漏洞扫描技术

1、漏洞扫描技术教研部2014-10-11目录漏洞扫描概述实验与练习小结小结典型漏洞扫描技术原理典型漏扫工具介绍及使用漏洞扫描报告包括哪些内容漏洞扫描概述背景 如果把网络信息安全工作比作一场战争的话，漏洞扫描器就是这场战争中，盘旋在终端设备，网络设备上空的“全球鹰”。 网络安全工作是防守和进攻的博弈，是保证信息安全，工作顺利开展的奠基石。及时，准确的审视自己信息化工作的弱点，审视自己信息平台的漏洞和问题，才能在这场信息安全战争中，处于先机，立于不败之地。只有做到自身的安全，才能立足本职，保证公司业务稳健的运行，这是信息时代开展工作的第一步。 中国信息安全技术最知名品牌TOPSEC（天融信）认为，漏

2、洞扫描器，就是保证这场信息战争胜利的开始，它及时准确的察觉到信息平台基础架构的安全，保证业务顺利的开展，保证业务高效迅速的发展，维护公司，企业，国家所有信息资产的安全。漏洞扫描概述概念 漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为。 漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。通过对网络的扫描，网络管理员能了解网络的安全设置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置，在黑

3、客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，能有效避免黑客攻击行为，做到防患于未然。漏洞扫描概述作用 1. 定期的网络安全自我检测、评估 配备漏洞扫描系统，网络管理人员可以定期的进行网络安全检测服务，安全检测可帮助客户最大可能的消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效的利用已有系统，优化资源，提高网络的运行效率。 2. 安装新软件、启动新服务后的检查 由于漏洞和安全隐患的形式多种多样，安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来，因此进行这些操作之后应该重新扫描系统，才能使安全得到保障。漏洞扫描概述作用 3. 网络建设

4、和网络改造前后的安全规划评估和成效检验 网络建设者必须建立整体安全规划，以统领全局，高屋建瓴。在可以容忍的风险级别和可以接受的成本之间，取得恰当的平衡，在多种多样的安全产品和技术之间做出取舍。配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全规划评估和成效检验网络的安全系统建设方案和建设成效评估 4. 网络承担重要任务前的安全性测试 网络承担重要任务前应该多采取主动防止出现事故的安全措施，从技术上和管理上加强对网络安全和信息安全的重视，形成立体防护，由被动修补变成主动的防范，最终把出现事故的概率降到最低。配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全性测试。漏洞扫描概述作用 5.网

5、络安全事故后的分析调查 网络安全事故后可以通过网络漏洞扫描/网络评估系统分析确定网络被攻击的漏洞所在，帮助弥补漏洞，尽可能多得提供资料方便调查攻击的来源。 6.重大网络安全事件前的准备 重大网络安全事件前网络漏洞扫描/网络评估系统能够帮助用户及时的找出网络中存在的隐患和漏洞，帮助用户及时的弥补漏洞。漏洞扫描概述作用 7.公安、保密部门组织的安全性检查 互联网的安全主要分为网络运行安全和信息安全两部分。网络运行的安全主要包括以ChinaNet、ChinaGBN、CNCnet等10大计算机信息系统的运行安全和其它专网的运行安全；信息安全包括接入Internet的计算机、服务器、工作站等用来进行采集

6、、加工、存储、传输、检索处理的人机系统的安全。网络漏洞扫描/网络评估系统能够积极的配合公安、保密部门组织的安全性检查。目录典型漏洞扫描技术原理实验与练习小结小结漏洞扫描概述典型漏扫工具介绍及使用漏洞扫描报告包括哪些内容典型漏洞扫描技术原理 漏洞扫描的基本原理 1. 网络漏洞扫描进行工作时，首先探测目标系统的存活主机，对存活主机进行端口扫描，确定系统开放的端口，同时根据协议指纹技术识别出主机的操作系统类型。 然后跟据目标系统的操作，系统平台和提供的网络服务，调用漏洞资料库中已知的各种漏洞进行逐一检测，通过对探测响应数据包的分析判断是否存在漏洞。 2. 当前的漏洞扫描技术主要是基于特征匹配原理，一

