進階掃瞄技術及原理介紹

[psac]

　　Scan，是一切入侵的基礎，對主機的探測工具非常多，比如大名鼎鼎的nmap。我這裡沒有什麼新鮮技術，都是一些老東西老話題，即使參考的Phrack我的文件也甚至是96年的老我的文件，我只是拾人牙慧而已。
　　最基本的探測就是Ping，不過現在 連基本的個人防火牆都對Ping做了限制，這個也太基本了。如果透過防火牆，如何獲得最理想的目標圖，也是很多人整天思考的問題。

　　一、進階ICMP掃瞄技術

　　Ping就是利用ICMP傳輸協定走的，我們在這裡主要是利用ICMP傳輸協定最基本的用途：報錯，根據網路傳輸協定，如果按照傳輸協定出現了錯誤，那麼接收端將產生一個ICMP的錯誤報文。這些錯誤報文並不是主動傳送的，而是由於錯誤，根據傳輸協定自動產生。

　　當IP資料報出現checksum和版本的錯誤的時候，目標主機將拋棄這個資料報，如果是checksum出現錯誤，那麼路由器就直接丟棄這個資料報了。有些主機比如AIX、HP-UX等，是不會傳送ICMP的Unreachable資料報的。

　　我們利用下面這些特性：

　　1、向目標主機傳送一個只有IP頭的IP資料包，目標將返回Destination Unreachable的ICMP錯誤報文。
　　2、向目標主機傳送一個壞IP資料報，比如，不正確的IP頭長度，目標主機將返回Parameter Problem的ICMP錯誤報文。
　　3、當資料包分片但是，卻沒有給接收端足夠的分片，接收端分片組裝超時會傳送分片組裝超時的ICMP資料報。


　　向目標主機傳送一個IP資料報，但是傳輸協定項是錯誤的，比如傳輸協定項不可用，那麼目標將返回Destination Unreachable的ICMP報文，但是如果是在目標主機前有一個防火牆或者一個其他的過濾裝置，可能過濾掉提出的要求，從而接收不到任何回應。可以使用一個非常大的傳輸協定數字來作為IP頭部的傳輸協定內容，而且這個傳輸協定數字至少在今天還沒有被使用，應該主機一定會返回Unreachable，如果沒有Unreachable的ICMP資料報返回錯誤提示，那麼就說明被防火牆或者其他設備過濾了，我們也可以用這個辦法來探測是否有防火牆或者其他過濾設備存在。

　　利用IP的傳輸協定項來探測主機正在使用哪些傳輸協定，我們可以把IP頭的傳輸協定項改變，因為是8位的，有256種可能。通過目標返回的ICMP錯誤報文，來作判斷哪些傳輸協定在使用。如果返回Destination Unreachable，那麼主機是沒有使用這個傳輸協定的，相反，如果什麼都沒有返回的話，主機可能使用這個傳輸協定，但是也可能是防火牆等過濾掉了。NMAP的IP Protocol scan也就是利用這個原理。

　　利用IP分片造成組裝超時ICMP錯誤消息，同樣可以來達到我們的探測目的。當主機接收到丟失分片的資料報，並且在一定時間內沒有接收到丟失的資料報，就會丟棄整個包，並且傳送ICMP分片組裝超時錯誤給原傳送端。我們可以利用這個特性製造分片的資料包，然後等待ICMP組裝超時錯誤消息。可以對UDP分片，也可以對TCP甚至ICMP資料包進行分片，只要不讓目標主機獲得完整的資料包就行了，當然，對於UDP這種非連接的不可靠傳輸協定來說，如果我們沒有接收到超時錯誤的ICMP返回報，也有可能時由於線路或者其他問題在傳輸程序中丟失了。

　　我們能夠利用上面這些特性來得到防火牆的ACL（access list），甚至用這些特性來獲得整個網路拓撲結構。如果我們不能從目標得到Unreachable報文或者分片組裝超時錯誤報文，可以作下面的判斷：

　　1、防火牆過濾了我們傳送的傳輸協定類型
　　2、防火牆過濾了我們指定的連接埠
　　3、防火牆阻塞ICMP的Destination Unreachable或者Protocol Unreachable錯誤消息。
　　4、防火牆對我們指定的主機進行了ICMP錯誤報文的阻塞。

二、進階TCP掃瞄技術

　　最基本的利用TCP掃瞄就是使用connect（），這個很容易實現，如果目標主機能夠connect，就說明一個相應的連接埠開啟。不過，這也是最原始和最先被防護工具拒絕的一種。

