Green Wind

Scan，是一切入侵的基礎，掃描探測一台主機包括是為了確定主機是否活動、主機系統、正在使用哪些端口、提供了哪些服務、相關服務的軟體版本等等，對這些內容的探測就是為了"對症下藥"。對主機的探測工具非常多，比如大名鼎鼎的nmap、netcat、superscan，以及國內的X-Scanner等等。 ICMP協議──PING是最常用的，也是最簡單的探測手段，用來判斷目標是否活動。實際上Ping是向目標發送一個要求回顯（Type = 8）的ICMP數據報，當主機得到請求后，再返回一個回顯（Type = 0）數據報。而且Ping 程式一般是直接實現下系統內核中的，而不是一個用戶進程。Ping是最基本的探測手段，Ping Sweep（Ping掃射）就是對一個網段進行大範圍的Ping，由此確定這個網段的網路運作情況，比如著名的fping工具就是進行Ping掃射的。 不過現下連基本的個人防火牆都對Ping做了限制，這個也太基本了。如果透過防火牆，如何獲得最理想的目標圖，也是很多人整天思考的問題。我們這裡介紹的一些掃描技術就是要儘可能地繞過一些安全防護設備，並且盡量保護自己，同時達到我們需要的目的。 　　一、高級ICMP掃描技術 　　Ping就是利用ICMP協議走的，高級的ICMP掃描技術主要是利用ICMP協議最基本的用途︰報錯。根據網路協議，如果按照協議出現了錯誤，那么接收端將產生一個ICMP的錯誤報文。這些錯誤報文並不是主動發送的，而是由於錯誤，根據協議自動產生。 　　當IP數據報出現checksum和版本的錯誤的時候，目標主機將拋棄這個數據報，如果是checksum出現錯誤，那么路由器就直接丟棄這個數據報了。有些主機比如AIX、HP-UX等，是不會發送ICMP的Unreachable數據報的。 　　我們利用下面這些特性︰ 　　1、向目標主機發送一個只有IP頭的IP數據包，目標將返回Destination Unreachable的ICMP錯誤報文。 　　2、向目標主機發送一個壞IP數據報，比如，不正確的IP頭長度，目標主機將返回Parameter Problem的ICMP錯誤報文。 　　3、當數據包分片但是，卻沒有給接收端足夠的分片，接收端分片組裝超時會發送分片組裝超時的ICMP數據報。 　　向目標主機發送一個IP數據報，但是協議項是錯誤的，比如協議項不可用，那么目標將返回Destination Unreachable的ICMP報文，但是如果是在目標主機前有一個防火牆或者一個其他的過濾裝置，可能過濾掉提出的要求，從而接收不到任何回應。可以使用一個非常大的協議數字來作為IP頭部的協議內容，而且這個協議數字至少在今天還沒有被使用，應該主機一定會返回Unreachable，如果沒有Unreachable的ICMP數據報返回錯誤提示，那么就說明被防火牆或者其他設備過濾了，我們也可以用這個辦法來探測是否有防火牆或者其他過濾設備存在。 　　利用IP的協議項來探測主機正在使用哪些協議，我們可以把IP頭的協議項改變，因為是8位的，有256種可能。透過目標返回的ICMP錯誤報文，來作判斷哪些協議在使用。如果返回Destination Unreachable，那么主機是沒有使用這個協議的，相反，如果什麼都沒有返回的話，主機可能使用這個協議，但是也可能是防火牆等過濾掉了。NMAP的IP Protocol scan也就是利用這個原理。 　　利用IP分片造成組裝超時ICMP錯誤消息，同樣可以來達到我們的探測目的。當主機接收到丟失分片的數據報，並且在一定時間內沒有接收到丟失的數據報，就會丟棄整個包，並且發送ICMP分片組裝超時錯誤給原發送端。我們可以利用這個特性製造分片的數據包，然後等待ICMP組裝超時錯誤消息。可以對UDP分片，也可以對TCP甚至ICMP數據包進行分片，只要不讓目標主機獲得完整的數據包就行了，當然，對于UDP這種非連接的不可靠協議來說，如果我們沒有接收到超時錯誤的ICMP返回報，也有可能時由於線路或者其他問題在傳輸過程中丟失了。 　　我們能夠利用上面這些特性來得到防火牆的ACL（access list），甚至用這些特性來獲得整個網路拓撲架構。如果我們不能從目標得到Unreachable報文或者分片組裝超時錯誤報文，可以作下面的判斷︰ 　　1、防火牆過濾了我們發送的協議類型 　　2、防火牆過濾了我們指定的端口 　　3、防火牆阻塞ICMP的Destination Unreachable或者Protocol Unreachable錯誤消息。 　　4、防火牆對我們指定的主機進行了ICMP錯誤報文的阻塞。 　　二、高級TCP掃描技術 　　最基本的利用TCP掃描就是使用connect（），這個很容易實現，如果目標主機能夠connect，就說明一個相應的端口打開。