网络攻防原理与技术 第4版 课件 第4章 网络侦察技术;第5章 网络扫描技术

本PPT是机械工业出版社出版的教材《网络攻防原理与技术（第3版）》配套教学PPT（部分内容的深度和广度比教材有所扩展），作者：吴礼发，洪征，李华波本PPT可能会直接或间接采用了网上资源或公开学术报告中的部分PPT页面、图片、文字，引用时我们力求在该PPT的备注栏或标题栏中注明出处，如果有疏漏之处，敬请谅解。同时对被引用资源或报告的作者表示诚挚的谢意！本PPT可免费使用、修改，使用时请保留此页。声明第四章网络侦察技术网络侦察收集的信息网络侦察扫描：了解你的猎物！踩点、扫描、查点网络侦察收集的信息任务，获取以下信息静态信息各种联系信息，包括姓名、邮件地址、电话号码等DNS、邮件、Web等服务器主机或网络的IP地址（段）、名字和域网络拓扑结构业务信息动态信息目标主机是否开机目标主机是否安装了某种你感兴趣的软件目标主机安装的是什么操作系统目标主机上是否有某种安全漏洞可用于攻击其它一切对网络攻击产生作用的各种信息找指定条件（如某地域、某厂家）的联网主机或设备网络侦察收集的信息你能想到哪些方法来获得上述信息的一种或几种？给你一个QQ号，如何找出QQ主人的相关信息？你了解社会工程学吗？人肉搜索？如何发现一个人的社会关系？你使用过哪些搜索网站？如何使用？用它来干什么？连不上某台主机（PING或上网）是否说明该主机没开？当网络扫描遇到安全类软件时会发生什么？为什么要禁止军人上电视（／网络）征婚、交友？（为什么军人不能在电视或网络上表明军人身份？）如何提防被侦察？网络侦察收集的信息各种联系信息，包括姓名、邮件地址、电话号码等；DNS、邮件、Web等服务器；主机或网络的IP地址（段）、名字和域；网络拓扑结构；业务信息；其它一切对网络攻击产生作用的各种信息。内容提要网络侦察方法步骤1多用途侦察工具2网络侦察防御3一、搜索引擎著名黑客AdrianLamo因曾攻击一些著名的报业公司、石油公司、互联网服务提供商和金融服务公司而闻名。有杂志在对他做专访时，问他最钟爱的黑客工具是什么时，他立即说：“没什么特别的，搜索引擎是我最喜欢的工具”搜索引擎Baidu的重要检索命令site:[域]用途：返回与特定域相关的检索结果；示例：site:南京

（在域中查找含有“南京”的结果）Baidu的重要检索命令link:[Web页面]用途：给出和指定Web页面相链接的站点，可能泄露目标站点的业务关系；示例：link:（查看与教育部官网相链接的所有站点）。Baidu的重要检索命令（cont.）intitle:[条件]用途：用于检索标题中含有特定检索文本的页面。在查找那些将Web页面配置成可显示不同的文件系统目录的索引时将非常有用。可能返回站点管理员意外泄露的敏感文件和配置数据；示例：site:intitle:”indexof”(查看站点中是否有通过Web服务器获得的索引目录)。Baidu的重要检索命令（cont.）cache:[页面]用途：显示来自于Baidu快照的页面内容。对于查找最近被移出或当前不可用的页面时非常有用；示例：cache:（查找中最近被Baidubot抓取的页面）。Baidu的重要检索命令（cont.）filetype:[后缀]用途：检索特定类型的文件；示例：filetype:pptsite:（查找域中所有的ppt文件）问题：查网络安全方面的PPT？Baidu的重要检索命令（cont.）Not（－）用途：过滤Web页面中所包含的特定条件；示例：dolphins–football。Plus（+）用途：告诉Baidu不应该把某个词过滤掉（注意：不是告诉Baidu所有的页面都要包含某个条件）；示例：site:+how+the。Google常用命令找目标如何找网络上的一台主机或联网设备？Shodan联网设备搜索引擎(http://www.shodan.io)ShodanShodan搜索对象分为网络设备、网络服务、网络系统、banner信息关键字四类Shodan网络设备又分为网络连接设备和网络应用设备。网络连接设备是指将网络各个部分连接成一个整体的设备，主要包括：主要包括Hub（集线器）、Modem（调制解调器）、Switch（交换机）、Router（路由器）、Gateway（网关）、Server（各种网络服务器）。