第四章網(wǎng)絡(luò)安全技術(shù)-安全掃描技術(shù)計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)漏洞檢測(cè)技術(shù)掃描與安全掃描掃描（Scanning）是對(duì)系統(tǒng)進(jìn)行測(cè)試，以提前發(fā)現(xiàn)系統(tǒng)不符合預(yù)期結(jié)果的問題。安全掃描（SecurityScanning）是采用攻擊者所使用的工具，提前對(duì)系統(tǒng)或網(wǎng)絡(luò)進(jìn)行安全測(cè)試，從而在攻擊發(fā)生前發(fā)現(xiàn)潛在的安全威脅。安全掃描是一把雙刃劍：管理員可以借助于安全掃描來發(fā)現(xiàn)潛在的安全漏洞，而攻擊者同樣可以利用安全掃描來進(jìn)行信息收集和漏洞檢測(cè)。安全掃描技術(shù)安全掃描的分類安全掃描技術(shù)主要分為網(wǎng)絡(luò)安全掃描技術(shù)和主機(jī)安全掃描技術(shù)網(wǎng)絡(luò)安全掃描技術(shù)通過設(shè)定模擬攻擊掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備（如路由器、網(wǎng)橋、變換機(jī)等）、安全防護(hù)系統(tǒng)（如訪問服務(wù)器、防火墻等設(shè)備）的安全漏洞以測(cè)試網(wǎng)絡(luò)的防御能力，并發(fā)現(xiàn)潛在的安全漏洞。主機(jī)掃描技術(shù)采用攻擊者所使用的攻擊工具模擬對(duì)系統(tǒng)進(jìn)行攻擊記錄系統(tǒng)的反應(yīng)分析和評(píng)估攻擊結(jié)果，從而發(fā)現(xiàn)其中的漏洞安全掃描技術(shù)安全掃描可獲得的信息網(wǎng)絡(luò)信息網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)段、網(wǎng)絡(luò)設(shè)備及其配置等系統(tǒng)信息操作系統(tǒng)類型及版本、數(shù)據(jù)庫(kù)系統(tǒng)及版本、用戶賬號(hào)等端口信息端口開放狀態(tài)、服務(wù)器軟件類型及版本域名及IP地址信息域名及其管理者等信息、IP地址范圍、在線IP地址列漏洞信息系統(tǒng)漏洞、安全弱點(diǎn)郵件信息郵件賬號(hào)、郵件地址安全掃描技術(shù)常見的安全掃描方法（1）ICMP掃描ICMP掃描是通過向目標(biāo)主機(jī)發(fā)送ICMP報(bào)文的掃描技術(shù)最常用的ICMP掃描就是利用PING果沒有響應(yīng)消息，就證明目標(biāo)主機(jī)不存在或者已經(jīng)停機(jī)如果返回了ICMP回顯應(yīng)答報(bào)文，則證明主機(jī)正在運(yùn)行安全掃描技術(shù)常見的安全掃描方法（續(xù)1）（2）IP異常掃描IP異常掃描是通過向目標(biāo)主機(jī)發(fā)送故意構(gòu)造的IP包的掃描技術(shù)。向目標(biāo)主機(jī)發(fā)送異常IP包（如故意錯(cuò)誤的修改IP頭部長(zhǎng)度、IP選項(xiàng)等字段）來進(jìn)行探測(cè)，不同廠家的路由器和操作系統(tǒng)對(duì)錯(cuò)誤的IP包處理方式不同，因此可以根據(jù)返回的結(jié)果來探測(cè)目標(biāo)主機(jī)和網(wǎng)絡(luò)設(shè)備。發(fā)送超大IP包，當(dāng)構(gòu)造的數(shù)據(jù)包長(zhǎng)度超過目標(biāo)系統(tǒng)所在路由器的路徑最大傳輸單元PMTU且設(shè)置禁止分片標(biāo)志時(shí)，該路由器會(huì)反饋一個(gè)ICMP差錯(cuò)報(bào)文。通過這種方式，可以探測(cè)內(nèi)部路由器。