掃描與防御技術(shù)

第2章掃描與防御技術(shù)2023/2/5網(wǎng)絡(luò)入侵與防范講義2本章內(nèi)容安排2.1掃描技術(shù)概述2.2常見(jiàn)的掃描技術(shù)2.3掃描工具賞析2.4掃描的防御2.5小結(jié)2023/2/5網(wǎng)絡(luò)入侵與防范講義32.1掃描技術(shù)概述什么是掃描器網(wǎng)絡(luò)掃描器是一把雙刃劍為什么需要網(wǎng)絡(luò)掃描器掃描的重要性網(wǎng)絡(luò)掃描器的主要功能網(wǎng)絡(luò)掃描器與漏洞的關(guān)系掃描三步曲一個(gè)典型的掃描案例2023/2/5網(wǎng)絡(luò)入侵與防范講義4什么是掃描器掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。它集成了常用的各種掃描技術(shù)，能自動(dòng)發(fā)送數(shù)據(jù)包去探測(cè)和攻擊遠(yuǎn)端或本地的端口和服務(wù)，并自動(dòng)收集和記錄目標(biāo)主機(jī)的反饋信息，從而發(fā)現(xiàn)目標(biāo)主機(jī)是否存活、目標(biāo)網(wǎng)絡(luò)內(nèi)所使用的設(shè)備類型與軟件版本、服務(wù)器或主機(jī)上各TCP/UDP端口的分配、所開(kāi)放的服務(wù)、所存在的可能被利用的安全漏洞。據(jù)此提供一份可靠的安全性分析報(bào)告，報(bào)告可能存在的脆弱性。2023/2/5網(wǎng)絡(luò)入侵與防范講義5網(wǎng)絡(luò)掃描器是一把雙刃劍安全評(píng)估工具

系統(tǒng)管理員保障系統(tǒng)安全的有效工具網(wǎng)絡(luò)漏洞掃描器

網(wǎng)絡(luò)入侵者收集信息的重要手段掃描器是一把“雙刃劍”。2023/2/5網(wǎng)絡(luò)入侵與防范講義6為什么需要網(wǎng)絡(luò)掃描器由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)規(guī)模迅猛增長(zhǎng)和計(jì)算機(jī)系統(tǒng)日益復(fù)雜，導(dǎo)致新的系統(tǒng)漏洞層出不窮由于系統(tǒng)管理員的疏忽或缺乏經(jīng)驗(yàn)，導(dǎo)致舊有的漏洞依然存在許多人出于好奇或別有用心，不停的窺視網(wǎng)上資源2023/2/5網(wǎng)絡(luò)入侵與防范講義7掃描的重要性掃描的重要性在于把繁瑣的安全檢測(cè)，通過(guò)程序來(lái)自動(dòng)完成，這不僅減輕了網(wǎng)絡(luò)管理員的工作，而且也縮短了檢測(cè)時(shí)間。同時(shí)，也可以認(rèn)為掃描器是一種網(wǎng)絡(luò)安全性評(píng)估軟件，利用掃描器可以快速、深入地對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行安全評(píng)估。網(wǎng)絡(luò)安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠?yàn)榫W(wǎng)絡(luò)提供很高的安全性。網(wǎng)絡(luò)掃描VS.入室盜竊窺探2023/2/5網(wǎng)絡(luò)入侵與防范講義9網(wǎng)絡(luò)掃描器的主要功能掃描目標(biāo)主機(jī)識(shí)別其工作狀態(tài)（開(kāi)/關(guān)機(jī)）識(shí)別目標(biāo)主機(jī)端口的狀態(tài)（監(jiān)聽(tīng)/關(guān)閉）識(shí)別目標(biāo)主機(jī)操作系統(tǒng)的類型和版本識(shí)別目標(biāo)主機(jī)服務(wù)程序的類型和版本分析目標(biāo)主機(jī)、目標(biāo)網(wǎng)絡(luò)的漏洞（脆弱點(diǎn)）生成掃描結(jié)果報(bào)告2023/2/5網(wǎng)絡(luò)入侵與防范講義10網(wǎng)絡(luò)掃描器與漏洞的關(guān)系網(wǎng)絡(luò)漏洞是系統(tǒng)軟、硬件存在安全方面的脆弱性，安全漏洞的存在導(dǎo)致非法用戶入侵系統(tǒng)或未經(jīng)授權(quán)獲得訪問(wèn)權(quán)限，造成信息篡改、拒絕服務(wù)或系統(tǒng)崩潰等問(wèn)題。網(wǎng)絡(luò)掃描可以對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)設(shè)備進(jìn)行安全相關(guān)的檢測(cè)，以找出安全隱患和可能被黑客利用的漏洞。2023/2/5網(wǎng)絡(luò)入侵與防范講義11掃描三步曲一個(gè)完整的網(wǎng)絡(luò)安全掃描分為三個(gè)階段：第一階段：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)第二階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括操作系統(tǒng)類型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等。如果目標(biāo)是一個(gè)網(wǎng)絡(luò)，還可以進(jìn)一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、路由設(shè)備以及各主機(jī)的信息第三階段：根據(jù)收集到的信息判斷或者進(jìn)一步測(cè)試系統(tǒng)是否存在安全漏洞2023/2/5網(wǎng)絡(luò)入侵與防范講義12掃描三步曲（續(xù)）網(wǎng)絡(luò)安全掃描技術(shù)包括PING掃描、操作系統(tǒng)探測(cè)、穿透防火墻探測(cè)、端口掃描、漏洞掃描等PING掃描用于掃描第一階段，識(shí)別系統(tǒng)是否活動(dòng)OS探測(cè)、穿透防火墻探測(cè)、端口掃描用于掃描第二階段OS探測(cè)是對(duì)目標(biāo)主機(jī)運(yùn)行的OS進(jìn)行識(shí)別穿透防火墻探測(cè)用于獲取被防火墻保護(hù)的網(wǎng)絡(luò)資料端口掃描是通過(guò)與目標(biāo)系統(tǒng)的TCP/IP端口連接，并查看該系統(tǒng)處于監(jiān)聽(tīng)或運(yùn)行狀態(tài)的服務(wù)漏洞掃描用于安全掃描第三階段，通常是在端口掃描的基礎(chǔ)上，進(jìn)而檢測(cè)出目標(biāo)系統(tǒng)存在的安全漏洞2023/2/5網(wǎng)絡(luò)入侵與防范講義13一個(gè)典型的掃描案例簡(jiǎn)單郵件傳輸協(xié)議SMTP的脆弱性檢測(cè)2023/2/5網(wǎng)絡(luò)入侵與防范講義141.Findtargets選定目標(biāo)為：8測(cè)試此主機(jī)是否處于活動(dòng)狀態(tài)，工具是用操作系統(tǒng)自帶的ping，使用命令： ping8結(jié)果見(jiàn)下頁(yè)圖。2023/2/5網(wǎng)絡(luò)入侵與防范講義15說(shuō)明該主機(jī)處于活動(dòng)狀態(tài)2023/2/5網(wǎng)絡(luò)入侵與防范講義162.PortScan運(yùn)用掃描工具，檢查目標(biāo)主機(jī)開(kāi)放的端口，判斷它運(yùn)行了哪些服務(wù)使用的工具是Nmap（此工具將在后面進(jìn)行介紹）掃描命令：nmap8掃描結(jié)果見(jiàn)下面圖2023/2/5網(wǎng)絡(luò)入侵與防范講義172023/2/5網(wǎng)絡(luò)入侵與防范講義182.PortScan(2)端口開(kāi)放信息如下：21/tcpopenftp25/tcpopensmtp42/tcpopennameserver53/tcpopendomain80/tcpopenhttp……我們將重點(diǎn)關(guān)注SMTP端口2023/2/5網(wǎng)絡(luò)入侵與防范講義193.VulnerabilityCheck檢測(cè)SMTP服務(wù)是否存在漏洞使用漏洞掃描工具Nessus（內(nèi)薩斯，此工具在后面將會(huì)介紹）掃描過(guò)程見(jiàn)下頁(yè)圖2023/2/5網(wǎng)絡(luò)入侵與防范講義20掃描目標(biāo)是82023/2/5網(wǎng)絡(luò)入侵與防范講義21Nessus正在進(jìn)行漏洞掃描2023/2/5網(wǎng)絡(luò)入侵與防范講義224.ReportNessus發(fā)現(xiàn)了目標(biāo)主機(jī)的SMTP服務(wù)存在漏洞。掃描報(bào)告中與SMTP漏洞相關(guān)的部分見(jiàn)下頁(yè)圖。