三.  常見掃描主要技術

要了解常見掃描的主要技術，還要以掃描器工作的流程開始，以nmap為例，整個掃描流程如下：

1、存活性掃描：是指大規模去評估一個較大網絡的存活狀態。例如跨地域、跨系統的大型企業。但是被掃描主機可能會有一些欺騙性措施，例如使用防火墻阻塞ICMP數據包，可能會逃過存活性掃描的判定。

2、端口掃描：針對主機判斷端口開放和關閉情況，不管其是不是存活。端口掃描也成為存活性掃描的一個有益補充，如果主機存活，必然要提供相應的狀態，因此無法隱藏其存活情況。

3、服務識別：通過端口掃描的結果，可以判斷出主機提供的服務及其版本。

4、操作系統識別：利用服務的識別，可以判斷出操作系統的類型及其版本。

這就是以nmap為代表的掃描過程。

3.1  主機存活掃描技術

主機掃描的目的是確定在目標網絡上的主機是否可達。這是信息收集的初級階段，其效果直接影響到后續的掃描。Ping就是最原始的主機存活掃描技術，利用icmp的echo字段，發出的請求如果收到回應的話代表主機存活。
常用的傳統掃描手段有：

1. ICMP Echo掃描  精度相對較高。通過簡單地向目標主機發送ICMP Echo Request 數據包，并等待回復的ICMP Echo Reply 包，如Ping。

2. ICMP Sweep 掃描：sweep這個詞的動作很像機槍掃射，icmp進行掃射式的掃描，就是并發性掃描，使用ICMP Echo Request一次探測多個目標主機。通常這種探測包會并行發送，以提高探測效率，適用于大范圍的評估。

3. Broadcast ICMP掃描：廣播型icmp掃描，利用了一些主機在icmp實現上的差異，設置ICMP請求包的目標地址為廣播地址或網絡地址，則可以探測廣播域或整個網絡范圍內的主機，子網內所有存活主機都會給以回應。但這種情況只適合于UNIX/Linux系統。

4. Non-Echo ICMP掃描：在ICMP協議中不光光只有ICMP ECHO的ICMP查詢信息類型，在ICMP掃描 技術中也用到Non-ECHO ICMP技術（不僅僅能探測主機，也可以探測網絡設備如路由）。利用了ICMP的服務類型（Timestamp和Timestamp Reply 、Information Request和Information Reply 、Address Mask Request 和Address Mask Reply）。

3.2  規避技術

為到達規避防火墻和入侵檢測設備的目的， ICMP協議提供網絡間傳送錯誤信息的功能也成為了主要的掃非常規描手段。其主要原理就是利用被探測主機產生的ICMP錯誤報文來進行復雜的主機探測。

常用的規避技術大致分為4類：

1. 異常的IP包頭 ：向目標主機發送包頭錯誤的IP包，目標主機或過濾設備會反饋ICMP Parameter Problem Error信息。常見的偽造錯誤字段為Header Length  和IP Options。不同廠家的路由器和操作系統對這些錯誤的處理方式不同，返回的結果也不同。

2. 在IP頭中設置無效的字段值：向目標主機發送的IP包中填充錯誤的字段值，目標主機或過濾設備會反饋ICMP Destination Unreachable信息。這種方法同樣可以探測目標主機和網絡設備。

3. 通過超長包探測內部路由器：若構造的數據包長度超過目標系統所在路由器的PMTU且設置禁止分片標志, 該路由器會反饋 Fragmentation Needed and Don’t Fragment Bit was Set差錯報文。

4. 反向映射探測：用于探測被過濾設備或防火墻保護的網絡和主機。構造可能的內部IP地址列表，并向這些地址發送數據包。當對方路由器接收到這些數據包時，會進行IP識別并路由，對不在其服務的范圍的IP包發送ICMP Host Unreachable或ICMP Time Exceeded 錯誤報文，沒有接收到相應錯誤報文的IP地址可被認為在該網絡中。

舉例來看：

圖1

當發送一個數據包的時候，數據包頭部會顯示其封裝類型，這里顯示的是tcp協議。其編號是06，看到06就可以知道這是一個tcp報文。如果把報文標識成不可識別的協議，例如：

圖2

協議字段里顯示是unknown，編號是b2，這個協議是未知的，那嗅探器也會返回給一個unknown。就是這樣發送一個不可識別的協議給其他主機的時候，對方主機也無法識別。當不可識別的時候：

圖3

對方認為自己的協議棧上無法識別，第一個動作就是先把數據包丟棄，丟掉報文之后去通知對方，返回了這條icmp的信息。類型為3，目標不可達，其code是2，告訴你目標不可達的原因是協議不可達。當你發送一個錯誤的數據包，對方不可識別就返回給你一個icmp信息，達到了探測對方的目的。

3.3  端口掃描技術

在完成主機存活性判斷之后，就應該去判定主機開放信道的狀態，端口就是在主機上面開放的信道，0-1024為知名端口，端口總數是65535。端口實際上就是從網絡層映射到進程的通道。通過這個關系就可以掌握什么樣的進程使用了什么樣的通信，在這個過程里面，能夠通過進程取得的信息，就為查找后門、了解系統狀態提供了有力的支撐。常見流行的端口掃描技術通常有：

3.3.1  TCP掃描：

利用三次握手過程與目標主機建立完整或不完整的TCP連接。

TCP connect()掃描： tcp的報頭里，有6個連接標記，分別是urg、ack、psh、rst、syn、fin。通過這些連接標記不同的組合方式，可以獲得不同的返回報文。例如，發送一個syn置位的報文，如果syn置位瞄準的端口是開放的，syn置位的報文到達的端口開放的時候，他就會返回syn+ack，代表其能夠提供相應的服務。我收到syn+ack后，返回給對方一個ack。這個過程就是著名的三次握手。這種掃描的速度和精度都是令人滿意的。

Reverse-ident掃描：這種技術利用了Ident協議(RFC1413)，tcp端口113.很多主機都會運行的協議，用于鑒別TCP連接的用戶。

identd 的操作原理是查找特定 TCP/IP 連接并返回擁有此連接的進程的用戶名。它也可以返回主機的其他信息。但這種掃描方式只能在tcp全連接之后才有效，并且實際上很多主機都會關閉ident服務。

Tcp syn掃描：向目標主機的特定端口發送一個SYN包，如果端口沒開放就不會返回syn+ack，這時會給你一個rst，停止建立連接。由于連接沒有完全建立，所以稱為半開放掃描。但由于syn flood作為一種ddos攻擊手段被大量采用，因此很多防火墻都會對syn報文進行過濾，所以這種方法并不能總是有用。

其他還有fin、NULL、Xmas等掃描方式。

3.3.2     UDP掃描

由于現在防火墻設備的流行，tcp端口的管理狀態越來越嚴格，不會輕易開放，并且通信監視嚴格。為了避免這種監視，達到評估的目的，就出現了秘密掃描。這種掃描方式的特點是利用UDP端口關閉時返回的ICMP信息，不包含標準的TCP三次握手協議的任何部分，隱蔽性好，但這種掃描使用的數據包在通過網絡時容易被丟棄從而產生錯誤的探測信息。

但是，UDP掃描方式的缺陷很明顯，速度慢、精度低。UDP的掃描方法比較單一，基礎原理是：當你發送一個報文給udp端口，該端口是關閉狀態時，端口會返回給一個icmp信息，所有的判定都是基于這個原理。如果關閉的話，什么信息都不發。

Traceroute掃描：tracert 向30000以上的高端口（一般認為，主機的30000以上高端口利用率非常低，任何主機都不會輕易開放這種高端口，默認都是關閉的）。如果對方端口關閉，會返回給icmp信息，根據這個往返時間，計算跳數、路徑信息，了解延時情況。這是tracerote原理，也是從這個原理上演變出來udp掃描技術。

使用udp掃描要注意的是1、udp狀態、精度比較差，因為udp是不面向連接的，所以整個精度會比較低。2、udp掃描速度比較慢，tcp掃描開放1秒的延時，在udp里可能就需要2秒，這是由于不同操作系統在實現icmp協議的時候為了避免廣播風暴都會有峰值速率的限制（因為icmp信息本身并不是傳輸載荷信息，不會有人拿他去傳輸一些有價值信息。操作系統在實現的時候是不希望icmp報文過多的。為了避免產生廣播風暴，操作系統對icmp報文規定了峰值速率，不同操作系統的速率不同） 利用udp作為掃描的基礎協議，就會對精度、延時產生較大影響。

當前在滲透測試過程中對于端口的掃描是非常靈活的，06年的黑帽大會上，就有人利用了開發了工具探測網內哪臺主機打開了80端口，這樣的技術在當前的互聯網上利用的非常普遍。

