網(wǎng)絡掃描器的原理與分析.ppt

網(wǎng)絡掃描器的原理與分析 主要內容 掃描器的基本概念掃描器的工作原理網(wǎng)絡掃描的主要技術現(xiàn)有掃描器介紹及選擇掃描器的實例分析 一 掃描器的基本概念 什么是網(wǎng)絡掃描器為什么需要網(wǎng)絡掃描器網(wǎng)絡掃描器的主要功能 什么是網(wǎng)絡掃描器 安全評估工具系統(tǒng)管理員保障系統(tǒng)安全的有效工具網(wǎng)絡漏洞掃描器網(wǎng)絡入侵者收集信息的重要手段 為什么需要網(wǎng)絡掃描器 由于網(wǎng)絡技術的飛速發(fā)展 網(wǎng)絡規(guī)模迅猛增長和計算機系統(tǒng)日益復雜 導致新的系統(tǒng)漏洞層出不窮由于系統(tǒng)管理員的疏忽或缺乏經(jīng)驗 導致舊有的漏洞依然存在許多人出于好奇或別有用心 不停的窺視網(wǎng)上資源 網(wǎng)絡掃描器的主要功能 掃描目標主機識別其工作狀態(tài) 開 關機 識別目標主機端口的狀態(tài) 監(jiān)聽 關閉 識別目標主機系統(tǒng)及服務程序的類型和版本根據(jù)已知漏洞信息 分析系統(tǒng)脆弱點生成掃描結果報告 二 掃描器的工作原理 TCP協(xié)議ICMP協(xié)議掃描器的基本工作原理 TCP協(xié)議 一 TCP是一種面向連接的 可靠的傳輸層協(xié)議 一次正常的TCP傳輸需要通過在客戶端和服務器之間建立特定的虛電路連接來完成 該過程通常被稱為 三次握手 TCP通過數(shù)據(jù)分段中的序列號保證所有傳輸?shù)臄?shù)據(jù)可以在遠端按照正常的次序進行重組 而且通過確認保證數(shù)據(jù)傳輸?shù)耐暾?TCP協(xié)議 二 TCP數(shù)據(jù)包格式 TCP協(xié)議 三 TCP標志位ACK 確認標志RST 復位標志URG 緊急標志SYN 建立連接標志PSH 推標志FIN 結束標志 TCP協(xié)議 四 TCP連接建立示意圖 ICMP協(xié)議 一 InternetControlMessageProtocol 是IP的一部分 在IP協(xié)議棧中必須實現(xiàn) 用途 網(wǎng)關或者目標機器利用ICMP與源通訊當出現(xiàn)問題時 提供反饋信息用于報告錯誤特點 其控制能力并不用于保證傳輸?shù)目煽啃运旧硪膊皇强煽總鬏數(shù)牟⒉挥脕矸从矷CMP報文的傳輸情況 ICMP協(xié)議 二 ICMP報文類型0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo11TimeExceeded 12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply17AddressMaskRequest18AddressMaskReply 掃描器的基本工作原理 三 網(wǎng)絡掃描的主要技術 主機掃描技術端口掃描技術棧指紋OS識別技術 主機掃描技術 傳統(tǒng)技術 主機掃描的目的是確定在目標網(wǎng)絡上的主機是否可達 這是信息收集的初級階段 其效果直接影響到后續(xù)的掃描 常用的傳統(tǒng)掃描手段有 ICMPEcho掃描ICMPSweep掃描BroadcastICMP掃描Non EchoICMP掃描 ICMPecho掃描 實現(xiàn)原理 Ping的實現(xiàn)機制 在判斷在一個網(wǎng)絡上主機是否開機時非常有用 向目標主機發(fā)送ICMPEchoRequest type8 數(shù)據(jù)包 等待回復的ICMPEchoReply包 type0 如果能收到 則表明目標系統(tǒng)可達 否則表明目標系統(tǒng)已經(jīng)不可達或發(fā)送的包被對方的設備過濾掉 