通过协议分析理解端口扫描原理new

通过协议分析理解端口扫描原理new

ID:34452899

大小:534.02 KB

页数:10页

时间:2019-03-06

通过协议分析理解端口扫描原理new_第1页
通过协议分析理解端口扫描原理new_第2页
通过协议分析理解端口扫描原理new_第3页
通过协议分析理解端口扫描原理new_第4页
通过协议分析理解端口扫描原理new_第5页
资源描述:

《通过协议分析理解端口扫描原理new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、通过协议分析理解端口扫描原理概述端口扫描通常利用TCP、UDP等方式去检测操作系统类型及开放的服务,为进一步的攻击做好准备。通常,蠕虫病毒、网络攻击等常见影响网络安全的行为,都是从扫描开始的。所以,深入了解各种网络扫描的工作原理及其表现特征,对网络管理者具有相当的实战意义。NMAP作为常见的网络扫描工具,内置了多种扫描方式,每种方式的工作原理不同,其数据包和通讯特征也不尽相同;这里我们将通过网络分析软件对常见扫描方式进行分析和图形化的展现,以方便对这些扫描方式进行深入的理解。扫描分析TCPSYN扫描扫描原理TCPSYN扫描应该是最受欢迎的扫描之一,其扫描速度快(每秒可以扫描数以千计的

2、端口),兼容性好(只要对端支持TCP协议栈即可),且不易被发现。TCPSYN扫描通常又叫“半开放”扫描,因为它不必打开一个完整的TCP连接,它发送一个SYN包,就像真的要打开一个连接一样,然后等待对端的反应。如果对端返回SYN/ACK报文则表示该端口处于监听状态,此时,扫描端则必须再返回一个RST报文来关闭此连接;返回RST报文则表示该端口没有开放。深入理解TCPSYN扫描在科来网络分析中的视图表现:(数据包统计)(TCPFLAG统计)科来软件Tel:010-826018141/10www.colasoft.com.cnFax:010-82601614Email:sales@cola

3、soft.com.cn(诊断提示)(TCP会话统计)(端口处于监听状态)(端口处于关闭状态)分析总结会话数据包总计为2个或3个,2个包表示端口未开放,3个包表示端口开放;以固定端口与被扫描IP尝试连接,且会话大多具有相同的特征;在TCPFlag统计中TCP同步位发送和TCP复位接收较多;小包多(<128字节)。TCPconnect扫描扫描原理TCPconnect()扫描也是一种常见的扫描方式,它通过操作系统与目标机器建立连接,而不是直接发送原始数据包,这与浏览器、P2P客户端及其大多数网络应用程序一样,建立连接由高层系统调用。执行这种扫描的最大好处是无需root权限,但会在系统日志里

4、留下记录,所以当在日志系统里看到同一系统的大量连接尝试,就应该知道系统被扫描了。深入理解TCPCONNECT()扫描在科来网络分析中的视图表现:(数据包统计)科来软件Tel:010-826018142/10www.colasoft.com.cnFax:010-82601614Email:sales@colasoft.com.cn(TCPFLAG统计)(TCP会话统计)(端口处于监听状态)分析总结1、会话数据包总计为2-6个不等,需查看数据信息确认端口状态;2、以连续端口与被扫描IP尝试连接,且会话大多具有相同的特征;3、在TCPFlag统计中TCP同步位发送和TCP复位接收较多,同时

5、会有少量的同步接受和复位包发送;4、小包多(<128字节)。UDP扫描扫描原理UDP扫描通常与ICMP相结合进行,它发送没有携带任何数据的UDP数据包到目标主机,如果返回ICMP端口不可达(类型为3,代码为3)提示,则表示目标端口是关闭的,但主机是存活的;如果某服务响应一个UDP报文,则表明该端口是开放的。当然,UDP扫描存在瓶颈,那就是速度。很多主机默认限制发送ICMP端口不可达信息,或者限制发包的频率如Linux2.4.20内核就只允许一秒钟发送一条目标不可达信息,这样扫描65535个端口需要18小时的时间,这是不可接受的,所以加速UDP扫描的方法通常是并发扫描或先扫描主要端口。

6、深入理解UDP扫描在科来网络分析中的视图表现:科来软件Tel:010-826018143/10www.colasoft.com.cnFax:010-82601614Email:sales@colasoft.com.cn(会话统计)(数据包分布)(诊断提示)(UDP会话统计)(不携带数据)分析总结1、会话数据包总计为1-2个,通常情况1个表示端口关闭,2个或以上表示端口开放;2、以固定端口向被扫描IP发包,且会话大多具有相同的特征;3、大量的UDP小包,且不携带任何数据。NULL扫描扫描原理根据RFC793,主机发送一个没有任何标志位的TCP包,如果目标主机的对应端口是关闭的话,则会返

7、回一个RST数据包,如果没有响应则表示该端口是开放的。NULL扫描可以躲过无状态防火墙和报文过滤路由器,且比SYN扫描要隐秘。值得注意的是并不是所有系统都遵循RFC793,一些系统不管端口是开放还是关闭都响应RST数据包,如cisco设备、BSDI等。根据RFC793,类似的扫描还有FIN扫描、FIN+PSH+URG扫描。深入理解科来软件Tel:010-826018144/10www.colasoft.com.cnFax:010-82601614Email

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。