《CSNA网络分析认证专家实战案例》课件-第28章

第28章通过协议分析理解端口扫描原理28.1概述 28.2扫描分析28.3总结

端口扫描通常利用TCP、UDP等方式去检测操作系统类型及开放的服务，为进一步的攻击做好准备。通常，蠕虫病毒、网络攻击等常见影响网络安全的行为，都是从扫描开始的。所以，深入了解各种网络扫描的工作原理及其表现特征，对网络管理者具有相当的实战意义。28.1概述

Nmap作为常见的网络扫描工具，内置了多种扫描方式，每种方式的工作原理不同，其数据包和通信特征也不尽相同。本章我们将通过网络分析软件，对常见的扫描方式进行分析和图形化的展现，以方便对这些扫描方式进行深入的理解。

28.2.1TCPSYN扫描

1.扫描原理

TCPSYN扫描应该是最受欢迎的扫描方式之一，其扫描速度快(每秒可以扫描数以千计的端口)，兼容性好(只要对端支持TCP协议栈即可)，且不易被发现。28.2扫描分析

TCPSYN扫描通常又叫“半开放”扫描，因为它不必打开一个完整的TCP连接，只发送一个SYN包，就像真的要打开一个连接一样，然后等待对端的反应。如果对端返回SYN/ACK报文则表示该端口处于监听状态，此时扫描端必须再返回一个RST报文来关闭此连接；如果对端返回RST报文，则表示该端口没有开放。

2.深入理解

TCPSYN扫描在科来网络分析中的视图表现：

(1)小包多(<128B)，见图28-1。

图28-1

(2)在TCPFlag统计中，TCP同步发送和TCP复位接收较多，见图28-2。

图28-2

(3)可能会触发TCP端口扫描诊断，见图28-3。

图28-3

(4)以固定端口与被扫描IP尝试连接，且会话大多具有相同的特征，见图28-4。

图28-4

(5)会话数据包总计为2个或3个，3个包表示端口开放，2个包表示端口未开放，见图28-5和图28-6。

图28-5

图28-628.2.2TCPconnect扫描

1.扫描原理

TCPconnect扫描也是一种常见的扫描方式，它通过操作系统与目标机器建立连接，而不是直接发送原始数据包，这与浏览器、P2P客户端及其大多数网络应用程序一样，建立连接由高层系统调用。执行这种扫描的最大好处是无需root权限，但会在系统日志里留下记录，所以当在日志系统里看到同一系统的大量连接尝试，就应该知道系统被扫描了。

2.深入理解

TCPconnect扫描在科来网络分析中的视图表现：

(1)小包多(<128B)，见图28-7。

图28-7

(2)在TCPFlag统计中，TCP同步发送和TCP复位接收较多，同时会有少量的同步确认接收和复位发送，见图28-8。

图28-8

(3)以连续端口与被扫描IP尝试连接，且会话大多具有相同的特征，见图28-9。

图28-9

(4)会话数据包总计为2～6个不等，需查看数据信息确认端口状态，见图28-10。

图28-10

28.2.3UDP扫描

1.扫描原理

UDP扫描通常与ICMP相结合进行，它发送没有携带任何数据的UDP数据包到目标主机，如果返回ICMP端口不可达(类型为3，代码为3)的提示，则表示目标端口是关闭的，但主机是存活的；如果某服务响应一个UDP报文，则表明该端口是开放的。

当然，UDP扫描存在瓶颈，那就是速度。很多主机默认限制发送ICMP端口不可达信息，或者限制发包的频率，如Linux2.4.20内核一秒钟只允许发送一条目标不可达信息，这样扫描65535个端口就需要18小时的时间，这是不可接受的。所以，加速UDP扫描的方法通常是并发扫描或先扫描主要端口。