優(yōu)點 簡單 系統(tǒng)支持缺點 很容易被防火墻限制可以通過并行發(fā)送 同時探測多個目標主機 以提高探測效率 ICMPSweep掃描 BroadcastICMP掃描 實現(xiàn)原理 將ICMP請求包的目標地址設為廣播地址或網(wǎng)絡地址 則可以探測廣播域或整個網(wǎng)絡范圍內的主機 缺點 只適合于UNIX Linux系統(tǒng) Windows會忽略這種請求包 這種掃描方式容易引起廣播風暴 Non EchoICMP掃描 一些其它ICMP類型包也可以用于對主機或網(wǎng)絡設備的探測 如 StampRequest Type13 Reply Type14 InformationRequest Type15 Reply Type16 AddressMaskRequest Type17 Reply Type18 主機掃描技術 高級技術 防火墻和網(wǎng)絡過濾設備常常導致傳統(tǒng)的探測手段變得無效 為了突破這種限制 必須采用一些非常規(guī)的手段 利用ICMP協(xié)議提供網(wǎng)絡間傳送錯誤信息的手段 往往可以更有效的達到目的 異常的IP包頭在IP頭中設置無效的字段值錯誤的數(shù)據(jù)分片通過超長包探測內部路由器反向映射探測 異常的IP包頭 向目標主機發(fā)送包頭錯誤的IP包 目標主機或過濾設備會反饋ICMPParameterProblemError信息 常見的偽造錯誤字段為HeaderLengthField和IPOptionsField 根據(jù)RFC1122的規(guī)定 主機應該檢測IP包的VersionNumber Checksum字段 路由器應該檢測IP包的Checksum字段 不同廠家的路由器和操作系統(tǒng)對這些錯誤的處理方式不同 返回的結果也各異 如果結合其它手段 可以初步判斷目標系統(tǒng)所在網(wǎng)絡過濾設備的ACL 在IP頭中設置無效的字段值 向目標主機發(fā)送的IP包中填充錯誤的字段值 目標主機或過濾設備會反饋ICMPDestinationUnreachable信息 這種方法同樣可以探測目標主機和網(wǎng)絡設備以及其ACL 錯誤的數(shù)據(jù)分片 當目標主機接收到錯誤的數(shù)據(jù)分片 如某些分片丟失 并且在規(guī)定的時間間隔內得不到更正時 將丟棄這些錯誤數(shù)據(jù)包 并向發(fā)送主機反饋ICMPFragmentReassemblyTimeExceeded錯誤報文 利用這種方法同樣可以檢測到目標主機和網(wǎng)絡過濾設備及其ACL 通過超長包探測內部路由器 若構造的數(shù)據(jù)包長度超過目標系統(tǒng)所在路由器的PMTU且設置禁止分片標志 該路由器會反饋FragmentationNeededandDon tFragmentBitwasSet差錯報文 從而獲取目標系統(tǒng)的網(wǎng)絡拓撲結構 反向映射探測 該技術用于探測被過濾設備或防火墻保護的網(wǎng)絡和主機 通常這些系統(tǒng)無法從外部直接到達 但是我們可以采用反向映射技術 通過目標系統(tǒng)的路由設備進行有效的探測 當我們想探測某個未知網(wǎng)絡內部的結構時 可以構造可能的內部IP地址列表 并向這些地址發(fā)送數(shù)據(jù)包 當對方路由器接收到這些數(shù)據(jù)包時 會進行IP識別并路由 對不在其服務的范圍的IP包發(fā)送ICMPHostUnreachable或ICMPTimeExceeded錯誤報文 沒有接收到相應錯誤報文的IP地址會可被認為在該網(wǎng)絡中 當然 這種方法也會受到過濾設備的影響 端口掃描技術 當確定了目標主機可達后 就可以使用端口掃描技術 發(fā)現(xiàn)目標主機的開放端口 