網絡攻防原理與技術 第4版 課件 第4章 網絡偵察技術;第5章 網絡掃描技術

本PPT是機械工業(yè)出版社出版的教材《網絡攻防原理與技術（第3版）》配套教學PPT（部分內容的深度和廣度比教材有所擴展），作者：吳禮發(fā)，洪征，李華波本PPT可能會直接或間接采用了網上資源或公開學術報告中的部分PPT頁面、圖片、文字，引用時我們力求在該PPT的備注欄或標題欄中注明出處，如果有疏漏之處，敬請諒解。同時對被引用資源或報告的作者表示誠摯的謝意！本PPT可免費使用、修改，使用時請保留此頁。聲明第四章網絡偵察技術網絡偵察收集的信息網絡偵察掃描：了解你的獵物！踩點、掃描、查點網絡偵察收集的信息任務，獲取以下信息靜態(tài)信息各種聯系信息，包括姓名、郵件地址、電話號碼等DNS、郵件、Web等服務器主機或網絡的IP地址（段）、名字和域網絡拓撲結構業(yè)務信息動態(tài)信息目標主機是否開機目標主機是否安裝了某種你感興趣的軟件目標主機安裝的是什么操作系統目標主機上是否有某種安全漏洞可用于攻擊其它一切對網絡攻擊產生作用的各種信息找指定條件（如某地域、某廠家）的聯網主機或設備網絡偵察收集的信息你能想到哪些方法來獲得上述信息的一種或幾種？給你一個QQ號，如何找出QQ主人的相關信息？你了解社會工程學嗎？人肉搜索？如何發(fā)現一個人的社會關系？你使用過哪些搜索網站？如何使用？用它來干什么？連不上某臺主機（PING或上網）是否說明該主機沒開？當網絡掃描遇到安全類軟件時會發(fā)生什么？為什么要禁止軍人上電視（／網絡）征婚、交友？（為什么軍人不能在電視或網絡上表明軍人身份？）如何提防被偵察？網絡偵察收集的信息各種聯系信息，包括姓名、郵件地址、電話號碼等；DNS、郵件、Web等服務器；主機或網絡的IP地址（段）、名字和域；網絡拓撲結構；業(yè)務信息；其它一切對網絡攻擊產生作用的各種信息。內容提要網絡偵察方法步驟1多用途偵察工具2網絡偵察防御3一、搜索引擎著名黑客AdrianLamo因曾攻擊一些著名的報業(yè)公司、石油公司、互聯網服務提供商和金融服務公司而聞名。有雜志在對他做專訪時，問他最鐘愛的黑客工具是什么時，他立即說：“沒什么特別的，搜索引擎是我最喜歡的工具”搜索引擎Baidu的重要檢索命令site:[域]用途：返回與特定域相關的檢索結果；示例：site:南京

（在域中查找含有“南京”的結果）Baidu的重要檢索命令link:[Web頁面]用途：給出和指定Web頁面相鏈接的站點，可能泄露目標站點的業(yè)務關系；示例：link:（查看與教育部官網相鏈接的所有站點）。Baidu的重要檢索命令（cont.）intitle:[條件]用途：用于檢索標題中含有特定檢索文本的頁面。在查找那些將Web頁面配置成可顯示不同的文件系統目錄的索引時將非常有用?？赡芊祷卣军c管理員意外泄露的敏感文件和配置數據；示例：site:intitle:”indexof”(查看站點中是否有通過Web服務器獲得的索引目錄)。Baidu的重要檢索命令（cont.）cache:[頁面]用途：顯示來自于Baidu快照的頁面內容。對于查找最近被移出或當前不可用的頁面時非常有用；示例：cache:（查找中最近被Baidubot抓取的頁面）。Baidu的重要檢索命令（cont.）filetype:[后綴]用途：檢索特定類型的文件；示例：filetype:pptsite:（查找域中所有的ppt文件）問題：查網絡安全方面的PPT？Baidu的重要檢索命令（cont.）Not（－）用途：過濾Web頁面中所包含的特定條件；示例：dolphins–football。Plus（+）用途：告訴Baidu不應該把某個詞過濾掉（注意：不是告訴Baidu所有的頁面都要包含某個條件）；示例：site:+how+the。Google常用命令找目標如何找網絡上的一臺主機或聯網設備？Shodan聯網設備搜索引擎(http://www.shodan.io)ShodanShodan搜索對象分為網絡設備、網絡服務、網絡系統、banner信息關鍵字四類Shodan網絡設備又分為網絡連接設備和網絡應用設備。網絡連接設備是指將網絡各個部分連接成一個整體的設備，主要包括：主要包括Hub（集線器）、Modem（調制解調器）、Switch（交換機）、Router（路由器）、Gateway（網關）、Server（各種網絡服務器）。