2023/2/5網(wǎng)絡(luò)入侵與防范講義23漏洞編號(hào)：CVE-2003-08182023/2/5網(wǎng)絡(luò)入侵與防范講義242.2常見(jiàn)的掃描技術(shù)TCP/IP相關(guān)知識(shí)常用網(wǎng)絡(luò)命令主機(jī)掃描端口掃描全掃描半掃描秘密掃描認(rèn)證(ident)掃描FTP代理掃描遠(yuǎn)程主機(jī)OS指紋識(shí)別漏洞掃描不可不學(xué)的掃描技術(shù)巧妙奇特的天才構(gòu)思2023/2/5網(wǎng)絡(luò)入侵與防范講義25TCP/IP相關(guān)知識(shí)TCP報(bào)文格式TCP通信過(guò)程ICMP協(xié)議2023/2/5網(wǎng)絡(luò)入侵與防范講義26TCP報(bào)文格式2023/2/5網(wǎng)絡(luò)入侵與防范講義27TCP控制位URG:為緊急數(shù)據(jù)標(biāo)志。如果它為1，表示本數(shù)據(jù)包中包含緊急數(shù)據(jù)。此時(shí)緊急數(shù)據(jù)指針有效。ACK:為確認(rèn)標(biāo)志位。如果為1，表示包中的確認(rèn)號(hào)是有效的。否則，包中的確認(rèn)號(hào)無(wú)效。PSH:如果置位，接收端應(yīng)盡快把數(shù)據(jù)傳送給應(yīng)用層。2023/2/5網(wǎng)絡(luò)入侵與防范講義28TCP控制位RST:用來(lái)復(fù)位一個(gè)連接。RST標(biāo)志置位的數(shù)據(jù)包稱為復(fù)位包。一般情況下，如果TCP收到的一個(gè)分段明顯不是屬于該主機(jī)上的任何一個(gè)連接，則向遠(yuǎn)端發(fā)送一個(gè)復(fù)位包。

SYN:標(biāo)志位用來(lái)建立連接，讓連接雙方同步序列號(hào)。如果SYN＝1而ACK=0，則表示該數(shù)據(jù)包為連接請(qǐng)求，如果SYN=1而ACK=1則表示接受連接。FIN:表示發(fā)送端已經(jīng)沒(méi)有數(shù)據(jù)要求傳輸了，希望釋放連接。2023/2/5網(wǎng)絡(luò)入侵與防范講義29TCP通信過(guò)程正常TCP通信過(guò)程:建立連接(數(shù)據(jù)傳輸)斷開(kāi)連接2023/2/5網(wǎng)絡(luò)入侵與防范講義30建立TCP連接SYN_RCVD是TCP三次握手的中間狀態(tài)2023/2/5網(wǎng)絡(luò)入侵與防范講義31斷開(kāi)TCP連接2023/2/5網(wǎng)絡(luò)入侵與防范講義32ICMP協(xié)議（1）InternetControlMessageProtocol，是IP的一部分，在IP協(xié)議棧中必須實(shí)現(xiàn)。用途：網(wǎng)關(guān)或者目標(biāo)機(jī)器利用ICMP與源通訊當(dāng)出現(xiàn)問(wèn)題時(shí)，提供反饋信息用于報(bào)告錯(cuò)誤特點(diǎn)：其控制能力并不用于保證傳輸?shù)目煽啃运旧硪膊皇强煽總鬏數(shù)牟⒉挥脕?lái)反映ICMP報(bào)文的傳輸情況2023/2/5網(wǎng)絡(luò)入侵與防范講義33ICMP協(xié)議（2） ICMP報(bào)文類型0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply17AddressMaskRequest18AddressMaskReply2023/2/5網(wǎng)絡(luò)入侵與防范講義34常用網(wǎng)絡(luò)命令PingTraceroute、Tracert、x-firewalkNet命令系列2023/2/5網(wǎng)絡(luò)入侵與防范講義35常用網(wǎng)絡(luò)命令--pingPing是最基本的掃描技術(shù)。ping命令——主要目的是檢測(cè)目標(biāo)主機(jī)是不是可連通，繼而探測(cè)一個(gè)IP范圍內(nèi)的主機(jī)是否處于激活狀態(tài)。不要小瞧ping黑客的攻擊往往都是從ping開(kāi)始的2023/2/5網(wǎng)絡(luò)入侵與防范講義36常用網(wǎng)絡(luò)命令--ping的原理ping是一個(gè)基本的網(wǎng)絡(luò)命令，用來(lái)確定網(wǎng)絡(luò)上具有某個(gè)特定IP地址的主機(jī)是否存在以及是否能接收請(qǐng)求。Ping命令通過(guò)向計(jì)算機(jī)發(fā)送ICMP回應(yīng)報(bào)文并且監(jiān)聽(tīng)回應(yīng)報(bào)文的返回，以校驗(yàn)與遠(yuǎn)程計(jì)算機(jī)或本地計(jì)算機(jī)的連接。2023/2/5網(wǎng)絡(luò)入侵與防范講義37常用網(wǎng)絡(luò)命令--ping參數(shù)說(shuō)明ping在安裝了TCP/IP協(xié)議后可以使用。2023/2/5網(wǎng)絡(luò)入侵與防范講義38常用網(wǎng)絡(luò)命令—ping命令使用-n:發(fā)送ICMP回應(yīng)報(bào)文的個(gè)數(shù)2023/2/5網(wǎng)絡(luò)入侵與防范講義39常用網(wǎng)絡(luò)命令--TracerouteTraceroute——跟蹤兩臺(tái)機(jī)器之間的路徑，顯示中間的每一個(gè)節(jié)點(diǎn)的信息。這個(gè)工具可以用來(lái)確定某個(gè)主機(jī)的位置。traceroute命令旨在用于網(wǎng)絡(luò)測(cè)試、評(píng)估和管理。它應(yīng)主要用于手動(dòng)故障隔離。語(yǔ)法:2023/2/5網(wǎng)絡(luò)入侵與防范講義40常用網(wǎng)絡(luò)命令–Traceroute說(shuō)明-f-f后指定一個(gè)初始TTL，它的范圍是大于0小于最大TTL，缺省為1。-m-m后指定一個(gè)最大TTL，它的范圍是大于初始TTL，缺省為30。-p-p后可以指定一個(gè)整數(shù)，該整數(shù)是目的主機(jī)的端口號(hào)，它的缺省為33434，用戶一般無(wú)須更改此選項(xiàng)。-q-q后可以指定一個(gè)整數(shù),該整數(shù)是每次發(fā)送的探測(cè)數(shù)據(jù)包的個(gè)數(shù)，它的范圍是大于0，缺省為3。-w-w后可以指定一個(gè)整數(shù)，該整數(shù)指明IP包的超時(shí)時(shí)間，它的范圍是大于0，缺省為5秒。host目的主機(jī)的IP地址2023/2/5網(wǎng)絡(luò)入侵與防范講義41常用網(wǎng)絡(luò)命令–Traceroute示例Quid#traceroute8tracerouteto(8),30hopsmax,56bytepacket1()19ms19ms0ms2lilac-dmc.Berkeley.EDU()39ms39ms19ms3ccngw-ner-cc.Berkeley.EDU(3)39ms40ms39ms4ccn-nerif22.Berkeley.EDU(2)39ms39ms39ms5()40ms59ms59ms6()59ms59ms59ms73(3)99ms99ms80ms8()139ms239ms319ms9()220ms199ms199ms10(8)239ms239ms239ms可以看出從源主機(jī)到目的地都經(jīng)過(guò)了哪些網(wǎng)關(guān)，這對(duì)于網(wǎng)絡(luò)分析是非常有用的。2023/2/5網(wǎng)絡(luò)入侵與防范講義42常用的網(wǎng)絡(luò)命令—Tracert、x-firewalkWindows下用tracert命令可以查看路由信息，但是如今的路由器大部分都對(duì)tracert命令做了限制，此命令已經(jīng)沒(méi)有效果。有黑客開(kāi)發(fā)出x-firewalk.exe可用于在Windows環(huán)境下查看路由信息，非常實(shí)用，下載地址是/。2023/2/5網(wǎng)絡(luò)入侵與防范講義43常用的網(wǎng)絡(luò)命令—x-firewalk示例命令：x-firewalk可以看到本地到達(dá)都經(jīng)過(guò)了哪些路由器2023/2/5網(wǎng)絡(luò)入侵與防范講義44常用網(wǎng)絡(luò)命令--netNet命令系列——很多的Windows的網(wǎng)絡(luò)命令都是net開(kāi)頭的。利用net開(kāi)頭的命令，可以實(shí)現(xiàn)很多的網(wǎng)絡(luò)管理功能……比如用netstartserver，可以啟動(dòng)服務(wù)器；NETUSE用于將計(jì)算機(jī)與共享的資源相連接，或者切斷計(jì)算機(jī)與共享資源的連接，當(dāng)不帶選項(xiàng)使用本命令時(shí)，它會(huì)列出計(jì)算機(jī)的連接。以下以Windows的NetUSE命令為例。

