以太网中网络扫描原理与检测
扫ip原理
扫ip原理扫描IP原理是通过网络工具或黑客技术,对给定范围内的IP地址进行探测和分析,以获取目标主机的相关信息。
下面是一些常见的IP扫描方法:1. Ping扫描:使用ICMP协议发送Ping请求,检测目标主机是否在线。
如果接收到回复,表示主机在线,否则则表示主机不可达。
2. SYN扫描:也称为半开放扫描,利用TCP协议中的SYN标志位进行扫描。
发送一个SYN数据包到目标主机的特定端口,如果目标主机返回一个SYN/ACK数据包,表示该端口是打开的;如果返回一个RST数据包,表示该端口是关闭的。
3. TCP连接扫描:与SYN扫描类似,但在收到SYN/ACK数据包后会发送一个ACK数据包进行握手,以获取完整的连接状态。
这种扫描方式常用于检测端口是否允许建立连接。
4. UDP扫描:对目标主机的指定端口发送UDP数据包,并根据回复的数据包来判断端口是否开放。
由于UDP协议无连接,因此无法像TCP扫描一样准确地确定端口的状态。
5. NULL扫描:发送一个没有设置任何标志位的TCP数据包到目标主机的端口,如果收到RST数据包,表示该端口是关闭的。
6. Xmas Tree扫描:发送一个设置了FIN、URG和PSH标志位的TCP数据包到目标主机的端口,如果收到RST数据包,表示该端口是关闭的。
7. IDLE扫描:通过利用具有正常流量特征的第三方主机进行扫描,以隐藏扫描者的身份。
这种扫描方式通常需要具备一些特殊的条件和配置。
以上是一些常见的IP扫描原理。
需要注意的是,未经授权进行IP扫描可能违反法律法规,因此在进行任何扫描活动之前请确保获得相关授权或法律许可。
局域网监听工作原理与常见防范措施
由于局域网中采用的是广播方式,因此在某个广播域中(往往是一个企业局域网就是一个广播域),可以监听到所有的信息报。
而非法入侵者通过对信息包进行分析,就能够非法窃取局域网上传输的一些重要信息。
如现在很多黑客在入侵时,都会把局域网扫描与监听作为他们入侵之前的准备工作。
因为凭这些方式,他们可以获得用户名、密码等重要的信息。
如现在不少的网络管理工具,号称可以监听别人发送的邮件内容、即时聊天信息、访问网页的内容等等,也是通过网络监听来实现的。
可见,网络监听如果用得不好,则会给企业的网络安全以致命一击。
一、局域网监听的工作原理要有效防止局域网的监听,则首先需要对局域网监听的工作原理有一定的了解。
知己知彼,百战百胜。
只有如此,才能有针对性的提出一些防范措施。
现在企业局域网中常用的网络协议是“以太网协议”。
而这个协议有一个特点,就是某个主机A如果要发送一个主机给B,其不是一对一的发送,而是会把数据包发送给局域网内的包括主机B在内的所有主机。
在正常情况下,只有主机B才会接收这个数据包。
其他主机在收到数据包的时候,看到这个数据库的目的地址跟自己不匹配,就会把数据包丢弃掉。
但是,若此时局域网内有台主机C,其处于监听模式。
则这台数据不管数据包中的IP地址是否跟自己匹配,就会接收这个数据包,并把数据内容传递给上层进行后续的处理。
这就是网络监听的基本原理。
在以太网内部传输数据时,包含主机唯一标识符的物理地址(MAC地址)的帧从网卡发送到物理的线路上,如网线或者光纤。
此时,发个某台特定主机的数据包会到达连接在这线路上的所有主机。
当数据包到达某台主机后,这台主机的网卡会先接收这个数据包,进行检查。
如果这个数据包中的目的地址跟自己的地址不匹配的话,就会丢弃这个包。
如果这个数据包中的目的地址跟自己地址匹配或者是一个广播地址的话,就会把数据包交给上层进行后续的处理。
在这种工作模式下,若把主机设臵为监听模式,则其可以了解在局域网内传送的所有数据。
网络测试仪工作原理
网络测试仪工作原理
网络测试仪通过发送特定的网络数据包来模拟各种网络环境,以测试网络设备、连接和性能。
它可以测量网络的延迟、带宽、丢包率和抖动等性能指标。
网络测试仪的工作原理如下:
1. 生成测试流量:网络测试仪能够生成各种类型的网络数据流量,如TCP、UDP、ICMP等。
这些流量可以模拟不同应用场
景下的真实网络环境。
2. 发送测试数据包:网络测试仪会将生成的测试流量以数据包的形式发送给目标设备或网络。
这些数据包携带了特定的测试信息,如源IP地址、目标IP地址、端口号等。
3. 监测网络性能:网络测试仪会监听发送的数据包,记录每个数据包的发送时间、到达时间和回应时间等信息。
通过对这些数据进行分析,可以测量网络的延迟、丢包率、带宽和抖动等指标。
