了解***的初級階段---網絡信息探測技巧 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

?

?

1、快速建立TCP掃描的方法

??? 我們都有一個經驗，就是要網卡工作到高速率上不容易，<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />100M的網卡流量到60M時就差不多了。但是很多做測試儀器的，如Smartbit在測試時可以到物理帶寬，看了下面的小工具你也能做到了： 先了解一些TCP的基礎，TCP的會話過程(三次握手)： n???????? A發(fā)送SYN到B，生成ISN-A(A收到包編號基數)，ISN為防止連接中數據接收順序差錯的編號，初始值在建立連接時隨機生成，以后開始遞增。ISN為通訊的雙向ISN-A與ISN-B，各自記錄自己的包順序 n???????? B回送SYN/ACK到A，生成ISN-B(B收到包編號基數)，AN=ISN-A+1 n???????? A發(fā)送SYN到B，ISN-A+1，AN=ISN-B+1 在TCP包頭序列號SN字段，存放在對話初協商隨機的32位編號ISN 主機在發(fā)送SYN時，要在會話內存中保留ISN與預期的AN，等待回送的SYN/ACK，并與收到的包中的作對比，一致的才認可，防止其他“冒充”的數據包，若等待時間超出，則重發(fā)幾次SYN，直到有回應，或返回一個超時的錯誤。一般在掃描過程中，多數連接是沒有回應的，但都要等待到超時才結束，因為同時建立的會話多，計算機消耗資源多，尤其是內存，所以多數的掃描工具速度較慢。 逆向SYN cookie技術：在發(fā)送SYN時，使用非隨機的ISN，利用源與目的IP、源與目的端口，與一個作為“密鑰”的種子(共160位)(該種子是掃描工具設置的)，通過單向散列函數計算出一個32位的ISN，Scanrand工具采用的是SHA-1，160位輸出截取到32位。這樣發(fā)送SYN時，就不記錄ISN等信息，發(fā)送進程只管盡快發(fā)送。當目標回應時，監(jiān)聽進程把接收數據包的AN減1，然后利用數據包的IP與端口信息，與“種子”一起進行同樣的散列算法處理，的出發(fā)送時的ISN，如果與收到的數據相匹配，監(jiān)聽進程就可以判定是自己發(fā)送的，并且可以知道目的的IP與端口。 由于發(fā)送無需等待回應，也不用內存占用，所以掃描發(fā)送的速度只受網卡的物理限制。 Scanrand的TCP掃描的返回值： 2??????? UP：打開SYN/ACK 2??????? DOWN：關閉RST/ACK 2??????? un**：ICMP type 3目的不可達(RFC792)：un01主機不可達，un03端口不可達 2??????? ***：ICMP type 11服務超時 ??? 另外，逆向SYN cookie技術把發(fā)送與接收過程的聯系分開，因為之間的聯系“沒有”了，這樣掃描工具可以分別起兩個進程，一個只管發(fā)，另一個只管收，大大提供掃描的效率。

?

2、 躲避IDS監(jiān)測的探測掃描技巧

***的第一步是收集信息階段，也就是收集目標是漏洞點，俗稱“踩點”。踩點的主要是工作為幾個方面： ????????? 確定目標系統(tǒng)的操作系統(tǒng)類型與版本 ????????? 開啟服務的端口 ????????? 開啟服務的版本信息 原理：探測掃描的真正風險在于向目標發(fā)送太多的數據包暴露***者的存在，這些通訊中常包含一些構成可識別簽名的數據，其中一些被有意構建為畸形的數據包，以便得到可辨識的錯誤信息回復。很多***檢測系統(tǒng)(IDS)把這些簽名作為“特征”進行查找，從而識別***的掃描行為。尤其是純粹的TCP方式。 Xprobe2工具混合了ICMP、TCP與UDP多中方式，并且不發(fā)送畸形數據包，探測行為不給網絡帶來“噪音”，所以能躲避很多IDS的檢測。同時利用IDS一般喜歡有產生大量日志或假報警的習慣，用一些表面上看是偶爾可疑的事件，尤其是在大數量事件的背景下，很容易逃脫安全管理人員的眼睛。 探測操作系統(tǒng)類型：

例子1： ICMP的PING是網絡中常見的連接查詢方式，但很多“指紋”細節(jié)可以帶來探測中需要的重要信息。正常情況下發(fā)送ICMP Echo Request，目標機器一般回復為Echo Reply。工具Xprobe2在發(fā)送Request時，把ICMP包的Code字段設為123(自己定義的)，而不是0。有意思的是不同操作系統(tǒng)的目標機器回復是不同的，Microsoft Windows會用Code 0回復，其他OS一般采用與請求相同的Code值回復。 探測服務端口是否帶開：

例子2：正常情況下，探測服務端口會對常見的端口或全部端口直接發(fā)送連接建立請求包，密度大，排列整齊，很容易被IDS發(fā)現。為了在探測目標端口是否打開時躲避IDS的監(jiān)控，工具Xprobe2采用了一個“第三方模擬”的技術。Xprobe2先自己給本地DNS發(fā)個某地址DNS請求，得到正確的返回包。然后Xpeobe2把這個返回包改造為自己是DNS服務器，給目標機器的返回包，發(fā)送DNS端口(53)，查詢端口就是目標中要探測的端口，如UDP65500。目標機器收到這個包很意外，因為自己沒有發(fā)過請求，所以就給了一個正常的回復，如端口不可達，而這正式Xprobe2所需要的，回復中表明該端口關閉。因為DNS包不會引起IDS的注意，從而掩蓋了探測的行為。 探測服務端口上的服務類型信息：

