第2章信息收集

1、第二章第二章 信息收集信息收集吳少華吳少華電子信息學(xué)院電子信息學(xué)院網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華第二章第二章 信息收集信息收集l本章主要內(nèi)容本章主要內(nèi)容l信息收集的概念和意義信息收集的概念和意義l信息收集的方法和技術(shù)信息收集的方法和技術(shù)l利用公開(kāi)的信息服務(wù)利用公開(kāi)的信息服務(wù)l掃描掃描 l操作系統(tǒng)的類型探測(cè)操作系統(tǒng)的類型探測(cè) 網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.1 信息收集概述信息收集概述l什么是信息收集？什么是信息收集？l信息收集是指信息收集是指l黑客為了更加有效地實(shí)施攻黑客為了更加有效地實(shí)施攻擊而在攻擊前或攻擊過(guò)程中擊而在攻擊前或攻擊過(guò)程中對(duì)目標(biāo)的所有探測(cè)活動(dòng)對(duì)目標(biāo)的所有探測(cè)活動(dòng)網(wǎng)

2、絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.1 信息收集概述信息收集概述l什么是信息收集？什么是信息收集？l信息收集是指信息收集是指l黑客為了更加有效地實(shí)施攻黑客為了更加有效地實(shí)施攻擊而在攻擊前或攻擊過(guò)程中擊而在攻擊前或攻擊過(guò)程中對(duì)目標(biāo)的所有對(duì)目標(biāo)的所有探測(cè)活動(dòng)探測(cè)活動(dòng)l 信息收集的內(nèi)容是什么？信息收集的內(nèi)容是什么？l 哪些信息對(duì)攻擊是有意義的、是攻擊者（當(dāng)然也哪些信息對(duì)攻擊是有意義的、是攻擊者（當(dāng)然也是網(wǎng)絡(luò)防衛(wèi)者）所關(guān)心的？是網(wǎng)絡(luò)防衛(wèi)者）所關(guān)心的？網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.1 信息收集概述信息收集概述l信息收集內(nèi)容：信息收集內(nèi)容：l域名和域名和IP地址地址l操作系統(tǒng)類型操作系統(tǒng)類型l

3、端口端口l應(yīng)用程序類型應(yīng)用程序類型l防火墻和入侵檢測(cè)系統(tǒng)防火墻和入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.1 信息收集概述信息收集概述l信息收集的內(nèi)容信息收集的內(nèi)容l域名和域名和IP地址地址l操作系統(tǒng)類型操作系統(tǒng)類型l端口端口l應(yīng)用程序類型應(yīng)用程序類型l防火墻、入侵檢測(cè)等安全防范措施防火墻、入侵檢測(cè)等安全防范措施l內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、域組織內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、域組織網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華第二章第二章 信息收集信息收集l2.1 信息收集概述信息收集概述l2.2 利用公開(kāi)服務(wù)收集信息利用公開(kāi)服務(wù)收集信息l2.3 IP掃描與端口掃描掃描與端口掃描l2.4 操作系統(tǒng)類型探測(cè)操作系統(tǒng)類型探測(cè)

4、網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.2 利用公開(kāi)服務(wù)收集信息利用公開(kāi)服務(wù)收集信息l利用公用信息服務(wù)進(jìn)行信息收集利用公用信息服務(wù)進(jìn)行信息收集lWEB與搜索引擎服務(wù)與搜索引擎服務(wù)lUSENET（新聞組服務(wù)）（新聞組服務(wù)）lWhoIs服務(wù)服務(wù)lDNS（域名系統(tǒng)）服務(wù)（域名系統(tǒng)）服務(wù)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.2.1 WEB與搜索引擎服務(wù)與搜索引擎服務(wù)l目標(biāo)：目標(biāo)：l獲取目標(biāo)公司或網(wǎng)站的域名或網(wǎng)站地址獲取目標(biāo)公司或網(wǎng)站的域名或網(wǎng)站地址l直接進(jìn)入目標(biāo)網(wǎng)站或通過(guò)搜索引擎獲得主頁(yè)地直接進(jìn)入目標(biāo)網(wǎng)站或通過(guò)搜索引擎獲得主頁(yè)地址址網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.2.1 WEB與搜索引擎服務(wù)

5、與搜索引擎服務(wù)l目標(biāo)：目標(biāo)：l獲取目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)獲取目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)l網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)拓?fù)鋱DlIP分配表分配表l網(wǎng)絡(luò)設(shè)備，安全設(shè)施網(wǎng)絡(luò)設(shè)備，安全設(shè)施l網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.2.1 WEB與搜索引擎服務(wù)與搜索引擎服務(wù)lWEB與搜索引擎服務(wù)與搜索引擎服務(wù)l公開(kāi)的網(wǎng)頁(yè)公開(kāi)的網(wǎng)頁(yè)l目標(biāo)域名或網(wǎng)站地址目標(biāo)域名或網(wǎng)站地址l網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)l網(wǎng)絡(luò)管理員網(wǎng)絡(luò)管理員l公司人員名單、電話、公司人員名單、電話、Emaill網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.2.1 WEB與搜索引擎服務(wù)與搜索引擎服務(wù)lWEB與搜索引擎服務(wù)與搜

6、索引擎服務(wù)l搜索引擎搜索引擎lGooglelBaidulYahool搜索引擎為我們提供了在搜索引擎為我們提供了在WEB檢索信息的能檢索信息的能力。能否在力。能否在WEB中找到所需要的信息，關(guān)鍵中找到所需要的信息，關(guān)鍵在于能否合理地提取搜索的關(guān)鍵字在于能否合理地提取搜索的關(guān)鍵字網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華搜索引擎服務(wù)搜索引擎服務(wù)l搜索基本指令搜索基本指令l搜索技巧搜索技巧+ / and強(qiáng)制包含檢索項(xiàng)強(qiáng)制包含檢索項(xiàng)- 排除某檢索項(xiàng)排除某檢索項(xiàng)“”組合多個(gè)檢索詞組合多個(gè)檢索詞|或或.匹配任意字符匹配任意字符*匹配任意檢索詞匹配任意檢索詞site:搜索具體服務(wù)器或域名的網(wǎng)頁(yè)搜索具體服務(wù)器或域名

7、的網(wǎng)頁(yè)filetype:搜索以特定文件擴(kuò)展名結(jié)尾的搜索以特定文件擴(kuò)展名結(jié)尾的URLintitle:搜索網(wǎng)頁(yè)標(biāo)題中的詞匯搜索網(wǎng)頁(yè)標(biāo)題中的詞匯inurl:搜索搜索URL中的詞匯中的詞匯intext:搜索正文中的詞匯搜索正文中的詞匯link:搜索連接到指定網(wǎng)頁(yè)的網(wǎng)頁(yè)搜索連接到指定網(wǎng)頁(yè)的網(wǎng)頁(yè)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華搜索引擎服務(wù)搜索引擎服務(wù)lGoogle Hackingl搜索密碼文件搜索密碼文件l搜索管理員后臺(tái)搜索管理員后臺(tái)URLl搜索搜索CGI漏洞漏洞l搜索黑客留下的