4. 分析测试结果:网络测试仪会根据收集到的数据分析网络的性能。
它可以提供实时的网络性能指标,如平均延迟、最大带宽和丢包率等。
同时,它还可以生成详细的测试报告,帮助用户了解网络的健康状况和优化网络性能。
总的来说,网络测试仪通过生成测试数据流量并发送给目标设备,监测和分析数据的发送和回应时间等信息来测量网络的性
能。
它是一个有效的工具,可以帮助网络管理员和工程师诊断和解决网络问题,保证网络的正常运行。
网速测试原理
网速测试原理
网速测试原理是通过向目标服务器发送数据包,然后计算数据在传输过程中所需的时间来评估网络连接的速度。
一般来说,网速测试通过以下步骤实现:
1. 发送数据包:测试工具向目标服务器发送一个或多个数据包。
这些数据包的大小和数量可能根据测试工具的设置而有所不同。
2. 记录时间:测试工具记录数据包发送的开始时间和完成时间,或者记录数据包传输所需的总时间。
3. 计算传输速度:根据发送的数据包大小和数据传输所需的时间,测试工具计算出数据的传输速度。
通常,速度以每秒传输的数据量(比特或字节)表示。
4. 分析结果:测试工具可能还会提供更详细的数据,如延迟(即数据从发送到接收之间的时间延迟)、丢包率等信息。
这些数据有助于评估网络连接的稳定性和可靠性。
网速测试的原理基于数据的传输速度。
如果在数据传输过程中存在网络拥堵、带宽限制、信号干扰等问题,数据传输速度可能会受到影响,从而导致网速测试结果较低。
因此,网速测试结果应该作为评估当前网络连接质量的参考,而不是完全准确的指标。
网速测试可以帮助用户确定网络连接的速度,以及是否需要采取措施改善连接质量。
比如,如果测试结果显示连接速度较慢,
用户可以考虑升级网络服务、更换网络设备、优化网络设置等来提升网速。
网络嗅探技术和扫描技术
间可以有对机器进行数据传输并且数据是私有的。 网卡工作原理 再讲讲网卡的工作原理。网卡收到传输来的数据,网卡内的单片程序先接收数据头的 目的 MAC 地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接 收就在接收后产生中断信号通知 CPU,认为不该接收就丢弃不管,所以不该接收的数据网 卡就截断了,计算机根本就不知道。CPU 得到中断信号产生中断,操作系统就根据网卡驱 动程序中设置的网卡中断程序地址调用驱动程序接收数据, 驱动程序接收数据后放入信号堆 栈让操作系统处理。 局域网如何工作 数据在网络上是以很小的称为帧(Frame)的单位传输的帧由好几部分组成,不同的部分 执行不同的功能。 (例如, 以太网的前 12 个字节存放的是源和目的的地址, 这些位告诉网络: 数据的来源和去处。以太网帧的其他部分存放实际的用户数据、TCP/IP 的报文头或 IPX 报 文头等等) 。 帧通过特定的网络驱动程序进行成型, 然后通过网卡发送到网线上。 通过网线到达它们 的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并 告诉操作系统帧的到达,然后对其进行存储。就是在这个传输和接收的过程中,嗅探器会造 成安全方面的问题。 通常在局域网(LAN)中同一个网段的所有网络接口都有访问在物理媒体上传输的所有 数据的能力, 而每个网络接口都还应该有一个硬件地址, 该硬件地址不同于网络中存在的其 他网络接口的硬件地址,同时,每个网络至少还要一个广播地址。 (代表所有的接口地址) , 在正常情况下,一个合法的网络接口应该只响应这样的两种数据帧: 1、帧的目标区域具有和本地网络接口相匹配的硬件地址。 2、帧的目标区域具有“广播地址” 。 在接受到上面两种情况的数据包时, 网卡通过 cpu 产生一个硬件中断,该中断能引起操 作系统注意,然后将帧中所包含的数据传送给系统进一步处理。 当采用共享 HUB,用户发送一个报文时,这些报文就会发送到 LAN 上所有可用的机器。 在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的报文则不 予响应(换句话说,工作站 A 不会捕获属于工作站 B 的数据,而是简单的忽略这些数据) 。 如果局域网中某台机器的网络接口处于杂收(promiscuous)模式(即网卡可以接收其 收到的所有数据包,下面会详细地讲) ,那么它就可以捕获网络上所有的报文和帧,如果一 台机器被配置成这样的方式,它(包括其软件)就是一个嗅探器。 