《信息安全原理與實(shí)踐教程》課件第11章

第11章端口掃描與網(wǎng)絡(luò)偵聽

11.1概述11.2SSS端口掃描實(shí)驗(yàn)11.3Sniffer網(wǎng)絡(luò)偵聽實(shí)驗(yàn)——捕獲并分析數(shù)據(jù)11.4小結(jié)11.1概述

11.1.1端口掃描所謂端口掃描，就是對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描，能得到許多有用的信息。進(jìn)行掃描的方法很多，可以用手工進(jìn)行掃描，也可以用端口掃描軟件進(jìn)行。在手工進(jìn)行掃描時(shí)，需要熟悉各種命令，對(duì)命令執(zhí)行后的輸出進(jìn)行分析；用掃描軟件進(jìn)行掃描時(shí)，許多掃描器軟件都有分析數(shù)據(jù)的功能。通過端口掃描，可以得到許多有用的信息，從而發(fā)現(xiàn)系統(tǒng)的安全漏洞。端口掃描程序?qū)τ谙到y(tǒng)管理人員，是一個(gè)非常簡(jiǎn)便實(shí)用的工具。端口掃描程序可以幫助系統(tǒng)管理員更好地管理系統(tǒng)與外界的交互。當(dāng)系統(tǒng)管理員掃描到Finger服務(wù)所在的端口號(hào)(79/tcp)時(shí)，假如原來端口是關(guān)閉的，現(xiàn)在又被掃描到，則說明有人非法取得了系統(tǒng)管理員的權(quán)限，改變了inetd.conf文件中的內(nèi)容。因?yàn)檫@個(gè)文件只有系統(tǒng)管理員可以修改，這說明系統(tǒng)的安全正在受到侵犯。

最簡(jiǎn)單的端口掃描程序僅僅是檢查一下目標(biāo)主機(jī)在哪些端口可以建立TCP連接。如果可以建立連接，則說明該主機(jī)在那個(gè)端口監(jiān)聽。當(dāng)然，這種端口掃描程序不能進(jìn)一步確定端口提供什么樣的服務(wù)，也不能確定該服務(wù)是否有眾所周知的那些缺陷。對(duì)于非法入侵者而言，要想知道端口上具體是什么服務(wù)，必須用相應(yīng)的協(xié)議來驗(yàn)證才能確定。因?yàn)橐粋€(gè)服務(wù)進(jìn)程總是為了完成某種具體的工作而設(shè)定的，比如說，文件傳輸服務(wù)有文件傳輸?shù)囊惶讌f(xié)議，客戶端只有按照這個(gè)協(xié)議提供正確的命令序列，才能完成正確的文件傳輸服務(wù)。使用端口掃描器對(duì)目標(biāo)系統(tǒng)執(zhí)行端口掃描時(shí)至少能達(dá)到以下目的：標(biāo)識(shí)運(yùn)行在目標(biāo)系統(tǒng)上的TCP和UDP服務(wù)；標(biāo)識(shí)目標(biāo)系統(tǒng)的操作系統(tǒng)類型；標(biāo)識(shí)特定應(yīng)用程序或特定服務(wù)的版本。常見的掃描方法有TCPConnect()、TCPSYN、TCPFIN、TCPACK及UDP掃描等。11.1.2網(wǎng)絡(luò)偵聽所謂網(wǎng)絡(luò)偵聽，是指利用先進(jìn)的技術(shù)和手段，發(fā)現(xiàn)和捕獲網(wǎng)絡(luò)設(shè)備上傳輸?shù)膱?bào)文等信息，它是主機(jī)的一種工作模式。在這種模式下，主機(jī)可以接收本網(wǎng)段內(nèi)在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接收方是誰。此時(shí)，如果兩臺(tái)主機(jī)進(jìn)行通信的信息沒有被加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具，就可以輕而易舉地截取包括口令和帳號(hào)在內(nèi)的信息資料。目前應(yīng)用非常廣泛的一類偵聽軟件是通用網(wǎng)絡(luò)公司開發(fā)的Sniffer程序。由于通用網(wǎng)絡(luò)公司在市場(chǎng)上的主導(dǎo)地位，Sniffer這個(gè)詞越來越流行，逐漸成為這一類產(chǎn)品的代名詞，以后的所有協(xié)議分析程序都被稱為Sniffer。

