系统漏洞扫描原理介绍及应用举例课件

网络扫描器的原理与分析袁治7/31/2023网络扫描器的原理与分析袁治1主要内容扫描器的基本概念扫描器的工作原理网络扫描的主要技术现有扫描器介绍及选择扫描器的实例分析主要内容2一、扫描器的基本概念什么是网络扫描器为什么需要网络扫描器网络扫描器的主要功能一、扫描器的基本概念3什么是网络扫描器安全评估工具 系统管理员保障系统安全的有效工具网络漏洞扫描器网络入侵者收集信息的重要手段什么是网络扫描器安全评估工具4为什么需要网络扫描器由于网络技术的飞速发展，网络规模迅猛增长和计算机系统日益复杂，导致新的系统漏洞层出不穷由于系统管理员的疏忽或缺乏经验，导致旧有的漏洞依然存在许多人出于好奇或别有用心，不停的窥视网上资源为什么需要网络扫描器由于网络技术的飞速发展，网络规模迅猛增长5网络扫描器的主要功能扫描目标主机识别其工作状态（开/关机）识别目标主机端口的状态（监听/关闭）识别目标主机系统及服务程序的类型和版本根据已知漏洞信息，分析系统脆弱点生成扫描结果报告网络扫描器的主要功能扫描目标主机识别其工作状态（开/关机）6二、扫描器的工作原理TCP协议ICMP协议扫描器的基本工作原理二、扫描器的工作原理TCP协议7TCP协议（一）TCP是一种面向连接的，可靠的传输层协议。一次正常的TCP传输需要通过在客户端和服务器之间建立特定的虚电路连接来完成，该过程通常被称为“三次握手”。TCP通过数据分段中的序列号保证所有传输的数据可以在远端按照正常的次序进行重组，而且通过确认保证数据传输的完整性。TCP协议（一）TCP是一种面向连接的，可靠的传输层协议。一8TCP协议（二）TCP数据包格式TCP协议（二）TCP数据包格式9TCP协议（三）TCP标志位ACK： 确认标志RST： 复位标志URG：紧急标志SYN： 建立连接标志PSH： 推标志FIN： 结束标志TCP协议（三）TCP标志位10TCP协议（四）TCP连接建立示意图TCP协议（四）TCP连接建立示意图11ICMP协议（一）InternetControlMessageProtocol，是IP的一部分，在IP协议栈中必须实现。用途：网关或者目标机器利用ICMP与源通讯当出现问题时，提供反馈信息用于报告错误特点：其控制能力并不用于保证传输的可靠性它本身也不是可靠传输的并不用来反映ICMP报文的传输情况ICMP协议（一）InternetControlMess12ICMP协议（二）ICMP报文类型0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply17AddressMaskRequest18AddressMaskReplyICMP协议（二）ICMP报文类型13扫描器的基本工作原理扫描器的基本工作原理14三、网络扫描的主要技术主机扫描技术端口扫描技术栈指纹OS识别技术三、网络扫描的主要技术主机扫描技术15主机扫描技术－传统技术主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果直接影响到后续的扫描。常用的传统扫描手段有：ICMPEcho扫描ICMPSweep扫描BroadcastICMP扫描Non-EchoICMP扫描主机扫描技术－传统技术主机扫描的目的是确定在目标网络上的主机16ICMPecho扫描实现原理：Ping的实现机制，在判断在一个网络上主机是否开机时非常有用。向目标主机发送ICMPEchoRequest(type8)数据包，等待回复的ICMPEchoReply包(type0)。如果能收到，则表明目标系统可达，否则表明目标系统已经不可达或发送的包被对方的设备过滤掉。优点：简单，系统支持缺点：很容易被防火墙限制可以通过并行发送，同时探测多个目标主机，以提高探测效率（ICMPSweep扫描）。ICMPecho扫描实现原理：Ping的实现机制，在判断在17BroadcastICMP扫描实现原理：将ICMP请求包的目标地址设为广播地址或网络地址，则可以探测广播域或整个网络范围内的主机。