日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

安全第一 網(wǎng)絡(luò)端口掃描技術(shù)介紹( 四 )

云知道


2:BOGUS標(biāo)記探測(cè)
3:TCP ISN 取樣
4:TCP 初始窗口
5:ACK值
6:ICMP錯(cuò)誤信息
7:ICMP信息
8:服務(wù)類型
9:TCP選項(xiàng)
【安全第一 網(wǎng)絡(luò)端口掃描技術(shù)介紹】二:全TCP連接和SYN掃描器
全TCP連接
全TCP連接是長(zhǎng)期以來(lái)TCP端口掃描的基礎(chǔ) 。掃描主機(jī)嘗試(使用三次握手)與目的機(jī)指定端口建立建立正規(guī)的連接 。連接由系統(tǒng)調(diào)用connect()開(kāi)始 。對(duì)于每一個(gè)監(jiān)聽(tīng)端口,connect()會(huì)獲得成功,否則返回-1,表示端口不可訪問(wèn) 。由于通常情況下,這不需要什么特權(quán),所以幾乎所有的用戶(包括多用戶環(huán)境下)都可以通過(guò)connect來(lái)實(shí)現(xiàn)這個(gè)技術(shù) 。
這種掃描方法很容易檢測(cè)出來(lái)(在日志文件中會(huì)有大量密集的連接和錯(cuò)誤記錄) 。Courtney,GabrIEl和TCP Wrapper監(jiān)測(cè)程序通常用來(lái)進(jìn)行監(jiān)測(cè) 。另外,TCP Wrapper可以對(duì)連接請(qǐng)求進(jìn)行控制,所以它可以用來(lái)阻止來(lái)自不明主機(jī)的全連接掃描 。
TCP SYN掃描
在這種技術(shù)中,掃描主機(jī)向目標(biāo)主機(jī)的選擇端口發(fā)送SYN數(shù)據(jù)段 。如果應(yīng)答是RST,那么說(shuō)明端口是關(guān)閉的,按照設(shè)定就探聽(tīng)其它端口;如果應(yīng)答中包含SYN和ACK,說(shuō)明目標(biāo)端口處于監(jiān)聽(tīng)狀態(tài) 。由于所有的掃描主機(jī)都需要知道這個(gè)信息,傳送一個(gè)RST給目標(biāo)機(jī)從而停止建立連接 。由于在SYN掃描時(shí),全連接尚未建立,所以這種技術(shù)通常被稱為半打開(kāi)掃描 。SYN掃描的優(yōu)點(diǎn)在于即使日志中對(duì)掃描有所記錄,但是嘗試進(jìn)行連接的記錄也要比全掃描少得多 。缺點(diǎn)是在大部分操作系統(tǒng)下,發(fā)送主機(jī)需要構(gòu)造適用于這種掃描的IP包,通常情況下,構(gòu)造SYN數(shù)據(jù)包需要超級(jí)用戶或者授權(quán)用戶訪問(wèn)專門的系統(tǒng)調(diào)用 。
三:秘密掃描與間接掃描
秘密掃描技術(shù)
由于這種技術(shù)不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分,所以無(wú)法被記錄下來(lái),從而必SYN掃描隱蔽得多 。另外,F(xiàn)IN數(shù)據(jù)包能夠通過(guò)只監(jiān)測(cè)SYN包的包過(guò)濾器 。
秘密掃描技術(shù)使用FIN數(shù)據(jù)包來(lái)探聽(tīng)端口 。當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口,數(shù)據(jù)包會(huì)被丟掉,并且回返回一個(gè)RST數(shù)據(jù)包 。否則,當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)打開(kāi)的端口,數(shù)據(jù)包只是簡(jiǎn)單的丟掉(不返回RST) 。
Xmas和Null掃描是秘密掃描的兩個(gè)變種 。Xmas掃描打開(kāi)FIN,URG和PUSH標(biāo)記,而Null掃描關(guān)閉所有標(biāo)記 。這些組合的目的是為了通過(guò)所謂的FIN標(biāo)記監(jiān)測(cè)器的過(guò)濾 。
秘密掃描通常適用于Unix目標(biāo)主機(jī),除過(guò)少量的應(yīng)當(dāng)丟棄數(shù)據(jù)包卻發(fā)送reset信號(hào)的操作系統(tǒng)(包括CISCO,BSDI,HP/UX,MVS和IRIX) 。在Windows95/NT環(huán)境下,該方法無(wú)效,因?yàn)椴徽撃繕?biāo)端口是否打開(kāi),操作系統(tǒng)都發(fā)送RST 。
跟SYN掃描類似,秘密掃描也需要自己構(gòu)造IP 包 。
間接掃描
間接掃描的思想是利用第三方的IP(欺騙主機(jī))來(lái)隱藏真正掃描者的IP 。由于掃描主機(jī)會(huì)對(duì)欺騙主機(jī)發(fā)送回應(yīng)信息,所以必須監(jiān)控欺騙主機(jī)的IP行為,從而獲得原始掃描的結(jié)果 。間接掃描的工作過(guò)程如下:
假定參與掃描過(guò)程的主機(jī)為掃描機(jī),隱藏機(jī),目標(biāo)機(jī) 。掃描機(jī)和目標(biāo)記的角色非常明顯 。隱藏機(jī)是一個(gè)非常特殊的角色,在掃描機(jī)掃描目的機(jī)的時(shí)候,它不能發(fā)送任何數(shù)據(jù)包(除了與掃描有關(guān)的包) 。
四:認(rèn)證掃描和代理掃描
認(rèn)證掃描
到目前為止,我們分析的掃描器在設(shè)計(jì)時(shí)都只有一個(gè)目的:判斷一個(gè)主機(jī)中哪個(gè)端口上有進(jìn)程在監(jiān)聽(tīng) 。然而,最近的幾個(gè)新掃描器增加了其它的功能,能夠獲取監(jiān)聽(tīng)端口的進(jìn)程的特征和行為 。
認(rèn)證掃描是一個(gè)非常有趣的例子 。利用認(rèn)證協(xié)議,這種掃描器能夠獲取運(yùn)行在某個(gè)端口上進(jìn)程的用戶名(userid) 。認(rèn)證掃描嘗試與一個(gè)TCP端口建立連接,如果連接成功,掃描器發(fā)送認(rèn)證請(qǐng)求到目的主機(jī)的113TCP端口 。認(rèn)證掃描同時(shí)也被成為反向認(rèn)證掃描,因?yàn)榧词棺畛醯腞FC建議了一種幫助服務(wù)器認(rèn)證客戶端的協(xié)議,然而在實(shí)際的實(shí)現(xiàn)中也考慮了反向應(yīng)用(即客戶端認(rèn)證服務(wù)器) 。

推薦閱讀