【文章內(nèi)容簡(jiǎn)介】 蔽178。缺點(diǎn)252。與 SYN掃描類似，也需要構(gòu)造專門的數(shù)據(jù)包252。在 Windows平臺(tái)無(wú)效，總是發(fā)送 RST包67TCP XMAS掃描178。原理252。掃描器發(fā)送的 TCP包包頭設(shè)置所有標(biāo)志位? 關(guān)閉的端口會(huì)響應(yīng)一個(gè)同樣設(shè)置所有標(biāo)志位的包 ? 開放的端口則會(huì)忽略該包而不作任何響應(yīng) 178。優(yōu)點(diǎn)252。比較隱蔽178。缺點(diǎn)252。主要用于 UNIX/Linux/BSD的 TCP/IP的協(xié)議棧 252。不適用于 Windows系統(tǒng)68分片掃描178。它本身并不是一種新的掃描方法，而是其他掃描技術(shù)的變種，特別是 SYN掃描和 FIN掃描178。思想是，把 TCP包分成很小的分片，從而讓它們能夠通過(guò)包過(guò)濾防火墻252。注意，有些防火墻會(huì)丟棄太小的包252。而有些服務(wù)程序在處理這樣的包的時(shí)候會(huì)出現(xiàn)異常，或者性能下降，或者出現(xiàn)錯(cuò)誤69TCP ftp proxy掃描178。FTPbounceattack178。原理252。用 PORT命令讓 ftpserver與目標(biāo)主機(jī)建立連接，而且目標(biāo)主機(jī)的端口可以指定252。如果端口打開，則可以傳輸否則，返回 425Can39。tbuilddataconnection:Connectionrefused.252。Ftp這個(gè)缺陷還可以被用來(lái)向目標(biāo) (郵件 ,新聞 )傳送匿名信息178。優(yōu)點(diǎn)：這種技術(shù)可以用來(lái)穿透防火墻178。缺點(diǎn)：慢，有些 ftpserver禁止這種特性70UDP ICMP端口不可達(dá)掃描178。利用 UDP協(xié)議（主機(jī)掃描？）178。原理252。 開放的 UDP端口并不需要送回 ACK包，而關(guān)閉的端口也不要求送回錯(cuò)誤包，所以利用 UDP包進(jìn)行掃描非常困難252。 有些協(xié)議棧實(shí)現(xiàn)的時(shí)候，對(duì)于關(guān)閉的 UDP端口，會(huì)送回一個(gè)ICMPPortUnreach錯(cuò)誤178。缺點(diǎn)252。 速度慢，而且 UDP包和 ICMP包都不是可靠的252。 需要 root權(quán)限，才能讀取 ICMPPortUnreach消息178。一個(gè)應(yīng)用例子252。 Solaris的 rpcbind端口 (UDP)位于 32770之上，這時(shí)可以通過(guò)這種技術(shù)來(lái)探測(cè)71UDP recvfrom() write()掃描178。非 root用戶不能直接讀取 ICMPPortUnreach消息，但是 Linux提供了一種方法可以間接通知到178。原理252。第二次對(duì)一個(gè)關(guān)閉的 UDP端口調(diào)用 write()總是會(huì)失敗252。經(jīng)驗(yàn)：在 ICMP錯(cuò)誤到達(dá)之前，在 UDP端口上調(diào)用recvfrom()會(huì)返回 EAGAIN(重試 )，否則會(huì)返回ECONNREFUSED(連接拒絕 …)72端口掃描的對(duì)策178。設(shè)置防火墻過(guò)濾規(guī)則，阻止對(duì)端口的掃描252。例如可以設(shè)置檢測(cè) SYN掃描而忽略 FIN掃描178。使用入侵檢測(cè)系統(tǒng)178。禁止所有不必要的服務(wù)，把自己的暴露程度降到最低252。Unix或 linux中，在 /etc/服務(wù)，并在系統(tǒng)啟動(dòng)腳本中禁止其他不必要的服務(wù)252。Windows中通過(guò) Services禁止敏感服務(wù)，如 IIS73操作系統(tǒng)辨識(shí)178。操作系統(tǒng)辨識(shí)的動(dòng)機(jī)252。許多漏洞是系統(tǒng)相關(guān)的，而且往往與相應(yīng)的版本對(duì)應(yīng)252。從操作系統(tǒng)或者應(yīng)用系統(tǒng)的具體實(shí)現(xiàn)中發(fā)掘出來(lái)的攻擊手段都需要辨識(shí)系統(tǒng)252。操作系統(tǒng)的信息還可以與其他信息結(jié)合起來(lái)，比如漏洞庫(kù)，或者社會(huì)詐騙 (社會(huì)工程， socialengineering)178。