網絡漏洞掃描方法介紹
主機掃描是指對計算機主機或其他網絡設備進行安全檢測,找出安全隱患和系統漏洞。壹般來說,網絡掃描和主機掃描都可以歸為漏洞掃描。漏洞掃描本質上是壹把雙刃劍:黑客用它來尋找攻擊網絡或系統的方法,系統管理員用它來有效阻止黑客入侵。通過漏洞掃描,掃描器可以發現遠程網絡或主機de的配置信息,TCP/UDP端口de的分配,de網絡服務的提供,以及服務器de的具體信息。
網絡漏洞掃描原理:
漏洞掃描可分為五種主要技術:ping掃描、端口掃描、操作系統檢測、漏洞檢測和防火墻掃描。每種技術都有不同的設計目標和原則。根據TCP/IP協議族de的結構,ping掃描工作在互聯網層:端口掃描和防火墻檢測工作在傳輸層;0S檢測和漏洞檢測工作在互聯網層、傳輸層和應用層。Ping掃描確定目標主機的deIP地址,端口掃描檢測目標主機打開的de端口,然後基於端口掃描的de結果進行OS檢測和漏洞掃描。
網絡漏洞掃描方法:Ping掃描
Ping掃描是指檢測主機IP地址的de掃描。Ping scan de destination de,就是確認目標主機deTCP/IP網絡是否連通,也就是掃描是否給主機分配了deIP地址。對於沒有任何預知信息的de黑客來說,ping掃描是漏洞掃描和入侵de的第壹步。對於已經了解網絡整體IP劃分的安全人員來說,他們也可以使用ping掃描來獲得主機deIP分配的準確de位置。壹般來說,ping掃描是基於ICMP協議de。其主要思想是構造壹個ICMP包發送給目的主機,從de響應中判斷。根據構造ICMP數據包的de不同,可分為ECH0掃描和非?回聲掃描有兩種。
網絡漏洞掃描方法:ECH0掃描
向目標IP地址發送壹個ICMP ECHOREQUEST(ICMP type 8)de數據包,等待是否被UICMP ECHO REPLY(ICMP type 0)收到。如果收到ICMP ECHO回復,說明目標IP上有主機,否則說明沒有主機。值得註意的是,如果目標網絡上的de防火墻被配置為攔截ICMP ECH0流量,ECHO掃描無法真實反映目標IP上是否有主機。
此外,如果向廣播地址發送ICMPECHO請求,網絡中的deunix主機將響應該請求,但windows主機不會生成響應,這也可用於OS檢測。
網絡漏洞掃描方法:非ECH0掃描
向目的deIP地址發送icmp時間戳請求(icmp類型L3)或icmp地址掩碼請求(icmp類型L7) de報文,根據是否收到響應判斷目的主機是否存在。當目標網絡上的de防火墻配置為阻止ICMP ECH0流量時,非。ECH0掃描可用於主機檢測。
網絡漏洞掃描方法:端口掃描
端口掃描用於檢測主機打開的de端口。端口掃描通常只做最簡單的de端口連通性測試,不做進壹步的de數據分析,所以更適合大規模的de掃描:對指定IP地址的某個端口值段進行de掃描,或者對指定端口值的某個IP地址段進行掃描。根據端口掃描使用de協議,分為TCP掃描和UDP掃描。
網絡漏洞掃描方法:TCP掃描
在主機之間建立TCP連接有三個步驟(也稱為三次握手):
(1)請求者發送壹個SYN數據包,表明它打算連接到de目的端口。
(2)觀察目de終端返回的de包:
返回SYN/ACK包,指示目de端口處於監聽狀態;
返回RST/ACK包,表示目的de端口沒有監聽,連接被重置。