信息收集与漏洞扫描课件

8/10/20231扫描攻击目标主机运行的操作系统是否有的安全保护措施运行那些服务服务器软件的版本存在那些漏洞目标网络的网络拓扑结构8/1/20231扫描攻击目标主机运行的操作系统是否有的安全18/10/20232扫描类型网络(地址)扫描端口扫描漏洞扫描调制解调器(modem)扫描操作系统的协议栈指纹识别(OSFingerPrinting)旗标(banner)信息获取8/1/20232扫描类型网络(地址)扫描端口扫描漏洞扫描调28/10/20233网络扫描目的

黑客首先希望了解你的网络中的详细情况，比如网络拓扑结构，活动主机IP地址，主要服务器，路由器和防火墙。黑客使用扫描工具一般先扫描你的网关、DMZ系统，各种服务器等Internet周边环境，在控制了你的网络周边环境后，再继续攻击你的内部网络。种类发现活跃主机跟踪路由8/1/20233网络扫描目的种类发现活跃主机跟踪路由38/10/20234发现活跃主机Ping：发送一个ICMP回显请求(echorequest)数据包，如果目标主机响应一个ICMP回显应答响应(echoreplay)数据包，则表示这是一个活跃主机。TCP扫描：许多网络防火墙都阻塞ICMP消息，因此，发送一个TCPack包到80端口，如果获得了RST返回，机器是活跃的。8/1/20234发现活跃主机Ping：发送一个ICMP回显48/10/20235TTL&Hop基本概念跳(Hop)：IP数据包经过一个路由器就叫做一个跳。TTL在路由器中如何工作？当路由器收到一个IP数据包时，它首先将这个IP数据包的TTL字段减1，如果TTL为0则路由器抛弃这个数据包，并向源IP地址发送一个连接超时的ICMP数据包。如果不为0则根据路由表将这个数据包发送到下一个路由器或目的网络。8/1/20235TTL&Hop基本概念跳(Hop)：IP数58/10/20236跟踪路由(tracerouting)黑客可以利用TTL值来确定网络中数据包的路由路径，通过发送一系列TTL值递增的数据包来发现到达目的主机的路由路径。Unix下的跟踪路由工具是Traceroute，发送有递增的TTL值的UDP数据包，同时寻找返回的ICMP超时消息。windows下的跟踪路由工具是tracert。黑客使用跟踪路由（tracerouting）技术来确定目标网络的路由器和网关的拓扑结构。8/1/20236跟踪路由(tracerouting)黑客可68/10/20237如何防御网络扫描

利用防火墙和路由器的数据包过滤功能来阻塞这些消息，还应该阻塞所有流入的ICMP消息，另外，也可以过滤从你的网络流出的ICMP超时信息，从而完全拒绝traceroute的访问。8/1/20237如何防御网络扫描

利用防火墙和路由器的数78/10/20238端口扫描技术Portlist8/1/20238端口扫描技术Portlist88/10/20239端口扫描结果$portscan128.3X.XX.XXXPort21("ftp"service)connection...open.Port23("telnet"service)connection...open.Port25("smtp"service)connection...open.Port53("domain"service)connection...open.Port79("finger"service)connection...open.Port111("sunrpc"service)connection...open.Port513("login"service)connection...open.Port514("shell"service)connection...open.Port515("printer"service)connection...open.Port664connection...open....

8/1/20239端口扫描结果$portscan128.9端口扫描的分类端口扫描的分类108/10/202311TCPconnect扫描

最基本的扫描方式，实际上是利用linux提供的系统调用函数connect与目标主机建立TCP连接，完成三次握手。这种扫描方式会被防火墙记录到访问日志中。因此，会留下扫描痕迹。但是，这种扫描不需要有特殊权限。8/1/202311TCPconnect扫描