Sniffer只能捕獲本機(jī)網(wǎng)絡(luò)接口上所能接收到的報(bào)文。因此，要使嗅探器能捕獲該網(wǎng)段上所有的包，其工作前提是：●網(wǎng)絡(luò)中使用的是共享式的HUB；●本機(jī)的網(wǎng)卡需要設(shè)為混雜模式；●本機(jī)上安裝有處理接收來的數(shù)據(jù)的嗅探軟件?？梢姡琒niffer工作在網(wǎng)絡(luò)環(huán)境的底層，它會(huì)捕獲所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件處理，可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，通過對(duì)這些數(shù)據(jù)的分析獲得所處網(wǎng)絡(luò)的狀態(tài)和整體布局。

Sniffer的正當(dāng)用處是分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。Sniffer對(duì)系統(tǒng)管理員來說非常重要，網(wǎng)絡(luò)管理員通過Sniffer可以診斷出大量的不可見的模糊問題，這些問題涉及兩臺(tái)乃至更多臺(tái)計(jì)算機(jī)之間的異常通信，有些甚至涉及各種協(xié)議，借助于Sniffer系統(tǒng)，管理員可以方便地確定出多少的通信量屬于哪個(gè)網(wǎng)絡(luò)協(xié)議、占主要通信協(xié)議的主機(jī)是哪一臺(tái)、大多數(shù)通信目的地是哪臺(tái)主機(jī)、報(bào)文發(fā)送占用多長(zhǎng)時(shí)間，或者主機(jī)相互間的報(bào)文傳送間隔時(shí)間等，這些信息為管理員查找網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。

由于Sniffer可捕捉網(wǎng)絡(luò)報(bào)文，甚至可以捕捉到網(wǎng)絡(luò)中傳輸?shù)目诹?、機(jī)密信息、專用信息并通過它獲得更高基本權(quán)限等，因此如果被非法利用，則會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生極大的安全威脅。11.2SSS端口掃描實(shí)驗(yàn)

1.實(shí)驗(yàn)?zāi)康谋緦?shí)驗(yàn)通過使用SSS(ShadowSecurityScanner)軟件進(jìn)行綜合掃描，學(xué)習(xí)如何發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)的安全漏洞，并對(duì)掃描結(jié)果進(jìn)行簡(jiǎn)單的分析。

2.實(shí)驗(yàn)環(huán)境多臺(tái)計(jì)算機(jī)構(gòu)成的局域網(wǎng)環(huán)境、Windows操作系統(tǒng)、ShadowSecurityScanner網(wǎng)絡(luò)掃描軟件、Sniffer網(wǎng)絡(luò)監(jiān)聽軟件。

3.SSS掃描目標(biāo)主機(jī)實(shí)驗(yàn)

SSS掃描目標(biāo)主機(jī)實(shí)驗(yàn)的步驟如下：第1步：第一次啟動(dòng)SSS掃描時(shí)，系統(tǒng)會(huì)檢查所使用的SSS是不是最新版本，主界面如圖11.1所示。這時(shí)系統(tǒng)會(huì)出現(xiàn)5個(gè)掃描項(xiàng)目可供選擇，如表11.1所示。一般選用Scanner進(jìn)行主機(jī)掃描。單擊【Scanner】按鈕，進(jìn)入下一步。圖11.1SSS系統(tǒng)的主界面表11.1掃描項(xiàng)目列表第2步：在新任務(wù)向?qū)Ы缑嬷校?種掃描方式可供選擇，如表11.2所示，也可以單擊【Addrule】按鈕添加自己的掃描規(guī)則或者單擊【Editrule】按鈕來編輯已經(jīng)有的規(guī)則。如圖11.2所示，選擇“CompleteScan”選項(xiàng)，再單擊【Next】按鈕，進(jìn)入下一步。表11.26種掃描方式圖11.2選擇掃描方式第3步：在彈出的對(duì)話框中添加要掃描的主機(jī)，選擇【AddHost】選項(xiàng)，再單擊【Next】按鈕進(jìn)入下一步，如圖11.3所示。圖11.3添加掃描主機(jī)第4步：輸入待掃描主機(jī)的IP地址為192.168.0.158，單擊【OK】按鈕，如圖11.4所示。圖11.4輸入要掃描主機(jī)的IP地址第5步：回到主界面后可以看到已成功添加了目標(biāo)主機(jī)的IP地址，如圖11.5所示。圖11.5已成功添加IP地址第6步：右鍵單擊IP地址，選擇“Startscan”選項(xiàng)，則開始掃描目標(biāo)主機(jī)，如圖11.6所示。圖11.6開始掃描第7步：掃描結(jié)果如圖11.7所示，可以根據(jù)不同顏色提示來查看不同安全級(jí)別的掃描結(jié)果。圖11.7查看掃描結(jié)果第8步：選中“WebServers”提示，則可以查看該項(xiàng)的詳細(xì)掃描結(jié)果，如圖11.8所示。圖11.8查看詳細(xì)結(jié)果

