信息收集与漏洞扫描ppt课件.ppt

《信息收集与漏洞扫描ppt课件.ppt》由会员分享，可在线阅读，更多相关《信息收集与漏洞扫描ppt课件.ppt（87页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2022-7-301l目标主机运行的操作系统l是否有的安全保护措施l运行那些服务l服务器软件的版本l存在那些漏洞l目标网络的网络拓扑结构2022-7-302l网络(地址)扫描l端口扫描l漏洞扫描l调制解调器(modem)扫描l操作系统的协议栈指纹识别(OS FingerPrinting)l旗标(banner)信息获取2022-7-303l目的目的黑客首先希望了解你的网络中的详细情况，比如网络拓扑结构，活动主机IP地址，主要服务器，路由器和防火墙。黑客使用扫描工具一般先扫描你的网关、DMZ系统，各种服务器等Internet周边环境，在控制了你的网络周边环境后，再继续攻击你的内部网络。l种类种类

2、发现活跃主机 跟踪路由2022-7-304l Ping：发送一个ICMP回显请求(echo request)数据包，如果目标主机响应一个ICMP回显应答响应(echo replay)数据包，则表示这是一个活跃主机。l TCP扫描：许多网络防火墙都阻塞ICMP消息，因此，发送一个TCP ack包到80端口，如果获得了RST返回，机器是活跃的。2022-7-305l 跳跳(Hop)：IP数据包经过一个路由器就叫做一个跳。2022-7-306l黑客可以利用TTL值来确定网络中数据包的路由路径，通过发送一系列TTL值递增的数据包来发现到达目的主机的路由路径。Unix下的跟踪路由工具是Tracerout

3、e，发送有递增的TTL值的UDP数据包，同时寻找返回的ICMP超时消息。windows下的跟踪路由工具是tracert。l黑客使用跟踪路由（tracerouting）技术来 确定目标网络的路由器和网关的拓扑结构。 2022-7-307l 利用防火墙和路由器的数据包过滤功能来阻塞这些消息，还应该阻塞所有流入的ICMP消息，另外，也可以过滤从你的网络流出的ICMP超时信息，从而完全拒绝traceroute的访问。2022-7-308Port list2022-7-309$ portscan 128.3X.XX.XXXPort 21 (ftp service) connection . open.

4、Port 23 (telnet service) connection . open. Port 25 (smtp service) connection . open. Port 53 (domain service) connection . open.Port 79 (finger service) connection . open. Port 111 (sunrpc service) connection . open. Port 513 (login service) connection . open. Port 514 (shell service) connection .

5、open. Port 515 (printer service) connection . open. Port 664 connection . open. . 端口扫描的分类2022-7-3011l最基本的扫描方式，实际上是利用linux提供的系统调用函数connect与目标主机建立TCP连接，完成三次握手。l这种扫描方式会被防火墙记录到访问日志中。因此，会留下扫描痕迹。但是，这种扫描不需要有特殊权限。TCP connect端口扫描服务端与客户端建立连接成功端口扫描服务端与客户端建立连接成功（目标端口开放）的过程：（目标端口开放）的过程： Client端发送端发送SYN； Server端返

6、回端返回SYN/ACK，表明端口开放；，表明端口开放； Client端返回端返回ACK，表明连接已建立；，表明连接已建立； Client端主动断开连接。端主动断开连接。建立连接成功（目标端口开放）如图所示。建立连接成功（目标端口开放）如图所示。这种扫描方法的优点是实现简单，对操作者的权限这种扫描方法的优点是实现简单，对操作者的权限没有严格要求（有些类型的端口扫描需要操作者具没有严格要求（有些类型的端口扫描需要操作者具有有root权限），系统中的任何用户都有权力使用这个权限），系统中的任何用户都有权力使用这个调用，而且如果想要得到从目标端口返回调用，而且如果想要得到从目标端口返回banners信

7、信息，也只能采用这一方法。息，也只能采用这一方法。另一优点是扫描速度快。如果对每个目标端口以线另一优点是扫描速度快。如果对每个目标端口以线性的方式，使用单独的性的方式，使用单独的connect()调用，可以通过同调用，可以通过同时打开多个套接字，从而加速扫描。时打开多个套接字，从而加速扫描。这种扫描方法的缺点是会在目标主机的日志记录中这种扫描方法的缺点是会在目标主机的日志记录中留下痕迹，易被发现，并且数据包会被过滤掉。目留下痕迹，易被发现，并且数据包会被过滤掉。目标主机的标主机的logs文件会显示一连串的连接和连接出错文件会显示一连串的连接和连接出错的服务信息，并且能很快地使它关闭。的服务信息

