【文章內容簡介】 蔽178。缺點252。與 SYN掃描類似，也需要構造專門的數(shù)據(jù)包252。在 Windows平臺無效，總是發(fā)送 RST包67TCP XMAS掃描178。原理252。掃描器發(fā)送的 TCP包包頭設置所有標志位? 關閉的端口會響應一個同樣設置所有標志位的包 ? 開放的端口則會忽略該包而不作任何響應 178。優(yōu)點252。比較隱蔽178。缺點252。主要用于 UNIX/Linux/BSD的 TCP/IP的協(xié)議棧 252。不適用于 Windows系統(tǒng)68分片掃描178。它本身并不是一種新的掃描方法，而是其他掃描技術的變種，特別是 SYN掃描和 FIN掃描178。思想是，把 TCP包分成很小的分片，從而讓它們能夠通過包過濾防火墻252。注意，有些防火墻會丟棄太小的包252。而有些服務程序在處理這樣的包的時候會出現(xiàn)異常，或者性能下降，或者出現(xiàn)錯誤69TCP ftp proxy掃描178。FTPbounceattack178。原理252。用 PORT命令讓 ftpserver與目標主機建立連接，而且目標主機的端口可以指定252。如果端口打開，則可以傳輸否則，返回 425Can39。tbuilddataconnection:Connectionrefused.252。Ftp這個缺陷還可以被用來向目標 (郵件 ,新聞 )傳送匿名信息178。優(yōu)點：這種技術可以用來穿透防火墻178。缺點：慢，有些 ftpserver禁止這種特性70UDP ICMP端口不可達掃描178。利用 UDP協(xié)議（主機掃描？）178。原理252。 開放的 UDP端口并不需要送回 ACK包，而關閉的端口也不要求送回錯誤包，所以利用 UDP包進行掃描非常困難252。 有些協(xié)議棧實現(xiàn)的時候，對于關閉的 UDP端口，會送回一個ICMPPortUnreach錯誤178。缺點252。 速度慢，而且 UDP包和 ICMP包都不是可靠的252。 需要 root權限，才能讀取 ICMPPortUnreach消息178。一個應用例子252。 Solaris的 rpcbind端口 (UDP)位于 32770之上，這時可以通過這種技術來探測71UDP recvfrom() write()掃描178。非 root用戶不能直接讀取 ICMPPortUnreach消息，但是 Linux提供了一種方法可以間接通知到178。原理252。第二次對一個關閉的 UDP端口調用 write()總是會失敗252。經驗：在 ICMP錯誤到達之前，在 UDP端口上調用recvfrom()會返回 EAGAIN(重試 )，否則會返回ECONNREFUSED(連接拒絕 …)72端口掃描的對策178。設置防火墻過濾規(guī)則，阻止對端口的掃描252。例如可以設置檢測 SYN掃描而忽略 FIN掃描178。使用入侵檢測系統(tǒng)178。禁止所有不必要的服務，把自己的暴露程度降到最低252。Unix或 linux中，在 /etc/服務，并在系統(tǒng)啟動腳本中禁止其他不必要的服務252。Windows中通過 Services禁止敏感服務，如 IIS73操作系統(tǒng)辨識178。操作系統(tǒng)辨識的動機252。許多漏洞是系統(tǒng)相關的，而且往往與相應的版本對應252。從操作系統(tǒng)或者應用系統(tǒng)的具體實現(xiàn)中發(fā)掘出來的攻擊手段都需要辨識系統(tǒng)252。操作系統(tǒng)的信息還可以與其他信息結合起來，比如漏洞庫，或者社會詐騙 (社會工程， socialengineering)178。如何辨識一個操作系統(tǒng)252。一些端口服務的提示信息，例如， tel、 、 ftp等服務的提示信息252。TCP/IP棧指紋252。DNS泄漏出 OS系統(tǒng)74端口服務提供的信息178。Tel服務178。Http服務178。Ftp服務75某大學的 ftp進站頁面76棧指紋技術178。定義：利用 TCP/IP協(xié)議棧實現(xiàn)上的特點來辨識一個操作系統(tǒng)178。技術導向252?？杀孀R的 OS的種類，包括哪些操作系統(tǒng)252。結論的精確度，細微的版本差異是否能識別178。一些工具252。Checkos,byShok252。Queso,bySavage252。Nmap,byFyodor77主動棧指紋識別技術178。原理：尋找不同操作系統(tǒng)之間在處理網(wǎng)絡數(shù)據(jù)包上的差異，并且把足夠多的差異組合起來，以便精確地識別出一個系統(tǒng)的 OS版本178。配置能力252。擴展性，新的 OS，版本不斷推出252。定義一種配置語言或者格式78主動棧指紋識別方法178。常用的手段252。 給一個開放的端口發(fā)送 FIN包，有些操作系統(tǒng)有回應，有的沒有回應252。 對于非正常數(shù)據(jù)包的反應? 比如，發(fā)送一個包含未定義 TCP標記的數(shù)據(jù)包252。 根據(jù) TCP連接的序列號風格? 尋找初始序列號之間的規(guī)律252。 ACK值? 有些系統(tǒng)會發(fā)送回所確認的 TCP分組的序列號，有些會發(fā)回序列號加 1252。 TCP初始化窗口? 有些操作系統(tǒng)會使用一些固定的窗口大小252。 DF位 (Don39。tFragmentbit)? 某些操作系統(tǒng)會設置 IP頭的 DF位來改善性能79主動棧指紋識別方法 (續(xù) )1. 分片處理方式1. 分片重疊的情況下，處理會不同：用后到的新數(shù)據(jù)覆蓋先到的舊數(shù)據(jù)或者反之2. ICMP協(xié)議1. ICMP錯誤消息的限制1. 發(fā)送一批 UDP包給高端關閉的端口，然后計算返回來的不可達錯誤消息2. ICMP端口不可達消息的大小1. 