2023/2/5網(wǎng)絡(luò)入侵與防范講義45常用網(wǎng)絡(luò)命令—netuse示例 netuse命令及參數(shù)使用2023/2/5網(wǎng)絡(luò)入侵與防范講義46常用網(wǎng)絡(luò)命令—netuse示例 (1)用戶名為Administrator，密碼為longmang與遠(yuǎn)程計(jì)算機(jī)4進(jìn)行IPC$連接，如圖所示。 (2)查看與遠(yuǎn)程計(jì)算機(jī)建立的連接，如圖所示。2023/2/5網(wǎng)絡(luò)入侵與防范講義47常用網(wǎng)絡(luò)命令—netuse示例 (3)將遠(yuǎn)程計(jì)算機(jī)的c盤(pán)映射到本地o盤(pán)，如圖所示。2023/2/5網(wǎng)絡(luò)入侵與防范講義48常用網(wǎng)絡(luò)命令—netuse示例 (4)刪除一個(gè)IPC$連接 (5)刪除共享映射2023/2/5網(wǎng)絡(luò)入侵與防范講義49主機(jī)掃描技術(shù)傳統(tǒng)技術(shù)高級(jí)技術(shù)2023/2/5網(wǎng)絡(luò)入侵與防范講義50主機(jī)掃描技術(shù)－傳統(tǒng)技術(shù)主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)。這是信息收集的初級(jí)階段，其效果直接影響到后續(xù)的掃描。常用的傳統(tǒng)掃描手段有：ICMPEcho掃描ICMPSweep掃描BroadcastICMP掃描Non-EchoICMP掃描2023/2/5網(wǎng)絡(luò)入侵與防范講義51ICMPecho掃描實(shí)現(xiàn)原理：Ping的實(shí)現(xiàn)機(jī)制，在判斷在一個(gè)網(wǎng)絡(luò)上主機(jī)是否開(kāi)機(jī)時(shí)非常有用。向目標(biāo)主機(jī)發(fā)送ICMPEchoRequest(type8)數(shù)據(jù)包，等待回復(fù)的ICMPEchoReply包(type0)。如果能收到，則表明目標(biāo)系統(tǒng)可達(dá)，否則表明目標(biāo)系統(tǒng)已經(jīng)不可達(dá)或發(fā)送的包被對(duì)方的設(shè)備過(guò)濾掉。優(yōu)點(diǎn)：簡(jiǎn)單，系統(tǒng)支持缺點(diǎn)：很容易被防火墻限制可以通過(guò)并行發(fā)送，同時(shí)探測(cè)多個(gè)目標(biāo)主機(jī)，以提高探測(cè)效率（ICMPSweep掃描）。2023/2/5網(wǎng)絡(luò)入侵與防范講義52ICMPsweep掃描使用ICMPECHO輪詢多個(gè)主機(jī)稱為ICMPSWEEP(或者PingSweep)。對(duì)于小的或者中等網(wǎng)絡(luò)使用這種方法來(lái)探測(cè)主機(jī)是一種比較可接受的行為，但對(duì)于一些大的網(wǎng)絡(luò)如A、B類，這種方法就顯的比較慢，原因是Ping在處理下一個(gè)之前將會(huì)等待正在探測(cè)主機(jī)的回應(yīng)。掃描工具Nmap實(shí)現(xiàn)了ICMPsweep的功能。2023/2/5網(wǎng)絡(luò)入侵與防范講義53BroadcastICMP掃描實(shí)現(xiàn)原理：將ICMP請(qǐng)求包的目標(biāo)地址設(shè)為廣播地址或網(wǎng)絡(luò)地址，則可以探測(cè)廣播域或整個(gè)網(wǎng)絡(luò)范圍內(nèi)的主機(jī)。缺點(diǎn)：只適合于UNIX/Linux系統(tǒng)，Windows會(huì)忽略這種請(qǐng)求包；這種掃描方式容易引起廣播風(fēng)暴2023/2/5網(wǎng)絡(luò)入侵與防范講義54Non-EchoICMP掃描一些其它ICMP類型包也可以用于對(duì)主機(jī)或網(wǎng)絡(luò)設(shè)備的探測(cè)，如：StampRequest(Type13)Reply(Type14)InformationRequest(Type15)Reply(Type16)AddressMaskRequest(Type17)Reply(Type18)2023/2/5網(wǎng)絡(luò)入侵與防范講義55主機(jī)掃描技術(shù)－高級(jí)技術(shù)防火墻和網(wǎng)絡(luò)過(guò)濾設(shè)備常常導(dǎo)致傳統(tǒng)的探測(cè)手段變得無(wú)效。為了突破這種限制，必須采用一些非常規(guī)的手段，利用ICMP協(xié)議提供網(wǎng)絡(luò)間傳送錯(cuò)誤信息的手段，往往可以更有效的達(dá)到目的：異常的IP包頭在IP頭中設(shè)置無(wú)效的字段值錯(cuò)誤的數(shù)據(jù)分片通過(guò)超長(zhǎng)包探測(cè)內(nèi)部路由器反向映射探測(cè)端口掃描技術(shù)TCP/IP協(xié)議提出的端口是網(wǎng)絡(luò)通信進(jìn)程與外界通訊交流的出口，可被命名和尋址，可以認(rèn)為是網(wǎng)絡(luò)通信進(jìn)程的一種標(biāo)識(shí)符。進(jìn)程通過(guò)系統(tǒng)調(diào)用與某端口建立連接綁定后，便會(huì)監(jiān)聽(tīng)這個(gè)端口，傳輸層傳給該端口的數(shù)據(jù)都被相應(yīng)進(jìn)程所接收，而相應(yīng)進(jìn)程發(fā)給傳輸層的數(shù)據(jù)都從該端口輸出?；ヂ?lián)網(wǎng)上的通信雙方不僅需要知道對(duì)方的IP地址，也需要知道通信程序的端口號(hào)。端口掃描技術(shù)目前IPv4協(xié)議支持16位的端口，端口號(hào)范圍是0～65535。其中，0～1023號(hào)端口稱為熟知端口，被提供給特定的服務(wù)使用；1024～49151號(hào)端口稱為注冊(cè)端口，由IANA記錄和追蹤；49152～65535號(hào)端口稱為動(dòng)態(tài)端口或?qū)Ｓ枚丝?，提供給專用應(yīng)用程序。許多常用的服務(wù)使用的是標(biāo)準(zhǔn)的端口，只要掃描到相應(yīng)的端口，就能知道目標(biāo)主機(jī)上運(yùn)行著什么服務(wù)。端口掃描技術(shù)就是利用這一點(diǎn)向目標(biāo)系統(tǒng)的TCP/UDP端口發(fā)送探測(cè)數(shù)據(jù)包，記錄目標(biāo)系統(tǒng)的響應(yīng)，通過(guò)分析響應(yīng)來(lái)查看該系統(tǒng)處于監(jiān)聽(tīng)或運(yùn)行狀態(tài)的服務(wù)。2023/2/5網(wǎng)絡(luò)入侵與防范講義58端口掃描技術(shù)當(dāng)確定了目標(biāo)主機(jī)可達(dá)后，就可以使用端口掃描技術(shù)，發(fā)現(xiàn)目標(biāo)主機(jī)的開(kāi)放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽(tīng)的端口。端口掃描技術(shù)包括以下幾種：全掃描需要掃描方通過(guò)三次握手過(guò)程與目標(biāo)主機(jī)建立完整的TCP連接會(huì)產(chǎn)生大量的審計(jì)數(shù)據(jù)，容易被對(duì)方發(fā)現(xiàn)，但其可靠性高。半掃描掃描方不需要打開(kāi)一個(gè)完全的TCP連接隱蔽性和可靠性介于全掃描和秘密掃描之間。秘密掃描不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分能有效的避免對(duì)方入侵檢測(cè)系統(tǒng)和防火墻的檢測(cè)，但使用的數(shù)據(jù)包在通過(guò)網(wǎng)絡(luò)時(shí)容易被丟棄從而產(chǎn)生錯(cuò)誤的探測(cè)信息。認(rèn)證(ident)掃描需要先建立一個(gè)完整的TCP連接。FTP代理掃描隱蔽性好，難以追蹤。但受到服務(wù)器設(shè)置的限制。Windows本身自帶的netstat命令Netstat顯示協(xié)議統(tǒng)計(jì)和當(dāng)前的TCP/IP網(wǎng)絡(luò)連接。命令格式netstat[-a][-e][-n][-s][-pprotocol][-r][interval]用DOS命令顯示所有的監(jiān)聽(tīng)端口Netstat參數(shù)-a顯示所有連接和偵聽(tīng)端口。服務(wù)器連接通常不顯示。-e顯示以太網(wǎng)統(tǒng)計(jì)。該參數(shù)可以與-s選項(xiàng)結(jié)合使用。-n以數(shù)字格式顯示地址和端口號(hào)(而不是嘗試查找名稱)。-s顯示每個(gè)協(xié)議的統(tǒng)計(jì)。默認(rèn)情況下，顯示TCP、UDP、ICMP和IP的統(tǒng)計(jì)。-p選項(xiàng)可以用來(lái)指定默認(rèn)的子集。