- 論壇徽章:
- 1
|
高級(jí)掃描技術(shù)及原理介紹
Scan,是一切入侵的基礎(chǔ)�,對(duì)主機(jī)的探測(cè)工具非常多�����,比如大名鼎鼎的nmap�。我這里沒(méi)有什么新鮮技術(shù),都是一些老東西老話題��,即使參考的Phrack文檔也甚至是96年的老文檔�����,我只是拾人牙慧而已。
最基本的探測(cè)就是Ping����,不過(guò)現(xiàn)在連基本的個(gè)人防火墻都對(duì)Ping做了限制,這個(gè)也太基本了���。如果透過(guò)防火墻���,如何獲得最理想的目標(biāo)圖,也是很多人整天思考的問(wèn)題����。
一����、高級(jí)ICMP掃描技術(shù)
Ping就是利用ICMP協(xié)議走的,我們?cè)谶@里主要是利用ICMP協(xié)議最基本的用途:報(bào)錯(cuò)���,根據(jù)網(wǎng)絡(luò)協(xié)議�,如果按照協(xié)議出現(xiàn)了錯(cuò)誤���,那么接收端將產(chǎn)生一個(gè)ICMP的錯(cuò)誤報(bào)文�����。這些錯(cuò)誤報(bào)文并不是主動(dòng)發(fā)送的��,而是由于錯(cuò)誤���,根據(jù)協(xié)議自動(dòng)產(chǎn)生����。
當(dāng)IP數(shù)據(jù)報(bào)出現(xiàn)checksum和版本的錯(cuò)誤的時(shí)候����,目標(biāo)主機(jī)將拋棄這個(gè)數(shù)據(jù)報(bào),如果是checksum出現(xiàn)錯(cuò)誤���,那么路由器就直接丟棄這個(gè)數(shù)據(jù)報(bào)了��。有些主機(jī)比如AIX�、HP-UX等����,是不會(huì)發(fā)送ICMP的Unreachable數(shù)據(jù)報(bào)的。
我們利用下面這些特性:
1���、向目標(biāo)主機(jī)發(fā)送一個(gè)只有IP頭的IP數(shù)據(jù)包����,目標(biāo)將返回Destination Unreachable的ICMP錯(cuò)誤報(bào)文。
2��、向目標(biāo)主機(jī)發(fā)送一個(gè)壞IP數(shù)據(jù)報(bào)��,比如����,不正確的IP頭長(zhǎng)度,目標(biāo)主機(jī)將返回Parameter Problem的ICMP錯(cuò)誤報(bào)文��。
3�����、當(dāng)數(shù)據(jù)包分片但是��,卻沒(méi)有給接收端足夠的分片���,接收端分片組裝超時(shí)會(huì)發(fā)送分片組裝超時(shí)的ICMP數(shù)據(jù)報(bào)。
向目標(biāo)主機(jī)發(fā)送一個(gè)IP數(shù)據(jù)報(bào)��,但是協(xié)議項(xiàng)是錯(cuò)誤的,比如協(xié)議項(xiàng)不可用���,那么目標(biāo)將返回Destination Unreachable的ICMP報(bào)文���,但是如果是在目標(biāo)主機(jī)前有一個(gè)防火墻或者一個(gè)其他的過(guò)濾裝置,可能過(guò)濾掉提出的要求�,從而接收不到任何回應(yīng)��?梢允褂靡粋(gè)非常大的協(xié)議數(shù)字來(lái)作為IP頭部的協(xié)議內(nèi)容��,而且這個(gè)協(xié)議數(shù)字至少在今天還沒(méi)有被使用��,應(yīng)該主機(jī)一定會(huì)返回Unreachable��,如果沒(méi)有Unreachable的ICMP數(shù)據(jù)報(bào)返回錯(cuò)誤提示�,那么就說(shuō)明被防火墻或者其他設(shè)備過(guò)濾了,我們也可以用這個(gè)辦法來(lái)探測(cè)是否有防火墻或者其他過(guò)濾設(shè)備存在��。
利用IP的協(xié)議項(xiàng)來(lái)探測(cè)主機(jī)正在使用哪些協(xié)議�,我們可以把IP頭的協(xié)議項(xiàng)改變,因?yàn)槭?位的�,有256種可能。通過(guò)目標(biāo)返回的ICMP錯(cuò)誤報(bào)文�,來(lái)作判斷哪些協(xié)議在使用����。如果返回Destination Unreachable����,那么主機(jī)是沒(méi)有使用這個(gè)協(xié)議的,相反��,如果什么都沒(méi)有返回的話���,主機(jī)可能使用這個(gè)協(xié)議�����,但是也可能是防火墻等過(guò)濾掉了�。NMAP的IP Protocol scan也就是利用這個(gè)原理����。