8、后門搜索黑客留下的后門ll目標(biāo)：目標(biāo)：l獲取網(wǎng)絡(luò)設(shè)置不正確，可以下載的密碼數(shù)據(jù)庫(kù)獲取網(wǎng)絡(luò)設(shè)置不正確，可以下載的密碼數(shù)據(jù)庫(kù)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)選擇目標(biāo)選擇目標(biāo)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)下載下載網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華Google Hacking使用數(shù)據(jù)庫(kù)使用數(shù)據(jù)庫(kù)中的帳號(hào)口中的帳號(hào)口令對(duì)登錄令對(duì)登錄網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華Google Hacking成功進(jìn)入成功進(jìn)入管理頁(yè)面管理頁(yè)面網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華Google HackinglGoogle Hacking 的特點(diǎn)的特點(diǎn)l快速快

9、速l搜索引擎預(yù)先準(zhǔn)備了大量處理好的信息以供檢索搜索引擎預(yù)先準(zhǔn)備了大量處理好的信息以供檢索l準(zhǔn)確準(zhǔn)確l搜索引擎做了關(guān)聯(lián)性、重要性等各種過(guò)濾處理措施搜索引擎做了關(guān)聯(lián)性、重要性等各種過(guò)濾處理措施l隱蔽隱蔽l搜索、查詢都是通過(guò)搜索引擎的數(shù)據(jù)庫(kù)進(jìn)行搜索、查詢都是通過(guò)搜索引擎的數(shù)據(jù)庫(kù)進(jìn)行l(wèi)智能智能l搜索引擎自身的智能特性搜索引擎自身的智能特性l緩存緩存l保留了已經(jīng)實(shí)際不存在的敏感信息保留了已經(jīng)實(shí)際不存在的敏感信息 網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.2.2 USENET（新聞組服務(wù)）（新聞組服務(wù)）lUSENETlUSENET使用客戶使用客戶/服務(wù)器的工作方式服務(wù)器的工作方式l使用使用NNTP（Netw

10、ork News Transport Protocol，TCP端端口口119）協(xié)議來(lái)完成客戶和服務(wù)器間的交互）協(xié)議來(lái)完成客戶和服務(wù)器間的交互 l用戶使用新聞閱讀器用戶使用新聞閱讀器(newsreader) 程序閱讀程序閱讀Usenet文章文章l新聞組閱讀器軟件一般具備在新聞組文章中進(jìn)行搜新聞組閱讀器軟件一般具備在新聞組文章中進(jìn)行搜索的功能，可以使用關(guān)鍵字對(duì)文章的發(fā)件人、文章索的功能，可以使用關(guān)鍵字對(duì)文章的發(fā)件人、文章的收件人、文章的標(biāo)題或是文章的內(nèi)容進(jìn)行搜索的收件人、文章的標(biāo)題或是文章的內(nèi)容進(jìn)行搜索網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華lWhoIs服務(wù)服務(wù)l功能：查詢已注冊(cè)域名的擁有者信息功能：

11、查詢已注冊(cè)域名的擁有者信息l域名登記人信息域名登記人信息l聯(lián)系方式聯(lián)系方式l域名注冊(cè)時(shí)間和更新時(shí)間域名注冊(cè)時(shí)間和更新時(shí)間l權(quán)威權(quán)威DNS的的IP地址地址l使用方法：使用方法：lSamSpade等網(wǎng)絡(luò)實(shí)用工具等網(wǎng)絡(luò)實(shí)用工具2.2.3 WhoIs服務(wù)服務(wù)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.2.4 DNS（域名系統(tǒng)）服務(wù)（域名系統(tǒng)）服務(wù)lDNS：提供域名到：提供域名到IP地址的映射地址的映射l權(quán)威權(quán)威DNS主主DNSlCashe-Only DNS副副DNSlPing網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.2.4 DNS（域名系統(tǒng)）服務(wù)（域名系統(tǒng)）服務(wù)l區(qū)域傳送：允許一個(gè)副區(qū)域傳送：允許一個(gè)副DN

12、S更新自己的區(qū)域數(shù)更新自己的區(qū)域數(shù)據(jù)據(jù)l如果如果DNS配置不安全，可能造成內(nèi)部主機(jī)名和配置不安全，可能造成內(nèi)部主機(jī)名和IP地址對(duì)的泄漏地址對(duì)的泄漏l在錯(cuò)誤配置時(shí)在錯(cuò)誤配置時(shí)DNS服務(wù)器會(huì)接受任何一個(gè)主機(jī)服務(wù)器會(huì)接受任何一個(gè)主機(jī)DNS區(qū)域傳送請(qǐng)求。區(qū)域傳送請(qǐng)求。Windows 2000 Server的的DNS服務(wù)服務(wù)程序在默認(rèn)配置情況下，也允許向任何主機(jī)提供程序在默認(rèn)配置情況下，也允許向任何主機(jī)提供DNS區(qū)域傳送區(qū)域傳送l如果沒(méi)有使用公用如果沒(méi)有使用公用/私用私用DNS機(jī)制分割外部公用機(jī)制分割外部公用DNS信息和內(nèi)部私用信息和內(nèi)部私用DNS信息，任何主機(jī)都可以得到機(jī)信息，任何主機(jī)都可以得到機(jī)構(gòu)的

13、所有內(nèi)部主機(jī)名和構(gòu)的所有內(nèi)部主機(jī)名和IP地址地址網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華第二章第二章 信息收集信息收集l2.1 信息收集概述信息收集概述l2.2 利用公開(kāi)服務(wù)收集信息利用公開(kāi)服務(wù)收集信息l2.3 IP掃描與端口掃描掃描與端口掃描l2.4 操作系統(tǒng)類型探測(cè)操作系統(tǒng)類型探測(cè)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.3.1 找到網(wǎng)絡(luò)地址范圍lPing: Packet InterNet Groperl用來(lái)判斷遠(yuǎn)程設(shè)備可訪問(wèn)性最常用的方法l原理：發(fā)送ICMP Echo消息，然后等待ICMP Reply消息lTraceroutel 用來(lái)發(fā)現(xiàn)實(shí)際的路由路徑l 原理：給目標(biāo)的一個(gè)無(wú)效端口發(fā)送一系列U

14、DP，其TTL依次增一，中間路由器返回一個(gè)ICMP Time Exceeded消息網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華traceroutel發(fā)送一系列UDP包(缺省大小為38字節(jié))，其TTL字段從1開(kāi)始遞增，然后監(jiān)聽(tīng)來(lái)自路徑上網(wǎng)關(guān)發(fā)回來(lái)的ICMP Time Exceeded應(yīng)答消息lUDP包的端口設(shè)置為一個(gè)不太可能用到的值(缺省為33434)，因此，目標(biāo)會(huì)送回一個(gè)ICMP Destination Unreachable消息，指示端口不可達(dá)ltraceroute/tracert 域名域名lpathping網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.3.2 找到活動(dòng)的主機(jī)-掃描技術(shù)l基于基于TCP/I

