实验六 端口扫描攻击检测.pdfVIP

实验六 端口扫描攻击检测 YYQ And LSX 实验六 端口扫描攻击检测 1、需求分析 针对内外网用户的恶意扫描检测，通过 snort 的端口扫描攻击检测，初步识别攻击的源 和目的地址，进行及时防御，将威胁降到最低，更好的保护公司单位网络的安全。 外网用户的恶意扫描探测 2、实验原理 2.1 端口扫描基本知识 端口扫描向目标主机的 TCP/IP 服务端口发送探测数据包，并记录目标主机的响应。通 过分析响应来判断服务端口是打开还是关闭，就可以得知端口提供的服务或信息。端口扫描 也可以通过捕获本地主机或服务器的流入流出 IP 数据包来监视本地主机的运行情况，他仅 能对接收的数据进行分析，帮助我们发现目标主机的某些内在的弱点，而不会提供进入一个 系统的详细步骤。 端口扫描技术行为作为恶意攻击的前奏，严重威胁用户的网络，snort 通过扫描的行为 特征准确地识别出恶意的扫描行为，并及时通知管理员。 常用的端口扫描技术： （1） TCP 端口连接扫描：这是最基本的 TCP 扫描。操作系统提供的 connect()系统 调用，用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态，那 么 connect()就能成功。否则，这个端口是不能用的，即没有提供服务。这个技术的一 个最大的优点是，你不需要任何权限。系统中的任何用户都有权利使用这个调用。另一 个好处就是速度。如果对每个目标端口以线性的方式，使用单独的 connect()调用，那 么将会花费相当长的时间，你可以通过同时打开多个套接字，从而加速扫描。使用非阻 塞I/O 允许你设置一个低的时间用尽周期，同时观察多个套接字。但这种方法的缺点是 很容易被发觉，并且被过滤掉。目标计算机的 logs 文件会显示一连串的连接和连接是 出错的服务消息，并且能很快的使它关闭。 （2 ） TCP SYN 扫描：这种技术通常认为是“半开放”扫描，这是因为扫描程序不必 要打开一个完全的TCP 连接。扫描程序发送的是一个 SYN 数据包，好象准备打开一个 实际的连接并等待反应一样（参考 TCP 的三次握手建立一个 TCP 连接的过程）。一个 SYN|ACK 的返回信息表示端口处于侦听状态。一个RST 返回，表示端口没有处于侦听态。 如果收到一个SYN|ACK，则扫描程序必须再发送一个RST 信号，来关闭这个连接过程。 这种扫描技术的优点在于一般不会在目标计算机上留下记录。但这种方法的一个缺点是， 必须要有root 权限才能建立自己的SYN 数据包。 （3 ） TCP FIN 扫描：有的时候有可能SYN 扫描都不够秘密。一些防火墙和包过滤器 会对一些指定的端口进行监视，有的程序能检测到这些扫描。相反，FIN 数据包可能会 没有任何麻烦的通过。这种扫描方法的思想是关闭的端口会用适当的RST 来回复FIN 数 据包。另一方面，打开的端口会忽略对FIN 数据包的回复。这种方法和系统的实现有一 定的关系。有的系统不管端口是否打开，都回复RST，这样，这种扫描方法就不适用了。 并且这种方法在区分Unix 和NT 时，是十分有用的。 （4 ） IP 段扫描：这种不能算是新方法，只是其它技术的变化。它并不是直接发送 TCP 探测数据包，是将数据包分成两个较小的 IP 段。这样就将一个TCP 头分成好几个 数据包，从而过滤器就很难探测到。但必须小心。一些程序在处理这些小数据包时会有 些麻烦。 （5 ） TCP 反向 ident 扫描：ident 协议允许(rfc1413)看到通过 TCP 连接的任何进程 的拥有者的用户名，即使这个连接不是由这个进程开始的。因此你能，举个例子，连接 1 / 3 实验六 端口扫描攻击检测 YYQ And LSX 到http 端口，然后用identd 来发现服务器是否正在以roo