　　在進階的TCP掃瞄技術中主要利用TCP連接的三次握手特性來進行，也就是所謂的半開掃瞄。這些辦法可以繞過一些防火牆，而得到防火牆後面的主機信息。當然，是在不被欺騙的情況下的。下面這些方法還有一個好處就是比較難於被記錄，有的辦法即使在用netstat指令上也根本顯示不出來。

　　SYN

　　向遠端主機某連接埠傳送一個只有SYN標誌位的TCP資料報，如果主機反饋一個SYN || ACK資料包，那麼，這個主機正在監聽該連接埠，如果反饋的是RST資料包，說明，主機沒有監聽該連接埠。在X-Scanner 上就有SYN的選項項。

　　ACK

　　傳送一個只有ACK標誌的TCP資料報給主機，如果主機反饋一個TCP RST資料報來，那麼這個主機是存在的。

　　FIN

　　對某連接埠傳送一個TCP FIN資料報給遠端主機。如果主機沒有任何反饋，那麼這個主機是存在的，而且正在監聽這個連接埠；主機反饋一個TCP RST回來，那麼說明該主機是存在的，但是沒有監聽這個連接埠。

　　NULL

　　即傳送一個沒有任何標誌位的TCP包，根據RFC793，如果目標主機的相應連接埠是關閉的話，應該傳送回一個RST資料包。

　　FIN+URG+PUSH

　　向目標主機傳送一個Fin、URG和PUSH分組，根據RFC793，如果目標主機的相應連接埠是關閉的，那麼應該返回一個RST標誌。

　　三、進階UDP掃瞄技術

　　在UDP實現的掃瞄中，多是了利用和ICMP進行的組合進行，這在ICMP中以及提及了。還有一些特殊的就是UDP回饋，比如SQL SERVER，對其1434連接埠傳送『x02』或者『x03』就能夠探測得到其連接連接埠。


　　下面這段程序就是一個TCP探測的例子，當然，並沒有做得完美，因為沒有接收部分，而在WIN2000下實際就是一個選項性的SNIFFER，呵呵，大家可以使用其他的SNIFFER來實現同樣的目的。也可以改變下面的程序只傳送IP包，利用ICMP特性來實現探測。

#include <stdio.h>
#include <winsock2.h>
#include <ws2tcpip.h>

#define SOURCE_PORT 7234
#define MAX_RECEIVEBYTE 255

typedef struct ip_hdr //定義IP首部
{
unsigned char h_verlen； //4位首部長度,4位IP版本號
unsigned char tos； //8位服務類型TOS
unsigned short total_len； //16位總長度（字元）
unsigned short ident； //16位標識
unsigned short frag_and_flags； //3位標誌位
unsigned char ttl； //8位生存時間 TTL
unsigned char proto； //8位傳輸協定 （TCP, UDP 或其他）
unsigned short checksum； //16位IP首部校驗和
unsigned int sourceIP； //32位源IP位址
unsigned int destIP； //32位目的IP位址
}IPHEADER；

typedef struct tsd_hdr //定義TCP偽首部
{
unsigned long saddr； //源位址
unsigned long daddr； //目的位址
char mbz；
char ptcl； //傳輸協定類型
unsigned short tcpl； //TCP長度
}PSDHEADER；

typedef struct tcp_hdr //定義TCP首部
{
USHORT th_sport； //16位源連接埠
USHORT th_dport； //16位目的連接埠
unsigned int th_seq； //32位序列號
unsigned int th_ack； //32位驗證號
unsigned char th_lenres； //4位首部長度/6位保留字
unsigned char th_flag； //6位標誌位
USHORT th_win； //16位視窗大小
USHORT th_sum； //16位校驗和
USHORT th_urp； //16位緊急資料偏移量
}TCPHEADER；

