以太網(wǎng)中網(wǎng)絡(luò )掃描的原理與檢測方法

對網(wǎng)絡(luò )掃描原理和現有基本方法進(jìn)行了分析,并設計了一個(gè)陷阱機來(lái)檢測所在網(wǎng)段中的網(wǎng)絡(luò )掃描行為。

　　關(guān)鍵詞: 網(wǎng)絡(luò )掃描 網(wǎng)絡(luò )掃描檢測 陷阱機

　　網(wǎng)絡(luò )掃描通過(guò)掃描本地主機,能檢測主機當前可用的服務(wù)及其開(kāi)放端口,幫助網(wǎng)絡(luò )管理員查找安全漏洞,查殺木馬、蠕蟲(chóng)等危害系統安全的病毒。一些掃描器還封裝了簡(jiǎn)單的密碼探測,利用自定義規則的密碼生成器來(lái)檢測過(guò)于簡(jiǎn)單和不安全的密碼。

　　網(wǎng)絡(luò )掃描一般包括2個(gè)階段:(1)對整個(gè)網(wǎng)絡(luò )掃描一遍,從而找到活動(dòng)主機(因為許多子網(wǎng)配置得很稀疏,大部分IP地址是空的)。(2)對每個(gè)活動(dòng)主機進(jìn)行窮盡式的端口掃描。

　　網(wǎng)絡(luò )掃描也是網(wǎng)絡(luò )入侵的基礎。一次成功的網(wǎng)絡(luò )入侵離不開(kāi)周密的網(wǎng)絡(luò )掃描。攻擊者利用網(wǎng)絡(luò )掃描探知目標主機的各種信息,根據掃描的結果選擇攻擊方法以達到目的。因此,若能及時(shí)監測、識別網(wǎng)絡(luò )掃描,就能預防網(wǎng)絡(luò )攻擊。為了得到被掃描主機的信息,網(wǎng)絡(luò )掃描報文對應的源地址往往是真正的地址,因此監測網(wǎng)絡(luò )掃描可以定位攻擊者。

1 網(wǎng)絡(luò )掃描原理

　　網(wǎng)絡(luò )掃描通過(guò)檢測目標主機TCP/IP不同端口的服務(wù),記錄目標給予的回答。通過(guò)這種方法,可以搜集到很多目標主機的各種信息(如是否能用匿名登錄,是否有可寫(xiě)的FTP目錄,是否能用Telnet等)。在獲得目標主機TCP/IP端口和其對應的網(wǎng)絡(luò )訪(fǎng)問(wèn)服務(wù)的相關(guān)信息后,與網(wǎng)絡(luò )漏洞掃描系統提供的漏洞庫進(jìn)行匹配,如果滿(mǎn)足匹配條件,則視為漏洞存在。

　　在匹配原理上,網(wǎng)絡(luò )漏洞掃描器一般采用基于規則的匹配技術(shù)。根據安全專(zhuān)家對網(wǎng)絡(luò )系統安全漏洞、黑客攻擊案例的分析和系統管理員關(guān)于網(wǎng)絡(luò )系統安全配置的實(shí)際經(jīng)驗,形成一套標準的系統漏洞庫,然后在此基礎上構成相應的匹配規則,由程序自動(dòng)進(jìn)行系統漏洞掃描的分析工作。如在對TCP 80端口的掃描過(guò)程中,發(fā)現/cgi-bin/phf或/cgi-bin/Count.cgi,則根據專(zhuān)家經(jīng)驗以及CGI程序的共享性和標準化,可以推知該WWW服務(wù)存在2個(gè)CGI漏洞。

1.1 主機在線(xiàn)探測

　　為了避免不必要的空掃描,在掃描之前一般要先探測主機是否在線(xiàn)。其實(shí)現原理和常用的ping命令相似。具體方法是向目標主機發(fā)送ICMP報文請求,根據返回值來(lái)判斷主機是否在線(xiàn)。所有安裝了TCP/IP協(xié)議的在線(xiàn)網(wǎng)絡(luò )主機,都會(huì )對這樣的ICMP報文請求給予答復。該方法不僅能探測主機是否在線(xiàn),而且能根據ICMP應答報文的TTL(TTL是位于IP首部的生存時(shí)間字段)值來(lái)粗略分辨出目標主機操作系統,為下一步的掃描工作提供依據。RFC793說(shuō)明了TCP怎樣響應特別的信息包:這些響應基于2個(gè)TCP狀態(tài),即關(guān)閉(CLOSED)和監聽(tīng)(LISTEN)。

　　RFC793描述了當一個(gè)端口在關(guān)閉狀態(tài)時(shí),必須采用下面的規則:(1)任意進(jìn)入的包含RST標志的信息段(segment)將被丟棄。(2)任意進(jìn)入的不包含RST標志的信息段(如SYN、FIN和ACK)會(huì )導致在響應中回送一個(gè)RST?！?/span>

　　當一個(gè)端口處于監聽(tīng)狀態(tài)時(shí),將采用下面的規則:(1)任意進(jìn)入的包含RST標志的信息段將被忽略。(2)任意進(jìn)入的包含ACK標志的信息段將導致一個(gè)RST的響應。

　　如果SYN位被設置,且進(jìn)入的信息段不被允許,則將導致一個(gè)RST的響應;若進(jìn)入的信息段被允許,則將導致響應中發(fā)送一個(gè)SYN|ACK 信息包。