网络应用设备是指利用因特网提供的服务完成设计功能的设备，常见的有打印机、摄像头、数字电话、数字空调、智能电视以及工业生产领域大量使用的传感器、控制单元等。Shodan网络服务是指网络提供的各种服务，如FTP、HTTP等网络系统包括：操作系统（如Windows，Linux，Solaris，AIX等）工业生产领域广泛使用的各类控制系统，如数据采集与监视控制系统（SupervisoryControlAndDataAcquisition,SCADA）、集散控制系统（DistributedControlSystem,DCS）\配电网管理系统（DistributionManagementSystem，DMS）等ShodanBanner信息关键字类搜索对象是指用户分析Shodan搜索返回的banner后，将其中的关键字作为搜索对象，如弱口令（defaultpassword）、匿名登录（anonymouslogin）、HTTP报头（如HTTP200OK）等。Shodan格式：ABCfilter:valuefilter:valuefilter:valueA、B、C为搜索对象，如网络设备netcam、网络服务器IIS。Filter为Shodan搜索过滤词，常见的有地理位置、时间、网络服务。Value为filter对应的值，若filter是端口，则value的值对应为Shodan支持搜索的端口值。需要注意的是filter与value之间的冒号后面没有空格Shodan过滤词：地理位置类过滤词注意：使用过滤词需要注册账号并登录！Shodan过滤词：网络服务类过滤词，主要包括hostname、net、os、portShodan过滤词：网络服务类过滤词，主要包括hostname、net、os、portShodan：搜索公网摄像头ZoomeyeZoomeyeZoomeyeZoomeyeZoomeye32

FOFA是白帽汇推出的一款网络空间搜索引擎，它通过进行网络空间测绘，能够帮助研究人员或者企业迅速进行网络资产匹配，例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等FOFAFOFAFOFA可以搜索网络组件，例如地区，端口号，网络服务，操作系统，网络协议等包括各种开发框架、安全监测平台、项目管理系统、企业管理系统、视频监控系统、站长平台、电商系统、广告联盟、前端库、路由器、SSL证书、服务器管理系统、CDN、Web服务器、WAF、CMS等，还可以绕过CDN找真实IPFOFA/谛听搜索到的很多设备或服务可能是陷阱（蜜罐,蜜网）二、whois数据库：信息宝库whois数据库确定了目标系统后，下一步就是确定域名和相关的网络信息。要找到这些信息，有哪些方法呢？求助于互联网的域名授权注册机构：互联网上各类型的whois数据库充当了互联网白皮书列表的角色。数据库中的数据包括了域名、IP地址、个人联系方式等注册信息。whois数据库由不同的注册商和特定的互联网基础设施组织所维护。（一）根据域名查注册机构互联网数字分配机构(TheInternetAssignedNumbersAuthority,IANA)的Whois数据库（/whois）根据域名查注册机构主要查询点：InterNIC的Whois数据库，支持以.aero,.arpa,.asia,.biz,.cat,.com,.coop,.edu,.info,.int,.jobs,.mobi,.museum,.name,.net,.org,.pro,or.travel为后缀的域名的注册机构查询（/whois.html）根据域名查询注册机构如果要查询以中国顶级域名（.cn）为后缀的域名，可查询中国互联网信息中心(ChinaInternetNetworkInformationCenter,CNNIC)的Whois数据库（/）。根据域名查注册机构根据域名查注册机构Uwhois数据库（）根据域名查注册机构（二）根据注册机构查注册信息根据注册机构查注册信息根据注册机构查注册信息根据注册机构查注册信息这是以前查到的结果根据注册机构查注册信息这是以前查到的结果根据注册机构查注册信息这是以前查到的结果根据注册机构查注册信息这是以前查到的结果（三）根据IP地址查询信息查询某个域名所对应的IP地址分配情况，也可以对某个IP地址进行查询以获得拥有该IP地址的机构信息。