最基本的扫描11TCPconnect端口扫描服务端与客户端建立连接成功（目标端口开放）的过程：①Client端发送SYN；②Server端返回SYN/ACK，表明端口开放；③Client端返回ACK，表明连接已建立；④Client端主动断开连接。建立连接成功（目标端口开放）如图所示。TCPconnect端口扫描服务端与客户端建立连接成功（目12TCPconnect端口扫描服务端与客户端未建立连接成功（目标端口关闭）过程：①Client端发送SYN；②Server端返回RST/ACK，表明端口未开放。未建立连接成功(目标端口关闭)如图所示。TCPconnect端口扫描服务端与客户端未建立连接成功（13这种扫描方法的优点是实现简单，对操作者的权限没有严格要求（有些类型的端口扫描需要操作者具有root权限），系统中的任何用户都有权力使用这个调用，而且如果想要得到从目标端口返回banners信息，也只能采用这一方法。另一优点是扫描速度快。如果对每个目标端口以线性的方式，使用单独的connect()调用，可以通过同时打开多个套接字，从而加速扫描。这种扫描方法的缺点是会在目标主机的日志记录中留下痕迹，易被发现，并且数据包会被过滤掉。目标主机的logs文件会显示一连串的连接和连接出错的服务信息，并且能很快地使它关闭。这种扫描方法的优点是实现简单，对操作者的权限没有严格要求（有14信息收集与漏洞扫描ppt课件158/10/202316半开放(halfopen/SYN)扫描扫描器向目标主机的一个端口发送请求连接的SYN包，扫描器在收到SYN/ACK后，不是发送的ACK应答而是发送RST包请求断开连接。这样，三次握手就没有完成，无法建立正常的TCP连接，因此，这次扫描就不会被记录到系统日志中。这种扫描技术一般不会在目标主机上留下扫描痕迹。但是，这种扫描需要有root权限。8/1/202316半开放(halfopen/SYN)扫描16TCPSYN扫描建立连接成功TCPSYN扫描建立连接成功17TCPSYN扫描建立连接未成功TCPSYN扫描建立连接未成功18秘密扫描是一种不被审计工具所检测的扫描技术。它通常用于在通过普通的防火墙或路由器的筛选（filtering）时隐藏自己。秘密扫描能躲避IDS、防火墙、包过滤器和日志审计，从而获取目标端口的开放或关闭的信息。由于没有包含TCP3次握手协议的任何部分，所以无法被记录下来，比半连接扫描更为隐蔽。但是这种扫描的缺点是扫描结果的不可靠性会增加，而且扫描主机也需要自己构造IP包。现有的秘密扫描有TCPFIN扫描、TCPACK扫描、NULL扫描、XMAS扫描和SYN/ACK扫描等。秘密扫描秘密扫描是一种不被审计工具所检测的扫描技术。秘密扫描198/10/202320FIN扫描SYN扫描现在已经不是一种秘密了，许多防火墙和路由器都有相应的措施，它们会对一些指定的端口进行监视，对这些端口的连接请求全部进行记录。但是许多过滤设备允许FIN数据包通过。因此FIN是中断连接的数据报文，所以许多日志系统不记录这样的数据报文。FIN扫描的原理就是向目标主机的某个端口发送一个FIN数据包。如果收到RST应答表示这个端口没有开放，反之则端口开放。但是有些操作系统不管端口是否开放，都应答RST。8/1/202320FIN扫描SYN扫描现在已经不是一种秘密20TCPFIN扫描建立连接成功TCPFIN扫描建立连接未成功TCPFIN扫描建立连接成功21 这种方法与系统的TCP/IP实现有一定的关系，并不是可以应用在所有的系统上，有的系统不管端口是否打开，都回复RST，这样，这种扫描方法就不适用了。但这种方法可以用来区别操作系统是UNIX还是Windows。 这种方法与系统的TCP/IP实现有一定的关系，并不是可以应22TCPACK扫描 扫描主机向目标主机发送ACK数据包。根据返回的RST数据包有两种方法可以得到端口的信息。方法一是：若返回的RST数据包的TTL值小于或等于64，则端口开放，反之端口关闭，如图所示。TCPACK扫描23方法二是：若返回的RST数据包的WINDOW值非零，则端口开放，反之端口关闭，如图3-16所示。方法二是：若返回的RST数据包的WINDOW值非零，则端口24扫描主机将TCP数据包中的ACK（确认）、FIN（结束连接）、RST（重新设定连接）、SYN（连接同步化要求）、URG（紧急）、PSH(接收端将数据转由应用处理)标志位置空后（保留的RES1和RES2对扫描的结果没有任何影响）发送给目标主机。若目标端口开放，目标主机将不返回任何信息，若目标主机返回RST信息，则表示端口关闭。NULL扫描扫描主机将TCP数据包中的ACK（确认）、F25NULL扫描建立连接成功NULL扫描建立连接未成功NULL扫描建立连接成功NULL扫描建立连接未成功26XMAS扫描原理和NULL扫描的类似，将TCP数据包中的ACK、FIN、RST、SYN、URG、PSH标志位置1后发送给目标主机。在目标端口开放的情况下，目标主机将不返回任何信息。XMAS扫描XMAS扫描原理和NULL扫描的类似，将TCP数据包中的AC27若目标端口关闭，则目标主机将返回RST信息。若目标端口关闭，则目标主机将返回RST信息。