端口扫描技术的分析.pdfVIP

L网络纵横! 主些如李雪革~007穿草i呈现豆豆重 端口扫描技术的分析 赵永且也 宋伟 (绵阳师范学院} 摘要本文章半停了魏口t3~荡技术的概念和分桑，讨论了各类魏口434键技术及部分技术约实现，并对比了它们的优缺点寸 关键词编口扫描直接扫描间接扫描隐藏扫描 蟠口扫撼技术是一项自动检illiJ本地表i远程系统编口开放情况的 策略及方法，通过靖U扫描iif判断抖标系统运行的程序、识到树标 系统的操作系统类型及版本号。也可通过捕获本地::ttlL或服务嚣的 流入流出IP数据包来监视本地主机的运行情况，入佼者如呆想要知 道目标主机都开放了哪妓端口，提供了哪些服务，稼先要对民标玄 机的境口滋行被察，也就是网络扫撼。 1 蜡口扫描 瑞口扫描可分为直接扫描、隐藏扫描、间接扫描秘其它扫拢。 (1)A接扫描是基本扫捷方式，现有的1I接扫描有τCP connec的扫描和TCP反IliJindeot扫描等。其原理分别如下所述z TCPCoo阳的扫描z 利用的是连到目标端口并完成一个完蜂 的三次握孚过程(SYN ， SYN/ACK和lAC邸，调崩操作系统提供的 Co嚣nect()，与民标计算貌的编口进行连接。首先攻击者向民标编日 发送一个探测数据包SYN，如果收到来自剖标端U的SYN/ACK数 据包回应，那么瑞口处于侦昕状态，获取了端U状态。建立足接 成功如下因(a)所示。 {墨i) (b) ττ?因m时州注毒者与黯栋主祝建立连接踊 如巢端口处于关闭状态，则当攻击者lúJ J:j标主机发送探测数据 包后，目标::t机将返刷一个RST/ACK的数据包.然后再1:1 扫描::t 貌发送RST的J?l应，结束磐个过程，童辑部(b)所示，这种扫描的优点 是首先系统中的任意泊户可连接而满nh 缺点是很容易被判标系统 检测，目标ìt算机的日志文件有大量连接出错记斌，并且能很快将 它关闭， TCP反向ident扫描:i伽t协议可看到通过TCP.连接的1进程的周 户名，主n1M户连接到捕魏口，那么可郑ídeot来发现辍务器是沓以越 级权限运行。该方法仅在和目标端U建立.TCP.连接后才能看到自 (2) 隐藏扫描 蟠口扫撤容易被在端口处所监听的服务吕忘记录:这些服务梭 测到-个没有任何数据的连接进入端U，就记录下一个日志错溪， 但有的带有特殊标记的数据包不会被系统检测到，这依赖于系统的 安全部署情况，丽隐藏扫描是一种不被审ìt工具所检测的扫描技 术，现有的路藏扫描有TCPAN扫描、 TCPACK扫J峰、 TCP分段扫 籍和SYN/ACK扫描等a 规范单介绍TCPAN扫描t πPAN扫描:对某端口发送-1-TCP FlN数据包给目标主饥。 如果主机没有任何反应，那么这个主机是存在的， jfij且正在监听这 个瑞口;::t统反馈-个TCPRST，那么说明该主机是存在的. {延缓 没有鳖哥哥这个端口，离于这种技术不包含标准的TCP.三次握手协议 的任何部分，所以无法被记录，从而比SYN扫描隐敝很多。这种扫 描方法的算法思想是关阔的端口会用适当的RST来临l复FIN数据 包ε 另一方#露，打开的虽说口会忽略对FIN数据包的树绽。这种方法 和系统实现有一定约关系，有的系绞不管端u是苦苦打开，董事树复 R盯，此时这种扫描方法就不适用了。这种扫描技术用F1N数据创 来探昕蝙口。当一个FIN数据包到这一个关阔的端日，数据包会被 丢掉，并且会返回-个汉S如数据包。否则，当一个FIN数据包到这 一个打开的端口时，数据也只是简单的丢掉。优点缝能躲避防火糖 和日志审汁，从而知道目标瑞口的开放情况，没有包含TCP3次搬 手协议的任何部分，所以无法被记朵，国此比半连接扫描要史为隐 蔽。缺点、是扫描给熬的不可苦苦役增大，而且扫襟主貌也需梁自己梅 造数据也 阴间接扫描 翁端口扫描没有完成一个完籍的TCP连接，在扫描主机和H标 主饥的一指定端口建立连接时只完成了前两次握手，在进行第3步 衍，扫描主机向抖标主替战送了…?-RST数据包，而不是ACK数据 包，扫描主机中断了此次连接，使在接没有完全建立起来.这样有 可能会选成拒绝服务攻击。此种端口扫描称为半连接扫描.通常也 称为间接扫描。现有的半连接扫德有TCPSYN扫格等。貌简单介 绍TCPSYN扫描z 在这种技术中，扫描主机通过发送SYN数据段到目标::t帆的选 择端口。如果应答是RST，那么说明端口关削:如果应答中包含 SYN秘ACK. 说嗨民标端口处于打开状态。似于在SYN扫始时， 全连续说来建立，所以这种技术通常被称为学打开扫描。这猝扫描 的优点是通常都不会被主机记录边接，有利于不被发现。缺点是在 很多操作系统下.扫描主tlL需要构造适用于这种扫描的IP创，刷一 般情况下，构造良己的SYN数据忽必须要有超级权限。 (4) 其它扫描 肝P协议支