获取IP地址或地址段是进行精确网络扫描的基础。这类查询一般借助全球四大互联网地址注册机构的Whois数据库来查询根据域名的IP地址查询信息美国互联网号注册局（AmericanRegistryforInternetNumbers,ARIN）的Whois数据库（/），负责北美地区的IP地址分配和管理根据域名的IP地址查询信息由RéseauxIPEuropéens网络协作中心（RéseauxIPEuropéensNetworkCoordinationCentre,RIPENCC）提供的Whois数据库（），负责欧洲、中东、中亚和非洲地区的IP地址分配和管理根据域名的IP地址查询信息由RéseauxIPEuropéens网络协作中心（RéseauxIPEuropéensNetworkCoordinationCentre,RIPENCC）提供的Whois数据库（），负责欧洲、中东、中亚和非洲地区的IP地址分配和管理根据域名的IP地址查询信息由亚太网络信息中心（AsiaPacificNetworkInformationCenter,APNIC）提供的Whois数据库（），负责亚太地区的IP地址的分配和管理根据域名的IP地址查询信息由亚太网络信息中心（AsiaPacificNetworkInformationCenter,APNIC）提供的Whois数据库（），负责亚太地区的IP地址的分配和管理根据域名的IP地址查询信息根据域名的IP地址查询信息根据域名的IP地址查询信息根据域名的IP地址查询信息由拉丁美洲和加勒比海网络地址注册局（LatinAmericanandCaribbeanInternetAddressRegistry,LACNIC）维护的Whois数据库（），负责拉丁美洲和加勒比海地区的IP地址和管理根据域名的IP地址查询信息使用中国互联网信息中心（CNNIC）提供的IP地址注册信息查询系统（/）可以查到CNNIC及中国大陆的IP地址分配信息根据域名的IP地址查询信息根据域名的IP地址查询信息地址输入栏中输入一个IP地址（41）得到类似结果根据域名的IP地址查询信息根据域名的IP地址查询信息根据域名的IP地址查询信息APT1：IP地址注册信息除了通过各Whois数据库维护方的网站上查询域名信息外，还可以通过各种工具查询Whois数据库。Windows和Linux操作系统中均有相关的Whois查询命令，当然需要安装相应的工具，而不是默认提供。例如，WhoisCL是Windows下的命令行版本的Whois数据库查询工具（/utils/whoiscl.html）；Linux下也可以安装Whois工具（CentOS下安装命令为yuminstall-yjwhois,Debian/Ubuntu下安装命令为apt-getinstall-ywhois）。这些工具一般都支持用户添加Whois服务器，以支持更多的域名后缀的查询查询工具拥有8年的数据积累，包含6年全球网络拓扑数据、6年全球网络波动数据、8年全球43亿IP定位数据、5年境内外街道级IP定位数据、全球1000+自主探测点和7000+第三方探测点网络空间测绘三、域名系统域名系统中的区Zone:

Zone:ftpexample……wwwdevmicrosoftcomeduorg域名系统允许把一个DNS命名空间分割成多个区，各个区保存一个或多个DNS域的名字信息区传送域名查询的解析操作由多个DNS服务器来提供，从而提高可用性和容错性；DNS服务器之间采用区传送的机制来同步和复制区内数据；区传送的最大安全问题：传输的域名信息中包含了不该公开的内部主机和服务器的域名信息，从而将内部主机名和IP地址暴露给了攻击者。区传送查询工具：Windows平台：nslookup,SamSpade;UNIX平台：nslookup,dig,host,axfr等示例：nslookup工具Windows自带工具指定目标的主DNS服务器或辅DNS服务器指定查询任何类型的DNS记录将查询到的DNS记录保存到文件中去示例：DNS记录（部分）使用viewdns_zone.out命令查看保存的记录A表示获取的IP地址信息MX表示邮件交换记录信息，通常用于表明处理邮件的服务器，MX后面的整数值表示各条记录的优先级DNS区传送（限制）DNS区传送问题深度分析四、网络拓扑Traceroute工具弄清拓扑结构有什么用处呢？