15、P協(xié)議，對(duì)各種網(wǎng)絡(luò)服務(wù)，無(wú)論是主機(jī)或者防火墻協(xié)議，對(duì)各種網(wǎng)絡(luò)服務(wù)，無(wú)論是主機(jī)或者防火墻、路由器都適用、路由器都適用l掃描器能夠掃描器能夠l發(fā)現(xiàn)系統(tǒng)存活情況發(fā)現(xiàn)系統(tǒng)存活情況l對(duì)端口掃描，發(fā)現(xiàn)哪些服務(wù)在運(yùn)行對(duì)端口掃描，發(fā)現(xiàn)哪些服務(wù)在運(yùn)行l(wèi)掃描器能夠暴露網(wǎng)絡(luò)上潛在的脆弱性，避免遭受不必要掃描器能夠暴露網(wǎng)絡(luò)上潛在的脆弱性，避免遭受不必要的攻擊的攻擊l有進(jìn)一步的功能，包括操作系統(tǒng)辨識(shí)、應(yīng)用系統(tǒng)識(shí)別有進(jìn)一步的功能，包括操作系統(tǒng)辨識(shí)、應(yīng)用系統(tǒng)識(shí)別l用途，雙刃劍用途，雙刃劍l安全管理員可以用來(lái)確保自己系統(tǒng)的安全性安全管理員可以用來(lái)確保自己系統(tǒng)的安全性l黑客用來(lái)探查系統(tǒng)的入侵點(diǎn)黑客用來(lái)探查系統(tǒng)的入侵點(diǎn)l端口掃描

16、的技術(shù)已經(jīng)非常成熟，目前有大量的商業(yè)、非端口掃描的技術(shù)已經(jīng)非常成熟，目前有大量的商業(yè)、非商業(yè)的掃描器商業(yè)的掃描器網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華掃描器歷史l早期早期l80年代，網(wǎng)絡(luò)沒(méi)有普及，上網(wǎng)的好奇心驅(qū)使許多年輕人通過(guò)年代，網(wǎng)絡(luò)沒(méi)有普及，上網(wǎng)的好奇心驅(qū)使許多年輕人通過(guò)Modem撥號(hào)進(jìn)入到撥號(hào)進(jìn)入到UNIX系統(tǒng)中。這時(shí)候的手段需要大量的手系統(tǒng)中。這時(shí)候的手段需要大量的手工操作工操作l于是，出現(xiàn)了于是，出現(xiàn)了war dialer自動(dòng)掃描，并記錄下掃描的結(jié)果自動(dòng)掃描，并記錄下掃描的結(jié)果l現(xiàn)代的掃描器要先進(jìn)得多現(xiàn)代的掃描器要先進(jìn)得多l(xiāng)SATAN: Security Administrators

17、Tool for Analyzingl1995年年4月發(fā)布，引起了新聞界的轟動(dòng)月發(fā)布，引起了新聞界的轟動(dòng)l界面上的突破，從命令行走向圖形界面界面上的突破，從命令行走向圖形界面(使用使用HTML界面界面)，不，不依賴于依賴于Xl兩位作者的影響兩位作者的影響(Dan Farmer寫過(guò)網(wǎng)絡(luò)安全檢查工具寫過(guò)網(wǎng)絡(luò)安全檢查工具COPS，另一位另一位Weitse Venema是是TCP_Wrapper的作者的作者)lNmapl作者為作者為Fyodor，技術(shù)上，是最先進(jìn)的掃描技術(shù)大集成，技術(shù)上，是最先進(jìn)的掃描技術(shù)大集成l結(jié)合了功能強(qiáng)大的通過(guò)棧指紋來(lái)識(shí)別操作系統(tǒng)的眾多技術(shù)結(jié)合了功能強(qiáng)大的通過(guò)棧指紋來(lái)識(shí)別操作系統(tǒng)

18、的眾多技術(shù)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華掃描技術(shù)l主機(jī)掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，同時(shí)盡可能多映射目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，主要利用ICMP數(shù)據(jù)包l端口掃描：發(fā)現(xiàn)遠(yuǎn)程主機(jī)開(kāi)放的端口以及服務(wù)l操作系統(tǒng)指紋掃描：根據(jù)協(xié)議棧判別操作系統(tǒng)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華主機(jī)掃描l主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，同時(shí)盡可能多映射目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)l傳統(tǒng)主機(jī)掃描技術(shù)l高級(jí)主機(jī)掃描技術(shù)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華傳統(tǒng)主機(jī)掃描技術(shù)lPinglPing sweeplFping(unix)lNONE-ECHO ICMPl其它ICMP服

19、務(wù)類型（13和14、15和16、17和18）也可以用于對(duì)主機(jī)或網(wǎng)絡(luò)設(shè)備如路由器等的探測(cè)lICMP Time Stamp Request 和REPLY允許一個(gè)節(jié)點(diǎn)查詢另一個(gè)節(jié)點(diǎn)的當(dāng)前時(shí)間，返回值是自午夜開(kāi)始計(jì)算的毫秒數(shù)。發(fā)送者可以初始化標(biāo)識(shí)符和序列號(hào)，請(qǐng)求端還填寫發(fā)起時(shí)間戳，然后發(fā)送報(bào)文給應(yīng)答系統(tǒng)。l應(yīng)答系統(tǒng)接受請(qǐng)求后，填寫接受和傳送的時(shí)間戳，把信息類型改變?yōu)镽EPLY應(yīng)答并送回給發(fā)送者。返回值是自午夜開(kāi)始計(jì)算的毫秒數(shù)。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華3.2高級(jí)主機(jī)掃描技術(shù)l利用被探測(cè)主機(jī)產(chǎn)生的ICMP錯(cuò)誤報(bào)文來(lái)進(jìn)行復(fù)雜的主機(jī)探測(cè)l異常的IP包頭l向目標(biāo)主機(jī)發(fā)送包頭錯(cuò)誤的IP包，目標(biāo)主機(jī)或過(guò)

20、濾設(shè)備會(huì)反饋ICMP Parameter Problem Error信息。常見(jiàn)的偽造錯(cuò)誤字段為Header Length和IP Options。不同廠家的路由器和操作系統(tǒng)對(duì)這些錯(cuò)誤的處理方式不同，返回的結(jié)果也不同。l IP頭中設(shè)置無(wú)效的字段值l向目標(biāo)主機(jī)發(fā)送的IP包中填充錯(cuò)誤的字段值，目標(biāo)主機(jī)或過(guò)濾設(shè)備會(huì)反饋ICMP Destination Unreachable 信息。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l錯(cuò)誤的數(shù)據(jù)分片l當(dāng)目標(biāo)主機(jī)接收到錯(cuò)誤的數(shù)據(jù)分片（如某些分片丟失），并且在規(guī)定的時(shí)間間隔內(nèi)得不到更正時(shí)，將丟棄這些錯(cuò)誤數(shù)據(jù)包，并向發(fā)送主機(jī)反饋ICMP Fragment Reassembly

