下面简单介绍几种目前最常见的扫描技术: 1)
TCP SYN扫描
这种技术是一种“半开放”扫描,扫描程序并不打开一个完全的TCP连接,扫描程序发送的是一个带有SYN标志的数据包,好像准备打开一个实际的连接并等待反应一样。一个SYN/ACK的返回信息表示端口处于侦听状态,一个RST返回信息表示端口没有处于侦听状态。如果收到一个SYN/ACK,则扫描程序必须再发送一个RST信号,来关闭这个连接过程,这种扫描技术的优点在于一般不会在目标计算机上留下记录,但这种方法的一个缺点是,必须有ROOT权限才能建立自己的SYN数据包。 2)
TCP FIN扫描
SYN扫描的隐蔽性较差,一些防火墙和包过滤器会对一些指定的端口进行监视,有的程序能检测到这些扫描。但FIN数据包可以越过这些监视,因为关闭的端口会用适当的RST来回复FIN数据包,另一方面,打开的端口会忽略对FIN数据包的回复。这种方法和系统的实现有一定的关系,有的系统不管端口是否打开,都回复RST,对于这种系统,这种扫描方法可能就不适用。但这种方法在区分Unix和NT时十分有用。 3)
IP段扫描
这种扫描方法与其它技术相比,它并不是直接发送TCP探测数据包,而是将数据包分成两个较小的IP段,这样就将一个TCP头分成好几个数据包,从而使过滤器很难探测到,但必须小心,
一些程序在处理这些小数据包时会有些麻烦。 4)
UDP ICMP端口不能到达扫描
这种方法与上述几种方法的不同之处在于使用的是UDP协议。由于这个协议很简单,所以扫描比较困难。这是由于打开的端口对于扫描探测并不发送一个确认信息,而关闭的端口也并不需要发送一个错误信息包。但许多主机在向一个未打开的UDP端口发送一个数据包时,会返回一个ICMP_PORT_UNREACH错误,这样就能发现哪个端口是关闭的。UDP和ICMP错误都不能保证到达,因此这种扫描必须能够实现当一个包看上去丢失的时候还能重新传输,这种扫描方法比较慢,因为RFC对ICMP错误消息的产生率做了规定,同样,这种扫描方法需要具有ROOT权限。 5)
ICMP echo扫描
它是通过发送ICMP包来检查主机是否可到达。
四、 入侵检测技术
在各种黑客资料、入侵工具泛滥的今天,成功的攻击案例很多,那么,对于一个网络系统而言,仅仅是被动地防御已不足以保证自身的安全,而需要一种对潜在的入侵动作和行为作出记录、并预测攻击后果的系统,这就是入侵检测系统即IDS(Intrusion Detection System)。目前,入侵检测系统已受到人们的高度重视,国内外不但有多个实验室在从事入侵检测系统的研
究和开发,并已完成一些原型系统和商业产品。 1.
入侵检测的内容
1) 试图闯入或成功闯入:它通过比较用户的典型行为特征或安全限制来检测网络非法入侵; 2) 冒充其他用户;
3) 违反安全策略:指用户行为超出了系统安全策略所定义的合法行为范围,可以通过具体行为模式检测;
4) 合法用户的泄露:指在多级安全模式下,系统中存在两个以上不同安全级别的用户,有权访问高级机密信息的用户将授权的敏感信息发送给非授权的一般用户。通过检测I/O资源使用情况来判定。
5) 独占资源:指攻击者企图独占特定的资源,以阻止合法用户的正常使用,或导致系统崩溃。一般通过检查系统资源使用状况来检测。
6) 恶意攻击:指攻击者进入系统后,企图执行系统不能正常运行的操作,如删除系统文件等。它可通过典型行为特征,安全限制或使用特征来检测。 2.
IDS的分类
IDS的分类很多,不同的标准有不同的分类方法。如按照入侵检测的功能不同可分为以下几类: 1)
网络入侵检测系统(NIDS):这类入侵检测能冠军对网
络中传输的数据包进行分析,从而发现可能的恶意攻击。 一个典型的例子是在不同的端口检查大量的TCP连接请求,以此来发现TCP端口扫描的攻击企图。网络入侵检测系统既可以运行在仅仅监视自的的端口上,也可以运行在监视整个网络状态的处于混杂模式的Sniffer主机上。 2)
系统完整性校验系统(SIV):此类入侵检测系统用来
校验系统文件,查看系统是否已经被黑客攻破而且更改了系统原文件并留下了后门,这类软件中最著名的是“Tripwire”。系统完整性校验系统不仅可以校验文件的完整性,也可以对其他组件,如Windows注册表,进行校验。 3)
日志文件分析系统(LFM):通过分析网络服务产生的
日志文件来获得潜在的恶意攻击企图。和网络入侵检测系统类似,这类软件寻找日志中暗示攻击企图的模式来发现入侵行为。此类软件的典型例子是Swatch,它通过分析HTTP服务器日志文件来寻找黑客扫描著名的CGI漏洞的行为。 4)
欺骗系统(DS):通过模拟一些著名漏洞并提供虚假服
务来设诡计欺骗入侵者。这类软件中比较著名的是Deception ToolKit。 5)
其它入侵检测系统;
如按具体的检测方法分类可分为:基于行为的检测和基于知识的检测。
相关推荐:
loading