28这里要说明的是，MSWindows、Cisco、BSDI、HP/UX、MVS以及IRIX等操作系统如果通过TCPFIN、XMAS以及NULL扫描等方式进行扫描的话，对于打开的端口也会发送RST数据包，即使所有端口都关闭，也可以进行应答。根据制作Nmap的Fyodor的方案，使用FIN、XMAS或者NULL方式进行扫描的话，如果所有端口都关闭，那么就可以进行TCPSYN扫描。如果出现打开的端口，操作系统就会知道是属于MSWindows、Cisco、BSDI、HP/UX、MVS以及IRIX中的哪类了。这里要说明的是，MSWindows、Cisco、BSDI、29这种扫描故意忽略TCP的3次握手。原来正常的TCP连接可以简化为SYN-SYN/ACK-ACK形式的3次握手来进行。这里，扫描主机不向目标主机发送SYN数据包，而先发送SYN/ACK数据包。目标主机将报错，并判断为一次错误的连接。若目标端口开放，目标主机将返回RST信息。SYN/ACK扫描这种扫描故意忽略TCP的3次握手。原来正常的TCP连接可以简30若目标端口关闭，目标主机将不返回任何信息，数据包会被丢掉若目标端口关闭，目标主机将不返回任何信息，数据包会被丢掉318/10/202332IP碎片扫描以细小的IP碎片包实现SYN，FIN，XMAS或NULL扫描攻击。即将TCP包头分别放在几个不同的数据包中，从而躲过包过滤防火墙的检测。扫描主机并不是直接发送TCP探测数据包，而是将数据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包，从而过滤器就很难探测到，扫描就可以在不被发现的情况下进行。但是需要注意的是，一些程序在处理这些小数据包时会有些麻烦，并且不同的操作系统在处理这个数据包的时候，通常会出现问题。8/1/202332IP碎片扫描以细小的IP碎片包实现SYN328/10/202333UDP扫描这种扫描攻击用来确定目标主机上哪个UDP端口开放。通常是通过发送零字节的UDP数据包到目标机器的各个UDP端口，如果我们收到一个ICMP端口无法到达的回应，那么该端口是关闭的，否则我们可以认为它是敞开大门的。UDP扫描的意义：确定目标主机是否存在那些基于UDP协议的服务如snmp,tftp,NFS,DNS。ICMP数据包的发送速度有限制。而UDP扫描速度更快。8/1/202333UDP扫描这种扫描攻击用来确定目标主机上338/10/202334被扫描主机的响应TCP扫描的响应：目标主机响应SYN/ACK，则表示这个端口开放。目标主机发送RST，则表示这个端口没有开放。目标主机没有响应，则可能是有防火墙或主机未运行。UDP扫描的响应：目标主机响应端口不可达的ICMP报文则表示这个端口关闭。目标主机没有响应，并且目标主机响应了ping，则这个端口被打开，如果防火墙阻塞了ICMP消息，则这个端口可能是关闭的。8/1/202334被扫描主机的响应TCP扫描的响应：UDP34随着防火墙的广泛应用，普通的扫描很难穿过防火墙去扫描受防火墙保护的网络。即使扫描能穿过防火墙，扫描的行为仍然有可能会被防火墙记录下来。如果扫描是对非连续性端口、源地址不一致、时间间隔很长且没有规律的扫描的话，这些扫描的记录就会淹没在其他众多杂乱的日志内容中。使用慢速扫描的目的也就是这样，骗过防火墙和入侵检测系统而收集信息。虽然扫描所用的时间较长，但这是一种比较难以被发现的扫描。慢速扫描随着防火墙的广泛应用，普通的扫描很难穿过防火墙去扫描受防火墙35 乱序扫描也是一种常见的扫描技术，扫描器扫描的时候不是进行有序的扫描，扫描端口号的顺序是随机产生的，每次进行扫描的顺序都完全不一样，这种方式能有效地欺骗某些入侵检测系统而不会被发觉。乱序扫描 乱序扫描也是一种常见的扫描技术，扫描器扫描的时候不是进行有368/10/202337RPC扫描用SunRPC程序的NULL命令来确定是否有RPC端口开放，如果有，运行什么程序，何种版本。这种扫描相当于执行‘rpcinfo-p’命令。8/1/202337RPC扫描用SunRPC程序的NULL378/10/202338源端口扫描不使用操作系统分配的大于1024的任意端口，而是扫描器指定一个的源端口，对目标主机进行扫描，这样可以逃避路由器或防火墙的访问控制过滤规则。8/1/202338源端口扫描不使用操作系统分配的大于102388/10/202339扫描器（scanner）扫描器是一种自动检测远程或本地主机安全性弱点的软件。主要有端口扫描器和漏洞扫描器两种。扫描器通常集成了多种功能。端口扫描器的作用是进行端口探测，检查远程主机上开启的端口。漏洞扫描器则是把各种安全漏洞集成在一起，自动利用这些安全漏洞对远程主机尝试攻击，从而确定目标主机是否存在这些安全漏洞。因此，扫描器是一把双刃剑，系统管理员使用它来查找系统的潜在漏洞，而黑客利用它进行攻击。8/1/202339扫描器（scanner）扫描器是一种自动398/10/202340常见的扫描工具NMAP，winmapFoundstone公司的Robinkeir开发的superscan流光fluxay4.7/main.html8/1/202340常见的扫描工具NMAP，winmap408/10/202341如何防御端口扫描