缺点：只适合于UNIX/Linux系统，Windows会忽略这种请求包；这种扫描方式容易引起广播风暴BroadcastICMP扫描实现原理：将ICMP请求包的18Non-EchoICMP扫描一些其它ICMP类型包也可以用于对主机或网络设备的探测，如：StampRequest(Type13)Reply(Type14)InformationRequest(Type15)Reply(Type16)AddressMaskRequest(Type17)Reply(Type18)Non-EchoICMP扫描一些其它ICMP类型包也可以用19主机扫描技术－高级技术防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制，必须采用一些非常规的手段，利用ICMP协议提供网络间传送错误信息的手段，往往可以更有效的达到目的：异常的IP包头在IP头中设置无效的字段值错误的数据分片通过超长包探测内部路由器反向映射探测主机扫描技术－高级技术防火墙和网络过滤设备常常导致传统的探测20异常的IP包头向目标主机发送包头错误的IP包，目标主机或过滤设备会反馈ICMPParameterProblemError信息。常见的伪造错误字段为HeaderLengthField和IPOptionsField。根据RFC1122的规定，主机应该检测IP包的VersionNumber、Checksum字段,路由器应该检测IP包的Checksum字段。不同厂家的路由器和操作系统对这些错误的处理方式不同，返回的结果也各异。如果结合其它手段，可以初步判断目标系统所在网络过滤设备的ACL。异常的IP包头向目标主机发送包头错误的IP包，目标主机或过滤21在IP头中设置无效的字段值向目标主机发送的IP包中填充错误的字段值，目标主机或过滤设备会反馈ICMPDestinationUnreachable信息。这种方法同样可以探测目标主机和网络设备以及其ACL。在IP头中设置无效的字段值向目标主机发送的IP包中填充错误的22错误的数据分片当目标主机接收到错误的数据分片（如某些分片丢失），并且在规定的时间间隔内得不到更正时，将丢弃这些错误数据包，并向发送主机反馈ICMPFragmentReassemblyTimeExceeded错误报文。利用这种方法同样可以检测到目标主机和网络过滤设备及其ACL。错误的数据分片当目标主机接收到错误的数据分片（如某些分片丢失23通过超长包探测内部路由器若构造的数据包长度超过目标系统所在路由器的PMTU且设置禁止分片标志,该路由器会反馈FragmentationNeededandDon’tFragmentBitwasSet差错报文，从而获取目标系统的网络拓扑结构。通过超长包探测内部路由器若构造的数据包长度超过目标系统所在路24反向映射探测该技术用于探测被过滤设备或防火墙保护的网络和主机。通常这些系统无法从外部直接到达，但是我们可以采用反向映射技术，通过目标系统的路由设备进行有效的探测。当我们想探测某个未知网络内部的结构时，可以构造可能的内部IP地址列表，并向这些地址发送数据包。当对方路由器接收到这些数据包时，会进行IP识别并路由，对不在其服务的范围的IP包发送ICMPHostUnreachable或ICMPTimeExceeded错误报文，没有接收到相应错误报文的IP地址会可被认为在该网络中。当然，这种方法也会受到过滤设备的影响。反向映射探测该技术用于探测被过滤设备或防火墙保护的网络和主机25端口扫描技术当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和各种应用监听的端口。端口扫描技术主要包括以下三类：开放扫描会产生大量的审计数据，容易被对方发现，但其可靠性高；隐蔽扫描能有效的避免对方入侵检测系统和防火墙的检测，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息；半开放扫描隐蔽性和可靠性介于前两者之间。端口扫描技术当确定了目标主机可达后，就可以使用端口扫描技术，26开放扫描技术TCPConnect扫描TCP反向ident扫描开放扫描技术TCPConnect扫描27TCPConnect扫描实现原理：通过调用socket函数connect()连接到目标计算机上，完成一次完整的三次握手过程。如果端口处于侦听状态，那么connect()就能成功返回。否则，这个端口不可用，即没有提供服务。