欢迎来到天天文库
浏览记录
ID:38415091
大小:2.30 MB
页数:69页
时间:2019-06-12
《端口与系统漏洞检测》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、系统安全检测是系统管理员必须要做的一项工作,当一个系统架设好后,系统的管理和维护就是系统管理员的主要任务了。为了能更好地防御黑客攻击,系统管理员必须要学会像黑客攻击那样对系统进行安全检测的方法,然后根据得到的检测结果进行相关的安全设置。因此,系统管理员必须要熟练掌握常用的系统检测工具,本章介绍了几款不错的安全检测工具,包括端口扫描、插件扫描和系统漏洞扫描。本章概述第4章端口扫描与系统漏洞检测第4章端口扫描与系统漏洞检测4.2端口扫描工具4.3插件扫描4.4系统安全检测4.1扫描原理4.5小结4.1扫描原理绝大多数应用程序都运行在TCP或
2、UDP协议之上,这些协议是众多应用程序使用的传输机制。端口扫描就是通过扫描主机确定哪一些TCP和UDP端口可以访问的过程。TCP数据包的6个标志位(代表了不同的数据包)具体如下:URG:紧急数据包ACK:确认(应答数据包)PSH:将数据强制压入缓冲区RST:连接复位(断开连接)SYN:连接请求FIN:TCP连接结束4.1.1一次完整的TCP连接TCP报文格式4.1扫描原理4.1.1一次完整的TCP连接4.1扫描原理TCP是可靠的面向连接的协议,传输数据报之前,必须先采用“三次握手”的方式建立传输连接。TCP协议同样采用客户机/服务器模式
3、。客户机:主动发起建立连接请求的主机。服务器:等待并接受连接建立请求的主机。4.1.1一次完整的TCP连接图4-1TCP三次握手过程常见的端口扫描类型有以下几种:TCPConnect()扫描SYN扫描NULL扫描FIN扫描ACK扫描Xmas-Tree扫描Dumb扫描4.1.2端口扫描类型与原理4.1扫描原理1.TCPConnect()扫描这种扫描试图与每一个TCP端口进行“三次握手”通信,如果能够成功建立连接,则证明端口开放,否则为关闭。优点:准确性高缺点:最容易被防火墙或入侵检测系统检测到,而且在目标主机的日志中会记录大批连接请求以及
4、错误信息。4.1.2端口扫描类型与原理4.1扫描原理2.SYN扫描这种扫描隐蔽一些,仅仅发送初始的SYN数据包给目标主机,如果端口处于开放状态,那么目标主机将响应SYN-ACK数据包;如果端口处于关闭状态,则目标主机响应RST数据包。优点:能躲开某些防火墙的检测缺点:许多IDS能够检测到SYN扫描4.1.2端口扫描类型与原理4.1扫描原理3.NULL扫描(反向扫描)这种扫描将一个没有设置任何标志位的数据包发送给TCP端口。正常的TCP通信中,至少要设置标志位。根据RFC793的要求,端口关闭的状态下,若收到没设置标志位的数据字段,则接收
5、主机应该丢弃这个分段,并返回一个RST数据包,否则不会响应。优点:可以辨别某台主机运行的是哪种操作系统。缺点:使用NULL扫描要求所有主机都必须符合RFC793标准,但现实中Windows系统主机并不遵从RFC793标准(不管端口是否开放,收到无标志位的数据包时都返回RST数据包),故精确度相对低一些。4.1.2端口扫描类型与原理4.1扫描原理4.FIN扫描(反向扫描)这种扫描将一个设置了FIN标志的数据包发送给目标主机的每一个端口。端口关闭的状态下,若收到设置FIN标志位的数据字段,则接收主机返回一个RST数据包,否则不会响应,则表示
6、端口开放。优点:更隐蔽一些。缺点:现实中Windows系统主机并不遵从RFC793标准,故精确度相对低一些。4.1.2端口扫描类型与原理4.1扫描原理5.ACK扫描这种扫描使用响应包来发现防火墙的配置信息。如果某个端口被防火墙过滤,那么就不会返回数据包。若没被过滤,则返回RST数据包。通过侦听RST数据包,可了解哪些端口被防火墙过滤,哪些端口没有被防火墙过滤。优点:常用于穿越防火墙的规则集。4.1.2端口扫描类型与原理4.1扫描原理6.Xmas-Tree扫描(圣诞树扫描)这种扫描发送带有URG、PSH、FIN三种标志的TCP数据包。正常
7、的TCP连接不应该同时设置这3个标志。优点:能识别部分端口是否关闭。缺点:依然不能确定Windows平台上端口的关闭与开放。4.1.2端口扫描类型与原理4.1扫描原理7.Dump扫描(哑扫描,Idle扫描或反向扫描)这是另一种扫描方法,在扫描目标主机的过程中,它使用第三方的僵尸计算机作为“哑”主机进行扫描。僵尸主机是一台被入侵的空闲主机。典型情况下,这台主机并不存储敏感数据,对这样的主机的访问通常不引人注目。在Idle扫描中,僵尸主机向目标主机发SYN包,目标主机根据端口的不同状态,发送不同的回应:端口开放时回应SYN/ACK,端口关闭
8、时回应RST。僵尸主机对SYN/ACK回应RST,对RST不回应。因此,通过监控僵尸主机的发包数量就可以知道目标主机端口的状态。优点:隐蔽性强,该扫描不是发自自己的计算机,而是发自某个僵尸主机。4.1.2端
此文档下载收益归作者所有