关闭所有不必要的端口自己定期的扫描网络主机、开放的端口使用基于状态数据包过滤器或是代理等智能防火墙来阻塞黑客的扫描攻击8/1/202341如何防御端口扫描

关闭所有不必要的端口418/10/202342OSfingerprinting

操作系统的指纹识别根据不同类型的操作系统的TCP/IP协议栈的实现特征(stackfingerprinting)来判别主机的操作系统类型。不同的操作系统厂商的TCP/IP协议栈实现存在细微差异，对于特定的RFC文档作出不同的解释。向目标主机发送特殊的数据包，然后根据目标主机的返回信息在扫描工具的操作系统指纹特征数据库中查找匹配的操作系统名。8/1/202342OSfingerprinting

操作428/10/202343主动与被动的协议栈指纹识别主动协议栈指纹识别：扫描器主动地向目标系统发送特殊格式的数据包，这种方式可能会被网络IDS系统检测出来。被动协议栈指纹识别：通过被动地监听网络流量，来确定目标主机地操作系统。一般根据数据包的一些被动特征：TTL，窗口大小，DF等。8/1/202343主动与被动的协议栈指纹识别主动协议栈指纹438/10/202344扫描应用软件版本在第一次连接时，许多软件都公布了版本号(如sendmail,FTP,IMAPD，Apache等)。黑客根据这些连接信息(banner)就可以知道目标的应用软件的版本信息。根据版本号很容易在网上查到它的已知漏洞，根据这些漏洞对目标主机进行攻击。8/1/202344扫描应用软件版本在第一次连接时，许多软件44信息收集与漏洞扫描ppt课件45信息收集与漏洞扫描ppt课件46NMap扫描器Nmap(NetworkMapper)是一款开放源代码的网络探测和安全审核的工具。它的设计目标是快速地扫描一个网络或一台主机上的开放的端口。Nmap使用原始IP包来发现网络上有哪些主机，那些主机提供什么服务(应用程序名和版本)，那些服务运行在什么操作系统(包括版本信息)，使用什么类型的包过滤器/防火墙，以及一些其它功能。Nmap原来是用于Unix系统的命令行应用程序。但自从2000年以来，这个应用程序就有了Windows版本。但在Windows平台上至今还没有提供图形界面，NMap扫描器Nmap(NetworkMapper)是47Nmap简介Nmap输出的是扫描目标的列表，以及每个目标的补充信息，至于是哪些信息则依赖于所使用的选项。“所感兴趣的端口表”是输出信息的关键。表中列出端口号、协议、服务名称和状态。状态可能是open(开放的)、filtered(被过滤的)、closed(关闭的)或者unfiltered(未被过滤的)。如果Nmap报告状态组合open|filtered和closed|filtered时，那说明Nmap无法确定该端口处于两个状态中的哪一个状态。当要求进行版本探测时，也可以包含软件的版本信息。当要求进行IP协议扫描时，Nmap提供所支持的IP协议而不是正在监听的端口的信息。除了端口表，Nmap还能提供关于目标主机的进一步信息，包括反向域名、操作系统猜测、设备类型和MAC地址等Nmap简介Nmap输出的是扫描目标的列表，以及每个目标的补48信息收集与漏洞扫描ppt课件49端口扫描器设定主机设定端口范围扫描结果端口扫描器设定主机设定端口范围扫描结果50漏洞扫描漏洞，又称脆弱性(vulnerability)，是计算机系统在硬件、软件、协议的具体实现和系统安全策略上存在缺陷和不足，从而可以使攻击者能够在未授权的情况下访问或破坏系统。在不同的软、硬件设备中，不同系统中或同种系统在不同的设置条件下，都会存在各自不同的漏洞。而且漏洞问题是不可避免的，它将长期存在。