通過協(xié)議分析理解端口掃描原理new

通過協(xié)議分析理解端口掃描原理new

ID:34452899

大?。?34.02 KB

頁數(shù):10頁

時(shí)間:2019-03-06

通過協(xié)議分析理解端口掃描原理new_第1頁
通過協(xié)議分析理解端口掃描原理new_第2頁
通過協(xié)議分析理解端口掃描原理new_第3頁
通過協(xié)議分析理解端口掃描原理new_第4頁
通過協(xié)議分析理解端口掃描原理new_第5頁
資源描述:

《通過協(xié)議分析理解端口掃描原理new》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。

1、通過協(xié)議分析理解端口掃描原理概述端口掃描通常利用TCP、UDP等方式去檢測(cè)操作系統(tǒng)類型及開放的服務(wù),為進(jìn)一步的攻擊做好準(zhǔn)備。通常,蠕蟲病毒、網(wǎng)絡(luò)攻擊等常見影響網(wǎng)絡(luò)安全的行為,都是從掃描開始的。所以,深入了解各種網(wǎng)絡(luò)掃描的工作原理及其表現(xiàn)特征,對(duì)網(wǎng)絡(luò)管理者具有相當(dāng)?shù)膶?shí)戰(zhàn)意義。NMAP作為常見的網(wǎng)絡(luò)掃描工具,內(nèi)置了多種掃描方式,每種方式的工作原理不同,其數(shù)據(jù)包和通訊特征也不盡相同;這里我們將通過網(wǎng)絡(luò)分析軟件對(duì)常見掃描方式進(jìn)行分析和圖形化的展現(xiàn),以方便對(duì)這些掃描方式進(jìn)行深入的理解。掃描分析TCPSYN掃描掃描原理TCPSYN掃描應(yīng)該是最受歡迎的掃描之一,其掃描速度快(每秒可以掃描數(shù)以千計(jì)的

2、端口),兼容性好(只要對(duì)端支持TCP協(xié)議棧即可),且不易被發(fā)現(xiàn)。TCPSYN掃描通常又叫“半開放”掃描,因?yàn)樗槐卮蜷_一個(gè)完整的TCP連接,它發(fā)送一個(gè)SYN包,就像真的要打開一個(gè)連接一樣,然后等待對(duì)端的反應(yīng)。如果對(duì)端返回SYN/ACK報(bào)文則表示該端口處于監(jiān)聽狀態(tài),此時(shí),掃描端則必須再返回一個(gè)RST報(bào)文來關(guān)閉此連接;返回RST報(bào)文則表示該端口沒有開放。深入理解TCPSYN掃描在科來網(wǎng)絡(luò)分析中的視圖表現(xiàn):(數(shù)據(jù)包統(tǒng)計(jì))(TCPFLAG統(tǒng)計(jì))科來軟件Tel:010-826018141/10www.colasoft.com.cnFax:010-82601614Email:sales@cola

3、soft.com.cn(診斷提示)(TCP會(huì)話統(tǒng)計(jì))(端口處于監(jiān)聽狀態(tài))(端口處于關(guān)閉狀態(tài))分析總結(jié)會(huì)話數(shù)據(jù)包總計(jì)為2個(gè)或3個(gè),2個(gè)包表示端口未開放,3個(gè)包表示端口開放;以固定端口與被掃描IP嘗試連接,且會(huì)話大多具有相同的特征;在TCPFlag統(tǒng)計(jì)中TCP同步位發(fā)送和TCP復(fù)位接收較多;小包多(<128字節(jié))。TCPconnect掃描掃描原理TCPconnect()掃描也是一種常見的掃描方式,它通過操作系統(tǒng)與目標(biāo)機(jī)器建立連接,而不是直接發(fā)送原始數(shù)據(jù)包,這與瀏覽器、P2P客戶端及其大多數(shù)網(wǎng)絡(luò)應(yīng)用程序一樣,建立連接由高層系統(tǒng)調(diào)用。執(zhí)行這種掃描的最大好處是無需root權(quán)限,但會(huì)在系統(tǒng)日志里