优点：稳定可靠，不需要特殊的权限缺点：扫描方式不隐蔽，服务器日志会记录下大量密集的连接和错误记录，并容易被防火墙发现和屏蔽TCPConnect扫描实现原理：通过调用socket函28TCP反向ident扫描实现原理：ident协议允许看到通过TCP连接的任何进程的拥有者的用户名，即使这个连接不是由这个进程开始的。比如，连接到http端口，然后用identd来发现服务器是否正在以root权限运行。缺点：这种方法只能在和目标端口建立了一个完整的TCP连接后才能看到。TCP反向ident扫描实现原理：ident协议允许看到通29半开放扫描技术TCPSYN扫描TCP间接扫描半开放扫描技术TCPSYN扫描30TCPSYN扫描实现原理：扫描器向目标主机端口发送SYN包。如果应答是RST包，那么说明端口是关闭的；如果应答中包含SYN和ACK包，说明目标端口处于监听状态，再传送一个RST包给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半连接扫描优点：隐蔽性较全连接扫描好，一般系统对这种半扫描很少记录缺点：通常构造SYN数据包需要超级用户或者授权用户访问专门的系统调用TCPSYN扫描实现原理：扫描器向目标主机端口发送SYN31TCP间接扫描实现原理：利用第三方的IP（欺骗主机）来隐藏真正扫描者的IP。由于扫描主机会对欺骗主机发送回应信息，所以必须监控欺骗主机的IP行为，从而获得原始扫描的结果。扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描，并通过观察其IP序列号的增长规律获取端口的状态优点：隐蔽性好缺点：对第三方主机的要求较高TCP间接扫描实现原理：利用第三方的IP（欺骗主机）来隐藏真32隐蔽扫描技术TCPFIN扫描TCPXmas扫描TCPNull扫描TCPftpproxy扫描分段扫描隐蔽扫描技术TCPFIN扫描33TCPFIN扫描实现原理：扫描器向目标主机端口发送FIN包。当一个FIN数据包到达一个关闭的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是打开的端口，数据包只是简单的丢掉（不返回RST）。优点：由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而必SYN扫描隐蔽得多，FIN数据包能够通过只监测SYN包的包过滤器。缺点：跟SYN扫描类似，需要自己构造数据包，要求由超级用户或者授权用户访问专门的系统调用；通常适用于UNIX目标主机，除过少量的应当丢弃数据包却发送RST包的操作系统（包括CISCO，HP/UX，MVS和IRIX）。但在Windows95/NT环境下，该方法无效，因为不论目标端口是否打开，操作系统都返回RST包。TCPFIN扫描实现原理：扫描器向目标主机端口发送FIN34TCPXmas和TCPNull扫描实现原理：TCPXmas和Null扫描是FIN扫描的两个变种。Xmas扫描打开FIN，URG和PUSH标记，而Null扫描关闭所有标记。这些组合的目的是为了通过对FIN标记数据包的过滤。当一个这种数据包到达一个关闭的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是打开的端口，数据包只是简单的丢掉（不返回RST）。优点：隐蔽性好；缺点：需要自己构造数据包，要求由超级用户或者授权用户权限；通常适用于UNIX目标主机，而Windows系统不支持。TCPXmas和TCPNull扫描实现原理：TCP35TCPftpproxy扫描实现原理：FTP代理连接选项，其目的是允许一个客户端同时跟两个FTP服务器建立连接，然后在服务器之间直接传输数据。然而，在大部分实现中，实际上能够使得FTP服务器发送文件到Internet的任何地方。该方法正是利用了这个缺陷，其扫描步骤如下：1：假定S是扫描机，T是扫描目标，F是一个ftp服务器，这个服务器支持代理选项，能够跟S和T建立连接。2：S与F建立一个ftp会话，使用PORT命令声明一个选择的端口（称之为p－T）作为代理传输所需要的被动端口。3：然后S使用一个LIST命令尝试启动一个到p－T的数据传输。4：如果端口p－T确实在监听，传输就会成功（返回码150和226被发送回给S），否则S回收到"425无法打开数据连接"的应答。5：S持续使用PORT和LIST命令，直到T上所有的选择端口扫描完毕。