Traceroute是一种网络故障诊断和获取网络拓扑结构的工具，可以跟踪TCP/IP数据包从出发点到目的地所走的路径：通过发送小的数据包到目的设备直到返回，来测量耗时，并返回设备的名称和地址；通过向目的地发送不同生存时间（TTL）的ICMP报文，以确定到达目的地的路由。示例：tracert示例：tracert其它路由跟踪工具图形化工具：VisualRoute:/visualroute/index.htmlXTraceroute:www.dtek.chalmers.se/~d3auguest/xt/工具链接：/atlas/routes.html拓扑发现新技术：网络测量数据中分析拓扑五、社交网络社交网络社交网络已经构成了一组巨大的网民信息“大数据”，这些数据是了解攻击目标的重要情报来源。通过社交网络，可以挖掘出一个人的社会关系、朋友、敌人、工作、思维风格、喜好、厌恶、银行信息等，而这些信息对于网络攻击非常有帮助。社交网络利用社交网络进行情报搜集的方法可以分为关注“用户”、关注“信息”和引导用户参与三种。关注“用户”。主要是利用社交媒体的交互性特点，利用社交网络与想要关注的团体和个人建立联系，从中套取相关攻击目标有关的信息。关注“信息”。从社交媒体上流动的海量信息中提取有用情报。针对社交媒体的海量信息，搜集提取需要的信息内容，并运用先进的分析技术对海量信息进行处理。主动邀请和引导社交网用户参与及建议。通过互动了解目标的相关信息。用户隐私收集无处不在的账户注册无处不在的邮箱验证与手机验证移动互联网无处不在的LBS收集用户主动分享用户主动分享攻击获取2015.10.30：全球最流行的免费Web托管公司000Webhost遭遇了一次大规模的数据泄露事件，1350万用户的个人数据泄露（用户名、明文密码、邮箱地址、IP地址、用户真实的姓氏）攻击获取2015.5.1：匿名者攻击WTO子域名，泄露近2000个员工信息。2015.5.19：匿名者用SQL注入攻击意大利国防部网络系统，泄露1700个账户信息跨域拓展攻击由泄露数据库，用户已共享的昵称等向门户网站，各类论坛，主流邮商账户进行跨域拓展，以获得“新隐私”跨域拓展攻击跨域拓展攻击拖库：2011.12.21黑客在网上公开提供CSDN网站用户数据库下载后，包括人人网、猫扑、多玩等在内的网站部分用户数据库也被传到网上供用户下载。超过5000万个用户帐号和密码在网上流传撞库：2014年12月25日，12306网站用户信息在互联网上疯传；iCloud艳照门2015.10.19：“网易邮箱门”个人隐私保护很难木桶效应：个人互联网账户众多，难以做到所有账户彻底安全六、Web站点查询Web网站查询Web站点通常会包含其组织机构的详尽信息，比如组织结构、员工名单、日程安排等。有经验的攻击者一般会仔细浏览目标对象的Web站点，查找自己感兴趣的信息。站点架构。联系方式。企业员工的电话号码、邮箱地址、家庭住址等信息对于社会工程学非常有用。招聘信息。招聘信息往往会暴露公司需要哪方面的人才。比如需要招聘一名Oracle数据库管理员，则说明公司内部运行的数据库肯定有Oracle数据库。Web网站查询Web站点通常会包含其组织机构的详尽信息，比如组织结构、员工名单、日程安排等。有经验的攻击者一般会仔细浏览目标对象的Web站点，查找自己感兴趣的信息。公司文化。大多数机构的Web站点常常会披露机构的组织结构、会议安排、重要公告、工作日程、工作地点、产品资料等等，这些都可以用来进行社会工程学攻击。商业伙伴。可以了解公司的业务关系，对于公司的某些敏感信息很可能从其安全管理薄弱的合作伙伴那里取得。Web网站查询Web站点通常会包含其组织机构的详尽信息，比如组织结构、员工名单、日程安排等。有经验的攻击者一般会仔细浏览目标对象的Web站点，查找自己感兴趣的信息。新闻信息。七、开源情报收集开源情报收集开源情报收集OSINTFramework(/)其它非技术侦察手段直接混进组织内部：直接混入组织内部，获取与目标公司相关的敏感信息或放置恶意软件，或者窃走U盘、硬盘甚至是整台存放敏感数据的计算机。垃圾搜寻：即在一个组织的垃圾桶里仔细搜寻、查找敏感信息。包括寻找包含敏感数据的废纸、CD/DVD、软盘/硬盘等。小结注册机构查询注册资料查询社会工程学