利用IP分片造成組裝超時(shí)ICMP錯(cuò)誤消息,同樣可以來(lái)達(dá)到我們的探測(cè)目的�����。當(dāng)主機(jī)接收到丟失分片的數(shù)據(jù)報(bào)�����,并且在一定時(shí)間內(nèi)沒(méi)有接收到丟失的數(shù)據(jù)報(bào)����,就會(huì)丟棄整個(gè)包,并且發(fā)送ICMP分片組裝超時(shí)錯(cuò)誤給原發(fā)送端�。我們可以利用這個(gè)特性制造分片的數(shù)據(jù)包,然后等待ICMP組裝超時(shí)錯(cuò)誤消息�������?梢詫(duì)UDP分片����,也可以對(duì)TCP甚至ICMP數(shù)據(jù)包進(jìn)行分片,只要不讓目標(biāo)主機(jī)獲得完整的數(shù)據(jù)包就行了��,當(dāng)然��,對(duì)于UDP這種非連接的不可靠協(xié)議來(lái)說(shuō)����,如果我們沒(méi)有接收到超時(shí)錯(cuò)誤的ICMP返回報(bào)��,也有可能時(shí)由于線路或者其他問(wèn)題在傳輸過(guò)程中丟失了��。
我們能夠利用上面這些特性來(lái)得到防火墻的ACL(access list)�,甚至用這些特性來(lái)獲得整個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)����。如果我們不能從目標(biāo)得到Unreachable報(bào)文或者分片組裝超時(shí)錯(cuò)誤報(bào)文,可以作下面的判斷:
1��、防火墻過(guò)濾了我們發(fā)送的協(xié)議類(lèi)型
2����、防火墻過(guò)濾了我們指定的端口
3、防火墻阻塞ICMP的Destination Unreachable或者Protocol Unreachable錯(cuò)誤消息���。
4�����、防火墻對(duì)我們指定的主機(jī)進(jìn)行了ICMP錯(cuò)誤報(bào)文的阻塞�。
二���、高級(jí)TCP掃描技術(shù)
最基本的利用TCP掃描就是使用connect()���,這個(gè)很容易實(shí)現(xiàn),如果目標(biāo)主機(jī)能夠connect�,就說(shuō)明一個(gè)相應(yīng)的端口打開(kāi)。不過(guò)���,這也是最原始和最先被防護(hù)工具拒絕的一種�����。
在高級(jí)的TCP掃描技術(shù)中主要利用TCP連接的三次握手特性來(lái)進(jìn)行���,也就是所謂的半開(kāi)掃描。這些辦法可以繞過(guò)一些防火墻�,而得到防火墻后面的主機(jī)信息。當(dāng)然���,是在不被欺騙的情況下的����。下面這些方法還有一個(gè)好處就是比較難于被記錄�����,有的辦法即使在用netstat命令上也根本顯示不出來(lái)。
SYN
向遠(yuǎn)端主機(jī)某端口發(fā)送一個(gè)只有SYN標(biāo)志位的TCP數(shù)據(jù)報(bào)���,如果主機(jī)反饋一個(gè)SYN || ACK數(shù)據(jù)包�����,那么�,這個(gè)主機(jī)正在監(jiān)聽(tīng)該端口���,如果反饋的是RST數(shù)據(jù)包����,說(shuō)明���,主機(jī)沒(méi)有監(jiān)聽(tīng)該端口����。在X-Scanner 上就有SYN的選擇項(xiàng)���。
ACK
發(fā)送一個(gè)只有ACK標(biāo)志的TCP數(shù)據(jù)報(bào)給主機(jī)���,如果主機(jī)反饋一個(gè)TCP RST數(shù)據(jù)報(bào)來(lái)���,那么這個(gè)主機(jī)是存在的。
FIN
對(duì)某端口發(fā)送一個(gè)TCP FIN數(shù)據(jù)報(bào)給遠(yuǎn)端主機(jī)����。如果主機(jī)沒(méi)有任何反饋�����,那么這個(gè)主機(jī)是存在的���,而且正在監(jiān)聽(tīng)這個(gè)端口����;主機(jī)反饋一個(gè)TCP RST回來(lái)���,那么說(shuō)明該主機(jī)是存在的��,但是沒(méi)有監(jiān)聽(tīng)這個(gè)端口�。
NULL
即發(fā)送一個(gè)沒(méi)有任何標(biāo)志位的TCP包���,根據(jù)RFC793����,如果目標(biāo)主機(jī)的相應(yīng)端口是關(guān)閉的話,應(yīng)該發(fā)送回一個(gè)RST數(shù)據(jù)包����。
FIN+URG+PUSH
向目標(biāo)主機(jī)發(fā)送一個(gè)Fin、URG和PUSH分組����,根據(jù)RFC793,如果目標(biāo)主機(jī)的相應(yīng)端口是關(guān)閉的�,那么應(yīng)該返回一個(gè)RST標(biāo)志。
三����、高級(jí)UDP掃描技術(shù)
在UDP實(shí)現(xiàn)的掃描中,多是了利用和ICMP進(jìn)行的組合進(jìn)行���,這在ICMP中以及提及了����。還有一些特殊的就是UDP回饋�,比如SQL SERVER����,對(duì)其1434端口發(fā)送‘x02’或者‘x03’就能夠探測(cè)得到其連接端口����。
下面這段程序就是一個(gè)TCP探測(cè)的例子,當(dāng)然�����,并沒(méi)有做得完美�����,因?yàn)闆](méi)有接收部分�,而在WIN2000下實(shí)際就是一個(gè)選擇性的SNIFFER�,呵呵,大家可以使用其他的SNIFFER來(lái)實(shí)現(xiàn)同樣的目的�����。也可以改變下面的程序只發(fā)送IP包�����,利用ICMP特性來(lái)實(shí)現(xiàn)探測(cè)。
