网络攻击与防御 第2章扫描与防御技术.ppt

端口扫描技术 TCP/IP协议提出的端口是网络通信进程与外界通讯交流的出口，可被命名和寻址，可以认为是网络通信进程的一种标识符。 进程通过系统调用与某端口建立连接绑定后，便会监听这个端口，传输层传给该端口的数据都被相应进程所接收，而相应进程发给传输层的数据都从该端口输出。 互联网上的通信双方不仅需要知道对方的IP地址，也需要知道通信程序的端口号。 端口扫描技术 目前IPv4协议支持16位的端口，端口号范围是0～65535。其中，0～1023号端口称为熟知端口，被提供给特定的服务使用；1024～49151号端口称为注册端口，由IANA记录和追踪；49152～65535号端口称为动态端口或专用端口，提供给专用应用程序。 许多常用的服务使用的是标准的端口，只要扫描到相应的端口，就能知道目标主机上运行着什么服务。端口扫描技术就是利用这一点向目标系统的TCP/UDP端口发送探测数据包，记录目标系统的响应，通过分析响应来查看该系统处于监听或运行状态的服务。 认证(ident)扫描 在端口扫描中，利用这一协议，扫描程序先主动尝试与目标主机建立起一个TCP连接（如Http连接等），连接成功之后，它向目标主机的TCP 113端口建立另一连接，并通过该连接向目标主机的ident服务发送第一个TCP连接所对应的两个端口号。如果目标主机安装并运行了ident服务，那么该服务将向扫描程序返回相关联的进程的