第二十一章網(wǎng)絡(luò)信息獲取網(wǎng)絡(luò)信息獲取掃描器掃描器基本概念掃描原理監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的概念和工作原理網(wǎng)絡(luò)監(jiān)聽在Windows2000下的基本實現(xiàn)方法NETVIEW監(jiān)聽器示例Linux下的BBS監(jiān)聽程序例子偵聽檢測掃描器基本概念掃描器是一種自動檢測遠程或本地主機安全性弱點的程序，通過使用掃描器你可一不留痕跡的發(fā)現(xiàn)遠程服務(wù)器的各種TCP端口的分配及提供的服務(wù)和它們的軟件版本。掃描器通過選用遠程TCP/IP不同的端口的服務(wù)，并記錄目標(biāo)給予的回答，通過這種方法，可以搜集到很多關(guān)于目標(biāo)主機的各種有用的信息掃描器并不是一個直接的攻擊網(wǎng)絡(luò)漏洞的程序，它僅僅能幫助我們發(fā)現(xiàn)目標(biāo)機的某些內(nèi)在的弱點掃描器應(yīng)該有三項功能：發(fā)現(xiàn)一個主機或網(wǎng)絡(luò)的能力；一旦發(fā)現(xiàn)一臺主機，有發(fā)現(xiàn)什么服務(wù)正運行在這臺主機上的能力；通過測試這些服務(wù)，發(fā)現(xiàn)漏洞的能力。掃描原理TCPconnect()掃描基本原理TCPconnect是最基本的TCP掃描。操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用，用來與每一個感興趣的目標(biāo)計算機的端口進行連接。如果端口處于偵聽狀態(tài)，那么connect()就能成功。否則，這個端口是不能用的，即沒有提供服務(wù)。

TCPSYN掃描掃描程序發(fā)送的是一個SYN數(shù)據(jù)包，好象準(zhǔn)備打開一個實際的連接并等待反應(yīng)一樣（參考TCP的三次握手建立一個TCP連接的過程）。一個SYN|ACK的返回信息表示端口處于偵聽狀態(tài)。一個RST返回，表示端口沒有處于偵聽?wèi)B(tài)。如果收到一個SYN|ACK，則掃描程序必須再發(fā)送一個RST信號，來關(guān)閉這個連接過程。

TCPFIN掃描TCPFIN掃描方法的思想是關(guān)閉的端口會用適當(dāng)?shù)腞ST來回復(fù)FIN數(shù)據(jù)包。另一方面，打開的端口會忽略對FIN數(shù)據(jù)包的回復(fù)。IP段掃描IP段掃描不能算是新方法，只是其它技術(shù)的變化。它并不是直接發(fā)送TCP探測數(shù)據(jù)包，是將數(shù)據(jù)包分成兩個較小的IP段。這樣就將一個TCP頭分成好幾個數(shù)據(jù)包，從而過濾器就很難探測到。

UDPICMP端口不能到達掃描這種方法與上面幾種方法的不同之處在于使用的是UDP協(xié)議。許多主機在你向一個未打開的UDP端口發(fā)送一個數(shù)據(jù)包時，會返回一個ICMP_PORT_UNREACH錯誤。這樣你就能發(fā)現(xiàn)哪個端口是關(guān)閉的。UDP和ICMP錯誤都不保證能到達，因此這種掃描器必須還實現(xiàn)在一個包看上去是丟失的時候能重新傳輸。UDPrecvfrom()和write()掃描當(dāng)非root用戶不能直接讀到端口不能到達錯誤時，Linux能間接地在它們到達時通知用戶。比如，對一個關(guān)閉的端口的第二個write()調(diào)用將失敗。在非阻塞的UDP套接字上調(diào)用recvfrom()時，如果ICMP出錯還沒有到達時回返回EAGAIN-重試。如果ICMP到達時，返回ECONNREFUSED-連接被拒絕。這就是用來查看端口是否打開的技術(shù)。ICMPecho掃描這并不是真正意義上的掃描。但有時通過ping，在判斷在一個網(wǎng)絡(luò)上主機是否開機時非常有用。網(wǎng)絡(luò)監(jiān)聽的概念和工作原理監(jiān)聽器（Sniffer）本是提供給網(wǎng)絡(luò)管理員的一類工具，利用這類工具，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)，數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒁员阏页鼍W(wǎng)絡(luò)中潛在的問題。包監(jiān)聽和網(wǎng)絡(luò)監(jiān)測最初是為了監(jiān)測以太網(wǎng)的流量而設(shè)計的，最初的代表性產(chǎn)品就是NOVEL的LANALYSER和MS的NETWORKMONITOR。網(wǎng)絡(luò)監(jiān)聽的概念和工作原理在正常情況下，一個合法的網(wǎng)絡(luò)接口應(yīng)只響應(yīng)下面兩種數(shù)據(jù)報：報文的目的地址與本地網(wǎng)絡(luò)接口地硬件地址相匹配，報文的目的地址是廣播地址。所有包監(jiān)聽都需要網(wǎng)卡被設(shè)置為雜亂模式，因為僅在此模式下，所有通過網(wǎng)卡的數(shù)據(jù)可以被傳送到監(jiān)聽器，包監(jiān)聽的使用前提是安裝他的機器上使用者具有管理員權(quán)限。網(wǎng)絡(luò)監(jiān)聽在Windows2000下的基本實現(xiàn)方法為了實現(xiàn)Sniffer，需要將NIC設(shè)置為promicuous模式。為了提高編寫網(wǎng)絡(luò)驅(qū)動程序的效率，也為了使各種協(xié)議驅(qū)動程序在各種網(wǎng)卡之間獨立，Microsoft創(chuàng)建了一個網(wǎng)絡(luò)驅(qū)動程序界面規(guī)范，即NetworkDeviceInterfaceSpecification（NDIS），這個規(guī)范是為原本復(fù)雜的網(wǎng)絡(luò)驅(qū)動程序編寫框架提供一個并不嚴(yán)格的封裝。在Windows2000下，集成了新版本的Winsock，即Winsock2.2。在Winsock2.2中，Microsoft增加了三個socker選項，使得一個socket可以接收到更多本來接收不到的IP數(shù)據(jù)包，使得實現(xiàn)一個Sniffer簡單了許多。Linux下的BBS監(jiān)聽程序例子BBS是較為常見的網(wǎng)絡(luò)交流手段。但是在bbs的客戶端與服務(wù)端都沒有安全機制來保護，可以通過監(jiān)聽程序截獲明文數(shù)據(jù)。網(wǎng)絡(luò)信息獲取掃描器掃描器基本概念掃描原理監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的概念和工作原理網(wǎng)絡(luò)監(jiān)聽在Windows2000下的基本實現(xiàn)方法NETVIEW監(jiān)聽器示例Linux下的BBS監(jiān)聽程序例子偵聽檢測偵聽檢測偵聽檢測系統(tǒng)能夠主動地檢測到不同系統(tǒng)下可能存在的監(jiān)聽可以確定可疑機器的IP地址，記錄下來并加以防范。同時可以完成數(shù)據(jù)包檢測的功能，也就