包括網(wǎng)絡協(xié)議和各種應用監(jiān)聽的端口 端口掃描技術主要包括以下三類 開放掃描會產(chǎn)生大量的審計數(shù)據(jù) 容易被對方發(fā)現(xiàn) 但其可靠性高 隱蔽掃描能有效的避免對方入侵檢測系統(tǒng)和防火墻的檢測 但這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡時容易被丟棄從而產(chǎn)生錯誤的探測信息 半開放掃描隱蔽性和可靠性介于前兩者之間 開放掃描技術 TCPConnect掃描TCP反向ident掃描 TCPConnect掃描 實現(xiàn)原理 通過調用socket函數(shù)connect 連接到目標計算機上 完成一次完整的三次握手過程 如果端口處于偵聽狀態(tài) 那么connect 就能成功返回 否則 這個端口不可用 即沒有提供服務 優(yōu)點 穩(wěn)定可靠 不需要特殊的權限缺點 掃描方式不隱蔽 服務器日志會記錄下大量密集的連接和錯誤記錄 并容易被防火墻發(fā)現(xiàn)和屏蔽 TCP反向ident掃描 實現(xiàn)原理 ident協(xié)議允許看到通過TCP連接的任何進程的擁有者的用戶名 即使這個連接不是由這個進程開始的 比如 連接到http端口 然后用identd來發(fā)現(xiàn)服務器是否正在以root權限運行 缺點 這種方法只能在和目標端口建立了一個完整的TCP連接后才能看到 半開放掃描技術 TCPSYN掃描TCP間接掃描 TCPSYN掃描 實現(xiàn)原理 掃描器向目標主機端口發(fā)送SYN包 如果應答是RST包 那么說明端口是關閉的 如果應答中包含SYN和ACK包 說明目標端口處于監(jiān)聽狀態(tài) 再傳送一個RST包給目標機從而停止建立連接 由于在SYN掃描時 全連接尚未建立 所以這種技術通常被稱為半連接掃描優(yōu)點 隱蔽性較全連接掃描好 一般系統(tǒng)對這種半掃描很少記錄缺點 通常構造SYN數(shù)據(jù)包需要超級用戶或者授權用戶訪問專門的系統(tǒng)調用 TCP間接掃描 實現(xiàn)原理 利用第三方的IP 欺騙主機 來隱藏真正掃描者的IP 由于掃描主機會對欺騙主機發(fā)送回應信息 所以必須監(jiān)控欺騙主機的IP行為 從而獲得原始掃描的結果 掃描主機通過偽造第三方主機IP地址向目標主機發(fā)起SYN掃描 并通過觀察其IP序列號的增長規(guī)律獲取端口的狀態(tài)優(yōu)點 隱蔽性好缺點 對第三方主機的要求較高 隱蔽掃描技術 TCPFIN掃描TCPXmas掃描TCPNull掃描TCPftpproxy掃描分段掃描 TCPFIN掃描 實現(xiàn)原理 掃描器向目標主機端口發(fā)送FIN包 當一個FIN數(shù)據(jù)包到達一個關閉的端口 數(shù)據(jù)包會被丟掉 并且返回一個RST數(shù)據(jù)包 否則 若是打開的端口 數(shù)據(jù)包只是簡單的丟掉 不返回RST 優(yōu)點 由于這種技術不包含標準的TCP三次握手協(xié)議的任何部分 所以無法被記錄下來 從而必SYN掃描隱蔽得多 FIN數(shù)據(jù)包能夠通過只監(jiān)測SYN包的包過濾器 缺點 跟SYN掃描類似 需要自己構造數(shù)據(jù)包 要求由超級用戶或者授權用戶訪問專門的系統(tǒng)調用 通常適用于UNIX目標主機 除過少量的應當丟棄數(shù)據(jù)包卻發(fā)送RST包的操作系統(tǒng) 包括CISCO HP UX MVS和IRIX 但在Windows95 NT環(huán)境下 該方法無效 因為不論目標端口是否打開 操作系統(tǒng)都返回RST包 TCPXmas和TCPNull掃描 實現(xiàn)原理 TCPXmas和Null掃描是FIN掃描的兩個變種 