扫描与防御技术研究.ppt

网络扫描 VS. 入室盗窃窥探 端口扫描技术 TCP/IP协议提出的端口是网络通信进程与外界通讯交流的出口，可被命名和寻址，可以认为是网络通信进程的一种标识符。 进程通过系统调用与某端口建立连接绑定后，便会监听这个端口，传输层传给该端口的数据都被相应进程所接收，而相应进程发给传输层的数据都从该端口输出。 互联网上的通信双方不仅需要知道对方的IP地址，也需要知道通信程序的端口号。 端口扫描技术 目前IPv4协议支持16位的端口，端口号范围是0～65535。其中，0～1023号端口称为熟知端口，被提供给特定的服务使用；1024～49151号端口称为注册端口，由IANA记录和追踪；49152～65535号端口称为动态端口或专用端口，提供给专用应用程序。 许多常用的服务使用的是标准的端口，只要扫描到相应的端口，就能知道目标主机上运行着什么服务。端口扫描技术就是利用这一点向目标系统的TCP/UDP端口发送探测数据包，记录目标系统的响应，通过分析响应来查看该系统处于监听或运行状态的服务。 Windows本身自带的netstat命令 Netstat 显示协议统计和当前的 TCP/IP 网络连接。 命令格式 netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval] Netstat参数 -a 显示所有连接和侦听端口。服务器连接