本文讲一下入侵阶段介绍的第二部分,网络扫描的主要技术,第一个是主机扫描技术,IP端口扫描,这个icmp它的全称是internet control message protocol,也就是网纪控制报文协议,他工作在网络层,它允许主机或路由器报告差错情况可停工有关异常情况的报告。由于报文是作为IP层数,据报的数据因此需要加上IP数据报的手部封装在IP数据报内部才能传输。它的原理是ping的实现机制,在判断在一个网络上主机是否开机时非常有用,向目标主机发送icmp request数据包等待回复的数据包如果能收到则表明目标系统是通的,否则就表明目标系统已经不可达或主机没有在线或者使用了某些过滤设备过滤了icmp的回复。
这个设计的主体思想是使用icmp数据包来探测指定网段内的活动主机。第二个扫描发送一个icmp time stamp request或者icmp。Adjust mask request。看是否响应可以突破防火墙。它的优点是简单也有系统支持,缺点就是容易被防火墙限制。
第三个icmp是web扫描。在icmp基础上通过并行发送同时探测多个目标主机。以提高探测效率,使用icmp 轮巡多个主机成为icmp sweep,对于小的或者中等网络使用这种方法来探测主机是一种比较可接受的行为,但对于那一些大的网络这种。方法就会显得比较慢。原因是ping他在处理下一个之前。将会等待正在探测的主机的回应。
第四个是broadcast icmp扫描。它是将icmp请求包的目标地址设为广播地址或网络地址,就可以探测广播域或整个网络范围内的主机,也就是说通过发送icmp request到广播地址或者目标网络地址,它就可以简单的来反映目标网络存活主机,这样的请求会广播到目标网络中所有的主机,所有存活的主机都将会发。
complied到攻击者的源IP地址,它的缺点是只适用于UNIX Linux系统windows,它就会忽略这种请求包。第二个就是容易引起广播风暴,它的原因是因为windows机器,它将不产生icmp reply给目标或是广播地址或网络地址的icmp request,但这种行为是正常的操作如果我们发送icmp,IQ request给一个IP广播地址或IP多播地址,它可以没有任何回应的丢弃。接着我们来讲嗅探。嗅探是指利用计算机的网络接口截获。目的地为其他计算机的数据报文的一种技术。