8、，并且能很快地使它关闭。2022-7-3016l扫描器向目标主机的一个端口发送请求连接的SYN包，扫描器在收到SYN/ACK后，不是发送的ACK应答而是发送RST包请求断开连接。这样，三次握手就没有完成，无法建立正常的TCP连接，因此，这次扫描就不会被记录到系统日志中。这种扫描技术一般不会在目标主机上留下扫描痕迹。但是，这种扫描需要有root权限。秘密扫描是一种不被审计工具所检测的扫描技术。秘密扫描是一种不被审计工具所检测的扫描技术。它通常用于在通过普通的防火墙或路由器的筛选它通常用于在通过普通的防火墙或路由器的筛选（filtering）时隐藏自己。）时隐藏自己。秘密扫描能躲避秘密扫描能躲避I

9、DS、防火墙、包过滤器和日志审计，、防火墙、包过滤器和日志审计，从而获取目标端口的开放或关闭的信息。由于没有从而获取目标端口的开放或关闭的信息。由于没有包含包含TCP 3次握手协议的任何部分，所以无法被记录次握手协议的任何部分，所以无法被记录下来，比半连接扫描更为隐蔽。下来，比半连接扫描更为隐蔽。但是这种扫描的缺点是扫描结果的不可靠性会增加，但是这种扫描的缺点是扫描结果的不可靠性会增加，而且扫描主机也需要自己构造而且扫描主机也需要自己构造IP包。现有的秘密扫包。现有的秘密扫描有描有TCP FIN扫描、扫描、TCP ACK扫描、扫描、NULL扫描、扫描、XMAS扫描和扫描和SYN/ACK扫描等。

10、扫描等。2022-7-3020lSYN扫描现在已经不是一种秘密了，许多防火墙和路由器都有相应的措施，它们会对一些指定的端口进行监视，对这些端口的连接请求全部进行记录。l但是许多过滤设备允许FIN数据包通过。因此FIN是中断连接的数据报文，所以许多日志系统不记录这样的数据报文。FIN扫描的原理就是向目标主机的某个端口发送一个FIN数据包。如果收到RST应答表示这个端口没有开放，反之则端口开放。但是有些操作系统不管端口是否开放，都应答RST。这种方法与系统的这种方法与系统的TCP/IP实现有一实现有一定的关系，并不是可以应用在所有的系定的关系，并不是可以应用在所有的系统上，有的系统不管端口是否打开

11、，都统上，有的系统不管端口是否打开，都回复回复RST，这样，这种扫描方法就不适，这样，这种扫描方法就不适用了。但这种方法可以用来区别操作系用了。但这种方法可以用来区别操作系统是统是UNIX还是还是Windows。方法二是：方法二是： 若返回的若返回的RST数据包的数据包的WINDOW值非零，则端口开放，反之端口关闭，如图值非零，则端口开放，反之端口关闭，如图3-16所示。所示。NULL扫描扫描XMAS扫描扫描这里要说明的是，这里要说明的是，MS Windows、Cisco、BSDI、HP/UX、MVS以及以及IRIX等操作系统如等操作系统如果通过果通过TCP FIN、XMAS以及以及NULL扫

12、描等方扫描等方式进行扫描的话，对于打开的端口也会发送式进行扫描的话，对于打开的端口也会发送RST数据包，即使所有端口都关闭，也可以进数据包，即使所有端口都关闭，也可以进行应答。根据制作行应答。根据制作Nmap的的Fyodor的方案，的方案，使用使用FIN、XMAS或者或者NULL方式进行扫描的方式进行扫描的话，如果所有端口都关闭，那么就可以进行话，如果所有端口都关闭，那么就可以进行TCP SYN扫描。如果出现打开的端口，操作扫描。如果出现打开的端口，操作系统就会知道是属于系统就会知道是属于MS Windows、Cisco、BSDI、HP/UX、MVS以及以及IRIX中的哪类了。中的哪类了。SY