4、留下記錄,所以當(dāng)在日志系統(tǒng)里看到同一系統(tǒng)的大量連接嘗試,就應(yīng)該知道系統(tǒng)被掃描了。深入理解TCPCONNECT()掃描在科來網(wǎng)絡(luò)分析中的視圖表現(xiàn):(數(shù)據(jù)包統(tǒng)計(jì))科來軟件Tel:010-826018142/10www.colasoft.com.cnFax:010-82601614Email:sales@colasoft.com.cn(TCPFLAG統(tǒng)計(jì))(TCP會(huì)話統(tǒng)計(jì))(端口處于監(jiān)聽狀態(tài))分析總結(jié)1、會(huì)話數(shù)據(jù)包總計(jì)為2-6個(gè)不等,需查看數(shù)據(jù)信息確認(rèn)端口狀態(tài);2、以連續(xù)端口與被掃描IP嘗試連接,且會(huì)話大多具有相同的特征;3、在TCPFlag統(tǒng)計(jì)中TCP同步位發(fā)送和TCP復(fù)位接收較多,同時(shí)

5、會(huì)有少量的同步接受和復(fù)位包發(fā)送;4、小包多(<128字節(jié))。UDP掃描掃描原理UDP掃描通常與ICMP相結(jié)合進(jìn)行,它發(fā)送沒有攜帶任何數(shù)據(jù)的UDP數(shù)據(jù)包到目標(biāo)主機(jī),如果返回ICMP端口不可達(dá)(類型為3,代碼為3)提示,則表示目標(biāo)端口是關(guān)閉的,但主機(jī)是存活的;如果某服務(wù)響應(yīng)一個(gè)UDP報(bào)文,則表明該端口是開放的。當(dāng)然,UDP掃描存在瓶頸,那就是速度。很多主機(jī)默認(rèn)限制發(fā)送ICMP端口不可達(dá)信息,或者限制發(fā)包的頻率如Linux2.4.20內(nèi)核就只允許一秒鐘發(fā)送一條目標(biāo)不可達(dá)信息,這樣掃描65535個(gè)端口需要18小時(shí)的時(shí)間,這是不可接受的,所以加速UDP掃描的方法通常是并發(fā)掃描或先掃描主要端口。

6、深入理解UDP掃描在科來網(wǎng)絡(luò)分析中的視圖表現(xiàn):科來軟件Tel:010-826018143/10www.colasoft.com.cnFax:010-82601614Email:sales@colasoft.com.cn(會(huì)話統(tǒng)計(jì))(數(shù)據(jù)包分布)(診斷提示)(UDP會(huì)話統(tǒng)計(jì))(不攜帶數(shù)據(jù))分析總結(jié)1、會(huì)話數(shù)據(jù)包總計(jì)為1-2個(gè),通常情況1個(gè)表示端口關(guān)閉,2個(gè)或以上表示端口開放;2、以固定端口向被掃描IP發(fā)包,且會(huì)話大多具有相同的特征;3、大量的UDP小包,且不攜帶任何數(shù)據(jù)。NULL掃描掃描原理根據(jù)RFC793,主機(jī)發(fā)送一個(gè)沒有任何標(biāo)志位的TCP包,如果目標(biāo)主機(jī)的對(duì)應(yīng)端口是關(guān)閉的話,則會(huì)返

7、回一個(gè)RST數(shù)據(jù)包,如果沒有響應(yīng)則表示該端口是開放的。NULL掃描可以躲過無狀態(tài)防火墻和報(bào)文過濾路由器,且比SYN掃描要隱秘。值得注意的是并不是所有系統(tǒng)都遵循RFC793,一些系統(tǒng)不管端口是開放還是關(guān)閉都響應(yīng)RST數(shù)據(jù)包,如cisco設(shè)備、BSDI等。根據(jù)RFC793,類似的掃描還有FIN掃描、FIN+PSH+URG掃描。深入理解科來軟件Tel:010-826018144/10www.colasoft.com.cnFax:010-82601614Email

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無此問題,請(qǐng)放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負(fù)責(zé)整理代發(fā)布。如果您對(duì)本文檔版權(quán)有爭(zhēng)議請(qǐng)及時(shí)聯(lián)系客服。
3. 下載前請(qǐng)仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶請(qǐng)聯(lián)系客服處理。