Sniffer Sniffer 原理 有了这 HUB、网卡的工作原理就可以开始讲讲 SNIFFER。首先,要知道 SNIFFER 要捕 获的东西必须是要物理信号能收到的报文信息。 显然只要通知网卡接收其收到的所有包 (一 般叫作杂收 promiscuous 模式:指网络上的所有设备都对总线上传送的数据进行侦听,并不 仅仅是它们自己的数据。 ) ,在共享 HUB 下就能接收到这个网段的所有包,但是交换 HUB 下就只能是自己的包加上广播包。 要想在交换 HUB 下接收别人的包,那就要让其发往你的机器所在口。交换 HUB 记住 一个口的 MAC 是通过接收来自这个口的数据后并记住其源 MAC ,就像一个机器的 IP 与 MAC 对应的 ARP 列表,交换 HUB 维护一个物理口(就是 HUB 上的网线插口,这之后提 到的所有 HUB 口都是指网线插口)与 MAC 的表,所以可以欺骗交换 HUB 的。可以发一个 包设置源 MAC 是你想接收的机器的 MAC, 那么交换 HUB 就把你机器的网线插的物理口与 那个 MAC 对应起来了,以后发给那个 MAC 的包就发往你的网线插口了,也就是你的网卡
计算机网络安全教程复习资料
PDRR保障体系:①保护(protect)采用可能采取的手段保障信息的保密性、完整性、可控性和不可控性。
②检测(Detect)提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性。
③反应(React)对危及安全的时间、行为、过程及时作出响应处理,杜绝危险的进一步蔓延扩大,力求系统尚能提供正常服务。
④恢复(Restore)一旦系统遭到破坏,尽快恢复系统功能,尽早提供正常的服务。
网络安全概述:1、网络安全的攻防体系:从系统安全的角度分为—攻击和防御(1)攻击技术①网络监听:自己不主动去攻击被人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
②网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
③网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。
④网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
⑤网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
(2)防御技术①安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
②加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。
③防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
④入侵检测:如果网络防线最终被攻破,需要及时发出呗入侵的警报。
⑤网络安全协议:保证传输的数据不被截获和监听。
2、网络安全的层次体系从层次体系上,网络安全分为:物理安全,逻辑安全,操作安全和联网安全。
1)物理安全:5个方面:防盗、防火、防静电、防雷击和防电磁泄漏。
2)逻辑安全:计算机的逻辑安全需要用口令、文件许可等方法实现。
3)操作系统安全:操作系统是计算机中最基本、最重要的软件,操作系统不允许一个用户修改另一个账户产生的数据。
(4)联网安全:访问控制服务:用来保护计算机和联网资源不被非授权使用。
通信安全服务:用来认证数据机要性和完整性,以及个通信的可依赖性。
网络信息安全课后习题答案
(3)隐藏策略。
(4)潜伏。
(5)破坏。
(6)重复以上五个步骤对新目标实施攻击过程
3.什么是木马?如何对木马进行检测、清除和防范?
特洛伊木马是一段能够实现有用的或必需的功能的程序,但是同时还完成一些不为人知的功能。
木马检测:端口扫描;检查系统进程;检查*.INI文件、注册表和服务;监视网络通信。
信息安全是确保存储或传送中的数据不被他人有意或无意地窃取和破坏。
区别:信息安全主要涉及数据的机密性、完整性、可用性,而不管数据的存在形式是电子的、印刷的还是其他的形式。
2.什么是网络安全?网络中存在哪些安全威胁?
网络安全是指网络系统的硬件、软件及其系统中的数据收到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
2.IPSec由哪几部分组成?各部分分别有哪些功能?
