3.2.1 扫描器法

3.2  典型攻击方法及其原理
3.2.1  扫描器法
1．扫描器法原理
该方法是利用C/S结构中的请求-应答机制来实现的。它通过使用不同的请求信息依次向远程主机或本地主机发送服务请求，然后根据远程主机或本地主机的响应情况来判别它们目前所处的工作状态，最后决定下一步的操作。如果远程主机或本地主机有响应，则表明与服务请求所对应的服务正在进行中，这时，再进一步分析和确定服务软件的版本信息，并试探该版本中的漏洞是否存在，从而实现扫描的目的。
常用的扫描方法有利用网络命令、端口扫描和漏洞扫描三种。
一个完整的扫描器应具备的基本功能包括：
（1）发现目标主机和网络；
（2）发现目标主机后，能够扫描正在运行的各种服务；
（3）能够测试这些服务中是否存在漏洞。
2．利用网络命令
大多数网络操作系统都会提供一些用于网络管理和维护的网络命令，利用这些网络命令可收集到许多有用的信息，例如，DNS服务器的地址，主机上的用户名、操作系统类型和服务程序等。但这些工具也常被入侵者用来扫描网络信息，当他们知道了目标主机上运行的操作系统、服务软件及其版本号后，就可利用已经发现的漏洞来攻击系统。
如果目标主机的管理员疏忽大意，没有及时修补系统中存在的漏洞，则入侵者就会轻易地侵入系统，并留下后门。当得知主机上的用户名后，入侵者将会利用口令破解工具不断猜测口令直到破译，进而以合法身份在系统中实施攻击行为。
例如，使用ping命令向目标主机发送一个ICMP数据包后，如果主机正在工作，则将返回响应信息，从中可得知主机的工作状态、网络时延和主机的IP地址信息。
再如，使用tracert命令可以跟踪一个数据包发送到主机所经过的全部路由信息，进而获得有关的路由器地址信息。
系统中提供的网络命令既方便了管理，同时也为入侵者提供了便利的攻击工具。
3．端口扫描
（1）端口扫描的工作原理
通过使用一系列TCP或UDP端口号，不断向目标主机发出连接请求，试图连接到目标主机上，并记录目标主机的应答信息。然后，进一步分析主机的响应信息，从中判断是否可以匿名登录，是否有可写入的FTP目录，是否可以使用telnet登录等。
（2）常用的端口扫描技术
向目标主机提出连接请求的方式很多，以下列举的是一些常见的请求形式。需要注意这些连接请求并不是真的要与目标主机建立连接，只是想获取目标主机的响应信息，以便进一步分析目标主机上可利用的信息资源。
1）TCP connect请求
这种请求使用标准的connect()函数向目标主机提出连接请求，如果目标主机在指定的端口上处于侦听状态并且准备接收连接请求，则connect()将操作成功，此时表明目标主机的端口处于开放状态，如果connect()操作失败，则表明目标主机的端口未开放。
使用这种方法可以检测到目标主机上的各个端口的开放情况。
2）TCP SYN请求
这种请求是通过TCP三次握手的过程实现的。首先向目标主机发送一个SYN数据包，接着等待目标主机的应答；如果目标主机返回RST，则说明目标主机的端口不可用，中止连接。如果目标主机返回SYN|ACK，则说明目标主机的端口可用，此时，向目标主机发送RST数据包中止连接。
使用这种方法不会在目标主机上留下记录，但是，一般需要利用目标主机可信任的主机进行扫描才能完成相应的操作。
3）TCP FIN请求
当向目标主机的某个端口发送FIN数据包后，一般会出现两种情况：一是目标主机没有任何回应信息；二是目标主机返回RST。第一种情况说明目标主机的端口可用，第二种情况说明目标主机的端口不可用。
FIN数据包可穿过一些防火墙和包过滤器而不留痕迹。但是，某些系统对所有的FIN数据包都返回RST，这时，TCP FIN扫描就用不上了。
4）IP分段请求
事先将一个探测用的TCP数据包分成两个较小的IP数据包，然后向目标主机传送。目标主机收到这些IP分段后，会将它们重新组合成原来的TCP数据包。这样不直接发送TCP数据包而选择IP分段发送的目的是使它们能够穿过防火墙和包过滤器而到达目标。
5）FTP反射请求
在FTP中，当某台主机与目标主机在FTP server-PI上建立一个控制连接后，可以通过对server-PI进行请求来激活一个有效的server-DTP，并使用这个server-DTP向网络上的其他主机发送数据。
利用这种特性，可以借助一个代理FTP服务器来扫描TCP端口。其实现过程是：首先连接到FTP服务器上；然后向FTP服务器写入数据；最后激活数据传输过程，由FTP服务器把数据发送到目标主机上的端口。
对于端口扫描，可先利用FTP和PORT命令来设定主机和端口，然后执行其他FTP文件命令，根据命令的响应码可以判断出端口的状态。这种方法的优点是能穿过防火墙和不被怀疑，缺点是速度慢和完全依赖于代理FTP服务器。
6）UDP请求
当向目标主机的某个端口发送UDP数据包时，会产生两种情况：一是无任何信息返回；二是返回一个ICMP_PORT_UNREACH错误。第一种情况说明目标主机的UDP端口已打开或UDP数据包已丢失；而第二种情况则说明目标主机的UDP端口不可用。
在第一种情况下，如果可以确认所发送的UDP数据包没有丢失，则可确认目标端口的状态。如果估计所发送的UDP数据包已丢失，则需要重新发送数据包，直到探明目标主机端口的状态或终止扫描为止。
使用UDP扫描速度较慢，而且判断端口状态也较困难。
4．漏洞扫描
漏洞扫描是根据已发现的漏洞来判断正在运行的服务中是否还存在着相应的漏洞问题，如果存在，则应立即打上补丁，否则就可能被入侵者利用来攻击系统。
目前存在的扫描器分为基于主机的和基于网络的两种类型。基于主机的扫描器是运行在被检测的主机上的，用于检测所在主机上存在的漏洞信息；而基于网络的扫描器则是用于检测其他主机的，它通过网络来检测其他主机上存在的漏洞现象。
需要提醒的是：扫描器只能扫描到已被发现的漏洞，那些未被发现的漏洞是不能通过扫描器找到的。因此，利用扫描器发现漏洞，并打补丁后，也不能放松警惕。