TCP端口检测实验报告.doc

WEB开发技术 题目：TCP端口探测 姓 名：水雪利 班 级：软件1102班 教 师：朱辉 日 期：2013/10/29 评 价  内容一：端口及NetStat 端口用于标识应用层上进行通信的软件进程，取值范围：0-65535。 应用程序（调入内存运行后一般称为：进程）通过系统调用与某端口建立连接（binding，绑定）后，传输层传给该端口的数据都被相应的进程所接收，相应进程发给传输层的数据都从该端口输出。 在TCP/IP协议的实现中，端口操作类似于一般的I/O操作，进程获取一个端口，相当于获取本地唯一的I/O文件，可以用一般的读写方式访问类似于文件描述符，每个端口都拥有一个叫端口号的整数描述符，用来区别不同的端口。 由于TCP/IP传输层的TCP和UDP两个协议是两个完全独立的软件模块，因此各自的端口号也相互独立。如TCP有一个255号端口，UDP也可以有一个255号端口，两者并???冲突。 内容二：套接字编程 多个TCP连接或多个应用程序进程可能需要通过同一个 TCP协议端口传输数据。应用层通过传输层进行数据通信时，TCP和UDP会遇到同时为多个应用程序进程提供并发服务的问题。为了区别不同的应用程序进程和连接，许多计算机操作系统为应用程序与TCP/IP协议交互提供了称为套接字(Socket)的接口。 内容三：端口扫描器 端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型（这些网络服务均与端口号相关）。端口扫描是计算机解密高手喜欢的一种方式。攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上，端口扫描包括向每个端口发送消息，一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。 扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器你可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本！这就能让我们间接的或直观的了解到远程主机所存在的安全问题。 扫描器并不是一个直接的攻击网络漏洞的程序，它仅仅能帮助我们发现目标机的某些内在的弱点。一个好的扫描器能对它得到的数据进行分析，帮助我们查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。 扫描器应该有三项功能：发现一个主机或网络的能力；一旦发现一台主机，有发现什么服务正运行在这台主机上的能力；通过测试这些服务，发现漏洞的能力。 TCP connect扫描 扫描原理 TCP connect()扫描也是一种常见的扫描方式，它通过操作系统与目标机器建立连接，而不是直接发送原始数据包，这与浏览器、P2P客户端及其大多数网络应用程序一样，建立连接由高层系统调用。执行这种扫描的最大好处是无需root权限，但会在系统日志里留下记录，所以当在日志系统里看到同一系统的大量连接尝试，就应该知道系统被扫描了。 TCP CONNECT()扫描在科来网络分析中的视图表现： 数据包统计 TCP FLAG统计 TCP 会话统计 端口处于监听状态 特点： 1、会话数据包总计为2-6个不等，需查看数据信息确认端口状态； 2、以连续端口与被扫描IP尝试连接，且会话大多具有相同的特征； 3、在TCP Flag统计中TCP同步位发送和TCP复位接收较多，同时会有少量的同步接受和复位包发送； 4、小包多（128字节）。 内容四：防火墙设置