-pprotocol-顯示由protocol指定的協(xié)議的連接;protocol可以是tcp或udp。如果與-s選項(xiàng)一同使用顯示每個(gè)協(xié)議的統(tǒng)計(jì)，protocol可以是tcp、udp、icmp或ip。-r顯示路由表的內(nèi)容。interval重新顯示所選的統(tǒng)計(jì)，在每次顯示之間暫停interval秒。按CTRL+B停止重新顯示統(tǒng)計(jì)。如果省略該參數(shù)，netstat將打印一次當(dāng)前的配置信息。Netstat實(shí)例：查看機(jī)器開(kāi)放的端口本地機(jī)器的7626端口已經(jīng)開(kāi)放，正在監(jiān)聽(tīng)等待連接，像這樣的情況極有可能是已經(jīng)感染了冰河!必須先斷開(kāi)網(wǎng)絡(luò)，再用殺毒軟件查殺病毒。在Windows中關(guān)閉/開(kāi)啟端口在默認(rèn)的情況下，有很多不安全的或沒(méi)有什么用的端口是開(kāi)啟的，比如Telnet服務(wù)的23端口、FTP服務(wù)的21端口、SMTP服務(wù)的25端口、RPC服務(wù)的135端口等等。為了保證系統(tǒng)的安全性，我們可以通過(guò)下面的方法來(lái)關(guān)閉/開(kāi)啟端口。關(guān)閉端口

例如，在WindowsXP中關(guān)閉SMTP服務(wù)的25端口，可以這樣做：首先打開(kāi)“控制面板”，雙擊“管理工具”，再雙擊“服務(wù)”。接著在打開(kāi)的服務(wù)窗口中找到并雙擊“SimpleMailTransferProtocol（SMTP）”服務(wù)，單擊“停止”按鈕來(lái)停止該服務(wù)，然后在“啟動(dòng)類型”中選擇“已禁用”，最后單擊“確定”按鈕即可。這樣，關(guān)閉了SMTP服務(wù)就相當(dāng)于關(guān)閉了對(duì)應(yīng)的端口。開(kāi)啟端口

如果要開(kāi)啟該端口只要先在“啟動(dòng)類型”選擇“自動(dòng)”，單擊“確定”按鈕，再打開(kāi)該服務(wù)，在“服務(wù)狀態(tài)”中單擊“啟動(dòng)”按鈕即可啟用該端口，最后，單擊“確定”按鈕即可。2023/2/5網(wǎng)絡(luò)入侵與防范講義63遠(yuǎn)程主機(jī)OS指紋識(shí)別基本原理主動(dòng)協(xié)議棧指紋識(shí)別被動(dòng)協(xié)議棧指紋識(shí)別2023/2/5網(wǎng)絡(luò)入侵與防范講義64遠(yuǎn)程主機(jī)OS指紋識(shí)別的基本原理操作系統(tǒng)（OperatingSystem，簡(jiǎn)稱OS）識(shí)別是入侵或安全檢測(cè)需要收集的重要信息，是分析漏洞和各種安全隱患的基礎(chǔ)。只有確定了遠(yuǎn)程主機(jī)的操作系統(tǒng)類型、版本，才能對(duì)其安全狀況作進(jìn)一步的評(píng)估。利用TCP/IP堆棧作為特殊的“指紋”，以確定系統(tǒng)的技術(shù)——遠(yuǎn)程主機(jī)OS指紋識(shí)別。主動(dòng)協(xié)議棧指紋識(shí)別被動(dòng)協(xié)議棧指紋識(shí)別2023/2/5網(wǎng)絡(luò)入侵與防范講義65主動(dòng)協(xié)議棧指紋識(shí)別

是主動(dòng)向主機(jī)發(fā)起連接，并分析收到的響應(yīng)，從而確定OS類型的技術(shù)。由于TCP/IP協(xié)議棧技術(shù)只是在RFC文檔(RFC是RequestforComments首字母的縮寫(xiě)，它是IETF（互聯(lián)網(wǎng)工程任務(wù)推進(jìn)組織）的一個(gè)無(wú)限制分發(fā)文檔。RFC被編號(hào)并且用編號(hào)來(lái)標(biāo)識(shí))中描述，各個(gè)公司在編寫(xiě)應(yīng)用于自己的OS的TCP/IP協(xié)議棧的時(shí)候，對(duì)RFC文檔做出了不盡相同的詮釋。造成了各個(gè)OS在TCP/IP協(xié)議的實(shí)現(xiàn)上的不同。通過(guò)對(duì)不同的OS的TCP/IP協(xié)議棧存在的些微差異(對(duì)錯(cuò)誤包的響應(yīng)，默認(rèn)值等)都可以作為區(qū)分0S的依據(jù)。2023/2/5網(wǎng)絡(luò)入侵與防范講義66主動(dòng)協(xié)議棧指紋識(shí)別（2）主要技術(shù)有：FIN探測(cè)ISN采樣探測(cè)Don’tFragment位探測(cè)TCP初始窗口的大小檢測(cè)ACK值探測(cè)ICMP出錯(cuò)消息抑制ICMP出錯(cuò)消息回射完整性TOS服務(wù)類型片斷處理2023/2/5網(wǎng)絡(luò)入侵與防范講義67FIN探測(cè)跳過(guò)TCP三次握手的順序，給目標(biāo)主機(jī)發(fā)送一個(gè)FIN包，然后等待回應(yīng)。RFC793規(guī)定，正確的處理是沒(méi)有響應(yīng)，但有些OS，如MSWindows，CISC0，HP/UX等會(huì)響應(yīng)一個(gè)RST(即Reset)包。

2023/2/5網(wǎng)絡(luò)入侵與防范講義68ISN采樣探測(cè)這是尋找初始化序列長(zhǎng)度模板與特定的OS匹配的方法，這樣可以區(qū)分一些OS，如早些的UNIX系統(tǒng)是64K長(zhǎng)度。而一些新的UNIX系統(tǒng)則是隨機(jī)增加長(zhǎng)度，如Solaris、IRIX、FreeBSD、DigitalUnix、Cray等。2023/2/5網(wǎng)絡(luò)入侵與防范講義69Don’tFragment位探測(cè)一些操作系統(tǒng)會(huì)設(shè)置IP頭部“Don’tFragment位”（不分片位）以改善性能，監(jiān)視這個(gè)位就可以判定區(qū)分遠(yuǎn)程O(píng)S。2023/2/5網(wǎng)絡(luò)入侵與防范講義70TCP初始窗口大小探測(cè)簡(jiǎn)單檢查返回的包里包含的窗口大小。某些OS在TCP/IP協(xié)議棧的實(shí)現(xiàn)中，這個(gè)值是獨(dú)特的。如AIX是0x3F25，NT和BSD是0x402E，可以增加指紋鑒別的準(zhǔn)確度。2023/2/5網(wǎng)絡(luò)入侵與防范講義71ACK值探測(cè)不同的OS對(duì)TCP/IP協(xié)議棧實(shí)現(xiàn)在ACK包的序列號(hào)的值的選擇上存在差異，有些OS發(fā)回所確認(rèn)的TCP包的序列號(hào)，另外一些則發(fā)回所確認(rèn)的TCP包的序列號(hào)加1。2023/2/5網(wǎng)絡(luò)入侵與防范講義72ICMP出錯(cuò)信息抑制有些OS限制ICMP出錯(cuò)消息的速率，通過(guò)某個(gè)隨機(jī)選定的高端口發(fā)送UDP包，可能統(tǒng)計(jì)出在某個(gè)給定時(shí)間段內(nèi)接受的不可達(dá)出錯(cuò)消息的數(shù)目。RFC文件中規(guī)定，ICMPERROR消息要引用導(dǎo)致該消息的ICMP消息的部分內(nèi)容。例如對(duì)于端口不可達(dá)消息，某些OS返回收到的IP頭及后續(xù)的8個(gè)字節(jié)，Solaris返回的ERROR消息中則引用內(nèi)容更多一些，而Linux比Solaris還要多。2023/2/5網(wǎng)絡(luò)入侵與防范講義73ICMP出錯(cuò)消息回射完整性某些OS對(duì)TCP/IP協(xié)議棧的實(shí)現(xiàn)在返回ICMP出錯(cuò)消息的時(shí)候會(huì)修改所引用的IP頭，檢測(cè)對(duì)IP頭的改動(dòng)的類型可以粗略判斷OS。RFCl812中規(guī)定了ICMPERROR消息的發(fā)送速度。Linux設(shè)定了目標(biāo)不可達(dá)消息上限為80個(gè)／4秒。0S探測(cè)時(shí)可以向隨機(jī)的高端UDP端口大量發(fā)包，然后統(tǒng)計(jì)收到的目標(biāo)不可達(dá)消息。用此技術(shù)進(jìn)行OS探測(cè)時(shí)時(shí)間會(huì)長(zhǎng)一些，因?yàn)橐罅堪l(fā)包，并且還要等待響應(yīng)，同時(shí)也可能出現(xiàn)網(wǎng)絡(luò)中丟包的情況。2023/2/5網(wǎng)絡(luò)入侵與防范講義74TOS服務(wù)類型檢測(cè)ICMP端口不可到達(dá)消息的TOS字段，多數(shù)OS會(huì)是0，而另一些則不是。2023/2/5網(wǎng)絡(luò)入侵與防范講義75片斷處理不同的TCP/IP協(xié)議棧實(shí)現(xiàn)對(duì)重疊的片斷處理上有差異。有些在重組時(shí)會(huì)用到后到達(dá)的新數(shù)據(jù)覆蓋舊數(shù)據(jù)，有些則相反。2023/2/5網(wǎng)絡(luò)入侵與防范講義76被動(dòng)協(xié)議棧指紋識(shí)別