安全掃描技術(shù)常見的安全掃描方法（續(xù)2）（2）IP異常掃描（續(xù)）反向探測(cè)技術(shù)猜測(cè)并構(gòu)造可能的內(nèi)部IP地址列表如果沒有接收到相應(yīng)ICMP消息或錯(cuò)誤報(bào)文，則證明該IP地址位于該網(wǎng)絡(luò)中向這些IP地址發(fā)送數(shù)據(jù)包當(dāng)對(duì)方包過濾路由器或防火墻接收到這些數(shù)據(jù)包時(shí)，會(huì)進(jìn)行IP地址識(shí)別并路由對(duì)不在其服務(wù)范圍的IP包，發(fā)送主機(jī)不可達(dá)到的ICMP消息安全掃描技術(shù)常見的安全掃描方法（續(xù)3）（3）IP分片掃描IP分片掃描是利用IP分片技術(shù)，將掃描數(shù)據(jù)包（如TCP包、UDP包等）分成很小的碎片發(fā)送給給目標(biāo)主機(jī)，以獲得目標(biāo)主機(jī)信息的掃描技術(shù)。分片技術(shù)可以繞過安全審計(jì)與檢測(cè)系統(tǒng)使得包過濾和入侵檢測(cè)系統(tǒng)等安全防御系統(tǒng)更難檢測(cè)到或阻止掃描的進(jìn)行安全掃描技術(shù)常見的安全掃描方法（續(xù)4）（4）完全TCP連接掃描完全TCP連接掃描是對(duì)目標(biāo)主機(jī)的一個(gè)端口進(jìn)行正常的TCP連接（如完全的三次握手連接）而完成的掃描技術(shù)但這種方法的缺點(diǎn)是很容易被發(fā)覺，因?yàn)楸粶y(cè)試目標(biāo)方的防火墻、日志和審計(jì)系統(tǒng)會(huì)及時(shí)地對(duì)連接的結(jié)果和錯(cuò)誤加以告警如果端口處于偵聽狀態(tài)，那么連接就能成功否則，該端口處于關(guān)閉狀態(tài)，即沒有提供對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)。由于需要建立全連接，因此資源開銷大，完成掃描需要較長(zhǎng)時(shí)間。安全掃描技術(shù)常見的安全掃描方法（續(xù)5）（5）TCPSYN掃描TCPSYN掃描也稱為“半開放”掃描，這種掃描方式不會(huì)完成完整的TCP三次握手過程，而只是發(fā)送一個(gè)SYN請(qǐng)求包。優(yōu)點(diǎn)掃描速度快如果對(duì)方返回一個(gè)SYN/ACK包，則表示端口處于偵聽狀態(tài)如果不返回消息或者返回一個(gè)RST包，表示端口沒有處于偵聽狀缺點(diǎn)是，由于掃描所發(fā)生的包是違法TCP協(xié)議規(guī)則的包，容易在目標(biāo)計(jì)算機(jī)上留下記錄安全掃描技術(shù)常見的安全掃描方法（續(xù)6）（6）ACK掃描（ACKScanningACK掃描是通過向目標(biāo)主機(jī)發(fā)送TCP三次握手中的第二條ACK消息來進(jìn)行掃描的技術(shù)。但是可以利用ACK掃描來掃描防火墻的配置，發(fā)現(xiàn)某個(gè)特定的TCP端口是否被防火墻所允許通過、發(fā)現(xiàn)防火墻規(guī)則、識(shí)別防火墻是否采用狀態(tài)過濾技術(shù)等當(dāng)發(fā)送一個(gè)帶有ACK標(biāo)志的TCP報(bào)文到目標(biāo)主機(jī)的端口時(shí)，目標(biāo)主機(jī)返回含有RST標(biāo)志的報(bào)文，無論端口是開放或者關(guān)閉。使用TCPACK掃描無法確定端口是否開放或者關(guān)閉安全掃描技術(shù)常見的安全掃描方法（續(xù)7）（7）FIN掃描技術(shù)（FINScanning）秘密掃描技術(shù)利用發(fā)送關(guān)閉TCP連接的FIN標(biāo)識(shí)包來探測(cè)端口的開放情況的掃描技術(shù)。由于秘密掃描沒有用到TCP三次握手消息，因此一般來說不會(huì)被防火墻等安全防御系統(tǒng)記錄和報(bào)警。