7、些漏洞扫描器通过检测目标主机不同的端口开放的服务，记录其应答，然后与漏洞库进行比较，如果满足匹配条件，则认为存在安全漏洞。 所以在漏洞扫描中，漏洞库的定义精确与否直接影响最后的扫描结果。典型漏洞扫描技术原理 漏洞扫描的主要策略 1.主机漏洞扫描： 通常在目标系统上安装了一个代理（Agent）或者是服务（Services）以便能够访问所有的文件与进程，以此来扫描计算机中的漏洞 。 2.网络漏洞扫描： 通过网络来扫描远程计算机中的漏洞 ，基于网络的漏洞扫描可以看作为一种漏洞信息收集，他根据不同漏洞的特性 构造网络数据包，发给网络中的一个或多个目标服务器，以判断某个特定的漏洞是否存在。典型漏洞扫描技

8、术原理 漏洞扫描的主要技术 主机扫描技术 端口扫描技术 服务及系统识别技术 典型漏洞扫描技术原理 主机扫描技术 漏洞扫描可以划分为ping扫描、端口扫描、OS探测、脆弱点探测、防火墙扫描五种主要技术，每种技术实现的目标和运用的原理各不相同。 按照TCPIP协议簇的结构，ping扫描工作在互联网络层： 端口扫描、防火墙探测工作在传输层； OS探测、脆弱点探测工作在互联网络层、传输层、应用层。 ping扫描确定目标主机的IP地址，端口扫描探测目标主机所开放的端口，然后基于端口扫描的结果，进行OS探测和脆弱点扫描。典型漏洞扫描技术原理 主机扫描技术ping扫描 ping扫描是指侦测主机IP地址的扫描

9、。ping扫描的目的，就是确认目标主机的TCPIP网络是否联通，即扫描的IP地址是否分配了主机。对没有任何预知信息的黑客而言，ping扫描是进行漏洞扫描及入侵的第一步；对已经了解网络整体IP划分的网络安全人员来讲，也可以借助ping扫描，对主机的IP分配有一个精确的定位。大体上，ping扫描是基于ICMP协议的。其主要思想，就是构造一个ICMP包，发送给目标主机，从得到的响应来进行判断。根据构造ICMP包的不同，分为ECH0扫描和nonECHO扫描两种。典型漏洞扫描技术原理ping扫描1. ECH0扫描 向目标IP地址发送一个ICMP ECHOREQUEST(ICMP type 8)的包，等待

10、是否收至UICMP ECHO REPLY(ICMP type 0)。如果收到了ICMP ECHO REPLY，就表示目标IP上存在主机，否则就说明没有主机。值得注意的是，如果目标网络上的防火墙配置为阻止ICMP ECH0流量，ECH0扫描不能真实反映目标IP上是否存在主机。 此外，如果向广播地址发送ICMPECHO REQUEST，网络中的unix主机会响应该请求，而windows主机不会生成响应，这也可以用来进行OS探测。典型漏洞扫描技术原理ping扫描2. non-ECH0扫描向目的IP地址发送一个ICMP TIMESTAMP REQUEST(ICMP type l3)，或ICMP ADD

11、RESS MASK REQUEST (ICMP type l7)的包，根据是否收到响应，可以确定目的主机是否存在。当目标网络上的防火墙配置为阻止ICMP ECH0流量时，则可以用nonECH0扫描来进行主机探测典型漏洞扫描技术原理漏洞扫描端口扫描 端口扫描用来探测主机所开放的端口，比如23端口对应telnet，21对应ftp，80对应http。端口扫描通常只做最简单的端口联通性测试，不做进一步的数据分析，因此比较适合进行大范围的扫描：对指定IP地址进行某个端口值段的扫描，或者指定端口值对某个IP地址段进行扫描。这种方式判定服务是较早的一种方式，对于大范围评估是有一定价值的，但其精度较低。例如使