2.深入理解

UDP扫描在科来网络分析中的视图表现：

(1)出现大量UDP会话，见图28-11。

图28-11

(2)大量的UDP小包，且不携带任何数据，见图28-12。图28-12

(3)触发大量ICMP端口不可达诊断，见图28-13。

(4)会话数据包总计为1、2个，通常情况1个表示端口关闭，2个或以上表示端口开放，见图28-14。图28-13

图28-1428.2.4NULL扫描

1.扫描原理

根据RFC793协议，主机发送一个没有任何标志位的TCP包，如果目标主机的对应端口是关闭的话，则会返回一个RST数据包，如果没有响应则表示该端口是开放的。

NULL扫描可以躲过无状态防火墙和报文过滤路由器，且比SYN扫描要隐秘。值得注意的是，并不是所有系统都遵循RFC793协议，一些系统不管端口是开放还是关闭都响应RST数据包，如Cisco设备、BSDI等。根据RFC793协议，类似的扫描还有FIN扫描、FIN+PSH+URG扫描。

2．深入理解

NULL扫描在科来网络分析中的视图表现：

(1)网络中存在大量小包，大量的TCP复位接收数据包，见图28-15。

图28-15

(2)大量的没有任何标志位的数据包，见图28-16。图28-1628.2.5ACK扫描

1.扫描原理

ACK扫描发送一个只设置ACK标志位的数据包，目标主机端口无论是关闭还是开放都会返回RST数据包，但ACK扫描不能确定目标主机的端口状态，可以确定对方主机是否存活，以及发现防火墙规则来确定防火墙的状态。

2.深入理解

ACK扫描在科来网络分析中的视图表现：

(1)网络中存在大量小包，大量的TCP复位接收数据包，见图28-17。

图28-17

(2)大量的ACK标志位置1的数据包，见图28-18。图28-1828.2.6窗口扫描

1.扫描原理

在某些系统上，开放端口用正数表示窗口大小，而关闭的窗口大小则为0。窗口扫描就是通过检查返回RST报文的窗口字段来判断端口是否开放。

窗口扫描依赖于少数的系统实现细节，不支持它的系统通常会返回所有端口都关闭的信息，甚至有些系统会给出相反的行为(比如扫描显示1000端口开放，3个端口关闭，实际上这3个端口反而是开放的)。2.深入理解

窗口扫描在科来网络分析中的视图表现：

(1)网络中存在大量小包，大量的TCP复位接收数据包，见图28-19和图28-20。

图28-19

(2)网络中存大量特征相同的协议统计，见图28-21。图28-20

图28-21

(3)大量window(窗口)字段为0的数据包。28.2.7IP扫描

1.扫描原理

IP协议扫描用来确定目标主机支持的IP协议，如TCP、UDP、ICMP等，它不对任何TCP或UDP端口发送报文，而是对IP协议号发送对应的数据包。

IP协议扫描发送IP报文，报文不包含任何数据，甚至不包含协议的正确报文头(TCP、UDP、ICMP例外)。IP协议扫描需要关注ICMP协议不可达信息，收到目标主机的任何协议响应，即表示该协议是开放的。

2.深入理解

IP扫描在科来网络分析中的视图表现：

(1)网络中存在大量小包，见图28-22。图28-22

(2)网络中存大量特征相同的IP数据包，且不携带任何数据，见图28-23。图28-23

图28-23

28.2.8FIN/ACK扫描

1.扫描原理

FIN/ACK扫描也被称作Maimon扫描，以发现者UrielMaimon命名。其实，Maimon扫描与NULL、FIN扫描的原理一样，根据RFC793协议，无论端口是关闭还是开放，目标主机都会对FIN+ACK探测数据包响应RST报文(但许多基于BSD的系统会丢弃FIN+ACK探测数据包)。

2．深入理解

FIN/ACK扫描在科来网络分析中的视图表现：

(1)网络中存在大量小包，大量的TCP复位发送和接收，见图28-24和图28-25。

图28-24

图28-25

(2)网络中存大量特征相同的协议统计，见图28-26。图28-26

(3)大量同步位(ACK)和终止位(FIN)置1的数据包，见图28-27。图28-2728.2.9定制扫描

1.扫描原理

一些高级用户不会遵循现成的扫描类型和规则，而是根据实际情况，任意指定TCP的相关标志位和扫描类型，从而避免IDS等设备的检测。

2.深入理解

定制扫描没有固定的模式或特征，我们可以结合前面总结的各类扫描行为特征，利用概要、协议、TCP/UDP会话、解码视图进行综合分析。

1.端口扫描的大致特征

(1)小包多，大小基本在64～128B之间。

(2)

SYN置1、RST置1的数据包较多。

(3)大量