遠(yuǎn)程主機(jī)探測(cè)技術(shù)FAQ集 - 掃描篇

1：掃描工具究竟是什么？信息收集是***及安全狀況分析的基礎(chǔ),傳統(tǒng)地手工收集信息耗時(shí)費(fèi)力,于是掃描工具出現(xiàn)了,它能依照程序設(shè)定自動(dòng)探測(cè)及發(fā)掘規(guī)則內(nèi)的漏洞,是探測(cè)系統(tǒng)缺陷的安全工具。掃描器主要分主機(jī)掃描器及網(wǎng)絡(luò)掃描器兩大類(lèi)型：系統(tǒng)掃描器用于掃描本地主機(jī),查找安全漏洞,查殺病毒,***,蠕蟲(chóng)等危害系統(tǒng)安全的惡意程序,此類(lèi)非本文重點(diǎn),因此不再詳細(xì)分析網(wǎng)絡(luò)掃描器通過(guò)網(wǎng)絡(luò)來(lái)測(cè)試主機(jī)安全性,它檢測(cè)主機(jī)當(dāng)前可用的服務(wù)及其開(kāi)放端口,查找可能被遠(yuǎn)程試圖惡意訪問(wèn)者***的大量眾所周知的漏洞,隱患及安全脆弱點(diǎn)。甚至許多掃描器封裝了簡(jiǎn)單的密碼探測(cè),可自設(shè)定規(guī)則的密碼生成器、后門(mén)自動(dòng)安裝裝置以及其他一些常用的小東西,這樣的工具就可以稱為網(wǎng)絡(luò)掃描工具包,也就是完整的網(wǎng)絡(luò)主機(jī)安全評(píng)價(jià)工具[比如鼻祖SATAN和國(guó)內(nèi)最負(fù)盛名的流光]另外還有一種相對(duì)少見(jiàn)的數(shù)據(jù)庫(kù)掃描器,比如ISS公司的 Database Scanner,工作機(jī)制類(lèi)似于網(wǎng)絡(luò)掃描器 ,主要用于檢測(cè)數(shù)據(jù)庫(kù)系統(tǒng)的安全漏洞及各種隱患。2：掃描器究竟能干什么？[1] 端口及服務(wù)檢測(cè) 檢測(cè) 目標(biāo)主機(jī)上開(kāi)放端口及運(yùn)行的服務(wù),并提示安全隱患的可能存在與否[2] 后門(mén)程序檢測(cè) 檢測(cè) PCANYWAY VNC BO2K 冰河等等遠(yuǎn)程控制程序是否有存在于目標(biāo)主機(jī)[3] 密碼探測(cè) 檢測(cè) 操作系統(tǒng)用戶密碼,FTP、POP3、Telnet等等登陸或管理密碼的脆弱性[4] 應(yīng)用程序安全性探測(cè) 檢測(cè) CGI漏洞,WEB服務(wù)器[IIS,APACHE等],FTP服務(wù)器等的安全漏洞[5] D.o.S探測(cè) 檢測(cè) 各種拒絕服務(wù)漏洞是否存在[6] 系統(tǒng)探測(cè) 檢測(cè) 系統(tǒng)信息比如NT 注冊(cè)表,用戶和組,網(wǎng)絡(luò)情況等[7] 輸出報(bào)告 將檢測(cè)結(jié)果整理出清單報(bào)告給用戶,許多掃描器也會(huì)同時(shí)提出安全漏洞解決方案[8] 用戶自定義接口 一些掃描器允許用戶自己添加掃描規(guī)則,并為用戶提供一個(gè)便利的接口,比如俄羅斯SSS的Base SDK3：什么人經(jīng)常使用/需要使用這種工具？