实验三 网络信息扫描实验 一、实验目的 1、通过练习使用网络端口扫描器，可以了解目标主机开放的端口和服务程序，从而获 取系统的有用信息，发现网络系统的安全漏洞。在实验中，我们将练习使用 Superscan 网络 端口扫描工具。通过端口扫描实验，增强网络安全方面的防护意识。 2、通过使用综合扫描及安全评估工具，学习如何发现计算机系统的安全漏洞，并对漏 洞进行简单分析，加深对各种网络和系统漏洞的理解。在实验中，我们将练习使用流光 Fluxay5 和 SSS。 二、实验原理 1、网络端口扫描原理 一个开放的网络端口就是一条与计算机进行通信的信道，对网络端口的扫描可以得到目 标计算机开放的服务程序、运行的系统版本信息，从而为下一步的入侵做好准备。对网络端 口的扫描可以通过执行手工命令实现，但效率较低；也可以通过扫描工具实现，效率很高。 扫描工具是对目标主机的安全性弱点进行扫描检测的软件。它一般具有数据分析功能，通过 对端口的扫描分析，可以发现目标主机开放的端口和所提供的服务，以及相应服务软件版本 和这些服务及软件的安全漏洞，从而能及时了解目标主机存在的安全隐患。 扫描工具根据作用的环境不同，可分为两种类型：网络漏洞扫描工具和主机漏洞扫描工 具。主机漏洞扫描工具是指在本机运行的扫描工具，以期检测本地系统存在的安全漏洞。网 络漏洞扫描工具是指通过网络检测远程目标网络和主机系统所存在漏洞的扫描工具。本实验 主要针对网络漏洞扫描工具进行介绍。 1）端口的基础知识 为了了解扫描工具的工作原理，首先简单介绍一下端口的基本知识。 端口是 TCP 协议中所定义的，TCP 协议通过套接字(socket)建立起两台计算机之间的网 络连接。套接字采用[IP 地址：端口号]的形式来定义，通过套接字中不同的端口号可以区别 同一台计算机上开启的不同 TCP 和 UDP 连接进程。对于两台计算机间的任一个 TCP 连接， 一台计算机的一个[IP 地址：端口]套接字会和另一台计算机的一个[IP 地址：端口]套接字相 对应，彼此标识着源端、目的端上数据包传输的源进程和目标进程。这样网络上传输的数据 包就可以由套接字中的 IP 地址和端口号找到需要传输的主机和连接进程了。由此可见，端 口和服务进程一一对应，通过扫描开放的端口，就可以判断出计算机中正在运行的服务进程。 TCP/UDP 的端口号在 0～65535 范围之内，其中 1024 以下的端口保留给常用的网络服 务。例如：21 端口为 FTP 服务，23 端口为 TELNET 服务，25 端口为 SMTP 服务，80 端口 为 HTTP 服务，110 端口为 POP3 服务等。 2）扫描的原理 扫描的方式有多种，为了理解扫描原理，需要对 TCP 协议简要介绍一下。 一个 TCP 头的数据包格式如图 4-16 所示。它包括 6 个标志位，其中： SYN 用来建立连接； ACK 为确认标志位，例如，当 SYN=1,ACK=0 表示请求连接的数据包；当 SYN=1,ACK=1 表示接受连接的数据包。 FIN 表示发送端已经没有数据可传了，希望释放连接。 RST 位用于复位错误的连接，比如收到的一个数据分段不属于该主机的任何一个连接， 