13、N/ACK扫描扫描若目标端口关闭，目标主机将不返回任何信息，若目标端口关闭，目标主机将不返回任何信息，数据包会被丢掉数据包会被丢掉2022-7-3032l以细小的IP碎片包实现SYN，FIN，XMAS或NULL扫描攻击。即将TCP包头分别放在几个不同的数据包中，从而躲过包过滤防火墙的检测。2022-7-3033l这种扫描攻击用来确定目标主机上哪个UDP端口开放。通常是通过发送零字节的UDP数据包到目标机器的各个UDP端口，如果我们收到一个ICMP端口无法到达的回应，那么该端口是关闭的，否则我们可以认为它是敞开大门的。lUDP扫描的意义：确定目标主机是否存在那些基于UDP协议的服务如snmp,t

14、ftp,NFS,DNS。lICMP数据包的发送速度有限制。而UDP扫描速度更快。2022-7-3034l TCP扫描的响应：l目标主机响应SYN/ACK，则表示这个端口开放。l目标主机发送RST，则表示这个端口没有开放。l目标主机没有响应，则可能是有防火墙或主机未运行。l UDP扫描的响应：l目标主机响应端口不可达的ICMP报文则表示这个端口关闭。l目标主机没有响应，并且目标主机响应了ping，则这个端口被打开，如果防火墙阻塞了ICMP消息，则这个端口可能是关闭的。随着防火墙的广泛应用，普通的扫描很难穿过防火随着防火墙的广泛应用，普通的扫描很难穿过防火墙去扫描受防火墙保护的网络。即使扫描能穿过

15、防墙去扫描受防火墙保护的网络。即使扫描能穿过防火墙，扫描的行为仍然有可能会被防火墙记录下来。火墙，扫描的行为仍然有可能会被防火墙记录下来。如果如果扫描是对非连续性端口、源地址不一致、时间扫描是对非连续性端口、源地址不一致、时间间隔很长且没有规律的扫描间隔很长且没有规律的扫描的话，这些扫描的记录的话，这些扫描的记录就会淹没在其他众多杂乱的日志内容中。使用慢速就会淹没在其他众多杂乱的日志内容中。使用慢速扫描的目的也就是这样，骗过防火墙和入侵检测系扫描的目的也就是这样，骗过防火墙和入侵检测系统而收集信息。虽然扫描所用的时间较长，但这是统而收集信息。虽然扫描所用的时间较长，但这是一种比较难以被发现的扫

16、描。一种比较难以被发现的扫描。慢速扫描乱序扫描2022-7-3037l用Sun RPC程序的NULL命令来确定是否有RPC端口开放，如果有，运行什么程序，何种版本。这种扫描相当于执行rpcinfo -p命令。2022-7-30382022-7-30392022-7-3040lNMAP，winmap www.insecure.orglFoundstone公司的Robin keir开发的superscan l流光 fluxay4.7 http:/ 关闭所有不必要的端口 l 自己定期的扫描网络主机、开放的端口 l 使用基于状态数据包过滤器或是代理等智能防火墙来阻塞黑客的扫描攻击 2022-7-304

17、2l 根据不同类型的操作系统的TCP/IP协议栈的实现特征(stack fingerprinting)来判别主机的操作系统类型。l 不同的操作系统厂商的TCP/IP协议栈实现存在细微差异，对于特定的RFC文档作出不同的解释。l 向目标主机发送特殊的数据包，然后根据目标主机的返回信息在扫描工具的操作系统指纹特征数据库中查找匹配的操作系统名。2022-7-3043l 主动协议栈指纹识别：扫描器主动地向目标系统发送特殊格式的数据包，这种方式可能会被网络IDS系统检测出来。l 被动协议栈指纹识别：通过被动地监听网络流量，来确定目标主机地操作系统。一般根据数据包的一些被动特征：TTL，窗口大小，DF等。

18、2022-7-3044l 在第一次连接时，许多软件都公布了版本号(如sendmail,FTP,IMAPD，Apache等)。黑客根据这些连接信息(banner)就可以知道目标的应用软件的版本信息。根据版本号很容易在网上查到它的已知漏洞，根据这些漏洞对目标主机进行攻击。NMap扫描器 Nmap (Network Mapper) 是一款开放源代码的网络探测和安全审核的工具。 它的设计目标是快速地扫描一个网络或一台主机上的开放的端口。 Nmap使用原始IP包来发现网络上有哪些主机，那些主机提供什么服务(应用程序名和版本)，那些服务运行在什么操作系统(包括版本信息)，使用什么类型的包过滤器/防火墙，以