　　這樣,通過(guò)2個(gè)ACK信息包的發(fā)送就可以驗證計算機是否處于在線(xiàn)狀態(tài)。

1.2 端口狀態(tài)探測

　　發(fā)送1個(gè)SYN包到主機端口并等待響應。如果端口打開(kāi),則響應必定是SYN|ACK;如果端口關(guān)閉,則會(huì )收到RST|ACK響應。這個(gè)掃描可以稱(chēng)為半打開(kāi)(half-scan)掃描。如NMAP(Network Mapper)在進(jìn)行端口狀態(tài)探測時(shí)會(huì )發(fā)送1個(gè)SYN包到主機,如果端口關(guān)閉就發(fā)送RST信息通知NMAP。但如果NMAP發(fā)送SYN信息包到打開(kāi)狀態(tài)的端口,端口就會(huì )響應SYN|ACK信息包給NMAP。當NMAP探測到SYN|ACK信息包后自動(dòng)回應RST,并由這個(gè)RST斷開(kāi)連接。一般情況下,計算機不會(huì )記錄這種情況,但對于NMAP來(lái)說(shuō)也已經(jīng)知道端口是否打開(kāi)或者關(guān)閉。如果被掃描主機安裝了防火墻則會(huì )過(guò)濾掉請求包,使發(fā)送者得不到回應,這時(shí)就需發(fā)送設置了TCP首部中標志位的FIN、PSH和URG位(其中FIN表示發(fā)端完成發(fā)送任務(wù),PSH表示接收方應該盡快將這個(gè)報文段交給應用層,URG表示緊急指針有效)的echo request請求信息包。因為一些配置較差的防火墻允許這些信息包通過(guò)。

1.3 操作系統探測

　　每個(gè)操作系統,甚至每個(gè)內核修訂版本在TCP/IP棧方面都存在微小的差別,這將直接影響對相應數據包的響應。如NMAP提供了一個(gè)響應列表,把所接收到的響應與表中的各項響應進(jìn)行比較,如果能與某種操作系統的響應相匹配,就能識別出被探測主機所運行的操作系統的類(lèi)型。在進(jìn)行網(wǎng)絡(luò )入侵攻擊時(shí),了解操作系統的類(lèi)型是相當重要的,因為攻擊者可以由此明確應用何種漏洞,或由此掌握系統存在的弱點(diǎn)。

2 主要掃描技術(shù)

2.1 TCP connect掃描

　　這是最基本的TCP掃描。利用操作系統提供的系統調用connect(),與每一個(gè)感興趣的目標計算機的端口進(jìn)行連接。如果端口處于偵聽(tīng)狀態(tài),則connect()就能成功。否則,該端口是不能用的,即沒(méi)有提供服務(wù)。該技術(shù)的優(yōu)點(diǎn)是響應速度快,并且使用者不需要任何權限。系統中的任何用戶(hù)都有權利使用該調用。另一個(gè)優(yōu)點(diǎn)就是速度很快。但缺點(diǎn)是容易被發(fā)覺(jué),并且易被過(guò)濾掉。使用該方法時(shí)目標計算機的logs文件會(huì )顯示一連串的連接和連接時(shí)出錯的服務(wù)消息,并且能很快將連接關(guān)閉。

2.2 TCP SYN掃描

　　TCP SYN掃描是半開(kāi)放式掃描,掃描程序不必打開(kāi)一個(gè)完全的TCP連接。掃描程序發(fā)送的是SYN數據包。返回RST,表示端口沒(méi)有處于偵聽(tīng)狀態(tài);返回SYN/ACK信息表示端口處于偵聽(tīng)狀態(tài),此時(shí)掃描程序必須再發(fā)送一個(gè)RST信號來(lái)關(guān)閉這個(gè)連接過(guò)程。這種掃描技術(shù)的優(yōu)點(diǎn)是一般不會(huì )在目標計算機上留下記錄。但這種方法必須要有管理員權限才能建立自己的SYN數據包。通常這個(gè)條件很容易滿(mǎn)足。

2.3 TCP FIN掃描

　　有時(shí)SYN掃描不夠秘密,防火墻和包過(guò)濾器就會(huì )對一些指定的端口進(jìn)行監視,并能檢測到這些掃描。相反,FIN數據包可能會(huì )沒(méi)有任何麻煩地被放行。這種掃描方法的思想是關(guān)閉的端口會(huì )用適當的RST來(lái)回復FIN數據包;而打開(kāi)的端口會(huì )忽略對FIN數據包的回復。但這種方法和系統的實(shí)現有關(guān)。有的系統不管端口是否打開(kāi),都回復RST,這時(shí)這種掃描方法就不適用了。在區分Unix和NT操作系統時(shí),這種方法是有效的。

2.4 IP段掃描

　　IP段掃描并不是直接發(fā)送TCP探測數據包,而是將數據包分成2個(gè)較小的IP段。這樣就將一個(gè)TCP頭分成好幾個(gè)數據包,從而很難探測到過(guò)濾器。但必須小心,一些程序在處理這些小數據包時(shí)會(huì )丟棄。

2.5 TCP反向ident掃描

　　ident協(xié)議(RFC1413)允許看到通過(guò)TCP連接的任何進(jìn)程的擁有者的用戶(hù)名。例如用戶(hù)能連接到http端口,然后用identd來(lái)發(fā)現服務(wù)器是否正在以管理員權限運行。這種方法只能在和目標端口建立了完整的TCP連接后才能使用。