则向远端计算机发送一个 RST=1 的复位数据包，拒绝连接请求。 根据上面介绍的知识，下面我们介绍基于 TCP 和 UDP 协议的几种端口扫描方式。 1） TCP 全连接扫描 TCP 全连接扫描方法是利用 TCP 的三次握手，与目标主机建立正常的 TCP 连接，以判 断指定端口是否开放。这种方法的缺点是非常容易被记录或者被检测出来。 2）TCP SYN 扫描 本 地 主 机 向 目 标 主 机 发 送 SYN 数 据 段 , 如 果 远 端 目 标 主 机 端 口 开 放 ， 则 回 应 SYN=1,ACK=1,此时本地主机发送 RST 给目标主机，拒绝连接。如果远端目标主机端口未 开放，则会回应 RST 给本地主机。由此可知，根据回应的数据段可判断目标主机的端口是 否开放。由于 TCP SYN 扫描没有建立 TCP 正常连接，所以降低了被发现的可能，同时提高 了扫描性能。 3）TCP FIN 扫描 本地主机向目标主机发送 FIN=1,如果远端目标主机端口开放，则丢弃此包，不回应； 如果远端目标主机端口未开放，则返回一个 RST 包。FIN 扫描通过发送 FIN 的反馈判断远 端目标主机的端口是否开放。由于这种扫描方法没有涉及 TCP 的正常连接，所以使扫描更 隐秘，也称为秘密扫描。这种方法通常适用于 UNIX 操作系统主机，但有的操作系统（如 Windows NT）不管端口是否打开，都回复 RST，这时这种方法就不适用了。 4）UDP ICMP 扫描 这种方法利用了 UDP 协议，当向目标主机的一个未打开的 UDP 端口发送一个数据包时， 会返回一个 ICMP_PORT_UNREACHABLE 错误，这样就会发现关闭的端口。 5）ICMP 扫描 这种扫描方法利用了 ICMP 协议的功能，如果向目标主机发送一个协议项存在错误的 IP 数据包，则根据反馈的 ICMP 错误报文，判断目标主机使用的服务。 6）间接扫描 入侵者间接利用第三方主机进行扫描，以隐藏真正入侵者的痕迹。第三方主机是通过其 他入侵方法控制的主机，扫描的结果最终会从第三方主机发送给真正的入侵者。 端口扫描器是黑客常用的工具，目前的扫描工具有很多种，例如 Nmap、Netcat、X-port、 PortScanner、Netscan tools、Winscan、WUPS、Fscan、LANguard Network Scanner 等。在下 面的实验中我们以 SuperScan 为例详细介绍扫描器的使用。 扫描往往是入侵的前奏，所以如何有效的屏蔽计算机的端口，保护自身计算机的安全， 成为计算机管理人员首要考虑的目标。为了防止对计算机网络端口的扫描，我们可以采用端 口扫描监测工具来监测对端口的扫描，防止端口信息外露。常用的端口扫描监测工具包括 ProtectX、PortSentry 等。此外，安装防火墙也是防止端口扫描的有效方法。 2、综合扫描实验原理 综合扫描是一种自动检测系统和网络安全性弱点的程序。它是一种主要的网络安全防御 技术，它与防火墙技术、入侵检测技术、加密和认证技术处于同等重要地位。其作用是在发 生网络攻击事件前，系统管理员可利用综合扫描和安全评估工具检测系统和网络配置的缺陷 和漏洞，及时发现可被黑客进行入侵的漏洞隐患和错误配置，给出漏洞的修补方案，使系统 管理员可以根据方案及时进行漏洞的修补。当然，另一方面，综合扫描和安全评估工具也可 被黑客利用，对万国目标主机进行弱口令扫描、系统漏洞扫描、主机服务扫描等多种方式的 扫描，同时采用模拟攻击的手段检测目标主机在通信、服务、Web 应用等多方面的安全漏 洞，以期找到入侵途径。 综合扫描和安全评估技术的工作原理，首先是获得主机系统在网络服务、版本信息、 Web 应用等相关信息，然后采用模拟攻击的方法，对目标主机系统进行攻击性的安全漏洞 

