資源描述:
《第4章 端口掃描與系統(tǒng)漏洞檢測》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1����、系統(tǒng)安全檢測是系統(tǒng)管理員必須要做的一項(xiàng)工作,當(dāng)一個(gè)系統(tǒng)架設(shè)好后���,系統(tǒng)的管理和維護(hù)就是系統(tǒng)管理員的主要任務(wù)了���。為了能更好地防御黑客攻擊,系統(tǒng)管理員必須要學(xué)會(huì)像黑客攻擊那樣對系統(tǒng)進(jìn)行安全檢測的方法,然后根據(jù)得到的檢測結(jié)果進(jìn)行相關(guān)的安全設(shè)置��。因此��,系統(tǒng)管理員必須要熟練掌握常用的系統(tǒng)檢測工具�����,本章介紹了幾款不錯(cuò)的安全檢測工具����,包括端口掃描、插件掃描和系統(tǒng)漏洞掃描�����。本章概述第4章端口掃描與系統(tǒng)漏洞檢測第4章端口掃描與系統(tǒng)漏洞檢測4.2端口掃描工具4.3插件掃描4.4系統(tǒng)安全檢測4.1掃描原理4.5小結(jié)4.1掃描原理絕大多數(shù)應(yīng)用程序都運(yùn)行在TCP或UDP協(xié)議之上�����,這些協(xié)議是眾多應(yīng)用程序使用的傳輸機(jī)
2��、制��。端口掃描就是通過掃描主機(jī)確定哪一些TCP和UDP端口可以訪問的過程�。TCP數(shù)據(jù)包的6個(gè)標(biāo)志位(代表了不同的數(shù)據(jù)包)具體如下:URG:緊急數(shù)據(jù)包ACK:確認(rèn)(應(yīng)答數(shù)據(jù)包)PSH:將數(shù)據(jù)強(qiáng)制壓入緩沖區(qū)RST:連接復(fù)位(斷開連接)SYN:連接請求FIN:TCP連接結(jié)束4.1.1一次完整的TCP連接TCP報(bào)文格式4.1掃描原理4.1.1一次完整的TCP連接4.1掃描原理TCP是可靠的面向連接的協(xié)議,傳輸數(shù)據(jù)報(bào)之前,必須先采用“三次握手”的方式建立傳輸連接�����。TCP協(xié)議同樣采用客戶機(jī)/服務(wù)器模式�。客戶機(jī):主動(dòng)發(fā)起建立連接請求的主機(jī)����。服務(wù)器:等待并接受連接建立請求的主機(jī)���。4.1.1一次完整的TC
3��、P連接圖4-1TCP三次握手過程常見的端口掃描類型有以下幾種:TCPConnect()掃描SYN掃描NULL掃描FIN掃描ACK掃描Xmas-Tree掃描Dumb掃描4.1.2端口掃描類型與原理4.1掃描原理1.TCPConnect()掃描這種掃描試圖與每一個(gè)TCP端口進(jìn)行“三次握手”通信����,如果能夠成功建立連接��,則證明端口開放����,否則為關(guān)閉。優(yōu)點(diǎn):準(zhǔn)確性高缺點(diǎn):最容易被防火墻或入侵檢測系統(tǒng)檢測到�,而且在目標(biāo)主機(jī)的日志中會(huì)記錄大批連接請求以及錯(cuò)誤信息。4.1.2端口掃描類型與原理4.1掃描原理2.SYN掃描這種掃描隱蔽一些,僅僅發(fā)送初始的SYN數(shù)據(jù)包給目標(biāo)主機(jī)��,如果端口處于開放狀態(tài)��,那么目
4�����、標(biāo)主機(jī)將響應(yīng)SYN-ACK數(shù)據(jù)包����;如果端口處于關(guān)閉狀態(tài),則目標(biāo)主機(jī)響應(yīng)RST數(shù)據(jù)包���。優(yōu)點(diǎn):能躲開某些防火墻的檢測缺點(diǎn):許多IDS能夠檢測到SYN掃描4.1.2端口掃描類型與原理4.1掃描原理3.NULL掃描(反向掃描)這種掃描將一個(gè)沒有設(shè)置任何標(biāo)志位的數(shù)據(jù)包發(fā)送給TCP端口��。正常的TCP通信中���,至少要設(shè)置標(biāo)志位。