Xmas掃描打開FIN URG和PUSH標記 而Null掃描關閉所有標記 這些組合的目的是為了通過對FIN標記數(shù)據(jù)包的過濾 當一個這種數(shù)據(jù)包到達一個關閉的端口 數(shù)據(jù)包會被丟掉 并且返回一個RST數(shù)據(jù)包 否則 若是打開的端口 數(shù)據(jù)包只是簡單的丟掉 不返回RST 優(yōu)點 隱蔽性好 缺點 需要自己構造數(shù)據(jù)包 要求由超級用戶或者授權用戶權限 通常適用于UNIX目標主機 而Windows系統(tǒng)不支持 TCPftpproxy掃描 實現(xiàn)原理 FTP代理連接選項 其目的是允許一個客戶端同時跟兩個FTP服務器建立連接 然后在服務器之間直接傳輸數(shù)據(jù) 然而 在大部分實現(xiàn)中 實際上能夠使得FTP服務器發(fā)送文件到Internet的任何地方 該方法正是利用了這個缺陷 其掃描步驟如下 1 假定S是掃描機 T是掃描目標 F是一個ftp服務器 這個服務器支持代理選項 能夠跟S和T建立連接 2 S與F建立一個ftp會話 使用PORT命令聲明一個選擇的端口 稱之為p T 作為代理傳輸所需要的被動端口 3 然后S使用一個LIST命令嘗試啟動一個到p T的數(shù)據(jù)傳輸 4 如果端口p T確實在監(jiān)聽 傳輸就會成功 返回碼150和226被發(fā)送回給S 否則S回收到 425無法打開數(shù)據(jù)連接 的應答 5 S持續(xù)使用PORT和LIST命令 直到T上所有的選擇端口掃描完畢 優(yōu)點 FTP代理掃描不但難以跟蹤 而且可以穿越防火墻缺點 一些ftpserver禁止這種特性 分段掃描 實現(xiàn)原理 并不直接發(fā)送TCP探測數(shù)據(jù)包 是將數(shù)據(jù)包分成兩個較小的IP段 這樣就將一個TCP頭分成好幾個數(shù)據(jù)包 從而包過濾器就很難探測到 優(yōu)點 隱蔽性好 可穿越防火墻缺點 可能被丟棄 某些程序在處理這些小數(shù)據(jù)包時會出現(xiàn)異常 棧指紋OS識別技術 一 原理 根據(jù)各個OS在TCP IP協(xié)議棧實現(xiàn)上的不同特點 采用黑盒測試方法 通過研究其對各種探測的響應形成識別指紋 進而識別目標主機運行的操作系統(tǒng) 根據(jù)采集指紋信息的方式 又可以分為主動掃描和被動掃描兩種方式 被動掃描 通過Sniff收集數(shù)據(jù)包 再對數(shù)據(jù)包的不同特征 TCPWindow size IPTTL IPTOS DF位等參數(shù) 進行分析 來識別操作系統(tǒng) 被動掃描基本不具備攻擊特征 具有很好的隱蔽性 但其實現(xiàn)嚴格依賴掃描主機所處的網(wǎng)絡拓撲結構 和主動探測相比較 具有速度慢 可靠性不高等缺點 主動掃描 采用向目標系統(tǒng)發(fā)送構造的特殊包并監(jiān)控其應答的方式來識別操作系統(tǒng)類型 主動掃描具有速度快 可靠性高等優(yōu)點 但同樣嚴重依賴于目標系統(tǒng)網(wǎng)絡拓撲結構和過濾規(guī)則 主動掃描 識別技術 一 FIN探測 發(fā)送一個FIN包給一個打開的端口 一般的行為是不響應 但某些實現(xiàn)例如MSWindows BSDI CISCO HP UX MVS 和IRIX發(fā)回一個RESET BOGUS標記探測 設置一個未定義的TCP 標記 64或128 在SYN包的TCP頭里 Linux機器到2 0 35之前在回應中保持這個標記 TCPISN取樣 找出當響應一個連接請求時由TCP實現(xiàn)所選擇的初始化序列數(shù)式樣 這可分為許多組例如傳統(tǒng)的64K 許多老UNIX機器 隨機增量 新版本的Solaris