优点：FTP代理扫描不但难以跟踪，而且可以穿越防火墙缺点：一些ftpserver禁止这种特性TCPftpproxy扫描实现原理：FTP代理连接选项，36分段扫描实现原理：并不直接发送TCP探测数据包，是将数据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包，从而包过滤器就很难探测到。优点：隐蔽性好，可穿越防火墙缺点：可能被丢弃；某些程序在处理这些小数据包时会出现异常。分段扫描实现原理：并不直接发送TCP探测数据包，是将数据包分37栈指纹OS识别技术（一）原理：根据各个OS在TCP/IP协议栈实现上的不同特点，采用黑盒测试方法，通过研究其对各种探测的响应形成识别指纹，进而识别目标主机运行的操作系统。根据采集指纹信息的方式，又可以分为主动扫描和被动扫描两种方式。栈指纹OS识别技术（一）原理：根据各个OS在TCP/IP协议38被动扫描通过Sniff收集数据包，再对数据包的不同特征（TCPWindow-size、IPTTL、IPTOS、DF位等参数）进行分析，来识别操作系统。被动扫描基本不具备攻击特征，具有很好的隐蔽性，但其实现严格依赖扫描主机所处的网络拓扑结构；和主动探测相比较，具有速度慢、可靠性不高等缺点。被动扫描通过Sniff收集数据包，再对数据包的不同特征（TC39主动扫描采用向目标系统发送构造的特殊包并监控其应答的方式来识别操作系统类型。主动扫描具有速度快、可靠性高等优点，但同样严重依赖于目标系统网络拓扑结构和过滤规则。主动扫描采用向目标系统发送构造的特殊包并监控其应答的方式来识40主动扫描－识别技术（一）FIN探测：发送一个FIN包给一个打开的端口，一般的行为是不响应，但某些实现例如MSWindows,BSDI,CISCO,HP/UX,MVS,和IRIX发回一个RESET。BOGUS标记探测：设置一个未定义的TCP"标记"（64或128）在SYN包的TCP头里。Linux机器到2.0.35之前在回应中保持这个标记。TCPISN取样：找出当响应一个连接请求时由TCP实现所选择的初始化序列数式样。这可分为许多组例如传统的64K（许多老UNIX机器），随机增量（新版本的Solaris，IRIX，FreeBSD，DigitalUNIX，Cray，等），真“随机”（Linux2.0.*，OpenVMS,新的AIX,等），Windows机器（和一些其他的）用一个“时间相关”模型，每过一段时间ISN就被加上一个小的固定数。主动扫描－识别技术（一）FIN探测：发送一个FIN包给一个打41主动扫描－识别技术（二）不分段位：许多操作系统开始在送出的一些包中设置IP的"Don'tFragment"位。TCP初始化窗口：检查返回包的窗口大小。如queso和nmap保持对窗口的精确跟踪因为它对于特定OS基本是常数。ACK值：不同实现中一些情况下ACK域的值是不同的。例如，如果你送了一个FIN|PSH|URG到一个关闭的TCP端口。大多数实现会设置ACK为你的初始序列数，而Windows会送给你序列数加1。ICMP错误信息终结：一些操作系统跟从限制各种错误信息的发送率。例如，Linux内核限制目的不可达消息的生成每4秒钟80个。测试的一种办法是发一串包到一些随机的高UDP端口并计数收到的不可达消息。主动扫描－识别技术（二）不分段位：许多操作系统开始在送出的一42主动扫描－识别技术（三）ICMP消息引用：ICMP错误消息可以引用一部分引起错误的源消息。对一个端口不可达消息，几乎所有实现只送回IP请求头外加8个字节。然而，Solaris送回的稍多，而Linux更多。SYN洪水限度：如果收到过多的伪造SYN数据包，一些操作系统会停止新的连接尝试。许多操作系统只能处理8个包。参考：NmapRemoteOSDetection/nmap/nmap-fingerprinting-article.html主动扫描－识别技术（三）ICMP消息引用：ICMP错误消息可43四、现有扫描器介绍及选择现有主要扫描器产品介绍评价扫描器的原则现有扫描器产品的不足四、现有扫描器介绍及选择现有主要扫描器产品介绍44扫描器产品介绍（一）ISSInternetScanner 该产品一直是安全扫描器的业界标准。优点：报告功能强大，漏洞检查集完备，可用性很好。平台：WindowsNTURL：Http://