圖4

3.4  服務及系統指紋

在判定完端口情況之后，繼而就要判定服務。

3.4.1  根據端口判定

這種判定服務的方式就是根據端口，直接利用端口與服務對應的關系，比如23端口對應telnet，21對應ftp，80對應http。這種方式判定服務是較早的一種方式，對于大范圍評估是有一定價值的，但其精度較低。例如使用nc這樣的工具在80端口上監聽，這樣掃描時會以為80在開放，但實際上80并沒有提供http服務，由于這種關系只是簡單對應，并沒有去判斷端口運行的協議，這就產生了誤判，認為只要開放了80端口就是開放了http協議。但實際并非如此，這就是端口掃描技術在服務判定上的根本缺陷。

3.4.2  BANNER

Banner的方式相對精確，獲取服務的banner，是一種比較成熟的技術，可以用來判定當前運行的服務，對服務的判定較為準確。而且不僅能判定服務，還能夠判定具體的服務版本信息。例如下圖，根據頭部信息發現對方是redhat linux，基本上可以鎖定服務的真實性。

圖5

這種技術比較靈活。像http,ftp,telnet都能夠獲取一些banner信息。為了判斷服務類型、應用版本、OS平臺，通過模擬各種協議初始化握手，就可以獲取信息 。

但是在安全意識普遍提升的今天， 對Banner的偽裝導致精度大幅降低。例如IIS&Apache：修改存放Banner信息的文件字段進行修改，這種修改的開銷很低?，F在流行的一個偽裝工具Servermask ，不僅能夠偽造多種主流Web服務器Banner，還能偽造Http應答頭信息里的項的序列。

使用前

圖6

使用后

圖7

變的不僅是紅色的部分，而且整個返回序列都變化了。這個變化是手工難已修改的。如果不能成功的修改序列，那就可能給有經驗的滲透者提供依據。

3.4.3  指紋技術

指紋技術利用TCP/IP協議棧實現上的特點來辨識一個操作系統?？杀孀R的OS的種類，包括哪些操作系統，甚至小版本號。指紋技術有主動和被動兩種。

主動識別技術：采用主動發包，利用多次的試探，去一次一次篩選不同信息，比如根據ACK值判斷，有些系統會發送回所確認的TCP分組的序列號，有些會發回序列號加1。還有一些操作系統會使用一些固定的tcp窗口。某些操作系統還會設置IP頭的DF位來改善性能。這些都成為判斷的依據。這種技術判定windows的精度比較差，只能夠判定一個大致區間，很難判定出其精確版本，但是在unix，網絡設備時甚至可以判定出小版本號，比較精確。如果目標主機與源主機跳數越多，精度越差。因為數據包里的很多特征值在傳輸過程中都已經被修改或模糊化，會影響到探測的精度。nmap –O參數就是其代表。

被動識別技術：不是向目標系統發送分組，而是被動監測網絡通信，以確定所用的操作系統。利用對報頭內DF位，TOS位，窗口大小，TTL的嗅探判斷。因為并不需要發送數據包，只需要抓取其中的報文，所以叫做被動識別技術。例如telnet對方，并用snort監聽數據包：

TCP TTL:255 TOS:0x0 ID:58955 DF
**S***A* Seq:0xD3B709A4 Ack:0xBE09B2B7 Win:0x2798 
TCP Options => NOP NOP TS:9688775 9682347 NOP WS:0 
MSS:1460

得到這些信息后，熟悉系統的人可猜測到操作系統是Solaris 2.6-2.7。在nmap中，也有操作系統的指紋庫，可以從指紋庫中去匹配。其代表掃描工具有 Siphon，天眼。

ICMP指紋識別技術 ：這種工具的出現較晚，大概在2001-2002年，在黑帽大會上提出，并開發出相應的工具xprobe，其優勢是只需要通過icmp，發送一批UDP包給高端關閉的端口，然后計算返回來的不可達錯誤消息。通常情況下送回IP頭+8個字節，但是個別系統送回的數據更多一些。根據ICMP回應的TOS、TTL值、校驗和等信息，通過這些信息以樹狀的形式去過濾，最終精確鎖定。下圖只是整個判定過程中的一小量部分，類似的圖還有很多張。

圖8

例如TTL值，當你發送icmp 的echo請求，對方回應的ttl值是有一定規律可循的，一般是4個數值，32（win95，唯一值為32的操作系統），64，128（windows家族，只有win95例外），256。64和256比較難以分辨，大多數的unix和linux都可能是。 代表性掃描工具 Xprobe