【期末复习】北京邮电大学《网络安全》课程期末复习笔记（6. 网络安全扫描）

【相关博客链接】

【期末复习】北京邮电大学《网络安全》课程期末复习笔记（1. 网络安全概述）

【期末复习】北京邮电大学《网络安全》课程期末复习笔记（2. 恶意代码）

【期末复习】北京邮电大学《网络安全》课程期末复习笔记（3. ARP攻击）

【期末复习】北京邮电大学《网络安全》课程期末复习笔记（4. 拒绝服务攻击）

【期末复习】北京邮电大学《网络安全》课程期末复习笔记（5. DNS安全）

【期末复习】北京邮电大学《网络安全》课程期末复习笔记（7. 防火墙）

【期末复习】北京邮电大学《网络安全》课程期末复习笔记（8. 入侵检测系统）

【期末复习】北京邮电大学《网络安全》课程期末复习笔记（9. 虚拟专用网络）

【期末复习】北京邮电大学《网络安全》课程期末复习笔记（10. 应用安全PGP）

【期末复习】北京邮电大学《网络安全》课程期末复习笔记（11. 社会工程学）

6. 网络安全扫描

6.1. 网络安全扫描技术

1. 定义: 发现主机或网络、发现正在运行的服务进而发现潜在的漏洞、能够为漏洞提出解决方案
2. 网络安全扫描技术包括: 端口扫描,漏洞扫描,操作系统探测,探测访问控制规则

6.2. 网络安全扫描步骤

1. 发现目标主机或网络-> 搜集目标信息: (操作系统类型、运行的服务以及服务软件的版本等)-> 安全漏洞

6.3. 发现目标: ping 扫射

6.4. 端口扫描流程

1. 发送数据到目标主机-> 等待返回数据-> 分析返回数据-> 判断端口是否打开

6.5. 服务识别

1. 仅凭端口号来判断服务类型还是不够的，对于非标准端口服务的识别需要更多的信息
2. 如: Web服务不一定开设在80/tcp端口

6.6. 操作系统探测

1. 主动探测技术: 主动地、有目的地向目标发送探测数据包，通过ᨀ取和分析响应数据包的特征信息，对目标的操作系统类型进行识别
   1. 标识攫取
   2. 网络协议栈特征探测
2. 被动探测技术: 被动探测是指通过网络监听等手段，从截获的数据中ᨀ取目标的操作系统类型信息
   1. 基于TCP/IP协议栈的被动指纹探测技术
   2. 基于应用层协议的被动探测技术

6.7. 漏洞检测方法

1. 直接测试: 使用针对漏洞特点设计的脚本或程序检测漏洞
2. 推断: 不利用系统漏洞而判断漏洞存在的方法，它并不直接渗透漏洞，只是间接寻找漏洞存在的证据
   1. 版本检查
   2. 程序行为分析
   3. 操作系统堆栈指纹分析
   4. 时序分析

