年网络安全漏洞扫描

网络安全陈黎丽计算机系网络教研室课程安排周数：1-15周课时：75课时考试方式：闭卷成绩：平时成绩40%+考试成绩60%课程安排平时成绩40分：考勤10分：第1次缺课扣2分；第2次扣2分，3次扣2分，3次以上考勤成绩0分；作业10分：三次不交此项为0分；期中测评15分；

课堂表现5分。第5章

漏洞扫描5.1计算机漏洞5.2实施网络扫描5.3常用的网络扫描工具5.4不同的扫描策略目录5.1.1计算机漏洞的概念“漏洞”指的是计算机系统具有的某种的可能被侵入者恶意利用的属性。在计算机安全领域，安全漏洞通常又称为脆弱性。

简单的说，计算机漏洞使系统的一组特性，恶意的主体能够利用这组特性，通过已授权的手段和方式获取对资源的未授权访问，或者对系统造成损害。

此处的漏洞包括单个计算机系统的脆弱性，也包括计算机网络系统的漏洞。5.1计算机漏洞5.1.2

公开的计算机漏洞信息

1.通用漏洞和曝光（CVE）

是一个公共安全漏洞和曝光信息的标准化名字列表。致力于为所有公开的漏洞和安全曝光名称标准化的工作。CVE不是一个数据库而是一个字典，目的是使不同的漏洞数据库共享数据和搜索信息变得更容易。5.1计算机漏洞5.1.3公开的计算机漏洞信息

2.BugTrap漏洞数据库

由SecurityFocus公司维护的一个关于计算机安全漏洞详情信息讨论的邮件列表，讨论内容包括漏洞的描述、漏洞的渗透方法及漏洞的修补方法等。5.1计算机漏洞5.1.3公开的计算机漏洞信息

3.ICAT漏洞数据库

由美国标准技术研究所NIST维护的的一个CVE兼容的漏洞信息检索索引。ICAT也提供下载的MicrosoftAccess格式的数据库文件。每条漏洞记录的信息包括漏洞的CVE名字、发布时间、描述、危险等级、漏洞类型、实施范围、受影响系统和参考链接等。5.1计算机漏洞5.1.3公开的计算机漏洞信息

4.CERT/CC漏洞信息数据库

也是一个CVE兼容的数据库。可以通过名字、ID号、CVE名字、公布日期、更新日期和严重性等方法索引漏洞信息。5.1计算机漏洞5.1.3公开的计算机漏洞信息

5.X-Force数据库

由ISS公司维护，是一个比较全面的漏洞信息数据库。可以在web页面上使用关键字对数据库进行检索，检索到的漏洞记录包括漏洞描述、受影响平台、补救措施、风险等级、影响结果、报告时间和参考链接等信息。5.1计算机漏洞一次完整的网络扫描分为下面三个阶段：1）发现目标主机或者网络2）发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务及服务软件的版本等。3）根据搜集到的信息判断或者进一步检测系统是否存在安全漏洞。5.2实施网络扫描5.2实施网络扫描5.2实施网络扫描1.TCP/IP协议层次和协议集

（1）网络接口层(SubNetworkLayer)

TCP/IP协议的网络接口层与OSI协议的物理层、数据链路层以及网络层的部分相对应。该层没有规定新的物理层和数据链路层协议，允许通信子网采用已有的或将来的各种协议，例如以太网的802.3协议，分组交换网的X.25协议等。该层只定义了TCP/IP与各种通信子网之间的网络接口。网络接口层的功能是传输经网络层处理过的消息。

5.2实施网络扫描1.TCP/IP协议层次和协议集（2）网络层(InternetLayer)

该层与OSI网络层相对应，由于它是针对网际环境设计的，具有更强的网际通信能力。网络层协议为IP协议。它将传输层送来的消息组装成IP数据包，并且把IP数据包传递给网络接口层。IP提供端到端分组发送功能，标识网络号及主机节点地址的功能，为使IP数据包长度与通信子网允许的数据包长度匹配，提供了数据分段和重新组装的功能。

该层还提供建立独立的局域网之间的互连网络。在互连网络中，连接两个以上网络的节点称为路由器(网关)，其允许网间的报文根据它的目的地址通过路由器传送到另一个网络。

5.2实施网络扫描（3）传输层(TransportLayer)

该层与OSI传输层相对应，为应用程序提供端到端通信功能。传输层有3个主要协议，其分别为传输控制协议TCP，用户数据报协议UDP和互联网控制消息协议ICMP。

TCP协议负责将用户数据按规定长度组成数据包发送，在接收端对数据包按顺序进行分解重组以恢复用户数据。TCP协议是以建立高可靠性信息传输为目的，为了可靠传输数据，该协议具有数据包的顺序控制、差错检测、检验以及再发送控制等功能。

5.2实施网络扫描

UDP协议负责主机和网关以及Internet运行管理中心等的信息通信，控制管理网络的运行。

ICMP协议负责当数据包传输有误时，发送出错信息给数据包发送端主机，另外还具有控制数据包流量的功能。

(4)应用层(ApplicationLayer)

该层包含了OSI会话层，表示层和应用层的功能，为用户提供各类服务。例如，远程登陆、文件传输、电子邮件、Web服务器等。

5.2实施网络扫描5.2.1发现目标

通常称为ping扫射，包括ICMP扫射、广播ICMP、非回显ICMP、TCP扫射、UDP扫射。ICMP扫射ICMP是IP层的一个组成部分，用来传递差错报文和其他需要注意的信息。经常用到ping命令就是使用的ICMP。ICMP报文在IP数据报内部传输的，如图5-1所示图5-1ICMP报文封装在IP数据报内

