TCP扫描
-
connect:直接通过connect接口扫描tcp三次握手协议,且扫描速度极快。
-
SYN:向目标发送一个syn包,若返回syn|ack包则端口开放,若返回rst未开放,比起connect属于半连接,因为并没有建立完整的三次握手协议,所以更加隐蔽。
-
FIN:向目标发送fin包,成功包将被忽略,失败返回rst。这种方式仅用于unix和一些存在tcp bug的操作系统,不过比起syn还要隐蔽。
-
Xmas Tree:发送FIN、URG、PUSH包,若关闭返回rst。
-
reverse ident:ident协议允许通过tcp连接得到进程所有者的用户名,ftp所有者的信息,及其他需要的信息。
-
ACK:根据ack位的设置情况探测防火墙的安全性。
-
RPC:unix特有的,检测定位远程过程调用rpc端口及相关程序与版本标号。
UDP扫描
-
icmp:因为udp本身是无连接,所以不会返回任何响应包,不过端口关闭会返回icmp_port_unreach。这种扫描方式很不可靠,而且比较慢。
-
icmp扫射:通过速度慢,主要利用ping快速确认网段中有多少活跃主机。
-
分片扫描:在发送扫描包时,将数据包分成许多ip分片,通过tcp包头分为几段,放入不同ip包中。这种方法能绕过一些包过滤程序,不过某些程序无法正确处理分割包,从而导致崩溃。
ARP定义及原理
arp(地址解析协议)工作在数据链路层,与硬件接口联系对上层提供服务。ip数据包通过以太网发送,而以太网设备不识别32位ip地址它们时以48位进行传输的,所以必须把ip目的地址转换成以太网地址。
每台主机都会在自己的arp缓冲区中建立arp表,通过此表可表示ip地址对应的mac地址。发送数据包是会查找自己的ARP表,没有则发送ARP广播包,查询目标的mac地址。
ARP欺骗则是发送一个自己伪造的arp应答,当其他主机接收到将包放在自己的ARP表中就会造成网络出现掉线等问题。
通过arp查mac地址说明有主机存活,通过ping可检测有无防火墙,snmp可判断是否有网络设备,如果是还可以得到设备名。
操作系统识别技术
1.icmp查看TTL值,不同的操作系统是不一样的。
- Windows NT TTL=107
- Windows 2000 TTL=108
- Windows 9x TTL=127或128
- Linux TTL=240或241
- Solaris TTL=252
- Lrix TTL=240
2.获取应用程序标识
对主机进行Telnet或ftp可返回banner信息。
3.操作系统指纹
1.TTL
2.df位
3.Window size
4.ack序号
5.icmp地址屏蔽请求
6.FIN包的响应
7.虚假标识的SYN包
8.ISN
9.icmp错误信息
10.icmp消息引用
11.tos服务类型
12.分段重组处理
13.mss(最大分段尺寸)
14.SYN FLOOD限度
15.主机使用的端口
16.Telnet选项指纹
17.http指纹
18.打印机服务指纹
网友评论