IRIX FreeBSD DigitalUNIX Cray 等 真 隨機 Linux2 0 OpenVMS 新的AIX 等 Windows機器 和一些其他的 用一個 時間相關 模型 每過一段時間ISN就被加上一個小的固定數(shù) 主動掃描 識別技術 二 不分段位 許多操作系統(tǒng)開始在送出的一些包中設置IP的 Don tFragment 位 TCP初始化窗口 檢查返回包的窗口大小 如queso和nmap保持對窗口的精確跟蹤因為它對于特定OS基本是常數(shù) ACK值 不同實現(xiàn)中一些情況下ACK域的值是不同的 例如 如果你送了一個FIN PSH URG到一個關閉的TCP端口 大多數(shù)實現(xiàn)會設置ACK為你的初始序列數(shù) 而Windows會送給你序列數(shù)加1 ICMP錯誤信息終結 一些操作系統(tǒng)跟從限制各種錯誤信息的發(fā)送率 例如 Linux內核限制目的不可達消息的生成每4秒鐘80個 測試的一種辦法是發(fā)一串包到一些隨機的高UDP端口并計數(shù)收到的不可達消息 主動掃描 識別技術 三 ICMP消息引用 ICMP錯誤消息可以引用一部分引起錯誤的源消息 對一個端口不可達消息 幾乎所有實現(xiàn)只送回IP請求頭外加8個字節(jié) 然而 Solaris送回的稍多 而Linux更多 SYN洪水限度 如果收到過多的偽造SYN數(shù)據(jù)包 一些操作系統(tǒng)會停止新的連接嘗試 許多操作系統(tǒng)只能處理8個包 參考 NmapRemoteOSDetectionhttp www insecure org nmap nmap fingerprinting article html 四 現(xiàn)有掃描器介紹及選擇 現(xiàn)有主要掃描器產(chǎn)品介紹評價掃描器的原則現(xiàn)有掃描器產(chǎn)品的不足 掃描器產(chǎn)品介紹 一 ISSInternetScanner該產(chǎn)品一直是安全掃描器的業(yè)界標準 優(yōu)點 報告功能強大 漏洞檢查集完備 可用性很好 平臺 WindowsNTURL Http 掃描器產(chǎn)品介紹 二 Nessus由Renaud編寫的開放源碼項目 優(yōu)點 采用分布式結構引擎具有極大彈性 可擴展性強 漏洞庫較全面 平臺 UNIXURL Http www nessus org 掃描器產(chǎn)品介紹 三 SAINT以SATAN為基礎的網(wǎng)絡安全掃描工具 平臺 UNIXURL Http 評價掃描器的原則 一 漏洞檢測的完整性是否能掃描各類重要的系統(tǒng)漏洞 漏洞庫信息的完備程度如何 漏洞檢測的精確性是否能準確報告系統(tǒng)漏洞 很少誤報或漏報漏洞檢測的范圍是否能進行本地主機或遠端主機的掃描及時更新是否能及時更新漏洞庫 加入新發(fā)現(xiàn)的漏洞信息 評價掃描器的原則 二 報告功能是否有完善的報告功能 是客戶便于理解和維護價格產(chǎn)品價格是否合理 現(xiàn)有掃描器產(chǎn)品的不足 檢測的完整性沒有一種產(chǎn)品可以發(fā)現(xiàn)所有漏洞檢測的準確性常有漏報 誤報現(xiàn)象更新的及時性對新漏洞的更新不夠及時 五 掃描器實例分析 主要實現(xiàn)功能掃描器的總體結構主要工作流程漏洞分析 主要實現(xiàn)功能 采用眾多的掃描規(guī)避和隱蔽技術 掃描目標主機和端口 識別其工作狀態(tài) 識別目標主機系統(tǒng)及服務程序的類型和版本 根據(jù)漏洞庫信息 分析系統(tǒng)脆弱點 提供漏洞產(chǎn)生背景 影響 攻擊方式 修補措施等信息 以網(wǎng)頁形式生成掃描結果報告 具有可擴展性 提供用戶動態(tài)加載和擴充系統(tǒng)的接口 掃描器的總體結構 一 掃描器基于B