第5章入侵检测与防御技术学案.ppt

ICMP在沟通之中，主要是透过不同的类别(Type)与代码(Code) 让机器来识别不同的连线状况。 * * * * Ping是最基本的探测手段，Ping Sweep（Ping扫射）就是对一个网段进行大范围的Ping，由此确定这个网段的网络运作情况，比如著名的fping工具就是进行Ping扫射的。 对于小的或者中等网络使用Ping扫射这种方法来探测主机是一种比较可接受的行为，但对于一些大的网络如CLASS A、B，这种方法显得比较慢，原因是Ping在处理下一个之前将会等待正在探测主机的回应。 * * Non-ECHO ICMP技术不仅仅能探测主机，也可以探测网络设备如路由器 * * * * 端口扫描向目标主机的TCP/IP服务端口发送探测数据报，并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭，就可以得知端口提供的服务或信息。端口扫描也可以通过捕获本地主机或服务器的流入流出IP数据报来监视本地主机的运行情况，它仅能对接收到的数据进行分析，帮助发现目标主机的某些内在的弱点，而不会提供进入一个系统的详细步骤。 * connect()是一种系统调用，由操作系统提供，用来打开一个连接。 * * * 函数主要通过建立一个SOCKET，然后通过CONNECT方法测试端口是否打开。 * * TCP协议连接的三次握手过程： 首先客户端（请求方）在连接请求中，发送SYN=1，ACK