网络安全讲座之：侦察与工具(1)

网络安全讲座之：侦察与工具(3)


堆栈指纹

　　许多本课中介绍的程序都利用堆栈指纹技术，这种技术允许你利用TCP/IP来识别不同的操作系统和服务。因为大多数的系统管理员注意到信息的泄露而且屏蔽了系统标志，所以应用堆栈指纹的技术十分必要。但是，各个厂商和系统处理TCP/IP协议的特征是管理员所难以更改的。许多审计人员和黑客记录下这些TCP/IP应用的细微差别，并针对各种系统构建了堆栈指纹表。

　　要想了解操作系统间处理TCP/IP协议的差异需要向这些系统的IP和端口发送各种特殊的包。根据这些系统对包的回应的差别，你可以推断出操作系统的种类。例如，你可以向主机发送FIN包（或任何不含有ACK或SYN标志的包），你会从下列操作系统获得回应：

　　Microsoft Windows NT,98,95,和3.11
　　FreeBSD
　　CISCO
　　HP/UX

　　大多数其它系统不会回应。虽然你只不过缩小了一点范围,但这至少开始了你对目标系统的了解。如果你向目标系统发送的报文头有未定义标志的TCP包的话，2.0.35版本以前的LINUX系统会在回应中加入这个未定义的标志。这种特定的行为使你可以判断出目标主机上是否运行该种LINUX操作系统。

　　下列是堆栈指纹程序利用的部分特征，许多操作系统对它们的处理方式不同：

　　ICMP错误信息抑制
　　服务类型值(TOS)
　　TCP/IP选项
　　对SYN FLOOD的抵抗力
　　TCP初始窗口：只要TCP开始进行三次握手，总是先发出一个SYN包。像NMAP这样的程序会发出一个SYN包欺骗操作系统作回应。堆栈指纹程序可以从回应报文的格式中推论出目标操作系统的一些情况。

　　NMAP

　　NMAP由于功能强大、不断升级和免费的原因十分流行。它对网络的侦查十分有效是基于两个原因。首先，它具有非常灵活的TCP/IP堆栈指纹引擎，NMAP的制作人FYODOR不断升级该引擎是它能够尽可能多的进行猜测。NMAP可以准确地扫描服务器操作系统（包括Novell, UNIX, Linux, NT），路由器（包括CISCO，3COM和HP），还有一些拨号设备。其次，它可以穿透网络边缘的安全设备，例如防火墙。

　　NMAP穿透防火墙的一种方法是利用碎片扫描技术（fragment scans），你可以发送隐秘的FIN包（-sF），Xmas tree包（-sX）或NULL包（-sN）。这些选项允许你将TCP查询分割成片断从而绕过防火墙规则。这种策略对很多流行的防火墙产品都很有效。

　　当前NMAP只能运行在UNIX操作系统上。操作系统类型包括Linux的所有版本，Free BSD 2.2.6-30，HP/UX，和Solaris。在Linux的X-Windows上还提供图形界面。最好的掌握NMAP的方法是学习使用它。使用nmap －h命令可以显示帮助信息，当然，你也可以用man nmap命令查看它的使用手册。

　　共享扫描

　　你可以扫描网络中绝大多数的内容，包括正在使用的共享。这种扫描过程提供了重要的侦查和利用各种资源和文件的方法。

　　共享扫描软件

　　Ping Pro提供了允许审计人员扫描Windows网络共享的功能。它只能侦查出共享名称，但不会入侵共享。例如，Microsoft网络利用TCP139端口建立共享。更具侵略性的侦查软件有知名的RedButton，许多Internet站点都免费提供下载。

　　RedButton是一个很古老的程序，大多数的系统管理员和安全管理员都找到了防范它的方法。这个程序不仅可以侦查出共享名称还可以发现相应的密码。它还可以获得管理员的账号名称。

　　缺省配置和补丁级扫描

　　黑客和审计人员对系统的缺省配置很了解。你可以编制工具查找这些弱点。实际上，本课中讨论的许多企业级的侦查工具都是针对这些弱点进行工作的。安全专家还知道操作系统工作的细节，根据服务补丁和hot fix的数量进行升级。