如何辨識(shí)一個(gè)操作系統(tǒng)252。一些端口服務(wù)的提示信息，例如， tel、 、 ftp等服務(wù)的提示信息252。TCP/IP棧指紋252。DNS泄漏出 OS系統(tǒng)74端口服務(wù)提供的信息178。Tel服務(wù)178。Http服務(wù)178。Ftp服務(wù)75某大學(xué)的 ftp進(jìn)站頁(yè)面76棧指紋技術(shù)178。定義：利用 TCP/IP協(xié)議棧實(shí)現(xiàn)上的特點(diǎn)來(lái)辨識(shí)一個(gè)操作系統(tǒng)178。技術(shù)導(dǎo)向252?？杀孀R(shí)的 OS的種類，包括哪些操作系統(tǒng)252。結(jié)論的精確度，細(xì)微的版本差異是否能識(shí)別178。一些工具252。Checkos,byShok252。Queso,bySavage252。Nmap,byFyodor77主動(dòng)棧指紋識(shí)別技術(shù)178。原理：尋找不同操作系統(tǒng)之間在處理網(wǎng)絡(luò)數(shù)據(jù)包上的差異，并且把足夠多的差異組合起來(lái)，以便精確地識(shí)別出一個(gè)系統(tǒng)的 OS版本178。配置能力252。擴(kuò)展性，新的 OS，版本不斷推出252。定義一種配置語(yǔ)言或者格式78主動(dòng)棧指紋識(shí)別方法178。常用的手段252。 給一個(gè)開放的端口發(fā)送 FIN包，有些操作系統(tǒng)有回應(yīng)，有的沒有回應(yīng)252。 對(duì)于非正常數(shù)據(jù)包的反應(yīng)? 比如，發(fā)送一個(gè)包含未定義 TCP標(biāo)記的數(shù)據(jù)包252。 根據(jù) TCP連接的序列號(hào)風(fēng)格? 尋找初始序列號(hào)之間的規(guī)律252。 ACK值? 有些系統(tǒng)會(huì)發(fā)送回所確認(rèn)的 TCP分組的序列號(hào)，有些會(huì)發(fā)回序列號(hào)加 1252。 TCP初始化窗口? 有些操作系統(tǒng)會(huì)使用一些固定的窗口大小252。 DF位 (Don39。tFragmentbit)? 某些操作系統(tǒng)會(huì)設(shè)置 IP頭的 DF位來(lái)改善性能79主動(dòng)棧指紋識(shí)別方法 (續(xù) )1. 分片處理方式1. 分片重疊的情況下，處理會(huì)不同：用后到的新數(shù)據(jù)覆蓋先到的舊數(shù)據(jù)或者反之2. ICMP協(xié)議1. ICMP錯(cuò)誤消息的限制1. 發(fā)送一批 UDP包給高端關(guān)閉的端口，然后計(jì)算返回來(lái)的不可達(dá)錯(cuò)誤消息2. ICMP端口不可達(dá)消息的大小1. 通常情況下送回 IP頭 +8個(gè)字節(jié)，但是個(gè)別系統(tǒng)送回的數(shù)據(jù)更多一些3. ICMP回應(yīng)消息中對(duì)于校驗(yàn)和的處理方法不同4. ICMP回應(yīng)消息中， TOS域的值3. TCP選項(xiàng) (RFC793和更新的 RFC1323)1. 這里充滿了各種組合的可能性2. 應(yīng)答方式 “QueryReply”，可以把多個(gè)選項(xiàng)放到一個(gè)包中3. 有些高級(jí)選項(xiàng)在新的協(xié)議棧實(shí)現(xiàn)中加入80主動(dòng)棧指紋識(shí)別方法 (續(xù) )178。 SYNflooding測(cè)試 252。 如果發(fā)送太多的 偽造 SYN包，一些操作系統(tǒng)會(huì)停止建立新的連接。許多操作系 統(tǒng)只能處理 8個(gè)包。81Nmap的指紋庫(kù)178。指紋模板文件： 178。首先定義一組測(cè)試，例如 TEST DESCRIPTION: Tseq is the TCP sequenceability test T1 is a SYN packet with a bunch of TCP options to open port T2 is a NULL packet w/options to open port T3 is a SYN|FIN|URG|PSH packet w/options to open port T4 is an ACK to open port w/options T5 is a SYN to closed port w/options T6 is an ACK to closed port w/options T7 is a FIN|PSH|URG to a closed port w/options PU is a UDP packet to a closed port82Nmap的指紋庫(kù) (續(xù) )178。