不過，這也是最原始和最先被防護工具拒絕的一種。 　　在高級的TCP掃描技術中主要利用TCP連接的三次握手特性和TCP數據頭中的標誌位來進行，也就是所謂的半開掃描。 　　先認識一下TCP數據報頭的這六個標誌位。 　　URG︰（Urgent Pointer field significant）緊急指針。用到的時候值為1，用來處理避免TCP數據流中斷 　　ACK︰（Acknowledgment field significant）置1時表示確認號（Acknowledgment Number）為合法，為0的時候表示數據段不包含確認訊息，確認號被忽略。 　　PSH︰（Push Function），PUSH標誌的數據，置1時請求的數據段在接收方得到后就可直接送到應用程式，而不必等到緩沖區滿時才傳送。 　　RST︰（Reset the connection）用于複位因某種原因引起出現的錯誤連接，也用來拒絕非法數據和請求。如果接收到RST位時候，通常發生了某些錯誤。 　　SYN︰（Synchronize sequence numbers）用來建立連接，在連接請求中，SYN=1，ACK=0，連接附應時， SYN=1，ACK=1。即，SYN和ACK來區分Connection Request和Connection Accepted。 　　FIN︰（No more data from sender）用來釋放連接，表明發送方已經沒有數據發送了。 　　TCP協議連接的三次握手過程是這樣的︰ 　　首先客戶端（請求方）在連接請求中，發送SYN=1，ACK=0的TCP數據包給伺服器端（接收請求端），表示要求同伺服器端建立一個連接；然後如果伺服器端附應這個連接，就返回一個SYN=1，ACK=1的數據報給客戶端，表示伺服器端同意這個連接，並要求客戶端確認；最後客戶端就再發送SYN=0，ACK=1的數據包給伺服器端，表示確認建立連接。 　　我們就利用這些標誌位和TCP協議連接的三次握手特性來進行掃描探測。 　　SYN 掃描 　　這種掃描模式也被稱為"半打開" 掃描，因為利用了TCP協議連接的第一步，並且沒有建立一個完整的TCP連接。實現辦法是向遠端主機某端口發送一個只有SYN標誌位的TCP數據報，如果主機回饋一個SYN || ACK數據包，那么，這個主機正在監聽該端口，如果回饋的是RST數據包，說明，主機沒有監聽該端口。在X-Scanner 上就有SYN的選擇項。 　　ACK 掃描 　　發送一個只有ACK標誌的TCP數據報給主機，如果主機回饋一個TCP RST數據報來，那么這個主機是存在的。也可以透過這種技術來確定對方防火牆是否是簡單的分組過濾，還是一個基于狀態的防火牆。 　　FIN 　　對某端口發送一個TCP FIN數據報給遠端主機。如果主機沒有任何回饋，那么這個主機是存在的，而且正在監聽這個端口；主機回饋一個TCP RST回來，那么說明該主機是存在的，但是沒有監聽這個端口。 　　NULL 　　即發送一個沒有任何標誌位的TCP包，根據RFC793，如果目標主機的相應端口是關閉的話，應該發送回一個RST數據包。 　　FIN+URG+PUSH 　　向目標主機發送一個Fin、URG和PUSH分組，根據RFC793，如果目標主機的相應端口是關閉的，那么應該返回一個RST標誌。 　　上面這些辦法可以繞過一些防火牆，從而得到防火牆后面的主機訊息，當然，是在不被欺騙的情況下的。這些方法還有一個好處就是比較難于被記錄，有的辦法即使在用netstat命令上也根本顯示不出來，而且一般的安全防護設備也根本不記錄這些內容，這樣能夠更好地隱藏自己。 三、高級UDP掃描技術 　　在UDP實現的掃描中，多是了利用和ICMP進行的組合進行，這在ICMP中以及提及了。還有一些特殊的就是UDP回饋，比如SQL SERVER，對其1434端口發送‘x02'或者‘x03'就能夠探測得到其連接端口。 　　下面這段程式就是一個TCP探測的例子，當然，並沒有做得完美，因為沒有接收部分，而在WIN2000下實際就是一個選擇性的SNIFFER，呵呵，大家可以使用其他的SNIFFER來實現同樣的目的。也可以改變下面的程式只發送IP包，利用ICMP特性來實現探測。 #include 〈stdio.h>； #include 〈winsock2.h>； #include 〈ws2tcpip.h>； #define SOURCE_PORT 7234 #define MAX_RECEIVEBYTE 255 typedef struct ip_hdr //定義IP首部 { unsigned char h_verlen； //4位首部長度,4位IP版本號 unsigned char tos； //8位服務類型TOS unsigned short total_len； //16位總長度（位元組） unsigned short ident； //16位標識 unsigned short frag_and_flags； //3位標誌位 unsigned char ttl； //8位生存時間 TTL unsigned char proto； //8位協議 （TCP, UDP 或其他） unsigned short checksum； //16位IP首部校驗和 unsigned int sourceIP； //32位源IP位址 unsigned int destIP； //32位目的IP位址 }IPHEADER； typedef struct tsd_hdr //定義TCP偽首部 { unsigned long saddr； //源位址 unsigned long daddr； //到達站址 char mbz； char ptcl； //協議類型 unsigned short tcpl； //TCP長度 }PSDHEADER； typedef struct tcp_hdr //定義TCP首部 { USHORT th_sport； //16位源端口 USHORT th_dport； //16位目的端口 unsigned int th_seq； //32位序列號 unsigned int th_ack； //32位確認號 unsigned char th_lenres； //4位首部長度/6位保留字 unsigned char th_flag； //6位標誌位 USHORT th_win； //16位窗口大小 USHORT th_sum； //16位校驗和 USHORT th_urp； //16位緊急數據偏移量 }TCPHEADER； //CheckSum:計算校驗和的子函數 USHORT checksum（USHORT *buffer, int size） { unsigned long cksum=0； while（size >；1） { cksum+=*buffer++； size -=sizeof（USHORT）； } if（size ） { cksum += *（UCHAR*）buffer； } cksum = （cksum >；>； 16） + （cksum &； 0xffff）； cksum += （cksum >；>；16）； return （USHORT）（~cksum）； } void usage（） { printf（"；****************************************** "；）； printf（"；TCPPing "；）； printf（"； Written by Refdom "；）； printf（"； Email: refdom@263.net "；）； printf（"；Useage: TCPPing.exe Target_ip Target_port "；）； printf（"；******************************************* "；）； } int main（int argc, char* argv[]） { WSADATA WSAData； SOCKET sock； SOCKADDR_IN addr_in； IPHEADER ipHeader； TCPHEADER tcpHeader； PSDHEADER psdHeader； char szSendBuf[60]={0}； BOOL flag； int rect,nTimeOver； usage（）； if （argc!= 3） { return false； } if （WSAStartup（MAKEWORD（2,2）, &；WSAData）!=0） { printf（"；WSAStartup Error! "；）； return false； } if （（sock=WSASocket（AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERLAPPED））==INVALID_SOCKET） { printf（"；Socket Setup Error! "；）； return false； } flag=true； if （setsockopt（sock,IPPROTO_IP, IP_HDRINCL,（char *）&；flag,sizeof（flag））==SOCKET_ERROR） { printf（"；setsockopt