資源描述:
《端口與系統(tǒng)漏洞檢測》由會員上傳分享,免費在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫�。
1、系統(tǒng)安全檢測是系統(tǒng)管理員必須要做的一項工作�,當一個系統(tǒng)架設(shè)好后,系統(tǒng)的管理和維護就是系統(tǒng)管理員的主要任務(wù)了����。為了能更好地防御黑客攻擊,系統(tǒng)管理員必須要學(xué)會像黑客攻擊那樣對系統(tǒng)進行安全檢測的方法�����,然后根據(jù)得到的檢測結(jié)果進行相關(guān)的安全設(shè)置��。因此��,系統(tǒng)管理員必須要熟練掌握常用的系統(tǒng)檢測工具��,本章介紹了幾款不錯的安全檢測工具,包括端口掃描�����、插件掃描和系統(tǒng)漏洞掃描���。本章概述第4章端口掃描與系統(tǒng)漏洞檢測第4章端口掃描與系統(tǒng)漏洞檢測4.2端口掃描工具4.3插件掃描4.4系統(tǒng)安全檢測4.1掃描原理4.5小結(jié)4.1掃描原理絕大多數(shù)應(yīng)用程序都運行在TCP或
2��、UDP協(xié)議之上���,這些協(xié)議是眾多應(yīng)用程序使用的傳輸機制。端口掃描就是通過掃描主機確定哪一些TCP和UDP端口可以訪問的過程���。TCP數(shù)據(jù)包的6個標志位(代表了不同的數(shù)據(jù)包)具體如下:URG:緊急數(shù)據(jù)包ACK:確認(應(yīng)答數(shù)據(jù)包)PSH:將數(shù)據(jù)強制壓入緩沖區(qū)RST:連接復(fù)位(斷開連接)SYN:連接請求FIN:TCP連接結(jié)束4.1.1一次完整的TCP連接TCP報文格式4.1掃描原理4.1.1一次完整的TCP連接4.1掃描原理TCP是可靠的面向連接的協(xié)議�����,傳輸數(shù)據(jù)報之前��,必須先采用“三次握手”的方式建立傳輸連接���。TCP協(xié)議同樣采用客戶機/服務(wù)器模式
3���、�����?����?蛻魴C:主動發(fā)起建立連接請求的主機�。服務(wù)器:等待并接受連接建立請求的主機。4.1.1一次完整的TCP連接圖4-1TCP三次握手過程常見的端口掃描類型有以下幾種:TCPConnect()掃描SYN掃描NULL掃描FIN掃描ACK掃描Xmas-Tree掃描Dumb掃描4.1.2端口掃描類型與原理4.1掃描原理1.TCPConnect()掃描這種掃描試圖與每一個TCP端口進行“三次握手”通信���,如果能夠成功建立連接�����,則證明端口開放��,否則為關(guān)閉����。優(yōu)點:準確性高缺點:最容易被防火墻或入侵檢測系統(tǒng)檢測到��,而且在目標主機的日志中會記錄大批連接請求以及
4��、錯誤信息。4.1.2端口掃描類型與原理4.1掃描原理2.SYN掃描這種掃描隱蔽一些��,僅僅發(fā)送初始的SYN數(shù)據(jù)包給目標主機�����,如果端口處于開放狀態(tài)�����,那么目標主機將響應(yīng)SYN-ACK數(shù)據(jù)包�����;如果端口處于關(guān)閉狀態(tài)����,則目標主機響應(yīng)RST數(shù)據(jù)包。優(yōu)點:能躲開某些防火墻的檢測缺點:許多IDS能夠檢測到SYN掃描4.1.2端口掃描類型與原理4.1掃描原理3.NULL掃描(反向掃描)這種掃描將一個沒有設(shè)置任何標志位的數(shù)據(jù)包發(fā)送給TCP端口���。正常的TCP通信中�����,至少要設(shè)置標志位��。根據(jù)RFC793的要求����,端口關(guān)閉的狀態(tài)下����,若收到?jīng)]設(shè)置標志位的數(shù)據(jù)字段,則接收
5�����、主機應(yīng)該丟棄這個分段�,并返回一個RST數(shù)據(jù)包,否則不會響應(yīng)��。優(yōu)點:可以辨別某臺主機運行的是哪種操作系統(tǒng)�����。缺點:使用NULL掃描要求所有主機都必須符合RFC793標準���,但現(xiàn)實中Windows系統(tǒng)主機并不遵從RFC793標準(不管端口是否開放�����,收到無標志位的數(shù)據(jù)包時都返回RST數(shù)據(jù)包)�����,故精確度相對低一些���。4.1.2端口掃描類型與原理4.1掃描原理4.FIN掃描(反向掃描)這種掃描將一個設(shè)置了FIN標志的數(shù)據(jù)包發(fā)送給目標主機的每一個端口�。端口關(guān)閉的狀態(tài)下���,若收到設(shè)置FIN標志位的數(shù)據(jù)字段��,則接收主機返回一個RST數(shù)據(jù)包�����,否則不會響應(yīng)�,則表示
6�����、端口開放��。優(yōu)點:更隱蔽一些�����。缺點:現(xiàn)實中Windows系統(tǒng)主機并不遵從RFC793標準,故精確度相對低一些��。4.1.2端口掃描類型與原理4.1掃描原理5.ACK掃描這種掃描使用響應(yīng)包來發(fā)現(xiàn)防火墻的配置信息�����。如果某個端口被防火墻過濾�����,那么就不會返回數(shù)據(jù)包��。若沒被過濾�,則返回RST數(shù)據(jù)包��。通過偵聽RST數(shù)據(jù)包�����,可了解哪些端口被防火墻過濾����,哪些端口沒有被防火墻過濾����。優(yōu)點:常用于穿越防火墻的規(guī)則集�。4.1.2端口掃描類型與原理4.1掃描原理6.Xmas-Tree掃描(圣誕樹掃描)這種掃描發(fā)送帶有URG、PSH�、FIN三種標志的TCP數(shù)據(jù)包。正常
7���、的TCP連接不應(yīng)該同時設(shè)置這3個標志����。優(yōu)點:能識別部分端口是否關(guān)閉���。缺點:依然不能確定Windows平臺上端口的關(guān)閉與開放�����。4.1.2端口掃描類型與原理4.1掃描原理7.Dump掃描(啞掃描�����,Idle掃描或反向掃描)這是另一種掃描方法���,在掃描目標主機的過程中�����,它使用第三方的僵尸計算機作為“啞”主機進行掃描�。僵尸主機是一臺被入侵的空閑主機����。典型情況下,這臺主機并不存儲敏感數(shù)據(jù)��,對這樣的主機的訪問通常不引人注目��。在Idle掃描中�����,僵尸主機向目標主機發(fā)SYN包�,目標主機根據(jù)端口的不同狀態(tài)�,發(fā)送不同的回應(yīng):端口開放時回應(yīng)SYN/ACK,端口關(guān)閉
8��、時回應(yīng)RST�����。僵尸主機對SYN/ACK回應(yīng)RST,對RST不回應(yīng)���。因此��,通過監(jiān)控僵尸主機的發(fā)包數(shù)量就可以知道目標主機端口的狀態(tài)�。優(yōu)點:隱蔽性強�����,該掃描不是發(fā)自自己的計算機����,而是發(fā)自某個僵尸主機。4.1.2端