根據(jù)RFC793的要求��,端口關(guān)閉的狀態(tài)下����,若收到?jīng)]設(shè)置標(biāo)志位的數(shù)據(jù)字段���,則接收主機(jī)應(yīng)該丟棄這個(gè)分段,并返回一個(gè)RST數(shù)據(jù)包�����,否則不會(huì)響應(yīng)���。優(yōu)點(diǎn):可以辨別某臺(tái)主機(jī)運(yùn)行的是哪種操作系統(tǒng)����。缺點(diǎn):使用NULL掃描要求所有主機(jī)都必須符合RFC793標(biāo)準(zhǔn)����,但現(xiàn)實(shí)中Windows系統(tǒng)主機(jī)并不
5���、遵從RFC793標(biāo)準(zhǔn)(不管端口是否開放���,收到無標(biāo)志位的數(shù)據(jù)包時(shí)都返回RST數(shù)據(jù)包),故精確度相對低一些���。4.1.2端口掃描類型與原理4.1掃描原理4.FIN掃描(反向掃描)這種掃描將一個(gè)設(shè)置了FIN標(biāo)志的數(shù)據(jù)包發(fā)送給目標(biāo)主機(jī)的每一個(gè)端口��。端口關(guān)閉的狀態(tài)下�����,若收到設(shè)置FIN標(biāo)志位的數(shù)據(jù)字段�,則接收主機(jī)返回一個(gè)RST數(shù)據(jù)包,否則不會(huì)響應(yīng)���,則表示端口開放���。優(yōu)點(diǎn):更隱蔽一些。缺點(diǎn):現(xiàn)實(shí)中Windows系統(tǒng)主機(jī)并不遵從RFC793標(biāo)準(zhǔn)�����,故精確度相對低一些����。4.1.2端口掃描類型與原理4.1掃描原理5.ACK掃描這種掃描使用響應(yīng)包來發(fā)現(xiàn)防火墻的配置信息。如果某個(gè)端口被防火墻過濾����,那么就不會(huì)返回?cái)?shù)據(jù)
6、包���。若沒被過濾����,則返回RST數(shù)據(jù)包。通過偵聽RST數(shù)據(jù)包�����,可了解哪些端口被防火墻過濾����,哪些端口沒有被防火墻過濾。優(yōu)點(diǎn):常用于穿越防火墻的規(guī)則集���。4.1.2端口掃描類型與原理4.1掃描原理6.Xmas-Tree掃描(圣誕樹掃描)這種掃描發(fā)送帶有URG�、PSH�����、FIN三種標(biāo)志的TCP數(shù)據(jù)包�����。正常的TCP連接不應(yīng)該同時(shí)設(shè)置這3個(gè)標(biāo)志�����。優(yōu)點(diǎn):能識別部分端口是否關(guān)閉��。缺點(diǎn):依然不能確定Windows平臺(tái)上端口的關(guān)閉與開放����。4.1.2端口掃描類型與原理4.1掃描原理7.Dump掃描(啞掃描,Idle掃描或反向掃描)這是另一種掃描方法��,在掃描目標(biāo)主機(jī)的過程中�,它使用第三方的僵尸計(jì)算機(jī)作為“啞”主機(jī)進(jìn)
7、行掃描�����。僵尸主機(jī)是一臺(tái)被入侵的空閑主機(jī)�����。典型情況下�,這臺(tái)主機(jī)并不存儲(chǔ)敏感數(shù)據(jù),對這樣的主機(jī)的訪問通常不引人注目��。在Idle掃描中�,僵尸主機(jī)向目標(biāo)主機(jī)發(fā)SYN包�����,目標(biāo)主機(jī)根據(jù)端口的不同狀態(tài)��,發(fā)送不同的回應(yīng):端口開放時(shí)回應(yīng)SYN/ACK�,端口關(guān)閉時(shí)回應(yīng)RST����。僵尸主機(jī)對SYN/ACK回應(yīng)RST,對RST不回應(yīng)���。因此�,通過監(jiān)控僵尸主機(jī)的發(fā)包數(shù)量就可以知道目標(biāo)主機(jī)端口的狀態(tài)�。優(yōu)點(diǎn):隱蔽性強(qiáng),該掃描不是發(fā)自自己的計(jì)算機(jī)�,而是發(fā)自某個(gè)僵尸主機(jī)。4.1.2端