由管理模块、密钥分配和生成模块、身份认证模块、数据加密/解密模块、数据分组封装/分解模块和加密数据库组成
功能:
管理模块负责整个系统的配置和管理;
密钥管理模块负责完成身份认证和数据加密所需密钥的生成和分配;
身份认证模块完成对IP数据包数字签名的运算;
5.美国橘皮书(TCSEC)分为7个等级,它们是D、C1、C2、B1、B2、B3和A1级。
6.我国现行的信息网络法律体系框架分为4个层面,它们是一般性法律规定、规范和惩罚网络犯罪的法律、直接针对计算机信息网络安全的特别规定和具体规范信息网络安全技术、信息网络安全管理等方面的规定。
二、简答题
1.什么是信息安全?它和计算机安全有什么区别?
2.入侵检测系统的主要功能有(A、B、C、D)。
A.检测并分析系统和用户的活动B.检查系统配置和漏洞
第5章 网络侦查
1、进入木头超级字典生成工具集主界面,如图5-19所示。主要功能在主界面左侧按扭式排 列,可同时打开多个子窗口
图5-19 木头超级字典生成工具集主界面
2、启动捕获
• 单击“Capture”下的“Stop”,即停止捕获,可以分析捕获到的以太网帧,也可以在捕获的 同时进行分析
• 如图5-15所示,Wireshark可以帮助使用者分析多种协议
图5-15 Wireshark 协议分析图
5.3 口令破解
• 5.3.1 利用x-scan破解口令 • 5.3.2 利用木头超级字典生成器制作密码字典
第5章 网络侦查
• 5.1 网络扫描 • 5.2 网络嗅探 • 5.3 口令破解
案例一:一名男子认罪非法入侵天主教计算机造成 危害
被告MICHAEL LOGAN,34岁,2001年9月25日在美国三藩市认罪曾违法入侵一个受 保护的计算机网络因而带来危害。他被指控有二项起诉,一是非法进入一个计算机并带来危 害,另一为使用州际通信系统企图危害他人。在指控的犯罪中,Michael Logan承认在没有 任何授权的情况下,1999年11月28日,他进入了一个天主教西部健康关怀机构(“CHW”) 计算机系统。特别是,他承认他从事了计算机入侵,并且发送电子邮件给大约3万名 (“CHW”)员工和有关人员。这些邮件以一个(“CHW”)员工的名义发出,内容包含了对 这个被指名的员工和其他员工的侮辱性的句子。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
以太网中网络扫描原理与检测以太网中网络扫描原理与检测摘要:对网络扫描原理和现有基本方法进行了分析,并设计了一个陷阱机来检测所在网段中的网络扫描行为。
关键词:网络扫描网络扫描检测陷阱机网络扫描通过扫描本地主机,能检测主机当前可用的服务及其开放端口,帮助网络管理员查找安全漏洞,查杀木马、蠕虫等危害系统安全的病毒。
一些扫描器还封装了简单的密码探测,利用自定义规则的密码生成器来检测过于简单和不安全的密码。
网络扫描一般包括2个阶段:(1)对整个网络扫描一遍,从而找到活动主机(因为许多子网配置得很稀疏,大部分IP地址是空的)。
(2)对每个活动主机进行穷尽式的端口扫描。
网络扫描也是网络入侵的基础。
一次成功的网络入侵离不开周密的网络扫描。
攻击者利用网络扫描探知目标主机的各种信息,根据扫描的结果选择攻击方法以达到目的。
因此,若能及时监测、识别网络扫描,就能预防网络攻击。
为了得到被扫描主机的信息,网络扫描报文对应的源地址往往是真正的地址,因此监测网络扫描可以定位攻击者。
1网络扫描原理网络扫描通过检测目标主机TCP/IP不同端口的服务,记录目标给予的回答。
通过这种方法,可以搜集到很多目标主机的各种信息(如是否能用匿名登录,是否有可写的FTP目录,是否能用Telnet等)。
在获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后,与网络漏洞扫描系统提供的漏洞库进行匹配,如果满足匹配条件,则视为漏洞存在。
在匹配原理上,网络漏洞扫描器一般采用基于规则的匹配技术。
根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员关于网络系统安全配置的实际经验,形成一套标准的系统漏洞库,然后在此基础上构成相应的匹配规则,由程序自动进行系统漏洞扫描的分析工作。
如在对TCP 80端口的扫描过程中,发现/cgi-bin/phf或/cgi-bin/Count.cgi,则根据专家经验以及CGI程序的共享性和标准化,可以推知该WWW服务存在2个CGI漏洞。