漏洞本身并不能对系统安全造成什么损害，关键问题在于攻击者可以利用这些漏洞引发安全事件。漏洞扫描漏洞，又称脆弱性(vulnerability)，是计51漏洞的分类从脆弱性来源划分系统配置不当导致的脆弱性各种系统软件、应用软件存在脆弱性系统的某些功能自身存在安全隐患操作系统本身存在安全隐患漏洞的分类从脆弱性来源划分52从网络攻击的角度非法获取系统操作权限执行任意代码非法读写系统文件拒绝服务口令获取服务信息泄漏伪造信息欺骗设置后门从网络攻击的角度53漏洞分级:根据对系统造成的潜在威胁以及被利用的可能性可将各种安全漏洞进行分级，可以分为高、中、低3级;漏洞库:漏洞库就是把所有系统安全漏洞及其相关信息存储到数据库中，方便计算机用户更详细地了解系统安全漏洞，方便用户检索自己的系统会存在哪些漏洞，可能对系统安全造成什么危害以及如何补救等等。漏洞分级:根据对系统造成的潜在威胁以及被利用的可能性可将各种54国内较知名的公布漏洞方面的站点:国家计算机网络入侵防范中心（）绿盟科技（）安全焦点（）中国信息安全论坛（）安络科技（）20CN网络安全小组（）中国计算机网络应急处理协调中心（/index.html）等。国内较知名的公布漏洞方面的站点:55国际安全组织建立的漏洞库BugTraq漏洞库ICAT漏洞库CERT/CC漏洞库SANS漏洞库ISS的X-Force漏洞库Securityfocus漏洞库CVE(CommonVulnerabilityandExposures)漏洞库等国际安全组织建立的漏洞库56漏洞扫描技术根据扫描的目标，扫描器产品可分为基于主机的和基于网络的两种。基于主机的扫描是在被检查主机上运行扫描器，检查所在主机上面的漏洞；而基于网络的扫描是通过网络远程探测其他主机的安全漏洞。根据扫描方法，可以将脆弱性扫描分为静态检查和动态测试法：静态检查：根据安全脆弱点数据库，建立特定于具体网络环境和系统的检测表，表中存放了关于已知的脆弱点和配置错误的内容，检查程序逐项检查表中的每一项并和系统进行对比。如果系统与之相符，则该项通过了检测。若不符合，则报告并建议修复措施。动态测试：应用特定的脚本或程序去检查或试探主机或网络是否具有某种脆弱点。漏洞扫描技术根据扫描的目标，扫描器产品可分为基于主机的和基于5758工具(1) X-Port(2) PortScanner(3) SuperScan(4) 流光(5) X-ScanX-Scan解压后即可运行，X-Scan程序的主界面如图3-1所示。58工具(1) X-Port58X-ScanX-Scan59信息收集与漏洞扫描ppt课件60XSCANXSCAN618/10/202362其它漏洞扫描工具Nessus： 最好的开放源代码风险评估工具，可以运行在Linux、BSD、Solaris。能够完成超过1200项的远程安全检查，具有多种报告输出能力。并且会为每一个发现的安全问题提出解决建议。网址：ISSInternetScanner：（应用层风险评估工具）商业漏洞扫描软件。Retina（eEye公司的风险评估扫描工具）：Retina的功能是扫描网络内所有的主机并且报告发现的每一个缺陷。8/1/202362其它漏洞扫描工具Nessus：ISSI62RetinaRetina638/10/202364漏洞扫描工具Nessus： 最好的开放源代码风险评估工具，可以运行在Linux、BSD、Solaris。能够完成超过1200项的远程安全检查，具有多种报告输出能力。并且会为每一个发现的安全问题提出解决建议。网址：ISSInternetScanner：（应用层风险评估工具）商业漏洞扫描软件。