以提供安全檢測(cè)服務(wù)的安全公司的技術(shù)員在得到客戶授權(quán)后,需要使用掃描工具來(lái)對(duì)客戶的主機(jī)進(jìn)行漏洞發(fā)掘,查點(diǎn)工作,在對(duì)主機(jī)徹頭徹尾檢查過(guò)之后,才能完成他的工作--提交給客戶關(guān)于主機(jī)完整詳細(xì)的安全解決方案網(wǎng)絡(luò)上常流竄著許多精力過(guò)剩的腳本小子[Script kiddie],他們的主要工作[當(dāng)然,也是他們的娛樂(lè)]就是在網(wǎng)絡(luò)上四處搜尋一些公開(kāi)的exploit信息,然后通過(guò)搜索引擎等WEB工具,匹配特殊的字符串來(lái)搜索存在這些漏洞的主機(jī),以進(jìn)行他們的游戲,在這個(gè)過(guò)程中掃描工具絕對(duì)是他們的一大幫兇,沒(méi)有掃描工具的協(xié)助,他們很可能不能如此迅速[對(duì)一些腳本小子來(lái)說(shuō),沒(méi)有了掃描工具意味著無(wú)法進(jìn)行***行動(dòng)]地進(jìn)入你的主機(jī)！可見(jiàn),存在于網(wǎng)絡(luò)上的掃描工具亦正亦邪,關(guān)鍵在于使用它們的人的動(dòng)機(jī)。4：在進(jìn)一步了解掃描技術(shù)之前我該知道什么？當(dāng)然,必須有必要的網(wǎng)絡(luò)基礎(chǔ)知識(shí),我假設(shè)看到這篇文章的讀者均已經(jīng)了解了TCP/IP協(xié)議最基礎(chǔ)的一些東西,比如協(xié)議層和其性質(zhì)等等下面讓我們來(lái)復(fù)習(xí)一下TCP數(shù)據(jù)包包頭的結(jié)構(gòu),之后的原理介紹將牽涉到其中的內(nèi)容,而且這些東西估計(jì)許多人都記不住：)TCP數(shù)據(jù)包包頭有6個(gè)位,FIN、SYN、PSH、RST、ACK和URGACK 置1,表示確認(rèn)號(hào)有效；清0,表示數(shù)據(jù)包中不包含確認(rèn),確認(rèn)號(hào)域?qū)⒈缓雎訮SH 表示數(shù)據(jù)包的接受者將收到的數(shù)據(jù)直接交給應(yīng)用程序,而不是把它放在緩沖區(qū),等緩沖區(qū)滿才交給應(yīng)用程序。這常用于實(shí)時(shí)通信。RST 用來(lái)重置一個(gè)連接。用于一臺(tái)主機(jī)崩潰或者其他原因引起的通信混亂。它也被用來(lái)拒絕接受一個(gè)無(wú)效的TCP數(shù)據(jù)包,或者用來(lái)拒絕一個(gè)建立連接的企圖。當(dāng)?shù)玫揭粋€(gè)置RST位的TCP數(shù)據(jù)包時(shí),通常說(shuō)明本地機(jī)器有點(diǎn)問(wèn)題。SYN 用來(lái)建立一個(gè)連接。在請(qǐng)求連接的數(shù)據(jù)包中,SYN=1、ACK=0 指明確認(rèn)域沒(méi)有使用,對(duì)連接請(qǐng)求需要應(yīng)答,所以,在應(yīng)答的TCP數(shù)據(jù)包中SYN=1、ACK=1。SYN通常被用來(lái)指明請(qǐng)求連接和請(qǐng)求被接受。而用ACK來(lái)區(qū)分這兩種情況。FIN 用來(lái)釋放一個(gè)連接。它指出發(fā)送者已無(wú)數(shù)據(jù)要發(fā)送。不過(guò)關(guān)閉一個(gè)連接后,進(jìn)程還可以繼續(xù)接收數(shù)據(jù)。SYN和FIN的TCP數(shù)據(jù)包都有序列號(hào)。因此這樣可保證數(shù)據(jù)按正確的順序被接收并處理。5：掃描工具的掃描原理和它們的隱蔽性如何？TCP connect : 這種類(lèi)型就是最傳統(tǒng)的掃描技術(shù),程序調(diào)用connect()套接口函數(shù)連接到目標(biāo)端口,形成一次完整的TCP三次握手過(guò)程,顯然能連接得上的目標(biāo)端口就是開(kāi)放的。