第7章网络扫描技术

时间：2025-04-28

网络扫描技术

信息收集：扫描技术基于TCP/IP协议，对各种网络服务，无论是主机或者防火墙、路由器都适用扫描可以确认各种配置的正确性，避免遭受不必要的攻击用途，双刃剑安全管理员可以用来确保自己系统的安全性黑客用来探查系统的入侵点

端口扫描的技术已经非常成熟，目前有大量的商业、非商业的扫描器2

扫描器的重要性扫描器能够暴露网络上潜在的脆弱性无论扫描器被管理员利用，或者被黑客利用，都有助于加强系统的安全性它能使得漏洞被及早发现，而漏洞迟早会被发现的

扫描器可以满足很多人的好奇心扫描器除了能扫描端口，往往还能够发现系统存活情况，以及哪些服务在运行用已知的漏洞测试这些系统对一批机器进行测试，简单的迭代过程有进一步的功能，包括操作系统辨识、应用系统识别3

扫描器历史早期 80年代，网络没有普及，上网的好奇心驱使许多年轻人通过Modem 拨号进入到UNIX系统中。这时候的手段需要大量的手工操作于是，出现了war dialer——自动扫描，并记录下扫描的结果现代的扫描器要先进得多

SATAN: Security Administrator's Tool for Analyzing Networks 1995年4月发布，引起了新闻界的轰动界面上的突破，从命令行走向图形界面(使用HTML界面),不依赖于 X 两位作者的影响(Dan Farmer写过网络安全检查工具COPS,另一位 Weitse Venema是TCP_Wrapper的作者)

Nmap 作者为Fyodor,技术上，是最先进的扫描技术大集成结合了功能强大的通过栈指纹来识别操作系统的众多技术4

扫描技术主机扫描：确定在目标网络上的主机是否可达，同时尽可能多映射目标网络的拓扑结构，主要利用ICMP数据包端口扫描：发现远程主机开放的端口以及服务

操作系统指纹扫描：根据协议栈判别操作系统

传统主机扫描技术 ICMP Echo Request (type 8) 和 Echo Reply (type 0) 通过简单地向目标主机发送ICMP Echo Request 数据包，并等待回复的ICMP Echo Reply 包，如Ping

ICMP Sweep(Ping Sweep) 使用ICMP Echo Request一次探测多个目标主机。通常这种探测包会并行发送，以提高探测效率

Broadcast ICMP 设置ICMP请求包的目标地址为广播地址或网络地址，则可以探测广播域或整个网络范围内的主机，这种情况只适合于 UNIX/Linux系统

Non-Echo ICMP 其它ICMP服务类型(13和14、15和16、17和18)也可以用于对主机或网络设备如路由器等的探测6

高级主机扫描技术利用被探测主机产生的ICMP错误报文来进行复杂的主机探测异常的IP包头向目标主机发送包头错误的IP包，

目标主机或过滤设备会反馈 ICMP Parameter Problem Error信息。常见的伪造错误字段为 Header Length 和IP Options。不同厂家的路由器和操作系统对这些错误的处理方式不同，返回的结果也不同。

在IP头中设置无效的字段值向目标主机发送的IP包中填充错误的字段值，目标主机或过滤设备会反馈ICMP Destination Unreachable信息。这种方法同样可以探测目标主机和网络设备

高级主机扫描技术(续) 通过超长包探测内部路由器若构造的数据包长度超过目标系统所在路由器的PMTU且设置禁止分片标志, 该路由器会反馈 Fragmentation Needed and Don’t Fragment Bit was Set差错报文。

反向映射探测用于探测被过滤设备或防火墙保护的网络和主机。构造可能的内部IP地址列表，并向这些地址发送数据包。当对方路由器接收到这些数据包时，会进行IP识别并路由，对不在其服务的范围的IP包发送ICMP Host Unreachable或ICMP Time Exceeded 错误报文，没有接收到相应错误报文的IP地址可被认为在该网络中

主机扫描的对策使用可以检测并记录ICMP扫描的工具使用入侵检测系统在防火墙或路由器中设置允许进出自己网络的ICMP分组类型

端口扫描技术开放扫描(Open Scanning) 需要扫描方通过三次握手过程与目标主机建立完整的TCP连接可靠性高，产生大量审计数据，容易被发现

半开放扫描(Half-Open Scanning) 扫描方不需要打开一个完全的TCP连接

秘密扫描(Stealth Scanning) 不包含标准的TCP三次握手协议的任何部分隐蔽性好，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息10

端口扫描技术基本的TCP connect()扫描(开放) TCP SYN扫描(半开放) IP ID header aka “dump”扫描(半开放) TCP Fin扫描(秘密) TCP XMAS扫描(秘密) 用IP分片进行SYN/FIN扫描(躲开包过滤防火墙) UDP ICMP端口不可达扫描

TCP connect()扫描原理扫描器调用socket的connect()函数发起一个正常的连接如果端口是打开的，则连接成功否则，连接失败

优点简单，不需要特殊的权限

缺点服务器可以记录下客户的连接行为，如果同一个客户轮流对每一个端口发起连接，则一定是在扫描

TCP SYN扫描原理向目标主机的特定端口发送一个SYN包如果应答包为RST包，则说明该端口是关闭的否则，会收到一个SYN|ACK包。于是，发送一个RST, 停止建立连接

由于连接没有完全建立，所以称为“半开连接扫描”

优点很少有系统会记录这样的行为

缺点在UNIX平台上，需要root权限才可以建立这样的 SYN数据包13