例如Fingerprint Linux kernel TSeq(Class=RI%gcd=6%SI=E5F68C24CA0)T1(DF=Y%W=7F53%ACK=S++%Flags=AS%Ops=MENNTNW)T2(Resp=N)T3(Resp=Y%DF=Y%W=7F53%ACK=S++%Flags=AS%Ops=MENNTNW)T4(DF=N%W=0%ACK=O%Flags=R%Ops=)T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)T6(DF=N%W=0%ACK=O%Flags=R%Ops=)T7(DF=N%W=0%ACK=S%Flags=AR%Ops=)PU(DF=N%TOS=C0|A0|0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=F%ULEN=134%DAT=E)83Nmap的指紋庫(kù) (續(xù) )Fingerprint Windows 2023/XP/METSeq(Class=RI%gcd=20%SI=E92A240)T1(DF=Y%W=40E8|5B8E|FAF0|7FFF%ACK=S++%Flags=AS%Ops=MNWNNT|MNW|M)T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)T3(Resp=Y%DF=Y%W=40E8|5B8E|FAF0|7FFF%ACK=S++%Flags=AS%Ops=MNWNNT|MNW|M)T4(DF=N%W=0%ACK=O%Flags=R%Ops=)T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)T6(DF=N%W=0%ACK=O%Flags=R%Ops=)T7(DF=N%W=0%ACK=S++%Flags=AR%Ops=)PU(TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)84Nmap的指紋庫(kù)參數(shù)說(shuō)明178。： 252。 class指 sequence的類型，有如下幾種值： ? C： sequence為常數(shù)。 ? 64K： sequence的差值為 64000。 ? 800i： sequence的差值為 800。 ? TD： timedependant， sequence的取值與時(shí)間相關(guān)。 ? RI： randomincremental， sequence隨機(jī)遞增。 ? TR： turerandom， sequence隨機(jī)取值。 252。 val僅在 class為 C時(shí)判斷，其值為 sequence常數(shù)。 252。 gcdsequence差值的最大公約數(shù)。僅在 class為 RI或 TD時(shí)判斷。 252。 SInmap在 sequence規(guī)律不明顯時(shí)對(duì) sequence套用某種算法得到的一個(gè)值，僅在 class為 RI或 TD時(shí)判斷。85Nmap的指紋庫(kù)參數(shù)說(shuō)明（續(xù)）178。 (T1T7):252。 Resp是否有應(yīng)答 ,39。Y39?；?39。N39。 252。 DF分片標(biāo)志， 39。Y39?；?39。N39。 252。 W窗口大小， tcpth_win。 252。 ACK應(yīng)答序列號(hào)的類型，有如下幾種值： ? S:ack==syn。 ? S++:ack==syn+1。 ? O:其他情況。 252。 Flagstcp控制位，為以下幾種值的組合 :? B： Bogus(64,notarealTCPflag)。 ? U： Urgent。 ? A： Acknowledgement。 ? P： Push。 ? R： Reset。 ? S： Synchronize。 ? F： Final。 在 SYN包的 tcp頭中設(shè)置 bogus標(biāo)記， 版本號(hào) linux內(nèi)核在回應(yīng)中保持這個(gè)標(biāo)記。有些操作系統(tǒng)在收到這種包會(huì)復(fù)位連接86Nmap的指紋庫(kù)參數(shù)說(shuō)明（續(xù)）1. (T1T7)（續(xù)） :1. OpsTCP選項(xiàng)，為以下幾種值的組合 :16