19、及一些其它功能。 Nmap原来是用于Unix系统的命令行应用程序。但自从2000年以来，这个应用程序就有了Windows版本。但在Windows平台上至今还没有提供图形界面， Nmap简介 Nmap输出的是扫描目标的列表，以及每个目标的补充信息，至于是哪些信息则依赖于所使用的选项。 “所感兴趣的端口表”是输出信息的关键。表中列出端口号、协议、服务名称和状态。 状态可能是open(开放的)、filtered(被过滤的)、closed(关闭的)或者unfiltered(未被过滤的)。 如果Nmap报告状态组合open|filtered和closed|filtered时，那说明Nmap无法确定该端口

20、处于两个状态中的哪一个状态。 当要求进行版本探测时，也可以包含软件的版本信息。 当要求进行IP协议扫描时，Nmap提供所支持的IP协议而不是正在监听的端口的信息。 除了端口表，Nmap还能提供关于目标主机的进一步信息，包括反向域名、操作系统猜测、设备类型和MAC地址等 端口扫描器设定主机设定端口范围扫描结果漏洞扫描 漏洞，又称脆弱性(vulnerability)，是计算机系统在硬件、软件、协议的具体实现和系统安全策略上存在缺陷和不足，从而可以使攻击者能够在未授权的情况下访问或破坏系统。 在不同的软、硬件设备中，不同系统中或同种系统在不同的设置条件下，都会存在各自不同的漏洞。而且漏洞问题是不可避

21、免的，它将长期存在。 漏洞本身并不能对系统安全造成什么损害，关键问题在于攻击者可以利用这些漏洞引发安全事件。漏洞的分类 从脆弱性来源划分 系统配置不当导致的脆弱性 各种系统软件、应用软件存在脆弱性 系统的某些功能自身存在安全隐患 操作系统本身存在安全隐患 从网络攻击的角度 非法获取系统操作权限 执行任意代码非法读写系统文件拒绝服务口令获取服务信息泄漏伪造信息欺骗设置后门 漏洞分级:根据对系统造成的潜在威胁以及被利用的可能性可将各种安全漏洞进行分级，可以分为高、中、低3级 ; 漏洞库:漏洞库就是把所有系统安全漏洞及其相关信息存储到数据库中，方便计算机用户更详细地了解系统安全漏洞，方便用户检索自己

22、的系统会存在哪些漏洞，可能对系统安全造成什么危害以及如何补救等等。 国内较知名的公布漏洞方面的站点 :国家计算机网络入侵防范中心（http:/）绿盟科技（http:/）安全焦点（http:/）中国信息安全论坛（http:/）安络科技（http:/）20CN网络安全小组（http:/）中国计算机网络应急处理协调中心（http:/ 国际安全组织建立的漏洞库BugTraq漏洞库ICAT漏洞库CERT/CC漏洞库SANS漏洞库ISS的X-Force漏洞库Security focus漏洞库CVE(Common Vulnerability and Exposures) 漏洞库等漏洞扫描技术 根据扫描的目标

23、，扫描器产品可分为基于主机的和基于网络的两种。 基于主机的扫描是在被检查主机上运行扫描器，检查所在主机上面的漏洞； 而基于网络的扫描是通过网络远程探测其他主机的安全漏洞。 根据扫描方法，可以将脆弱性扫描分为静态检查和动态测试法： 静态检查：根据安全脆弱点数据库，建立特定于具体网络环境和系统的检测表，表中存放了关于已知的脆弱点和配置错误的内容，检查程序逐项检查表中的每一项并和系统进行对比。如果系统与之相符，则该项通过了检测。若不符合，则报告并建议修复措施。 动态测试：应用特定的脚本或程序去检查或试探主机或网络是否具有某种脆弱点。58工具 (1)X-Port (2)PortScanner (3)S

24、uperScan (4)流光 (5)X-Scan X-Scan解压后即可运行，X-Scan程序的主界面如图3-1所示。X-ScanXSCAN2022-7-3062其它漏洞扫描工具l Nessus：最好的开放源代码风险评估工具，可以运行在Linux、BSD、Solaris。能够完成超过1200项的远程安全检查，具有多种报告输出能力。并且会为每一个发现的安全问题提出解决建议。 网址：http:/www.nessus.orgl ISS Internet Scanner：（应用层风险评估工具） 商业漏洞扫描软件。l Retina（eEye公司的风险评估扫描工具）：Retina的功能是扫描网络内所有的主

