扫描与防御技术讲课.ppt

网络扫描 VS. 入室盗窃窥探 端口扫描技术 TCP/IP协议提出的端口是网络通信进程与外界通讯交流的出口，可被命名和寻址，可以认为是网络通信进程的一种标识符。 进程通过系统调用与某端口建立连接绑定后，便会监听这个端口，传输层传给该端口的数据都被相应进程所接收，而相应进程发给传输层的数据都从该端口输出。 互联网上的通信双方不仅需要知道对方的IP地址，也需要知道通信程序的端口号。 端口扫描技术 目前IPv4协议支持16位的端口，端口号范围是0～65535。其中，0～1023号端口称为熟知端口，被提供给特定的服务使用；1024～49151号端口称为注册端口，由IANA记录和追踪；49152～65535号端口称为动态端口或专用端口，提供给专用应用程序。 许多常用的服务使用的是标准的端口，只要扫描到相应的端口，就能知道目标主机上运行着什么服务。端口扫描技术就是利用这一点向目标系统的TCP/UDP端口发送探测数据包，记录目标系统的响应，通过分析响应来查看该系统处于监听或运行状态的服务。 Windows本身自带的netstat命令 Netstat 显示协议统计和当前的 TCP/IP 网络连接。 命令格式 netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval] Netstat参数 -a 显示所有连接和侦听端口。服务器连接通常不显示。 -e 显示以太网统计。该参数可以与 -s 选项结合使用。 -n 以数字格式显示地址和端口号(而不是尝试查找名称)。 -s 显示每个协议的统计。默认情况下，显示 TCP、UDP、 ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。 -p protocol -显示由 protocol 指定的协议的连接;protocol 可 以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的 统计，protocol 可以是 tcp、udp、icmp 或 ip。 -r 显示路由表的内容。 interval 重新显示所选的统计，在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数，netstat 将打印一次当前的配置信息。 Netstat实例：查看机器开放的端口 在Windows中关闭/开启端口 在默认的情况下，有很多不安全的或没有什么用的端口是开启的，比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性，我们可以通过下面的方法来关闭/开启端口。 关闭端口 　　例如，在Windows XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol （SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务就相当于关闭了对应的端口。 开启端口 　　如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。 为什么会有漏洞 只要是人做出来的东西，就没有完美的，所以有问题也不奇怪。 这就好像一个打字员打了一篇稿子，打字员本身发现错字的可能性很小，倒是别人一眼就可以看到打字员打错的字。 微软当初在编写系统的时候为什么不知道有漏洞？ 很多所谓的漏洞都不算是漏洞，都是正常的数据值，所以不容易被发现。 举个例子，在检测一些ASP网站的时候，会用到1=1 OR 1=2 之类的语句， 这本身是ASP的一种正常的程序语句，但是到了黑客手中，就成了检测ASP网站的重要检查项目， 黑客会根据检测网站返回的数据值，而得到大量的信息。 微软发现后会发布相应的补丁，如果用户及时下载补丁安装则操作系统是相对安全的，但是有的用户偷懒，不及时更新补丁，漏洞就得不到修补。 黑客先是用扫描器扫描远程的操作系统有何漏洞，然后根据这些漏洞编写相应的病毒包或者木马包，植入有漏洞的电脑。在这里扫描起了关键作用。 NMAP简介 Nmap(Network Mapper,网络映射器)，是由Fyodor制作的端口扫描工具。 它除了提供基本的TCP和UDP端口扫描功能外，还综合集成了众多扫描技术，可以说，现在的端口扫描技术很大程度上是根据Nmap的功能设置来划分的。 Nmap还有一个卓越的功能，那就是采用一种叫做“TCP栈指纹鉴别(stack fingerprinting)”的技术来探测目标主机的操作系统类型。 NMAP基本功能 其基本功能有三