DNS查询垃圾收集

查询目标系统在Internet上的注册机构地址在注册机构的whois库中查询目标系统的详细注册信息:联系人、域名服务器、IP地址段等拓扑分析

……利用注册资料中的电话号码、邮件地址等一切可用信息利用注册资料中的DNS服务器等信息利用注册资料中的公司地址信息通用资料查询Google、Baidu、Yahoo、搜狗内容提要网络侦察方法步骤1多用途侦察工具2网络侦察防御3（一）客户端侦察工具NetScanToolsPro：一款侦察、扫描集成工具，/nstmain.html。BackTrack:集成渗透测试工具，后来更新名为著名的Kali，，/（二）基于Web的侦察工具Internet上免费提供的基于Web的侦察工具：/注意：许多侦察和攻击站点具有黑客背景，可能会监视你的活动甚至对你发起攻击，用户应该仅通过与单位相隔离的ISP来访问，使用不带敏感信息的客户端。内容提要网络侦察方法步骤1多用途侦察工具2网络侦察防御3(一)防御搜索引擎和基于Web的侦察对于自己的Web服务器，建立信息披露策略。不要在Web站点上放置敏感的客户数据或其它信息组织必须有具体的措施要求如何使用新闻组和邮件列表：必须要求职工不得在新闻组和邮件列表这样的公共渠道上发布系统配置、商业计划和其它敏感话题信息；如果发现Google对一个不期望公开的URL或页面进行了索引，可以要求Google把它们移出。(二)防御WHOIS检索Whois数据库能提供攻击者如此有用的信息，那么给出错误或误导的注册信息会使你更加安全吗？防御Whois检索可行的方法是：保证注册记录中没有额外的可供攻击者使用的信息，例如管理员的帐户名；要求不公开对员工进行培训，避免误中社会工程学攻击的诡计。(三)防御基于DNS的侦察确保没有通过DNS服务器泄露额外的信息。比如将某台Windows2003服务器命名为w2kdmzserver就泄露了计算机的操作系统类型；限制DNS区域传送。可以对DNS服务器进行配置，制定允许发起区域传送的具体的IP地址和网络；使用分离DNS的技术（指在两台不同的服务器上分离DNS的功能，外部用户和内部用户分别使用不同的DNS服务），减少可公开获得的基础设施的DNS信息。本章小结作业本PPT是机械工业出版社出版的教材《网络攻防原理与技术（第3版）》配套教学PPT（部分内容的深度和广度比教材有所扩展），作者：吴礼发，洪征，李华波本PPT可能会直接或间接采用了网上资源或公开学术报告中的部分PPT页面、图片、文字，引用时我们力求在该PPT的备注栏或标题栏中注明出处，如果有疏漏之处，敬请谅解。同时对被引用资源或报告的作者表示诚挚的谢意！本PPT可免费使用、修改，使用时请保留此页。声明第五章网络扫描技术内容提纲主机扫描2端口扫描3操作系统识别4网络扫描概述1漏洞扫描5网络扫描技术什么是网络扫描？使用网络扫描软件对特定目标进行各种试探性通信，以获取目标信息的行为。网络扫描的目的识别目标主机的工作状态（开/关机）识别目标主机端口的状态（监听/关闭）识别目标主机的操作系统类型识别目标系统可能存在的漏洞主机扫描端口扫描漏洞扫描操作系统识别内容提纲主机扫描2端口扫描3操作系统识别4网络扫描概述1漏洞扫描5主机扫描向目标主机发送探测数据包，根据是否收到响应来判断主机的工作状态。ICMPICMPEchoICMPNon-EchoIP异常的IP数据报首部错误的分片（一）ICMP扫描ICMPInternet控制报文协议。ICMP的作用：提高IP报文交付成功的机会网关或者目标机器利用ICMP与源通信。当出现问题时，提供反馈信息用于报告错误。