20、通过协议分析理解端口扫描原理.doc

20通过协议分析理解端口扫描原理 1.1. 概述 端口扫描通常利用 TCP、UDP 等方式去检测操作系统类型及开放的服务，为进一步的攻击做好准备。 通常，蠕虫病毒、网络攻击等常见影响网络安全的行为，都是从扫描开始的。所以，深入了解各种网络扫描 的工作原理及其表现特征，对网络管理者具有相当的实战意义。 NMAP 作为常见的网络扫描工具，内置了多种扫描方式，每种方式的工作原理不同，其数据包和通讯特 征也不尽相同；这里我们将通过网络分析软件对常见扫描方式进行分析和图形化的展现，以方便对这些扫描 方式进行深入的理解。 1.2. 扫描分析 1.2.1. TCP SYN 扫描 ? 扫描原理 TCP SYN 扫描应该是最受欢迎的扫描之一，其扫描速度快（每秒可以扫描数以千计的端口），兼容性好 （只要对端支持 TCP 协议栈即可），且不易被发现。 TCP SYN 扫描通常又叫―半开放‖扫描，因为它不必打开一个完整的 TCP 连接，它发送一个 SYN 包，就 像真的要打开一个连接一样，然后等待对端的反应。如果对端返回 SYN/ACK 报文则表示该端口处于监听状 态，此时，扫描端则必须再返回一个 RST 报文来关闭此连接；返回 RST 报文则表示该端口没有开放。 ? 深入理解 TCP SYN 扫描在科来网络分析中的视图表现：  （数据包统计） （TCP FLAG 统计）