网络安全技术实验一信息收集和漏洞扫描

一、实验目的和要求

了解信息搜集和漏洞扫描的一般步骤，利用Nmap等工具进行信息搜集并进行综合分析；掌握TCP全连接扫描、TCP SYN扫描的原理,利用Scapy编写网络应用程序，开发端口扫描功能模块；使用漏洞扫描工具发现漏洞并进行渗透测试。

二、实验步骤

1.主机探测

主机A开启命令行，对B进行ping探测，根据B的回复，可以确定主机A和B的连通情况，还可以根据回复数据包的TTL值对操作系统进行猜测。

1.1 B关闭防火墙。

回复数据包的TTL值： 128 ，B运行的操作系统可能为： Windows NT/2000/XP系统。

1.2 B开启防火墙。

Ping测试显示目标主机无响应，且所有的数据包都丢失了。这表明目标主机不可达，可能是由于目标主机开启了防火墙。

1.3 arping

arping是一个在LAN中使用ARP地址解析协议发现目标主机的工具。arping工具测试特定IP地址在网络中是否在线。该命令只能在本地局域网内运行，无法跨越路由器和网关，常用的选项为arping -c。Wireshark抓包分析该工具的工作原理（有截图及分析）。

基于ARP协议，使用arping -c 1 192.168.113.134命令向目标主机发送一个arp包命令后停止退出，wireshark抓到两个arp包，第一个是本机发出的request广播包，询问网络中IP地址为192.168.113.134的MAC地址是多少

然后接收到目标IP的reply回复包，回复了它的MAC地址，后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间。

分析并回答：在同一子网中判断目标主机存活性，ping和arping谁更具优势？

答：arping更具有优势。由于ARP主机发现的原理，A只要发送了ARP请求，在线的主机B就会做出应答，而A的ARP缓存里就会有B的IP和MAC地址，这样就获得了B的IP，无所谓B主机是否关闭了防火墙。而对于PING命令，由于发送的是ICMP报文，如果B主机的防火墙处于活跃状态，则会拦截该报文，A接收不到B主机的回复，那么ping命令就无法探测出主机B是否处于存活状态。

2.Nmap扫描

2.1对活动主机进行端口扫描

主机A使用Nmap工具对主机B进行TCP端口同步扫描（范围80-90）：

Nmap命令 nmap -sS -p 80-90 192.168.113.134 ；

需将目标主机的防火墙关闭再扫描，否则扫描的所有端口会被过滤掉。

关闭防火墙后，扫描到的80-90的端口都是关闭状态。

wireshark抓包过滤TCP，利用TCP协议中的三次握手过程，本机向目标主机发送TCP SYN包，收到了目标主机回复的TCP RST包，识别端口为关闭状态。

对主机B进行UDP端口扫描（范围是130-140）：

Nmap命令 nmap -sU -p 130-140 192.168.113.134 ；

当一个数据包被发送到一个开放的UDP端口时，应该没有响应。发生这种情况时，Nmap 将端口称为open|filtered。也就是它怀疑端口是开放的，但它可能被防火墙过滤了。如果它得到一个UDP响应（这是非常不寻常的），那么该端口被标记为open。更常见的是没有响应，在这种情况下，请求会再次发送以进行双重检查。如果仍然没有响应，则将该端口标记为open|filtered。

当一个数据包被发送到一个关闭的UDP端口时，目标应该用一个 ICMP (ping) 数据包来响应，其中包含一个端口不可达的消息。例如这里的131端口，目标主机就回复了一个ICMP端口不可达报文。

2.2对活动主机操作系统进行探测

主机A对主机B进行TCP/IP指纹特征扫描:

Nmap命令 nmap -sT -O 192.168.113.134 ；

扫描到目标操作系统是Microsoft Windows 7|2008|8.1

首先本机选择一个open的端口和一个closed的端口，向其发送TCP/UDP/ICMP数据包，根据返回的数据包生成一份系统指纹。将探测生成的指纹与nmap-os-db中指纹进行对比，查找匹配的系统。如果无法匹配，以概率形式列举出可能的系统。

2.3对活动主机运行服务进行探测

Nmap命令 nmap -sV 192.168.113.134 ；

Nmap只能对Open和Open|Filtered状态的端口进行判断。对应TCP端口，尝试建立TCP连接，在等待时间内，会接收到目标机发送的Welcome Banner信息，nmap将接收到的Banner与nmap-services-probes中NULL probe中的签名进行对比，查找对应应用程序的名字与版本信息。

2.4主机A使用Nmap命令对主机B进行IP协议探测

Nmap命令 nmap -sO 192.168.113.134 ；

不是通过发送常规的TCP或UDP数据包，而是通过发送只包含协议头部的数据包来实现探测目标主机支持哪些IP协议。如果目标主机响应了这些数据包，那么就表示它支持相应的协议。

3.Scapy项目

3.1 初识Scapy

send、sendp、sr、sr1 发送数据包函数使用

send函数工作在第三层，只发送数据包。

如：send(IP(dst="192.168.113.134")/ICMP()) '/' 表示加上一层

生成一个IP包，并加上一层ICMP然后给地址192.168.113.134发送。

Wireshark捕获报文，截图显示以上操作相关报文

sendp函数工作在第二层，只发送数据包。

如：sendp(Ether()/IP(dst="192.168.64.133"),iface="eth0")

Wireshark捕获报文，截图显示以上操作相关报文。

sr()函数用来发送数据包和接收响应。

如：sr(IP(dst="192.168.64.133")/ICMP())

Wireshark捕获报文，截图显示以上操作相关报文。

3.2 构造数据包来实现TCP SYN端口扫描

Wireshark捕获报文，截图显示以上操作相关报文。

3.3模拟三次握手实现TCP连接(以下为目标192.168.113.134:445 为例)

from scapy.all import *

h1=IP(dst="192.168.113.134")/TCP(dport=445)注意用自己的IP，及注意445端口是否开放

rsp=sr1(h1)

h3=IP(dst="192.168.113.134")/TCP(dport=445,flags="A",seq=rsp.ack,ack=rsp.seq+1)

rsp2=sr1(h3)

备注(kali关闭内核发送RST）：iptables -A OUTPUT -p tcp --tcp-flags RST RST -j DROP

截图显示与目标主机TCP连接建立情况。

本机向目标IP的445端口发送一个TCP SYN报文请求建立连接，其中Seq=0

目标主机向本机回复SYN ACK报文，其中Seq=0,Ack=1。由于时间内没有收到本机的回复确认包，故重传了两次SYN ACK报文。

本机回复 ACK确认包，Ack=1，三次握手建立连接成功。

3.4 基于scapy实现端口扫描功能模块（TCP SYN扫描）

如果端口对SYN报文响应为开放（SA），则打印Open，如果端口响应为关闭（RST），或无响应，则打印Close。

def tcpSynScan_single(target, port):

    send = sr1(IP(dst=target) / TCP(dport=port, flags="S"), timeout=2, verbose=0)

    if (send is None):

        print("Close")

    elif send.haslayer("TCP"):

        if send["TCP"].flags == "SA":

            print("Open")

        elif send["TCP"].flags in ["RA", "R"]:  # RST响应

            print("Close")

        else:

            print("Close")