5.2实施网络扫描5-2ICMP报文格式ICMP扫射利用了类型为8的ICMP报文，即ICMP回显请求。通常网络上受到ICMP回显请求的主机都回向请求者发送ICMP回显应答（类型为0）报文。5.2实施网络扫描ICMP报文格式如图5-2所示。报文的前两个字节决定了报文的类型。第3个和第4个字节是ICMP报文的校验和字段。ICMP扫射工龙具比较健多。UNIX环境中呆主要有pin洒g和fpi粒ng，gpi氏ng。pin果g：pin俯g命令是第哈一个必须私掌握的DOS命令，除它所利爹用的原猎理是这尺样的：猜利用网油络上机非器IP地址的告唯一性谁，给目炮标IP地址发送网一个数据斗包，再要蜂求对方返高回一个同窃样大小的首数据包来息确定两台也网络机器掠是否连接崖相通，时以延是多少武。5.2实施网络版扫描fpi滨ng：扫射多挖个IP地址时古，速度探明显超侵过ping的速度砖。gpin泽g：与fpin转g一同使用皮，为fpi栗ng声称扫射牌的IP地址列表联。5.2实施网垫络扫描广播ICMP与ICM且P扫射一极样，广及播ICM纯P也是利继用了ICMP回显应答匠这两种报蓬文。与前郑者不同的突是，广播肢的ICMP只需要向胞目标网络竟的网络地栽址和/或广播地雾址发送一己两个回显晋请求，就躁能够收到君目标网络挥中所有存猾活主机的ICM俘P回显应幼答。eg.网络192.诉168.饺1.0/尝24中有4台活动主纲机，期中192顷.16龟8.1椒.1和192.跪168.柜1.2运行的是Lin络ux，192.铲168.畏1.3和1962胞.168详.1.4运行的抖是Wind垮os操作系妻统5.2实施网未络扫描\[r影oot洽@lo键cal弟hos削tr菠oot适\]#纽奉pin捧g1鄙92.疾168谋.1.索0-bWARN哭ING:剩pin惧ging贷bro境adca滥sta腹ddre迫ssPING颂192患.168估.1.0沾(19博2.16败8.1.懒0)f半rom豪192.端168.累1.1:雷56(8圾4)b尖ytes寒of培data盈.64b毅ytes瞎fro被m19净2.16驱8.1.赛1:ic牺mp_s庭eq=1孔ttl坝=255斯tim俊e=0.勾36ms64b袋ytes鸭fro捷m19充2.16诊8.2.纯1:ic橡mp_s哄eq=2粗ttl驼=255纷tim币e=0.阵565m乞s64b浊ytes较fro弄m19添2.16早8.1.巧1:ic什mp_s误eq=3环ttl谈=255稼tim浸e=0.需164m顶s(du恩p!)64b榆ytes朋fro源m19批2.16奴8.2.慕1:ic占mp_s偶eq=4白ttl鲜=255谣tim爱e=0.役246m验s(du动p!)5.2实施网络指扫描3.非回显ICMP如果目标间主机阻塞过了ICM丢P回显请求渗报文，仍碑然可以通蚁过使用其黑他类型的ICMP报文探测宁目标主机宾是否存活艳。eg：类型13的ICM服P报文，ICM节P时间戳老请求允音许系统施向另一小个系统权查询当誓前时间绢；类型17的ICMP报文，ICMP地址掩码尚请求用于映无盘系统估引导过程五中获得自于己的子网字掩码。5.2实施网络僻扫描下面的一桌个例子使妨用一个叫icmp愚enum的工具障对目标苏进行ICMP时间戳滑请求探姨测。[roo投t@l戏oca妄lho拾st时roo弊t]#蓝icm厦pen患um-邻i2-协c1秀92.竿168师.1.宗0192.护168.旗1.1镜isu替p192辽.16益8.1冷.2丧is盐up192.抹168.姻1.3玻isu日p192懂.16点8.1介.4传is绿up5.2实施网肿络扫描对于ICMP地址掩码骆请求报文崇而言，虽突然RFC隐112故2规定，除拢非是地址撕掩码的授佳权代理，警否则一个窜系统不能耽发送地址狮掩码应答稻（为了成施为授权代您理，必须公进行特殊大配置）。但是，享大多主亏机在收偶到请求而时都会互发送一劝个应答怜，甚至肾有些主轧机还回甲发送差睛错的应覆答。所床以也可山以使用鞋类型17的ICM谦P报文来废探测主铃机是都爪存活。TCP扫射5.2实施网浑络扫描5-3黑TCP报文封装未在IP数据报中TCP扫射传输控而制协议炊（tran和smis晕sion仍con尖trol准pro衣toco浪l,TC哀P）为应用况层提供一周种面向连肌接的、可瓜靠地字节什流服务。蜜与ICMP报文一熄样，TCP报文也状是封装给在一个IP数据报中塘。它使用悼“3次握手”央的方式建钞立连接。5.2实施网络浊扫描TCP扫射5.2实施网络表扫描基本原帜理：如线果向目本标发送光一个SYN报文，则酒无论是收皂到SYN/亮ACK报文还团是一个RST报文，都挎表明目标扔处于存活状态。与此类似山，也可以嫂向目标发拼送一个ACK报文，卫如果目螺标存活称，则收头到一个RST报文。TCP扫描看御起来比犯用ICM好P协议进行民探测更加电有效。但驴是TCP扫射也不区是百分百厘可靠，有遍的防火墙扒能够伪造RST报文，繁从而造欧成防火牛墙后的士某个主知机存活吉的假象垃。5.2实施网赤络扫描UDP扫射用户数衫据报协犬议（user去dat刚agra息mpr甲otoc歌ol,U芬DP）是一个汪面向数据增报的传输耗层协议。UDP数据报糕也封装息在IP数据报凉之中，愉如图5-4。5.2实施网羊络扫描5-4腔UDP数据报察封装在IP数据报中5.UDP扫射用户数趟据报协创议（use缎rd健ata基gra膨mp录rot敲oco吹l,U御DP）的规阴则之一池是如果闯接收到美一份目峡的端口厕并没有择处于侦蜂听状态翁的数据垄报，则丢发送一漫个ICM朴P端口不妻可到达烟报文；宫否则不附做任何慎响应。5.2实施网贡络扫描5.2实施网络怠扫描5.2实施网康络扫描5.2掠.2攫取信息广义上签讲，在疫入侵系遇统之前舟所做的宵一切工恳作都可肃以为成上为信息方，包括阵踩点、固扫描、位查点。送因为这纤些工作旗走势在新搜索着阶这样或霉那样的拆信息。蚊本小节意主要讲彻的主要课是扫描灿阶段攫喇取的技依术和方仇法。在找出溉网络上献存活的践系统之伐后，下畅一步就慨是要得纹到主机恩的操作日系统信露息和开嫁放的服赵务信息谷。用到的幅技术主厦要有端口扫描（port钱sca替nnin弟g）、服务识别和操作系廉统探测（Oper圣atin挽gSy蚁stem凑Det灰ecti催on）。3.操作系速统探测5.2.弃2攫取信息端口扫描端口扫描隙主要取得轧目标主机尤开放的端柏口和服务秘信息，从炼而为下一环步的“漏脾洞检测”虹做准备。（1）TCP纤co弃nne饰ct（）扫缠描基本方法稼：是TCP勉co算nne非ct（）扫敌描。他红利用操钻作系统吉提供的con观nec闷t（）系拳统调用厦，与每退一个感应兴趣的单目标计代算机的海端口进热行连接狐。如果青目标端随口处于第侦听状既态，那暴么con刊net蝇()就能成功定；否则端罢口是不能另用的，即炮没有提供揉服务。优点：不需要狠任何特疮殊权限睡，系统培中的任梳何用户疗都有权泻利使用酿这个调右用;缺点：容易被链过滤或治记录。匹对于安慎全管理叹员而言找，使用遍此方法旦的唯一书缺点是眯速度慢被。3.操作系感统探测5.2配.2攫取信息3.操作系痛统探测（2）TCP喇SY腥N扫描又称“半卧开扫描”降。TCP扫射时躺结识解热释了建兽立TCP连接的“3次握手”运过程。TCP喘SYN扫描只挪完成了3次握手赔过程的洗一半。雾当时我切们只是择说如果牺向目标眉特定端膜口发送衬一个SYN报文，凡只要接舌收到来掌自目标腹的响应残就表明土目标处略于存活雅状态。但可以很匙容易看出命，只要再完一下收到祖的响应是SYN/僵ACK报文还是RST报文，荐便可知带目标的性响应端蚊口是处酿于侦听柜状态还炸是关闭星状态。（3）TCP拴AC扰K扫描不适用艇于扫描夫目标打塔开了哪四些端口贿，而用餐来探测队防火墙桑的规则钱设计，象从而确提定防火涨墙是简送单地包屡过滤还旁是状态舌监测机旋制。5.2锣.2攫取信息3.操作系垂统探测（4）TCP竞Fi桥n扫描如果处华于侦听脚状态的策端口接身收到一族个FIN报文，爬则不做脑任何回忘应；如胁果处于认关闭状匹态的端愚口接收阵到一个FIN报文，则师响应一个RST报文。据功此，可以铅用FIN报文来姜探测目扭标打开跨了那些跃端口。通常只陆工作在间基于UNIX的TCP救/IP协议栈上营。（5）TCP风Xmas扫描向目标溉发送一漆个URG时/PS家H/F围IN报文，如健果目标相叶应端口打初开，则不片会收到来谦自目标的退任何回应尊；否则会掉受到一个RST报文。(6)T置CP空扫描向目标发扩送一个所季有标记位绿都置0的报文伙，如果慕目标响东应端口喘打开，杜则不会远收到来蚀自目标娘的任何根回应；父否则收亿到一个RST报文。(7)FTP反弹扫描FTP协议的蓬一个特朝点是它谣支持代柔理FTP连接。即表入侵者可比以将自己若的计算机胀和目标主浩机的FTP服务器屯建立一羡个控制益通信连镇接。(8)UDP扫描这里的纺与前的UDP扫射原坛理完全掌不一样溉，这里部强调另斜一个作软用，发钓现目标脏打开的UDP端口。3.操作系统据探测5.2.苹2攫取信屯息2.服务识芝别3.操作系统坛探测图5-5识别服务耀类型5.2叠.2攫取信源息2.服务识别端口扫描层的目的是寸为了获得旬目标主机旧提供的服序务，而通牢常获取服予务类型标的办法犹是根据RFC1值700直接推断夜。但是下宽面几种情况可能袍会使这项转工作变得糟稍微有些彩麻烦：该主机将征某服务故邀意开设了杂非标准端凯口；该主机锦开设了坦一个RFC驴170钻0中未定义堪的服务；该主机崇被安置登了后门陷程序。所以有谜时候仅烘凭端口离号来判扯断服务霜类型是叮不够的山，可能需要更筑多的信削息。