通常情況下送回 IP頭 +8個字節(jié)，但是個別系統(tǒng)送回的數(shù)據(jù)更多一些3. ICMP回應消息中對于校驗和的處理方法不同4. ICMP回應消息中， TOS域的值3. TCP選項 (RFC793和更新的 RFC1323)1. 這里充滿了各種組合的可能性2. 應答方式 “QueryReply”，可以把多個選項放到一個包中3. 有些高級選項在新的協(xié)議棧實現(xiàn)中加入80主動棧指紋識別方法 (續(xù) )178。 SYNflooding測試 252。 如果發(fā)送太多的 偽造 SYN包，一些操作系統(tǒng)會停止建立新的連接。許多操作系 統(tǒng)只能處理 8個包。81Nmap的指紋庫178。指紋模板文件： 178。首先定義一組測試，例如 TEST DESCRIPTION: Tseq is the TCP sequenceability test T1 is a SYN packet with a bunch of TCP options to open port T2 is a NULL packet w/options to open port T3 is a SYN|FIN|URG|PSH packet w/options to open port T4 is an ACK to open port w/options T5 is a SYN to closed port w/options T6 is an ACK to closed port w/options T7 is a FIN|PSH|URG to a closed port w/options PU is a UDP packet to a closed port82Nmap的指紋庫 (續(xù) )178。例如Fingerprint Linux kernel TSeq(Class=RI%gcd=6%SI=E5F68C24CA0)T1(DF=Y%W=7F53%ACK=S++%Flags=AS%Ops=MENNTNW)T2(Resp=N)T3(Resp=Y%DF=Y%W=7F53%ACK=S++%Flags=AS%Ops=MENNTNW)T4(DF=N%W=0%ACK=O%Flags=R%Ops=)T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)T6(DF=N%W=0%ACK=O%Flags=R%Ops=)T7(DF=N%W=0%ACK=S%Flags=AR%Ops=)PU(DF=N%TOS=C0|A0|0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=F%ULEN=134%DAT=E)83Nmap的指紋庫 (續(xù) )Fingerprint Windows 2023/XP/METSeq(Class=RI%gcd=20%SI=E92A240)T1(DF=Y%W=40E8|5B8E|FAF0|7FFF%ACK=S++%Flags=AS%Ops=MNWNNT|MNW|M)T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)T3(Resp=Y%DF=Y%W=40E8|5B8E|FAF0|7FFF%ACK=S++%Flags=AS%Ops=MNWNNT|MNW|M)T4(DF=N%W=0%ACK=O%Flags=R%Ops=)T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)T6(DF=N%W=0%ACK=O%Flags=R%Ops=)T7(DF=N%W=0%ACK=S++%Flags=AR%Ops=)PU(TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)84Nmap的指紋庫參數(shù)說明178。： 252。 class指 sequence的類型，有如下幾種值： ? C： sequence為常數(shù)。 ? 64K： sequence的差值為 64000。 ? 800i： sequence的差值為 800。 ? TD： timedependant， sequence的取值與時間相關。 ? RI： randomincremental， sequence隨機遞增。 ? TR： turerandom， sequence隨機取值。 252。 val僅在 class為 C時判斷，其值為 sequence常數(shù)。 252。 gcdsequence差值的最大公約數(shù)。僅在 class為 RI或 TD時判斷。 252。 SInmap在 sequence規(guī)律不明顯時對 sequence套用某種算法得到的一個值，僅在 class為 RI或 TD時判斷。85Nmap的指紋庫參數(shù)說明（續(xù)）178。 (T1T7):252。 Resp是否有應答 ,39。Y39?；?39。N39。 252。 DF分片標志， 39。Y39?；?39。N39。 252。 W窗口大小， tcpth_win。 252。 ACK應答序列號的類型，有如下幾種值： ? S:ack==syn。 ? S++:ack==syn+1。 ? O:其他情況。 252。 Flagstcp控制位，為以下幾種值的組合 :? B： Bogus(64,notarealTCPflag)。 ? U： Urgent。 ? A： Acknowledgement。 ? P： Push。 ? R： Reset。 ? S： Synchronize。 ? F： Final。 在 SYN包的 tcp頭中設置 bogus標記， 版本號 linux內核在回應中保持這個標記。有些操作系統(tǒng)在收到這種包會復位連接86Nmap的指紋庫參數(shù)說明（續(xù)）1. (T1T7)（續(xù)） :1. OpsTCP選項，為以下幾種值的組合 :16