爱华网Internet上的主机大部分都提供WWW、Mail、FTP、BBS等网络信息服务,基本上每一台主机都同时提供几种服务,一台主机为何能够提供如此多的服务呢?一般提供服务的操作系统如UNIX等是多用户多任务的系统,将网络服务划分为许多不同的端口,每一个端口提供一种不同的服务,一个服务会有一个程序时刻监视端口活动,并且给予应有的应答。并且端口的定义已经成为了标准,例如:FTP服务的端口是21,Telnet服务的端口是23,WWW服务的端口是80等。
如果攻击者使用软件扫描目标计算机,得到目标计算机打开的端口,也就了解了目标计算机提供了那些服务。我们都知道,提供服务就可能有服务软件的漏洞,根据这些漏洞,攻击者可以达到对目标计算机的初步了解。如果计算机的端口打开太多,而管理者又不知道,那么就可能发生两种情况:一种是提供了服务而管理者没有注意,比如安装 IIS 的时候,软件就会自动增加很多服务,而管理员可能没有注意到;另外一种是服务器被攻击者安装了木马,通过特殊的端口进行通信。这两种情况都是很危险的,说到底,就是管理员不了解服务器提供的服务,减小了系统安全系数。
端口扫描程序是黑客或者网络攻击常用的工具。有许多网络入侵都是从端口扫描开始的。有一些很老的端口扫描程序,如 SATAN 的程序,现在仍然可以查出网络上主机的安全缺陷。有些技术先进、防范严密的计算机竟然也不能抵挡这种很老工具的攻击。
1. 常用的扫描工具
常用的扫描工具有SATAN、ISS等,将在本书第4章详细介绍。
2.各类端口扫描方式
最简单的端口扫描程序只是检查一下目标主机有哪些端口可以建立TCP连接,如果可建立的话,说明主机在那个端口正在进行监听。但是像这样的程序不能进一步确定端口所提供的服务及一些漏洞。
[TR]
[TD][I]498)this.width=498;' onmousewheel = 'javascript:return big(this)' height=529 alt="" src="http://pic.aIhUaU.com/201602/15/111711831.jpg" width=432 border=0>[/TD][/TR]
[TR]
[TD](点击查看大图)图3.2.1 [/TD][/TR]
[TR]
[TD][I]498)this.width=498;' onmousewheel = 'javascript:return big(this)' height=526 alt="" src="http://pic.aIhUaU.com/201602/15/112223956.jpg" width=498 border=0>[/TD][/TR]
[TR]
[TD](点击查看大图)图3.2.2[/TD][/TR]
那么到底怎么知道端口所提供的服务呢?这个必须用相应的协议来验证才能得到结果。其原理是:某个服务进程总是为了完成某种具体的工作。如,文件传输协议,只要按照这个协议,客户端提供正确的命令序列,才能完成文件的传输服务。因此,应用层协议是各不相同的。一个专门在网络上找代理服务器的程序,他总是试图连到一台主机的许多的端口,如果能够利用某个端口来调用一个WWW站点的网页,就可以认为这个端口正在运行一个代理程序。
端口扫描可以被目标主机检测到,并且将其记录下来。因为扫描是要和主机相连接的,一旦建立了连接,目标主机就会记录下来。况且现在很多防火墙都对通过的未知来源的IP很警惕,也可能被过滤掉。目前的许多入侵者都是利用 TCP/IP 的本身特性,实现了隐身技术。正确设置防火墙可以阻止,例如,使用天网防火墙的【自定义IP规则】功能可以拦截端口扫描以及ping扫描等,如图和图3.2.2所示。在图3.2.1中,可以通过IP规在图中,可以防止别人用ping 令探测自己的计算机。
所以了解这方面的知识对管理员也有很大的帮助。
下面我们来研究一下,入侵者是如何隐身而进行端口扫描的。
(1) TCP conntct ( )的扫描
使用系统提供的conntct ( )系统调用建立与想要的目标主机的端口连接。如果端口正在监听的话,conntct ( )就返回结果,反之,在使用它自身扫描的一个最显著的特点就是conntct ( )UNIX速度也相当快。不但可以扫描主机的端口,还可以使用多个socket来加快速度。但是conntct ( )这样的扫描方式的弊端就是很容易被系统过滤掉,并记录在日志,然后关闭连接。
(2) TCO FIN扫描
在很多的情况下,一些防火墙和包过滤程序监视数据包访问一个未被允许的端口,使得一些程序可以检测到很多的扫描方式。然而,FIN数据包却有可能通过这些过滤。 TCO FIN扫描的基本原理上这样的:关闭的端口将会用正确的RST来应答发送的FIN数据包,而相反的,这个就是TCP实现上的一个错误,但是这个错误不是所有系统都存在,因此,并不是对任何系统都有效。
(3)Frentation扫描
相当于其他扫描方式,像Frentation这样的扫描就显的比较高级一些了。它不仅仅发送数据包去探测,而且将要发送的数据组成更小的过TCP包头分成段,放到小的IP包里,使得过滤程序很难过滤这样的包,这样就可以做到对一台计算机主机的扫描。
(4)ICMP扫描
这个扫描大概是大家最熟悉不过的了。但是ICMP扫描不能算是一个真正的扫描,因为ICMP并没有端口的意思。但是,在使用ping这个命令的时候,通常可以得到网络上目标主机是否正在运行的信息。而使用这样的方式,一但主机将屏蔽的话,得到的信息将不起什么作用了。
网络理员可以用下些工具来防范入侵者的扫描:
COPS:用来检测UNIX系统中一系列存在的漏洞。先于入侵者发现这些漏洞是确保系统安全的关键。
ISS:在系统中运行 ISS 将会得到和一个攻击者得到同样多的信息。先于攻击者使用这些工具,将使系统管理员改善系统中易受攻击的地方,ISS可在下面的站点得到:http://www.aIhUaU.comftp.iss.net。
TCP Wrappers:对很多UNIX网络服务可以用一种称为TCP Wrappers的软件来保护。它可以监视和过滤tftp、exec、FTP、rsh、Telnet、rlogin、finger等网络服务的请求,提供访问控制的特性,可以用来检测和防止网络攻击。这个工具可以从ftp://cert.org/pub/tools/以anymouse方式得到。