ICMP报文的结构IP首部ICMP报文0IP数据部分检验和代码（这4个字节取决于ICMP报文的类型）81631IP数据报ICMP的数据部分（长度取决于类型）类型ICMP报文种类ICMP报文种类类型的值ICMP报文的类型差错报告报文3终点不可达4源站抑制11时间超过12参数问题5改变路由询问报文8或0回送请求或回答13或14时间戳请求或回答17或18地址掩码请求或回答10或9路由器询问或通告ICMPEcho扫描(1/5)ICMP回送请求ICMP回送响应黑客目标主机结论：目标主机在运行ICMPEcho扫描(2/5)ICMP回送请求未收到任何响应黑客目标主机结论：目标主机未开机ICMPEcho扫描(3/5)示例D:\>pingPingingwith32bytesofdata:Replyfrom:bytes=32time<1msTTL=128Replyfrom:bytes=32time<1msTTL=128Replyfrom:bytes=32time<1msTTL=128Replyfrom:bytes=32time<1msTTL=128Pingstatisticsfor:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=0ms,Average=0msICMPEcho扫描(4/5)示例D:\>ping0Pinging0with32bytesofdata:Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.Pingstatisticsfor0:Packets:Sent=4,Received=0,Lost=4(100%loss),ICMPEcho扫描(5/5)BroadcastICMP扫描将ICMP请求包的目标地址设为广播地址或网络地址，则可以探测广播域或整个网络范围内的主机。缺点：只适合于UNIX/Linux系统，Windows会忽略这种请求包；这种扫描方式容易引起广播风暴ICMPNon-Echo扫描利用其它类型的ICMP报文进行扫描ICMP报文种类类型的值ICMP报文的类型差错报告报文3终点不可达4源站抑制11时间超过12参数问题5改变路由询问报文8或0回送请求或回答13或14时间戳请求或回答17或18地址掩码请求或回答10或9路由器询问或通告ICMP扫描的问题很多企业防火墙对ICMP回送请求报文进行过滤，使其无法到达目标主机。主机上安装的个人防火墙往往也对ICMP报文进行阻断。解决办法：使用IP数据报进行扫描。(二）基于IP异常分组的扫描04816192431版本标志生存时间协议标识服务类型总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）比特首部长度固定部分(20字节)可变部分01234567DTRC未用优先级数据部分首部比特数据部分首部传送IP数据报异常的IP数据报首部：参数错主机在收到首部异常（HeaderLengthField、IPOptionsField

、VersionNumber）的IP数据报时应当返回“参数问题”的ICMP报文。首部异常的IP数据报“参数问题”ICMP报文黑客目标主机结论：目标主机在运行未收到任何响应结论：目标主机未开机异常的IP数据报首部：目标不可达向目标主机发送的IP包中填充错误的字段值，目标主机或过滤设备会反馈ICMPDestinationUnreachable信息。IP数据报分片偏移=0/8=0偏移=0/8=0偏移=1400/8=175偏移=2800/8=350140028003799279913993799需分片的数据报数据报片1首部数据部分共3800字节首部1首部2首部3字节0数据报片2数据报片314002800字节0错误的IP数据报分片由于缺少分片而无法完成IP数据报重组（超时）时，主机应当回应“分片重组超时”的ICMP报文。分片1和分片3“分片重组超时”ICMP报文黑客目标主机结论：目标主机在运行未收到任何响应结论：目标主机未开机超长包探测内部路由器若构造的数据包长度超过目标系统所在路由器的PMTU且设置禁止分段标志,该路由器会反馈FragmentationNeededandDon’tFragmentBitwasSet差错报文。（三）反向映射探测目标主机无法从外部直接到达，采用反向映射技术，通过目标系统的路由设备探测被过滤设备或防火墙保护的网络和主机。想探测某个未知网络内部的结构时，可以推测可能的内部IP地址（列表），并向这些地址发送数据包。目标网络的路由器收到这些数据包时，会进行IP识别并转发，对不在其服务范围的IP包发送ICMPHostUnreachable或ICMPTimeExceeded错误报文。没有收到错误报文的IP地址可认为在该网络中。这种方法也会受过滤设备的影响。内容提纲主机扫描2端口扫描3操作系统识别4网络扫描概述1漏洞扫描5端口扫描：概述什么是端口？为什么可以进行端口扫描？一个端口就是一个潜在的通信信道，也就是入侵通道！当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和各种应用监听的端口。向目标端口发送探测数据包，根据收到的响应来判断端口的状态。TCP扫描UDP扫描端口扫描：方法向目标端口发送探测数据包，根据收到的响应来判断端口的状态。TCP扫描FTP代理扫描UDP扫描一、TCP扫描TCP报文段的结构目的端口数据偏移检验和选项（长度可变）源端口序号紧急指针窗口确认号保留FINTCP首部20