21、 Time Exceeded 錯(cuò)誤報(bào)文。l用UDP掃描l向目標(biāo)主機(jī)特定端口發(fā)送一個(gè)0字節(jié)數(shù)據(jù)的UDP包，關(guān)閉端口會(huì)反饋ICMP Port Unreachable 錯(cuò)誤報(bào)文，而開(kāi)放的端口則沒(méi)有任何反饋。通過(guò)多個(gè)端口的掃描，還可以探測(cè)到目標(biāo)系統(tǒng)。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l通過(guò)超長(zhǎng)包探測(cè)內(nèi)部路由器l若構(gòu)造的數(shù)據(jù)包長(zhǎng)度超過(guò)目標(biāo)系統(tǒng)所在路由器的PMTU且設(shè)置禁止分片標(biāo)志, 該路由器會(huì)反饋Fragmentation Needed and Dont Fragment Bit was Set差錯(cuò)報(bào)文。l反向映射探測(cè)l用于探測(cè)被過(guò)濾設(shè)備或防火墻保護(hù)的網(wǎng)絡(luò)和主機(jī)。l構(gòu)造可能的內(nèi)部IP地址列表，并向這些

22、地址發(fā)送數(shù)據(jù)包。當(dāng)對(duì)方路由器接收到這些數(shù)據(jù)包時(shí)，會(huì)進(jìn)行IP識(shí)別并路由，對(duì)不在其服務(wù)的范圍的IP包發(fā)送ICMP Host Unreachable或ICMP Time Exceeded 錯(cuò)誤報(bào)文，沒(méi)有接收到相應(yīng)錯(cuò)誤報(bào)文的IP地址可被認(rèn)為在該網(wǎng)絡(luò)中網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.3.3.找到活動(dòng)的端口端口掃描找到活動(dòng)的端口端口掃描l端口掃描的直接成果就是得到目標(biāo)主機(jī)開(kāi)放和關(guān)閉的端口列表，這些開(kāi)放的端口往往與一定的服務(wù)相對(duì)應(yīng)，通過(guò)這些開(kāi)放的端口，黒客就能了解主機(jī)運(yùn)行的服務(wù)，然后就可以進(jìn)一步整理和分析這些服務(wù)可能存在的漏洞，隨后采取針對(duì)性的攻擊。l已知的端口掃描的類型包括：l4.1 開(kāi)放掃描(O

23、pen Scanning)l4.2 半開(kāi)掃描(Half-Open Scanning)l4.3 隱蔽掃描(Stealth Scanning)l4.4其他掃描其他掃描網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華TCP連接若干要點(diǎn)lTCP/IP的一些實(shí)現(xiàn)原則l當(dāng)一個(gè)SYN|ACK或者FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口，端口發(fā)送一個(gè)RST數(shù)據(jù)包l當(dāng)一個(gè)SYN|ACK或者FIN數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)的端口，數(shù)據(jù)包被丟棄l當(dāng)一個(gè)包含ACK的數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口時(shí)，數(shù)據(jù)包被丟棄，同時(shí)發(fā)送一個(gè)RST數(shù)據(jù)包l當(dāng)一個(gè)不包含SYN位的數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口時(shí)，數(shù)據(jù)包被丟棄l當(dāng)一個(gè)SYN數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口時(shí)，正常的三階段握手繼

24、續(xù)，回答一個(gè)SYN|ACK數(shù)據(jù)包網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華掃描技術(shù)原理掃描技術(shù)原理q端口掃描技術(shù)概況端口掃描技術(shù)概況端口服務(wù)表端口服務(wù)表掃描分類掃描分類l端口掃描端口掃描網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l服務(wù)名稱服務(wù)名稱端口端口/協(xié)議協(xié)議lftp-data 20/tcp lftp 21/tcp ltelnet 23/tcplsmtp25/tcp ltftp69/udplfinger79/tcplwww80/tcp lpop3110/tcp lnetbios-ns137/tcp lnetbios-ns137/udplnetbios-dgm138/tcp lnetbios-dgm13

25、8/udplnetbios-ssn139/tcp lnetbios-ssn139/udplmysql MySQL 3306/ tcplms-sql-s Microsoft-SQL-Server 1433/ tcplmicrosoft-ds Microsoft-DS 445/ tcpl端口服務(wù)表端口服務(wù)表網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l掃描分類掃描分類lTCP全連接全連接l開(kāi)放掃描開(kāi)放掃描l半開(kāi)放掃描半開(kāi)放掃描lTCP反向反向lident掃描掃描lIP頭信息頭信息ldumb掃描掃描lSYN掃描掃描lFIN掃描掃描l隱蔽掃描隱蔽掃描lTCP分段分段lACK掃描掃描lXMAS掃描掃描l空掃描空

26、掃描l掃射掃描掃射掃描lSYN/ACK掃描掃描lping掃射掃射l其它掃描其它掃描lUDP/ICMPl不可達(dá)不可達(dá)lFTP彈跳彈跳lUDP掃射掃射lUDPrecvfroml/write掃描掃描lACK掃射掃射lSYN掃射掃射lICMP掃射掃射l端口掃描端口掃描網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華4.1開(kāi)放掃描開(kāi)放掃描q完全連接掃描完全連接掃描lClientSYNlServerSYN/ACKlClientACKlClientSYNlServerRST/ACKlClientRSTl端口開(kāi)放端口開(kāi)放l端口關(guān)閉端口關(guān)閉l端口掃描端口掃描l優(yōu)點(diǎn)：快速，精確，不需要額外權(quán)限優(yōu)點(diǎn)：快速，精確，不需要額外權(quán)限

27、l缺點(diǎn)：容易被檢測(cè)和日志缺點(diǎn)：容易被檢測(cè)和日志網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l反向反向IDENT掃描（掃描（RFC1413）lClientident請(qǐng)求：請(qǐng)求：port, portlServer連接對(duì)應(yīng)的用戶連接對(duì)應(yīng)的用戶l確定進(jìn)程擁有者確定進(jìn)程擁有者l優(yōu)點(diǎn)：快速，可返回重要信息，不需要額外權(quán)限優(yōu)點(diǎn)：快速，可返回重要信息，不需要額外權(quán)限l缺點(diǎn)：容易被檢測(cè)缺點(diǎn)：容易被檢測(cè)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華4.2 半開(kāi)放掃描半開(kāi)放掃描q半連接半連接SYN掃描掃描lClientSYNlServerSYN/ACKlClientACKlClientSYNlServerRST/ACKlClient

28、RSTl端口開(kāi)放端口開(kāi)放l端口關(guān)閉端口關(guān)閉l*立即切斷連接立即切斷連接l端口掃描端口掃描l優(yōu)點(diǎn)：快速，可靠，不需要三次握手優(yōu)點(diǎn)：快速，可靠，不需要三次握手l缺點(diǎn)：要求缺點(diǎn)：要求root權(quán)限權(quán)限網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華lIP ID頭啞掃描頭啞掃描lAlBlC目標(biāo)機(jī)目標(biāo)機(jī)l攻擊者攻擊者lDumb主機(jī)主機(jī)lpinglA偽裝偽裝B向向C發(fā)發(fā)送送SYN掃描掃描lC發(fā)送發(fā)送SYN/ACK或或RST/ACK給給Bl60 bytes from BBB.BBB.BBB.BBB: seq=1 ttl=64 id=+1 win=0 time=96 msl60 bytes from BBB.BBB.BBB

