1. 扫描程序工作原理
扫描程序(Scanner)是自动检测远端或本地主机安全脆弱点的程序。
端口扫描:
对入侵者来说,每一个端口就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息,从而发现系统的安全漏洞。
扫描程序的正当使用:
通常需要得到目标的授权
提高系统安全性
检查漏洞并作修补或建议
扫描隐藏、秘密扫描 stealth scan 避免被系统记录:
A. half-open scan: 半打开
SYN scan 只发SYN包,收到SYN/ACK,不发送ACK包,发送RST包中断连接,不完成TCP三次握手,一般不会留下记录,发包需要root权限。
若收到SYN/ACK,端口活动(监听);若收到RST/ACK,端口关闭
B. flags scan: 发送错误包给某个端口,若端口开放,则会返回不同的出错信息
FIN scan: 关闭一个未打开的连接。若目标端口不提供服务,系统会产生一个错误信息,RST;若服务正在监听,系统会丢弃该数据包。所以无反应表明端口提供某种服务,但包可能丢失或被firewall丢弃,故不可靠。
XMAS scan:TCP包中所有标志都设置,FIN、URG、PUSH,口关闭返回RST
NULL scan:TCP包中所有标志都不设置,口关闭返回RST
不同系统的反应各不相同。
C. UDP scan:
通常发送空的UDP数据包给目标端口,端口若监听,则返回错误信息或丢弃该包,若端口关闭,返回“ICMP port unreachable”信息。
D. IP分片扫描
通过将数据包分成两个较小的IP数据包传输给目标主机,目标主机自己组成完整IP包,从而躲穿过火墙。
2. 扫描检测工具
扫描检测工具:
A. Psionic Portsentry (Cisco systems)
多UNIX系列平台 Linux, BSD, Solaris, HPUX SCO
主要特性:
TCP UDP多sockets检测
Stealth scan 检测
实时real-time堵塞扫描主机,可与防火墙结合
Linux TCP Wrappers hosts.deny 自动
记载扫描者的系统名,时间,IP,TCP/UDP口
一旦发现被扫描,系统会自动隐藏
B. 入侵检测系统Snort 防火墙 ZoneAlarm 等