網絡應用設備是指利用因特網提供的服務完成設計功能的設備，常見的有打印機、攝像頭、數字電話、數字空調、智能電視以及工業(yè)生產領域大量使用的傳感器、控制單元等。Shodan網絡服務是指網絡提供的各種服務，如FTP、HTTP等網絡系統包括：操作系統（如Windows，Linux，Solaris，AIX等）工業(yè)生產領域廣泛使用的各類控制系統，如數據采集與監(jiān)視控制系統（SupervisoryControlAndDataAcquisition,SCADA）、集散控制系統（DistributedControlSystem,DCS）\配電網管理系統（DistributionManagementSystem，DMS）等ShodanBanner信息關鍵字類搜索對象是指用戶分析Shodan搜索返回的banner后，將其中的關鍵字作為搜索對象，如弱口令（defaultpassword）、匿名登錄（anonymouslogin）、HTTP報頭（如HTTP200OK）等。Shodan格式：ABCfilter:valuefilter:valuefilter:valueA、B、C為搜索對象，如網絡設備netcam、網絡服務器IIS。Filter為Shodan搜索過濾詞，常見的有地理位置、時間、網絡服務。Value為filter對應的值，若filter是端口，則value的值對應為Shodan支持搜索的端口值。需要注意的是filter與value之間的冒號后面沒有空格Shodan過濾詞：地理位置類過濾詞注意：使用過濾詞需要注冊賬號并登錄！Shodan過濾詞：網絡服務類過濾詞，主要包括hostname、net、os、portShodan過濾詞：網絡服務類過濾詞，主要包括hostname、net、os、portShodan：搜索公網攝像頭ZoomeyeZoomeyeZoomeyeZoomeyeZoomeye32

FOFA是白帽匯推出的一款網絡空間搜索引擎，它通過進行網絡空間測繪，能夠幫助研究人員或者企業(yè)迅速進行網絡資產匹配，例如進行漏洞影響范圍分析、應用分布統計、應用流行度排名統計等FOFAFOFAFOFA可以搜索網絡組件，例如地區(qū)，端口號，網絡服務，操作系統，網絡協議等包括各種開發(fā)框架、安全監(jiān)測平臺、項目管理系統、企業(yè)管理系統、視頻監(jiān)控系統、站長平臺、電商系統、廣告聯盟、前端庫、路由器、SSL證書、服務器管理系統、CDN、Web服務器、WAF、CMS等，還可以繞過CDN找真實IPFOFA/諦聽搜索到的很多設備或服務可能是陷阱（蜜罐,蜜網）二、whois數據庫：信息寶庫whois數據庫確定了目標系統后，下一步就是確定域名和相關的網絡信息。要找到這些信息，有哪些方法呢？求助于互聯網的域名授權注冊機構：互聯網上各類型的whois數據庫充當了互聯網白皮書列表的角色。數據庫中的數據包括了域名、IP地址、個人聯系方式等注冊信息。whois數據庫由不同的注冊商和特定的互聯網基礎設施組織所維護。（一）根據域名查注冊機構互聯網數字分配機構(TheInternetAssignedNumbersAuthority,IANA)的Whois數據庫（/whois）根據域名查注冊機構主要查詢點：InterNIC的Whois數據庫，支持以.aero,.arpa,.asia,.biz,.cat,.com,.coop,.edu,.info,.int,.jobs,.mobi,.museum,.name,.net,.org,.pro,or.travel為后綴的域名的注冊機構查詢（/whois.html）根據域名查詢注冊機構如果要查詢以中國頂級域名（.cn）為后綴的域名，可查詢中國互聯網信息中心(ChinaInternetNetworkInformationCenter,CNNIC)的Whois數據庫（/）。根據域名查注冊機構根據域名查注冊機構Uwhois數據庫（）根據域名查注冊機構（二）根據注冊機構查注冊信息根據注冊機構查注冊信息根據注冊機構查注冊信息根據注冊機構查注冊信息這是以前查到的結果根據注冊機構查注冊信息這是以前查到的結果根據注冊機構查注冊信息這是以前查到的結果根據注冊機構查注冊信息這是以前查到的結果（三）根據IP地址查詢信息查詢某個域名所對應的IP地址分配情況，也可以對某個IP地址進行查詢以獲得擁有該IP地址的機構信息。獲取IP地址或地址段是進行精確網絡掃描的基礎。