主机信息探测实验

1.   了解网络扫描技术的基本原理

2.   能够熟练地使用X-scan软件，使用X-scan软件进行主机信息探测

3.   了解MBSA的工作模式，使用MBSA查看主机信息

预备知识

主机信息

主机信息主要包括：

1）操作系统类型（windows类或unix类）

2）系统配置信息

3）NT账号规则

4）NT用户信息

5）NBT名字列表

6）NetBIOS共享资源列表

7）网卡信息

8）开放的端口

9）开放的服务、版本号、配置信息（FTP，telnet，HTTP等）

10）存在漏洞的名称、数目、类别等详细信息

获取目标主机信息的主要方式

端口侦查

开发服务侦查

操作系统敏感信息侦查

对各种CGI漏洞测试侦查

对各种ASP暴露源代码漏洞的测试侦查

数据库系统漏洞侦查

远程控制管理系统的漏洞测试侦查

网关、路由器相关的漏洞测试侦查

邮件系统漏洞侦查

代理服务漏洞侦查

FtpServer漏洞测试侦查

NIS（网络信息服务，如IIS、Apache等）安全性侦查

RPC（远程过程调用）安全性侦查

FINGER（用户信息）安全性侦查

密码安全性侦查

DNS服务漏洞测试侦查

扫描器

扫描器作用

检测目标主机上开放的端口及运行的服务

检测后门程序

探测密码

应用程序安全性探测

系统信息探测，比如NT注册表，用户名等

输出报告，将检测结果整理报告给用户

扫描器扫描原理

基于ICMP echo扫描

        Ping是最常用的，也是最简单的探测手段，其实这并不能算是真正意义上的扫描。通过Ping命令判断在一个网络上主机是否开机的原理是：Ping向目标发送一个回显（Type＝8）的ICMP数据包，当主机得到请求后，会再返回一个回显（Type＝0）的数据包，通过是否收到Ping的响应包就可以判断主机是否开机。而且Ping程序一般是直接实现在系统内核中的，而不是一个用户进程，是不易被发现的。

基于高级ICMP的扫描

        Ping是利用ICMP协议实现的，高级的ICMP扫描技术主要利用ICMP协议最基本的用途——报错。根据网络协议，如果接收到的数据包协议项出现了错误，那么接收端将产生一个“Destination Unreachable”（目标主机不可达）ICMP的错误报文。这些错误报文不是主动发送的，而是由于错误，根据协议自动产生的。

        当IP数据包出现Checksum（校验和）和版本的错误的时候，目标主机将抛弃这个数据包；如果是Checksum出现错误，那么路由器就直接丢弃这个数据包。有些主机比如AIX、HP/UX等，是不会发送ICMP的Unreachable数据包的。

        可以向目标主机发送一个只有IP头的IP数据包，此时目标主机将返 “Destination Unreachable”的ICMP错误报文。如果向目标主机发送一个坏IP数据包，比如不正确的IP头长度，目标主机将返回“Parameter Problem”（参数有问题）的ICMP错误报文。注意：如果是在目标主机前有一个防火墙或者一个其他的过滤装置，可能过滤掉提出的要求，从而接收不到任何的回应。这时可以使用一个非常大的协议数字作为IP头部的协议内容，而且这个协议数字至少在今天还没有被使用，主机一定会返回Unreachable；如果没有Unreachable的ICMP数据包返回错误提示，那么，就说明被防火墙或者其他设备过滤了，也可以用这个方法探测是否有防火墙或者其他过滤设备存在。

全连接扫描(TCP connect Scan)

        全连接扫描是TCP端口扫描的基础，现有的全连接扫描有TCP connect（）扫描和TCP反向ident扫描等。其中TCP connect（）扫描的实现原理如下所述：扫描主机通过TCP/I P协议的三次握手与目标主机的指定端口建立一次完整的连接。连接由系统调用connect开始。如果端口开放，则连接将建立成功；否则，若返回-1则表示端口关闭。建立连接成功：响应扫描主机的SYN/ACK连接请求，这一响应表明目标端口处于监听（打开）的状态。如果目标端口处于关闭状态，则目标主机会向扫描主机发送RST的响应。

        全连接扫描技术的一个最大的优点是不需要任何权限，系统中的任何用户都有权利使用这个调用。另一个好处是速度快。如果对每个目标端口以线性的方式，使用单独的“connect()”函数调用，那么将会花费相当长的时间，用户可以同时打开多个套接字，从而加速扫描。使用非阻塞I/O允许用户设置一个低的时间以用尽周期，并同时观察多个套接字。但这种方法的缺点是很容易被发觉，并且很容易被过滤掉。目标计算机的日志文件会显示一连串的连接和连接出错的服务消息，目标计算机用户发现后就能很快使它关闭。

实验内容

1.   使用X-scan探测存活主机敏感信息

2.   使用MBSA探测主机信息

注：实验中所有ip(如：172.17.135.* 或 110.10.10.*)均要根据实际网络情况而改变，所用工具windows版的均在D:/tools中，linux版的均在 桌面 上。

