日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

安全第一 網(wǎng)絡(luò)端口掃描技術(shù)介紹( 七 )

云知道


棧指紋
絕大部分安全漏洞與缺陷都與操作系統(tǒng)相關(guān),因此遠(yuǎn)程操作系統(tǒng)探測(cè)是系統(tǒng)管理員關(guān)心的一個(gè)問(wèn)題 。
遠(yuǎn)程操作系統(tǒng)探測(cè)不是一個(gè)新問(wèn)題 。近年來(lái),TCP/IP實(shí)現(xiàn)提供了主機(jī)操作系統(tǒng)信息服務(wù) 。FTP,TELNET,HTTP和DNS服務(wù)器就是很好的例子 。然而,實(shí)際上提供的信息都是不完整的,甚至有可能是錯(cuò)誤的 。最初的掃描器,依靠檢測(cè)不同操作系統(tǒng)對(duì)TCP/IP的不同實(shí)現(xiàn)來(lái)識(shí)別操作系統(tǒng) 。由于差別的有限性,現(xiàn)在只能最多只能識(shí)別出10余種操作系統(tǒng) 。
最近出現(xiàn)的兩個(gè)掃描器,QueSO和NMAP,在指紋掃描中引入了新的技術(shù) 。QueSO第一個(gè)實(shí)現(xiàn)了使用分離的數(shù)據(jù)庫(kù)于指紋 。NMAP包含了很多的操作系統(tǒng)探測(cè)技術(shù),定義了一個(gè)模板數(shù)據(jù)結(jié)構(gòu)來(lái)描述指紋 。由于新的指紋可以很容易地以模板的形式加入,NMAP指紋數(shù)據(jù)庫(kù)是不斷增長(zhǎng)的,它能識(shí)別的操作系統(tǒng)也越來(lái)越多 。
這種使用掃描器判斷遠(yuǎn)程操作系統(tǒng)的技術(shù)稱為(TCP/IP)棧指紋技術(shù) 。
另外有一種技術(shù)稱為活動(dòng)探測(cè) ?;顒?dòng)探測(cè)把TCP的實(shí)現(xiàn)看作一個(gè)黑盒子 。通過(guò)研究TCP對(duì)探測(cè)的回應(yīng),就可以發(fā)現(xiàn) TCP實(shí)現(xiàn)的特點(diǎn) 。TCP/IP 棧指紋技術(shù)是活動(dòng)探測(cè)的一個(gè)變種,它適用于整個(gè)TCP/IP協(xié)議的實(shí)現(xiàn)和操作系統(tǒng) 。棧指紋使用好幾種技術(shù)來(lái)探測(cè)TCP/IP協(xié)議棧和操作系統(tǒng)的細(xì)微區(qū)別 。這些信息用來(lái)創(chuàng)建一個(gè)指紋,然后跟已知的指紋進(jìn)行比較,就可以判斷出當(dāng)前被掃描的操作系統(tǒng) 。
棧指紋掃描包含了相當(dāng)多的技術(shù) 。下面是一個(gè)不太完整的清單:
1:FIN探測(cè)
2:BOGUS標(biāo)記探測(cè)
3:TCP ISN 取樣
4:TCP 初始窗口
5:ACK值
6:ICMP錯(cuò)誤信息
7:ICMP信息
8:服務(wù)類型
9:TCP選項(xiàng)
二:全TCP連接和SYN掃描器
全TCP連接
全TCP連接是長(zhǎng)期以來(lái)TCP端口掃描的基礎(chǔ) 。掃描主機(jī)嘗試(使用三次握手)與目的機(jī)指定端口建立建立正規(guī)的連接 。連接由系統(tǒng)調(diào)用connect()開始 。對(duì)于每一個(gè)監(jiān)聽端口,connect()會(huì)獲得成功,否則返回-1,表示端口不可訪問(wèn) 。由于通常情況下,這不需要什么特權(quán),所以幾乎所有的用戶(包括多用戶環(huán)境下)都可以通過(guò)connect來(lái)實(shí)現(xiàn)這個(gè)技術(shù) 。
這種掃描方法很容易檢測(cè)出來(lái)(在日志文件中會(huì)有大量密集的連接和錯(cuò)誤記錄) 。Courtney,GabrIEl和TCP Wrapper監(jiān)測(cè)程序通常用來(lái)進(jìn)行監(jiān)測(cè) 。另外,TCP Wrapper可以對(duì)連接請(qǐng)求進(jìn)行控制,所以它可以用來(lái)阻止來(lái)自不明主機(jī)的全連接掃描 。
TCP SYN掃描
在這種技術(shù)中,掃描主機(jī)向目標(biāo)主機(jī)的選擇端口發(fā)送SYN數(shù)據(jù)段 。如果應(yīng)答是RST,那么說(shuō)明端口是關(guān)閉的,按照設(shè)定就探聽其它端口;如果應(yīng)答中包含SYN和ACK,說(shuō)明目標(biāo)端口處于監(jiān)聽狀態(tài) 。由于所有的掃描主機(jī)都需要知道這個(gè)信息,傳送一個(gè)RST給目標(biāo)機(jī)從而停止建立連接 。由于在SYN掃描時(shí),全連接尚未建立,所以這種技術(shù)通常被稱為半打開掃描 。SYN掃描的優(yōu)點(diǎn)在于即使日志中對(duì)掃描有所記錄,但是嘗試進(jìn)行連接的記錄也要比全掃描少得多 。缺點(diǎn)是在大部分操作系統(tǒng)下,發(fā)送主機(jī)需要構(gòu)造適用于這種掃描的IP包,通常情況下,構(gòu)造SYN數(shù)據(jù)包需要超級(jí)用戶或者授權(quán)用戶訪問(wèn)專門的系統(tǒng)調(diào)用 。
三:秘密掃描與間接掃描
秘密掃描技術(shù)
由于這種技術(shù)不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分,所以無(wú)法被記錄下來(lái),從而必SYN掃描隱蔽得多 。另外,F(xiàn)IN數(shù)據(jù)包能夠通過(guò)只監(jiān)測(cè)SYN包的包過(guò)濾器 。
秘密掃描技術(shù)使用FIN數(shù)據(jù)包來(lái)探聽端口 。當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口,數(shù)據(jù)包會(huì)被丟掉,并且回返回一個(gè)RST數(shù)據(jù)包 。否則,當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)打開的端口,數(shù)據(jù)包只是簡(jiǎn)單的丟掉(不返回RST) 。

推薦閱讀