5.2.胶2攫取信息5.2支.2攫取信汪息3.操作系麻统探测利用TCP/指IP堆栈指纹辆识别操作绸系统是近雀年来发展供迅速的一励类技术痕。这类宣技术的已出现主嘴要基于沈以下几树个原因售：辞每个操俊作系统词通常都耀使用自株己的IP栈实现；TCP/吉IP规范并薯不是被奔严格地抖执行，拆每个不忙同的实寒现将会服拥有自洗己的特委点；规军范中一些蜘选择性的乎特性可能老在某些系握统中使用灾，而在其炼他的一些赖系统中则盘没有使用亚；伪某些系晓统私自顷对IP协议做了屿改进。目苹前主要的逮网络堆栈悔特征探测共技术有如换下几种：ICMP响应分难析、TCP报文响胸应分析属、TCP报文延拌时分析、贫被动特温征探测泼。5.2.挠2攫取信息（1）ICMP响应分姿析这种方法谱向目标发挑送UDP或者ICM箩P报文，然夕后分析目标爽响应的ICMP报文的稍内容，启根据不占同的响鸡应特征来判断操能作系统。前面已经控介绍过，ICM冠P数据报备是封装岗在IP数据报之内的，寒而且这种顽判断操作昌系统的方论法也利用骡了IP头部的字段楼内容，所腰以在具体照说明这种苏方法使用绝的技术之前，疏有必要饼先熟悉数一下IP数据报辆的头部耐。其中需杏要注意救的是服把务级别TOS、总长度者、标识、DF位、生乳存期TTL和校验和偿字段。5.2.早2攫取信息下面分别震说明ICMP响应分析晌方法使用侄的具体技身术。①ICMP差错报文符引用大小五。ICM版P的规则他之一是ICMP差错报裁文必须岩包括生批成该差理错报文漠的数据积报IP头部（包劫含任何选右项），还地必须至少该包括跟在泻该IP头部后面乎的前8个字节。图显示了谨由UDP数据报费引起的ICMP端口不育可到达翁差错报文。图“UDP端口不可厕到达”差现错报文3.操作系拜统探测5.2.库2攫取信息导致差洪错的数考据报中息的IP头部要被专送回的原省因是IP头部中包石含了协议赴字段，使刮得ICMP可以知道赢如何解释后面舰的8个字节诉（在图12.躲6中是UDP头部）。大多数测操作系钉统都只灶返回产建生差错阁的数据伍报的IP头部后络的前8个字节逼，然而景有一些舒操作系结统在这8个字节之后还躲返回更多触的字节（驼这些字节零通常是没盈有任何意义的）晶。这样的贡系统包芽括Linu笼x（内核2.0.问x/2.港2.x/宝2.4.冠x）、SUN已So吩lar伐is、HPU剥X1证1.x、MacO近S7.宏55/8愧.x/9坦.04、Noki鸦a系统、Fou层ndr申y交换机密和其他招一些操挖作系统闭或者网络设定备。5.2厅.2攫取信息②ICM钓P差错报文盘回显完整昌性。一般而言抗，在发送ICMP差错报文舒时，差错搭报文的数厉据部分，只有显产生差错均的数据报IP头部的TTL字段和IP头部校炭验和字段太会与初瞧始报文绿不同，伴因为初键始报文准到达目引标之前倡会经过怒一系列厘的路由丈设备，笔而每经剩过一个胳设备TTL都会减额一，相武应的校粱验和也统要重新麻计算。然而实冒际情况沿是，有延些操作拴系统会墙改变产晒生差错享的数据妈报IP头部的其泳他字段的蹲内容和/或后面数点据的内容佛。如果用UDP数据报产撞生的端口拨不可到达搅差错报文步来进行分析，可插以利用嘉的特点润包括下箭面一些广内容：IP数据报总欺长度AIX趣4.续x和BSDI镜4.1等操作侄系统的IP栈会将产生差境错的数址据报IP头部的总慎长度字段树加上20，而另一貌些系统会间将这个字作段的数值书减少20，更多的厉系统会保化持这个字泥段的内容叛不变。5.2仙.2攫取信黎息IP数据报标蜜识（IPI协D）Free螺BSD克4.0、Open肝VMSs和ULT倘RIX等系统的IP栈不能正拐确回显产诱生差错数假据报的IPI沸D，它们踩回显的IPID的位顺筝序和初讽始顺序畜不同。叼其他更多的系甩统则能够碎正确回显IPID字段。分段标志背（3位）和片泽偏移有一佳些系统会扶改变产生奴差错的数惭据报头评部中3位分段标吨志和片偏圆移字段的斯位顺序，而另一些职系统只能奴正确回显虫。IP头部校煮验和Fre柱eBS排D4呆.0、Ope扶nVM殃Ss和ULTR请IX等系统会躺将产生粗差错的打数据报IP头部的底校验和籍字段置扭为0，而大多数须的系统只商是将重新旦计算的校薄验和回显芦。UDP头部校漆验和Fre橡eBS宾D4苏.0/长4.1尖1、Com掩paq迁Tr啦u64、DGUX计5.6、AIX溜4.苦3/4阀.2.秘1、ULTR潜IX和Open改VMS等系统会将差悬错报文赢中的UDP头部的欺校验和恋字段置拘为0。另外的一些系嫂统则会爬保持UDP校验和不拥变。5.2宴.2攫取信息③ICM盘P差错报万文的“伞优先权编”字段良。IP头部中岭有一个8位的TOS字段，TOS字段包列括一个3位的优先权字段深、4位的TOS子字段和博一位必须迟置0的未用位士，如图Ipu判uee头部的TOS字段。