#include <stdio.h>;
#include <winsock2.h>;
#include <ws2tcpip.h>;
#define SOURCE_PORT 7234
#define MAX_RECEIVEBYTE 255
typedef struct ip_hdr //定義IP首部
{
unsigned char h_verlen; //4位首部長(zhǎng)度,4位IP版本號(hào)
unsigned char tos; //8位服務(wù)類(lèi)型TOS
unsigned short total_len; //16位總長(zhǎng)度(字節(jié))
unsigned short ident; //16位標(biāo)識(shí)
unsigned short frag_and_flags; //3位標(biāo)志位
unsigned char ttl; //8位生存時(shí)間 TTL
unsigned char proto; //8位協(xié)議 (TCP, UDP 或其他)
unsigned short checksum; //16位IP首部校驗(yàn)和
unsigned int sourceIP; //32位源IP地址
unsigned int destIP; //32位目的IP地址
}IPHEADER;
typedef struct tsd_hdr //定義TCP偽首部
{
unsigned long saddr; //源地址
unsigned long daddr; //目的地址
char mbz;
char ptcl; //協(xié)議類(lèi)型
unsigned short tcpl; //TCP長(zhǎng)度
}PSDHEADER;
typedef struct tcp_hdr //定義TCP首部
{
USHORT th_sport; //16位源端口
USHORT th_dport; //16位目的端口
unsigned int th_seq; //32位序列號(hào)
unsigned int th_ack; //32位確認(rèn)號(hào)
unsigned char th_lenres; //4位首部長(zhǎng)度/6位保留字
unsigned char th_flag; //6位標(biāo)志位
USHORT th_win; //16位窗口大小
USHORT th_sum; //16位校驗(yàn)和
USHORT th_urp; //16位緊急數(shù)據(jù)偏移量
}TCPHEADER;
//CheckSum:計(jì)算校驗(yàn)和的子函數(shù)
USHORT checksum(USHORT *buffer, int size)
{
unsigned long cksum=0;
while(size >;1)
{
cksum+=*buffer++;
size -=sizeof(USHORT);
}
if(size )
{
cksum += *(UCHAR*)buffer;
}
cksum = (cksum >;>; 16) + (cksum & 0xffff);
cksum += (cksum >;>;16);
return (USHORT)(~cksum);
}
void usage()
{
printf("******************************************\n" ;
printf("TCPPing\n"
printf("\t Written by Refdom\n"
printf("\t Email: refdom@263.net\n"
printf("Useage: TCPPing.exe Target_ip Target_port \n"
printf("*******************************************\n"
}
int main(int argc, char* argv[])
{
WSADATA WSAData;
SOCKET sock;
SOCKADDR_IN addr_in;
IPHEADER ipHeader;
TCPHEADER tcpHeader;
PSDHEADER psdHeader;
char szSendBuf[60]={0};
BOOL flag;
int rect,nTimeOver;
usage();
if (argc!= 3)
{ return false; }
if (WSAStartup(MAKEWORD(2,2), &WSAData)!=0)
{
printf("WSAStartup Error!\n"
return false;
}
if ((sock=WSASocket(AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERLAPPED))==INVALID_SOCKET)
{
printf("Socket Setup Error!\n"
return false;
}
flag=true;
if (setsockopt(sock,IPPROTO_IP, IP_HDRINCL,(char *)&flag,sizeof(flag))==SOCKET_ERROR)
{
printf("setsockopt IP_HDRINCL error!\n"