扫描，如测试弱口令等，如果模拟攻击成功，则视为漏洞存在。此外，也可以根据系统实现 定义的系统安全漏洞库，对系统可能存在的、已知的安全漏洞逐项进行扫描和检查，按照规 则匹配的原则将扫描结果与安全漏洞库进行对比，如果满足匹配条件，则视为漏洞存在。最 后，根据检测结果向系统管理员提供周密可靠的安全性分析报告，作为系统和网络安全整体 水平的评估依据。 对于系统管理员来说，综合合扫描和安全评估工具是最好的帮手，合理的利用这些工具， 可以在安全保卫战中做到“有的放失”，及时发现漏洞并通过下载相关程序的补丁或者更改 安全配置来修补漏洞，构筑安全坚固的系统。目前常用的综合扫描和安全评估工具有很多， 例如免费的流光、X-Scan、X-way 及功能强大的商业软件：ISS Internet Scanner 和 ISS Security Scanner、Web Trends Security Analyzer、SSS（Shadow Security Scanner）、TigerSuite 等。 三、实验环境 两台安装 Windows 2000/XP 的 PC 机，在其中一台上安装 SuperScan、流光 Fluxay5、SSS 软件。将两台 PC 机通过 HUB 相连，组成一个局域网。 四、实验内容和步骤 任务一 使用 SuperScan 扫描 SuperScan 具有端口扫描、主机名解析、Ping 扫描的功能，工具的具体使用方法及界面 见第八章课件。请试着实现以下功能： 1）主机名解析功能（截图） 在“锁定主机”栏中，可以输入 IP 地址或者需要转换的域名，点击“锁定”就可以获得转 换后的结果；点击“本机”可以获得本地计算机的 IP 地址；点击“网络”可以获得本地计 算机 IP 的详细设置。 2）Ping 功能（截图） SuperScan 软件的 Ping 功能提供了检测在线主机和判断网络状况的作用。通过在“IP”栏中 输入起始和结束的 IP 地址，然后选中“扫描类型”栏中的“仅仅 Ping 计算机”即可点击“开 始”启动 Ping 扫描了。在“IP”栏，“忽略 IP 为 0”和“忽略 IP 为 255”分别用于屏蔽 所有以 0 和 255 结尾的 IP 地址，“前 C 段”和“后 C 段”可直接转换到前一个或者后一个 C 类 IP 网段。“1…254”则用于直接选择整个网段。“延时”栏中可根据需要选择不同的 响应时间。 3）端口扫描功能（通过端口设置（截图）后得出扫描结果（截图），共 2 个截图） 利用端口扫描功能，可以扫描目标主机开放的端口和服务。在“IP”栏中，在“起始”栏目 中输入开始的 IP，在“终止”栏中输入结束的 IP，在“扫描类型”栏中进行相应的选择， 规定扫描的端口范围，然后点击“扫描”栏中的“开始”键，就可以在选择的 IP 地址段内 扫描不同主机开放的端口了。扫描完成后，选中扫描到的主机 IP，点击“全部展开”会展 开每台主机的详细扫描结果，例如从下图可以看到，对于主机 192.168.1.10 中共开放了 5 个 端口。扫描窗口右侧的“活动主机”和“已开端口”分别显示了发现的活动主机和开放的端 口数量。 

SuperScan 也提供了特定端口扫描的功能，在“扫描类型”栏中选中“列表中的每个端口”, 就可以按照选定的端口扫描。点击“配置”栏中的“端口设置”按键即可进入端口配置菜单， 如下图所示。选中“端口选择”栏中的某一个端口，在左上角的“更改/添加/删除端口信息” 栏中会出现这个端口的信息，选中“选择”栏，然后点击“应用”就可以将此端口添加到扫 描的端口列表中。“添加”和“删除”键可以添加或者删除相应的端口。然后点击“端口列 表清单”栏中的“保存”按键，会将选定的端口列表存为一个.lst 文件。缺省情况下，SuperScan 有 scanner.lst 文件，包含了常用的端口列表，还有一个 trojans.lst 文件，包含了常见的木马 端口列表。通过端口配置功能，SuperScan 提供了对特定端口的扫描，节省了时间和资源， 通过对木马端口的扫描，可以检测目标计算机是否被种植木马。 