//CheckSum:計算校驗和的子函數
USHORT checksum（USHORT *buffer, int size）
{
unsigned long cksum=0；
while（size >1）
{
cksum+=*buffer++；
size -=sizeof（USHORT）；
}
if（size ）
{
cksum += *（UCHAR*）buffer；
} cksum = （cksum >> 16） + （cksum & 0xffff）；
cksum += （cksum >>16）；
return （USHORT）（~cksum）；
}
void usage（）
{
printf（"******************************************\n"）；
printf（"TCPPing\n"）；
printf（"\t Written by Refdom\n"）；
printf（"\t Email: refdom@263.net\n"）；
printf（"Useage: TCPPing.exe Target_ip Target_port \n"）；
printf（"*******************************************\n"）；
}

int main（int argc, char* argv[]）
{
WSADATA WSAData；
SOCKET sock；
SOCKADDR_IN addr_in；
IPHEADER ipHeader；
TCPHEADER tcpHeader；
PSDHEADER psdHeader；

char szSendBuf[60]={0}；
BOOL flag；
int rect,nTimeOver；

usage（）；

if （argc!= 3）
{ return false； }

if （WSAStartup（MAKEWORD（2,2）, &WSAData）!=0）
{
printf（"WSAStartup Error!\n"）；
return false；
}

if （（sock=WSASocket（AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERLAPPED））==INVALID_SOCKET）
{
printf（"Socket Setup Error!\n"）；
return false；
}
flag=true；
if （setsockopt（sock,IPPROTO_IP, IP_HDRINCL,（char *）&flag,sizeof（flag））==SOCKET_ERROR）
{
printf（"setsockopt IP_HDRINCL error!\n"）；
return false；
}

nTimeOver=1000；
if （setsockopt（sock, SOL_SOCKET, SO_SNDTIMEO, （char*）&nTimeOver, sizeof（nTimeOver））==SOCKET_ERROR）
{
printf（"setsockopt SO_SNDTIMEO error!\n"）；
return false；
}
addr_in.sin_family=AF_INET；
addr_in.sin_port=htons（atoi（argv[2]））；
addr_in.sin_addr.S_un.S_addr=inet_addr（argv[1]）；
//
//
//填充IP首部
ipHeader.h_verlen=（4<<4 | sizeof（ipHeader）/sizeof（unsigned long））；
// ipHeader.tos=0；
ipHeader.total_len=htons（sizeof（ipHeader）+sizeof（tcpHeader））；
ipHeader.ident=1；
ipHeader.frag_and_flags=0；
ipHeader.ttl=128；
ipHeader.proto=IPPROTO_TCP；
ipHeader.checksum=0；
ipHeader.sourceIP=inet_addr（"近端網址"）；
ipHeader.destIP=inet_addr（argv[1]）；

//填充TCP首部
tcpHeader.th_dport=htons（atoi（argv[2]））；
tcpHeader.th_sport=htons（SOURCE_PORT）； //源連接埠號
tcpHeader.th_seq=htonl（0x12345678）；
tcpHeader.th_ack=0；
tcpHeader.th_lenres=（sizeof（tcpHeader）/4<<4|0）；
tcpHeader.th_flag=2； //修改這裡來實現不同的標誌位探測，2是SYN，1是FIN，16是ACK探測 等等
tcpHeader.th_win=htons（512）；
tcpHeader.th_urp=0；
tcpHeader.th_sum=0；

psdHeader.saddr=ipHeader.sourceIP；
psdHeader.daddr=ipHeader.destIP；
psdHeader.mbz=0；
psdHeader.ptcl=IPPROTO_TCP；
psdHeader.tcpl=htons（sizeof（tcpHeader））；

//計算校驗和
memcpy（szSendBuf, &psdHeader, sizeof（psdHeader））；
memcpy（szSendBuf+sizeof（psdHeader）, &tcpHeader, sizeof（tcpHeader））；
tcpHeader.th_sum=checksum（（USHORT *）szSendBuf,sizeof（psdHeader）+sizeof（tcpHeader））；

memcpy（szSendBuf, &ipHeader, sizeof（ipHeader））；
memcpy（szSendBuf+sizeof（ipHeader）, &tcpHeader, sizeof（tcpHeader））；
memset（szSendBuf+sizeof（ipHeader）+sizeof（tcpHeader）, 0, 4）；
ipHeader.checksum=checksum（（USHORT *）szSendBuf, sizeof（ipHeader）+sizeof（tcpHeader））；

memcpy（szSendBuf, &ipHeader, sizeof（ipHeader））；

rect=sendto（sock, szSendBuf, sizeof（ipHeader）+sizeof（tcpHeader）,
0, （struct sockaddr*）&addr_in, sizeof（addr_in））；
if （rect==SOCKET_ERROR）
{
printf（"send error!:%d\n",WSAGetLastError（））；
return false；
}
else
printf（"send ok!\n"）；

closesocket（sock）；
WSACleanup（）；

return 0；
}




編輯:
refdom■nsfocus

[leowang]

感謝提供資訊 謝謝分享