這類查詢一般借助全球四大互聯網地址注冊機構的Whois數據庫來查詢根據域名的IP地址查詢信息美國互聯網號注冊局（AmericanRegistryforInternetNumbers,ARIN）的Whois數據庫（/），負責北美地區(qū)的IP地址分配和管理根據域名的IP地址查詢信息由RéseauxIPEuropéens網絡協作中心（RéseauxIPEuropéensNetworkCoordinationCentre,RIPENCC）提供的Whois數據庫（），負責歐洲、中東、中亞和非洲地區(qū)的IP地址分配和管理根據域名的IP地址查詢信息由RéseauxIPEuropéens網絡協作中心（RéseauxIPEuropéensNetworkCoordinationCentre,RIPENCC）提供的Whois數據庫（），負責歐洲、中東、中亞和非洲地區(qū)的IP地址分配和管理根據域名的IP地址查詢信息由亞太網絡信息中心（AsiaPacificNetworkInformationCenter,APNIC）提供的Whois數據庫（），負責亞太地區(qū)的IP地址的分配和管理根據域名的IP地址查詢信息由亞太網絡信息中心（AsiaPacificNetworkInformationCenter,APNIC）提供的Whois數據庫（），負責亞太地區(qū)的IP地址的分配和管理根據域名的IP地址查詢信息根據域名的IP地址查詢信息根據域名的IP地址查詢信息根據域名的IP地址查詢信息由拉丁美洲和加勒比海網絡地址注冊局（LatinAmericanandCaribbeanInternetAddressRegistry,LACNIC）維護的Whois數據庫（），負責拉丁美洲和加勒比海地區(qū)的IP地址和管理根據域名的IP地址查詢信息使用中國互聯網信息中心（CNNIC）提供的IP地址注冊信息查詢系統（/）可以查到CNNIC及中國大陸的IP地址分配信息根據域名的IP地址查詢信息根據域名的IP地址查詢信息地址輸入欄中輸入一個IP地址（41）得到類似結果根據域名的IP地址查詢信息根據域名的IP地址查詢信息根據域名的IP地址查詢信息APT1：IP地址注冊信息除了通過各Whois數據庫維護方的網站上查詢域名信息外，還可以通過各種工具查詢Whois數據庫。Windows和Linux操作系統中均有相關的Whois查詢命令，當然需要安裝相應的工具，而不是默認提供。例如，WhoisCL是Windows下的命令行版本的Whois數據庫查詢工具（/utils/whoiscl.html）；Linux下也可以安裝Whois工具（CentOS下安裝命令為yuminstall-yjwhois,Debian/Ubuntu下安裝命令為apt-getinstall-ywhois）。這些工具一般都支持用戶添加Whois服務器，以支持更多的域名后綴的查詢查詢工具擁有8年的數據積累，包含6年全球網絡拓撲數據、6年全球網絡波動數據、8年全球43億IP定位數據、5年境內外街道級IP定位數據、全球1000+自主探測點和7000+第三方探測點網絡空間測繪三、域名系統域名系統中的區(qū)Zone:

Zone:ftpexample……wwwdevmicrosoftcomeduorg域名系統允許把一個DNS命名空間分割成多個區(qū)，各個區(qū)保存一個或多個DNS域的名字信息區(qū)傳送域名查詢的解析操作由多個DNS服務器來提供，從而提高可用性和容錯性；DNS服務器之間采用區(qū)傳送的機制來同步和復制區(qū)內數據；區(qū)傳送的最大安全問題：傳輸的域名信息中包含了不該公開的內部主機和服務器的域名信息，從而將內部主機名和IP地址暴露給了攻擊者。區(qū)傳送查詢工具：Windows平臺：nslookup,SamSpade;UNIX平臺：nslookup,dig,host,axfr等示例：nslookup工具Windows自帶工具指定目標的主DNS服務器或輔DNS服務器指定查詢任何類型的DNS記錄將查詢到的DNS記錄保存到文件中去示例：DNS記錄（部分）使用viewdns_zone.out命令查看保存的記錄A表示獲取的IP地址信息MX表示郵件交換記錄信息，通常用于表明處理郵件的服務器，MX后面的整數值表示各條記錄的優(yōu)先級DNS區(qū)傳送（限制）DNS區(qū)傳送問題深度分析四、網絡拓撲Traceroute工具弄清拓撲結構有什么用處呢？