　　使用Telnet

　　Telnet是远程登录系统进行管理的程序。缺省情况下telnet使用23端口。当然，你还可以利用Telnet客户端程序连接到其它端口。

　　例如，你可以Telnet至HTTP端口。在连接一段时间内若没有任何动作，服务器会因为无法识别这次连接而自动切断。但是你通常可以从HTTP服务器上得到一些信息。例如，可以得知服务厂商的信息，版本（如Apache Web Server 1.36或IIS 4.0）等等。

　　虽然信息不是很多，但你至少能从报错信息中推断出服务器类型。如左边图所示你与服务器连接被终止，但在Web服务器报错信息中仍可以看出HTTP服务器版本。你还可以用Telnet连接上系统再使用SYST命令，许多TCP/IP堆栈会泄漏一些重要的信息。

网络安全讲座之：侦察与工具(2)


host

　　Host命令是UNIX提供的有关Internet域名查询的命令，可实现主机名到IP地址的映射，反之亦然。用host命令可实现以下功能：

　　实现区域传送

　　获得名称解析信息

　　得知域中邮件服务器的信息

　　参数-v可显示更多的信息，参数-l实现区域传送，参数-t允许你查询特定的DNS记录。例如，要查询ciwcertified.com域的邮件服务器的记录，你需要键入命令：

　　host －t mx ciwcertified.com 你可以参考UNIX命令帮助获得更多信息。

　　Traceroute（tracert）

　　Traceroute 用于路由追踪，如判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间如何、是否有路由器当掉等。大多数操作系统，包括UNIX，Novell和Windows NT，若配置了TCP/IP协议的话都会有自己版本的traceroute程序。当然我们也可以使用其它一些第三方的路由追踪软件，在后面我们会接触到这些工具。

　　使用traceroute，你可以推测出网络的物理布局，包括该网络连接Internet所使用的路由器。traceroute还可以判断出响应较慢的节点和数据包在路由过程中的跳计数。

　　Ping 扫描作用及工具

　　Ping一个公司的Web服务器可帮助你获得该公司所使用的IP地址范围。一旦你得知了HTTP服务器的IP地址，你可以使用Ping扫描工具Ping该子网的所有IP地址，这可以帮助你得到该网络的地址图。

　　Ping扫描程序将自动扫描你所指定的IP地址范围。WS_Ping ProPack工具包中集成有Ping扫描程序，单独的Ping工具有许多，Rhino9 Pinger是比较流行的程序。

　　端口扫描

　　端口扫描与ping扫描相似,不同的是端口扫描不仅可以返回IP地址，还可以发现目标系统上活动的UDP和TCP端口。

　　在本例中，地址192.168.1.10正在运行SMTP和Telnet服务，地址192.168.1.12正在运行FTP服务，主机192.168.1.14未运行任何可辨别的服务，而主机192.168.1.16运行着SMTP服务。最后一台主机属于Microsoft网络，因为该网络使用UDP137和TCP138、139端口。

　　端口扫描软件

　　端口扫描器是黑客最常使用的工具。一些单独使用的端口扫描工具象Port Scanner1.1，定义好IP地址范围和端口后便可开始实施扫描。还有许多单独使用的端口扫描器，如UltraScan等。像Ping扫描器，许多工具也集成了端口扫描器。NetScan、Ping Pro和其它一些程序包集成了尽可能多的相关程序。你将发现许多企业级的网络产品也将ping和端口扫描集成起来。

　　网络侦查和服务器侦查程序

　　使用简单的程序如Ping Pro，你可以侦查出Microsoft的网络上开启的端口。Ping Pro的工作是通过监测远程过程调用服务所使用的TCP、UDP135端口，和Microsoft 网络会话所使用的UDP137，138，和139端口来实现的。其它的网络扫描工具允许你监测UNIX，Novell，AppleTalk的网络。虽然Ping Pro只能工作在其安装的特定子网，但还有更多更复杂的工具，这些工具的设计者把它们设计成为可以识别更多的网络和服务类型的程序。

　　例如，NMAP是UNIX下的扫描工具，它可以识别不同操作系统在处理TCP/IP