5.2遍.2攫取信息④ICMP差错报文IP头部的不斧分片（DF）位。有一些疾操作系酬统在发怕送ICMP差错报文盈时，会根仇据引起差延错的数据市报的IP头部的DF位来设置脉差错报文色本身IP头部的DF位。Linu肺x、ULTR炼IX、Nove总llN谁etwa大re、HPU轧X、Win哀dow休s98狂/98搞SE/去ME、Win管dow治sN债T4垦Ser普ver馒SP倒6、Wind义ows驰2000闲Fam设ily等系统则涉不会这么秩做。⑤ICM稍P报文IP头部的TTL字段。不同的歌操作系踢统在设逃置ICMP报文IP头部的TTL字段时路有不同慌的默认揭值。而贤且一般桑来讲，ICMP应答报追文和ICMP查询报刚文的TTL还不一样鼻。例如，Wind飞ows姑95应答报镇文和查惹询报文嚼的TTL都是32Wi男ndow有s98呜/98S税E/ME泳/NT4应答报兄文的TTL是128、查询冲报文的TTL是32；Wind妻ows模2000应答报裂文和查羡询报文仓的TTL都是128。5.2卫.2攫取信书息⑥使次用代码虎字段不毯为0的ICM馒P回显请求全。ICMP报文的种蛾类由第一付个字节（伐类型字段托）和第二贪个字节（寻代码字段朝）决定。顷回显请求撑的类型字徐段为8，默认的时代码字段夸为0。如果把星回显请求堆的代码字鹊段设置为促非0值，这拒样的回弊显请求把就不是吃标准的ICMP报文了陈。对于王这样的犁回显请拜求报文勤，Win稼dow欲s操作系拌统做出塔的回显饥应答（艳类型为0）的代确码字段走值为0，而其他钉系统和网透络设备做赚出的回显芝应答的代变码字段值权和它收到贝的回显请兰求中的代裳码字段值爷相同。5.2.眉2攫取信洲息⑦T删OS子字段回工显。RFC伍134负9定义了ICM针P报文使宇用TOS子字段车的方法醋。其中区分了浅差错报规文、查处询报文巷和应答乖报文的修不同使品用方法蜘，规则是：差错报庸文总是洁使用默仿认值0；查询报文仗可以在TOS子字段驰中使用桐任何值滤；应答报袋文应该堵在TOS子字段岔中使用义造成应铃答的查毕询报文养中使用傍的TOS值。辆然而有思些操作秤系统（五例如Linu烘x）在发送治回显应答霞报文时忽嗓视了这项软规定，无江论查询报摆文使用何做种TOS值，它盈的应答涂报文的TOS值都是一技样的。5.2.蔬2攫取信踢息（2）TCP报文响应竹分析这种技犯术通过弟区分不凡同操作枕系统对虑特定TCP报文（标旨准或非标毕准）的不捷同反应，牙实现对操雪作系统的富区分。使精用这种技繁术的代表钳有Ques柴o和Nmap（Nmap其实也烘使用了析一些ICM井P响应分析秆的技巧）抽。下面将分认别说明Nma蚊p使用的操淋作系统探侨测技巧。①FIN探测。均前面讲萝端口扫偏描的技应巧时曾婶提到，选“FIN扫描通就常只工校作在基怪于UNI恐X的TCP/斜IP协议栈斯上”，带这就可屑以用来帽作为一蜓个探测墙操作系陆统的判换断依据合。5.2步.2攫取信艺息②伪标裳记位探测厅。TCP报文的头扫部有8个标记补位。使狂用“伪蚁标记位谁”（BOGU们SFl谎ag），即把SYN报文的CWR标记位的榜左边一位锣置1，然后将啊这样的非骡标准SYN报文发喜给目标TCP端口。冤低于2.0昌.35版本的Linu作x内核会掩在回应胳包中保难持这个前标记，轧而其他论的操作早系统似要乎都没珍有这个却问题。喜不过有宝的操作延系统在散收到这矛样的SYN/浙BOGU向S报文时碰会发送浪一个RST复位连兆接。5.2.价2攫取信浓息③TCP裤ISN取样。疾其原理役是在操术作系统谈对连接之请求的术回应中寻上找TCP连接初偿始化序填列号（ISN）的特征挨。目前可以坏区分的类句别有传统跪的640欺00方式（帝旧UNI剩X系统使寺用）、勒随机增恭加方式洗（新版育本的Sol贤ari们s、IRI坝X、Free腾BSD、Dig萍ita别lU渴NIX、Cra勺y和其他许博多系统使崭用）、真欢“随机”倾方式（Linu宁x2.思0.*及更高版盼本、Ope冬nVM司S和新版造本的AIX等操作系勒统使用）渔等。Win怒dow驻s平台（呈还有其碎他一些糠平台）跃使用“撑基于时挡间”方荒式产生却的ISN会随着时是间的变化刃而呈相对稠固定的增原长。另外还众有一些宁系统总冲是使用泡固定的ISN，如某些3Com集线器（使用0x8泄3）和Appl扯eLa矮serW餐rite世r打印机汽（使用0xC7井001）。根据计算ISN的变化、丘最大公约嫂数和其他趣一些有迹悔可循的规律，还府可以将这毒些类别分态得更细、舞更准确。5.2.称2攫取信息④DF位监视。仰许多操作胸系统逐渐咳开始在它常们发送的IP数据报中贤设置DF位，从气而有益定于提高送传输性压能。但并不是所耐有操作系单统都进行食这种设置极，或者有纤的系统只是在某择些情况下疮使用这种辰设置。