实验07端口扫描文档格式.docx

1、如果收到SYN|ACK的响应，则马上发送一个RST包来中断这个连接。3TCP FIN扫描。向目标端口发送FIN数据包，按照rfc793，目标系统应该给所有关闭着的端口返回一个RST数据包。4XMAS扫描。也称圣诞树扫描，将TCP的首部含有的六个标志位（URG、ACK、PSH、RST、SYN和FIN）都置为1，按照rfc793，目标系统应该给所有关闭着的端口发送一个RST 包。5空（Null）扫描。空（Null）扫描关掉所有TCP首部中的标志，按照rfc793，目标系统应该给所有关闭着的端口发送一个RST 包。6ACK 扫描。发送一个只有ACK标志的TCP 数据包给目标主机，如果主机反馈一个TC

2、P RST 数据包来，那么这个主机是存在的。如果端口被过滤，要么什么也收不到，要么收到ICMP 消息（目标不可达）；相反，如果没有被过滤，则收到有关RST 数据包。另外，从UDP协议可知，如果UDP端口打开，则没有应答报文；如果端口关闭，则会有TCMP报文（端口不可达）。这样，只需构造一个UDP报文，观察响应报文就可知道目标端口的状态。6.3.2 工作原理通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。它使系统用户了解系统目前向外界提供了哪些服务，从而为系统用户管理网络提供了一种手段。 一个端口就是一个潜在的通信通道，也就是一个入侵通道。端口扫描技术是一项自动探测本地和远程系统端

3、口开放情况的策略及方法。端口扫描技术的原理是端口扫描向目标主机的 TCP/IP服务端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭，就可以得知端口提供的服务或信息。端口扫描也可以通过捕获本地主机或服务器的流入流出IP数据包来监视本地主机的运行情况，它通过对接收到的数据进行分析，帮助我们发现目标主机的某些内在的弱点。在端口扫描后，获得目标主机的端口开放情况，通过查询端口对应的服务，就可以得出该主机开设的服务情况。在此基础上，对端口上提供的服务进行识别。例如Nmap使用的nmap-services数据库包含大约2,200个著名的服务，通过查询这个数据库，Nmap可

4、以报告那些端口可能分别对应的服务类型，这种查询一般是正确的，但是如果想确切的知道端口上运行的服务，那就需要版本探测。虽然0-1023端口一般给固定分配了服务，但有些时候，某些服务并不运行在特定的端口，而且1024到49151端口的端口都可以被注册为某种应用所有，所以，需要对常见的服务进行动态识别。每个服务必须要有自己的、唯一的特征标志。否则，客户端软件就无法和服务器软件完成握手和进一步的信息交换。攻击者就是利用这点来识别服务的。以常见的TCP类型服务为例。在完成TCP协议的3次握手后，客户端软件和服务器软件建立了连接（connection）。这时服务器软件可以被分成2种，一种是主动发出握手信息

5、，要求客户端软件回应，另一种等待客户端软件发来命令，直到超时。对于第一种，只要过滤和处理服务器软件发来的banner和握手信息就可以得到服务的名称。如果能有一个软件特称的数据库，那么识别软件的名称和版本也是可以实现的了；对于第二种，要识别服务的名称，必须要模拟客户端软件发出一些命令，接收服务器软件返回的数据，然后进行过滤和处理就可。目前常用的的端口扫描工具有：SATAN（Security Administrator Tool For Analyzing Networks）、Nmap（network mapper）、SSS（Shadow Security Scanner ）、ISS（Intern

6、et Security Scanner）和Super Scan等，下面介绍一些可以在Internet上免费获得的扫描程序。1NSS（网络安全扫描器）（1） NSS由Perl语言编成，它最根本的价值在于速度，它运行速度非常快，可以执行下列常规检查：Sendmail、匿名FTP、NFS出口、TFTP、Hosts.equiv、Xhost注：除非拥有最高特权，否则NSS不允许执行Hosts.equiv。（2） 利用NSS，用户可以增加更强大的功能，其中包括：AppleTalk扫描、Novell扫描、LAN管理员扫描、可扫描子网。（3） NSS执行的进程包括：取得指定域的列表或报告，该域原本不存在这类列

7、表、用Ping命令确定指定主机是否是活性的、扫描目标主机的端口、报告指定地址的漏洞。（4） 提示。在对NSS进行解压缩后，不能立即运行NSS，需要对它进行一些修改，必须设置一些环境变量，以适应你的机器配置。主要变量包括：$TmpDir_NSS使用的临时目录$YPX-ypx应用程序的目录$PING_可执行的ping命令的目录$XWININFO_xwininfo的目录如果你隐藏了Perl include目录（目录中有Perl include文件），并且在PATH环境变量中没有包含该目录，需要加上这个目录；同时，用户应该注意NSS需要ftplib.pl库函数。NSS具有并行能力，可以在许多工作站之间

