第2章:扫描与防御技术.ppt

  1. 1、本文档共188页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
端口扫描技术 TCP/IP协议提出的端口是网络通信进程与外界通讯交流的出口,可被命名和寻址,可以认为是网络通信进程的一种标识符。 进程通过系统调用与某端口建立连接绑定后,便会监听这个端口,传输层传给该端口的数据都被相应进程所接收,而相应进程发给传输层的数据都从该端口输出。 互联网上的通信双方不仅需要知道对方的IP地址,也需要知道通信程序的端口号。 端口扫描技术 目前IPv4协议支持16位的端口,端口号范围是0~65535。其中,0~1023号端口称为熟知端口,被提供给特定的服务使用;1024~49151号端口称为注册端口,由IANA记录和追踪;49152~65535号端口称为动态端口或专用端口,提供给专用应用程序。 许多常用的服务使用的是标准的端口,只要扫描到相应的端口,就能知道目标主机上运行着什么服务。端口扫描技术就是利用这一点向目标系统的TCP/UDP端口发送探测数据包,记录目标系统的响应,通过分析响应来查看该系统处于监听或运行状态的服务。 认证(ident)扫描 在端口扫描中,利用这一协议,扫描程序先主动尝试与目标主机建立起一个TCP连接(如Http连接等),连接成功之后,它向目标主机的TCP 113端口建立另一连接,并通过该连接向目标主机的ident服务发送第一个TCP连接所对应的两个端口号。如果目标主机安装并运行了ident服务,那么该服务将向扫描程序返回相关联的进程的用户属性等信息。 由于在此过程中,扫描程序先以客户方身份与目标主机建立连接,后又以服务方身份对目标主机进行认证,因此这种扫描方式也被称为反向认证扫描。不过,这种方法只能在和目标端口建立了一个完整的TCP连接后才能发挥作用。 FTP代理扫描 文件传输协议(FTP)允许数据连接与控制连接位于不同的机器上,并支持代理FTP连接。FTP代理扫描正是利用了这个缺陷,使用支持代理的FTP服务器来扫描TCP端口。这种扫描方式又被称为FTP反弹扫描(FTP Bounce Attack)。 扫描程序先在本地与一个支持代理的FTP服务器建立控制连接,然后使用PORT命令向FTP服务器声明欲扫描的目标机器的IP地址和端口号,其中IP地址为代理传输的目的地址,而端口号则为传输时所需的被动端口,并发送LIST命令。这时,FTP服务器会尝试向目标主机指定端口发起数据连接请求。 FTP代理扫描 如果目标主机对应端口确实处于监听状态,FTP服务器就会向扫描程序返回成功信息,返回码为150和226。否则返回类似这样的错误信息:“425 Can’t build data connection: Connection refused”。 扫描程序持续使用PORT和LIST命令,直到目标机器上所有的选择端口扫描完毕。 这种方式隐藏性很好,难以跟踪,能轻而易举的绕过防火墙。不过对所有需扫描的端口都要逐一进行上述步骤,速度比较慢。而且,现在许多FTP服务器都禁止了代理这一特性。 NMAP简介 Nmap(Network Mapper),是由Fyodor制作的端口扫描工具。 它除了提供基本的TCP和UDP端口扫描功能外,还综合集成了众多扫描技术,可以说,现在的端口扫描技术很大程度上是根据Nmap的功能设置来划分的。 Nmap还有一个卓越的功能,那就是采用一种叫做“TCP栈指纹鉴别(stack fingerprinting)”的技术来探测目标主机的操作系统类型。 NMAP基本功能 其基本功能有三个: 探测一组主机是否在线 主机扫描技术 扫描主机端口,嗅探所提供的网络服务 端口扫描技术 还可以推断主机所用的操作系统 远程主机OS指纹识别 NMAP特点 NMAP 是一款开源的扫描工具, 用于系统管理员查看一个大型的网络有哪些主机以及其上运行何种服务。 它支持多种协议多种形式的扫描技术,还提供一些实用功能如通过TCP/IP来鉴别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING鉴别下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。 NMAP主要的特色就是多种扫描模式以及指纹识别技术。 端口扫描监测工具 对网络管理员来说,尽早的发现黑客的扫描活动,也许就能及时采取措施,避免黑客进一步实施真正的攻击和破坏。 监测端口扫描的工具有好多种,最简单的一种是在某个不常用的端口进行监听,如果发现有对该端口的外来连接请求,就认为有端口扫描。一般这些工具都会对连接请求的来源进行反探测,同时弹出提示窗口。 另一类工具,是在混杂模式下抓包并进一步分析判断。它本身并不开启任何端口。这类端口扫描监视器十分类似IDS系统中主要负责行使端口扫描监测职责的模块。 蜜罐系统也是一种非常好的防御方法。 端口扫描监测工具 下面列出几种端口扫描的监测工具 ProtectX

文档评论(0)

shaoye348 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档