12、用nc这样的工具在80端口上监听，这样扫描时会以为80在开放，但实际上80并没有提供http服务，由于这种关系只是简单对应，并没有去判断端口运行的协议，这就产生了误判，认为只要开放了80端口就是开放了http协议。但实际并非如此，这就是端口扫描技术在服务判定上的根本缺陷。根据端口扫描使用的协议，分为TCP扫描和UDP扫描典型漏洞扫描技术原理端口扫描 1、 TCP扫描u主机间建立TCP连接分三步(也称三次握手)：u利用三次握手过程与目标主机建立完整或不完整的TCP连接。uTCP connect()扫描： tcp的报头里，有6个连接标记，分别是urg、ack、psh、rst、syn、fin。通过这

13、些连接标记不同的组合方式，可以获得不同的返回报文。例如，发送一个syn置位的报文，如果syn置位瞄准的端口是开放的，syn置位的报文到达的端口开放的时候，他就会返回syn+ack，代表其能够提供相应的服务。我收到syn+ack后，返回给对方一个ack。这个过程就是著名的三次握手。这种扫描的速度和精度都是令人满意的。典型漏洞扫描技术原理端口扫描 1、 TCP扫描uReverse-ident扫描：这种技术利用了Ident协议(RFC1413)，tcp端口113.很多主机都会运行的协议，用于鉴别TCP连接的用户。uidentd 的操作原理是查找特定 TCP/IP 连接并返回拥有此连接的进程的用户名。

14、它也可以返回主机的其他信息。但这种扫描方式只能在tcp全连接之后才有效，并且实际上很多主机都会关闭ident服务。典型漏洞扫描技术原理端口扫描TCP扫描u Tcp syn扫描：向目标主机的特定端口发送一个SYN包，如果端口没开放就不会返回syn+ack，这时会给你一个rst，停止建立连接。由于连接没有完全建立，所以称为半开放扫描。但由于syn flood作为一种ddos攻击手段被大量采用，因此很多防火墙都会对syn报文进行过滤，所以这种方法并不能总是有用。u其他还有fin、NULL、Xmas等扫描方式。典型漏洞扫描技术原理端口扫描TCP扫描根据TCP连接的建立步骤，TCP扫描主要包含两种方式：

15、(1)TCP全连接和半连接扫描全连接扫描通过三次握手，与目的主机建立TCP连接，目的主机的log文件中将记录这次连接。而半连接扫描(也称TCP SYN扫描)并不完成TCP三次握手的全过程。扫描者发送SYN包开始三次握手，等待目的主机的响应。如果收到SYNACK包，则说明目标端口处于侦听状态，扫描者马上发送RST包，中止三次握手。因为半连接扫描并没有建立TCP连接，目的主机的log文件中可能不会记录此扫描。典型漏洞扫描技术原理端口扫描TCP扫描(2)TCP隐蔽扫描根据TCP协议，处于关闭状态的端口，在收到探测包时会响应RST包，而处于侦听状态的端口则忽略此探测包。根据探测包中各标志位设置的不同，

16、TCP隐蔽扫描又分为SYNACK扫描、FIN扫描、XMAS(圣诞树)扫描和NULL扫描四种。SYN/ACK扫描和FIN扫描均绕过TCP三次握手过程的第一步，直接给目的端口发送SYNACK包或者FIN包。因为TCP是基于连接的协议，目标主机认为发送方在第一步中应该发送的SYN包没有送出，从而定义这次连接过程错误，会发送一个RST包以重置连接。而这正是扫描者需要的结果只要有响应，就说明目标系统存在，且目标端口处于关闭状态。典型漏洞扫描技术原理端口扫描TCP扫描 XMAS扫描和NULL扫描：这两类扫描正好相反，XMAS扫描设置TCP包中所有标志位(URG、ACK、RST、PSH、SYN、FIN)，而

17、NULL扫描则关闭TCP包中的所有标志位。典型漏洞扫描技术原理端口扫描UDP端口扫描由于现在防火墙设备的流行，tcp端口的管理状态越来越严格，不会轻易开放，并且通信监视严格。为了避免这种监视，达到评估的目的，就出现了秘密扫描。这种扫描方式的特点是利用UDP端口关闭时返回的ICMP信息，不包含标准的TCP三次握手协议的任何部分，隐蔽性好，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息。 但是，UDP扫描方式的缺陷很明显，速度慢、精度低。UDP的扫描方法比较单一，基础原理是：当你发送一个报文给udp端口，该端口是关闭状态时，端口会返回给一个icmp信息，所有的判定都是基于这个原