25、机并且报告发现的每一个缺陷。 Retina2022-7-3064l Nessus：最好的开放源代码风险评估工具，可以运行在Linux、BSD、Solaris。能够完成超过1200项的远程安全检查，具有多种报告输出能力。并且会为每一个发现的安全问题提出解决建议。 网址：http:/www.nessus.orgl ISS Internet Scanner：（应用层风险评估工具） 商业漏洞扫描软件。l Retina（eEye公司的风险评估扫描工具）：Retina的功能是扫描网络内所有的主机并且报告发现的每一个缺陷。 MBSA：Microsoft 基线安全性分析器，可针对其产品更新进行检查并提供已知漏

26、洞修补。MBSA基于本地安全检查，准确性高，但需要管理员权限。 Tenable Nessus：扫描侦测系统的漏洞信息并提供详细的分析报告，包括漏洞数目统计、严重性等。针对扫描结果，提供安全建议及修补信息等。远程扫描不需要任何权限，漏洞扫描准确性稍差。Microsoft (MBSA) 操作平台： Windows 2000 和 Windows XP Internet Explorer 5.01 或更新版本 需要一个 XML 剖析器 (MSXML 版本 3.0 SP2)。 若要进行远程 IIS 计算机扫描，则安装此工具的计算机必须含有 IIS Common Files。 MBSA 2.0下载： ht

27、tp:/ (MBSA) 可以扫描下列产品存在的安全漏洞：Windows NT 4.0、Windows 2000、Windows XP、Internet Information Server (IIS) 4.0 和 5.0、SQL Server 7.0 和 2000、Internet Explorer (IE) 5.01 或更新版本及 Office 2000 和 2002。 最终产生一个 XML格式的安全性报告文件并以 HTML 的格式显示报告。 MBSA使用選擇掃瞄主機MBSA使用设定扫描种类MBSA使用结果报告便利連結，直接修補MBSA使用建议更新MBSA使用再扫描成果建议操作流程 定期进行

28、漏洞扫描 检视漏洞扫描分析报告并修正存在的漏洞 进行安全组件的更新 修补漏洞 再次进行漏洞扫描，确认漏洞是否已获得修补Nessus简介 Nessus是采用Client-server架构的远程漏洞扫描系统。server端执行漏洞探测，client端执行漏洞扫描设置及显示报告。 Server：Solaris, FreeBSD, GNU/Linux，windows。 Client：GTK、Java、Windows。 Nessus采用插件式(Plug-in)结构，将要扫描的漏洞作为插件方便地添加到系统中。 为方便用户编写自己的漏洞测试项，Nessus提供攻击脚本语言NASL(Nessus Attack

29、 Script Language) 检查的结果可以使用HTML、纯文本、XML、LaTeX等格式保存。 Nessus下载： http:/www.nessus.org/Nessus使用Nessus使用设定扫描目标Localhost 或 被掃瞄IPNessus使用设定扫描类型Nessus使用选择nessus服务器請選擇此項，除非您自己架Nessus主機。Nessus使用扫描报告Nessus使用远程扫描报告Tenable Nessus 3.03下載http:/www.nessus.org/System Vulnerabilities SANS Top 20 SANS Institute and th

30、e National Infrastructure Protection Center (NIPC) at the FBI released a document summarizing the Ten Most Critical Internet Security Vulnerabilities. “The vast majority of worms and other successful cyber attacks are made possible by vulnerabilities in a small number of common operating system serv

31、ices.” http:/www.sans.org/top20/ Top Vulnerabilities to Windows Systems from SANs Top 20 W1 Web Servers & Services W2 Workstation Service W3 Windows Remote Access Services W4 Microsoft SQL Server (MSSQL) W5 Windows Authentication W6 Web Browsers W7 File-Sharing Applications W8 LSAS Exposures W9 Mail

32、 Client W10 Instant Messaging Top Vulnerabilities to Unix Systems from SANs Top 20 U1 BIND Domain Name System U2 Web Server U3 Authentication U4 Version Control Systems U5 Mail Transport Service U6 Simple Network Management Protocol (SNMP) U7 Open Secure Sockets Layer (SSL) U8 Misconfiguration of Enterprise Services NIS/NFS U9 Databases U10 Kernel 著名的计算机漏洞数据库 CERT www.cert.org CVE www.cve.mitre.org BUGTRAQ http:/ US-CERT http:/www.kb.cert.org/vuls/ IBM ISS XFORCE http:/ National Vulnerability Database http:/nvd.nist.gov/ OSVDB http:/osvdb.org/CVEOSVDB