文档介绍:信息平安实验报告(一)
学院:计算机科学与信息学院 专业: 网络工程 班级:网络092
姓名
王荣森
学号
0908060386
实验组
实验时间
指导教师
王晓鹏
成绩
实验***工具是指通过网络检测远程目标网络和主机系统所存在漏洞的扫描工具。本实验主要针对网络***工具进行。
端口的根底知识
端口是TCP协议中所定义的,TCP协议通过套接字〔Socket〕建立两台计算机之间的网络连接。套接字采用[IP地址:端口号]的形式来定义,通过套接字中不同的端口号可以区别同一台计算机上开启的不同TCP和UDP连接进程。对于两台计算机间的任意一个TCP连接,一台计算机的一个[IP地址:端口]套接字会和另一台计算机的一个[IP:端口]套接字相对应,彼此标识着源端、目的端上数据包传输的源进程和目标进程。这样网络上传输的数据包就可以由套接字中的IP地址和端口号找到需要传输的主机和连接进程了。由此可见,端口和效劳进程一一对应,通过扫描开放的端口,就可以判断出计算机正在运行的效劳程序。
TCP/UDP的端口号在0~65535范围之内,其中1024以下的效劳保存给常用的网络效劳。例如,21端口为TCP效劳,23端口为TELNET效劳,25端口为SMTP效劳,80端口为HTTP效劳,110端口为POP3效劳等。
扫描的原理
〔1〕TCP全连接扫描
TCP全连接扫描是利用TCP的三次握手,与目标主机建立正常的TCP连接,以判断指定端口是否开放。这种方法的缺点是非常容易被记录或者被检测出来。
〔2〕TCP SYN扫描
本地主机向目标主机发送SYN数据段,如果远端目标主机端口开放,那么回应SYN=1,ACK=1,此时本地主机发送RST给目标主机,拒绝连接。如果远端主机端口未开
放,那么会回应RST给本地主机。由此可知,根据回应的数据段可以判断目标主机的端口是否开放。由于TCP SYN扫描并没有建立TCP正常连接,所以降低了被发现的可能,同时提高了扫描性能。
〔3〕TCP FIN扫描
本地主机向目标主机发送FIN=1,如果远端目标主机端口开放,那么丢弃此包,不回应;如果远端主机未开放,那么返回一个RST包。FIN扫描通过发送FIN的反应判断远端目标主机的端口是否开放。由于这种扫描方法没有涉及TCP的正常连接,所以使扫描更隐秘,也称为秘密扫描。这种方法通常适用于Unix操作系统主机,但有的操作系统〔如Windows NT〕不管端口是否翻开,都回复RST,此时这种方法就不适用了。
〔4〕UDP ICMP扫描
这种方法利用了UDP协议,当向目标主机的一个未翻开的UDP端口发送数据包时,会返回一个ICMP_PORT_UNREACHABLE错误,这样就会发现关闭的端口。
〔5〕ICMP扫描
这种扫描方法利用了ICMP协议的功能,如果向目标主机发送一个协议项存在错误的IP数据包,那么根据反应的ICMP错误报文,判断目标主机使用的效劳。
〔6〕间接扫描
入侵者间接利用第三方主机进行扫描,以隐藏真正入侵者的痕迹。第三方主机是通过其他入侵方法控制主机的,扫描的最终结果会从第三方主机发送给真正的入侵者。
扫描往往是入侵的前奏,所以如何有效的屏蔽端口,保护自身计算机的平安,成为计算机管理人员首要考