18、理。如果关闭的话，什么信息都不发。典型漏洞扫描技术原理端口扫描UDP端口扫描Traceroute扫描：tracert 向30000以上的高端口（一般认为，主机的30000以上高端口利用率非常低，任何主机都不会轻易开放这种高端口，默认都是关闭的）。如果对方端口关闭，会返回给icmp信息，根据这个往返时间，计算跳数、路径信息，了解延时情况。这是tracerote原理，也是从这个原理上演变出来udp扫描技术。使用udp扫描要注意的是1、udp状态、精度比较差，因为udp是不面向连接的，所以整个精度会比较低。2、udp扫描速度比较慢，tcp扫描开放1秒的延时，在udp里可能就需要2秒，这是由于不同操作

19、系统在实现icmp协议的时候为了避免广播风暴都会有峰值速率的限制（因为icmp信息本身并不是传输载荷信息，不会有人拿他去传输一些有价值信息。典型漏洞扫描技术原理端口扫描UDP端口扫描操作系统在实现的时候是不希望icmp报文过多的。为了避免产生广播风暴，操作系统对icmp报文规定了峰值速率，不同操作系统的速率不同） 利用udp作为扫描的基础协议，就会对精度、延时产生较大影响。典型漏洞扫描技术原理漏洞扫描OS扫描OS探测有双重目的：一是探测目标主机的0S信息，二是探测提供服务的计算机程序的信息。比如OS探测的结果是：OS是Windows XP sp3，服务器平台是IIS 4.0。OS探测有双重目的

20、：一是探测目标主机的0S信息，二是探测提供服务的计算机程序的信息。比如OS探测的结果是：OS是Windows XP sp3，服务器平台是IIS 4.0。131二进制信息探测通过登录目标主机，从主机返回的banner中得知OS类型、版本等，这是最简单的0S探测技术典型漏洞扫描技术原理漏洞扫描OS扫描从图l可以看出，在telnet连上FTP服务器后，服务器返回的banner已经提供了server的信息，在执行ftp的syst命令后可得到更具体的信息。132 HTTP响应分析在和目标主机建立HTTP连接后，可以分析服务器的响应包得出OS类型。比如响应包中可能包含如下信息：典型漏洞扫描技术原理漏洞扫描

21、OS扫描133栈指纹分析网络上的主机都会通过TCPIP或类似的协议栈来互通互联。由于0S开发商不唯一，系统架构多样，甚至是软件版本的差异，都导致了协议栈具体实现上的不同。对错误包的响应，默认值等都可以作为区分0S的依据。可辨识的OS的种类，包括哪些操作系统，甚至小版本号。指纹技术有主动和被动两种。(1)主动栈指纹探测主动识别技术：采用主动发包，利用多次的试探，去一次一次筛选不同信息，比如根据ACK值判断，有些系统会发送回所确认的TCP分组的序列号，有些会发回序列号加1。还有一些操作系统会使用一些固定的tcp窗口。某些操作系统还会设置IP头的DF位来改善性能。这些都成为判断的依据。这种技术判定w

22、indows的精度比较差，只能够判定一个大致区间，很难判定出其精确版本，但是在unix，网络设备时甚至可以判定出小版本号，比较精确。如果目标主机与源主机跳数越多，精度越差。因为数据包里的很多特征值在传输过程中都已经被修改或模糊化，会影响到探测的精度。nmap O参数就是其代表。典型漏洞扫描技术原理漏洞扫描OS扫描1)FIN探测。跳过TCP三次握手的顺序，给目标主机发送一个FIN包。RFC793规定，正确的处理是没有响应，但有些OS，如MS Windows，CISC0，HP/UX等会响应一个RST包。2)Bogus标志探测。某些OS会设置SYN包中TCP头的未定义位(一般为64或128)，而某些