使用X-scan工具探测主机信息

        X-scan 是国内相当出名的扫描工具，是安全焦点又一力作。完全免费，无需注册，无需安装（解压缩即可运行），无需额外驱动程序支持。可以运行在Windows 9x/NT4/2000上，但在Windows 98/NT 4.0系统下无法通过TCP/IP堆栈指纹识别远程操作系统类型，在Windows 98系统下对Netbios信息的检测功能受限。

    X-scan 采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式，扫描内容包括：远程操作系统类型及版本，标准端口状态及端口BANNER信息，SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞，SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户，NT服务器NETBIOS信息、注册表信息等。扫描结果保存/log/目录中，index_*.htm为扫描结果索引文件。

        打开X-scan软件，进行各种扫描参数的设置，包括需要扫描的IP地址范围（从172.17.135.6到172.17.135.122之间选择单个或多个），需要扫描的各种弱口令、CGI漏洞等。 

 

弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。弱口令是系统漏洞的一种，对于弱口令的扫描是系统漏洞扫描的重要方面。

CGI是Common Gateway Interface（公用网关接口）的简称，并不特指一种语言。

Web服务器的安全问题主要包括：

1）Web服务器软件编制中的BUG；

2）服务器配置的错误。

可能导致CGI源代码泄漏，物理路径信息泄漏，系统敏感信息泄漏或远程执行任意命令。

CGI语言漏洞分为以下几类：

配置错误；

边界条件错误；

访问验证错误；

来源验证错误；

输入验证错误；

策略错误；

使用错误等等。

CGI漏洞大多分为一下几种类型：

暴露不该暴露的信息；

执行不该执行的命令；

溢出。

        点击开始按钮，扫描开始

         扫描完成后，查看实验报告，可以看到探测主机的各项参数

使用MBSA工具检查主机信息

Microsoft 基准安全分析器 (MBSA) 可以检查操作系统和 SQL Server 更新。MBSA 还可以扫描计算机上的不安全配置。检查 Windows 服务包和修补程序时，它将 Windows 组件（如 Internet 信息服务 (IIS) 和 COM+）也包括在内。MBSA 使用一个 XML 文件作为现有更新的清单。该 XML 文件包含在存档 Mssecure.cab 中，由 MBSA 在运行扫描时下载，也可以下载到本地计算机上，或通过网络服务器使用。

适用范围：运行 Microsoft® Windows® 2000 Server 或 Microsoft Windows Server™ 2003 操作系统的服务器

运行 Windows 2000（所有版本）、Windows XP Professional 或 Windows Server 2003 的开发工作站、Microsoft SQL Server™ 2000，包括 Desktop Edition (MSDE)。

可以以图形用户界面 (GUI) 或命令行的方式使用 MBSA。GUI 可执行程序为 Mbsa.exe，命令行可执行程序为 Mbsacli.exe。MBSA 使用端口 138 和 139 执行扫描。MBSA 需要对扫描的计算机具有管理员特权。选项 /u (用户名)和 /p (密码) 可用于指定运行扫描的用户名。请不要将用户名和密码存储到命令文件或脚本这样的文本文件中。

        运行MBSA工具，其主界面如下图所示。

在MBSA主程序中有三大主要功能：

（1）Scan acomputer：使用计算机名称或者IP地址来检测单台计算机，适用于检测本机或者网络中的单台计算机。

（2）Scan multiple computer:使用域名或者IP地址范围来检测多台计算机。

（3）View existing security scan reports:查看已经检测过的安全报告。

设置单机MBSA扫描选项

        单击“Scan acomputer”，接着会出现一个扫描设置的窗口，如下图，如果仅仅是针对本机就不用设置“Computer name”和“IP address”，MBSA会自动获取本机的计算机名称，如果要扫描网络中的计算机，则需要在“IP address”中输入欲扫描的IP地址。在MSBA扫描选项中，默认会自动命名一个“Security report name”，该名称按照“域名-计算机名称（扫描时间）”进行命名，用户也可以输入一个自定义的名称来保存扫描的安全报告。然后选择“Options”中的前四个安全检测选项。

 

 

在“Options”中有五个选项：

（1）Check for Windows administrative vulnerabilities：检测Windows管理方面的漏洞。

（2）Check for weak passwords：检测弱口令。

（3）Check for IIS administrative vulnerabilities：检测IIS管理方面的漏洞，如果计算机提供Web服务。

（4）Check for SQL administrative vulnerabilities：检测SQL程序设置等方面的漏洞。

（5）Check for security updates：检测安全更新。（在扫描时可以不选中）

 

        扫描漏洞，单击“Start Scan”开始扫描，扫描结束后程序会自动跳转扫描结果窗口。

        扫描结果分析，在扫描报告中可以按照“Iessue name”、“Score（worst first）”和“Score（best first）”3种方式进行排序显示扫描结果。 

        查看扫描报告，点击“View existing security scan reports”进入查看扫描报告界面。