文档介绍::网络信息收集与***:端口扫描攻击是一种探测技术,攻击者可将它用于寻找他们能够成功攻击的服务。连接在网络中的所有计算机都会运行许多使用TCP或UDP端口的服务,而所提供的已定义端口达6000个以上。通常,端口扫描不会造成直接的损失。然而,端口扫描可让攻击者找到可用于发动各种攻击的端口。为了使攻击行为不被发现,攻击者通常使用缓慢扫描、跳跃扫描等技术来躲避检测。通常进行端口扫描的工具是端口扫描软件,也通称之为"端口扫描器",端口扫描可以提供三个用途:(1)识别目标系统上正在运行的TCP协议和UDP协议服务;(2)识别目标系统的操作系统类型(Windows9x,WindowsNT,或UNIX,等);(3)识别某个应用程序或某个特定服务的版本号。本实验以广泛使用的端口扫描软件—SuperScan为例进行说明。通过本实验,要求学员掌握以下技能:1、学****端口扫描基本原理,掌握信息收集的方法2、理解端口扫描技术在网络攻防中的作用3、,作为安全审核工具包的一部分。SuperScan具有以下功能:(1)通过Ping来检验IP是否在线;(2)IP和域名相互转换;(3)检验目标计算机提供的服务类别;(4)检验一定范围目标计算机的是否在线和端口情况;(5)工具自定义列表检验目标计算机是否在线和端口情况;(6)自定义要检验的端口,并可以保存为端口列表文件;(7),通过这个列表我们可以检测目标计算机是否有木马;同时,我们也可以自己定义修改这个木马端口列表。,学员可以在如下地址下载:?subnav=resources/&subcontent=/resources/proddesc/(当然也可去其它软件网站下载汉化版,为方便学员学****在讲解过程中使用汉化版)"端口扫描"通常指用同一信息对目标计算机的所有所需扫描的端口进行发送,然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。"端口扫描"行为的一个重要特征是:在短时期内有很多来自相同的信源地址传向不同的目的地端口的包。本实验介绍的SuperScan是一款具有TCPconnect端口扫描、Ping和域名解析等功能的工具,它通过对指定范围内的IP地址进行ping和端口扫描,进而找到网络中可能的潜在危机,以备施以对策。,,开始使用。(Scan)打开主界面,默认为扫描(Scan)菜单,允许学员输入一个或多个主机名或IP范围。学员也可以选文件下的输入地址列表。输入主机名或IP范围后开始扫描,点,SuperScan开始扫描地址,如下图A。图1SuperScan允许学员输入要扫描的IP范围扫描进程结束后,SuperScan将提供一个主机列表,关于每台扫描过的主机被发现的开放端口信息。SuperScan还有选择以HTML格式显示信息的功能。如图B。(HostandServiceDiscovery)到目前为止,从以上的例子,学员已经能够从一群主机中执行简单的扫描,然而,很多时候需要学员定制扫描。如图C上看到的“主机和服务器扫描设置”选项。这个选项让学员在扫描的时候看到的更多信息。图3“主机和服务器扫描设置”决定具体哪些端口被扫描在菜单顶部是“查找主机项”(HostDiscovery)。默认的,发现主机的方法是通过“回显请求”(echorequests)。通过选择和取消各种可选的扫描方式选项,学员也能够通过利用“时间戳请求”(timestamp),“地址掩码请求”(addressmaskrequests)和“信息请求”(informationrequests)来发现主机。紧记,学员选择的选项越多,那么扫描用的时间就越长。如果学员正在试图尽量多的收集一个明确的主机的信息,建议学员首先执行一次常规的扫描以发现主机,然后再利用可选的请求选项来扫描。在菜单的底部,包括“UDP端口扫描”和“TCP端口扫描”项。通过屏幕的截图,注意到SuperScan最初开始扫描的仅仅是那几个最普通的常用端口。原因是有超过65000个的TCP和UDP端口。若对每个可能开放端口的IP地址,进行超过130000次的端口扫描,那将需要多长的时间。因此SuperScan最初开始扫描的仅仅是那几个最普通的常用端口,但给学员