Nessus：分布式的扫描器 Nessus是一种用来自动检测和发现已知安全问题的强大扫描工具，运行于Solaris、FreeBSD、GNU/Linux等系统，源代码开放并且可自由地修改后再发布，可扩展性强，当一个新的漏洞被公布后很快就可以获取其新的插件对网络进行安全性检查。它的一个很强大的特性是它的客户/服务器技

19、术。服务器负责进行安全扫描，客户端用来配置、管理服务器端，客户端和服务器端之间的通信使用SSL加密。服务器可以放置在网络中的不同地方来获得不同的信息。一个中央客户端或者多个分布式客户端可以对所有的服务器进行控制。这些特性为渗透测试者提供了很大的灵活性。版权所有，盗版必纠 3X-Scan：国内最好的扫描器 X-Scan是国内最著名的综合扫描器之一，完全免费，是不需要安装的绿色软件，其 界面支持中文和英文两种语言，使用方式有图形界面和命令行方式两种，支持windows 9x/NT4/2000操作系统。该扫描器是由国内著名的网络安全组织“安全焦点”（http:/）开发完成的，支持多线程并发扫描，能够

20、及时生成扫描报告。它可以对远程服务类型、操作系统类型及版本、各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞和拒绝服务漏洞等进行扫描，并把扫描报告和安全焦点网站相连接，对扫描到的每个漏洞进行“风险等级”评估，提供漏洞描述、漏洞溢出程序，方便网管测试、修补漏洞。版权所有，盗版必纠4例子：X-scan的使用X-scan是一款功能强大的综合扫描工具，其图形界面如图3.12所示。版权所有，盗版必纠 扫描前首先进行参数设置。打开“设置”-“扫描参数”，如图3.13所示；点击“检测范围”-“示例”按照示例设置扫描地址范围，如图3.14所示；点击“全局设置”-“扫描模块”设置扫描内容，如图3.15所示。 版

21、权所有，盗版必纠 扫描前首先进行参数设置。打开“设置”-“扫描参数”，如图3.13所示；点击“检测范围”-“示例”按照示例设置扫描地址范围，如图3.14所示；点击“全局设置”-“扫描模块”设置扫描内容，如图3.15所示。 版权所有，盗版必纠 扫描前首先进行参数设置。打开“设置”-“扫描参数”，如图3.13所示；点击“检测范围”-“示例”按照示例设置扫描地址范围，如图3.14所示；点击“全局设置”-“扫描模块”设置扫描内容，如图3.15所示。 版权所有，盗版必纠 扫描参数设置完，点击工具栏中的三角形的开始按钮，即开始按照设定对范围内的主机 进行扫描，扫描过程的界面如图3.16所示。版权所有，盗版

22、必纠 扫描结束后，生成html格式的扫描报告，如图3.17所示。根据扫描结果，我们可以获知哪些主机在线，这些主机开放了哪些端口/服务，又存在着哪些安全漏洞等。 版权所有，盗版必纠 网络监听，可以有效地对网络数据、流量进行侦听、分析，从而排除网络故障，但它同时又带来了信息失窃等方面的极大安全隐患。网络监听在安全领域引起人们普遍注意始于1994年，在那一年2月，相继发生了几次大的安全事件，一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件，利用它对美国骨干互联网和军方网窃取了超过100000个有效的用户名和口令。这事件可能是互联网上最早的大规模的网络监听事件了，它使早期网络监听从“地下”

23、走向了公开，并迅速在大众中普及开来。版权所有，盗版必纠3.4.1 Hub和网卡的工作原理 以太网等很多网络是基于总线方式的，物理上是广播的，就是当一台机器向另一台机器发送数据时，共享Hub先接收数据，然后再把它接收到的数据转发给Hub上的其它每一个接口，所以在共享Hub所连接的同一网段的所有机器的网卡都能接收到数据。而对于交换机，其内部程序能够记住每个接口的MAC地址，能够将接收到的数据直接转发到相应接口上的计算机，不像共享Hub那样发给所有的接口，所以交换式网络环境下只有相应的机器能够接收到数据（除了广播包）。版权所有，盗版必纠3.4.2网络监听的工作原理 计算机网络与电话电路不同，计算机网络是共享通信通道。共享意味着计算机能够接收到发送给其它计算机的信息。捕获在网络中传