Traceroute是一種網絡故障診斷和獲取網絡拓撲結構的工具，可以跟蹤TCP/IP數據包從出發(fā)點到目的地所走的路徑：通過發(fā)送小的數據包到目的設備直到返回，來測量耗時，并返回設備的名稱和地址；通過向目的地發(fā)送不同生存時間（TTL）的ICMP報文，以確定到達目的地的路由。示例：tracert示例：tracert其它路由跟蹤工具圖形化工具：VisualRoute:/visualroute/index.htmlXTraceroute:www.dtek.chalmers.se/~d3auguest/xt/工具鏈接：/atlas/routes.html拓撲發(fā)現新技術：網絡測量數據中分析拓撲五、社交網絡社交網絡社交網絡已經構成了一組巨大的網民信息“大數據”，這些數據是了解攻擊目標的重要情報來源。通過社交網絡，可以挖掘出一個人的社會關系、朋友、敵人、工作、思維風格、喜好、厭惡、銀行信息等，而這些信息對于網絡攻擊非常有幫助。社交網絡利用社交網絡進行情報搜集的方法可以分為關注“用戶”、關注“信息”和引導用戶參與三種。關注“用戶”。主要是利用社交媒體的交互性特點，利用社交網絡與想要關注的團體和個人建立聯系，從中套取相關攻擊目標有關的信息。關注“信息”。從社交媒體上流動的海量信息中提取有用情報。針對社交媒體的海量信息，搜集提取需要的信息內容，并運用先進的分析技術對海量信息進行處理。主動邀請和引導社交網用戶參與及建議。通過互動了解目標的相關信息。用戶隱私收集無處不在的賬戶注冊無處不在的郵箱驗證與手機驗證移動互聯網無處不在的LBS收集用戶主動分享用戶主動分享攻擊獲取2015.10.30：全球最流行的免費Web托管公司000Webhost遭遇了一次大規(guī)模的數據泄露事件，1350萬用戶的個人數據泄露（用戶名、明文密碼、郵箱地址、IP地址、用戶真實的姓氏）攻擊獲取2015.5.1：匿名者攻擊WTO子域名，泄露近2000個員工信息。2015.5.19：匿名者用SQL注入攻擊意大利國防部網絡系統，泄露1700個賬戶信息跨域拓展攻擊由泄露數據庫，用戶已共享的昵稱等向門戶網站，各類論壇，主流郵商賬戶進行跨域拓展，以獲得“新隱私”跨域拓展攻擊跨域拓展攻擊拖庫：2011.12.21黑客在網上公開提供CSDN網站用戶數據庫下載后，包括人人網、貓撲、多玩等在內的網站部分用戶數據庫也被傳到網上供用戶下載。超過5000萬個用戶帳號和密碼在網上流傳撞庫：2014年12月25日，12306網站用戶信息在互聯網上瘋傳；iCloud艷照門2015.10.19：“網易郵箱門”個人隱私保護很難木桶效應：個人互聯網賬戶眾多，難以做到所有賬戶徹底安全六、Web站點查詢Web網站查詢Web站點通常會包含其組織機構的詳盡信息，比如組織結構、員工名單、日程安排等。有經驗的攻擊者一般會仔細瀏覽目標對象的Web站點，查找自己感興趣的信息。站點架構。聯系方式。企業(yè)員工的電話號碼、郵箱地址、家庭住址等信息對于社會工程學非常有用。招聘信息。招聘信息往往會暴露公司需要哪方面的人才。比如需要招聘一名Oracle數據庫管理員，則說明公司內部運行的數據庫肯定有Oracle數據庫。Web網站查詢Web站點通常會包含其組織機構的詳盡信息，比如組織結構、員工名單、日程安排等。有經驗的攻擊者一般會仔細瀏覽目標對象的Web站點，查找自己感興趣的信息。公司文化。大多數機構的Web站點常常會披露機構的組織結構、會議安排、重要公告、工作日程、工作地點、產品資料等等，這些都可以用來進行社會工程學攻擊。商業(yè)伙伴。可以了解公司的業(yè)務關系，對于公司的某些敏感信息很可能從其安全管理薄弱的合作伙伴那里取得。Web網站查詢Web站點通常會包含其組織機構的詳盡信息，比如組織結構、員工名單、日程安排等。有經驗的攻擊者一般會仔細瀏覽目標對象的Web站點，查找自己感興趣的信息。新聞信息。七、開源情報收集開源情報收集開源情報收集OSINTFramework(/)其它非技術偵察手段直接混進組織內部：直接混入組織內部，獲取與目標公司相關的敏感信息或放置惡意軟件，或者竊走U盤、硬盤甚至是整臺存放敏感數據的計算機。垃圾搜尋：即在一個組織的垃圾桶里仔細搜尋、查找敏感信息。包括尋找包含敏感數據的廢紙、CD/DVD、軟盤/硬盤等。小結注冊機構查詢注冊資料查詢社會工程學

DNS查詢垃圾收集

