《信息安全原理与实践教程》课件第11章

第11章端口扫描与网络侦听

11.1概述11.2SSS端口扫描实验11.3Sniffer网络侦听实验——捕获并分析数据11.4小结11.1概述

11.1.1端口扫描所谓端口扫描，就是对目标计算机进行端口扫描，能得到许多有用的信息。进行扫描的方法很多，可以用手工进行扫描，也可以用端口扫描软件进行。在手工进行扫描时，需要熟悉各种命令，对命令执行后的输出进行分析；用扫描软件进行扫描时，许多扫描器软件都有分析数据的功能。通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。端口扫描程序对于系统管理人员，是一个非常简便实用的工具。端口扫描程序可以帮助系统管理员更好地管理系统与外界的交互。当系统管理员扫描到Finger服务所在的端口号(79/tcp)时，假如原来端口是关闭的，现在又被扫描到，则说明有人非法取得了系统管理员的权限，改变了inetd.conf文件中的内容。因为这个文件只有系统管理员可以修改，这说明系统的安全正在受到侵犯。

最简单的端口扫描程序仅仅是检查一下目标主机在哪些端口可以建立TCP连接。如果可以建立连接，则说明该主机在那个端口监听。当然，这种端口扫描程序不能进一步确定端口提供什么样的服务，也不能确定该服务是否有众所周知的那些缺陷。对于非法入侵者而言，要想知道端口上具体是什么服务，必须用相应的协议来验证才能确定。因为一个服务进程总是为了完成某种具体的工作而设定的，比如说，文件传输服务有文件传输的一套协议，客户端只有按照这个协议提供正确的命令序列，才能完成正确的文件传输服务。使用端口扫描器对目标系统执行端口扫描时至少能达到以下目的：标识运行在目标系统上的TCP和UDP服务；标识目标系统的操作系统类型；标识特定应用程序或特定服务的版本。常见的扫描方法有TCPConnect()、TCPSYN、TCPFIN、TCPACK及UDP扫描等。11.1.2网络侦听所谓网络侦听，是指利用先进的技术和手段，发现和捕获网络设备上传输的报文等信息，它是主机的一种工作模式。在这种模式下，主机可以接收本网段内在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。此时，如果两台主机进行通信的信息没有被加密，只要使用某些网络监听工具，就可以轻而易举地截取包括口令和帐号在内的信息资料。目前应用非常广泛的一类侦听软件是通用网络公司开发的Sniffer程序。由于通用网络公司在市场上的主导地位，Sniffer这个词越来越流行，逐渐成为这一类产品的代名词，以后的所有协议分析程序都被称为Sniffer。

Sniffer只能捕获本机网络接口上所能接收到的报文。因此，要使嗅探器能捕获该网段上所有的包，其工作前提是：●网络中使用的是共享式的HUB；●本机的网卡需要设为混杂模式；●本机上安装有处理接收来的数据的嗅探软件。可见，Sniffer工作在网络环境的底层，它会捕获所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，通过对这些数据的分析获得所处网络的状态和整体布局。

Sniffer的正当用处是分析网络的流量，以便找出所关心的网络中潜在的问题。Sniffer对系统管理员来说非常重要，网络管理员通过Sniffer可以诊断出大量的不可见的模糊问题，这些问题涉及两台乃至更多台计算机之间的异常通信，有些甚至涉及各种协议，借助于Sniffer系统，管理员可以方便地确定出多少的通信量属于哪个网络协议、占主要通信协议的主机是哪一台、大多数通信目的地是哪台主机、报文发送占用多长时间，或者主机相互间的报文传送间隔时间等，这些信息为管理员查找网络问题、管理网络区域提供了非常宝贵的信息。

由于Sniffer可捕捉网络报文，甚至可以捕捉到网络中传输的口令、机密信息、专用信息并通过它获得更高基本权限等，因此如果被非法利用，则会对网络产生极大的安全威胁。11.2SSS端口扫描实验

1.实验目的本实验通过使用SSS(ShadowSecurityScanner)软件进行综合扫描，学习如何发现计算机系统的安全漏洞，并对扫描结果进行简单的分析。

2.实验环境多台计算机构成的局域网环境、Windows操作系统、ShadowSecurityScanner网络扫描软件、Sniffer网络监听软件。

3.SSS扫描目标主机实验

SSS扫描目标主机实验的步骤如下：第1步：第一次启动SSS扫描时，系统会检查所使用的SSS是不是最新版本，主界面如图11.1所示。这时系统会出现5个扫描项目可供选择，如表11.1所示。一般选用Scanner进行主机扫描。单击【Scanner】按钮，进入下一步。图11.1SSS系统的主界面表11.1扫描项目列表第2步：在新任务向导界面中，有6种扫描方式可供选择，如表11.2所示，也可以单击【Addrule】按钮添加自己的扫描规则或者单击【Editrule】按钮来编辑已经有的规则。如图11.2所示，选择“CompleteScan”选项，再单击【Next】按钮，进入下一步。表11.26种扫描方式图11.2选择扫描方式第3步：在弹出的对话框中添加要扫描的主机，选择【AddHost】选项，再单击【Next】按钮进入下一步，如图11.3所示。图11.3添加扫描主机第4步：输入待扫描主机的IP地址为192.168.0.158，单击【OK】按钮，如图11.4所示。图11.4输入要扫描主机的IP地址第5步：回到主界面后可以看到已成功添加了目标主机的IP地址，如图11.5所示。图11.5已成功添加IP地址第6步：右键单击IP地址，选择“Startscan”选项，则开始扫描目标主机，如图11.6所示。图11.6开始扫描第7步：扫描结果如图11.7所示，可以根据不同颜色提示来查看不同安全级别的扫描结果。图11.7查看扫描结果第8步：选中“WebServers”提示，则可以查看该项的详细扫描结果，如图11.8所示。图11.8查看详细结果