扫描器产品介绍（一）ISSInternetScanner45扫描器产品介绍（二）Nessus 由Renaud编写的开放源码项目。优点：采用分布式结构引擎具有极大弹性，可扩展性强，漏洞库较全面。平台：UNIXURL：Http://扫描器产品介绍（二）Nessus46扫描器产品介绍（三）SAINT 以SATAN为基础的网络安全扫描工具。平台：UNIXURL：Http://扫描器产品介绍（三）SAINT47评价扫描器的原则（一）漏洞检测的完整性 是否能扫描各类重要的系统漏洞，漏洞库信息的完备程度如何？漏洞检测的精确性 是否能准确报告系统漏洞，很少误报或漏报漏洞检测的范围 是否能进行本地主机或远端主机的扫描及时更新 是否能及时更新漏洞库，加入新发现的漏洞信息评价扫描器的原则（一）漏洞检测的完整性48评价扫描器的原则（二）报告功能 是否有完善的报告功能，是客户便于理解和维护价格 产品价格是否合理评价扫描器的原则（二）报告功能49现有扫描器产品的不足检测的完整性 没有一种产品可以发现所有漏洞检测的准确性 常有漏报、误报现象更新的及时性 对新漏洞的更新不够及时现有扫描器产品的不足检测的完整性50五、扫描器实例分析主要实现功能扫描器的总体结构主要工作流程漏洞分析五、扫描器实例分析主要实现功能51主要实现功能采用众多的扫描规避和隐蔽技术，扫描目标主机和端口，识别其工作状态；识别目标主机系统及服务程序的类型和版本；根据漏洞库信息，分析系统脆弱点；提供漏洞产生背景、影响、攻击方式、修补措施等信息；以网页形式生成扫描结果报告；具有可扩展性，提供用户动态加载和扩充系统的接口主要实现功能采用众多的扫描规避和隐蔽技术，扫描目标主机和端口52扫描器的总体结构（一）扫描器基于B/S结构扫描器运行在Linux平台，工作于一个Linux、UNIX和Windows操作系统相混合的TCP/IP网络环境中扫描器建有漏洞库控制平台则提供一个人机交互的界面。扫描器的总体结构（一）扫描器基于B/S结构53扫描器的总体结构（二）扫描器的总体结构（二）54主要工作流程主机扫描端口扫描识别系统及服务程序的类型根据已知漏洞信息，分析系统脆弱点生成扫描结果报告主要工作流程主机扫描55漏洞分析：CGI漏洞扫描漏洞扫描流程连接目标WEBSERVER发送一个特殊的请求接收目标服务器返回数据根据返回数据判断目标服务器是否有此CGI漏洞。漏洞分析：CGI漏洞扫描漏洞扫描流程56CGI漏洞扫描（一）比如识别出Web服务器为IIS，则向其发出Http请求："GET/iissamples/exair/howitworks/codebrws.asp","GET/iissamples/sdk/asp/docs/codebrws.asp","GET/iissamples/exair/howitworks/code.asp","GET/msadc/samples/selector/showcode.asp","GET/scripts/tools/newdsn.exe”如果返回“200OK”的Http应答，则表明存在”httpIISsamples“漏洞，需要提示用户进行修改。CGI漏洞扫描（一）比如识别出Web服务器为IIS，则向其57CGI漏洞扫描（二）如果向IIS服务器发Http请求，