1.1主机在线探测为了避免不必要的空扫描,在扫描之前一般要先探测主机是否在线。
其实现原理和常用的ping命令相似。
具体方法是向目标主机发送ICMP报文请求,根据返回值来判断主机是否在线。
所有安装了TCP/IP协议的在线网络主机,都会对这样的ICMP报文请求给予答复。
该方法不仅能探测主机是否在线,而且能根据ICMP应答报文的TTL(TTL是位于IP首部的生存时间字段)值来粗略分辨出目标主机操作系统,为下一步的扫描工作提供依据。
RFC793说明了TCP怎样响应特别的信息包:这些响应基于2个TCP状态,即关闭(CLOSED)和监听(LISTEN)。
RFC793描述了当一个端口在关闭状态时,必须采用下面的规则:(1)任意进入的包含RST标志的信息段(segment)将被丢弃。
(2)任意进入的不包含RST标志的信息段(如SYN、FIN和ACK)会导致在响应中回送一个RST。
当一个端口处于监听状态时,将采用下面的规则:(1)任意进入的包含RST标志的信息段将被忽略。
(2)任意进入的包含ACK标志的信息段将导致一个RST的响应。
如果SYN位被设置,且进入的信息段不被允许,则将导致一个RST的响应;若进入的信息段被允许,则将导致响应中发送一个SYN|ACK信息包。
这样,通过2个ACK信息包的发送就可以验证计算机是否处于在线状态。
1.2端口状态探测发送1个SYN包到主机端口并等待响应。
如果端口打开,则响应必定是SYN|ACK;如果端口关闭,则会收到RST|ACK响应。
这个扫描可以称为半打开(half-scan)扫描。
如NMAP(Network Mapper)在进行端口状态探测时会发送1个SYN包到主机,如果端口关闭就发送RST信息通知NMAP。
但如果NMAP发送SYN信息包到打开状态的端口,端口就会响应SYN|ACK信息包给NMAP。
当NMAP探测到SYN|ACK信息包后自动回应RST,并由这个RST断开连接。
一般情况下,计算机不会记录这种情况,但对于NMAP来说也已经知道端口是否打开或者关闭。
如果被扫描主机安装了防火墙则会过滤掉请求包,使发送者得不到回应,这时就需发送设置了TCP首部中标志位的FIN、PSH和URG位(其中FIN表示发端完成发送任务,PSH表示接收方应该尽快将这个报文段交给应用层,URG表示紧急指针有效)的echo request请求信息包。
因为一些配置较差的防火墙允许这些信息包通过。
1.3操作系统探测每个操作系统,甚至每个内核修订版本在TCP/IP栈方面都存在微小的差别,这将直接影响对相应数据包的响应。
如NMAP提供了一个响应列表,把所接收到的响应与表中的各项响应进行比较,如果能与某种操作系统的响应相匹配,就能识别出被探测主机所运行的操作系统的类型。
在进行网络入侵攻击时,了解操作系统的类型是相当重要的,因为攻击者可以由此明确应用何种漏洞,或由此掌握系统存在的弱点。
2主要扫描技术2.1TCP connect扫描这是最基本的TCP扫描。
利用操作系统提供的系统调用connect(),与每一个感兴趣的目标计算机的端口进行连接。
如果端口处于侦听状态,则connect()就能成功。
否则,该端口是不能用的,即没有提供服务。
该技术的优点是响应速度快,并且使用者不需要任何权限。
系统中的任何用户都有权利使用该调用。
另一个优点就是速度很快。
但缺点是容易被发觉,并且易被过滤掉。
使用该方法时目标计算机的logs文件会显示一连串的连接和连接时出错的服务消息,并且能很快将连接关闭。
2.2TCP SYN扫描TCP SYN扫描是半开放式扫描,扫描程序不必打开一个完全的TCP连接。
扫描程序发送的是SYN数据包。
返回RST,表示端口没有处于侦听状态;返回SYN/ACK信息表示端口处于侦听状态,此时扫描程序必须再发送一个RST信号来关闭这个连接过程。
这种扫描技术的优点是一般不会在目标计算机上留下记录。
但这种方法必须要有管理员权限才能建立自己的SYN数据包。
通常这个条件很容易满足。
2.3TCP FIN扫描有时SYN扫描不够秘密,防火墙和包过滤器就会对一些指定的端口进行监视,并能检测到这些扫描。
相反,FIN数据包可能会没有任何麻烦地被放行。
这种扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包;而打开的端口会忽略对FIN数据包的回复。
