1 引言
網洛掃瞄,是基于Internetde、探測遠端網洛或主機信息de一種技術,也是保證系統和網洛安全必不可少de一種手段。主機掃瞄,是指對計算機主機或者其它網洛設備進行安全性檢測,以找出安全隱患和系統漏洞。總體而言,網洛掃瞄和主機掃瞄都可歸入漏洞掃瞄一類。漏洞掃瞄本質上是一把雙刃劍:黑客利用它來尋找對網洛或系統發起攻擊de途徑,而系統管理員則利用它來有效防范黑客入侵。通過漏洞掃瞄,掃瞄者能夠發現遠端網洛或主機de配置信息、 TCP/UDP端口de分配、提供de網洛服務、服務器de具體信息等。
2 漏洞掃瞄原理
漏洞掃瞄可以劃分為ping掃瞄、端口掃瞄、OS探測、脆弱點探測、防火墻掃瞄五種主要技術,每種技術實現de目標和運用de原理各不相同。按照 TCP/IP協議簇de結構,ping掃瞄工作在互聯網洛層:端口掃瞄、防火墻探測工作在傳輸層;0S探測、脆弱點探測工作在互聯網洛層、傳輸層、應用層。 ping掃瞄確定目標主機deIP地址,端口掃瞄探測目標主機所開放de端口,然后基于端口掃瞄de結果,進行OS探測和脆弱點掃瞄。
2.1 Ping掃瞄
ping掃瞄是指偵測主機IP地址de掃瞄。ping掃瞄de目de,就是確認目標主機deTCP/IP網洛是否聯通,即掃瞄deIP地址是否分配了主機。對沒有任何預知信息de黑客而言,ping掃瞄是進行漏洞掃瞄及入侵de第一步;對已經了解網洛整體IP劃分de網洛安全人員來講,也可以借助ping掃瞄,對主機deIP分配有一個精確de定位。大體上,ping掃瞄是基于ICMP協議de。其主要思想,就是構造一個ICMP包,發送給目標主機,從得到de響應來進行判斷。根據構造ICMP包de不同,分為ECH0掃瞄和nonECHO掃瞄兩種。
2.1.1 ECH0掃瞄
向目標IP地址發送一個ICMP ECHOREQUEST(ICMP type 8)de包,等待是否收至UICMP ECHO REPLY(ICMP type 0)。如果收到了ICMP ECHO REPLY,就表示目標IP上存在主機,否則就說明沒有主機。值得注意de是,如果目標網洛上de防火墻配置為阻止ICMP ECH0流量,ECH0掃瞄不能真實反映目標IP上是否存在主機。
此外,如果向廣播地址發送ICMPECHO REQUEST,網洛中deunix主機會響應該請求,而windows主機不會生成響應,這也可以用來進行OS探測。
2.1.2 non-ECH0掃瞄
向目deIP地址發送一個ICMP TIMESTAMP REQUEST(ICMP type l3),或ICMP ADDRESS MASK REQUEST (ICMP type l7)de包,根據是否收到響應,可以確定目de主機是否存在。當目標網洛上de防火墻配置為阻止ICMP ECH0流量時,則可以用non.ECH0掃瞄來進行主機探測。
2.2端口掃瞄
端口掃瞄用來探測主機所開放de端口。端口掃瞄通常只做最簡單de端口聯通性測試,不做進一步de數據分析,因此比較適合進行大范圍de掃瞄:對指定 IP地址進行某個端口值段de掃瞄,或者指定端口值對某個IP地址段進行掃瞄。根據端口掃瞄使用de協議,分為TCP掃瞄和UDP掃瞄。
2.2.1 TCP掃瞄
主機間建立TCP連接分三步(也稱三次握手):
(1)請求端發送一個SYN包,指明打算連接de目de端口。
(2)觀察目de端返回de包:
返回SYN/ACK包,說明目de端口處于偵聽狀態;
返回RST/ACK包,說明目de端口沒有偵聽,連接重置。
(3)若返回SYN/ACK包,則請求端向目de端口發送ACK包完成3次握手,TCP連接建立。
根據TCP連接de建立步驟,TCP掃瞄主要包含兩種方式:
(1)TCP全連接和半連接掃瞄
全連接掃瞄通過三次握手,與目de主機建立TCP連接,目de主機delog文件中將記錄這次連接。而半連接掃瞄(也稱TCP SYN掃瞄)并不完成TCP三次握手de全過程。掃瞄者發送SYN包開始三次握手,等待目de主機de響應。如果收到SYN/ACK包,則說明目標端口處于偵聽狀態,掃瞄者馬上發送RST包,中止三次握手。因為半連接掃瞄并沒有建立TCP連接,目de主機delog文件中可能不會記錄此掃瞄。
(2)TCP隱蔽掃瞄
根據TCP協議,處于關閉狀態de端口,在收到探測包時會響應RST包,而處于偵聽狀態de端口則忽略此探測包。根據探測包中各標志位設置de不同,TCP隱蔽掃瞄又分為SYN/ACK掃瞄、FIN掃瞄、XMAS(圣誕樹)掃瞄和NULL掃瞄四種。
