通过协议分析理解端口原理.pdfVIP

通过协议分析理解端口扫描原理 概述 端口扫描通常利用TCP、UDP 等方式去检测操作系统类型及开放的服务，为进一步的攻击做好准备。通常，蠕虫病毒、网 络攻击等常见影响网络安全的行为，都是从扫描开始的。所以，深入了解各种网络扫描的工作原理及其表现特征，对网络管 理者具有相当的实战意义。 NMAP 作为常见的网络扫描工具，内置了多种扫描方式，每种方式的工作原理不同，其数据包和通讯特征也不尽相同；这 里我们将通过网络分析软件对常见扫描方式进行分析和图形化的展现，以方便对这些扫描方式进行深入的理解。 扫描分析 TCP SYN 扫描 扫描原理 TCP SYN 扫描应该是最受欢迎的扫描之一，其扫描速度快（每秒可以扫描数以千计的端口），兼容性好（只要对端支持TCP 协议栈即可），且不易被发现。 TCP SYN 扫描通常又叫“半开放”扫描，因为它不必打开一个完整的TCP 连接，它发送一个SYN 包，就像真的要打开一个 连接一样，然后等待对端的反应。如果对端返回SYN/ACK 报文则表示该端口处于监听状态，此时，扫描端则必须再返回一 个RST 报文来关闭此连接；返回RST 报文则表示该端口没有开放。 深入理解 TCP SYN 扫描在科来网络分析中的视图表现： （数据包统计） （TCP FLAG 统计） 科来软件 Tel ：010 1/ 10 Fax ：010 Email ：sales@ （诊断提示） （TCP 会话统计） （端口处于监听状态） （端口处于关闭状态） 分析总结 会话数据包总计为2 个或3 个，2 个包表示端口未开放，3 个包表示端口开放； 以固定端口与被扫描IP 尝试连接，且会话大多具有相同的特征； 在TCP Flag 统计中TCP 同步位发送和TCP 复位接收较多； 小包多（128 字节）。 TCP connect 扫描 扫描原理 TCP connect()扫描也是一种常见的扫描方式，它通过操作系统与目标机器建立连接，而不是直接发送原始数据包，这与浏 览器、P2P 客户端及其大多数网络应用程序一样，建立连接由高层系统调用。执行这种扫描的最大好处是无需root 权限， 但会在系统日志里留下记录，所以当在日志系统里看到同一系统的大量连接尝试，就应该知道系统被扫描了。 深入理解 TCP CONNECT()扫描在科来网络分析中的视图表现： （数据包统计） 科来软件 Tel ：010 2/ 10 Fax ：010 Email ：sales@ （TCP FLAG 统计） （TCP 会话统计） （端口处于监听状态） 分析总结 1、会话数据包总计为2-6 个不等，需查看数据信息确认端口状态； 2、以连续端口与被扫描IP 尝试连接，且会话大多具有相同的特征； 3、在TCP Flag 统计中TCP 同步位发送和TCP 复位接收较多，同时会有少量的同步接受和复位包发送； 4、小包多（128 字节）。 UDP 扫描 扫描原理 UDP 扫描通常与ICMP 相结合进行，它发送没有携带任何数据的UDP 数据包到目标主机，如果返回ICMP 端口不可达（类 型为3，代码为3 ）提示，则表示目标端口是关闭的，但主机是存活的；如果某服务响应一个UDP 报文，则表明该端口是 开放的。 当然，UDP 扫描存在瓶颈，那就是速度。很多主机默认限制发送ICMP 端口不可达信息，或者限制发包的频率如Linux2.4.20 内核就只允许一秒钟发送一条目标不可达信息，这样扫描65535 个端口需要18 小时的时间，这是不可接受的，所以加速 UDP 扫描的方法通常是并发扫描或先扫描主要端口。 深入理解 UDP 扫描在科来网络分析中的视图表现： 科来软件 Tel ：010 3/ 10 Fax ：010 Email ：sales@ （会话统计） （数据包分布） （诊断提示） （UDP 会话统计） （不携带数据） 分析总结 1、会话数据包总计为1-2 个，通常情况1 个表示端口关闭，2 个或以上表示端口开放； 2、以固定端口向被扫描IP 发包，且会话大多具有相同的特征； 3、大量的UDP 小包，且不携带任何数据。 NULL 扫描 扫描原理 根