fdq© 2010信息学院
28
进入我们新的空间
UDP协议包头
0
15 16
31
Source Port Length Data
Destination Port Checksum
A
???TTL1>0
B
???TTL1>0 2-1=1>0 ICMP port unreachable
3-1=2>0
我知道路由器A存在于这个路径上 路由器A的IP地址 我知道路由器B存在于这个路径上 路由器B的IP地址 我到达了目的地
port number 是一个一般应用程序都不会 用的号码（30000 以上），所以当此数 据包 到达目的地后该主机会送回一个 「ICMP port unreachable」的消息，而 当源主机收到这个消息时，便知道目的 地已经到达了。
fdq© 2010信息学院
24
进入我们新的空间
TCP/IP协议簇
应用层
HTTP、FTP、SMTP、 SNMP、POP、TELNET、 RIP、NNTP等
应用层
表示层 会话层
TCP和UDP
IP、ICMP、IGMP、 ARP、RARP等
传输层 网络层
传输层 网络层 数据连路层
物理层
物理层
fdq© 2010信息学院
对Xmas分段的回应
对Null分段的回应 对RST分段的回应 对UDP数据报的回应
fdq© 2010信息学院
22
进入我们新的空间
端口扫描原理
一个端口就是一个潜在的通信通道，即入侵通道 对目标计算机进行端口扫描，得到有用的信息 扫描的方法：
–手工进行扫描
–端口扫描软件
fdq© 2010信息学院
25
进入我们新的空间
IP协议包头
0 15 16 31
VER
HDR.LTH
SERVICE
DATADRAM LENGTH FLAGS FRAGMENT OFFSET
DATAGRAM IDENTIFICATION TTL PROTOCOL
HEADER CHECKSUM
SOURCE ADDRESS DESTINATION ADDRESS OPTIONS
Sequence number (32) Acknowledgement number (32)
Header length (4)
Reserved (6) Code bits (6)
Window (16) Urgent (16)
20 bytes
Checksum (16)
Options (0 or 32 if any) Data (varies)
fdq© 2010信息学院
20
进入我们新的空间
二、端口扫描
Netscan tools扫描结果 端口扫描不仅可以返回IP地址，还可以发现目标系统上活动的UDP和TCP端口
fdq© 2010信息学院
21
进入我们新的空间
端口扫描技术一览
对SYN分段的回应 对FIN分段的回应 对ACK分段的回应 对回应分段 进行分析
fdq© 2010信息学院
10
进入我们新的空间
Traceroute 路由跟踪原理
TTL=1 数据
A
小于等于0 ICMP time exceeded 发IP包的源地址 ???TTL1>0
B
IP包的所有内容
路由器的IP地址
fdq© 2010信息学院
11
进入我们新的空间
Traceroute 路由跟踪原理
B
???TTL1>0
2-1=1>0
ICMP time exceeded
IP包的所有内容
路由器的IP地址 我知道路由器A存在于这个路径上 路由器A的IP地址 我知道路由器B存在于这个路径上 路由器B的IP地址
fdq© 2010信息学院
13
进入我们新的空间
Traceroute 路由跟踪原理
TTL=3 数据 TTL=2 数据 TTL=1 数据
fdq© 2010信息学院
14
进入我们新的空间
普通Traceroute到防火墙后的主机
假定防火墙的规则阻止除PING和PING响应（ICMP类型8和0）
uniwis>traceroute traceroute to (210.106.0.105), 30 hops max, 40 byte packets 1 2 3 4 5 6 7 8 10.0.0.1 (10.0.0.1) 202.106.0.2 (202.106.0.2) 61.109.101.34 (61.109.101.34) 130.10.52.4 (130.10.52.4) 134.202.31.115 (134.202.31.115) 212.36.70.16 (134.202.31.115) 202.99.46.7 (202.99.46.7) 202.99.44.76 (202.99.44.76) 0.540 ms 2.455 ms 4.812 ms 5.010 ms 5.520 ms 9.584 ms 94.127 ms 96.012 ms 0.394 ms 2.479 ms 4.780 ms 4.903 ms 5.809 ms 21.754 ms 81.764 ms 98.224 ms 0.397 ms 2.512 ms 4.747 ms 4.980 ms 6.061 ms 20.530 ms 96.476 ms 99.312 ms