是在網(wǎng)絡(luò)中監(jiān)聽(tīng)，分析系統(tǒng)流量，用默認(rèn)值來(lái)猜測(cè)0S類型的技術(shù)。

主動(dòng)協(xié)議棧指紋識(shí)別由于需要主動(dòng)往目標(biāo)發(fā)送數(shù)據(jù)包，但這些數(shù)據(jù)包在網(wǎng)絡(luò)流量中比較惹人注意，因?yàn)檎Ｊ褂镁W(wǎng)絡(luò)不會(huì)按這樣的順序出現(xiàn)包，因此比較容易被IDS捕獲。為了隱秘的識(shí)別遠(yuǎn)程O(píng)S，需要使用被動(dòng)協(xié)議棧指紋識(shí)別。2023/2/5網(wǎng)絡(luò)入侵與防范講義77被動(dòng)協(xié)議棧指紋識(shí)別（2）被動(dòng)協(xié)議棧指紋識(shí)別在原理上和主動(dòng)協(xié)議棧指紋識(shí)別相似，但是它從不主動(dòng)發(fā)送數(shù)據(jù)包，只是被動(dòng)的捕獲遠(yuǎn)程主機(jī)返回的包來(lái)分析其OS類型版本，一般可以從4個(gè)反面著手：TTL值：這個(gè)數(shù)據(jù)是操作系統(tǒng)對(duì)出站的信息包設(shè)置的存活時(shí)間。WindowsSize：操作系統(tǒng)設(shè)置的TCP窗口大小，這個(gè)窗口大小是在發(fā)送FIN信息包時(shí)包含的選項(xiàng)。DF：可以查看操作系統(tǒng)是否設(shè)置了不準(zhǔn)分片位。TOS：操作系統(tǒng)是否設(shè)置了服務(wù)類型。2023/2/5網(wǎng)絡(luò)入侵與防范講義78漏洞掃描漏洞掃描技術(shù)的原理漏洞掃描技術(shù)的分類和實(shí)現(xiàn)方法漏洞掃描的問(wèn)題為什么會(huì)有漏洞只要是人做出來(lái)的東西，就沒(méi)有完美的，所以有問(wèn)題也不奇怪。這就好像一個(gè)打字員打了一篇稿子，打字員本身發(fā)現(xiàn)錯(cuò)字的可能性很小，倒是別人一眼就可以看到打字員打錯(cuò)的字。微軟當(dāng)初在編寫(xiě)系統(tǒng)的時(shí)候?yàn)槭裁床恢烙新┒矗亢芏嗨^的漏洞都不算是漏洞，都是正常的數(shù)據(jù)值，所以不容易被發(fā)現(xiàn)。舉個(gè)例子，在檢測(cè)一些ASP網(wǎng)站的時(shí)候，會(huì)用到1=1OR1=2之類的語(yǔ)句，這本身是ASP的一種正常的程序語(yǔ)句，但是到了黑客手中，就成了檢測(cè)ASP網(wǎng)站的重要檢查項(xiàng)目，黑客會(huì)根據(jù)檢測(cè)網(wǎng)站返回的數(shù)據(jù)值，而得到大量的信息。微軟發(fā)現(xiàn)后會(huì)發(fā)布相應(yīng)的補(bǔ)丁，如果用戶及時(shí)下載補(bǔ)丁安裝則操作系統(tǒng)是相對(duì)安全的，但是有的用戶偷懶，不及時(shí)更新補(bǔ)丁，漏洞就得不到修補(bǔ)。黑客先是用掃描器掃描遠(yuǎn)程的操作系統(tǒng)有何漏洞，然后根據(jù)這些漏洞編寫(xiě)相應(yīng)的病毒包或者木馬包，植入有漏洞的電腦。在這里掃描起了關(guān)鍵作用。2023/2/5網(wǎng)絡(luò)入侵與防范講義82漏洞掃描－－原理漏洞掃描主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：基于漏洞庫(kù)的特征匹配：通過(guò)端口掃描得知目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)后，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；基于模擬攻擊：通過(guò)模擬黑客的攻擊手段，編寫(xiě)攻擊模塊，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。2023/2/5網(wǎng)絡(luò)入侵與防范講義83漏洞掃描－－分類和實(shí)現(xiàn)方法基于網(wǎng)絡(luò)系統(tǒng)漏洞庫(kù)，漏洞掃描大體包括CGI漏洞掃描、POP3漏洞掃描、FTP漏洞掃描、SSH漏洞掃描、HTTP漏洞掃描等。這些漏洞掃描是基于漏洞庫(kù)，將掃描結(jié)果與漏洞庫(kù)相關(guān)數(shù)據(jù)匹配比較得到漏洞信息；漏洞掃描還包括沒(méi)有相應(yīng)漏洞庫(kù)的各種掃描，比如Unicode遍歷目錄漏洞探測(cè)、FTP弱勢(shì)密碼探測(cè)、OPENRelay郵件轉(zhuǎn)發(fā)漏洞探測(cè)等，這些掃描通過(guò)使用插件（功能模塊技術(shù)）進(jìn)行模擬攻擊，測(cè)試出目標(biāo)主機(jī)的漏洞信息。下面就這兩種掃描的實(shí)現(xiàn)方法進(jìn)行討論。2023/2/5網(wǎng)絡(luò)入侵與防范講義84漏洞掃描－－分類和實(shí)現(xiàn)方法基于漏洞庫(kù)的規(guī)則匹配基于網(wǎng)絡(luò)系統(tǒng)漏洞庫(kù)的漏洞掃描的關(guān)鍵部分就是它所使用的漏洞庫(kù)。通過(guò)采用基于規(guī)則的匹配技術(shù)，即根據(jù)安全專家對(duì)網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)安全配置的實(shí)際經(jīng)驗(yàn)，可以形成一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)漏洞庫(kù)，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的匹配規(guī)則，由掃描程序自動(dòng)的進(jìn)行漏洞掃描的工作。這樣，漏洞庫(kù)信息的完整性和有效性決定了漏洞掃描系統(tǒng)的性能，漏洞庫(kù)的修訂和更新的性能也會(huì)影響漏洞掃描系統(tǒng)運(yùn)行的時(shí)間。因此，漏洞庫(kù)的編制不僅要對(duì)每個(gè)存在安全隱患的網(wǎng)絡(luò)服務(wù)建立對(duì)應(yīng)的漏洞庫(kù)文件，而且應(yīng)當(dāng)能滿足前面所提出的性能要求。2023/2/5網(wǎng)絡(luò)入侵與防范講義85漏洞掃描－－分類和實(shí)現(xiàn)方法基于模擬攻擊將模擬攻擊的模塊做成插件的形式，插件是由腳本語(yǔ)言編寫(xiě)的子程序，掃描程序可以通過(guò)調(diào)用它來(lái)執(zhí)行漏洞掃描，檢測(cè)出系統(tǒng)中存在的一個(gè)或多個(gè)漏洞。添加新的插件就可以使漏洞掃描軟件增加新的功能，掃描出更多的漏洞。插件編寫(xiě)規(guī)范化后，甚至用戶自己都可以用perl、c或自行設(shè)計(jì)的腳本語(yǔ)言編寫(xiě)的插件來(lái)擴(kuò)充漏洞掃描軟件的功能。這種技術(shù)使漏洞掃描軟件的升級(jí)維護(hù)變得相對(duì)簡(jiǎn)單，而專用腳本語(yǔ)言的使用也簡(jiǎn)化了編寫(xiě)新插件的編程工作，使漏洞掃描軟件具有強(qiáng)的擴(kuò)展性。2023/2/5網(wǎng)絡(luò)入侵與防范講義86漏洞掃描－－問(wèn)題系統(tǒng)配置規(guī)則庫(kù)問(wèn)題如果規(guī)則庫(kù)設(shè)計(jì)的不準(zhǔn)確，預(yù)報(bào)的準(zhǔn)確度就無(wú)從談起；它是根據(jù)已知的安全漏洞進(jìn)行安排和策劃的，而對(duì)網(wǎng)絡(luò)系統(tǒng)的很多危險(xiǎn)的威脅卻是來(lái)自未知的漏洞，這樣，如果規(guī)則庫(kù)更新不及時(shí)，預(yù)報(bào)準(zhǔn)確度也會(huì)逐漸降低。2023/2/5網(wǎng)絡(luò)入侵與防范講義87漏洞掃描－－問(wèn)題漏洞庫(kù)信息要求漏洞庫(kù)信息是基于網(wǎng)絡(luò)系統(tǒng)漏洞庫(kù)的漏洞掃描的主要判斷依據(jù)。如果漏洞庫(kù)信息不全面或得不到即時(shí)的更新，不但不能發(fā)揮漏洞掃描的作用，還會(huì)給系統(tǒng)管理員以錯(cuò)誤的引導(dǎo)，從而對(duì)系統(tǒng)的安全隱患不能采取有效措施并及時(shí)的消除。2023/2/5網(wǎng)絡(luò)入侵與防范講義882.3掃描工具賞析掃描工具概述如何獲取掃描工具常用掃描工具常用掃描工具比較其它掃描工具2023/2/5網(wǎng)絡(luò)入侵與防范講義89掃描工具概述如果掃描范圍具有一定的規(guī)模，比如要在一個(gè)較大的范圍內(nèi)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評(píng)估，那就需要使用一些多功能的綜合性工具。