8、进行分布式扫描。而且，它可以使进程分支。在资源有限的机器上运行NSS（或未经允许运行NSS）应该避免这种情况，在代码中有这方面的选项设置。2Strobe（超级优化TCP端口检测程序）strobe是一个TCP端口扫描器，它可以记录指定机器的所有开放端口。strobe运行速度快（其作者声称在适中的时间内，便可扫描整个一个国家的机器）。strobe的主要特点是，它能快速识别指定机器上正在运行什么服务。strobe的主要不足是这类信息是很有限的，一次strobe攻击充其量可以提供给入侵者一个粗略的指南，告诉什么服务可以被攻击。但是，strobe用扩展的行命令选项弥补了这个不足。比如，在用大量指定端口扫

9、描主机时，你可以禁止所有重复的端口描述（仅打印首次端口定义）。其他选项包括：（1）定义起始和终止端口（2）定义在多长时间内接收不到端口或主机响应，便终止这次扫描。（3）定义使用的socket号码（4）定义strobe要捕捉的目标主机的文件在获得strobe的同时，必然获得手册页面，这对于Solaris 2.3是一个明显的问题，为了防止发生问题，必须禁止使用getpeername（）。在行命令中加入-g 标志就可以实现这一目的。同时，尽管strobe没有对远程主机进行广泛测试，但它留下的痕迹与早期的ISS一样明显，被strobe扫描过的主机会知道这一切（这非常象在/var/adm/message

10、s文件中执行连接请求）。3SATAN（安全管理员的网络分析工具）SATAN是为UNIX设计的，它主要是用C和Perl语言编写的（为了用户界面的友好性，还用了一些HTML技术）。它能在许多类UNIX平台上运行，有些根本不需要移植，而在其他平台上也只是略作移植。在Linux上运行SATAN有一个特殊问题，应用于原系统的某些规则在Linus平台上会引起系统失效的致命缺陷；在tcp-scan模块中实现 select（）调用也会产生问题；最后要说的是，如果用户扫描一个完整子网，则会引进反向fping爆炸，也即套接字（socket）缓冲溢出。但是，有一个站点不但包含了用于Linux的、改进的SATAN二进

11、制代码，还包含了diff文件。SATAN用于扫描远程主机的许多已知的漏洞，其中包括但并不限于下列这些漏洞：（1）FTPD脆弱性和可写的FTP目录（2）NFS脆弱性（3）NIS脆弱性（4）RSH脆弱性（5）Sendmail（6）X服务器脆弱性SATAN的安装和其他应用程序一样，每个平台上的SATAN目录可能略有不同，但一般都是/satan-1.1.1。安装的第一步（在阅读了使用文档说明后）是运行Perl程序reconfig。这个程序搜索各种不同的组成成分，并定义目录路径。如果它不能找到或定义一个浏览器。则运行失败，那些把浏览器安装在非标准目录中（并且没有在PATH中进行设置）的用户将不得不手工进

12、行设置。同样，那些没有用DNS（未在自己机器上运行DNS）的用户也必须在/satan-1.1.1/conf/satan.cf中进行下列设置：$dont_use_nslookuo=1；在解决了全部路径问题后，用户可以在分布式系统上运行安装程序（IRIX或SunOS），我建议要非常仔细地观察编译，以找出错误。SATAN比一般扫描器需要更多一些的资源，尤其是在内存和处理器功能方面要求更高一些。如果你在运行SATAN时速度很慢，可以尝试几种解决办法。最直接的办法就是扩大内存和提高处理器能力，但是，如果这种办法不行，我建议用下面两种方法：一是尽可能地删除其他进程；二是把你一次扫描主机的数量限制在100台

13、以下。最后说明的一点是，对于没有强大的视频支持或内存资源有限的主机，SATAN有一个行命令接口，这一点很重要。4JakalJakal是一个秘密扫描器，也就是，它可以扫描一个区域（在防火墙后面），而不留下任何痕迹。秘密扫描器工作时会产生“半扫描”（half scans），它启动（但从不完成）与目标主机的SYN/ACK过程。从根本上讲，秘密扫描器绕过了防火墙，并且避开了端口扫描探测器，识别出在防火墙后面运行的是什么服务。（这里包括了像Courtney和GAbriel这样的精制扫描探测器）。5IdentTCPscanIdentTCPscan是一个更加专业化的扫描器，其中加入了识别指定TCP端口进程的