4.查看主机参数风险级别实验查看主机参数风险级别的实验步骤如下：第1步：在主界面中右键点击空白处，选择“Addhost”选项，如图11.9所示。图11.9添加主机第2步：在弹出的“Addhost”对话框中输入要扫描的主机的IP地址为“192.168.0.137”，点击【OK】按钮，如图11.10所示。

图11.10输入远程主机IP第3步：添加成功后，右键单击IP地址，选择“Startscan”选项，如图11.11所示，则扫描开始。图11.11扫描目标主机第4步：扫描完成以后，可以看到高风险级别，帐户guest23的密码竟然为空，如图11.12所示。并且还发现guest23的用户权限竟然是Administrator，如图11.13所示。在这种情况下，入侵者可以使用guest23帐户远程空连接的方法对这台主机进行入侵。图11.12查看漏洞图11.13查看用户权限11.3Sniffer网络侦听实验——捕获并分析数据

11.3.1实验目的利用网络监听软件Sniffer，捕获接口上传输的数据报文，通过分析报文，完成相应的操作。

11.3.2Sniffer简介

SnifferPro是由NAI公司开发的一个功能强大的图形界面嗅探器。它是目前唯一能够为全部七层OSI网络模型提供全面性能管理的工具。它的功能包括：●实时监视网络活动；●采集单个工作站、对话或者对网络任何部分详细的利用率和错误统计数据；●保存历史利用率和错误信息，以进行原始分析；●生成实时的声光警报；●检测到故障时通知网络管理员；●捕获网络通信量，以进行详细的数据包分析；●接收专家系统对网络通信量的分析；●用有效的工具探索网络，以模拟通信量测量响应时间、统计跃点数和排除故障。

在进行流量捕获之前，首先要选择网络适配器，确定从计算机的哪个网络适配器上接收数据。运行SnifferPro，执行“File”→“selectsettings”菜单命令，在打开的对话框中选择需要监视的网络适配器，如图11.14所示。图11.14“设置”对话框11.3.3Sniffer捕获报文实验

1)捕获面板报文捕获功能可以在报文捕获面板中进行，图11.15是捕获面板的功能图，图中显示的是处于开始状态的面板。

图11.15报文捕获面板

2)统计捕获报文在捕获过程中可以通过图11.16所示的面板查看捕获报文的数量和缓冲区的利用率。

图11.16捕获报文信息统计

3)查看捕获报文

SnifferPro软件提供了强大的分析能力和解码功能，如图11.17所示。它对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项、图形和表格的统计信息。

图11.17捕获报文查看按键

(1)专家分析系统。专家分析系统提供了一个分析平台，对网络上的流量进行了一些分析，对于分析出的诊断结果可以通过查看在线帮助获得。图11.18显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。对于某项统计分析可以通过鼠标双击此条记录来查看详细统计信息，并且对于每一项都可以通过查看帮助来了解产生的原因。图11.18专家分析系统

(2)解码分析系统。图11.19所示是对捕获报文进行解码的显示，通常分为三部分，即捕获的报文、报文解码和二进制内容。目前大部分此类软件都采用这种结构显示。该软件使用简单，但如果需要使用解码分析功能来解决问题，必须对各层协议了解得比较透彻，工具软件只是提供一个辅助的手段。因涉及的内容太多，这里不对协议进行过多讲解。图11.19解码分析系统对于MAC地址，Snffier软件进行了头部的替换，如以00e0fc开头的就替换成“Huawei”，这样有利于了解网络上各种相关设备的制造厂商信息。

(3)统计分析系统。统计分析系统对Matrix、HostTable、ProtocolDist、Statistics等提供了丰富的按照地址、协议等内容进行组合统计的方法。该系统比较简单，可以通过操作很快掌握，这里就不再详细介绍了。11.3.4Sniffer捕获条件配置实验执行“Capture”→“DefineFilter”和“Display”→“DefineFilter”可以设置和显示捕获规则。

1)基本捕获条件基本捕获条件有两种，如图11.20所示。

图11.20基本捕获条件

(1)链路层捕获。链路层捕获按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如00E0FC123456。

(2) IP层捕获。IP层捕获按源IP和目的IP进行捕获。输入方式为点间隔方式，如10.107.1.1。如果选择IP层捕获条件，则ARP等报文将被过滤掉。

2)高级捕获条件在“Advance”页面下，可以编辑协议捕获条件，如图11.21所示。图11.21高级捕获条件编辑图在协议选择树中可以选择需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议；在捕获帧长度条件下，可以选择捕获等于、小于、大于某个值的报文；在错误帧是否捕获栏，可以选择当网络上有如下错误时是否捕获；选择保存过滤规则条件按钮【Profiles】，可以将当前设置的过滤规则进行保存，在捕获主面板中，可以选择保存的捕获条件。

3)任意捕获条件在“DataPattern”下，可以编辑任意捕获条件，如图11.22所示。图11.22任意捕获条件编辑图11.3.5Sniffer发送报文实验

1)编辑报文发送

Sniffer可以对发送的报文进