SYN/ACK掃瞄和FIN掃瞄均繞過TCP三次握手過程de第一步,直接給目de端口發送SYN/ACK包或者FIN包。因為TCP是基于連接de協議,目標主機認為發送方在第一步中應該發送deSYN包沒有送出,從而定義這次連接過程錯誤,會發送一個RST包以重置連接。而這正是掃瞄者需要de結果 只要有響應,就說明目標系統存在,且目標端口處于關閉狀態。
XMAS掃瞄和NULL掃瞄:這兩類掃瞄正好相反,XMAS掃瞄設置TCP包中所有標志位(URG、ACK、RST、PSH、SYN、FIN),而NULL掃瞄則關閉TCP包中de所有標志位。
2.2.2 UDP端口掃瞄
UDP協議是數據包協議,為了要發現正在服務deUDP端口,通常de掃瞄方式是構造一個內容為空deUDP數據包送往目de端口。若目de端口上有服務正在等待,則目de端口返回錯誤de消息;若目de端口處于關閉狀態,則目de主機返回ICMP端口不可達消息。因為UDP端口掃瞄軟件要計算傳輸中丟包de數量,所以UDP端口掃瞄de速度很慢。
2.3 0S探測
OS探測有雙重目de:一是探測目標主機de0S信息,二是探測提供服務de計算機程序de信息。比如OS探測de結果是:OS是Windows XP sp3,服務器平臺是IIS 4.0。
2.3.1二進制信息探測
通過登錄目標主機,從主機返回debanner中得知OS類型、版本等,這是最簡單de0S探測技術。
二進制信息
從圖l可以看出,在telnet連上FTP服務器后,服務器返回debanner已經提供了serverde信息,在執行ftpdesyst命令后可得到更具體de信息。
2.3.2 HTTP響應分析
在和目標主機建立HTTP連接后,可以分析服務器de響應包得出OS類型。比如響應包中可能包含如下信息:
響應包分析
從中對響應包中de數據分析,可以得到serverde信息。
2.3.3棧指紋分析
網洛上de主機都會通過TCP/IP或類似de協議棧來互通互聯。由于0S開發商不唯一,系統架構多樣,甚至是軟件版本de差異,都導致了協議棧具體實現上de不同。對錯誤包de響應,默認值等都可以作為區分0Sde依據。
(1)主動棧指紋探測
主動棧指紋探測是主動向主機發起連接,并分析收到de響應,從而確定OS類型de技術。
1)FIN探測。跳過TCP三次握手de順序,給目標主機發送一個FIN包。RFC793規定,正確de處理是沒有響應,但有些OS,如MS Windows,CISC0,HP/UX等會響應一個RST包。
2)Bogus標志探測。某些OS會設置SYN包中TCP頭de未定義位(一般為64或128),而某些0S在收到設置了這些Bogus位deSYN包后,會重置連接。
3)統計ICMP ERROR報文。RFCl812中規定了ICMP ERROR消息de發送速度。Linux設定了目標不可達消息上限為80個/4秒。0S探測時可以向隨機de高端UDP端口大量發包,然后統計收到de目標不可達消息。用此技術進行OS探測時時間會長一些,因為要大量發包,并且還要等待響應,同時也可能出現網洛中丟包de情況。
4)ICMPERROR報文引用。RFC文件中規定,ICMP ERROR消息要引用導致該消息deICMP消息de部分內容。例如對于端口不可達消息,某些OS返回收到deIP頭及后續de8個字節,Solaris返回de ERROR消息中則引用內容更多一些,而Linux比Solaris還要多。
(2)被動棧指紋探測
被動棧指紋探測是在網洛中監聽,分析系統流量,用默認值來猜測0S類型de技術。
1)TCP初始化窗口尺寸。通過分析響應中de初始窗口大小來猜測OSde技術比較可靠,因為很多0Sde初始窗口尺寸不同。比如AIX設置de初始窗口尺寸是0x3F25,而Windows NT5、OpenBSD、FreeBSD設置de值是0x402E。
2)Dont Fragment位。為了增進性能,某些0S在發送de包中設置了DF位,可以從DF位de設置情況中做大概de判斷。
3)TCPISN采樣。建立TCP連接時,SYN/ACK中初始序列號ISNde生成存在規律,比如固定不變、隨機增加 (Solaris,FreeBSD等),真正de隨機(Linux 2.0.*),而Windows使用de是時間相關模型,ISN在每個不同時間段都有固定de增量。
2.4脆弱點掃瞄
從對黑客攻擊行為de分析和脆弱點de分類,絕大多數掃瞄都是針對特定操作系統中特定de網洛服務來進行,即針對主機上de特定端口。脆弱點掃瞄使用de技術主要有基于脆弱點數據庫和基于插件兩種。