IP_HDRINCL error! "；）； return false； } nTimeOver=1000； if （setsockopt（sock, SOL_SOCKET, SO_SNDTIMEO, （char*）&；nTimeOver, sizeof（nTimeOver））==SOCKET_ERROR） { printf（"；setsockopt SO_SNDTIMEO error! "；）； return false； } addr_in.sin_family=AF_INET； addr_in.sin_port=htons（atoi（argv[2]））； addr_in.sin_addr.S_un.S_addr=inet_addr（argv[1]）； // // //填充IP首部 ipHeader.h_verlen=（4〈〈4 | sizeof（ipHeader）/sizeof（unsigned long））； // ipHeader.tos=0； ipHeader.total_len=htons（sizeof（ipHeader）+sizeof（tcpHeader））； ipHeader.ident=1； ipHeader.frag_and_flags=0； ipHeader.ttl=128； ipHeader.proto=IPPROTO_TCP； ipHeader.checksum=0； ipHeader.sourceIP=inet_addr（"；本地位址"；）； ipHeader.destIP=inet_addr（argv[1]）； //填充TCP首部 tcpHeader.th_dport=htons（atoi（argv[2]））； tcpHeader.th_sport=htons（SOURCE_PORT）； //源端口號 tcpHeader.th_seq=htonl（0x12345678）； tcpHeader.th_ack=0； tcpHeader.th_lenres=（sizeof（tcpHeader）/4〈〈4|0）； tcpHeader.th_flag=2； //修改這裡來實現不同的標誌位探測，2是SYN，1是FIN，16是ACK探測 等等 tcpHeader.th_win=htons（512）； tcpHeader.th_urp=0； tcpHeader.th_sum=0； psdHeader.saddr=ipHeader.sourceIP； psdHeader.daddr=ipHeader.destIP； psdHeader.mbz=0； psdHeader.ptcl=IPPROTO_TCP； psdHeader.tcpl=htons（sizeof（tcpHeader））； //計算校驗和 memcpy（szSendBuf, &；psdHeader, sizeof（psdHeader））； memcpy（szSendBuf+sizeof（psdHeader）, &；tcpHeader, sizeof（tcpHeader））； tcpHeader.th_sum=checksum（（USHORT *）szSendBuf,sizeof（psdHeader）+sizeof（tcpHeader））； memcpy（szSendBuf, &；ipHeader, sizeof（ipHeader））； memcpy（szSendBuf+sizeof（ipHeader）, &；tcpHeader, sizeof（tcpHeader））； memset（szSendBuf+sizeof（ipHeader）+sizeof（tcpHeader）, 0, 4）； ipHeader.checksum=checksum（（USHORT *）szSendBuf, sizeof（ipHeader）+sizeof（tcpHeader））； memcpy（szSendBuf, &；ipHeader, sizeof（ipHeader））； rect=sendto（sock, szSendBuf, sizeof（ipHeader）+sizeof（tcpHeader）, 0, （struct sockaddr*）&；addr_in, sizeof（addr_in））； if （rect==SOCKET_ERROR） { printf（"；send error!:%d "；,WSAGetLastError（））； return false； } else printf（"；send ok! "；）； closesocket（sock）； WSACleanup（）； return 0； }