一般來(lái)說(shuō)，這些多功能的綜合性掃描工具，都可以對(duì)大段的網(wǎng)絡(luò)IP進(jìn)行掃描，其掃描內(nèi)容非常廣泛，基本上包含了各種專項(xiàng)掃描工具的各個(gè)方面。我們將要介紹的掃描工具都是綜合性掃描工具。2023/2/5網(wǎng)絡(luò)入侵與防范講義90如何獲取掃描工具掃描工具大本營(yíng)/tools/1.html（xfocus的網(wǎng)站上的，下載速度也還可以接受）/（黑鷹基地華南站，菜鳥(niǎo)級(jí)工具較多）各種工具的官方主頁(yè)//有些工具是系統(tǒng)自帶的，比如windows和linux中的ping，linux中的nmap2023/2/5網(wǎng)絡(luò)入侵與防范講義91常用掃描工具SATAN(安全管理員的網(wǎng)絡(luò)分析工具用于掃描遠(yuǎn)程主機(jī)，發(fā)現(xiàn)漏洞)古老的經(jīng)典Nmap 掃描技術(shù)集大成者Nessus 黑客的血滴子，網(wǎng)管的百寶箱X-scan 國(guó)內(nèi)黑客的最愛(ài)2023/2/5網(wǎng)絡(luò)入侵與防范講義92SATANSATAN概述SATAN的分級(jí)輕度掃描標(biāo)準(zhǔn)掃描重度掃描攻入系統(tǒng)SATAN的特點(diǎn)2023/2/5網(wǎng)絡(luò)入侵與防范講義93SATAN概述SATAN是SecurityAdministratorToolforAnalyzingNetworks（用于分析網(wǎng)絡(luò)的安全管理員工具）的縮寫(xiě)，作者是DanFarmer和WietseVenema。1995年4月5日，SATAN的發(fā)布引起了軒然大波。但是引起爭(zhēng)論的更重要的原因，主要是SATAN帶來(lái)了關(guān)于網(wǎng)絡(luò)安全的全新觀念。2023/2/5網(wǎng)絡(luò)入侵與防范講義94SATAN概述(2)在SATAN發(fā)表之前，關(guān)于網(wǎng)絡(luò)安全的防護(hù)上，模糊安全論已經(jīng)有很長(zhǎng)一段時(shí)間的討論。模糊安全的概念——是大多數(shù)軟件、操作系統(tǒng)廠商喜歡處理安全漏洞的一種方法，他們認(rèn)為安全漏洞應(yīng)該隱藏，不要在文檔中公布，因?yàn)楹苌偃藭?huì)發(fā)現(xiàn)這些漏洞，即使有人發(fā)現(xiàn)這些漏洞，也不會(huì)去研究和利用漏洞。2023/2/5網(wǎng)絡(luò)入侵與防范講義95SATAN概述(3)實(shí)際上隨著軟件規(guī)模的日益增大，盡管程序員一般不會(huì)故意在程序中留下漏洞，軟件中出現(xiàn)安全漏洞也是不可避免的。及時(shí)地公布安全漏洞和補(bǔ)丁，讓網(wǎng)絡(luò)管理員及時(shí)進(jìn)行補(bǔ)救，才是正確的方法。而SATAN的公布，的確促使所有的操作系統(tǒng)廠商意識(shí)到應(yīng)該及時(shí)修正他們的系統(tǒng)中的漏洞。2023/2/5網(wǎng)絡(luò)入侵與防范講義96SATAN概述(4)SATAN的出現(xiàn)，帶來(lái)了網(wǎng)絡(luò)安全方面的全新的觀念：以黑客的方式來(lái)思考網(wǎng)絡(luò)安全的問(wèn)題。這個(gè)觀念體現(xiàn)在Farmer和Venema于1993年發(fā)表的文章《通過(guò)攻入你的網(wǎng)站來(lái)提高安全》（ImprovingtheSecurityofYourSitebyBreakingIntoIt）中。2023/2/5網(wǎng)絡(luò)入侵與防范講義97SATAN的分級(jí)輕度掃描標(biāo)準(zhǔn)掃描重度掃描攻入系統(tǒng)2023/2/5網(wǎng)絡(luò)入侵與防范講義98輕度掃描輕度掃描包含最少的入侵掃描。SATAN從域名系統(tǒng)（DomainNameSystem，簡(jiǎn)稱DNS）收集信息，看看主機(jī)提供哪些遠(yuǎn)程過(guò)程調(diào)用，通過(guò)網(wǎng)絡(luò)提供哪些文件共享。根據(jù)這些信息，SATAN就得到主機(jī)的一般信息。2023/2/5網(wǎng)絡(luò)入侵與防范講義99標(biāo)準(zhǔn)掃描在這個(gè)層次上，SATAN探測(cè)常見(jiàn)的網(wǎng)絡(luò)服務(wù)，包括finger、remotelogin、ftp、www、gopher、email等。根據(jù)這些信息，SATAN能判斷主機(jī)的類型，是Windows服務(wù)器，還是HP-UNIX，Soloaris還是Linux，甚至還能探測(cè)服務(wù)器軟件的版本。2023/2/5網(wǎng)絡(luò)入侵與防范講義100重度掃描當(dāng)知道目標(biāo)主機(jī)提供什么服務(wù)之后，SATAN進(jìn)行更深入的掃描。在這個(gè)掃描級(jí)別上，SATAN探測(cè)匿名服務(wù)器的目錄是不是可寫(xiě)，XWindows服務(wù)器是不是關(guān)閉了訪問(wèn)控制，/etc/hosts.equiv文件中是否有“*”號(hào)，等等。2023/2/5網(wǎng)絡(luò)入侵與防范講義101攻入系統(tǒng)本級(jí)別還包括了對(duì)系統(tǒng)進(jìn)行的攻擊、清掃攻擊時(shí)留下的痕跡、隱藏自己等，不過(guò)SATAN只提出了這一級(jí)別的思想，但并沒(méi)有實(shí)現(xiàn)。2023/2/5網(wǎng)絡(luò)入侵與防范講義102SATAN的特點(diǎn)SATAN作為最早的并且是最典型的掃描工具，具備以下特點(diǎn)：掃描指定的主機(jī)系統(tǒng)掃描常見(jiàn)的弱點(diǎn)給數(shù)據(jù)分析提供幫助總之，SATAN能夠自動(dòng)掃描本地和遠(yuǎn)程系統(tǒng)的弱點(diǎn)，為系統(tǒng)的安全或遠(yuǎn)程攻擊提供幫助。2023/2/5網(wǎng)絡(luò)入侵與防范講義103NMAPNMAP簡(jiǎn)介NMAP基本功能NMAP使用說(shuō)明NMAP使用示例NMAP特點(diǎn)NMAP簡(jiǎn)介Nmap(NetworkMapper,網(wǎng)絡(luò)映射器)，是由Fyodor制作的端口掃描工具。它除了提供基本的TCP和UDP端口掃描功能外，還綜合集成了眾多掃描技術(shù)，可以說(shuō)，現(xiàn)在的端口掃描技術(shù)很大程度上是根據(jù)Nmap的功能設(shè)置來(lái)劃分的。Nmap還有一個(gè)卓越的功能，那就是采用一種叫做“TCP棧指紋鑒別(stackfingerprinting)”的技術(shù)來(lái)探測(cè)目標(biāo)主機(jī)的操作系統(tǒng)類型。NMAP基本功能其基本功能有三個(gè)：探測(cè)一組主機(jī)是否在線主機(jī)掃描技術(shù)掃描主機(jī)端口，嗅探所提供的網(wǎng)絡(luò)服務(wù)端口掃描技術(shù)還可以推斷主機(jī)所用的操作系統(tǒng)遠(yuǎn)程主機(jī)OS指紋識(shí)別2023/2/5網(wǎng)絡(luò)入侵與防范講義106NMAP使用說(shuō)明Ping掃描：了解哪些機(jī)器是up的nmap–sP缺省時(shí)同時(shí)使用發(fā)送icmp和對(duì)80端口發(fā)送ack來(lái)探測(cè)可以用nmap–sP–P0不發(fā)送icmp消息TCPconnect掃描：nmap–sTTCPSYN掃描nmap–sSTCPFIN,XMAS,NULL掃描：nmap–sFnmap–sXnmap–sNUDP掃描：nmap–sU2023/2/5網(wǎng)絡(luò)入侵與防范講義107NMAP使用示例(ping掃描)使用-sP選項(xiàng)進(jìn)行ping掃描，缺省情況下，Nmap給每個(gè)掃描到的主機(jī)發(fā)送一個(gè)ICMPecho包和一個(gè)TCPACK包，主機(jī)對(duì)這兩種包的任何一種產(chǎn)生的響應(yīng)都會(huì)被Nmap得到。Nmap也提供掃描整個(gè)網(wǎng)絡(luò)的簡(jiǎn)易手段。下圖是對(duì)一個(gè)網(wǎng)段進(jìn)行ping掃描的情況。2023/2/5網(wǎng)絡(luò)入侵與防范講義108NMAP使用示例(TCPconnect掃描)使用-sT選項(xiàng)指定進(jìn)行TCPconnect端口掃描（全掃描），如果不指定端口號(hào)，缺省情況下Nmap會(huì)掃描1-1024和nmap-services文件(在Nmap下載包中)中列出的服務(wù)端口號(hào)。下圖是利用-sT對(duì)192．168．0．