該需求對常見服務是不必要的，但對于網絡管理人員采用了很多“安全”措施后，也就變得很需要了。“不公開，即安全”是一種傳統(tǒng)的安全理念，所以網管人員采用一些非標準端口運行通常的網絡服務，讓探測者失去“目標”，保證安全。 作為掃描者需要探知端口上的服務詳細信息，作為網絡管理員需要探知網絡內用戶安裝了那些公司不允許的“服務”。 Amap([url]www.thc.org[/url])是探測端口服務的工具。主要的原理是通過開啟多個連接，抓取該端口服務的“特征”，從而判斷服務的類型。如Telnet到到端口，即可提示服務類型與版本信息等。但是服務“特征”不明顯或被修改時，這種方式就難以奏效。Amap通過模擬一些查詢或會話建立的初始請求，嘗試與目標建立連接，從而探測服務的類型與版本。如SSL服務需要握手的三個步驟：1、Client_hello。2、Server_hello。3、Server-to-client certificate transfer 當然，該工具積累了一個龐大的常見應用模擬通訊數據庫。 Amap也是網管人員的好工具，可用來發(fā)現用戶安裝的、未經授權的服務，尤其是對經常變化端口號，隱藏公司不允許的服務的情況，如P2P、VNC遠程桌面等。

?

3、 不可小看的ARP協議

ARP是通訊中匹配IP地址與MAC地址的協議，是TCP/IP通訊的基礎，當主機要給目標發(fā)送數據時，首先通過DNS協議把www地址(應用層地址)翻譯成目標IP地址(網絡層地址)，再通過ARP協議把IP地址影射為目標的MAC地址(數據鏈路層地址)(可能是網關而非真正的目標計算機)，數據才可以發(fā)送。在Hub時代，大家通訊都是可監(jiān)聽到的，MAC地址的廣播與更新相對簡單，但到了Switch時代，沖突域“沒有了”，其他兩人的通訊也不再是你能隨意獲得的，所以ARP也有了新的發(fā)展。 ????????? 代理ARP(proxy ARP)：在很早的時候，目標主機與源主機不在一個網段時，ARP的廣播會網關設備截止而拋棄，目標主機就聽不到，當然就無法回答。所以網絡中有一個“管理者”負責把不是本網段的ARP請求統(tǒng)一管理，代理這些請求，讓源主機先發(fā)送給自己，再由自己發(fā)送給目標機器，這就是ARP代理。后來主機內都設置了默認網關地址，當主機發(fā)現目標主機不在本網段時，直接發(fā)送給設備的網關。所以直接請求網關的MAC地址就可以了。雖然ARP代理已經很少使用，但想偵聽別人通訊的人也可以冒充網關，從而代理你的業(yè)務。 ????????? 查詢ARP(Unsolicited ARP，也稱未經同意的ARP)：在主機開機時，初始化TCP/IP棧，并向準備使用的IP地址發(fā)送一個ARP請求，查看網絡中是否有地址沖突。當請求沒有收到答復時，可以放心使用該IP地址。當然TCP/IP規(guī)定在發(fā)送方不知道目標的MAC時，都要先發(fā)送查詢ARP，等待目標者答復，沒有目標MAC是沒有辦法組織發(fā)送包的。 ????????? 免費ARP(Unicast ARP，Gratuitous ARP，也稱無故ARP)：因為網絡設備(交換機)中的FDB轉發(fā)表(MAC地址對應端口)和主機ARP緩存表(IP地址對應MAC地址)都是動態(tài)學習刷新的，一段時間沒有數據包就會“老化”而刪除，所以為了刷新這些會“學習”的表格，直接發(fā)送ARP應答，由于是自己主動發(fā)送的，并且此ARP應答不是針對某個地址，而是針對本網段的廣播，所以稱免費ARP。一種情況是主機在開機時會發(fā)送免費ARP，目的是告訴網絡“我來了”，同時通知交換機在對應的端口上記錄自己的MAC。另一種情況是有些主機與網絡設備為了保持自己在別人緩存中不被老化，定期發(fā)送的刷新提示，這樣當有人給自己發(fā)數據時，就不用因為地址老化而發(fā)送ARP請求再重新查找了。Cisco的網絡設備就有定期發(fā)免費ARP的習慣。 ??? ARP是MAC地址學習的工具，所以免費ARP一般很常見，安全設備會忽視他是存在，從而成為***者監(jiān)聽的工具。 ARP下毒***原理：***方的目標是成為通訊雙方的ARP代理，也稱作中間人***，具體是通過免費ARP，快速刷新通訊雙方的主機ARP緩存，讓雙方都認為對方的IP地址對應的MAC地址就是中間人的，從而在他們雙方通訊時把數據“誤送”給了中間人，再由中間人代理給對方。 中間人***若模擬自己是網關，則可以代理網段上所有主機對外的通訊，所以網關設備對網絡上的冒充自己IP的行為一向非常重視。

?

轉載于:https://blog.51cto.com/zhaisj/60946

總結

以上是生活随笔為你收集整理的了解***的初级阶段---网络信息探测技巧的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。