下载中心  |   网站地图  |   站内搜索  |   加入收藏
*新更新
业界动态
产品信息
安恒动态
技术文章


安恒公司 / 技术文章 / 网络管理与网络测试 / 网络管理 / ip扫描
ip扫描
2003-03-15          阅读:

*扫描技术及原理介绍

 
作者:refdom (refdom@263.net) 发文时间:2004.02.09
 


Scan,是*切入侵的基础,扫描探测*台主机包括是为了确定主机是否活动、主机系统、正在使用哪些端口、提供了哪些服务、相关服务的软件版本等等,对这些内容的探测就是为了“对症下药”。对主机的探测工具非常多,比如大*鼎鼎的nmap、netcat、superscan,以及国内的X-Scanner等等。

ICMP协议——PING是*常用的,也是*简单的探测手段,用来判断目标是否活动。实际上Ping是向目标发送*个要求回显(Type = 8)的ICMP数据报,当主机得到请求后,再返回*个回显(Type = 0)数据报。而且Ping 程序*般是直接实现在系统内核中的,而不是*个用户进程。Ping是*基本的探测手段,Ping Sweep(Ping扫射)就是对*个网段进行大范围的Ping,由此确定这个网段的网络运作情况,比如**的fping工具就是进行Ping扫射的。

不过现在连基本的个人防火墙都对Ping做了限制,这个也太基本了。如果透过防火墙,如何获得*理想的目标图,也是很多人整天思考的问题。我们这里介绍的*些扫描技术就是要尽可能地绕过*些安全防护设备,并且尽量保护自己,同时达到我们需要的目的。

*、高*ICMP扫描技术

Ping就是利用ICMP协议走的,高*的ICMP扫描技术主要是利用ICMP协议*基本的用途:报错。根据网络协议,如果按照协议出现了错误,那么接收端将产生*个ICMP的错误报文。这些错误报文并不是主动发送的,而是由于错误,根据协议自动产生。

当IP数据报出现checksum和版本的错误的时候,目标主机将抛弃这个数据报,如果是checksum出现错误,那么路由器就直接丢弃这个数据报了。有些主机比如AIX、HP-UX等,是不会发送ICMP的Unreachable数据报的。

我们利用下面这些特性:

    1. 向目标主机发送*个只有IP头的IP数据包,目标将返回Destination Unreachable的ICMP错误报文。
    2. 向目标主机发送*个坏IP数据报,比如,不正确的IP头长度,目标主机将返回Parameter Problem的ICMP错误报文。
    3. 当数据包分片但是,却没有给接收端足够的分片,接收端分片组装超时会发送分片组装超时的ICMP数据报。

向目标主机发送*个IP数据报,但是协议项是错误的,比如协议项不可用,那么目标将返回Destination Unreachable的ICMP报文,但是如果是在目标主机前有*个防火墙或者*个其他的过滤装置,可能过滤掉提出的要求,从而接收不到任何回应。可以使用*个非常大的协议数字来作为IP头部的协议内容,而且这个协议数字至少在今天还没有被使用,应该主机*定会返回Unreachable,如果没有Unreachable的ICMP数据报返回错误提示,那么就说明被防火墙或者其他设备过滤了,我们也可以用这个办法来探测是否有防火墙或者其他过滤设备存在。

利用IP的协议项来探测主机正在使用哪些协议,我们可以把IP头的协议项改变,因为是8位的,有256种可能。通过目标返回的ICMP错误报文,来作判断哪些协议在使用。如果返回Destination Unreachable,那么主机是没有使用这个协议的,相反,如果什么都没有返回的话,主机可能使用这个协议,但是也可能是防火墙等过滤掉了。NMAP的IP Protocol scan也就是利用这个原理。

利用IP分片造成组装超时ICMP错误消息,同样可以来达到我们的探测目的。当主机接收到丢失分片的数据报,并且在*定时间内没有接收到丢失的数据报,就会丢弃整个包,并且发送ICMP分片组装超时错误给原发送端。我们可以利用这个特性制造分片的数据包,然后等待ICMP组装超时错误消息。可以对UDP分片,也可以对TCP甚至ICMP数据包进行分片,只要不让目标主机获得完整的数据包就行了,当然,对于UDP这种非连接的不可靠协议来说,如果我们没有接收到超时错误的ICMP返回报,也有可能时由于线路或者其他问题在传输过程中丢失了。

我们能够利用上面这些特性来得到防火墙的ACL(access list),甚至用这些特性来获得整个网络拓扑结构。如果我们不能从目标得到Unreachable报文或者分片组装超时错误报文,可以作下面的判断:

  1. 防火墙过滤了我们发送的协议类型
  2. 防火墙过滤了我们指定的端口
  3. 防火墙阻塞ICMP的Destination Unreachable或者Protocol Unreachable错误消息。
  4. 防火墙对我们指定的主机进行了ICMP错误报文的阻塞。

二、高*TCP扫描技术

*基本的利用TCP扫描就是使用connect(),这个很容易实现,如果目标主机能够connect,就说明*个相应的端口打开。不过,这也是*原始和**被防护工具拒绝的*种。

在高*的TCP扫描技术中主要利用TCP连接的三次握手特性和TCP数据头中的标志位来进行,也就是所谓的半开扫描。

*认识*下TCP数据报头的这六个标志位。

  • URG:(Urgent Pointer field significant)紧急指针。用到的时候值为1,用来处理避免TCP数据流中断
  • ACK:(Acknowledgment field significant)置1时表示确认号(Acknowledgment Number)为合法,为0的时候表示数据段不包含确认信息,确认号被忽略。
  • PSH:(Push Function),PUSH标志的数据,置1时请求的数据段在接收方得到后就可直接送到应用程序,而不必等到缓冲区满时才传送。
  • RST:(Reset the connection)用于复位因某种原因引起出现的错误连接,也用来拒绝非法数据和请求。如果接收到RST位时候,通常发生了某些错误。
  • SYN:(Synchronize sequence numbers)用来建立连接,在连接请求中,SYN=1,ACK=0,连接响应时,SYN=1,ACK=1。即,SYN和ACK来区分Connection Request和Connection Accepted。
  • FIN:(No more data from sender)用来释放连接,表明发送方已经没有数据发送了。

TCP协议连接的三次握手过程是这样的:

**客户端(请求方)在连接请求中,发送SYN=1,ACK=0的TCP数据包给服务器端(接收请求端),表示要求同服务器端建立*个连接;然后如果服务器端响应这个连接,就返回*个SYN=1,ACK=1的数据报给客户端,表示服务器端同意这个连接,并要求客户端确认;*后客户端就再发送SYN=0,ACK=1的数据包给服务器端,表示确认建立连接。

我们就利用这些标志位和TCP协议连接的三次握手特性来进行扫描探测。

SYN 扫描

这种扫描方式也被称为“半打开” 扫描,因为利用了TCP协议连接的第*步,并且没有建立*个完整的TCP连接。

实现办法是向远端主机某端口发送*个只有SYN标志位的TCP数据报,如果主机反馈*个SYN || ACK数据包,那么,这个主机正在监听该端口,如果反馈的是RST数据包,说明,主机没有监听该端口。在X-Scanner 上就有SYN的选择项。

ACK 扫描

发送*个只有ACK标志的TCP数据报给主机,如果主机反馈*个TCP RST数据报来,那么这个主机是存在的。也可以通过这种技术来确定对方防火墙是否是简单的分组过滤,还是*个基于状态的防火墙。

FIN

对某端口发送*个TCP FIN数据报给远端主机。如果主机没有任何反馈,那么这个主机是存在的,而且正在监听这个端口;主机反馈*个TCP RST回来,那么说明该主机是存在的,但是没有监听这个端口。

NULL

即发送*个没有任何标志位的TCP包,根据RFC793,如果目标主机的相应端口是关闭的话,应该发送回*个RST数据包。

FIN+URG+PUSH

向目标主机发送*个Fin、URG和PUSH分组,根据RFC793,如果目标主机的相应端口是关闭的,那么应该返回*个RST标志。

上面这些办法可以绕过*些防火墙,从而得到防火墙后面的主机信息,当然,是在不被欺骗的情况下的。这些方法还有*个好处就是比较难于被记录,有的办法即使在用netstat命令上也根本显示不出来,而且*般的安全防护设备也根本不记录这些内容,这样能够更好地隐藏自己。

三、高*UDP扫描技术

在UDP实现的扫描中,多是了利用和ICMP进行的组合进行,这在ICMP中以及提及了。还有*些特殊的就是UDP回馈,比如SQL SERVER,对其1434端口发送‘x02’或者‘x03’就能够探测得到其连接端口。

 

 

声明:

本文只是作技术方面的探讨,目的是让大家更好的防范来自各方的攻击,确保网络安全。本文不提供任何程序和软件的下载信息。
 

责任编辑: admin
Email给朋友 打印本文
版权所有·安恒公司 Copyright © 2004   netflow.anheng.com.cn   All Rights Reserved    
      北京市海淀区*体南路9号 主语国际商务中心4号楼8层 安恒公司(邮编100048) 电话:010-88018877