1主機(jī)進(jìn)行TCPconnect掃描的情況，掃描端口為T(mén)CP21-25、80以及139端口，最終結(jié)果顯示，21、25、80和139端口是開(kāi)放的。2023/2/5網(wǎng)絡(luò)入侵與防范講義109NMAP使用示例(UDP端口掃描)Nmap也可以用于進(jìn)行UDP端口掃描，只需要指定-sU選項(xiàng)，或者還可以指定掃描的目標(biāo)端口，掃描情況如圖所示。2023/2/5網(wǎng)絡(luò)入侵與防范講義110NMAP使用示例(操作系統(tǒng)類型探測(cè))Nmap可以進(jìn)行目標(biāo)主機(jī)操作系統(tǒng)類型的探測(cè)，這需要使用-O選項(xiàng)。另外，我們可以使用-P0選項(xiàng)來(lái)指定不進(jìn)行ping掃描。-v選項(xiàng)可以指定詳細(xì)結(jié)果輸出。下圖所示的例子中，綜合運(yùn)用了上述選項(xiàng)。NMAP特點(diǎn)NMAP是一款開(kāi)源的掃描工具,用于系統(tǒng)管理員查看一個(gè)大型的網(wǎng)絡(luò)有哪些主機(jī)以及其上運(yùn)行何種服務(wù)。它支持多種協(xié)議多種形式的掃描技術(shù)，還提供一些實(shí)用功能如通過(guò)TCP/IP來(lái)鑒別操作系統(tǒng)類型、秘密掃描、動(dòng)態(tài)延遲和重發(fā)、平行掃描、通過(guò)并行的PING鑒別下屬的主機(jī)、欺騙掃描、端口過(guò)濾探測(cè)、直接的RPC掃描、分布掃描、靈活的目標(biāo)選擇以及端口的描述。NMAP主要的特色就是多種掃描模式以及指紋識(shí)別技術(shù)。2023/2/5網(wǎng)絡(luò)入侵與防范講義112NessusNessus的特點(diǎn)Nessus的結(jié)構(gòu)Nessus的掃描過(guò)程N(yùn)essus的安裝Nessus的配置運(yùn)行用Nessus進(jìn)行掃描2023/2/5網(wǎng)絡(luò)入侵與防范講義113Nessus簡(jiǎn)介Nessus是一個(gè)功能強(qiáng)大而又簡(jiǎn)單易用的網(wǎng)絡(luò)安全掃描工具，對(duì)網(wǎng)絡(luò)管理員來(lái)說(shuō)，它是不可多得的審核堵漏工具。2000年、2003年、2006年，Nmap官方在Nmap用戶中間分別發(fā)起“Top50SecurityTools”、“Top75SecurityTools”、“Top100SecurityTools”的評(píng)選活動(dòng)，Nessus“戰(zhàn)勝”眾多的商業(yè)化漏洞掃描工具而三次奪魁。Nessus被譽(yù)為黑客的血滴子，網(wǎng)管的百寶箱。2023/2/5網(wǎng)絡(luò)入侵與防范講義114Nessus簡(jiǎn)介(2)Nessus采用基于插件的技術(shù)。工作原理是通過(guò)插件模擬黑客的攻擊，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。Nessus可以完成多項(xiàng)安全工作，如掃描選定范圍內(nèi)的主機(jī)的端口開(kāi)放情況、提供的服務(wù)、是否存在安全漏洞等等。2023/2/5網(wǎng)絡(luò)入侵與防范講義115Nessus的特點(diǎn)它是免費(fèi)的，比起商業(yè)的安全掃描工具如ISS具有價(jià)格優(yōu)勢(shì)。采用了基于多種安全漏洞的掃描，避免了掃描不完整的情況。Nessus基于插件體制，擴(kuò)展性強(qiáng)，支持及時(shí)的在線升級(jí)，可以掃描自定義漏洞或者最新安全漏洞。Nessus采用客戶端/服務(wù)端機(jī)制，容易使用、功能強(qiáng)大。2023/2/5網(wǎng)絡(luò)入侵與防范講義116Nessus的功能與所用的技術(shù)主機(jī)掃描技術(shù)端口掃描技術(shù)遠(yuǎn)程主機(jī)OS識(shí)別漏洞掃描技術(shù)這是比Nmap多的功能Nessus自帶的上萬(wàn)個(gè)掃描插件是其最引人注目的功能2023/2/5網(wǎng)絡(luò)入侵與防范講義117Nessus的結(jié)構(gòu)2023/2/5網(wǎng)絡(luò)入侵與防范講義118Nessus的掃描過(guò)程2023/2/5網(wǎng)絡(luò)入侵與防范講義119Nessus的安裝Nessus的服務(wù)器可以安裝在Linux、FreeBSD、Solaris、MacOSX、Windows上?？蛻舳擞蠰inux/Windows的GUI。如果想在多臺(tái)計(jì)算機(jī)中使用Nessus，可以在一臺(tái)計(jì)算機(jī)中安裝服務(wù)器，其它計(jì)算機(jī)中安裝客戶端，客戶端連接到服務(wù)器就可以進(jìn)行掃描。服務(wù)器自帶了掃描功能。Nessus4以前的版本是c/s模式的，Nessus4以后已經(jīng)完全是b/s模式的，需要在網(wǎng)站上直接安裝。官網(wǎng)：2023/2/5網(wǎng)絡(luò)入侵與防范講義120Nessus的安裝(2)在Windows下安裝Nessus(服務(wù)端)，安裝完成后主界面如圖。2023/2/5網(wǎng)絡(luò)入侵與防范講義121Nessus的安裝(3)在Windows下安裝NessusWX(客戶端)，安裝完成后主界面如圖。2023/2/5網(wǎng)絡(luò)入侵與防范講義122Nessus的配置運(yùn)行Nessus服務(wù)器端插件升級(jí)2023/2/5網(wǎng)絡(luò)入侵與防范講義123Nessus的配置運(yùn)行（2）Nessus服務(wù)器端為客戶端分配登陸用戶2023/2/5網(wǎng)絡(luò)入侵與防范講義124用Nessus進(jìn)行掃描(1)啟動(dòng)Nessus客戶端，操作者需要指定Nessus服務(wù)器的IP地址、端口號(hào)、通信加密方式以及登陸帳號(hào)、口令。2023/2/5網(wǎng)絡(luò)入侵與防范講義125用Nessus進(jìn)行掃描(2)(2)創(chuàng)建掃描會(huì)話，在此例中，掃描本機(jī)。2023/2/5網(wǎng)絡(luò)入侵與防范講義126用Nessus進(jìn)行掃描(3)(3)開(kāi)始掃描2023/2/5網(wǎng)絡(luò)入侵與防范講義127用Nessus進(jìn)行掃描(4)(4)掃描結(jié)果報(bào)告，說(shuō)明在1433端口開(kāi)啟了SqlServer服務(wù)，且存在弱口令漏洞：用戶sa的密碼為sa。2023/2/5網(wǎng)絡(luò)入侵與防范講義128X-scanX-scan概述X-scan功能簡(jiǎn)介X-scan圖形主界面案例：用X-Scan掃描一個(gè)網(wǎng)段的主機(jī)X-scan的命令行掃描2023/2/5網(wǎng)絡(luò)入侵與防范講義129X-Scan概述X-Scan是國(guó)內(nèi)最著名的綜合掃描器，它完全免費(fèi)，是不需要安裝的綠色軟件、界面支持中文和英文兩種語(yǔ)言、包括圖形界面和命令行方式。主要由國(guó)內(nèi)著名的網(wǎng)絡(luò)安全組織“安全焦點(diǎn)”（）完成，“冰河木馬”的作者是其核心作者之一。從2000年的內(nèi)部測(cè)試版X-ScanV0.2到目前的最新版本X-ScanV3.3都凝聚了國(guó)內(nèi)眾多專家的心血。X-Scan把掃描報(bào)告對(duì)掃描到的每個(gè)漏洞進(jìn)行“風(fēng)險(xiǎn)等級(jí)”評(píng)估，并提供漏洞描述、漏洞溢出程序，方便網(wǎng)管測(cè)試、修補(bǔ)漏洞。2023/2/5網(wǎng)絡(luò)入侵與防范講義130X-scan功能簡(jiǎn)介采用多線程方式對(duì)指定IP地址段（或單機(jī)）進(jìn)行安全漏洞檢測(cè)，支持插件功能。3.0及后續(xù)版本提供了簡(jiǎn)單的插件開(kāi)發(fā)包，便于有編程基礎(chǔ)的朋友自己編寫(xiě)或?qū)⑵渌{(diào)試通過(guò)的代碼修改為X-Scan插件。2023/2/5網(wǎng)絡(luò)入侵與防范講義131X-scan功能簡(jiǎn)介(2)掃描內(nèi)容包括：遠(yuǎn)程服務(wù)類型、操作系統(tǒng)類型及版本，各種弱口令漏洞、后門(mén)、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕服務(wù)漏洞等20多個(gè)大類。對(duì)于多數(shù)已知漏洞，給出了相應(yīng)的漏洞描述、解決方案及詳細(xì)描述鏈接。因此，X-scan與Nessus一樣，也完成了主機(jī)掃描、端口掃描、遠(yuǎn)程主機(jī)OS識(shí)別和漏洞掃描四大功能。