14、所有者的功能，也就是说，它能测定该进程的UID。6CONNECTCONNECT是一个bin/sh程序，它的用途是扫描TFTP服务子网。7FSPScanFSPScan用于扫描FSP服务顺。FSP代表文件服务协议，是非常类似于FTP的Internet协议。它提供匿名文件传输，并且据说具有网络过载保护功能（比如，FSP从来不分叉）。FSP最知名的安全特性可能就是它记录所有到来用户的主机名，这被认为优于FTP，因为FTP仅要求用户的E- mail地址（而实际上根本没有进行记录）。FSP相当流行，现在为Windows 和OS/2开发了GUI客户程序。8XSCANXSCAN扫描具有X服务器弱点的子网（或主

15、机）。乍一看，这似乎并不太重要，毕竟其他多数扫描器都能做同样的工作。然而，XSCAN包括了一个增加的功能：如果它找到了一个脆弱的目标，它会立即加入记录。XSCAN的其他优点还包括：可以一次扫描多台主机。这些主机可以在行命令中作为变量键入（并且你可以通过混合匹配同时指定主机和子网）。9NmapNmap是一款比较优秀的工具。Nmap是一个网络探测和安全扫描程序，系统管理者和个人可以使用这个软件扫描大型的网络，获取那台主机正在运行以及提供什么服务等信息。nmap支持很多扫描技术，例如：UDP、TCP connect（）、TCP SYN（半开扫描）、ftp代理（bounce攻击）、反向标志、ICMP、

16、FIN、ACK扫描、圣诞树（Xmas Tree）、SYN扫描和null扫描。从扫描类型一节可以得到细节。nmap还提供了一些高级的特征，例如：通过TCP/IP协议栈特征探测操作系统类型，秘密扫描，动态延时和重传计算，并行扫描，通过并行ping扫描探测关闭的主机，诱饵扫描，避开端口过滤检测，直接RPC扫描（无须端口影射），碎片扫描，以及灵活的目标和端口设定。除了提供基本的UDP和TCP端口扫描功能外，还综合集成了众多扫描技术，现在的端口扫描类型很大程度上根据Nmap的功能设置来划分的。Nmap是在免费软件基金会的GNU General Public License（GPL）下发布的，有支持UNI

17、X平台的版本，也有支持Windows平台的版本。其下载的地址为：http:/www.insecure.org/nmap/nmap _domnloag.html。端口扫描防御策略。一般来说，可以安装防火墙进行防范攻击的端口扫描。此外，关闭一些没有使用的端口、屏蔽一些危险的端口等。最后，用户可以使用安全扫描器，事先对自己的系统作一个全面的评估，弥补漏洞，防患于未然。6.3.3 实验列表实验序号实验名称实验一【实验一】端口扫描【实验分析】实验目的： 掌握端口扫描的基本概念和掌握端口扫描的原理； 掌握端口扫描的几种类型及其区别；场景描述： 图6-3-1 实验拓扑图本实验可以在虚拟机环境下完成，实验拓扑

18、图如图6-3-1所示，在扫描机对靶机进行端口扫描，对应的IP地址及其角色如表6-3-1所示。IP地址角色与任务A172.16.1.211攻击源（扫描机）B172.16.1.7攻击目标（靶机）表6-3-1 对应的IP地址及其角色实验工具：WinXP、端口扫描工具Zenmap【实验步骤】1扫描机的网络配置如下（图6-3-2）图6-3-2 扫描机的网络配置2靶机扫描机的网络配置如下（图6-3-3）图6-3-3 靶机扫描机的网络配置3登陆扫描机172.16.1.211，运行扫描软件Zenmap（图6-3-4）图6-3-4 运行扫描软件Zenmap4输入要扫的方式nmap -sS （TCP SYN扫描）

19、，配置要扫的机器地址172.16.1.7，再点“Scan”开始扫描，扫描一会，扫描结果就出来了（图6-3-5）；5可以使用TELNET命令来检验各种服务所开放的端口，验证扫描到的端口确实是否打开的；6再依次输入nmap -sT （TCP 扫描），再点“Scan”开始扫描，扫描结束后，可以查看到扫描结果（图6-3-6）；7再依次输入nmap -sU（UDP扫描），再点“Scan”开始扫描。扫描结束后，可以查看到结果。根据扫出的结果，分析后可以发现，主机开放的端口、服务的信息，这些细微的信息就可以被黑客加以利用，为下一步的入侵做铺垫工作（图6-3-7）。图6-3-5 TCP SYN扫描结果图6-3-6 TCP 扫描结果图6-3-7 UDP扫描结果