29、.BBB: seq=2 ttl=64 id=+1/3 win=0 time=88 msl60 bytes from BBB.BBB.BBB.BBB: seq=3 ttl=64 id=+1/2 win=0 time=92 mslB忽略或者忽略或者響應(yīng)響應(yīng)RST網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華4.3 隱蔽掃描隱蔽掃描q隱蔽掃描：隱蔽掃描：SYN/ACKlClientSYN/ACKlServerRSTlClientSYN/ACKlServer-l端口關(guān)閉端口關(guān)閉l端口開(kāi)放端口開(kāi)放l端口掃描端口掃描l優(yōu)點(diǎn)：快速，可逃避優(yōu)點(diǎn)：快速，可逃避IDS和防火墻，不需要三次握手和防火墻，不需要三次握手l缺點(diǎn)：

30、不可靠（虛警）缺點(diǎn)：不可靠（虛警）網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華掃描技術(shù)分析掃描技術(shù)分析q隱蔽掃描：隱蔽掃描：FINlClientFINlServerRSTlClientFINlServer-l端口開(kāi)放端口開(kāi)放l端口關(guān)閉端口關(guān)閉l端口掃描端口掃描l優(yōu)點(diǎn)：可逃避優(yōu)點(diǎn)：可逃避IDS和防火墻，不需要三次握手和防火墻，不需要三次握手l缺點(diǎn)：不可靠（虛警）缺點(diǎn)：不可靠（虛警）網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華掃描技術(shù)分析掃描技術(shù)分析q隱蔽掃描：隱蔽掃描：ACKlClientACKlServer(TTL0)lClientACKlServer(TTL64)lServer(WIN=0)l端口開(kāi)放端口開(kāi)

31、放l端口關(guān)閉端口關(guān)閉l端口掃描端口掃描l優(yōu)點(diǎn)：可逃避優(yōu)點(diǎn)：可逃避IDS檢測(cè)，很難被日志檢測(cè)，很難被日志l缺點(diǎn)：主要依賴于缺點(diǎn)：主要依賴于BSD網(wǎng)絡(luò)代碼的網(wǎng)絡(luò)代碼的bug網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l當(dāng)當(dāng)Client發(fā)送一個(gè)發(fā)送一個(gè)ACK數(shù)據(jù)包給服務(wù)器時(shí)，服務(wù)器數(shù)據(jù)包給服務(wù)器時(shí)，服務(wù)器會(huì)回送一個(gè)會(huì)回送一個(gè)RST數(shù)據(jù)包。開(kāi)放端口發(fā)送的數(shù)據(jù)包。開(kāi)放端口發(fā)送的RST包的包的IP頭中的頭中的TTL值一般比關(guān)閉的端口小，而且小于等值一般比關(guān)閉的端口小，而且小于等于于64。lpacket 1: host xxx.xxx.xxx.xxx port 1 F:RST-TTL: 70 win: 0lpack

32、et 2: host xxx.xxx.xxx.xxx port 2 F:RST-TTL: 40 win: 0lpacket 3: host xxx.xxx.xxx.xxx port 3 F:RST-TTL: 70 win: 0lpacket 4: host xxx.xxx.xxx.xxx port 4 F:RST-TTL: 70 win: 0網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l開(kāi)放端口發(fā)送的開(kāi)放端口發(fā)送的RST包的包的TCP頭的頭的WINDOW值一般是非值一般是非0的，的，而關(guān)閉的端口返回的包的而關(guān)閉的端口返回的包的WINDOW值為值為0。l這對(duì)于早期的一些操作系統(tǒng)，如這對(duì)于早期的一些操作系

33、統(tǒng)，如BSD系列的系列的FreeBSD、OpenBSD，UNIX中的中的AIX是適用的。但新的一些版本和其它是適用的。但新的一些版本和其它的操作系統(tǒng)已經(jīng)不能使用該方法掃描了。的操作系統(tǒng)已經(jīng)不能使用該方法掃描了。lpacket 5: host xxx.xxx.xxx.xxx port 1 F:RST-TTL: 64 win: 0lpacket 6: host xxx.xxx.xxx.xxx port 2 F:RST-TTL: 64 win: 0lpacket 7: host xxx.xxx.xxx.xxx port 3 F:RST-TTL: 64 win: 512lpacket 8: host

34、xxx.xxx.xxx.xxx port 4 F:RST-TTL: 64 win: 0網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華lNULL掃描掃描lClientNULLlServer-lClientNULLlServerRSTl端口開(kāi)放端口開(kāi)放l端口關(guān)閉端口關(guān)閉l優(yōu)點(diǎn)：可逃避優(yōu)點(diǎn)：可逃避IDS，不需要三次握手，不需要三次握手l缺點(diǎn)：不可靠（虛警），主要針對(duì)缺點(diǎn)：不可靠（虛警），主要針對(duì)UNIX系統(tǒng)系統(tǒng)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華lXMAS掃描掃描lClientXMASlServer-lClientXMASlServerRSTl端口開(kāi)放端口開(kāi)放l端口關(guān)閉端口關(guān)閉l優(yōu)點(diǎn)：可逃避優(yōu)點(diǎn)：可逃避IDS

35、，不需要三次握手，不需要三次握手l缺點(diǎn)：不可靠（虛警），主要針對(duì)缺點(diǎn)：不可靠（虛警），主要針對(duì)UNIX系統(tǒng)系統(tǒng)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華4.4其他掃描其他掃描lUDP掃描掃描lClientUDP PACKETlServer-l多次多次lClientUDP PACKETlServerICMP_PORT_UNREACHlType 3 code 3l端口開(kāi)放端口開(kāi)放l端口關(guān)閉端口關(guān)閉l優(yōu)點(diǎn)：可逃避優(yōu)點(diǎn)：可逃避TCP IDS，用于掃描，用于掃描UDP端口端口l缺點(diǎn)：需要缺點(diǎn)：需要ROOT權(quán)限權(quán)限網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華lFTP bounce 掃描掃描 PORT IP：PORT網(wǎng)絡(luò)

36、攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華qICMP掃描掃描l*ICMP Usage in Scanningl端口掃描端口掃描網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.4 弄清操作系統(tǒng)弄清操作系統(tǒng)l操作系統(tǒng)辨識(shí)的動(dòng)機(jī)操作系統(tǒng)辨識(shí)的動(dòng)機(jī)l許多漏洞是系統(tǒng)相關(guān)的，而且往往與相應(yīng)的版本對(duì)應(yīng)許多漏洞是系統(tǒng)相關(guān)的，而且往往與相應(yīng)的版本對(duì)應(yīng)l從操作系統(tǒng)或者應(yīng)用系統(tǒng)的具體實(shí)現(xiàn)中發(fā)掘出來(lái)的攻擊從操作系統(tǒng)或者應(yīng)用系統(tǒng)的具體實(shí)現(xiàn)中發(fā)掘出來(lái)的攻擊手段都需要辨識(shí)系統(tǒng)手段都需要辨識(shí)系統(tǒng)l操作系統(tǒng)的信息還可以與其他信息結(jié)合起來(lái)，比如漏洞操作系統(tǒng)的信息還可以與其他信息結(jié)合起來(lái)，比如漏洞庫(kù)，或者社會(huì)詐騙庫(kù)，或者社會(huì)詐騙(社會(huì)工程，社會(huì)工程

