黑客教材-网络扫描

第三章网络扫描1.主机发现技术主机发现技术主要分三种：ping扫描端口扫描ARP扫描ARP扫描ARP（AddressResolutionProtocol）即地址解析协议，它是用于局域网内的物理地址。ARP扫描是指通过向目标主机发送ARP请求（查询目标主机的物理地址），如果目标主机回应一个ARP响应报文，则说明它是存活的。下面是ARP扫描的示意图：2.端口扫描扫描基础IP数据报首部标志域TCP连接的建立过程TCP连接的释放过程TCP/IP实现遵循的原则IP数据报首部标志域URG：紧急数据标志，指明数据流中已经放置紧急数据，紧急指针有效；ACK：确认标志，用于对报文的确认；PSH：推标志，通知接收端尽可能的将数据传递给应用层，在telnet登陆时，会使用到这个标志；RST：复位标志，用于复位TCP连接；SYN：同步标志，用于三次握手的建立，提示接收TCP连接的服务端检查序号；FIN：结束标志，表示发送端已经没有数据再传输了，希望释放连接，但接收端仍然可以继续发送数据。TCP连接的建立过程TCP连接的释放过程TCP/IP实现遵循的原则原则1：当一个SYN或者FIN数据包到达一个关闭了的端口，服务器丢弃该数据包，并返回一个RST数据包；TCP/IP实现遵循的原则原则2：当一个RST数据包到达一个监听端口或者关闭的端口，RST数据包都会服务器被丢弃。TCP/IP实现遵循的原则原则3：当一个ACK数据包到达一个监听的端口，服务器会丢弃这个数据包，并回应一个RST数据包。TCP/IP实现遵循的原则原则4：当一个FIN数据包到达一个监听端口时，数据包将会被丢弃。3.端口扫描分类技术端口扫描分类扫描技术分析扫描分类TCP全连接开放扫描半开放扫描TCP反向ident扫描IP头信息dumb扫描SYN扫描FIN扫描隐蔽扫描TCP分段ACK扫描XMAS扫描空扫描扫射扫描SYN/ACK扫描ping扫射其它扫描UDP/ICMP不可达FTP弹跳UDP扫射UDPrecvfrom/write扫描ACK扫射SYN扫射ICMP扫射扫描技术分析完全连接扫描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口开放端口关闭扫描技术分析半连接SYN扫描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口开放端口关闭*立即切断连接扫描技术分析隐蔽扫描：SYN/ACKClientSYN/ACKServerRSTClientSYNServer--端口开放端口关闭扫描技术分析隐蔽扫描：FINClientFINServerRSTClientFINServer--端口开放端口关闭扫描技术分析隐蔽扫描：ACKClientFINServer(TTL64)Server(WIN0)ClientFINServer(TTL64)Server(WIN=0)端口开放端口关闭扫描技术分析其它扫描：ICMP*《ICMPUsageinScanning》4.端口扫描工具NmapXscanSuperScanShadowSecurityScannerMS06040ScannerNmap——探测工具王功能NMAP是探测网络主机和开放服务的佼佼者。是Linux下使用者的最爱，现在已经有Windows的版本。NMAP支持多种协议的扫描如UDP，TCPconnect,TCPSYN,ftpproxy(bounceattack),Reverse-ident,ICMP(pingsweep),FIN,ACKsweep,XmasTree,SYNsweep,和Null扫描。还提供一些实用功能，比如通过tcp/ip来甄别操作系统类型；秘密扫描、动态延迟和重发；欺骗扫描、端口过滤探测、分布扫描等。-sTTCPConnect()扫描这是对TCP的最基本形式的侦测。对目标主机端口进行试探，如果该端口开放，则连接成功，否则代表这个端口没有开放。-sSTCPSYN扫描就是我们介绍的‘半开’式的扫描，速度会比connect扫描快。-sF-sX–sNStealthFIN,XmasTree或者Null扫描模式。-sPPing扫描对指定的IP发送ICMP，如果对方屏蔽了echorequest，nmap还能发送一个TCPack包到80端口探测。-sUUDP扫描确定某个UDP端口是否打开。xscan选择‘无条件扫描’，才可以突破防火墙屏蔽ping，进行端口扫描。Superscan——速度之王MS06040Scanner——专用的漏洞扫描器用于检测目标系统是否存在MS06040漏洞。MS06040Scanner的工作原理是首先是通过端口扫描和操作系统扫描获取操作系统类型和开放的端口，如果是windows2000系统，开放了TCP139或者TCP445端口，并且返回的数据包跟漏洞库里的定义相匹配，则说明该主机可能可能存在MS06040漏洞，我们就可以使用MS06040漏洞利用程序对其进行远程溢出攻击。推荐安全站点安全焦点绿盟科技浪客联盟红客联盟剑鹰网络安全小组中国X黑客小组中华网络安全联盟中国黑客入侵组中国黑客联盟黑客基地黑客防线