安全扫描
安全扫描常用命令 whois nslookup host Traceroute Ping扫描工具
fdq© 2010信息学院
9
进入我们新的空间
Traceroute命令
用于路由跟踪，判断从你的主机到目标主机经过哪些路由器、跳计数、 响应时间等等 可以推测出网络物理布局 判断出响应较慢的节点和数据包在路由过程中的跳数 Traceroute 或者使用极少被其它程序使用的高端UDP端口，或者使用 PING数据包
存活性扫描 端口扫描 系统堆栈扫描
按照攻击者角色分类
主动扫描 被动扫描
fdq© 2010信息学院
18
进入我们新的空间
一、存活性扫描
发送扫描数据包，等待对方的回应数据包 其最终结果并不一定准确，依赖于网络边界设备的过滤策略 最常用的探测包是ICMP数据包 例如发送方发送ICMP Echo Request，期待对方返回ICMP Echo Reply
fdq© 2010信息学院
6
进入我们新的空间
安全扫描的检测技术
基于应用的检测技术，它采用被动的，非破坏性的办法 检查应用软件包的设置，发现安全漏洞。 基于主机的检测技术，它采用被动的，非破坏性的办法 对系统进行检测。 基于目标的漏洞检测技术，它采用被动的，非破坏性的 办法检查系统属性和文件属性，如数据库，注册号等。 基于网络的检测技术，它采用积极的，非破坏性的办法 来检验系统是否有可能被攻击崩溃。
起始端口号=(目标端口-两机间的跳数*探测数据包数)-1
例：防火墙允许FTP数据包通过，即开放了21号端口,两机间跳数为2
起始端口号＝（ftp端口－两机间的跳数*默认的每轮跳数)－1 ＝（21－2*3）-1 ＝ 15－1 ＝ 14
fdq© 2010信息学院
17
进入我们新的空间
扫描类型
按照获得结果分类
fdq© 2010信息学院
19
进入我们新的空间
Ping扫描作用及工具
192.168.1.14 192.168.1.10 192.168.1.12 子网 Ping扫描
192.168.1.16 192.168.1.18
Ping扫描程序能自动扫描你所指定的IP地址范围
结果 192.168.1.10 192.168.1.12 192.168.1.14 192.168.1.16 192.168.1.18
fdq© 2010信息学院
7
进入我们新的空间
安全扫描系统具有的功能说明
协调了其它的安全设备 使枯燥的系统安全信息易于理解，告诉了你系统发生的事情 跟踪用户进入，在系统中的行为和离开的信息 可以报告和识别文件的改动 纠正系统的错误设置
fdq© 2010信息学院
8
进入我们新的空间
fdq© 2010信息学院
26
进入我们新的空间
ICMP协议包头
0
7 8
1516
31
Type(类型)
Code（代码）
Checksum（校验和）
ICMP Content
fdq© 2010信息学院
27
进入我们新的空间
TCP协议包头
Bit 0 Source port (16) Bit 15Bit 16 Destination port (16) Bit 31
fdq© 2010信息学院
15
进入我们新的空间
使用ICMP数据包后Traceroute结果
xuyi>traceroute -I traceroute to (210.106.0.105), 30 hops max, 40 byte packets
23
进入我们新的空间
OSI 参考模型
Application Presentation Session Transport Network Data Link Physical
比特流 数据 代码流 会话流 分段 （Segment） 包（Packet） 帧（Frame）
Application Presentation Session Transport Network Data Link Physical
侦查