當(dāng)FIN標(biāo)識(shí)發(fā)送給一個(gè)關(guān)閉的端口時(shí)，接收方將接收到的數(shù)據(jù)包丟棄同時(shí)發(fā)回RST包反之，如果發(fā)送給一個(gè)偵聽端口時(shí)，數(shù)據(jù)包只是被丟棄，并不發(fā)送RST安全掃描技術(shù)常見的安全掃描方法（續(xù)8）（8）空掃描（NULLScanning）空掃描就是發(fā)送不設(shè)置任何標(biāo)志位的TCP數(shù)據(jù)包來進(jìn)行的掃描技術(shù)。當(dāng)FIN標(biāo)識(shí)當(dāng)將不設(shè)置任何標(biāo)志位的數(shù)據(jù)包發(fā)送給目標(biāo)主機(jī)時(shí)，如果目標(biāo)主機(jī)相應(yīng)端口關(guān)閉，則發(fā)送回一個(gè)RST數(shù)據(jù)包給一個(gè)關(guān)閉的端口時(shí)，接收方將接收到的數(shù)據(jù)包丟棄同時(shí)發(fā)回RST包如果目標(biāo)主機(jī)端口開放，則無任何響應(yīng)。因此，通過空掃描，可以發(fā)現(xiàn)端口是否開放。安全掃描技術(shù)常見的安全掃描方法（續(xù)9）（9）間接掃描（IndirectScanning）間接掃描是利用假冒IP地址，偽裝成第三方對(duì)目標(biāo)進(jìn)行掃描技術(shù)。由于采用了IP地址假冒技術(shù)，因此被掃描的主機(jī)所作出的響應(yīng)將發(fā)送到被欺騙的第三方必須監(jiān)視被欺騙的主機(jī)的IP，才能掃描的結(jié)果。該方法的優(yōu)點(diǎn)是不容易被攻擊溯源系統(tǒng)追蹤，但其缺點(diǎn)是必須監(jiān)視被欺騙主機(jī)才能得到掃描結(jié)果。安全掃描技術(shù)常見的安全掃描方法（續(xù)10）（10）UDP掃描UDP掃描技術(shù)是是UDP協(xié)議來掃描探測(cè)某個(gè)UDP端口是否開啟的掃描技術(shù)。當(dāng)一個(gè)數(shù)據(jù)包發(fā)送給一個(gè)關(guān)閉的UDP端口時(shí)，目標(biāo)主機(jī)會(huì)返回一個(gè)ICMP_PORT_UNREACH即“端口無法到達(dá)”的ICMP錯(cuò)誤消息。目標(biāo)主機(jī)沒有響應(yīng)表明這個(gè)UDP端口有可能開放。由于UDP協(xié)議屬于狀態(tài)協(xié)議，因此可以繞過包過濾防火墻系統(tǒng)。如果返回其他的ICMP差錯(cuò)報(bào)文，則端口狀態(tài)未知。安全掃描技術(shù)常見的安全掃描方法（續(xù)11）（11）識(shí)別掃描（IdentificationScanning）識(shí)別掃描是通過向目標(biāo)主機(jī)發(fā)送識(shí)別協(xié)議數(shù)據(jù)，以發(fā)現(xiàn)目標(biāo)主機(jī)特征信息的掃描技術(shù)。識(shí)別協(xié)議（IdentificationProtocol）數(shù)據(jù)包是針對(duì)特定目標(biāo)才會(huì)反饋信息的掃描數(shù)據(jù)包。識(shí)別掃描也被稱之為基于協(xié)議棧指紋的掃描，其目的是發(fā)現(xiàn)操作系統(tǒng)的特性。例如，當(dāng)送一個(gè)含有FIN、PSH、URG等標(biāo)志位的數(shù)據(jù)包到一個(gè)關(guān)閉的TCP端口，大多數(shù)操作系統(tǒng)會(huì)把回應(yīng)ACK包的序號(hào)設(shè)置為發(fā)送的包的初始序號(hào)，而Windows系統(tǒng)則會(huì)發(fā)送序號(hào)為初始序號(hào)加1的ACK包，因此可以通過這種方式來識(shí)別目標(biāo)主機(jī)是否運(yùn)行windows操作系統(tǒng)。安全掃描技術(shù)常見的安全掃描方法（續(xù)12）（11）識(shí)別掃描（IdentificationScanning）（續(xù)）識(shí)別掃描中常見的識(shí)別協(xié)議數(shù)據(jù)包有向目標(biāo)主機(jī)發(fā)送生存時(shí)間（TTL：TimeToLive）、分段標(biāo)志位（DF位）、窗口大小等不同的IP包，根據(jù)不通過返回結(jié)果識(shí)別操作系統(tǒng)。