查詢目標系統在Internet上的注冊機構地址在注冊機構的whois庫中查詢目標系統的詳細注冊信息:聯系人、域名服務器、IP地址段等拓撲分析

……利用注冊資料中的電話號碼、郵件地址等一切可用信息利用注冊資料中的DNS服務器等信息利用注冊資料中的公司地址信息通用資料查詢Google、Baidu、Yahoo、搜狗內容提要網絡偵察方法步驟1多用途偵察工具2網絡偵察防御3（一）客戶端偵察工具NetScanToolsPro：一款偵察、掃描集成工具，/nstmain.html。BackTrack:集成滲透測試工具，后來更新名為著名的Kali，，/（二）基于Web的偵察工具Internet上免費提供的基于Web的偵察工具：/注意：許多偵察和攻擊站點具有黑客背景，可能會監(jiān)視你的活動甚至對你發(fā)起攻擊，用戶應該僅通過與單位相隔離的ISP來訪問，使用不帶敏感信息的客戶端。內容提要網絡偵察方法步驟1多用途偵察工具2網絡偵察防御3(一)防御搜索引擎和基于Web的偵察對于自己的Web服務器，建立信息披露策略。不要在Web站點上放置敏感的客戶數據或其它信息組織必須有具體的措施要求如何使用新聞組和郵件列表：必須要求職工不得在新聞組和郵件列表這樣的公共渠道上發(fā)布系統配置、商業(yè)計劃和其它敏感話題信息；如果發(fā)現Google對一個不期望公開的URL或頁面進行了索引，可以要求Google把它們移出。(二)防御WHOIS檢索Whois數據庫能提供攻擊者如此有用的信息，那么給出錯誤或誤導的注冊信息會使你更加安全嗎？防御Whois檢索可行的方法是：保證注冊記錄中沒有額外的可供攻擊者使用的信息，例如管理員的帳戶名；要求不公開對員工進行培訓，避免誤中社會工程學攻擊的詭計。(三)防御基于DNS的偵察確保沒有通過DNS服務器泄露額外的信息。比如將某臺Windows2003服務器命名為w2kdmzserver就泄露了計算機的操作系統類型；限制DNS區(qū)域傳送。可以對DNS服務器進行配置，制定允許發(fā)起區(qū)域傳送的具體的IP地址和網絡；使用分離DNS的技術（指在兩臺不同的服務器上分離DNS的功能，外部用戶和內部用戶分別使用不同的DNS服務），減少可公開獲得的基礎設施的DNS信息。本章小結作業(yè)本PPT是機械工業(yè)出版社出版的教材《網絡攻防原理與技術（第3版）》配套教學PPT（部分內容的深度和廣度比教材有所擴展），作者：吳禮發(fā)，洪征，李華波本PPT可能會直接或間接采用了網上資源或公開學術報告中的部分PPT頁面、圖片、文字，引用時我們力求在該PPT的備注欄或標題欄中注明出處，如果有疏漏之處，敬請諒解。同時對被引用資源或報告的作者表示誠摯的謝意！本PPT可免費使用、修改，使用時請保留此頁。聲明第五章網絡掃描技術內容提綱主機掃描2端口掃描3操作系統識別4網絡掃描概述1漏洞掃描5網絡掃描技術什么是網絡掃描？使用網絡掃描軟件對特定目標進行各種試探性通信，以獲取目標信息的行為。網絡掃描的目的識別目標主機的工作狀態(tài)（開/關機）識別目標主機端口的狀態(tài)（監(jiān)聽/關閉）識別目標主機的操作系統類型識別目標系統可能存在的漏洞主機掃描端口掃描漏洞掃描操作系統識別內容提綱主機掃描2端口掃描3操作系統識別4網絡掃描概述1漏洞掃描5主機掃描向目標主機發(fā)送探測數據包，根據是否收到響應來判斷主機的工作狀態(tài)。ICMPICMPEchoICMPNon-EchoIP異常的IP數據報首部錯誤的分片（一）ICMP掃描ICMPInternet控制報文協議。ICMP的作用：提高IP報文交付成功的機會網關或者目標機器利用ICMP與源通信。當出現問題時，提供反饋信息用于報告錯誤。ICMP報文的結構IP首部ICMP報文0IP數據部分檢驗和代碼（這4個字節(jié)取決于ICMP報文的類型）81631IP數據報ICMP的數據部分（長度取決于類型）類型ICMP報文種類ICMP報文種類類型的值ICMP報文的類型差錯報告報文3終點不可達4源站抑制11時間超過12參數問題5改變路由詢問報文8或0回送請求或回答13或14時間戳請求或回答17或18地址掩碼請求或回答10或9路由器詢問或通告ICMPEcho掃描(1/5)ICMP回送請求ICMP回送響應黑客目標主機結論：目標主機在運行ICMPEcho掃描(2/5)ICMP回送請求未收到任何響應黑客目標主機結論：目標主機未開機ICMPEcho掃描(3