Retina（eEye公司的风险评估扫描工具）：Retina的功能是扫描网络内所有的主机并且报告发现的每一个缺陷。8/1/202364漏洞扫描工具Nessus：ISSInt64MBSA：Microsoft基线安全性分析器，可针对其产品更新进行检查并提供已知漏洞修补。MBSA基于本地安全检查，准确性高，但需要管理员权限。TenableNessus：扫描侦测系统的漏洞信息并提供详细的分析报告，包括漏洞数目统计、严重性等。针对扫描结果，提供安全建议及修补信息等。远程扫描不需要任何权限，漏洞扫描准确性稍差。MBSA：Microsoft基线安全性分析器，可针对其产品65Microsoft(MBSA)操作平台：Windows2000和WindowsXPInternetExplorer5.01或更新版本需要一个XML剖析器(MSXML版本3.0SP2)。若要进行远程IIS计算机扫描，则安装此工具的计算机必须含有IISCommonFiles。MBSA2.0下载：/technet/security/tools/mbsa2/default.mspxMicrosoft(MBSA)操作平台：Windows66Microsoft(MBSA)可以扫描下列产品存在的安全漏洞： WindowsNT4.0、Windows2000、WindowsXP、InternetInformationServer(IIS)4.0和5.0、SQLServer7.0和2000、InternetExplorer(IE)5.01或更新版本及Office2000和2002。最终产生一个XML格式的安全性报告文件并以HTML的格式显示报告。Microsoft(MBSA)可以扫描下列产品存在的安全漏67MBSA使用選擇掃瞄主機MBSA使用選擇掃瞄主機68MBSA使用—设定扫描种类MBSA使用—设定扫描种类69MBSA使用—结果报告便利連結，直接修補MBSA使用—结果报告便利連結，直接修補70MBSA使用—建议更新MBSA使用—建议更新71MBSA使用—再扫描成果MBSA使用—再扫描成果72建议操作流程定期进行漏洞扫描检视漏洞扫描分析报告并修正存在的漏洞进行安全组件的更新修补漏洞再次进行漏洞扫描，确认漏洞是否已获得修补建议操作流程定期进行漏洞扫描73Nessus简介Nessus是采用Client-server架构的远程漏洞扫描系统。server端执行漏洞探测，client端执行漏洞扫描设置及显示报告。Server：Solaris,FreeBSD,GNU/Linux，windows。Client：GTK、Java、Windows。Nessus采用插件式(Plug-in)结构，将要扫描的漏洞作为插件方便地添加到系统中。为了方便用户编写自己的漏洞测试项，Nessus提供了攻击脚本语言NASL(NessusAttackScriptLanguage)检查的结果可以使用HTML、纯文本、XML、LaTeX等格式保存。Nessus下载：/Nessus简介Nessus是采用Client-server74Nessus使用Nessus使用75Nessus使用—设定扫描目标Localhost或被掃瞄IPNessus使用—设定扫描目标Localhost或被掃瞄76Nessus使用—设定扫描类型Nessus使用—设定扫描类型77Nessus使用—选择nessus服务器請選擇此項，除非您自己架Nessus主機。Nessus使用—选择nessus服务器請選擇此項，除非您自78Nessus使用—扫描报告Nessus使用—扫描报告79Nessus使用—远程扫描报告Nessus使用—远程扫描报告80TenableNessus3.03下載

/TenableNessus3.03下載