37、，social engineering)l如何辨識(shí)一個(gè)操作系統(tǒng)如何辨識(shí)一個(gè)操作系統(tǒng)l2.4.1 一些端口服務(wù)的提示信息，例如，一些端口服務(wù)的提示信息，例如，telnet、http、ftp等服務(wù)的提示信息等服務(wù)的提示信息l2.4.2 TCP/IP棧指紋棧指紋l2.4.3 DNS泄漏出泄漏出OS系統(tǒng)系統(tǒng)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.4.1服務(wù)端口提供的信息服務(wù)端口提供的信息lTelnet服務(wù)lHttp服務(wù)lFtp服務(wù)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華2.4.2 棧指紋技術(shù)l定義：利用定義：利用TCP/IP協(xié)議棧實(shí)現(xiàn)上的特點(diǎn)協(xié)議棧實(shí)現(xiàn)上的特點(diǎn)來(lái)辨識(shí)一個(gè)操作系統(tǒng)來(lái)辨識(shí)一個(gè)操作系統(tǒng)l技術(shù)導(dǎo)向

38、技術(shù)導(dǎo)向l可辨識(shí)的可辨識(shí)的OS的種類，包括哪些操作系統(tǒng)的種類，包括哪些操作系統(tǒng)l結(jié)論的精確度，細(xì)微的版本差異是否能識(shí)別結(jié)論的精確度，細(xì)微的版本差異是否能識(shí)別l一些工具一些工具lCheckos, by ShoklQueso, by SavagelNmap, by Fyodor網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華主動(dòng)棧指紋識(shí)別技術(shù)l原理：尋找不同操作系統(tǒng)之間在處理網(wǎng)絡(luò)原理：尋找不同操作系統(tǒng)之間在處理網(wǎng)絡(luò)數(shù)據(jù)包上的差異，并且把足夠多的差異組數(shù)據(jù)包上的差異，并且把足夠多的差異組合起來(lái)，以便精確地識(shí)別出一個(gè)系統(tǒng)的合起來(lái)，以便精確地識(shí)別出一個(gè)系統(tǒng)的OS版本版本網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳

39、少華網(wǎng)絡(luò)協(xié)議棧指紋構(gòu)成網(wǎng)絡(luò)協(xié)議棧指紋構(gòu)成 l1) TTLTTL：Time To Live，即數(shù)據(jù)包的，即數(shù)據(jù)包的“存活時(shí)間存活時(shí)間”，表示一個(gè)數(shù)，表示一個(gè)數(shù)據(jù)包在被丟棄之前可以通過(guò)多少躍點(diǎn)據(jù)包在被丟棄之前可以通過(guò)多少躍點(diǎn)(Hop)。不同操作系統(tǒng)的缺。不同操作系統(tǒng)的缺省省TTL值往往是不同的。值往往是不同的。常見(jiàn)操作系統(tǒng)的常見(jiàn)操作系統(tǒng)的TTL值：值：Windows 9x/NT/2000 Intel 128 Digital Unix 4.0 Alpha 60 Linux 2.2.x Intel 64 Netware 4.11 Intel 128 AIX 4.3.x IBM/RS6000 60 Ci

40、sco 12.0 2514 255 Solaris 8 Intel/Sparc 64 網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l2) DF位位DF（不分段）位識(shí)別：不同（不分段）位識(shí)別：不同OS對(duì)對(duì)DF位有位有不同的處理方式，有些不同的處理方式，有些OS設(shè)置設(shè)置DF位，有位，有些不設(shè)置些不設(shè)置DF位；還有一些位；還有一些OS在特定場(chǎng)合在特定場(chǎng)合設(shè)置設(shè)置DF位，在其它場(chǎng)合不設(shè)置位，在其它場(chǎng)合不設(shè)置DF位。位。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l3) Window SizeWindow Size：TCP接收（發(fā)送）窗口大小。接收（發(fā)送）窗口大小。它決定了接收信息的機(jī)器在收到多少數(shù)據(jù)包后它決定了接收信

41、息的機(jī)器在收到多少數(shù)據(jù)包后發(fā)送發(fā)送ACK包。包。特定操作系統(tǒng)的缺省特定操作系統(tǒng)的缺省Window Size基本是常數(shù)基本是常數(shù)，例如，例如，AIX 用用0 x3F25，Windows、OpenBSD 、FreeBSD用用0 x402E。一般地，一般地，UNIX的的Window Size較大。較大。MSWindows，路由器，交換機(jī)等的較小。，路由器，交換機(jī)等的較小。 網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l4) ACK 序號(hào)序號(hào)不同的不同的OS處理處理ACK序號(hào)時(shí)是不同的。如序號(hào)時(shí)是不同的。如果發(fā)送一個(gè)果發(fā)送一個(gè)FIN|PSH|URG的數(shù)據(jù)包到一的數(shù)據(jù)包到一個(gè)關(guān)閉的個(gè)關(guān)閉的TCP 端口，大多數(shù)端

42、口，大多數(shù)OS會(huì)把回應(yīng)會(huì)把回應(yīng)ACK包的序號(hào)設(shè)置為發(fā)送的包的初始序包的序號(hào)設(shè)置為發(fā)送的包的初始序號(hào)，而號(hào)，而Windows 和一些打印機(jī)則會(huì)發(fā)送和一些打印機(jī)則會(huì)發(fā)送序號(hào)為初始序號(hào)加序號(hào)為初始序號(hào)加1的的ACK包。包。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l5) ICMP地址屏蔽請(qǐng)求地址屏蔽請(qǐng)求對(duì)于對(duì)于ICMP地址屏蔽請(qǐng)求，有些地址屏蔽請(qǐng)求，有些OS會(huì)產(chǎn)生相應(yīng)會(huì)產(chǎn)生相應(yīng)的應(yīng)答，有些則不會(huì)。會(huì)產(chǎn)生應(yīng)答的系統(tǒng)有的應(yīng)答，有些則不會(huì)。會(huì)產(chǎn)生應(yīng)答的系統(tǒng)有OpenVMS, MSWindows, SUN Solaris等。在等。在這些產(chǎn)生應(yīng)答的系統(tǒng)中，對(duì)分片這些產(chǎn)生應(yīng)答的系統(tǒng)中，對(duì)分片ICMP地址屏蔽地址屏蔽請(qǐng)