因堆此通过留用意这个标合记位的设戏置可以搜拨集到关于琴目标主机河操作系统窜的更多有蜡用信息。⑤TCP初始化窗搅口大小。丑这种技巧绕就是得到框目标的初弯始化TCP窗口大痰小。有携的操作腊系统总厚是使用烟比较特范殊的值升。例如AIX是惟一使偏用0x3伪F25窗口值波的操作亭系统。徐而在OpenBSD、和200德0/X旬P的TCP堆栈中倾，71F悼ree位BS茎DWi设ndo辆ws使用的劫窗口值集总是0x4蹲02E。5.2额.2攫取信息⑥ACK值。不同德协议栈实丹现在TCP报文的ACK值的选择上也存在爬差异。例伶如，假设栋向一个关醉闭的TCP端口发化送一个FIN忙/PS锐H/U丽RG报文，逝许多操俊作系统脾会将ACK值设置为ISN值，但Wind辛ows和某些胖打印机泛会设置哭为接收疲到的报指文的SEQ厚+1。如果向瓣打开的端颜口发送SYN灶/FI奸N/U勿RG州/PS喂H报文，Wind毒ows的返回形值就会这非常不储确定，矛有时是馆接收到陡的报文径的SEQ值，有壤时是SEQ+衡+，而有孤时回送浪的是一掌个似乎冻很随机烈的数值宴。⑦片段坏处理。不肢同操作系循统在处理IP片段重叠捏时采用了不同的瓶方式。块有些用棉新的内学容覆盖体旧的内珠容，有仇些是以旧的恳内容为档优先。狼有很多田探测方使法能确涂定这些肤包是72如何重组泊的，从而声能帮助确溉定操作系贿统类型。5.2慌.2攫取信息⑧TCP选项。这崭是搜集信度息的最有麦效方法之站一。其基于嗽以下原舞因：它们通常形是“可选泰的”，因犁此并不是效所有的操婚作系统都饿使用它们束。向目标问主机发笋送带有搬可选项搁标记的油数据包道时，如狠果操作菠系统支捉持这些蜡选项，险会在返临回包中索也设置璃这些标耀记。可以一次咬在数据包侨中设置多六个可选项井，从而增扔加了探测湾的准确度电。5.2辽.2攫取信息5.2霞.2攫取信息（3）TCP报文延难时分析这是利用比了TCP报文重辫传的特例性。这朱种方法椅的具体体实现是余在“3次握手”蚁的过程中凡放弃对远昂程主机SYN废/AC捷K报文的确葡认，迫使徒其重传，灭通过测量裕重传TCP报文之间样的延时图喇忽略SYN/亦ACK报文迫使姨服务器重素传序列，臂获取远程绞操作系统霞指纹。左敞图说明了命延时序列充的意义。采用这种酿方法的代揉表是RIN甘G。这种技府术的最大厚优势就是怒它只需要涨一个打开臂的端口。负如果目标梨主机是被骨防火墙所雁保护的，饱那么很可遍能只开了悠一个端口橡，其他的誉端口则是催被过滤了粉的。而且攻这种技术币是使用了殿一个标准妙的TCP数据报讽，它将趟不会对份目标主五机造成于任何的掘不利影理响。但撕是这种笨探测方证式需要爪花比nmap或Xpro以be更多的时申间，这是沃测量连续铃数据报时酸间延74迟的一炸个固有停缺点。下面的例珍子是使用RING探测操水作系统单类型。[ro览ot@忽loc泄alh白ost觉ri紧ng]牵#.撤/ri阀ng级-d躬192芽.16慎8.1别.12械8-斧s1匹92.意168上.1.霜12愉-p洲111掏-i国et塔h03558辆202黑6000刷667割1199笔9952赚242还0033取5OS:L歼inux屯2.4dist昆ance榜:103菠62185.2存.2攫取信悲息（4）被搅动协议阔栈指纹怨探测被动的摸协议栈晨指纹探粗测和主副动的协沈议栈指徒纹探测幻玉很相似殊，不同券之处在轻于这种野方法不奖主动向渡目标系义统发送宝分组，苦而是通仁过嗅探化目标网袭络的通久信，抓忠取从远板程主机摊上发送劈燕的数据蝇报，获友取包括TTL、窗口券大小、DF位、服疏务类型紧等在内弊的数据陪报属性窗，构成很目标系驶统的指门纹。这荐种方法款主要被唤入侵者表使用，皂因为它盯不容易炮被发现秀。5.2.呆2攫取信息5.2河.2攫取信息经过发偷现目标惨和攫取订信息两载个步骤座以后，涨已经能够得到公下面一炊些信息塔：目烤标网络上顶有哪些主寸机处于存阁活状态？这灾些主机上旧都运行什伟么系统？这搜些主机运易行了哪些自网络服务啦？而漏洞董检测就邪是要回赞答最关客键的一前个问题——这些主机愧存在哪些筋漏洞？漏洞检悲测的方紫法主要饶分为3种：直接测供试(tes气t)推断(inf皆eren吉ce)带凭证遥的测试(Te骑st舅wit增hC至red哥ent谎ial地s)。5.2毕.3漏洞检测1.直接测凯试直接测试舌是指利用膊漏洞特点咏发现系统射漏洞的方漫法。要找爆出系统中谁的常见漏器洞，最显母而易见的面方法就是欧试图渗透尿漏洞。渗透测尿试是指殿使用针怪对漏洞赴特点设徐计的脚键本或者臣程序检育测漏洞倒。测试蚀代码通罢常和渗枝透攻击锯代码类奇似，不子同的是个测试代浊码返回典与“风首险等级申”对应底的提示拥，而渗透苏攻击代苦码则直习接向入核侵者返利回具有垂超级权的限的执化行环境辞。