return false;
}
nTimeOver=1000;
if (setsockopt(sock, SOL_SOCKET, SO_SNDTIMEO, (char*)&nTimeOver, sizeof(nTimeOver))==SOCKET_ERROR)
{
printf("setsockopt SO_SNDTIMEO error!\n"
return false;
}
addr_in.sin_family=AF_INET;
addr_in.sin_port=htons(atoi(argv[2]));
addr_in.sin_addr.S_un.S_addr=inet_addr(argv[1]);
//
//
//填充IP首部
ipHeader.h_verlen=(4<<4 | sizeof(ipHeader)/sizeof(unsigned long));
// ipHeader.tos=0;
ipHeader.total_len=htons(sizeof(ipHeader)+sizeof(tcpHeader));
ipHeader.ident=1;
ipHeader.frag_and_flags=0;
ipHeader.ttl=128;
ipHeader.proto=IPPROTO_TCP;
ipHeader.checksum=0;
ipHeader.sourceIP=inet_addr("本地地址");
ipHeader.destIP=inet_addr(argv[1]);
//填充TCP首部
tcpHeader.th_dport=htons(atoi(argv[2]));
tcpHeader.th_sport=htons(SOURCE_PORT); //源端口號(hào)
tcpHeader.th_seq=htonl(0x1234567 ;
tcpHeader.th_ack=0;
tcpHeader.th_lenres=(sizeof(tcpHeader)/4<<4|0);
tcpHeader.th_flag=2; //修改這里來(lái)實(shí)現(xiàn)不同的標(biāo)志位探測(cè)����,2是SYN,1是FIN�����,16是ACK探測(cè) 等等
tcpHeader.th_win=htons(512);
tcpHeader.th_urp=0;
tcpHeader.th_sum=0;
psdHeader.saddr=ipHeader.sourceIP;
psdHeader.daddr=ipHeader.destIP;
psdHeader.mbz=0;
psdHeader.ptcl=IPPROTO_TCP;
psdHeader.tcpl=htons(sizeof(tcpHeader));
//計(jì)算校驗(yàn)和
memcpy(szSendBuf, &psdHeader, sizeof(psdHeader));
memcpy(szSendBuf+sizeof(psdHeader), &tcpHeader, sizeof(tcpHeader));
tcpHeader.th_sum=checksum((USHORT *)szSendBuf,sizeof(psdHeader)+sizeof(tcpHeader));
memcpy(szSendBuf, &ipHeader, sizeof(ipHeader));
memcpy(szSendBuf+sizeof(ipHeader), &tcpHeader, sizeof(tcpHeader));
memset(szSendBuf+sizeof(ipHeader)+sizeof(tcpHeader), 0, 4);
ipHeader.checksum=checksum((USHORT *)szSendBuf, sizeof(ipHeader)+sizeof(tcpHeader));
memcpy(szSendBuf, &ipHeader, sizeof(ipHeader));
rect=sendto(sock, szSendBuf, sizeof(ipHeader)+sizeof(tcpHeader),
0, (struct sockaddr*)&addr_in, sizeof(addr_in));
if (rect==SOCKET_ERROR)
{
printf("send error!:%d\n",WSAGetLastError());
return false;
}
else
printf("send ok!\n");
closesocket(sock);
WSACleanup();
return 0;
}
-------------------------------------------
reference:
1�����、《Breaking into computer networks from the Internet》 Roelof Temmingh & SensePost (Pty) Ltd
2�����、Phrack #49�,《Port Scanning without the SYN flag》
3、Phrack #51���,《The Art of Port Scanning》
4�����、Sys-Security Group《ICMP Usage in Scanning》
|
|
免費(fèi)注冊(cè)
發(fā)表于 2002-01-29 01:14