2.4.1基于脆弱點數據庫de掃瞄
首先構造掃瞄de環境模型,對系統中可能存在de脆弱點、過往黑客攻擊案例和系統管理員de安全配置進行建模與分析。其次基于分析de結果,生成一套標準de脆弱點數據庫及匹配模式。最后由程序基于脆弱點數據庫及匹配模式自動進行掃瞄工作。脆弱點掃瞄de準確性取決于脆弱點數據庫de完整性及有效性。
2.4.2基于插件de掃瞄
插件是由腳本語言編寫de子程序模塊,掃瞄程序可以通過調用插件來執行掃瞄。添加新de功能插件可以使掃瞄程序增加新de功能,或者增加可掃瞄脆弱點de類型與數量。也可以升級插件來更新脆弱點de特征信息,從而得到更為準確de結果。插件技術使脆弱點掃瞄軟件de升級維護變得相對簡單,而專用腳本語言de使用也簡化了編寫新插件de編程工作,使弱點掃瞄軟件具有很強de擴展性。
2.5防火墻規則探測
采用類似于traceroutedeIP數據包分析法,檢測能否給位于過濾設備后de主機發送一個特定de包,目de是便于漏洞掃瞄后de入侵或下次掃瞄de順利進行。通過這種掃瞄,可以探測防火墻上打開或允許通過de端口,并且探測防火墻規則中是否允許帶控制信息de包通過,更進一步,可以探測到位于數據包過濾設備后de路由器。
3 常見漏洞掃瞄程序
通常在制定漏洞掃瞄策略時,掃瞄者會考慮程序de操作系統、所應用de技術、易用性、準確性等因素。其中,程序de可用性是最重要de,也是最基本de,但是可控性和準確性同樣不容忽視。
3.1 Unix/Linux平臺
3.1.1 hping
hping支持TCP、UDP、ICMP、RAW-IP多種協議。特點在于能進行ping掃瞄、端口掃瞄、0S探測、防火墻探測等多種掃瞄,并能自定義發送deICMP/UDP/TCP包到目標地址并且顯示響應信息。
3.1.2 icmpush&icmpquery
icmpush&icmpqueryde特點在于完全應用了ICMP協議,可以定制ICMP包de結構以及種類。掃瞄者可以用這套工具把目標網洛de各個子網全部查找出來,從而可以撇開廣播地址而集中掃瞄某幾個特定de子網。
3.1.3 Xprobe 2
是專業de端口掃瞄、OS探測程序。特點在于自身de0S特征數據庫詳細,進行OS探測de可靠性較好。
3.1.4 THC-Anap
OS探測程序。特點在于掃瞄速度快,掃瞄結果可靠。
3.1.5 Whisker
針對CGIde脆弱點探測程序。應用了多線程、多文件掃瞄技術,脆弱點數據庫更新頻繁,對掃瞄結果自行復核,從而掃瞄結果可靠性好。
3.1.6 Nessus
脆弱點探測程序。應用了主動掃瞄、高速掃瞄技術,可設置掃瞄過程。特點在于支持DMZ區以及多物理分區網洛de大范圍掃瞄。
3.1.7 Firewalk
防火墻探測程序。使用類似traceroutede技術來分析IP包de響應,從而測定防火墻de訪問控制列表和繪制網洛拓撲圖。
3.2 Windows平臺
3.2.1 Pinger
是一個圖形化deping掃瞄工具。特點在于可以指定要pingdeIP地址,以圖形de形式顯示掃瞄結果,并保存至文本文件。
3.2.2 Fport
是端口掃瞄程序。特點在于可以把掃瞄出de端口與使用該端口de程序相匹配,掃瞄速度快,匹配程度較好。
3.2.3 SuperScan
可以進行ping掃瞄、端口掃瞄、0S探測,并且白帶一個木馬端口列表,可以檢測目標計算機是否有木馬。
3.2.4 GFILANguard
脆弱點探測程序。特點在于集成了網洛審計、補丁管理功能,可以自動生成網洛拓撲圖、自動補丁管理。
上述漏洞掃瞄程序及特點如表1所示。
4 結論
一般而言,綜合地應用多種掃瞄方法或掃瞄程序可以得到比較滿意de結果。但是漏洞掃瞄從其技術原理上分析,有不可忽視de副作用。比如對大范圍de IP地址或者端口進行某種掃瞄,反復高速de發出特定de連接請求,所造成de結果就是目標網洛及主機上存在大量de連接請求數據包,可以造成網洛擁塞,主機無法正常使用,這正是DoS攻擊de方法及表現。因此若要防范漏洞掃瞄以及可能deDoS攻擊,要做到以下三點:
1.在防火墻及過濾設備上采用嚴格de過濾規則,禁止掃瞄de數據包進入系統。
2.主機系統除了必要de網洛服務外,禁止其它de網洛應用程序。
3.對于只對內開放de網洛服務,更改其提供服務de端口。
此外,網洛掃瞄時發送de數據或多或少都會含有掃瞄者自身相關信息,從而也可以抓取掃瞄時de數據包,對掃瞄者進行反向追蹤,這也是一個值得研究de方向。
上一條:有效預防病毒
