ICMP USAGE IN SCANNING(翻译,仅供学习)

ICMP USAGE IN SCANNING(翻译,仅供学习)(1)

4.0先进的主机探测在ICMP协议中的应用

http://91mail.51.net

我们将把精力集中在触发的几种ICMP错误报文的类型上，该报文从一个目标IP地址（主机）返回。XML:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

我们将通过损坏查询中的某个字段的值，来促使对象产生一个ICMP错误报文。

为了产生几种不同的ICMP错误报文我们有几个字段的值以供选择。通过在目标IP地址上查询主机中所有不被接受的条件，来促使下面的OS内核传出一个ICMP 错误报文。仅有一个例外，所有的错误条件将总是触发一个ICMP错误报文。探测一个过滤设备是否正在强制它的过滤准则从网络运输中传送到我们的目标IP地址，将导致我们使用先进的主机探测方法。目标主机自己能够强制过滤（例如，主机基于防火墙），或者它可以通过网络设备完成，或通过另一个安全设备。

我们还可以利用先进的主机探测方法去探测保护网络上的一个过滤设备强制的ACLs。

4.1 控制ICMP参数问题错误报文

    一个ICMP参数问题错误报文是在一个路由器或主机处理数据报且找到一个关于IP 首部参数的问题时被发送的,该参数没有明确地被另一个ICMP错误报文所掩藏，当判断该错误引起数据报被丢弃时，ICMP参数问题错误报文才被发送.为了利用这种方法我们需要分析IP 首部并决定字段的值是什么,该值可能在引发一个ICMP参数问题错误报文从目标IP地址(主机)返回的查询中被损坏.

我们需要记住可能被损坏的字段目录,需要选择仅有的字段,该字段没有任何其他的ICMP错误报文与之关联.

这将强制目标IP地址发回一个ICMP参数问题错误报文且显示它的IP地址.我们能够接收两种类型的ICMP参数问题错误报文:

编码0——这个指示字段将指示在引起问题的源IP首部中的精确的字节,或编码2——是在IP数据报的首部长度或总的信息包长度的值似乎不太精确时被发送.

RFC1812要求路由器 在处理一个信息包时对以下的字段都有效.29:检验和—— 一个路由器必须核实任何接收到的IP 检验和且必须丢弃报文包括作废的检验和.

根据RFC1122，一个主机应该在处理信息包30时，对以下字段的有效性进行核实.

30:译本号——如果不是4，一个主机必须将IP信息包丢弃.

检验和—— 一个主机应该对任何一个所接收到的数据报和每一个丢弃的有坏检验和的数据报进行核实.

发送一个这样的IP数据报是可能的.该数据报带有损坏的IP 首部字段值且在探测器的途中没有被丢弃，仍然被发送。

不同路由器执行不同的关于IP首部字段值(RFC1812的不同执行和解释)的检查应该被记录。

当一个路由器由于坏的IP首部字段值而停止IP信息包，并发送一个ICMP参数问题错误报文时,它鉴别该路由器产品且根据一个字段校准错误的IP 首部字段值是可能的,该字段不能被特殊的路由器产品所核实.

一个路由器可能比主机的一个IP首部字段值要宽大.这可能导致该路由器是IP 数据报传送的一个传达手段且该主机是目的地和更多数据报上的处理被完成的地方.

这个约束允许我们用大量的字段;其中一些对于我们的信息包到达它的目的地是至关重要的,在这不再列出了.

条件略述略去了这种方法对于限制字段数量的用法.事实上它是关于首部长度，总的数据报长度和IP选项字段值的。

自从我们在信息包的IP首部的一部分中定位字段值以后，我们能够传送任何一个关于触发IP数据报的协议。用从网络上随机存取探测主机这种方法是非常有利的，因为一个主机应该产生这样的错误报文来应付略述的情况。这样如果它们是探测器的对象，路由器也必须产生ICMP参数问题错误报文。对于这种方法的downside是探测。侵扰探测系统应该警惕侵袭网络运输中的异常性。要来的携带错误IP首部字段值的信息包或作为响应离开网络的ICMP参数问题错误报文通常不能看到。我们能够利用这种类型的的主机探测方法掠过整个网络范围的机构并返回结果。该结果将对所有从网络上随机存取探测的主机（和网络设备）绘制地图。

一个过滤设备是当前的吗？

如果正在保护目标主机，我们能够容易地探测到它的存在。我们正在利用的查询，要求我们的对象得出一个ICMP参数问题错误报文并返回，如果我们接收不到返回的答复，它将指示我们可疑的某物正在接近。或者IP地址不能用或者过滤设备正在过滤通信量。即使过滤设备正在保护目标网络，我们仍能设法发送这些伪信息包，这次我们将用更多的逻辑性。我们将使用一个优先协议和端口，过滤设备ACL的配置很可能允许通过。我们可以使用例如TCP with ports 21,25,80; UDP port 53.这将工作，因为对于今天市场上的大部分防火墙来说，如果一些字段的值是正确的，则无效。总的IP 数据报长度字段值就是一个很好的例子。如果防火墙能够匹配它基于查询参数的规则，且它的规则基础允许查询，与查询被允许相比，一个错误报文将被延长到31。这里给出一个例子，利用isic的有效书写，通过Miike Frantzen32.isc随便发送产生的信息包到目标计算机上。它的主要用途是着重检验IP堆栈，找到防火墙上的漏洞，检验探测系统和防火墙的执行。使用者能够指定信息包多久成为碎片，持有IP 选项，TCP 选项，紧急指示器，等等。

下一个例子中已经从一个Linuxbased machine to a Microsoft Windows

NT WRKS 4 SP4 based machine (the -p option with isic)上发送了20个信息包。该数据报没有成为碎片，错误的IP版本号也没有被发送。唯一被发送到IP首部的神秘的东西是随意的IP 首部长度值，它已经延长了ICMP参数问题代码2错误报文，此时1已经被准备。