字节的固定首部SYNRSTPSHACKURG填充TCP数据部分TCP首部TCP报文段IP数据部分IP首部发送在前TCP连接请求报文及响应TCP连接的建立过程SYN主机BSYN,ACKACK主机A目标端口（一）TCPConnect扫描(1/2)尝试同目标端口建立正常的TCP连接(直接调用系统提供的connect(…)函数)。连接建立成功结论：目标端口开放连接建立失败结论：目标端口关闭TCPConnect扫描的特点(2/2)优点稳定可靠，不需要特殊的权限。缺点扫描方式不隐蔽，服务器会记录下客户机的连接行为。如何隐藏扫描行为？（二）SYN扫描(1/3)SYN主机BSYN,ACKRST主机A结论：端口开放目标端口SYN扫描(2/3)SYN主机BRST主机A结论：端口关闭目标端口SYN扫描的特点(3/3)优点很少有系统会记录这样的行为。缺点需要管理员权限才可以构造这样的SYN数据包。（三）FIN扫描(1/3)FIN主机B主机A结论：端口开放未收到任何响应目标端口FIN扫描(2/3)FIN主机BRST主机A结论：端口关闭目标端口FIN扫描的特点(3/3)优点不是TCP建立连接的过程，比较隐蔽。缺点与SYN扫描类似，也需要构造专门的数据包。只适用于Unix系统的目标主机，Windows系统总是发送RST报文段。(四)Xmas扫描和Null扫描Xmas扫描和Null扫描是FIN扫描的两个变种。Xmas扫描打开FIN、URG、ACK、PSH、RST、SYN标记，既全部置1。Null扫描关闭所有标记，既全部置0。扫描过程同FIN扫描一样。二、FTP代理扫描FTPproxy扫描(1/4)FTP代理选项允许客户端控制一个FTP服务器向另一个服务器传输数据。利用这一特点可以实现端口扫描的功能。FTPproxy扫描(2/4)建立FTP会话使用PORT命令指定一个端口P黑客FTP服务器目标主机使用LIST命令启动一个到P的数据传输传输成功结论：目标端口开放无法打开数据连接结论：目标端口关闭FTPproxy扫描的特点(3/4)优点不但难以跟踪，而且可以穿越防火墙。缺点一些FTP服务器禁止这种特性。示例(4/4)D:\ProgramFiles\Nmap>nmap-sSStartingNmap4.01(/nmap)at2006-04-2020:53中国标准时间Interestingportson:(The1666portsscannedbutnotshownbelowareinstate:closed)PORTSTATESERVICE21/tcpopenftp135/tcpopenmsrpc139/tcpopennetbios-ssn445/tcpopenmicrosoft-ds1025/tcpopenNFS-or-IIS5000/tcpopenUPnPMACAddress:52:54:AB:33:E7:71(Unknown)Nmapfinished:1IPaddress(1hostup)scannedin5.829seconds三、UDP扫描UDP扫描UDP没有连接建立过程，该如何判断一个UDP端口打开了呢？依据：扫描主机向目标主机的UDP端口发送UDP数据包，如果目标端口处于监听状态，将不会做出任何响应；而如果目标端口处于关闭状态，将会返回ICMP_PORT_UNREACH错误。UDP扫描从表面上看，目标端口工作状态不同对扫描数据包将做出不同响应，区分度很好。但实际应用中必须考虑到UDP数据包和ICMP错误消息在通信中都可能丢失，不能保证到达，这将使得判断出现偏差。四、扫描策略扫描策略扫描过程中一般要连续向目标发送大量的探测报文，有什么问题吗？很容易被防火墙、入侵检测系统发现。怎么办？