任务二 流光 Fluxay5 的使用 流光是一款非常优秀的综合扫描工具，不仅具有完善的扫描功能，而且自带了很多猜解 器和入侵工具，可方便地利用扫描的漏洞进行入侵。启动流光工具后可以看到它的主界面， 熟悉流光的菜单和界面。以下相关界面见第八章课件 1、打开“文件”菜单下的“高级扫描向导”，在“起始地址”中填入要扫描主机的开始 地址，在“结束地址”中填入扫描主机的结束地址，（不要扫描网段内过多主机，以免造成 网络不稳定）“Ping 检查”一般要选上，这样就会先 Ping 主机，如果成功再进行扫描，这可 以节省扫描时间。在这个界面中还可以选择主机的类型（如果知道要扫描的主机类型），这 样可以节省扫描时间。在检测选项中选上 PORTS、FTP、TELNET、IPC、IIS、PLUGINS， 我们只对这些漏洞进行扫描，接着单击“下一步”。 2、选择要扫描的端口，这里选择“标准端口扫描”，接着单击“下一步”。 3、选择 POP3 扫描设置，这里选择默认设置，接着单击“下一步”。 4、选择 FTP 扫描设置，这里选择默认设置，接着单击“下一步”。 5、选择 SMTP 扫描设置，这里选择默认设置，接着单击“下一步”。 6、选择 IMAP 扫描设置，这里选择默认设置，接着单击“下一步”。 7、选择 Telnet 扫描设置，这里选择默认设置，接着单击“下一步”。 8、选择 CGI 扫描设置，这里选择默认设置，接着单击“下一步”。 9、选择 CGI Rules 扫描设置，可按照事先定义的 CGI 漏洞列表，选择不同的漏洞对目 标主机进行扫描，接着单击“下一步”。 10、选择 SQL 扫描设置，这里选择默认设置，接着单击“下一步”。 11、选择 IPC 扫描设置，选择需要扫描的选项，如果不选最后一项，将对所有用户的密 码进行猜解，否则只对管理员用户组的用户密码进行猜解，接着单击“下一步”。 12、选择 IIS 扫描设置，这里选择默认设置，接着单击“下一步”。 13、选择 MISC 扫描设置，这里选择默认设置，接着单击“下一步”。 14、选择 PLUGINS 扫描设置，流光提供了对 6 个插件的漏洞扫描，可根据需要打勾， 接着单击“下一步”。 15、选择猜解字典和扫描报告保存位置，选择好后单击“完成”。 16、选择流光所在主机，这里选择默认设置，接着单击“开始”。这样流光开始扫描了， 之后会出现扫描界面。请试着实现对本地主机进行安全扫描，得出扫描结果。（截图） 如果想要攻击这台计算机，查找这些端口所对应的漏洞就行了。 任务三 使用 SSS 漏洞扫描 Shadow Security Scanner 简称 SSS，在安全扫描市场中享有速度最快、功效最好的盛名， 其功能远远超过了其他众多的扫描分析工具。SSS 可以对很大范围内的系统漏洞进行安全、 高效、可靠的安全检测，对系统全面扫描后，SSS 可以对收集的信息进行分析，发现系统设 置中容易被攻击的地方和可能的错误，得出对发现问题的可能的解决方法。 工具的具体使用方法及界面见第八章课件。请试着实现对一台或若干台主机进行安全扫 描，得出扫描结果。（截图） 五、实验报告要求 1、根据实验内容完成任务，完成实验报告。实验过程中的图打印，其余部分手写。 2、实验报告至少包括以下内容：①实验目的；②实验内容和步骤；③实验结果和分析。 3、实验报告由每班学习委员统一收齐，于指定时间上交。