向目標(biāo)主機(jī)發(fā)送ACK序號(hào)、包含F(xiàn)IN、PSH、URG、FIN標(biāo)志位的不同TCP包，根據(jù)不通過返回結(jié)果識(shí)別操作系統(tǒng)。根據(jù)分析TCP始化序列號(hào)生成規(guī)律來識(shí)別不同的操作系統(tǒng)。向目標(biāo)可以發(fā)送正常的ICMP報(bào)文或者非正常的ICMP報(bào)文，觀察目標(biāo)主機(jī)的響來識(shí)別操作系統(tǒng)。安全掃描技術(shù)常見的安全掃描方法（續(xù)13）（12）代理掃描（ProxyScanning）代理掃描是借助于第三方代理來對(duì)目標(biāo)主機(jī)進(jìn)行掃描的技術(shù)。在代理掃描技術(shù)中，不是對(duì)目標(biāo)主機(jī)直接發(fā)送掃描數(shù)據(jù)，而且通過第三方代理向目標(biāo)主機(jī)發(fā)送掃描消息。例如，F(xiàn)TP協(xié)議支持建立代理（Proxy）的FTP連接，即允許一個(gè)FTP客戶端同時(shí)和兩個(gè)FTP服務(wù)器建立兩個(gè)連接，然后在兩個(gè)服務(wù)器間直接進(jìn)行數(shù)據(jù)傳輸。利用該技術(shù)，攻擊者可以發(fā)動(dòng)所謂的FTP代理掃描（FTPProxyScanning），完成目標(biāo)主機(jī)TCP端口的掃描。安全掃描技術(shù)常見的安全掃描方法（續(xù)14）（13）欺騙掃描欺騙掃描是在發(fā)送掃描數(shù)據(jù)包的同時(shí)，發(fā)送大量無用的數(shù)據(jù)包的掃描方法。對(duì)目標(biāo)機(jī)同時(shí)發(fā)送好幾個(gè)探測(cè)數(shù)據(jù)包，其中除了一個(gè)真實(shí)的探測(cè)包外，其它的數(shù)據(jù)包使用的都是偽造IP地址等的無效數(shù)據(jù)包。即使掃描被發(fā)現(xiàn)了，目標(biāo)主機(jī)及其防御系統(tǒng)也沒辦法知道哪個(gè)是真的掃描主機(jī)，哪個(gè)是假的掃描主機(jī)。了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與互連狀況發(fā)現(xiàn)、找出并確定組成網(wǎng)絡(luò)的所有元素進(jìn)行網(wǎng)絡(luò)信息搜集，如系統(tǒng)ID等提供網(wǎng)絡(luò)運(yùn)行視圖（布局、活動(dòng)圖等）獲取網(wǎng)絡(luò)管理中的配置結(jié)構(gòu)實(shí)施網(wǎng)絡(luò)故障管理安全掃描技術(shù)安全掃描獲得內(nèi)容示例：網(wǎng)絡(luò)拓?fù)鋻呙鑀ing命令使用測(cè)試遠(yuǎn)端主機(jī)是否在運(yùn)行是否容易接近系統(tǒng)測(cè)試到遠(yuǎn)端主機(jī)所花的時(shí)間安全掃描獲得內(nèi)容示例：連接測(cè)試安全掃描技術(shù)Tracert、Netcat、Netstat等命令顯示從本機(jī)到遠(yuǎn)端主機(jī)路由路徑顯示在本機(jī)上有效連接跟蹤網(wǎng)絡(luò)數(shù)據(jù)流向安全掃描獲得內(nèi)容示例：路由跟蹤安全掃描技術(shù)區(qū)域中有哪些網(wǎng)絡(luò)設(shè)備區(qū)域中有哪些安全防御系統(tǒng)域中哪些計(jì)算機(jī)在運(yùn)行域中有多少服務(wù)器可訪問環(huán)境配置如何安全掃描技術(shù)安全掃描獲得內(nèi)容示例：區(qū)域掃描目標(biāo)主機(jī)上哪些端口關(guān)閉、哪些端口開放計(jì)算機(jī)上正在運(yùn)