欺骗端口扫描器Hping
Northcutt接下来向学生们介绍了Hping 3.0版的工作原理。他解释说,这个网络分析工具比更知名的网络工具Nmap更隐蔽。Hping能够制作一种特殊的数据包,里面包含定制的目的端口以及源端口、窗口尺寸、身份识别字段、TCP标识等等。
同Nmap一样,Hping最有价值的能力之一是假冒一个第三方的IP地址,让这个扫描的真正来源很难被检测到。但是,与Nmap不同, Hping首先寻找一个在互联网上闲置的沉默的主机。在任意指定的时间内,许多互联网主机是开机运行的,但是没有进行任何通讯。没有发送和接收任何数据包。Northcutt说,虽然无人看管,沉默的主机仍然在网络上倾听。如果客气地提问,它会回答。通过利用多个沉默的主机,攻击者能够执行一个很难发现的隐蔽的扫描。
p0f:被动操作系统检测
另一个值得了解的工具是p0f。这个工具被动地监视网络通讯,能够检查TCP/IP栈的具体部分。它能非常准确地预测发送这个通讯的网络的操作系统。这个工具对于观察不会改变其TCP/IP栈实施的实施工具是最有效的。这个工具还能识别那些为了隐藏另一个操作系统而改变其TCP/IP指纹的系统。
Nmap和Nessus
目前最常用的两个扫描器是Nmap和Nessus。对于不熟悉这两个工具的人,Northcutt介绍了如下情况:
Nmap是一个端口扫描器,具有快速、高水平、开放端口和操作系统指纹鉴定等特点。
Nessus是世界上最流行的安全漏洞扫描器,不过,美国国防部使用eEye。这两个扫描器都提供差不多的结果。
Northcutt警告称,安全漏洞扫描器工作的速度较慢并且能够引起一些误报。用户应该理解这个事情并且注意不要因为扫描器返回的报告指出有大量的安全漏洞而着急。管理员查看扫描结果的任务是要证实哪些安全漏洞是真正存在的以及这些安全漏洞的严重性如何,如果黑客利用这些安全漏洞会给软件造成什么影响以及可能造成什么破坏。这正是攻击代码工具要利用的地方。