“GET/NULL.printer“其返回信息为"50013\r\nServer:Microsoft-IIS/5.0"则目标系统存在”IIS5NULL.printer”漏洞。CGI漏洞扫描（二）如果向IIS服务器发Http请求，58参考文献ICMPUsageinScanning

NmapRemoteOSDetection/nmap/nmap-fingerprinting-article.html/downloads/document/Ss.ppt

参考文献ICMPUsageinScanning59谢谢！谢谢！60漏洞的发现漏洞是硬件、软件或策略上的缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统

漏洞的发现黑客破译者安全服务商组织Vulnerability漏洞的发现漏洞是硬件、软件或策略上的缺陷，从而使得攻击者能够61漏洞的发现漏洞对系统的威胁漏洞的脆弱性分析扫描技术与原理漏洞实例分析系统设计与实现漏洞的发现62漏洞对系统的威胁（一）7月份来自国内的攻击总数为：383+396+120+441=1340次

漏洞对系统的威胁（一）7月份来自国内的攻击总数为：383+363漏洞对系统的威胁（二）漏洞对系统的威胁（二）64漏洞的发现漏洞对系统的威胁漏洞的脆弱性分析扫描技术与原理漏洞实例分析系统设计与实现漏洞的发现65漏洞的脆弱性分析IIS的脆弱性CGI安全缓冲区溢出拒绝服务协议分析后门漏洞的脆弱性分析IIS的脆弱性66协议的脆弱性分析TCP/IP四层模型网络接口层；(PPP、ARP)互联层；(IP、ICMP)传输层；(TCP、UDP)应用层；(HTTP，SNMP，FTP，SMTP，DNS，Telnet)协议的脆弱性分析TCP/IP四层模型67IP数据报格式01631versionhdrlnthtypeofservicetotallengthofdatagramidentificationnumberfragmentoffsettime-to-live(ttl)protocolheaderchecksumsourceIPaddress(4bytes)destinationIPaddress(4bytes)optionsfield(variablelength,maxlength40bytes)data20bytesRDFMFIP数据报格式01631versionhdrlnthty68ICMP消息格式081631typecodechecksumcontentsdependontypeandcode081631typecodechecksumidentifiersequencenumberexamplespecificformat:echo

request/reply

optionaldata

generalformatICMP消息格式081631typecodechecksum69UDP数据报格式sourceportnumber01631destinationportnumberUDPdatagramlengthUDPchecksumoptionaldataUDP数据报格式sourceportnumber016370TCP段格式01631sourceportnumberdestinationportnumbersequencenumberacknowledgementnumberhdrlgthreservedUAPRSFwindowsizeTCPchecksumurgentpointeroptionsfield(variablelength,maxlength40bytes)data20bytesTCP段格式01631sourceportnumberd71

IP层IP层的主要缺陷是缺乏有效的安全认证和保密机制。其中最主要的因素就是IP地址问题。TCP/IP协议是用IP地址来作为网络节点的唯一标识，许多TCP/IP服务，包括Berkeley的“r”命令，NFS，XWindow等都是基于IP地址来对用户进行认证和授权的。当前TCP/IP网络的安全机制主要是基于IP地址的包过滤(PacketFiltering)和认证(Authentication)技术,它们的正确有效性依赖于IP包的源IP地址的真实性。然而IP地址存在许多问题，协议最大缺点就是缺乏对IP地址的保护，缺乏对IP包中源IP地址真实性的认证机制与保密机制。这也是引起整个TCP/IP协议不安全的根本所在。

IP层72

TCP/UDP层由于TCP/UDP是基于IP协议之上的，TCP分段和UDP数据报是封装在IP包中在网上传输的，它们也同样面临IP层所遇到的安全威胁，另外还有针对TCP/UDP协议设计和实现中的缺陷实行的攻击。l

TCP的安全问题：针对TCP连接建立时“三次握手”机制的攻击；未加密的TCP连接被欺骗、被劫取、被操纵。存在的主要攻击有：-

TCPSYN淹没攻击-

TCP序列号攻击-

TCP会话截取攻击（TCPSessionHijacking）-

TCP连接不同步状态攻击-

SYNSniping攻击-

TCP端口扫描。l

UDP的问题：由于UDP是无连接的，更易受IP源路由和拒绝服务攻击，如UDP诊断端口拒绝服务攻击和UDPEchoLoopFlooding攻击。

TCP/UDP层73

应用层 由于它是基于底下各层基础之上的，下层的安全缺陷就会导致应用层的安全崩溃。此外各应用层协议层自身也存在着许多安全问题，如Telnet、FTP、SMTP等应用协议缺乏认证和保密措施。主要有以下几方面的问题：*Finger：可被用来获得一个指定主机上的所有用户的详细信息（如用户注册名、电话号码、最后注册时间等等），给入侵者进行破译口令和网络刺探提供了极有用的信息和工具。此外，还有Finger炸弹拒绝服务攻击。*FTP：FTP存在着致命的安全缺陷，FTP使用标准的用户名和口令作为身份鉴定，缺乏对用户身份的安全认证机制和有效的访问权限控制机制；匿名FTP(anonymousFTP)可使任何用户连接到一远程主机并从其上下载几乎所有类型的信息而不需要口令；FTP连接的用户名和口令以及数据信息是明文传输的；FTP服务器中可能含有特洛依木马。

