网络扫描技术
- 主机扫描
- 利用ICMP进行主机扫描
-
端口扫描
向目标主机的个各端口发送连接请求,根据返回的响应判断是否开放.
端口是入侵的通道
端口扫描器分类
- TCP connect()扫描
使用socket创建套接字,利用三次握手协议来判断目标端口是否存活.
其具体工作原理如下所示:
(1)扫描端向目标端发送SYN请求建立连接
(2)目标端收到请求后,回复ACK同意连接并同意发送SYN请求建立连接
(3)扫描端收到后,发送ACK同意,此时三次握手完成,以此来判断端口是否存活
但是这种方法跟容易被发现,被目标主机记录.
优点:实现简单,对操作者的权限没有严格要求;扫描速度快
缺点:留下痕迹,易被发现
TCP connect()扫描防御:黑名单机制:查询日志,如果发现某IP多次连接设备的不同端口,则加入黑名单
- TCP SYN扫描
原理:与TCP扫描不用的是,当扫描端收到ACK/SYN应答时,发送了一条拒绝建立连接的RST请求.
优点:隐蔽
缺点:这种扫描需要具有root权限
- TCP FIN扫描
**发送的是带有FIN标识和端口号的数据包给服务端,通过服务端的反馈情况判断端口的开放状态.**如果服务端没有任何响应,则说明该端口处于开放状态(不论是否被防火墙过滤);如果发出RST,则说明该端口处于关闭状态;如果收到返回的ICMP数据包,则说明数据包被过滤.
- UDP扫描
ICMP端口不能到达扫描
向目标UDP端口发送一些随机数据,如果端口关闭,则收到ICMP端口不可达消息,如果目标主机响应了一个UDP报文,则证明是开放的.
-
漏洞扫描
采用积极地,非破坏性的办法来检验系统是否有可能被攻击崩溃.
扫描原理和工作原理:
通过远程监测目标主机TCCP/IP不同端口的服务,记录目标的回答.
漏洞扫描步骤:
- 探测存活主机
- 端口扫描
- 判断操作系统
- 网络服务扫描
- 漏洞特征库匹配探测
常用扫描工具:
Unix:Nmap
Windows:X-Scan,Super Scan,Nmap等
相关文章: