掃描器的重要性體現(xiàn)在:

掃描器能夠暴露網(wǎng)絡(luò)上潛在的威脅厘擂；無(wú)論掃描器被管理員利用程腹，或者被黑客利用贸桶，都有助于加強(qiáng)系統(tǒng)的安全性舅逸，因?yàn)樗苁沟寐┒幢患霸绨l(fā)現(xiàn)，而漏洞遲早會(huì)被發(fā)現(xiàn)的皇筛。掃描器除了能掃描端口琉历，往往還能夠發(fā)現(xiàn)系統(tǒng)存活情況，以及哪些服務(wù)在運(yùn)行设联。

常見(jiàn)的漏洞掃描器

• 端口掃描器

Nmap被稱為掃描器之王善已。該掃描器很容易引起誤解，很多人認(rèn)為對(duì)于nmap這種port scaner离例，功能僅限于掃描端口换团，這實(shí)際上是一個(gè)很大的誤區(qū)，如果我們看一下它的功能宫蛆，就會(huì)發(fā)現(xiàn)功能還是非常廣泛的艘包，包括操作系統(tǒng)的服務(wù)判定、操作系統(tǒng)指紋的判定、防火墻及IDS的規(guī)避技術(shù)锻煌。Nmap從技術(shù)角度來(lái)說(shuō)是非常出色的补憾，并且可以完成大范圍的早期評(píng)估工作。實(shí)際上nmap的端口掃描的不管是主機(jī)開(kāi)放端口舌厨、服務(wù)、操作系統(tǒng)版本忿薇，它的大部分依據(jù)都來(lái)自于端口掃描的結(jié)果裙椭，根據(jù)其結(jié)果去判定其他信息。所以署浩，認(rèn)為nmap只能掃描端口是一個(gè)誤區(qū)揉燃。

• 漏洞掃描器（命名有問(wèn)題吧XXX）

以nessus為免費(fèi)產(chǎn)品代表，nessus的安裝應(yīng)用程序筋栋、腳本語(yǔ)言都是公開(kāi)的炊汤，但從版本3開(kāi)始它就轉(zhuǎn)向一個(gè)私有的授權(quán)協(xié)議，其掃描引擎仍然免費(fèi)，不過(guò)對(duì)其支持和最新的漏洞定義要收費(fèi)抢腐，不過(guò)收費(fèi)是有時(shí)間限制的姑曙，如果不想付錢(qián)的話，可以等待15天迈倍，15天之后渣磷，其大部分插件都將是免費(fèi)插件。該掃描器不僅可以檢查系統(tǒng)漏洞授瘦，還可以檢查一部分的配置錯(cuò)誤醋界。

• web應(yīng)用掃描器

這類掃描器相對(duì)而言，做的比較專提完，僅用于評(píng)估網(wǎng)站的安全性形纺，對(duì)于系統(tǒng)、網(wǎng)絡(luò)的基礎(chǔ)情況一般不關(guān)注徒欣，關(guān)注的焦點(diǎn)主要是WEB應(yīng)用逐样。常見(jiàn)的有appscan、webinspect打肝。主要檢測(cè)WEB應(yīng)用數(shù)據(jù)提交脂新、信息泄露等問(wèn)題。

補(bǔ)充點(diǎn)商業(yè)掃描器的特點(diǎn)

基本上大部分商業(yè)掃描器都工作在黑盒模式粗梭，在這種模式下無(wú)法看到源代碼争便，以一個(gè)近似于滲透者或攻擊者的身份去看待需要評(píng)估的系統(tǒng)。這種掃描器特點(diǎn)有：

• 漏洞精確掃描

由于在商業(yè)化應(yīng)用中断医，對(duì)誤報(bào)滞乙、漏報(bào)的容忍程度比較低。但目前的情況鉴嗤，誤報(bào)和漏報(bào)還是無(wú)法規(guī)避的斩启。具體掃描的信息有：
狀態(tài)掃描：即其開(kāi)放的服務(wù)、通信的情況醉锅、OS版本兔簇、應(yīng)用服務(wù)的版本；
漏洞掃描（驗(yàn)證）：驗(yàn)證當(dāng)前系統(tǒng)是否存在可以利用硬耍、不可以利用的漏洞垄琐，如果可以利用，某些掃描器可以進(jìn)行寫(xiě)入文件或者拿到shell之類的功能默垄；
弱口令掃描：對(duì)于開(kāi)放的服務(wù)進(jìn)行弱口令掃描此虑，這也是很重要的一個(gè)功能甚纲。

• 修補(bǔ)措施

商用掃描器在漏洞精確掃描之后口锭，會(huì)給出一些建議和技術(shù)手段來(lái)屏蔽漏洞。最初是提供一些修補(bǔ)建議，這種方式對(duì)專業(yè)技術(shù)人員來(lái)說(shuō)有相當(dāng)價(jià)值鹃操，但對(duì)于一些技術(shù)較薄弱或者比較懶惰的用戶韭寸，修補(bǔ)建議的作用就被忽略了。在新一代的商用掃描器中荆隘，提出了修補(bǔ)聯(lián)動(dòng)的概念恩伺，通過(guò)發(fā)送注冊(cè)表去提示用戶，用戶雙擊注冊(cè)表椰拒，就可以導(dǎo)入需要修改晶渠、升級(jí)補(bǔ)丁的信息，并且還可以和WSUS進(jìn)行聯(lián)動(dòng)燃观。這樣就可以基本上達(dá)到自動(dòng)化的修補(bǔ)褒脯。（現(xiàn)在可能有更好的修補(bǔ)措施）

主要的網(wǎng)絡(luò)掃描技術(shù)

要了解常見(jiàn)掃描的主要技術(shù)，還要以掃描器工作的流程開(kāi)始缆毁，以nmap為例番川，整個(gè)掃描流程如下：
1）、存活性掃描：是指大規(guī)模去評(píng)估一個(gè)較大網(wǎng)絡(luò)的存活狀態(tài)脊框。例如跨地域颁督、跨系統(tǒng)的大型企業(yè)。但是被掃描主機(jī)可能會(huì)有一些欺騙性措施浇雹，例如使用防火墻阻塞ICMP數(shù)據(jù)包沉御，可能會(huì)逃過(guò)存活性掃描的判定。
2）昭灵、端口掃描：針對(duì)主機(jī)判斷端口開(kāi)放和關(guān)閉情況嚷节，不管其是不是存活。端口掃描也成為存活性掃描的一個(gè)有益補(bǔ)充虎锚，如果主機(jī)存活硫痰，必然要提供相應(yīng)的狀態(tài)，因此無(wú)法隱藏其存活情況窜护。
3）效斑、服務(wù)識(shí)別：通過(guò)端口掃描的結(jié)果，可以判斷出主機(jī)提供的服務(wù)及其版本柱徙。
4）缓屠、操作系統(tǒng)識(shí)別：利用服務(wù)的識(shí)別，可以判斷出操作系統(tǒng)的類型及其版本护侮。

• 主機(jī)存活掃描技術(shù)

主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)敌完。這是信息收集的初級(jí)階段，其效果直接影響到后續(xù)的掃描羊初。Ping就是最原始的主機(jī)存活掃描技術(shù)滨溉，利用icmp的echo字段什湘，發(fā)出的請(qǐng)求如果收到回應(yīng)的話代表主機(jī)存活。
常用的掃描手段有：
ICMP Echo掃描：精度相對(duì)較高晦攒。通過(guò)簡(jiǎn)單地向目標(biāo)主機(jī)發(fā)送ICMP Echo Request 數(shù)據(jù)包闽撤，并等待回復(fù)的ICMP Echo Reply 包，如Ping脯颜。

ICMP Sweep 掃描：sweep這個(gè)詞的動(dòng)作很像機(jī)槍掃射哟旗，icmp進(jìn)行掃射式的掃描，就是并發(fā)性掃描栋操，使用ICMP Echo Request一次探測(cè)多個(gè)目標(biāo)主機(jī)闸餐。通常這種探測(cè)包會(huì)并行發(fā)送，以提高探測(cè)效率矾芙，適用于大范圍的評(píng)估绎巨。

Broadcast ICMP掃描：廣播型icmp掃描，利用了一些主機(jī)在icmp實(shí)現(xiàn)上的差異蠕啄，設(shè)置ICMP請(qǐng)求包的目標(biāo)地址為廣播地址或網(wǎng)絡(luò)地址场勤，則可以探測(cè)廣播域或整個(gè)網(wǎng)絡(luò)范圍內(nèi)的主機(jī)，子網(wǎng)內(nèi)所有存活主機(jī)都會(huì)給以回應(yīng)歼跟。但這種情況只適合于UNIX/Linux系統(tǒng)和媳。

Non-Echo ICMP掃描：在ICMP協(xié)議中不光光只有ICMP ECHO的ICMP查詢信息類型，在ICMP掃描 技術(shù)中也用到Non-ECHO ICMP技術(shù)（不僅僅能探測(cè)主機(jī)哈街，也可以探測(cè)網(wǎng)絡(luò)設(shè)備如路由）留瞳。利用了ICMP的服務(wù)類型（Timestamp和Timestamp Reply 、Information Request和Information Reply 骚秦、Address Mask Request 和Address Mask Reply）她倘。

規(guī)避技術(shù)

為到達(dá)規(guī)避防火墻和入侵檢測(cè)設(shè)備的目的， ICMP協(xié)議提供網(wǎng)絡(luò)間傳送錯(cuò)誤信息的功能也成為了主要的掃非常規(guī)描手段作箍。其主要原理就是利用被探測(cè)主機(jī)產(chǎn)生的ICMP錯(cuò)誤報(bào)文來(lái)進(jìn)行復(fù)雜的主機(jī)探測(cè)硬梁。
常用的規(guī)避技術(shù)大致分為4類：
異常的IP包頭 ：向目標(biāo)主機(jī)發(fā)送包頭錯(cuò)誤的IP包，目標(biāo)主機(jī)或過(guò)濾設(shè)備會(huì)反饋ICMP Parameter Problem Error信息胞得。常見(jiàn)的偽造錯(cuò)誤字段為Header Length 和IP Options荧止。不同廠家的路由器和操作系統(tǒng)對(duì)這些錯(cuò)誤的處理方式不同，返回的結(jié)果也不同阶剑。

在IP頭中設(shè)置無(wú)效的字段值：向目標(biāo)主機(jī)發(fā)送的IP包中填充錯(cuò)誤的字段值跃巡，目標(biāo)主機(jī)或過(guò)濾設(shè)備會(huì)反饋ICMP Destination Unreachable信息。這種方法同樣可以探測(cè)目標(biāo)主機(jī)和網(wǎng)絡(luò)設(shè)備牧愁。

通過(guò)超長(zhǎng)包探測(cè)內(nèi)部路由器：若構(gòu)造的數(shù)據(jù)包長(zhǎng)度超過(guò)目標(biāo)系統(tǒng)所在路由器的PMTU且設(shè)置禁止分片標(biāo)志, 該路由器會(huì)反饋 Fragmentation Needed and Don’t Fragment Bit was Set差錯(cuò)報(bào)文素邪。

反向映射探測(cè)：用于探測(cè)被過(guò)濾設(shè)備或防火墻保護(hù)的網(wǎng)絡(luò)和主機(jī)。構(gòu)造可能的內(nèi)部IP地址列表猪半，并向這些地址發(fā)送數(shù)據(jù)包兔朦。當(dāng)對(duì)方路由器接收到這些數(shù)據(jù)包時(shí)偷线，會(huì)進(jìn)行IP識(shí)別并路由，對(duì)不在其服務(wù)的范圍的IP包發(fā)送ICMP Host Unreachable或ICMP Time Exceeded 錯(cuò)誤報(bào)文烘绽，沒(méi)有接收到相應(yīng)錯(cuò)誤報(bào)文的IP地址可被認(rèn)為在該網(wǎng)絡(luò)中。舉例來(lái)看：

圖1

圖2

圖3

端口掃描技術(shù)

在完成主機(jī)存活性判斷之后，就應(yīng)該去判定主機(jī)開(kāi)放信道的狀態(tài)镜雨，端口就是在主機(jī)上面開(kāi)放的信道纯趋，0-1024為知名端口，端口總數(shù)是65535冷离。端口實(shí)際上就是從網(wǎng)絡(luò)層映射到進(jìn)程的通道吵冒。通過(guò)這個(gè)關(guān)系就可以掌握什么樣的進(jìn)程使用了什么樣的通信，在這個(gè)過(guò)程里面西剥，能夠通過(guò)進(jìn)程取得的信息痹栖，就為查找后門(mén)、了解系統(tǒng)狀態(tài)提供了有力的支撐瞭空。常見(jiàn)流行的端口掃描技術(shù)通常有：
TCP掃描：
利用三次握手過(guò)程與目標(biāo)主機(jī)建立完整或不完整的TCP連接揪阿。

TCP connect()掃描： tcp的報(bào)頭里疗我，有6個(gè)連接標(biāo)記，分別是urg南捂、ack吴裤、psh、rst溺健、syn麦牺、fin。通過(guò)這些連接標(biāo)記不同的組合方式鞭缭，可以獲得不同的返回報(bào)文剖膳。例如，發(fā)送一個(gè)syn置位的報(bào)文岭辣，如果syn置位瞄準(zhǔn)的端口是開(kāi)放的吱晒，syn置位的報(bào)文到達(dá)的端口開(kāi)放的時(shí)候，他就會(huì)返回syn+ack沦童，代表其能夠提供相應(yīng)的服務(wù)仑濒。我收到syn+ack后，返回給對(duì)方一個(gè)ack偷遗。這個(gè)過(guò)程就是著名的三次握手躏精。這種掃描的速度和精度都是令人滿意的。

Reverse-ident掃描：這種技術(shù)利用了Ident協(xié)議(RFC1413)鹦肿，tcp端口113.很多主機(jī)都會(huì)運(yùn)行的協(xié)議矗烛，用于鑒別TCP連接的用戶。

identd 的操作原理是查找特定 TCP/IP 連接并返回?fù)碛写诉B接的進(jìn)程的用戶名箩溃。它也可以返回主機(jī)的其他信息瞭吃。但這種掃描方式只能在tcp全連接之后才有效，并且實(shí)際上很多主機(jī)都會(huì)關(guān)閉ident服務(wù)涣旨。

Tcp syn掃描：向目標(biāo)主機(jī)的特定端口發(fā)送一個(gè)SYN包歪架，如果端口沒(méi)開(kāi)放就不會(huì)返回syn+ack，這時(shí)會(huì)給你一個(gè)rst霹陡，停止建立連接和蚪。由于連接沒(méi)有完全建立，所以稱為半開(kāi)放掃描烹棉。但由于syn flood作為一種ddos攻擊手段被大量采用攒霹，因此很多防火墻都會(huì)對(duì)syn報(bào)文進(jìn)行過(guò)濾，所以這種方法并不能總是有用浆洗。

其他還有fin催束、NULL、Xmas等掃描方式伏社。

UDP掃描：
由于現(xiàn)在防火墻設(shè)備的流行抠刺，tcp端口的管理狀態(tài)越來(lái)越嚴(yán)格塔淤，不會(huì)輕易開(kāi)放，并且通信監(jiān)視嚴(yán)格速妖。為了避免這種監(jiān)視高蜂，達(dá)到評(píng)估的目的，就出現(xiàn)了秘密掃描罕容。這種掃描方式的特點(diǎn)是利用UDP端口關(guān)閉時(shí)返回的ICMP信息备恤，不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分，隱蔽性好杀赢，但這種掃描使用的數(shù)據(jù)包在通過(guò)網(wǎng)絡(luò)時(shí)容易被丟棄從而產(chǎn)生錯(cuò)誤的探測(cè)信息烘跺。
但是湘纵，UDP掃描方式的缺陷很明顯脂崔，速度慢、精度低梧喷。UDP的掃描方法比較單一砌左，基礎(chǔ)原理是：當(dāng)你發(fā)送一個(gè)報(bào)文給udp端口，該端口是關(guān)閉狀態(tài)時(shí)铺敌，端口會(huì)返回給一個(gè)icmp信息汇歹，所有的判定都是基于這個(gè)原理。如果關(guān)閉的話偿凭，什么信息都不發(fā)产弹。

Traceroute掃描：tracert 向30000以上的高端口（一般認(rèn)為，主機(jī)的30000以上高端口利用率非常低弯囊，任何主機(jī)都不會(huì)輕易開(kāi)放這種高端口痰哨，默認(rèn)都是關(guān)閉的）。如果對(duì)方端口關(guān)閉匾嘱，會(huì)返回給icmp信息斤斧，根據(jù)這個(gè)往返時(shí)間，計(jì)算跳數(shù)霎烙、路徑信息撬讽，了解延時(shí)情況。這是tracerote原理悬垃，也是從這個(gè)原理上演變出來(lái)udp掃描技術(shù)游昼。

使用udp掃描要注意的是1、udp狀態(tài)尝蠕、精度比較差酱床，因?yàn)閡dp是不面向連接的，所以整個(gè)精度會(huì)比較低趟佃。2扇谣、udp掃描速度比較慢昧捷，tcp掃描開(kāi)放1秒的延時(shí)，在udp里可能就需要2秒罐寨，這是由于不同操作系統(tǒng)在實(shí)現(xiàn)icmp協(xié)議的時(shí)候?yàn)榱吮苊鈴V播風(fēng)暴都會(huì)有峰值速率的限制（因?yàn)閕cmp信息本身并不是傳輸載荷信息靡挥，不會(huì)有人拿他去傳輸一些有價(jià)值信息。操作系統(tǒng)在實(shí)現(xiàn)的時(shí)候是不希望icmp報(bào)文過(guò)多的鸯绿。為了避免產(chǎn)生廣播風(fēng)暴跋破，操作系統(tǒng)對(duì)icmp報(bào)文規(guī)定了峰值速率，不同操作系統(tǒng)的速率不同） 利用udp作為掃描的基礎(chǔ)協(xié)議瓶蝴，就會(huì)對(duì)精度毒返、延時(shí)產(chǎn)生較大影響。

當(dāng)前在滲透測(cè)試過(guò)程中對(duì)于端口的掃描是非常靈活的舷手，06年的黑帽大會(huì)上拧簸，就有人利用了開(kāi)發(fā)了工具探測(cè)網(wǎng)內(nèi)哪臺(tái)主機(jī)打開(kāi)了80端口，這樣的技術(shù)在當(dāng)前的互聯(lián)網(wǎng)上利用的非常普遍男窟。

圖4

服務(wù)及系統(tǒng)指紋

在判定完端口情況之后盆赤，繼而就要判定服務(wù)。

根據(jù)端口判定：
這種判定服務(wù)的方式就是根據(jù)端口歉眷，直接利用端口與服務(wù)對(duì)應(yīng)的關(guān)系牺六，比如23端口對(duì)應(yīng)telnet，21對(duì)應(yīng)ftp汗捡，80對(duì)應(yīng)http淑际。這種方式判定服務(wù)是較早的一種方式，對(duì)于大范圍評(píng)估是有一定價(jià)值的扇住，但其精度較低春缕。例如使用nc這樣的工具在80端口上監(jiān)聽(tīng)，這樣掃描時(shí)會(huì)以為80在開(kāi)放台囱，但實(shí)際上80并沒(méi)有提供http服務(wù)淡溯，由于這種關(guān)系只是簡(jiǎn)單對(duì)應(yīng)，并沒(méi)有去判斷端口運(yùn)行的協(xié)議簿训，這就產(chǎn)生了誤判咱娶，認(rèn)為只要開(kāi)放了80端口就是開(kāi)放了http協(xié)議。但實(shí)際并非如此强品，這就是端口掃描技術(shù)在服務(wù)判定上的根本缺陷膘侮。

BANNER
Banner的方式相對(duì)精確，獲取服務(wù)的banner的榛，是一種比較成熟的技術(shù)琼了，可以用來(lái)判定當(dāng)前運(yùn)行的服務(wù)，對(duì)服務(wù)的判定較為準(zhǔn)確。而且不僅能判定服務(wù)雕薪，還能夠判定具體的服務(wù)版本信息昧诱。
但是在安全意識(shí)普遍提升的今天， 對(duì)Banner的偽裝導(dǎo)致精度大幅降低所袁。例如IIS&Apache：修改存放Banner信息的文件字段進(jìn)行修改盏档，這種修改的開(kāi)銷(xiāo)很低。現(xiàn)在流行的一個(gè)偽裝工具Servermask 燥爷，不僅能夠偽造多種主流Web服務(wù)器Banner蜈亩，還能偽造Http應(yīng)答頭信息里的項(xiàng)的序列。

指紋技術(shù)
指紋技術(shù)利用TCP/IP協(xié)議棧實(shí)現(xiàn)上的特點(diǎn)來(lái)辨識(shí)一個(gè)操作系統(tǒng)前翎≈膳洌可辨識(shí)的OS的種類，包括哪些操作系統(tǒng)港华，甚至小版本號(hào)道川。指紋技術(shù)有主動(dòng)和被動(dòng)兩種。

主動(dòng)識(shí)別技術(shù)：采用主動(dòng)發(fā)包苹丸，利用多次的試探愤惰，去一次一次篩選不同信息苇经，比如根據(jù)ACK值判斷赘理，有些系統(tǒng)會(huì)發(fā)送回所確認(rèn)的TCP分組的序列號(hào)，有些會(huì)發(fā)回序列號(hào)加1扇单。還有一些操作系統(tǒng)會(huì)使用一些固定的tcp窗口商模。某些操作系統(tǒng)還會(huì)設(shè)置IP頭的DF位來(lái)改善性能。這些都成為判斷的依據(jù)蜘澜。這種技術(shù)判定windows的精度比較差施流，只能夠判定一個(gè)大致區(qū)間，很難判定出其精確版本鄙信，但是在unix瞪醋，網(wǎng)絡(luò)設(shè)備時(shí)甚至可以判定出小版本號(hào)，比較精確装诡。如果目標(biāo)主機(jī)與源主機(jī)跳數(shù)越多银受，精度越差。因?yàn)閿?shù)據(jù)包里的很多特征值在傳輸過(guò)程中都已經(jīng)被修改或模糊化鸦采，會(huì)影響到探測(cè)的精度宾巍。nmap –O參數(shù)就是其代表。

被動(dòng)識(shí)別技術(shù)：不是向目標(biāo)系統(tǒng)發(fā)送分組渔伯，而是被動(dòng)監(jiān)測(cè)網(wǎng)絡(luò)通信顶霞，以確定所用的操作系統(tǒng)。利用對(duì)報(bào)頭內(nèi)DF位锣吼，TOS位选浑，窗口大小蓝厌，TTL的嗅探判斷。因?yàn)椴⒉恍枰l(fā)送數(shù)據(jù)包古徒，只需要抓取其中的報(bào)文褂始，所以叫做被動(dòng)識(shí)別技術(shù)。例如telnet對(duì)方描函，并用snort監(jiān)聽(tīng)數(shù)據(jù)包：

得到這些信息后崎苗，熟悉系統(tǒng)的人可猜測(cè)到操作系統(tǒng)是Solaris 2.6-2.7。在nmap中舀寓，也有操作系統(tǒng)的指紋庫(kù)胆数，可以從指紋庫(kù)中去匹配。其代表掃描工具有 Siphon互墓，天眼必尼。

ICMP指紋識(shí)別技術(shù) ：這種工具的出現(xiàn)較晚，大概在2001-2002年篡撵，在黑帽大會(huì)上提出判莉，并開(kāi)發(fā)出相應(yīng)的工具xprobe，其優(yōu)勢(shì)是只需要通過(guò)icmp育谬，發(fā)送一批UDP包給高端關(guān)閉的端口券盅，然后計(jì)算返回來(lái)的不可達(dá)錯(cuò)誤消息。通常情況下送回IP頭+8個(gè)字節(jié)膛檀，但是個(gè)別系統(tǒng)送回的數(shù)據(jù)更多一些锰镀。根據(jù)ICMP回應(yīng)的TOS、TTL值咖刃、校驗(yàn)和等信息泳炉，通過(guò)這些信息以樹(shù)狀的形式去過(guò)濾，最終精確鎖定嚎杨。

參考鏈接：詳解常見(jiàn)漏洞掃描器及網(wǎng)絡(luò)掃描技術(shù)
推薦鏈接：網(wǎng)絡(luò)安全掃描工具Nessus