6.8. 端口扫描技术

1. 端口扫描技术是一项自动探测本地和远程系统端口开放情况的策略及方法，它使系统用户了解系统目前向外界提供了哪些服务，从而为系统用户管理网络提供了一种手段
2. 原理：
   1. 向目标主机的TCP/IP服务端口发送探测数据包，并记录目标主机的响应，通过分析响应来判断服务端口是打开还是关闭，即可得知端口提供的服务或信息。
   2. 也可以通过捕获本地主机或服务器流入流出IP数据包来监视本地主机的运行情况，通过对接收到的数据进行分析，帮助我们发现目标主机的某些内在的弱点
3. 分类：(优缺点: 权限,速度,痕迹(记录,过滤),是否和系统有关)
   1. 全连接扫描: TCP connect()扫描,利用操作系统提供的connect()系统调用，与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态，那么connect()就能成功；否则，该端口是不能用的，即没有提供服务
      1. 优点:
         1. 扫描迅速
         2. 准确而且不需要任何权限，系统中的任何用户可以使用这个调用
         3. 可以同时打开多个套接字，加速扫描
      2. 缺点
         1. 扫描方式不隐蔽，服务器日志会记录下大量密集的连接和错误记录
         2. 易被目标主机防火墙发觉而被过滤掉
   2. 半连接扫描: l也叫间接扫描，是指端口扫描没有完成一个完整的TCP连接，在扫描主机和目标主机的一指定端口建立连接时只完成了前两次握手，在第3步时扫描主机中断了本次连接，使连接没有完全建立起来。
      1. 现有的半连接包括: **TCP SYN扫描:**向目标特定端口发送一个SYN报文，根据目标主机返回的数据包，只要辨别报文中是含有SYN+ACK标志还是RST标志，就能够知道目标的相应端口是处于监听还是关闭状态
      2. 优点:
         1. 扫描迅速快，效率高
         2. 一般不会在目标计算机上留下记录，比较隐蔽
      3. 缺点
         1. 在大部分操作系统下，扫描主机需要构造适合于这种扫描的包，而通常情况下，必须要有root权限才能建立自己的SYN数据包
   3. **秘密扫描:**端口扫描容易被在端口处所监听的服务日志记录，这些服务看到一个没有任何数据的连接进入端口，就记录一个日志错误.秘密扫描是一种不被审计工具所检测的扫描技术，现有的秘密扫描主要有：
      1. TCP FIN扫描:
         1. SYN有可能都不够秘密，一些防火墙和包过滤器会对一些指定的端口进行监视，有的程序能检测到这些扫描. FIN数据包可能会没有任何麻烦的通过，因为这种技术不包含标准的 TCP三次握手协议的任何部分.
         2. 原理: 关闭的端口会用适当的RST来回复FIN数据包，打开的端口会忽略对FIN数据包的回复
         3. 缺点
            1. 这种方法和系统的实现有一定的关系。有的系统（特别是Windows系统），无论端口是打开还是关闭都会响应一个RST报文，所以FIN扫描通常只工作在基于UNIX的 TCP/IP协议栈上(可能无法分辨操作系统)
            2. .需要自己构造数据包，要求由超级用户或者授权用户访问专门的系统调用
      2. TCP ACK扫描:
         1. 利用的是标志位ACK，但不是用于确定目标打开了哪些端口，而是用来
            1. 扫描防火墙的配置,发现防火墙规则,确定它们是有状态还是无状态的,确定哪些端口是被过滤的,确定防火墙是简单的包过滤还是状态检测机制
      3. TCP NULL和TCP XMAS扫描
         1. TCP NULL扫描和TCP XMAS扫描是FIN扫描的两个变种
         2. 原理: NULL扫描向目标发送一个所有标志位都置为0的报文，而 XMAS 扫描则向目标发送一个URG/PSH/FIN报文，根据RFC793规定，如果目标的相应端口是关闭的话，应该会收到一个RST数据包，否则就不会收到来自目标的任何回应
         3. 优点: 隐蔽性好
         4. 缺点: 需要自己构造数据包，要求有超级用户或者授权用户权限,通常适用于UNIX目标主机，而Windows系统不支持
      4. 并不直接发送TCP探测数据包，而是将数据包分成两个较小的IP 段，这样就将一个TCP头分成好几个数据包，从而包过滤器很难探测到
         1. 优点:隐蔽性好，可穿越防火墙
         2. 缺点: 需要可能被丢弃,某些程序在处理这些小数据包时会出现异常

6.9. 漏洞发现

1. 漏洞发现技术可分为两种
   1. 基于主机的发现技术(看补丁)
      1. 这种技术是对操作系统的各种配置、权限、补丁等方面进行检测，以发现主机潜在的安全漏洞
      2. 主要从系统的文件、目录和设备文件的权限，重要系统文件的内容、格式、权限和重要的系统二进制文件的校验等方面进行检测
   2. 基于网络的发现技术(模仿黑客)
      1. 这种技术是利用了一系列的脚本对远端系统进行攻击，然后对远端系统的响应结果进行分析；可以发现远端不同平台的一系列漏洞
      2. 检测范围包括所有的网络设备：服务器、防火墙、交换机、路由器以及主机等

6.10. 漏洞防御

1. 面对众多的漏洞，漏洞防御技术主要有
   1. 基于源码的防御技术: 安全编写源码,源码审计
   2. 基于操作系统的防御技术: 底层系统自我保护,系统安全管理,主动防御
   3. 漏洞信息发布机制: 实时性,检索粒度,发布方式