/5)示例D:\>pingPingingwith32bytesofdata:Replyfrom:bytes=32time<1msTTL=128Replyfrom:bytes=32time<1msTTL=128Replyfrom:bytes=32time<1msTTL=128Replyfrom:bytes=32time<1msTTL=128Pingstatisticsfor:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=0ms,Average=0msICMPEcho掃描(4/5)示例D:\>ping0Pinging0with32bytesofdata:Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.Pingstatisticsfor0:Packets:Sent=4,Received=0,Lost=4(100%loss),ICMPEcho掃描(5/5)BroadcastICMP掃描將ICMP請求包的目標地址設為廣播地址或網絡地址，則可以探測廣播域或整個網絡范圍內的主機。缺點：只適合于UNIX/Linux系統，Windows會忽略這種請求包；這種掃描方式容易引起廣播風暴ICMPNon-Echo掃描利用其它類型的ICMP報文進行掃描ICMP報文種類類型的值ICMP報文的類型差錯報告報文3終點不可達4源站抑制11時間超過12參數問題5改變路由詢問報文8或0回送請求或回答13或14時間戳請求或回答17或18地址掩碼請求或回答10或9路由器詢問或通告ICMP掃描的問題很多企業(yè)防火墻對ICMP回送請求報文進行過濾，使其無法到達目標主機。主機上安裝的個人防火墻往往也對ICMP報文進行阻斷。解決辦法：使用IP數據報進行掃描。(二）基于IP異常分組的掃描04816192431版本標志生存時間協議標識服務類型總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）比特首部長度固定部分(20字節(jié))可變部分01234567DTRC未用優(yōu)先級數據部分首部比特數據部分首部傳送IP數據報異常的IP數據報首部：參數錯主機在收到首部異常（HeaderLengthField、IPOptionsField

、VersionNumber）的IP數據報時應當返回“參數問題”的ICMP報文。首部異常的IP數據報“參數問題”ICMP報文黑客目標主機結論：目標主機在運行未收到任何響應結論：目標主機未開機異常的IP數據報首部：目標不可達向目標主機發(fā)送的IP包中填充錯誤的字段值，目標主機或過濾設備會反饋ICMPDestinationUnreachable信息。IP數據報分片偏移=0/8=0偏移=0/8=0偏移=1400/8=175偏移=2800/8=350140028003799279913993799需分片的數據報數據報片1首部數據部分共3800字節(jié)首部1首部2首部3字節(jié)0數據報片2數據報片314002800字節(jié)0錯誤的IP數據報分片由于缺少分片而無法完成IP數據報重組（超時）時，主機應當回應“分片重組超時”的ICMP報文。分片1和分片3“分片重組超時”ICMP報文黑客目標主機結論：目標主機在運行未收到任何響應結論：目標主機未開機超長包探測內部路由器若構造的數據包長度超過目標系統所在路由器的PMTU且設置禁止分段標志,該路由器會反饋FragmentationNeededandDon’tFragmentBitwasSet差錯報文。（三）反向映射探測目標主機無法從外部直接到達，采用反向映射技術，通過目標系統的路由設備探測被過濾設備或防火墻保護的網絡和主機。想探測某個未知網絡內部的結構時，可以推測可能的內部IP地址（列表），并向這些地址發(fā)送數據包。目標網絡的路由器收到這些數據包時，會進行IP識別并轉發(fā)，對不在其服務范圍的IP包發(fā)送ICMPHostUnreachable或ICMPTimeExceeded錯誤報文。沒有收到錯誤報文的IP地址可認為在該網絡中。這種方法也會受過濾設備的影響。內容提綱主機掃描2端口掃描3操作系統識別4網絡掃描概述1漏洞掃描5端口掃描：概述什么是端口？為什么可以進行端口掃描？一個端口就是一個潛在的通信信道，也就是入侵通道！當確定了目標主機可達后，就可以使用端口掃描技術，發(fā)現目標主機的開放端口，包括網絡協議和各種應用監(jiān)聽的端口。向目標端口發(fā)送探測數據包，根據收到的響應來判斷端口的狀態(tài)。TCP掃描UDP掃描端口掃描：方法向目標端口發(fā)送探測數據包，根據收到的響應來判斷端口的狀態(tài)。TCP掃描FTP代理掃描UDP掃描一、TCP掃描TCP報文段的結構目的端口數據偏移檢驗和選項（長度可變）源端口序號緊急指針窗口確認號保留FINTCP首部20