43、求的應(yīng)答又存在差別，可以做進(jìn)一步的區(qū)分請(qǐng)求的應(yīng)答又存在差別，可以做進(jìn)一步的區(qū)分。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l6) 對(duì)對(duì)FIN包的響應(yīng)包的響應(yīng)發(fā)送一個(gè)只有發(fā)送一個(gè)只有FIN標(biāo)志位的標(biāo)志位的TCP數(shù)據(jù)包給數(shù)據(jù)包給一個(gè)打開(kāi)的端口，一個(gè)打開(kāi)的端口，Linux等系統(tǒng)不響應(yīng)；等系統(tǒng)不響應(yīng)；有些系統(tǒng)，例如有些系統(tǒng)，例如 MS Windows, CISCO, HP/UX等，發(fā)回等，發(fā)回一個(gè)一個(gè)RESET。 網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l7) 虛假標(biāo)記的虛假標(biāo)記的SYN包包在在SYN包的包的TCP頭里設(shè)置一個(gè)未定義的頭里設(shè)置一個(gè)未定義的TCP 標(biāo)記，目標(biāo)系統(tǒng)在響應(yīng)時(shí)，有的會(huì)標(biāo)記，目標(biāo)系統(tǒng)在響應(yīng)

44、時(shí)，有的會(huì)保持這個(gè)標(biāo)記，有的不保持。還有一些系保持這個(gè)標(biāo)記，有的不保持。還有一些系統(tǒng)在收到這樣的包的時(shí)候會(huì)復(fù)位連接。統(tǒng)在收到這樣的包的時(shí)候會(huì)復(fù)位連接。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l8) ISN (初始化序列號(hào)初始化序列號(hào))不不 同的同的OS在選擇在選擇TCP ISN時(shí)采用不同的方法。一時(shí)采用不同的方法。一些些UNIX系統(tǒng)采用傳統(tǒng)的系統(tǒng)采用傳統(tǒng)的64K遞增方法，較新的遞增方法，較新的Solaris,IRIX,FreeBSD, Digital Unix,Cray等系統(tǒng)等系統(tǒng)采用隨機(jī)增量的方法；采用隨機(jī)增量的方法；Linux 2.0,OpenVMS, AIX等系統(tǒng)采用真隨機(jī)方法。等系統(tǒng)采用真

45、隨機(jī)方法。Windows系統(tǒng)系統(tǒng) 采用一種采用一種時(shí)間相關(guān)的模型。還有一些系統(tǒng)使用常數(shù)。如，時(shí)間相關(guān)的模型。還有一些系統(tǒng)使用常數(shù)。如，3Com集線器使用集線器使用0 x803，Apple LaserWriter打印打印機(jī)使用機(jī)使用0 xC7001。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l9) ICMP 錯(cuò)誤信息錯(cuò)誤信息在發(fā)送在發(fā)送ICMP錯(cuò)誤信息時(shí)，不同的錯(cuò)誤信息時(shí)，不同的OS有不有不同的行為。同的行為。RFC 1812建議限制各種錯(cuò)誤建議限制各種錯(cuò)誤信息的發(fā)送率。有的信息的發(fā)送率。有的OS做了限制，而有做了限制，而有的沒(méi)做。的沒(méi)做。 網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l10) ICMP 消息

46、引用消息引用 RFC 規(guī)定規(guī)定ICMP錯(cuò)誤消息可以引用一部分引起錯(cuò)誤錯(cuò)誤消息可以引用一部分引起錯(cuò)誤的源消息。在處理端口不可達(dá)消息時(shí)，大多數(shù)的源消息。在處理端口不可達(dá)消息時(shí)，大多數(shù)OS送回送回IP請(qǐng)求頭外加請(qǐng)求頭外加8 字節(jié)。字節(jié)。Solaris 送回的稍多，送回的稍多，Linux 更更多。多。有些有些OS會(huì)把引起錯(cuò)誤消息的頭做一些改動(dòng)再發(fā)回會(huì)把引起錯(cuò)誤消息的頭做一些改動(dòng)再發(fā)回來(lái)。例如，來(lái)。例如，F(xiàn)reeBSD，OpenBSD，ULTRIX，VAXen等會(huì)改變頭的等會(huì)改變頭的ID 。這種方法功能很強(qiáng)，甚至可以在目標(biāo)主機(jī)沒(méi)有打開(kāi)這種方法功能很強(qiáng)，甚至可以在目標(biāo)主機(jī)沒(méi)有打開(kāi)任何監(jiān)聽(tīng)端口的情況下就識(shí)別

47、出任何監(jiān)聽(tīng)端口的情況下就識(shí)別出Linux和和Solaris 。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l11) TOS(服務(wù)類型服務(wù)類型)對(duì)于對(duì)于ICMP端口不可達(dá)消息，送回包的端口不可達(dá)消息，送回包的服務(wù)類型服務(wù)類型(TOS)值也是有差別的。大多數(shù)值也是有差別的。大多數(shù)OS是是0，而，而Linux 是是0 xc0。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l12) 分段重組處理分段重組處理在做在做IP包的分段重組時(shí)，不同包的分段重組時(shí)，不同OS的處理的處理方式不同。有些方式不同。有些OS會(huì)用新會(huì)用新IP段覆蓋舊的段覆蓋舊的IP段，而有些會(huì)用舊的段，而有些會(huì)用舊的IP段覆蓋新的段覆蓋新的IP段段。網(wǎng)絡(luò)攻

48、防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l13) MSS(最大分段尺寸最大分段尺寸)不同的不同的OS有不同的缺省有不同的缺省MSS值，對(duì)不同值，對(duì)不同的的MSS值的回應(yīng)也不同。如，給值的回應(yīng)也不同。如，給Linux發(fā)發(fā)送一個(gè)送一個(gè)MSS值很小的包，它一般會(huì)把這值很小的包，它一般會(huì)把這個(gè)值原封不動(dòng)地返回；其它的系統(tǒng)會(huì)返回個(gè)值原封不動(dòng)地返回；其它的系統(tǒng)會(huì)返回不同的值。不同的值。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l14) SYN Flood限度限度在處理在處理SYN Flood的時(shí)候，不同的的時(shí)候，不同的OS有有不同的特點(diǎn)。如果短時(shí)間內(nèi)收到很多的偽不同的特點(diǎn)。如果短時(shí)間內(nèi)收到很多的偽造造SYN包，一些包，一

49、些OS會(huì)停止接受新的連接會(huì)停止接受新的連接。有的系統(tǒng)支持?jǐn)U展的方式來(lái)防止。有的系統(tǒng)支持?jǐn)U展的方式來(lái)防止SYN flood。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l15) 主機(jī)使用的端口主機(jī)使用的端口 一些一些OS會(huì)開(kāi)放特殊的端口，比如：會(huì)開(kāi)放特殊的端口，比如：WINDOWS的的137、139,WIN2K的的445；一些網(wǎng)絡(luò)設(shè)備，如入侵檢測(cè)系統(tǒng)、防火墻一些網(wǎng)絡(luò)設(shè)備，如入侵檢測(cè)系統(tǒng)、防火墻等也開(kāi)放自己特殊的端口。等也開(kāi)放自己特殊的端口。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l16) Telnet選項(xiàng)指紋選項(xiàng)指紋建立建立Telnet會(huì)話時(shí)，會(huì)話時(shí)，Socket連接完成后，連接完成后，會(huì)收到會(huì)收到teln