4.查看主機(jī)參數(shù)風(fēng)險(xiǎn)級(jí)別實(shí)驗(yàn)查看主機(jī)參數(shù)風(fēng)險(xiǎn)級(jí)別的實(shí)驗(yàn)步驟如下：第1步：在主界面中右鍵點(diǎn)擊空白處，選擇“Addhost”選項(xiàng)，如圖11.9所示。圖11.9添加主機(jī)第2步：在彈出的“Addhost”對(duì)話框中輸入要掃描的主機(jī)的IP地址為“192.168.0.137”，點(diǎn)擊【OK】按鈕，如圖11.10所示。

圖11.10輸入遠(yuǎn)程主機(jī)IP第3步：添加成功后，右鍵單擊IP地址，選擇“Startscan”選項(xiàng)，如圖11.11所示，則掃描開始。圖11.11掃描目標(biāo)主機(jī)第4步：掃描完成以后，可以看到高風(fēng)險(xiǎn)級(jí)別，帳戶guest23的密碼竟然為空，如圖11.12所示。并且還發(fā)現(xiàn)guest23的用戶權(quán)限竟然是Administrator，如圖11.13所示。在這種情況下，入侵者可以使用guest23帳戶遠(yuǎn)程空連接的方法對(duì)這臺(tái)主機(jī)進(jìn)行入侵。圖11.12查看漏洞圖11.13查看用戶權(quán)限11.3Sniffer網(wǎng)絡(luò)偵聽實(shí)驗(yàn)——捕獲并分析數(shù)據(jù)

11.3.1實(shí)驗(yàn)?zāi)康睦镁W(wǎng)絡(luò)監(jiān)聽軟件Sniffer，捕獲接口上傳輸?shù)臄?shù)據(jù)報(bào)文，通過分析報(bào)文，完成相應(yīng)的操作。

11.3.2Sniffer簡(jiǎn)介

SnifferPro是由NAI公司開發(fā)的一個(gè)功能強(qiáng)大的圖形界面嗅探器。它是目前唯一能夠?yàn)槿科邔覱SI網(wǎng)絡(luò)模型提供全面性能管理的工具。它的功能包括：●實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)活動(dòng)；●采集單個(gè)工作站、對(duì)話或者對(duì)網(wǎng)絡(luò)任何部分詳細(xì)的利用率和錯(cuò)誤統(tǒng)計(jì)數(shù)據(jù)；●保存歷史利用率和錯(cuò)誤信息，以進(jìn)行原始分析；●生成實(shí)時(shí)的聲光警報(bào)；●檢測(cè)到故障時(shí)通知網(wǎng)絡(luò)管理員；●捕獲網(wǎng)絡(luò)通信量，以進(jìn)行詳細(xì)的數(shù)據(jù)包分析；●接收專家系統(tǒng)對(duì)網(wǎng)絡(luò)通信量的分析；●用有效的工具探索網(wǎng)絡(luò)，以模擬通信量測(cè)量響應(yīng)時(shí)間、統(tǒng)計(jì)躍點(diǎn)數(shù)和排除故障。

在進(jìn)行流量捕獲之前，首先要選擇網(wǎng)絡(luò)適配器，確定從計(jì)算機(jī)的哪個(gè)網(wǎng)絡(luò)適配器上接收數(shù)據(jù)。運(yùn)行SnifferPro，執(zhí)行“File”→“selectsettings”菜單命令，在打開的對(duì)話框中選擇需要監(jiān)視的網(wǎng)絡(luò)適配器，如圖11.14所示。圖11.14“設(shè)置”對(duì)話框11.3.3Sniffer捕獲報(bào)文實(shí)驗(yàn)

1)捕獲面板報(bào)文捕獲功能可以在報(bào)文捕獲面板中進(jìn)行，圖11.15是捕獲面板的功能圖，圖中顯示的是處于開始狀態(tài)的面板。

圖11.15報(bào)文捕獲面板

2)統(tǒng)計(jì)捕獲報(bào)文在捕獲過程中可以通過圖11.16所示的面板查看捕獲報(bào)文的數(shù)量和緩沖區(qū)的利用率。

圖11.16捕獲報(bào)文信息統(tǒng)計(jì)

3)查看捕獲報(bào)文

SnifferPro軟件提供了強(qiáng)大的分析能力和解碼功能，如圖11.17所示。它對(duì)于捕獲的報(bào)文提供了一個(gè)Expert專家分析系統(tǒng)進(jìn)行分析，還有解碼選項(xiàng)、圖形和表格的統(tǒng)計(jì)信息。

