遠程主機探測技術FAQ集 - 掃描篇

1：掃描工具究竟是什么？信息收集是***及安全狀況分析的基礎,傳統地手工收集信息耗時費力,于是掃描工具出現了,它能依照程序設定自動探測及發掘規則內的漏洞,是探測系統缺陷的安全工具。掃描器主要分主機掃描器及網絡掃描器兩大類型：系統掃描器用于掃描本地主機,查找安全漏洞,查殺病毒,***,蠕蟲等危害系統安全的惡意程序,此類非本文重點,因此不再詳細分析網絡掃描器通過網絡來測試主機安全性,它檢測主機當前可用的服務及其開放端口,查找可能被遠程試圖惡意訪問者***的大量眾所周知的漏洞,隱患及安全脆弱點。甚至許多掃描器封裝了簡單的密碼探測,可自設定規則的密碼生成器、后門自動安裝裝置以及其他一些常用的小東西,這樣的工具就可以稱為網絡掃描工具包,也就是完整的網絡主機安全評價工具[比如鼻祖SATAN和國內最負盛名的流光]另外還有一種相對少見的數據庫掃描器,比如ISS公司的 Database Scanner,工作機制類似于網絡掃描器 ,主要用于檢測數據庫系統的安全漏洞及各種隱患。2：掃描器究竟能干什么？[1] 端口及服務檢測 檢測 目標主機上開放端口及運行的服務,并提示安全隱患的可能存在與否[2] 后門程序檢測 檢測 PCANYWAY VNC BO2K 冰河等等遠程控制程序是否有存在于目標主機[3] 密碼探測 檢測 操作系統用戶密碼,FTP、POP3、Telnet等等登陸或管理密碼的脆弱性[4] 應用程序安全性探測 檢測 CGI漏洞,WEB服務器[IIS,APACHE等],FTP服務器等的安全漏洞[5] D.o.S探測 檢測 各種拒絕服務漏洞是否存在[6] 系統探測 檢測 系統信息比如NT 注冊表,用戶和組,網絡情況等[7] 輸出報告 將檢測結果整理出清單報告給用戶,許多掃描器也會同時提出安全漏洞解決方案[8] 用戶自定義接口 一些掃描器允許用戶自己添加掃描規則,并為用戶提供一個便利的接口,比如俄羅斯SSS的Base SDK3：什么人經常使用/需要使用這種工具？以提供安全檢測服務的安全公司的技術員在得到客戶授權后,需要使用掃描工具來對客戶的主機進行漏洞發掘,查點工作,在對主機徹頭徹尾檢查過之后,才能完成他的工作--提交給客戶關于主機完整詳細的安全解決方案網絡上常流竄著許多精力過剩的腳本小子[Script kiddie],他們的主要工作[當然,也是他們的娛樂]就是在網絡上四處搜尋一些公開的exploit信息,然后通過搜索引擎等WEB工具,匹配特殊的字符串來搜索存在這些漏洞的主機,以進行他們的游戲,在這個過程中掃描工具絕對是他們的一大幫兇,沒有掃描工具的協助,他們很可能不能如此迅速[對一些腳本小子來說,沒有了掃描工具意味著無法進行***行動]地進入你的主機！可見,存在于網絡上的掃描工具亦正亦邪,關鍵在于使用它們的人的動機。4：在進一步了解掃描技術之前我該知道什么？當然,必須有必要的網絡基礎知識,我假設看到這篇文章的讀者均已經了解了TCP/IP協議最基礎的一些東西,比如協議層和其性質等等下面讓我們來復習一下TCP數據包包頭的結構,之后的原理介紹將牽涉到其中的內容,而且這些東西估計許多人都記不住：)TCP數據包包頭有6個位,FIN、SYN、PSH、RST、ACK和URGACK 置1,表示確認號有效；清0,表示數據包中不包含確認,確認號域將被忽略PSH 表示數據包的接受者將收到的數據直接交給應用程序,而不是把它放在緩沖區,等緩沖區滿才交給應用程序。這常用于實時通信。RST 用來重置一個連接。用于一臺主機崩潰或者其他原因引起的通信混亂。它也被用來拒絕接受一個無效的TCP數據包,或者用來拒絕一個建立連接的企圖。當得到一個置RST位的TCP數據包時,通常說明本地機器有點問題。SYN 用來建立一個連接。在請求連接的數據包中,SYN=1、ACK=0 指明確認域沒有使用,對連接請求需要應答,所以,在應答的TCP數據包中SYN=1、ACK=1。SYN通常被用來指明請求連接和請求被接受。而用ACK來區分這兩種情況。FIN 用來釋放一個連接。它指出發送者已無數據要發送。不過關閉一個連接后,進程還可以繼續接收數據。SYN和FIN的TCP數據包都有序列號。因此這樣可保證數據按正確的順序被接收并處理。5：掃描工具的掃描原理和它們的隱蔽性如何？TCP connect : 這種類型就是最傳統的掃描技術,程序調用connect()套接口函數連接到目標端口,形成一次完整的TCP三次握手過程,顯然能連接得上的目標端口就是開放的。在UNIX下使用這種掃描方式不需要任何權限。還有一個特點,它的掃描速度非常快,可以同時使用多個socket來加快掃描速度,使用一個非阻塞的I/O調用即可以監視多個 socket. 不過由于它不存在隱蔽性,所以不可避免的要被目標主機記錄下連接信息和錯誤信息或者被防護系統拒絕TCP SYN : 這種類型也稱為半開放式掃描[half-open scanning] 原理是往目標端口發送一個SYN包,若得到來自目標端口返回的SYN/ACK響應包,則目標端口開放,若得到RST則未開放。