在UNIX下使用這種掃描方式不需要任何權(quán)限。還有一個(gè)特點(diǎn),它的掃描速度非?？?可以同時(shí)使用多個(gè)socket來(lái)加快掃描速度,使用一個(gè)非阻塞的I/O調(diào)用即可以監(jiān)視多個(gè) socket. 不過(guò)由于它不存在隱蔽性,所以不可避免的要被目標(biāo)主機(jī)記錄下連接信息和錯(cuò)誤信息或者被防護(hù)系統(tǒng)拒絕TCP SYN : 這種類(lèi)型也稱為半開(kāi)放式掃描[half-open scanning] 原理是往目標(biāo)端口發(fā)送一個(gè)SYN包,若得到來(lái)自目標(biāo)端口返回的SYN/ACK響應(yīng)包,則目標(biāo)端口開(kāi)放,若得到RST則未開(kāi)放。在UNIX下執(zhí)行這種掃描必須擁有ROOT權(quán)限。由于它并未建立完整的TCP三次握手過(guò)程,很少會(huì)有操作系統(tǒng)記錄到,因此比起 TCP connect 掃描隱蔽得多,但是若你認(rèn)為這種掃描方式足夠隱秘,那可就錯(cuò)了,有些防火墻將監(jiān)視TCP SYN掃描,還有一些工具比如synlogger和courtney也能夠檢測(cè)到它。為什么？因?yàn)檫@種秘密掃描方法違反了通例,在網(wǎng)絡(luò)流量中相當(dāng)醒目,正是它的刻意追求隱蔽特性留下了狐貍尾巴！TCP FIN : 原理:根據(jù)RFC 793文檔 程序向一個(gè)端口發(fā)送FIN,若端口開(kāi)放則此包將被忽略,否則將返回RST,這個(gè)是某些操作系統(tǒng)TCP實(shí)現(xiàn)存在的BUG,并不是所有的操作系統(tǒng)都存在這個(gè)BUG,所以它的準(zhǔn)確率不高,而且此方法往往只能在UNIX上成功地工作,因此這個(gè)方法不算特別流行。不過(guò)它的好處在于足夠隱蔽,如果你判斷在使用TCP SYN 掃描時(shí)可能暴露自身的話可以一試這種方法。TCP reverse ident 掃描：1996年 Dave Goldsmith 指出 ,根據(jù)RFC1413文檔,ident協(xié)議允許通過(guò)TCP連接得到進(jìn)程所有者的用戶名,即使該進(jìn)程不是連接發(fā)起方。此方法可用于得到FTP所有者信息,以及其他需要的信息等等。TCP Xmas Tree 掃描 ：根據(jù)RFC 793文檔,程序往目標(biāo)端口發(fā)送一個(gè)FIN 、URG和PUSH包,若其關(guān)閉,應(yīng)該返回一個(gè)RST包TCP NULL 掃描 ：根據(jù)RFC 793文檔,程序發(fā)送一個(gè)沒(méi)有任何標(biāo)志位的TCP包,關(guān)著的端口將返回一個(gè)RST數(shù)據(jù)包。TCP ACK 掃描 ： 這種掃描技術(shù)往往用來(lái)探測(cè)防火墻的類(lèi)型,根據(jù)ACK位的設(shè)置情況可以確定該防火墻是簡(jiǎn)單的包過(guò)濾還是狀態(tài)檢測(cè)機(jī)制的防火墻TCP 窗口掃描 ： 由于TCP窗口大小報(bào)告方式不規(guī)則,這種掃描方法可以檢測(cè)一些類(lèi)UNIX系統(tǒng)[AIX , FreeBSD等] 打開(kāi)的以及是否過(guò)濾的端口。TCP RPC 掃描 ： 這個(gè)方式是UNIX系統(tǒng)特有的,可以用于檢測(cè)和定位遠(yuǎn)程過(guò)程調(diào)用[RPC]端口及其相關(guān)程序與版本標(biāo)號(hào)。