50、et守候程序發(fā)送的一系列守候程序發(fā)送的一系列telnet選項(xiàng)信息。不同選項(xiàng)信息。不同OS有不同的有不同的Telnet選項(xiàng)排列順序。選項(xiàng)排列順序。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l17) Http指紋指紋執(zhí)行執(zhí)行Http協(xié)議時(shí)協(xié)議時(shí),不同的不同的Web Server存在存在差異。而從差異。而從Web Server往往可以判斷往往可以判斷OS類型。類型。Web Server的差異體現(xiàn)在如下方的差異體現(xiàn)在如下方面：面：l1：基本：基本Http請(qǐng)求請(qǐng)求處理處理HEAD / Http/1.0這樣的請(qǐng)求時(shí)，不同系這樣的請(qǐng)求時(shí)，不同系統(tǒng)返回信息基本相同，但存在細(xì)節(jié)差別。如統(tǒng)返回信息基本相同，但存在細(xì)節(jié)差

51、別。如，Apache返回的頭信息里的返回的頭信息里的Server和和Date項(xiàng)的排序和其它的服務(wù)器不同。項(xiàng)的排序和其它的服務(wù)器不同。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l2：DELETE請(qǐng)求請(qǐng)求對(duì)于對(duì)于DELETE / Http/1.0這樣的非法請(qǐng)求，這樣的非法請(qǐng)求，Apache響應(yīng)響應(yīng)405 Method Not Allowed,IIS響應(yīng)響應(yīng)403 Forbidden, Netscape響應(yīng)響應(yīng) 401 Unauthorized網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l3：非法：非法Http協(xié)議版本請(qǐng)求協(xié)議版本請(qǐng)求對(duì)于對(duì)于GET / Http/3.0這樣的請(qǐng)求這樣的請(qǐng)求,Apache響應(yīng)響應(yīng)“

52、400 Bad Request”,IIS忽略這種請(qǐng)求忽略這種請(qǐng)求,響應(yīng)響應(yīng)信息是信息是OK, Netscape響應(yīng)響應(yīng)“505 Http Version Not Supported”。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l4： 不正確規(guī)則協(xié)議請(qǐng)求不正確規(guī)則協(xié)議請(qǐng)求對(duì)不規(guī)則協(xié)議的請(qǐng)求對(duì)不規(guī)則協(xié)議的請(qǐng)求,Apache忽視不規(guī)則的忽視不規(guī)則的協(xié)議并返回協(xié)議并返回200 OK,IIS響應(yīng)響應(yīng)400 Bad Request, Netscape幾乎不返回幾乎不返回Http頭信息頭信息。 網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l18) 打印機(jī)服務(wù)程序指紋打印機(jī)服務(wù)程序指紋RFC 1179規(guī)定了請(qǐng)求打印服務(wù)時(shí)須

53、遵循的協(xié)議。規(guī)定了請(qǐng)求打印服務(wù)時(shí)須遵循的協(xié)議。在實(shí)踐中，如果打印請(qǐng)求符合在實(shí)踐中，如果打印請(qǐng)求符合RFC1179的格式，不同的格式，不同OS表現(xiàn)行表現(xiàn)行為相同。但當(dāng)打印請(qǐng)求不符合為相同。但當(dāng)打印請(qǐng)求不符合RFC1179的格式時(shí)，不同的格式時(shí)，不同OS就會(huì)就會(huì)體現(xiàn)出差別。如對(duì)一個(gè)非法格式的請(qǐng)求，體現(xiàn)出差別。如對(duì)一個(gè)非法格式的請(qǐng)求， Solaris這樣回應(yīng)：這樣回應(yīng)：Reply: Invalid protocol request (77): xxxxx 而而AIX系統(tǒng)這樣回應(yīng)：系統(tǒng)這樣回應(yīng)： Reply: 0781-201 ill-formed FROM address. 大多數(shù)大多數(shù)OS會(huì)給出不

54、同的響應(yīng)信息。個(gè)別會(huì)給出不同的響應(yīng)信息。個(gè)別OS會(huì)給出長(zhǎng)度為會(huì)給出長(zhǎng)度為0的回的回應(yīng)。應(yīng)。 對(duì)于對(duì)于Windows，則是通過(guò)專有的，則是通過(guò)專有的SMB協(xié)議（協(xié)議（Server Message Block Protocol）來(lái)實(shí)現(xiàn)打印機(jī)的共享。）來(lái)實(shí)現(xiàn)打印機(jī)的共享。 網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l19) 網(wǎng)絡(luò)協(xié)議棧指紋實(shí)踐網(wǎng)絡(luò)協(xié)議棧指紋實(shí)踐在實(shí)踐中，網(wǎng)絡(luò)協(xié)議棧指紋方法通常這樣在實(shí)踐中，網(wǎng)絡(luò)協(xié)議棧指紋方法通常這樣應(yīng)用：總結(jié)各種操作系統(tǒng)網(wǎng)絡(luò)協(xié)議棧的上應(yīng)用：總結(jié)各種操作系統(tǒng)網(wǎng)絡(luò)協(xié)議棧的上述細(xì)微差異，形成一個(gè)指紋數(shù)據(jù)述細(xì)微差異，形成一個(gè)指紋數(shù)據(jù) 庫(kù)。在庫(kù)。在探測(cè)一個(gè)系統(tǒng)的時(shí)候，通過(guò)網(wǎng)絡(luò)和目標(biāo)系探測(cè)一個(gè)系統(tǒng)的時(shí)候，通過(guò)網(wǎng)絡(luò)和目標(biāo)系統(tǒng)進(jìn)行交互，或者偵聽(tīng)目標(biāo)系統(tǒng)發(fā)往網(wǎng)絡(luò)統(tǒng)進(jìn)行交互，或者偵聽(tīng)目標(biāo)系統(tǒng)發(fā)往網(wǎng)絡(luò)的數(shù)據(jù)包，收集其網(wǎng)絡(luò)協(xié)議棧的行為特點(diǎn)的數(shù)據(jù)包，收集其網(wǎng)絡(luò)協(xié)議棧的行為特點(diǎn)，然后以操作系統(tǒng)指紋數(shù)據(jù)庫(kù)為參考，對(duì)，然后以操作系統(tǒng)指紋數(shù)據(jù)庫(kù)為參考，對(duì)收集的信息進(jìn)行分析，從而得出目標(biāo)系統(tǒng)收集的信息進(jìn)行分析，從而得出目標(biāo)系統(tǒng)運(yùn)行何種運(yùn)行何種OS的結(jié)論。的結(jié)論。網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)吳少華吳少華l20) 遠(yuǎn)程遠(yuǎn)程OS探測(cè)的防護(hù)方法探測(cè)的防護(hù)方法由于協(xié)議棧指紋方法是建立在操作系統(tǒng)底由于協(xié)議棧指紋方法是建立在操作系統(tǒng)