74*Telnet：用户可通过远程登录Telnet服务来与一个远程主机相连。它允许虚拟终端服务，允许客户和服务器以多种形式会话。入侵者可通过Telnet来隐藏其踪迹，窃取Telnet服务器上的机密信息，而且，同FTP一样，Telnet应用中信息包括口令都是明文传输的。Telnet缺乏用户到主机的认证；Telnet不提供会话完整性检查；Telnet会话未被加密，其中用户ID和口令能被窃听、Telnet会话能被劫取等。*HTTP：HTTP未提供任何加密机制，因此第三方可窥视客户和服务器之间的通信；HTTP是无态协议，它在用户方不存储信息，因此，它无法验证用户的身份；HTTP协议不提供对会话的认证。*E-mail：主要问题有：伪造E-mail；利用有效E-mail地址进行冒名顶替；E-mail中含有病毒；利用E-mail对网络系统进行攻击，如E-mail炸弹；Sendmail存在很多安全问题；绝大多数E-mail邮件都不具有认证或保密功能，使得正在网上传输的E-mail很容易被截获阅读、被伪造。

*Telnet：用户可通过远程登录Telnet服务来与一个远75*DNS：域名系统（DomainNameSystem）提供主机名到IP地址的映射和与远程系统的互连功能。此外，DNS中还包含有关站点的宝贵信息：机器名和地址，组织的结构等等。除验证问题，攻击DNS还可导致拒绝服务和口令收集等攻击。DNS对黑客是脆弱的，黑客可以利用DNS中的安全弱点获得通向Internet上任何系统的连接。一个攻击者如果能成功地控制或伪装一个DNS服务器，他就能重新路由业务流来颠覆安全保护。DNS协议缺乏加密验证机制，易发生DNS欺骗、DNS高速缓存污染（DNSCachePoisoning）和“中间人”攻击。*SNMP：SNMPv1不具备安全功能，它不使用验证或使用明文可重用口令来验证和认证信息，因此对SNMP业务流侦听，进而实现对SNMP数据的非法访问是容易的。一旦攻击者访问了SNMP数据库，则可以实现多方面的攻击。如黑客可以通过SNMP查阅非安全路由器的路由表，从而了解目标机构网络拓扑的内部细节。SNMPv2c以及过度性的SNMPv2u和SNMPv2*虽然具有了一定的安全功能，但是还都存在着一些问题；SNMPv3虽然集成了先前版本的优点，具有了较强的安全性，但是还具有安全弱点，如所采用的DES-CBC加密的安全性不强。

*DNS：域名系统（DomainNameSyst76漏洞的发现漏洞对系统的威胁漏洞的脆弱性分析扫描技术与原理漏洞实例分析系统设计与实现漏洞的发现77扫描技术扫描程序是自动检测远端或本地主机脆弱性的程序。通过与目标主机TCP/IP端口建立连接并请求某些服务（如TELNET、FTP等），记录目标主机的应答，搜集目标主机相关信息（如匿名用户是否可以登录等），从而发现目标主机某些内在的安全漏洞。对某一类漏洞进行检查的程序成为一个扫描方法。扫描常用技术包括ping扫射、端口扫描、操作系统识别、穿透防火墙的扫描扫描技术扫描程序是自动检测远端或本地主机脆弱性的程序。通过与78扫描技术Ping扫描UDP扫描TCP扫描端口扫描操作系统鉴别扫描技术Ping扫描79Ping扫描ICMP应答请求ICMP广播无回音的ICMP协议Ping扫描ICMP应答请求80端口服务扫描类型（一）（1）TCPconnect扫描这是最基本的扫描方式。如果目标主机上的某个端口处于侦听状态，可根据其IP地址和端口号使用标准的connect()调用来与之建立连接。若目标主机未开放该端口，则connect操作失败。因此，使用这种方法可以检测到目标主机开放了那些端口。在执行这种扫描方式时，不需要对目标主机拥有任何权限。（2）TCPSYN扫描这种技术通常认为是“半”扫描，扫描程序发送一个SYN数据包，等待目标主机的应答。如果目标主机返回SYN|ACK，表示端口处于侦听状态。若返回RST，表示端口没有处于侦听态。如果收到一个SYN|ACK，则扫描程序发送一个RST数据包，来终止这个连接。这种扫描技术的优点在于一般不会再目标计算机上留下纪录。但要求攻击者在发起攻击的计算机上必须有root权限，因为不是通过标准的connect调用来扫描端口，必须直接在网络上向目标主机发送SYN和RST数据包。端口服务扫描类型（一）（1）TCPconnect扫描81端口服务扫描类型（二）（3）TCPFIN扫描向目标主机的某个端口发送FIN数据包，若端口处于侦听状态，目标主机不会回复FIN数据包。相反，若端口未被侦听，目标主机会用适当的RST来回复。这种方法须依赖于系统的实现。某些系统对所有的FIN一律回复RST，不管端口是否打开。在这种情况下，TCPFIM扫描就不适用了。（4）IP分片扫描这种方法不直接发送TCP探测数据包，而是预先将数据包分成两个较小的IP数据包传送给目标主机。目标主机收到这些IP段后，会把它们组合还原为原先的TCP探测数据包。将数据包分片的目的是使他们能够通过防火墙和包过滤器，将一个TCP分为几个较小的数据包，可能会穿过防火墙而到达目标主机。端口服务扫描类型（二）（3）TCPFIN扫描82（5）UDP端口扫描