字節(jié)的固定首部SYNRSTPSHACKURG填充TCP數據部分TCP首部TCP報文段IP數據部分IP首部發(fā)送在前TCP連接請求報文及響應TCP連接的建立過程SYN主機BSYN,ACKACK主機A目標端口（一）TCPConnect掃描(1/2)嘗試同目標端口建立正常的TCP連接(直接調用系統提供的connect(…)函數)。連接建立成功結論：目標端口開放連接建立失敗結論：目標端口關閉TCPConnect掃描的特點(2/2)優(yōu)點穩(wěn)定可靠，不需要特殊的權限。缺點掃描方式不隱蔽，服務器會記錄下客戶機的連接行為。如何隱藏掃描行為？（二）SYN掃描(1/3)SYN主機BSYN,ACKRST主機A結論：端口開放目標端口SYN掃描(2/3)SYN主機BRST主機A結論：端口關閉目標端口SYN掃描的特點(3/3)優(yōu)點很少有系統會記錄這樣的行為。缺點需要管理員權限才可以構造這樣的SYN數據包。（三）FIN掃描(1/3)FIN主機B主機A結論：端口開放未收到任何響應目標端口FIN掃描(2/3)FIN主機BRST主機A結論：端口關閉目標端口FIN掃描的特點(3/3)優(yōu)點不是TCP建立連接的過程，比較隱蔽。缺點與SYN掃描類似，也需要構造專門的數據包。只適用于Unix系統的目標主機，Windows系統總是發(fā)送RST報文段。(四)Xmas掃描和Null掃描Xmas掃描和Null掃描是FIN掃描的兩個變種。Xmas掃描打開FIN、URG、ACK、PSH、RST、SYN標記，既全部置1。Null掃描關閉所有標記，既全部置0。掃描過程同FIN掃描一樣。二、FTP代理掃描FTPproxy掃描(1/4)FTP代理選項允許客戶端控制一個FTP服務器向另一個服務器傳輸數據。利用這一特點可以實現端口掃描的功能。FTPproxy掃描(2/4)建立FTP會話使用PORT命令指定一個端口P黑客FTP服務器目標主機使用LIST命令啟動一個到P的數據傳輸傳輸成功結論：目標端口開放無法打開數據連接結論：目標端口關閉FTPproxy掃描的特點(3/4)優(yōu)點不但難以跟蹤，而且可以穿越防火墻。缺點一些FTP服務器禁止這種特性。示例(4/4)D:\ProgramFiles\Nmap>nmap-sSStartingNmap4.01(/nmap)at2006-04-2020:53中國標準時間Interestingportson:(The1666portsscannedbutnotshownbelowareinstate:closed)PORTSTATESERVICE21/tcpopenftp135/tcpopenmsrpc139/tcpopennetbios-ssn445/tcpopenmicrosoft-ds1025/tcpopenNFS-or-IIS5000/tcpopenUPnPMACAddress:52:54:AB:33:E7:71(Unknown)Nmapfinished:1IPaddress(1hostup)scannedin5.829seconds三、UDP掃描UDP掃描UDP沒有連接建立過程，該如何判斷一個UDP端口打開了呢？依據：掃描主機向目標主機的UDP端口發(fā)送UDP數據包，如果目標端口處于監(jiān)聽狀態(tài)，將不會做出任何響應；而如果目標端口處于關閉狀態(tài)，將會返回ICMP_PORT_UNREACH錯誤。UDP掃描從表面上看，目標端口工作狀態(tài)不同對掃描數據包將做出不同響應，區(qū)分度很好。但實際應用中必須考慮到UDP數據包和ICMP錯誤消息在通信中都可能丟失，不能保證到達，這將使得判斷出現偏差。四、掃描策略掃描策略掃描過程中一般要連續(xù)向目標發(fā)送大量的探測報文，有什么問題嗎？很容易被防火墻、入侵檢測系統發(fā)現。怎么辦？