23、0S在收到设置了这些Bogus位的SYN包后，会重置连接。 3)统计ICMP ERROR报文。RFCl812中规定了ICMP ERROR消息的发送速度。Linux设定了目标不可达消息上限为80个4秒。0S探测时可以向随机的高端UDP端口大量发包，然后统计收到的目标不可达消息。用此技术进行OS探测时时间会长一些，因为要大量发包，并且还要等待响应，同时也可能出现网络中丢包的情况。4)ICMPERROR报文引用。RFC文件中规定，ICMP ERROR消息要引用导致该消息的ICMP消息的部分内容。例如对于端口不可达消息，某些OS返回收到的IP头及后续的8个字节，Solaris返回的ERROR消息中则引

24、用内容更多一些，而Linux比Solaris还要多。典型漏洞扫描技术原理漏洞扫描OS扫描(2)被动栈指纹探测被动识别技术：不是向目标系统发送分组，而是被动监测网络通信，以确定所用的操作系统。利用对报头内DF位，TOS位，窗口大小，TTL的嗅探判断。因为并不需要发送数据包，只需要抓取其中的报文，所以叫做被动识别技术。例如telnet对方，并用snort监听数据包1)TCP初始化窗口尺寸。通过分析响应中的初始窗口大小来猜测OS的技术比较可靠，因为很多0S的初始窗口尺寸不同。比如AIX设置的初始窗口尺寸是0 x3F25，而Windows NT5、OpenBSD、FreeBSD设置的值是0 x402E

25、。2)Dont Fragment位。为了增进性能，某些0S在发送的包中设置了DF位，可以从DF位的设置情况中做大概的判断。3)TCPISN采样。建立TCP连接时，SYNACK中初始序列号ISN的生成存在规律，比如固定不变、随机增加(Solaris，FreeBSD等)，真正的随机(Linux 2.0.*)，而Windows使用的是时间相关模型，ISN在每个不同时间段都有固定的增量。典型漏洞扫描技术原理漏洞扫描脆弱点扫描从对黑客攻击行为的分析和脆弱点的分类，绝大多数扫描都是针对特定操作系统中特定的网络服务来进行，即针对主机上的特定端口。脆弱点扫描使用的技术主要有基于脆弱点数据库和基于插件两种。14

26、1基于脆弱点数据库的扫描首先构造扫描的环境模型，对系统中可能存在的脆弱点、过往黑客攻击案例和系统管理员的安全配置进行建模与分析。其次基于分析的结果，生成一套标准的脆弱点数据库及匹配模式。最后由程序基于脆弱点数据库及匹配模式自动进行扫描工作。脆弱点扫描的准确性取决于脆弱点数据库的完整性及有效性。典型漏洞扫描技术原理漏洞扫描脆弱点扫描142基于插件的扫描插件是由脚本语言编写的子程序模块，扫描程序可以通过调用插件来执行扫描。添加新的功能插件可以使扫描程序增加新的功能，或者增加可扫描脆弱点的类型与数量。也可以升级插件来更新脆弱点的特征信息，从而得到更为准确的结果。还可以针对某一具体漏洞，编写对应的外部

27、测试脚本。通过调用服务检测插件，检测目标主机TCP/IP不同端口 的服务，并将结果保存在信息库中，然后调用相应的插件程序，向远程主机发送构造好的数据，检测结果同样保存于信息库，以给其他的脚本运行提供所需的信息， 这样可提高检测效率。插件技术使脆弱点扫描软件的升级维护变得相对简单，而专用脚本语言的使用也简化了编写新插件的编程工作，使弱点扫描软件具有很强的扩展性。典型漏洞扫描技术原理漏洞扫描防火墙规则扫描和BANNER15防火墙规则探测采用类似于traceroute的IP数据包分析法，检测能否给位于过滤设备后的主机发送一个特定的包，目的是便于漏洞扫描后的入侵或下次扫描的顺利进行。通过这种扫描，可以探测防火墙上打开或允许通过的端口，并且探测防火墙规则中是否允许带控制信息的包通过，更进一步，可以探测到位于数据包过滤设备后的路由器。1.6 BANNERBanner的方式相对精确，获取服务的banner，是一种比较成熟的技术，可以用来判定当前运行的服务，对服务的判定较为准确。而且不仅能判定服务，还能够判定具体的服务版本信息。目录典型扫描工具介绍及使用实验与练习小结小结漏洞扫描概述典型漏洞扫描技术原理漏洞扫描报告包括哪