另外蓄也有一榆些渗透物攻击不偿返回任豆何东西产，只是翁让系统胜处于易疼被攻击额的状态歪，用户展必须另岛外采取壁动作来朴判断是口否有漏盆洞被渗党透了。根据这一掀点，测试尿方法可以著分为两种礼不同的类预型：可以按直接观察植到的测试颂和只能间免接观察到锈的测试。承下面通过君一个例子络具体说明袋直接测试幻玉漏洞的方泄法。5.2搜.3漏洞检撑测对于拒京绝服务照（DoS）漏洞擦也可以稍直接使煌用渗透撒代码进揭行测试霉，所不勾同的只盘是测试DoS漏洞的渗是透代码通辨常是经过辩编译的二纠进制代码法。直接测试淋的方法具理有下面一良些特点：通陆常用于对Web服务器漏柳洞、拒绝烦服务（DoS）漏洞零进行检疾测；能问够准确地读判断系统中是否存在茧特定漏洞宿；对颗于渗透所粪需步骤较豆多的漏洞针速度较慢贵；敏攻击性筑较强，悲可能对秘存在漏很洞的系亏统造成零破坏；对剖于DoS漏洞，撤测试方扫法会造吓成系统骂崩溃；不振是所有漏素洞的信息蚂都能通过梨测试方法歉获得。5.2.全3漏洞检查测2.推断推断是恐指不利贱用系统动漏洞而火判断漏及洞是否词存在的雨方法。车它并不乱直接渗旱透漏洞主，只是抗间接寻欢找漏洞辨存在的开证据。采用推冲断方法插的检测医手段主醋要有版旗本检查糟（Vers古ion端Chec兼k）、程序存行为分析痕、操作系烈统堆栈指训纹分析、舌时序分析挖等。其中，俘版本检祸查是推骡断方法橡中最简针单的一锄个应用救。它依摩赖于服恼务器对额请求响喉应的旗乱标获取贸系统的讨有关信欠息，然动后将获绿得的版邮本号与洗已知信艇息比较屿，以判柄断目标祖系统是产否是受嚷漏洞影变响的系曾统。5.2渡.3漏洞检测行为分析薪在需要推凤翻某个“伞风险假设韵”的时候炎非常有用汤。在这种情锹况下，它行分析目标畜程序的行背为，如果咬发现该程姜序的行为驳和具有漏蓄洞的版本埋的程序行辱为不一致妇，就认为氏目标程序沾不存在漏炊洞。这种方滔法不如尼渗透测蚂试方法莲可靠，梅但是攻味击性更葱小。这种方读法在推究断没有鼓公开细对节的新威漏洞时慢也很有渴用。另外，璃它也可针以用于朴检查DoS漏洞，因太为它基本鹊没有攻击须性，所以则可以在检泥查很多DoS漏洞以后型再重新启庸动系统。5.2.寄3漏洞检猴测推断方法壮有时也和瓜测试方法现结合使用养，如首先伶推断出目挣标采用的郊系统类型烦，然后进域行针对该习系统的测外试。推断的恼方法在奇快速检肃查大量塑目标时灰很有用按，因为兔这种方吗法对计创算机和龟网络的润要求都扬很低。僵而它最疼主要的拣缺点就台是可靠疑性较低哲。5.2毫.3漏洞检测3.带凭证的凳测试凭证是恢指访问撤服务所钓需要的饰用户名头或者密鱼码，包震括UNI冷X的登录权解限和从网赠络调用Wind咏ows击NT的UW鞋API的能力。价除了目标盼主机IP地址以外纱，直接测削试和推断睛两种方法都贡不需要其旋他任何信加息。然而，很露多攻击都品是由拥有UNI余Xs河hel边l访问权汇限或者NT资源访穴问权限义的用户捧发起的仔，他们届的目标赢在于将脾自己的哄权限提增升成为直超级用魔户，从答而可以俩执行某沫个命令沾。对于这劲样的漏妻洞，前兴面两种将方法很钱难检查库出来。虑因此，惠如果赋删予测试拦进程目钞标系统邮的角色林，将能圣够检查雨出更多超的漏洞脾。这种僚方法就使是带凭凶证的测泻试。5.2.帮3漏洞检测由于拥胶有了目订标主机仇的证书报，一些爆原来只症能由本冰地扫描何发现的须漏洞就丝式能够通饱过网络歉安全扫雷描发现取了。然而需瞒要注意盒的是，渴由于拥拔有了目刷标主机幅的证书弄，检测敬系统本逆身的安承全就更素加值得颤注意，介因为入资侵者可衫能从检蹈测系统竹上得到蓬目标系医统的访钥问权限扰。所以一个皂好的检测棒系统应该缝集成对自胡己进行扫普描的功能茫，否则，迫漏洞扫描迁有可能变迹得很危险5.2族.3漏洞检亩测5.2浩.3常用的屡网络扫挣描工具网络扫浸描的一笨些常用绿工具都新是可以颜从Inte鹊rnet上免费获得戚的。在唐使用这钢些工具救之前请析一定确络认目标匪网络已拖经授权随你对其师进行扫蹦描。因营为这些枯工具有善可能对搂扫描的辫目标造莫成危害配。1.Ne距tcat由Hob象bit（hob评bit寺@av傍ian加.or巷g）编写辛的Net遍cat（或称nc）是一个倍优秀的实包用工具，Wel速dP控ond（weld骂@10p责ht.c找om）将其移繁植到了NT平台上筝。它能敬执行的替任务是胳如此之个多，以帮至于被卷称作网卵络工具呀箱中的努“瑞士舅军刀”5.2.游3常用的网真络扫描工催具3.SA旱TAN前面的笛两个工旁具主要吃是用于城发现目礼标和攫参取信息搞两个阶交段，而辉一次完款整的漏根洞扫描祥还应该畏包括“扁漏洞检敢测”这妖个阶段定。SATA硬N即“网种络分析磁的安全口管理工容具”。敞它提供笨一整套训安全管易理、测佣试和报何告的功阻能，可峡以用来资搜集网昂络上主别机的许铺多信息纳，可以眠识别并谈且自动齐报告与仆网络相让关的安雪全问题朋。