掃描策略隨機端口掃描（RandomPortScan）慢掃描（SlowScan）分片掃描（FragmentationScanning）將TCP連接控制報文分成多個短IP報文段傳送隱蔽性好，可穿越防火墻，躲避安全檢測缺點：可能被進行排隊過濾的防火墻丟棄；某些程序在處理這些小數據包時會出現異常。誘騙（Decoy）：偽造源地址，目標主機分不清分布式協調掃描（CoordinatedScans）端口掃描小結四、掃描工具網絡掃描工具Nmap(命令行)/Zenmap(圖形化)Zmap：/zmap/zmap/releaseMasscan/robertdavidgraham/masscan掃描工具三種掃描工具各有利弊：Zmap和Masscan采用了無狀態(tài)的掃描技術，掃描速度非常快。在信息收集的初級階段，可以使用Zmap或Masscan進行目標的情勢了解，掃描單一端口的情況考慮使用Zmap，而多端口的情況下Masscan則更為快速。在做完初步了解之后，則應該使用功能更加豐富的Nmap進行進一步的詳細掃描掃描軟件170內容提綱主機掃描2端口掃描3操作系統識別4網絡掃描概述1漏洞掃描5操作系統識別根據使用的信息可分為三類：通過獲取旗標信息，利用端口信息，通過TCP/IP協議棧指紋一、旗標信息旗標旗標（banner）：客戶端向服務器端提出連接請求時服務器端所返回的歡迎信息旗標旗標（banner）：客戶端向服務器端提出連接請求時服務器端所返回的歡迎信息二、端口信息端口信息端口掃描的結果在操作系統檢測階段也可以加以利用。不同操作系統通常會有一些默認開放的服務，這些服務使用特定的端口進行網絡監(jiān)聽。例如，WindowsXP、Windows2003等系統默認開放了TCP135端口、TCP139端口以及TCP445端口，而Linux系統通常不會使用這些端口。端口工作狀態(tài)的差異能夠為操作系統檢測提供一定的依據三、TCP/IP協議棧指紋根據OS在TCP/IP協議棧實現上的不同特點，通過其對各種探測的響應規(guī)律形成識別指紋，進而識別目標主機運行的操作系統TCP/IP協議棧指紋(一）主動掃描(1/4)采用向目標系統發(fā)送構造的特殊包并監(jiān)控其應答的方式來識別操作系統類型。主動掃描具有速度快、可靠性高等優(yōu)點，但同樣嚴重依賴于目標系統網絡拓撲結構和過濾規(guī)則。(一）主動掃描(2/4)FIN探測：發(fā)送一個FIN包給一個打開的端口，一般的行為是不響應，但某些實現例如MSWindows,BSDI,CISCO,HP/UX,MVS,和IRIX發(fā)回一個RESET。BOGUS標記探測：設置一個未定義的TCP"標記"（64或128）在SYN包的TCP頭里。Linux機器到2.0.35之前在回應中保持這個標記。TCPISN取樣：找出當響應一個連接請求時由TCP實現所選擇的初始化序列數式樣。這可分為許多組例如傳統的64K（許多老UNIX機器），隨機增量（新版本的Solaris，IRIX，FreeBSD，DigitalUNIX，Cray，等），真“隨機”（Linux2.0.*，OpenVMS,新的AIX,等），Windows機器（和一些其他的）用一個“時間相關”模型，每過一段時間ISN就被加上一個小的固定數。(一）主動掃描(3/4)不分段指示位：許多操作系統開始在送出的一些包中設置IP的"Don'tFragment"位。TCP初始化窗口值：檢查返回包的窗口大小。如queso和nmap保持對窗口的精確跟蹤因為它對于特定OS基本是常數。ACK值：不同實現中一些情況下ACK域的值是不同的。例如，如果你送了一個FIN|PSH|URG到一個關閉的TCP端口。大多數實現會設置ACK為你的初始序列數，而Windows會送給你序列數加1。ICMP錯誤信息終結：一些操作系統限制各種錯誤信息的發(fā)送率。例如，Linux內核限制目的不可達消息的生成每4秒鐘最多80個。測試的一種辦法是發(fā)一串包到一些隨機的高UDP端口并計數收到的不可達消息。(一）主動掃描(4/4)ICMP消息引用：ICMP錯誤消息中可以引用一部分引起錯誤的源消息。對一個端口不可達消息，幾乎所有實現只送回IP請求頭外加8個字節(jié)。然而，Solaris送回的稍多，而Linux更多。SYN洪泛限度：如果收到過多的偽造SYN數據包，一些操作系統會停止新的連接嘗試。許多操作系統只能處理8個包。TCP選項TCP