UDP ICMP端口不可達(dá)掃描：此方法是利用UDP本身是無(wú)連接的協(xié)議,所以一個(gè)打開(kāi)的UDP端口并不會(huì)給我們返回任何響應(yīng)包,不過(guò)如果端口關(guān)閉,某些系統(tǒng)將返回ICMP_PORT_UNREACH信息。但是由于UDP是不可靠的非面向連接協(xié)議,所以這種掃描方法也容易出錯(cuò),而且還比較慢。UDP recvfrom() 和 write() 掃描： 由于UNIX下非ROOT用戶是不可以讀到端口不可達(dá)信息,所以NMAP提供了這個(gè)僅在LINUX下才有效的方式。在LINUX下,若一個(gè)UDP端口關(guān)閉,則第二次write()操作會(huì)失敗。并且,當(dāng)我們調(diào)用recvfrom()的時(shí)候,若未收到ICMP錯(cuò)誤信息,一個(gè)非阻塞的UDP 套接字一般返回EAGAIN("Try Again",error=13),如果收到ICMP的錯(cuò)誤信息,套接字返回ECONNREFUSED("Connectionrefused",error=111)。通過(guò)這種方式,NMAP將得知目標(biāo)端口是否打開(kāi) [BTW: Fyodor 先生真是偉大！]分片掃描： 這是其他掃描方式的變形體,可以在發(fā)送一個(gè)掃描數(shù)據(jù)包時(shí),將數(shù)據(jù)包分成許多的IP分片,通過(guò)將TCP包頭分為幾段,放入不同的IP包中,將使得一些包過(guò)濾程序難以對(duì)其過(guò)濾 ,因此這個(gè)辦法能繞過(guò)一些包過(guò)濾程序。不過(guò)某些程序是不能正確處理這些被人為分割的IP分片,從而導(dǎo)致系統(tǒng)崩潰,這一嚴(yán)重后果將暴露掃描者的行為！FTP跳轉(zhuǎn)掃描 ： 根據(jù)RFC 959文檔,FTP協(xié)議支持代理 [PROXY], 形象的比喻：我們可以連上提供FTP服務(wù)的機(jī)器A,然后讓A向我們的目標(biāo)主機(jī)B發(fā)送數(shù)據(jù),當(dāng)然,一般的FTP主機(jī)不支持這個(gè)功能。我們?nèi)粜枰獟呙鐱的端口,可以使用PORT命令,聲明B的某個(gè)端口是開(kāi)放的,若此端口確實(shí)開(kāi)放,FTP 服務(wù)器A將返回150和226信息,否則返回錯(cuò)誤信息 :"425 Can't build data connection: Connection refused".這種方式的隱蔽性很不錯(cuò),在某些條件下也可以突破防火墻進(jìn)行信息采集,缺點(diǎn)是速度比較慢。ICMP 掃射 不算是端口掃描,因?yàn)镮CMP中無(wú)抽象的端口概念,這個(gè)主要是利用PING指令快速確認(rèn)一個(gè)網(wǎng)段中有多少活躍著的主機(jī)。6. 哪些掃描工具比較優(yōu)秀？nMAP ：世界上最受***歡迎的掃描器,能實(shí)現(xiàn)秘密掃描、動(dòng)態(tài)延遲、重發(fā)與平行掃描、欺騙掃描、端口過(guò)濾探測(cè)、RPC直接掃描、分布掃描等,靈活性非常好,功能強(qiáng)大 。 官方主頁(yè)http://www.insecure.org/nmap/SATAN 掃描器的鼻祖,它采用Perl寫(xiě)的內(nèi)核,通過(guò)PERL調(diào)用大量的C語(yǔ)言的檢測(cè)工具對(duì)目標(biāo)網(wǎng)站進(jìn)行分析,因此可以嵌入瀏覽器