5.2.袭3常用的网销络扫描工爱具4.ne巴ssusnes富sus是一个功示能强大而惕又易于使追用的网络蔑漏洞扫描工掏具，运天行于POSI大X系统（Sol副ari书s、Free挥BSD、GNU贩/Li扶nux等）。花它不仅削免费而互且更新范很快。灰该系统被设计律为客户/服务器绵模式，忆服务器祸端负责芬进行安学全扫描，客控户端用来起配置、管扶理服务器嫁端，客户蓬端和服务器端售之间的栽通信使申用SSL加密。5.X-君scanX-s大can是由“安缓全焦点”诸开发的一获个免费的尖漏洞扫描工具穿，运行于Wind货ows操作系统宗。采用多拿线程方式对指堆定IP地址段(或单机)进行安达全漏洞汗检测，艺持插件功能，特提供了图园形界面和虾命令行两政种操作方粥式。5.2.训3常用的网沃络扫描工涨具4.n泊ess著usness咳us是一个功塔能强大而展又易于使栏用的网络怒漏洞扫描工牵具，运吧行于POSI蜘X系统（Sola梅ris、Free估BSD、GNU/肌Linu鹅x等）。它誉不仅免费冶而且更新石很快。该声系统被设计为趁客户/服务器伯模式，僻服务器滨端负责根进行安乏全扫描，敞客户端算用来配熟置、管唐理服务迈器端，雪客户端络和服务器端蝇之间的懂通信使集用SSL加密。5.X嘱-sc烦anX-s脚can是由“携安全焦届点”开郊发的一锯个免费顾的漏洞扫描工具墓，运行于Wind源ows操作系统炮。采用多易线程方式对指定IP地址段(或单机)进行安全驴漏洞检测魄，持插件功能，康提供了图辆形界面和惕命令行两尊种操作方棍式。5.2.丙3常用的烧网络扫父描工具前面介绍恭了网络扫冻描的原理共、技术和重工具。然茫而对计算狐机进行安茫全扫描不霜仅可以从鞭网络进行眯，也可以傅从主机进暴行。也就坡是说安全丢扫描有基萝于网络和基于主梢机两种狭策略。（1）基于具网络的安赠全评估工天具从入侵轿者的角度需评估系统凳，这类工纷具叫做远叫程扫描器肯或者网络傻扫描器。基于主机覆的安全评飘估工具从凤本地系统粪管理员的梢角度评估姑系统，这门类工具叫害做本地扫甲描器或者勉系统扫描旦器。这两类绒扫描器汽的主要协目的都远是发现避系统或节网络潜窃在的安们全漏洞吩。然而锯由于其丙着眼点黄和实现锈方式不仔同，两族者的特勉点也各倚有千秋捞。5.2.交4不同的撞扫描策深略（2）基遇于主机耳的脆弱情性评估乞分析文际件内容昏，对系宫统中不逗合适的史设置、喂脆弱的睡口令以旨及其他敏同安全己规则抵蠢触的对垦象进行固检查。粉它具有版以下特彼点：运行于摆单个主兴机，扫隶描目标悉为本地喇主机；扫描器胃的设计田和实现下与目标穿主机的沸操作系屋统相关慰；可以在系截统上任意籍创建进程馅；扫描项目爱主要包括田用户账号扩文件、组掀文件、系君统权限、狼系统配置颂文件、关搞键文件、已日志文件梯、用户口语令、网络品接口状态写、系统服估务、软件帐脆弱性等束。5.2愉.4不同的流扫描策渔略基于网膛络的脆茄弱性评高估通过拆执行一贪些插件讨或者脚膛本模拟中对系统方进行攻饺击的行漫为并记凡录系统榨的反应可，从而届发现其衫中的漏耗洞。它凶具有以解下特点哀：运行于辰单个或胞多个主贴机，扫始描目标配为本地证主机或笑者单/多个远志程主机饰；扫描器的已设计和实隶现与目标升主机的操敞作系统无踏关；通常的网钱络安全扫暂描不能访消问目标主之机的本地对文件（具溪有目标主兰机访问权医限的扫描躲除外）。扫描项目前主要包括浮目标的开专放端口、减系统网络作服务、系扇统信息、置系统漏洞先、远程服混务漏洞、租特洛伊木足马检测、伶拒绝服务奇攻击等。5.2拳.4不同的撤扫描策怎略基于主史机的脆生弱性评蚀估可以熔更准确堆地定位总系统的袜问题，刑发现系被统的漏甘洞；然孤而缺点队是平台仓相关、施升级复睬杂，而胆且扫描敞效率较谢低（一招次只能剑扫描一解台主机横）。基于网络早的脆弱性葡评估从入劈燕侵者的角仰度进行检袍测，能够呈发现系统仙中最危险兵、最可能蜡被入侵者颠渗透的漏仙洞，扫描浇效率更高石，而且由徒于与目标廉平台无关瓣，通用性琴强，安装古简单；缺败点是不能反检查不恰擦当的本地炸安全策略静，另外也鬼可能影响牵网络性能践。5.2.与4不同的扫衡描策略第五章业作业1.完整的约网络扫紧描的三胸个阶段2.目标发现父阶段的五匙个技巧是币什么，简鬼单描述他躬们的方法西和优缺点3.操作系统届探测方法却的比较4.简述基拌于主机愤的脆弱阳性评估章和基于曾网络的臭脆弱评干估的不妖同9、静夜深四无邻航，荒居软旧业贫镇。。4月-2些34月-旁23Fri边day哭,A助pri殊l2气8,选202辫310、雨中梅黄叶树柜，灯下联白头人谦。。11:0管4:5311:招04:剩5311:0赤44/2野8/2烤023羡11都:04壶:53桃AM11、以我澡独沈久阔，愧君胖相见频革。。4月-2精311:0至4:5311:0哈4Apr-灰2328-副A