许多主机在你向一个未打开的UDP端口发送一个数据包时，会返回一个ICMP_PORT_UNREACH错误，需要root权限。（6）UDPrecvfrom()和write()扫描如果攻击者在发起攻击的计算机上没有root权限，它不能读到端口不可达（ICMP_PORT_UNREACH）错误数据包。在Linux中可以间接的检测到是否收到了目标主机的这个应答数据包。例如，对一个未侦听端口的第二个write()调用将失败。在非阻塞的UDP套接字上调用recvfrom()时，如果未收到这个应答，返回EAGAIM（其意思是可以重试）。如果收到这个应答，则返回ECONNREFUSED（连接被拒绝）。可以根据recvfrom（）和write（）的返回字来判断目标主机是否发送了ICMP_PORT_UNREACH应答。端口服务扫描类型（三）（5）UDP端口扫描端口服务扫描类型（三）83端口扫描技术分块扫描分步扫描随机扫描平行扫描动态延迟和重发诱骗端口扫描技术分块扫描84扫描技术--操作系统识别捕捉标语信息[root@pooh]#telnet3DebianGNU/Linux2.1

DNSHINFO（主机信息）记录主机信息通常是一对字符串，用来标识主机的硬件和操作系统信息：wwwINHINFO“SparcUltra5”“Solaris2.6”

TCP/IP栈指纹探测器扫描技术--操作系统识别捕捉标语信息85漏洞的发现漏洞对系统的威胁漏洞的脆弱性分析扫描技术与原理漏洞实例分析系统设计与实现漏洞的发现86漏洞实例分析Windows漏洞Unix漏洞路由器漏洞CGI漏洞漏洞实例分析Windows漏洞87Windows2000输入法漏洞空会话漏洞IISUnicode漏洞SQLServer空口令Windows2000输入法漏洞88Unix漏洞Linuxwuftpd2.6.0FreeBsdBind8.2.x远程溢出漏洞Linux内核漏洞Unix漏洞Linuxwuftpd2.6.089漏洞扫描技术漏洞的发现漏洞对系统的威胁漏洞的脆弱性分析扫描技术和原理漏洞实例分析系统设计与实现漏洞扫描技术漏洞的发现90系统设计与实现扫描器类型扫描器基本模块扫描内容系统设计与实现扫描器类型91扫描器类型---主机扫描器主主机扫描器又称本地扫描器，它与待检查系统运行于同一结点，执行对自身的检查。它的主要功能为分析各种系统文件内容，查找可能存在的对系统安全造成威胁的配置错误。由于主机扫描器实际上是运行于目标主机上的进程，因此具有以下特点：

1、可以在系统上任意创建进程。为了运行某些程序，检测缓冲区溢出攻击，就要求扫描器做到这一点。22、可以检查到安全