2023/2/5網(wǎng)絡(luò)入侵與防范講義132X-scan圖形主界面2023/2/5網(wǎng)絡(luò)入侵與防范講義133案例：用X-Scan掃描一個(gè)網(wǎng)段的主機(jī)步驟1設(shè)置掃描參數(shù)步驟2開(kāi)始掃描步驟3查看掃描報(bào)告 此案例中使用的X-scan版本是V3.32023/2/5網(wǎng)絡(luò)入侵與防范講義1341設(shè)置掃描參數(shù)2023/2/5網(wǎng)絡(luò)入侵與防范講義135檢測(cè)范圍通過(guò)右側(cè)窗口的“指定IP范圍”可以輸入獨(dú)立的IP地址或域名，也可輸入以“-”和“,”分隔的IP地址范圍，如“-20，0-54”，或類似“/24”的格式。2023/2/5網(wǎng)絡(luò)入侵與防范講義136全局設(shè)置“掃描模塊”項(xiàng)：選擇本次掃描需要加載的插件“并發(fā)掃描”項(xiàng)：設(shè)置并發(fā)掃描的主機(jī)和并發(fā)線程數(shù)，也可以單獨(dú)為每個(gè)主機(jī)的各個(gè)插件設(shè)置最大線程數(shù)“網(wǎng)絡(luò)設(shè)置”項(xiàng)：設(shè)置適合的網(wǎng)絡(luò)適配器“掃描報(bào)告”項(xiàng)：掃描結(jié)束后生成的報(bào)告文件名，保存在LOG目錄下“其他設(shè)置”項(xiàng)2023/2/5網(wǎng)絡(luò)入侵與防范講義137插件設(shè)置該模塊提供對(duì)各個(gè)插件的設(shè)置方法。包括如圖所示幾項(xiàng)內(nèi)容。2023/2/5網(wǎng)絡(luò)入侵與防范講義1382開(kāi)始掃描在此案例中，設(shè)置檢測(cè)范圍為0-20，其它使用默認(rèn)設(shè)置，掃描過(guò)程如圖所示。2023/2/5網(wǎng)絡(luò)入侵與防范講義1393查看掃描報(bào)告詳細(xì)漏洞信息見(jiàn)下頁(yè)圖2023/2/5網(wǎng)絡(luò)入侵與防范講義140說(shuō)明：9的phpMyAdmin存在高危漏洞2023/2/5網(wǎng)絡(luò)入侵與防范講義141X-scan的命令行掃描以上介紹了X-Scan圖形界面的使用方法。另外，X-Scan還有一個(gè)命令行方式的掃描程序。其原理與圖形界面的X-Scan相同，所不同的是使用的方法不同而已。圖形界面的掃描器主要用在本機(jī)執(zhí)行，而命令行下的掃描器經(jīng)常被入侵者用來(lái)制作第三方掃描。2023/2/5網(wǎng)絡(luò)入侵與防范講義142常用掃描工具比較主機(jī)掃描端口掃描OS識(shí)別漏洞掃描NmapNessusX-scan掃描工具掃描技術(shù)2023/2/5網(wǎng)絡(luò)入侵與防范講義143其它掃描工具AdvanceLANScannerBlue’sPortScannerNBSI2Fluxay（流光）X-portSuperScanISS2023/2/5網(wǎng)絡(luò)入侵與防范講義1442.4掃描的防御反掃描技術(shù)端口掃描監(jiān)測(cè)工具防火墻技術(shù)審計(jì)技術(shù)其它防御技術(shù)2023/2/5網(wǎng)絡(luò)入侵與防范講義145反掃描技術(shù)反掃描技術(shù)是針對(duì)掃描技術(shù)提出的。掃描技術(shù)一般可以分為主動(dòng)掃描和被動(dòng)掃描兩種，它們的共同點(diǎn)在于在其執(zhí)行的過(guò)程中都需要與受害主機(jī)互通正常或非正常的數(shù)據(jù)報(bào)文。2023/2/5網(wǎng)絡(luò)入侵與防范講義146主動(dòng)掃描其中主動(dòng)掃描是主動(dòng)向受害主機(jī)發(fā)送各種探測(cè)數(shù)據(jù)包，根據(jù)其回應(yīng)判斷掃描的結(jié)果。因此防范主動(dòng)掃描可以從以下幾個(gè)方面入手：（1）減少開(kāi)放端口，做好系統(tǒng)防護(hù)；（2）實(shí)時(shí)監(jiān)測(cè)掃描，及時(shí)做出告警；（3）偽裝知名端口，進(jìn)行信息欺騙。2023/2/5網(wǎng)絡(luò)入侵與防范講義147被動(dòng)掃描被動(dòng)掃描由其性質(zhì)決定，它與受害主機(jī)建立的通常是正常連接，發(fā)送的數(shù)據(jù)包也屬于正常范疇，而且被動(dòng)掃描不會(huì)向受害主機(jī)發(fā)送大規(guī)模的探測(cè)數(shù)據(jù)，因此其防范方法到目前為止只能采用信息欺騙（如返回自定義的banner信息或偽裝知名端口）這一種方法。端口掃描監(jiān)測(cè)工具對(duì)網(wǎng)絡(luò)管理員來(lái)說(shuō)，盡早的發(fā)現(xiàn)黑客的掃描活動(dòng)，也許就能及時(shí)采取措施，避免黑客進(jìn)一步實(shí)施真正的攻擊和破壞。監(jiān)測(cè)端口掃描的工具有好多種，最簡(jiǎn)單的一種是在某個(gè)不常用的端口進(jìn)行監(jiān)聽(tīng)，如果發(fā)現(xiàn)有對(duì)該端口的外來(lái)連接請(qǐng)求，就認(rèn)為有端口掃描。一般這些工具都會(huì)對(duì)連接請(qǐng)求的來(lái)源進(jìn)行反探測(cè)，同時(shí)彈出提示窗口。另一類工具，是在混雜模式下抓包并進(jìn)一步分析判斷。它本身并不開(kāi)啟任何端口。這類端口掃描監(jiān)視器十分類似IDS系統(tǒng)中主要負(fù)責(zé)行使端口掃描監(jiān)測(cè)職責(zé)的模塊。蜜罐系統(tǒng)也是一種非常好的防御方法。端口掃描監(jiān)測(cè)工具下面列出幾種端口掃描的監(jiān)測(cè)工具ProtectXWinetd和DTK：蜜罐工具PortSentry2023/2/5網(wǎng)絡(luò)入侵與防范講義150防火墻技術(shù)防火墻技術(shù)是一種允許內(nèi)部網(wǎng)接入外部網(wǎng)絡(luò)，但同時(shí)又能識(shí)別和抵抗非授權(quán)訪問(wèn)的網(wǎng)絡(luò)技術(shù)，是網(wǎng)絡(luò)控制技術(shù)中的一種。防火墻的目的是要在內(nèi)部、外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn)，控制所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都經(jīng)過(guò)防火墻，并檢查這些信息，通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制。防火墻技術(shù)(2)個(gè)人防火墻和企業(yè)級(jí)防火墻因?yàn)槠鋺?yīng)用場(chǎng)景不同，也在功能、性能等方面有所差異。下面列出幾種個(gè)人防火墻產(chǎn)品ZoneAlarmProBlackICENortonPersonalFirewall天網(wǎng)防火墻2023/2/5網(wǎng)絡(luò)入侵與防范講義152審計(jì)技術(shù)審計(jì)技術(shù)是使用信息系統(tǒng)自動(dòng)記錄下的網(wǎng)絡(luò)中機(jī)器的使用時(shí)間、敏感操作和違紀(jì)操作等，為系統(tǒng)進(jìn)行事故原因查詢、事故發(fā)生后的實(shí)時(shí)處理提供詳細(xì)可靠的依據(jù)或支持。審計(jì)技術(shù)可以記錄網(wǎng)絡(luò)連接的請(qǐng)求、返回等信息，從中識(shí)別出掃描行為。審計(jì)技術(shù)(2)以Web服務(wù)器為例，它的日志記錄能幫助我們跟蹤客戶端IP地址，確定其地理位置信息，檢測(cè)訪問(wèn)者所請(qǐng)求的路徑和文件，了解訪問(wèn)狀態(tài)，檢查訪問(wèn)者使用的瀏覽器版本和操作系統(tǒng)類型等。下面簡(jiǎn)要介紹兩種經(jīng)常使用的服務(wù)器——IIS服務(wù)器和Apache服務(wù)器的日志文件。IIS服務(wù)器的日志記錄IIS服務(wù)器工作在Windows平臺(tái)上。服務(wù)器日志一般放在“%SystemRoot%/System32/LogFiles”目錄下，該目錄用于存放IIS服務(wù)器關(guān)于WWW、FTP、SMTP等服務(wù)的日志目錄。WWW服務(wù)的日志目錄是“W3SVCn”，這里的“n”是數(shù)字，表示第幾個(gè)WWW網(wǎng)站（虛擬主機(jī)），F(xiàn)TP服務(wù)的日志目錄是“MSFTPSVCn”，“n”的含義與前類似。IIS服務(wù)器的日志記錄(2)IIS服務(wù)器的日志格式MicrosoftIISLogFileFormat（IIS日志文件格式，一個(gè)固定的ASCII格式）NCSACommonLogFileFormat（NCSA通用日志文件格式）W3CEx