在UNIX下執行這種掃描必須擁有ROOT權限。由于它并未建立完整的TCP三次握手過程,很少會有操作系統記錄到,因此比起 TCP connect 掃描隱蔽得多,但是若你認為這種掃描方式足夠隱秘,那可就錯了,有些防火墻將監視TCP SYN掃描,還有一些工具比如synlogger和courtney也能夠檢測到它。為什么？因為這種秘密掃描方法違反了通例,在網絡流量中相當醒目,正是它的刻意追求隱蔽特性留下了狐貍尾巴！TCP FIN : 原理:根據RFC 793文檔 程序向一個端口發送FIN,若端口開放則此包將被忽略,否則將返回RST,這個是某些操作系統TCP實現存在的BUG,并不是所有的操作系統都存在這個BUG,所以它的準確率不高,而且此方法往往只能在UNIX上成功地工作,因此這個方法不算特別流行。不過它的好處在于足夠隱蔽,如果你判斷在使用TCP SYN 掃描時可能暴露自身的話可以一試這種方法。TCP reverse ident 掃描：1996年 Dave Goldsmith 指出 ,根據RFC1413文檔,ident協議允許通過TCP連接得到進程所有者的用戶名,即使該進程不是連接發起方。此方法可用于得到FTP所有者信息,以及其他需要的信息等等。TCP Xmas Tree 掃描 ：根據RFC 793文檔,程序往目標端口發送一個FIN 、URG和PUSH包,若其關閉,應該返回一個RST包TCP NULL 掃描 ：根據RFC 793文檔,程序發送一個沒有任何標志位的TCP包,關著的端口將返回一個RST數據包。TCP ACK 掃描 ： 這種掃描技術往往用來探測防火墻的類型,根據ACK位的設置情況可以確定該防火墻是簡單的包過濾還是狀態檢測機制的防火墻TCP 窗口掃描 ： 由于TCP窗口大小報告方式不規則,這種掃描方法可以檢測一些類UNIX系統[AIX , FreeBSD等] 打開的以及是否過濾的端口。TCP RPC 掃描 ： 這個方式是UNIX系統特有的,可以用于檢測和定位遠程過程調用[RPC]端口及其相關程序與版本標號。UDP ICMP端口不可達掃描：此方法是利用UDP本身是無連接的協議,所以一個打開的UDP端口并不會給我們返回任何響應包,不過如果端口關閉,某些系統將返回ICMP_PORT_UNREACH信息。但是由于UDP是不可靠的非面向連接協議,所以這種掃描方法也容易出錯,而且還比較慢。UDP recvfrom() 和 write() 掃描： 由于UNIX下非ROOT用戶是不可以讀到端口不可達信息,所以NMAP提供了這個僅在LINUX下才有效的方式。在LINUX下,若一個UDP端口關閉,則第二次write()操作會失敗。并且,當我們調用recvfrom()的時候,若未收到ICMP錯誤信息,一個非阻塞的UDP 套接字一般返回EAGAIN("Try Again",error=13),如果收到ICMP的錯誤信息,套接字返回ECONNREFUSED("Connectionrefused",error=111)。通過這種方式,NMAP將得知目標端口是否打開 [BTW: Fyodor 先生真是偉大！]分片掃描： 這是其他掃描方式的變形體,可以在發送一個掃描數據包時,將數據包分成許多的IP分片,通過將TCP包頭分為幾段,放入不同的IP包中,將使得一些包過濾程序難以對其過濾 ,因此這個辦法能繞過一些包過濾程序。不過某些程序是不能正確處理這些被人為分割的IP分片,從而導致系統崩潰,這一嚴重后果將暴露掃描者的行為！FTP跳轉掃描 ： 根據RFC 959文檔,FTP協議支持代理 [PROXY], 形象的比喻：我們可以連上提供FTP服務的機器A,然后讓A向我們的目標主機B發送數據,當然,一般的FTP主機不支持這個功能。我們若需要掃描B的端口,可以使用PORT命令,聲明B的某個端口是開放的,若此端口確實開放,FTP 服務器A將返回150和226信息,否則返回錯誤信息 :"425 Can't build data connection: Connection refused".這種方式的隱蔽性很不錯,在某些條件下也可以突破防火墻進行信息采集,缺點是速度比較慢。ICMP 掃射 不算是端口掃描,因為ICMP中無抽象的端口概念,這個主要是利用PING指令快速確認一個網段中有多少活躍著的主機。6. 哪些掃描工具比較優秀？nMAP ：世界上最受***歡迎的掃描器,能實現秘密掃描、動態延遲、重發與平行掃描、欺騙掃描、端口過濾探測、RPC直接掃描、分布掃描等,靈活性非常好,功能強大 。 官方主頁http://www.insecure.org/nmap/SATAN 掃描器的鼻祖,它采用Perl寫的內核,通過PERL調用大量的C語言的檢測工具對目標網站進行分析,因此可以嵌入瀏覽器