但这种方法和系统的实现有关。
有的系统不管端口是否打开,都回复RST,这时这种扫描方法就不适用了。
在区分Unix和NT操作系统时,这种方法是有效的。
2.4IP段扫描IP段扫描并不是直接发送TCP探测数据包,而是将数据包分成2个较小的IP段。
这样就将一个TCP头分成好几个数据包,从而很难探测到过滤器。
但必须小心,一些程序在处理这些小数据包时会丢弃。
2.5TCP反向ident扫描ident协议(RFC1413)允许看到通过TCP连接的任何进程的拥有者的用户名。
例如用户能连接到http端口,然后用identd来发现服务器是否正在以管理员权限运行。
这种方法只能在和目标端口建立了完整的TCP连接后才能使用。
2.6FTP代理间接扫描FTP协议支持代理(proxy)FTP连接,攻击者可以通过FTP server-PI(协议解释器)使源主机和目标主机建立控制通信连接。
然后,请求该server-PI激活一个有效的server-DTP(即数据传输进程)来给其他主机发送信息。
因此,攻击者可以用代理服务技术来扫描代理服务器所在网段主机的TCP端口。
这样,攻击者就可以绕过防火墙,通过连接到防火墙内部的一个FTP服务器进行端口扫描。
该方法的优点是很难被跟踪,能穿过防火墙;其缺点是速度很慢。
2.7UDP不可达扫描该方法与前述方法的不同之处在于使用的是UDP协议。
UDP协议对数据包的请求不回应,打开的端口对扫描探测不发送确认,关闭的端口也不发送错误数据包。
但是许多主机在用户向一个未打开的UDP端口发送数据包时,会返回一个ICMP_PORT_UNREACH错误信息。
这样攻击者就能判断哪些端口是关闭的。
UDP包和ICMP错误消息都不保证能到达。
因此,在扫描时必须在探测包看似丢失时重传。
RFC793对ICMP错误消息的产生速率做了规定,因此,这种扫描方法很慢。
当非管理员用户不能直接读取端口且不能到达错误信息时,Linux能间接地在它们到达时通知用户,如对一个关闭的端口的第2个write()调用将失败;在非阻塞的UDP套接字上调用recvfrom()时,如果ICMP出错信息还没有到达,则返回EAGAIN(重试),否则返回ECONNREFUSED(连接被拒绝)。
3网络扫描检测的实现因为网络扫描首先需要对整个网络扫描一遍,从而找到活动主机(因为许多子网配置得很稀疏,所以大部分IP地址是空的),然后对每个活动主机进行穷尽式的端口扫描。
因此可以设计一个网络陷阱机来检测网络扫描。
其原理与实现过程如下。
在网络陷阱机上虚拟多个IP地址,这些地址与需重点保护的主机的IP 地址相邻,并且服务与开放端口及需重点保护的主机相同。
网络陷阱机与交换机或路由器的映射端口(span port)相连,这样连接就能采集到流经整个网络的数据。
3.1数据包过滤数据包过滤的主要目的是缩减数据。
为了防止丢包,包过滤只做简单的基于包头内容的过滤(如IP地址、TCP/IP端口、TCP标志位等),去除不关心的网络数据包的数据而只留下其报头,并将其结果存入指定数据库。
经过包过滤之后的网络包数据量将大大减少。
包过滤规则的BNF范式描述如下:例如,在以下规则中:“{12,4}=={16,4}20”,表示若从第12字节偏移处开始的4个字节(源IP地址)等于从第16个字节偏移处开始的4个字节(目的IP地址),则将包的前20字节获取过来,而抛弃包的其余内容。
利用此语法定义的过滤规则简单且过滤条件基本上是简单的比较运算,适于计算机进行高效快速地处理。
3.2网络扫描检测检测程序对指定数据库文件进行分析。
当源地址连续相同的IP请求连接记录大于某一阀值时,则认为此地址的用户可能在扫描网络,这时将此地址上报给执行程序。
执行程序通过对可疑IP地址某一时间段内的所有记录进行分析,来发现网络扫描。
例如若发现可疑IP对其他主机进行了穷尽式的端口连接,则认为该IP地址用户在进行网络扫描。
但是隐蔽扫描的IP地址很可能是伪装的,且扫描时间也可能不连续,因此用上面的方法不一定能检测到隐蔽扫描。
网络扫描的目的是要发现网络中活动主机并找出其安全漏洞,因此服务与端口开放较多的重点保护主机是扫描者的重点对象。
检测程序对指定数据库文件进行分析,比较受保护主机的请求连接和网络陷阱机与之相近IP地址的请求连接,如在某时间段内的非常用连接相近,则认为此地址的主机可能被扫描。