播控计算机端口扫描在实践应.docVIP

播控计算机端口扫描在实践应随着视频压缩技术和计算机技术的高速发展，视频服务器和RAID技术不断成熟，电视播出系统也逐渐从传统AV电视技术平台过渡到以网络为基础的IT信息技术平台。目前播出系统设备都普遍采用计算机技术，尤其是硬盘播出系统更具有网络化、流程化和自动化等特点，因此播出部门的安全播出管理措施也必须适应数字播控系统而做出相应的改变。 1.端口扫描原理 端口扫描是指利用某些漏洞（可能是系统的，也可能来自TCP/IP协议簇本身），获取远程网络设备所运行服务的一种技术。也就是说，扫描器并不是一个直接的攻击网络漏洞的程序，它仅仅能帮助发现目标机的某些内在的弱点。因此，端口扫描通常是黑客攻击和入侵的前奏。本文通过配置路由器列表，屏蔽相应的端口，从而实现了对常见病毒的防御。 2.TCP握手机制 TCP（传输控制协议）提供一种面向连接的、可靠的字节流服务（广播和多播不能用于TCP）。而目前，大多数端口扫描技术都是基于TCP/IP协议簇中的TCP握手机制来实现的。两个使用TCP的应用（通常是一个客户和一个服务器）在彼此交换数据之前必须先在双方建立一个TCP连接，建立需要通过三次握手。其中TCP首部格式如图1所示： 在TCP的首部格式中，有6个标志位，它们中的多个可同时被设置为1，其简单用法如下： URG－紧急指针有效；ACK－确认序号有效；PSH－接受方序号有效；RST－重建连接；SYN－同步序号用来发起一个连接；FIN－发端完成发送任务。 正是利用这些标志位，TCP实现了各种各样的握手。 （2）常用的端口扫描技术 正是基于以上这种TCP握手机制，产生许多端口扫描技术，先将主要的介绍如下： ①TCP connect（）扫描 这是最基本的TCP扫描。操作系统提供的connect（）系统调用，用来与目标计算机端口进行连接。若端口处于侦听状态，则connect（）就能成功；否则，该端口是不能用的，即没有提供服务。但这种方法的缺点是很容易被发觉，并且被过滤掉。目标计算机的日志文件会记录这种信息，并能很快使它关闭。 ②TCP SYN扫描 这种技术通常认为是“半开放”扫描，这是因为扫描程序不必要打开一个完全的TCP连接。扫描程序发送的是一个SYN数据包，好像准备打开一个实际的连接并等待反应一样。若目前主机返回SYN｜ACK信息，则表示端口处于侦听状态；若返回RST，则表示端口没有关闭状态。而扫描程序收到一个SYN｜ACK，则发送一个RST信号，来关闭这个连接过程。 ③TCP FIN扫描 这种扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包；另一方面，打开的端口会忽略对FIN数据包的回复。但是，这种方法和系统的实现有一定的关系。有的系统不管端口是否打开，都回复RTS，这样，这种扫描方法就不适用了。 ④TCP反向ident扫描 ident协议允许（RFC1413）看到通过TCP连接的任何进程的拥有者的用户名，即使这个连接不是由这个进程开始的。比如，连接到http端口80，然后用ident来发现服务器是否正在以root权限运行。这种方法只能和目标端口建立了一个完整的TCP连接后才能看到。 2.端口扫描的防御 针对TCP握手机制的端口扫描，防御可以分为主机级和网络级两类。 （1）主机级防御 主机级的防御主要是做好自己的主机不被黑客用作攻击的跳板。这主要利用一些日志工具，定期做好网络数据的分析和备份来实现。这种工具软件可通过网上安全下载，也可自己编程实现。 （2）网络级防御 从某种意义上说，网络安全重在管理。当前情况下，主要通过以下两方面的措施来做好网络级防御：①通过路由器（或防火墙）过滤掉源地址是内部网络的外来包；②通过路由器（或防火墙）过滤掉源地址不是内部网络的输出包。当然，一种较好的方法是采用入侵检测系统（IDS）。例如开放源码的Bro，不仅免费，还可以针对自己特定的网络对之进行细调。 笔者在对本台的电视播控计算机局域网管理中，通过在Cisco路由器上加载路由器列表，禁止相应的端口，实现了对常见病毒的防御。其列表信息如下： ip access-list extended FireWall deny tcp any any eq 444 deny udp any any eq tftp deny tcp any any eq 135 deny udp any any eq 135 deny tcp any any eq 139 deny udp any any eq 139 deny tcp any any eq 445 deny udp any