圖11.17捕獲報(bào)文查看按鍵

(1)專家分析系統(tǒng)。專家分析系統(tǒng)提供了一個(gè)分析平臺(tái)，對(duì)網(wǎng)絡(luò)上的流量進(jìn)行了一些分析，對(duì)于分析出的診斷結(jié)果可以通過查看在線幫助獲得。圖11.18顯示出在網(wǎng)絡(luò)中WINS查詢失敗的次數(shù)及TCP重傳的次數(shù)統(tǒng)計(jì)等內(nèi)容，可以方便了解網(wǎng)絡(luò)中高層協(xié)議出現(xiàn)故障的可能點(diǎn)。對(duì)于某項(xiàng)統(tǒng)計(jì)分析可以通過鼠標(biāo)雙擊此條記錄來查看詳細(xì)統(tǒng)計(jì)信息，并且對(duì)于每一項(xiàng)都可以通過查看幫助來了解產(chǎn)生的原因。圖11.18專家分析系統(tǒng)

(2)解碼分析系統(tǒng)。圖11.19所示是對(duì)捕獲報(bào)文進(jìn)行解碼的顯示，通常分為三部分，即捕獲的報(bào)文、報(bào)文解碼和二進(jìn)制內(nèi)容。目前大部分此類軟件都采用這種結(jié)構(gòu)顯示。該軟件使用簡(jiǎn)單，但如果需要使用解碼分析功能來解決問題，必須對(duì)各層協(xié)議了解得比較透徹，工具軟件只是提供一個(gè)輔助的手段。因涉及的內(nèi)容太多，這里不對(duì)協(xié)議進(jìn)行過多講解。圖11.19解碼分析系統(tǒng)對(duì)于MAC地址，Snffier軟件進(jìn)行了頭部的替換，如以00e0fc開頭的就替換成“Huawei”，這樣有利于了解網(wǎng)絡(luò)上各種相關(guān)設(shè)備的制造廠商信息。

(3)統(tǒng)計(jì)分析系統(tǒng)。統(tǒng)計(jì)分析系統(tǒng)對(duì)Matrix、HostTable、ProtocolDist、Statistics等提供了豐富的按照地址、協(xié)議等內(nèi)容進(jìn)行組合統(tǒng)計(jì)的方法。該系統(tǒng)比較簡(jiǎn)單，可以通過操作很快掌握，這里就不再詳細(xì)介紹了。11.3.4Sniffer捕獲條件配置實(shí)驗(yàn)執(zhí)行“Capture”→“DefineFilter”和“Display”→“DefineFilter”可以設(shè)置和顯示捕獲規(guī)則。

1)基本捕獲條件基本捕獲條件有兩種，如圖11.20所示。

圖11.20基本捕獲條件

(1)鏈路層捕獲。鏈路層捕獲按源MAC和目的MAC地址進(jìn)行捕獲，輸入方式為十六進(jìn)制連續(xù)輸入，如00E0FC123456。

(2)?IP層捕獲。IP層捕獲按源IP和目的IP進(jìn)行捕獲。輸入方式為點(diǎn)間隔方式，如10.107.1.1。如果選擇IP層捕獲條件，則ARP等報(bào)文將被過濾掉。

2)高級(jí)捕獲條件在“Advance”頁面下，可以編輯協(xié)議捕獲條件，如圖11.21所示。圖11.21高級(jí)捕獲條件編輯圖在協(xié)議選擇樹中可以選擇需要捕獲的協(xié)議條件，如果什么都不選，則表示忽略該條件，捕獲所有協(xié)議；在捕獲幀長(zhǎng)度條件下，可以選擇捕獲等于、小于、大于某個(gè)值的報(bào)文；在錯(cuò)誤幀是否捕獲欄，可以選擇當(dāng)網(wǎng)絡(luò)上有如下錯(cuò)誤時(shí)是否捕獲；選擇保存過濾規(guī)則條件按鈕【Profiles】，可以將當(dāng)前設(shè)置的過濾規(guī)則進(jìn)行保存，在捕獲主面板中，可以選擇保存的捕獲條件。

3)任意捕獲條件在“DataPattern”下，可以編輯任意捕獲條件，如圖11.22所示。圖11.22任意捕獲條件編輯圖11.3.5Sniffer發(fā)送報(bào)文實(shí)驗(yàn)

1)編輯報(bào)文發(fā)送

Sniffer可以對(duì)發(fā)送的報(bào)文進(jìn)