任务5.2 监控端口安全.pptx

项目5网络攻击与安全防御;;小明是网络中心管理员，发现网络中心Web服务器出现掉线现象，严重影响访问。通过数据包分析软件捕获数据，发现有很多异常数据包攻击Web服务器，初步判断有病毒在网络传播，需要确认病毒类型，采用有针对性策略，保护Web服务器安全。;Linux和Windows系统都存在安全漏洞。要想发现漏洞，就用到工具：扫描器。如果希望查看什么病毒攻击服务器，通过扫描器查看服务器端口，了解进出端口信息，判断攻击类型。;5.2.1了解计算机的端口

端口”是网络设备通信出口。计算机可以提供许多服务，如Web服务、FTP服务等。主机怎样区分不同服务？

就引入端口机制，每个端口对应服务，由一个整数标识，称端口号。如80，139，445等。;5.2.1了解计算机的端口

2.端口的作用

主机IP地址可以映射65536个（即：2^16）端口。国际标准化组织规定标准端口号范围0到1023，提供常见服务。;5.2.1了解计算机的端口

2.端口作用

入侵者用网络扫描器软件，对目标主机端口扫描，确定哪些端口是开放、哪些端口有漏洞。从开放端口知道目标计算机提供服务，猜测可能存在漏洞。;5.2.2认识网络扫描器

1.什么是网络扫描器

网络扫描器一般是黑客进行网络攻击前的重要预备工具。网络扫描器自动检测远程或本地主机安全漏洞，能提供自动、快速而准确检测功能。;5.2.2认识网络扫描器

1.什么是网络扫描器

网络扫描器和网络监听工具一样，也是网络管理员重要工具，帮助网络系统管理员掌握系统安全状况，也是日常工作中的必备工具。;5.2.2认识网络扫描器

2.网络扫描器的功能

常见的网络扫描器的主要功能列举如下。

（1）检测目标主机是否在线。

（2）扫描目标系统开放的端口，有的还可以测试端口的服务信息。

（3）获取目标操作系统的敏感信息。

（4）破解系统口令。

（5）扫描其他系统的敏感信息。;5.2.2认识网络扫描器

3.常用扫描器工具

网络上扫描器工具很多，有的DOS下运行，有的提供图形用户界面。;5.2.3了解网络扫描的技术原理

网络扫描探测目标网络，找出尽可能多目标；进一步探测目标系统开放端口、操作系统类型、运行服务、存在安全弱点等信息。;5.2.3了解网络扫描的技术原理

扫描器通过收集系统信息，自动检测远程或本地主机安全性弱程序：发现目标主机或网络。然后，进一步搜集目标信息：操作系统类型、运行服务以及软件版本等。最后，判断系统存在安全漏洞。

;5.2.3了解网络扫描的技术原理

1.TCP全连接扫描

TCP全连接扫描利用TCP三次握手，与目标主机建立正常TCP连接，判断指定端口是否开放。这种方法缺点是：容易被记录或被检测。;5.2.3了解网络扫描的技术原理

1.TCP全连接扫描

扫描器发送SYN数据包，当目标设备回复SYN+ACK时，即代表端口开放。;5.2.3了解网络扫描的技术原理

2.TCPSYN扫描

主机向服务器发送SYN+Port21数据包，如果服务器拒绝开放远程登录端口21，远程服务器发送RST给目标主机，拒绝连接。如果无法连接，说明该端口关闭。;5.2.3了解网络扫描的技术原理

2.TCPSYN扫描

主机向服务器发送SYN+Port80数据包，远端主机开放该端口，则回应SYN/ACK信息给主机，建立通信服务。根据回应数据段，判断服务器端口是否开放。;5.2.3了解网络扫描的技术原理

3.TCPACK扫描

向目标主机发送ACK包，如果收到RST包，说明该端口没有被防火墙屏蔽。;5.2.3了解网络扫描的技术原理

3.TCPACK扫描

没有收到RST包，说明被屏蔽。该方式确定防火墙是否屏蔽某个端口，辅助TCPSYN判断目标主机防火墙状况。;5.2.3了解网络扫描的技术原理

4.TCPFIN扫描

本地主机向目标主机发送FIN=1，如果远端目标服务器端口开放，则丢弃此包不回应。;5.2.3了解网络扫描的技术原理

4.TCPFIN扫描

如果远端主机未开放，返回一个RST包。FIN扫描通过发送FIN反馈，判断远端目标服务器的端口是否开放。;5.2.3了解网络扫描的技术原理

5.UDPICMP扫描

UDP扫描利用UDP协议，向目标主机一个未打开UDP端口，发数据包，收到“ICMP:portunreachable”信息，说明该端口关闭。;5.2.3了解网络扫描的技术原理

5.UDPICMP扫描

没有收到回复，说明UDP端口可能是开放的。通过反向排除法，断定哪些UDP端口是开放状态。;5.2.3了解网络扫描的技术原理

6.ICMP扫描

ICMP扫射（ICMPsweep）探测多个主机地址是否处于活动状态，向多个目标