扫描策略随机端口扫描（RandomPortScan）慢扫描（SlowScan）分片扫描（FragmentationScanning）将TCP连接控制报文分成多个短IP报文段传送隐蔽性好，可穿越防火墙，躲避安全检测缺点：可能被进行排队过滤的防火墙丢弃；某些程序在处理这些小数据包时会出现异常。诱骗（Decoy）：伪造源地址，目标主机分不清分布式协调扫描（CoordinatedScans）端口扫描小结四、扫描工具网络扫描工具Nmap(命令行)/Zenmap(图形化)Zmap：/zmap/zmap/releaseMasscan/robertdavidgraham/masscan扫描工具三种扫描工具各有利弊：Zmap和Masscan采用了无状态的扫描技术，扫描速度非常快。在信息收集的初级阶段，可以使用Zmap或Masscan进行目标的情势了解，扫描单一端口的情况考虑使用Zmap，而多端口的情况下Masscan则更为快速。在做完初步了解之后，则应该使用功能更加丰富的Nmap进行进一步的详细扫描扫描软件170内容提纲主机扫描2端口扫描3操作系统识别4网络扫描概述1漏洞扫描5操作系统识别根据使用的信息可分为三类：通过获取旗标信息，利用端口信息，通过TCP/IP协议栈指纹一、旗标信息旗标旗标（banner）：客户端向服务器端提出连接请求时服务器端所返回的欢迎信息旗标旗标（banner）：客户端向服务器端提出连接请求时服务器端所返回的欢迎信息二、端口信息端口信息端口扫描的结果在操作系统检测阶段也可以加以利用。不同操作系统通常会有一些默认开放的服务，这些服务使用特定的端口进行网络监听。例如，WindowsXP、Windows2003等系统默认开放了TCP135端口、TCP139端口以及TCP445端口，而Linux系统通常不会使用这些端口。端口工作状态的差异能够为操作系统检测提供一定的依据三、TCP/IP协议栈指纹根据OS在TCP/IP协议栈实现上的不同特点，通过其对各种探测的响应规律形成识别指纹，进而识别目标主机运行的操作系统TCP/IP协议栈指纹(一）主动扫描(1/4)采用向目标系统发送构造的特殊包并监控其应答的方式来识别操作系统类型。主动扫描具有速度快、可靠性高等优点，但同样严重依赖于目标系统网络拓扑结构和过滤规则。(一）主动扫描(2/4)FIN探测：发送一个FIN包给一个打开的端口，一般的行为是不响应，但某些实现例如MSWindows,BSDI,CISCO,HP/UX,MVS,和IRIX发回一个RESET。BOGUS标记探测：设置一个未定义的TCP"标记"（64或128）在SYN包的TCP头里。Linux机器到2.0.35之前在回应中保持这个标记。TCPISN取样：找出当响应一个连接请求时由TCP实现所选择的初始化序列数式样。这可分为许多组例如传统的64K（许多老UNIX机器），随机增量（新版本的Solaris，IRIX，FreeBSD，DigitalUNIX，Cray，等），真“随机”（Linux2.0.*，OpenVMS,新的AIX,等），Windows机器（和一些其他的）用一个“时间相关”模型，每过一段时间ISN就被加上一个小的固定数。(一）主动扫描(3/4)不分段指示位：许多操作系统开始在送出的一些包中设置IP的"Don'tFragment"位。TCP初始化窗口值：检查返回包的窗口大小。如queso和nmap保持对窗口的精确跟踪因为它对于特定OS基本是常数。ACK值：不同实现中一些情况下ACK域的值是不同的。例如，如果你送了一个FIN|PSH|URG到一个关闭的TCP端口。大多数实现会设置ACK为你的初始序列数，而Windows会送给你序列数加1。ICMP错误信息终结：一些操作系统限制各种错误信息的发送率。例如，Linux内核限制目的不可达消息的生成每4秒钟最多80个。测试的一种办法是发一串包到一些随机的高UDP端口并计数收到的不可达消息。(一）主动扫描(4/4)ICMP消息引用：ICMP错误消息中可以引用一部分引起错误的源消息。对一个端口不可达消息，几乎所有实现只送回IP请求头外加8个字节。然而，Solaris送回的稍多，而Linux更多。SYN洪泛限度：如果收到过多的伪造SYN数据包，一些操作系统会停止新的连接尝试。许多操作系统只能处理8个包。TCP选项TCP