计算机网络安全教学课件作者鲁立07课件幻灯片.pptVIP

第7章 端口扫描技术 本章要点 ? TCP/IP工作原理。 ? 端口的概念以及各种端口扫描技术的工作原理。 ? 常见端口扫描工具应用方法。 ? 防范端口扫描技术的应用。 7.1 端口概述 7.1.1 TCP/IP工作原理 1．TCP/IP参考模型 TCP/IP参考模型来源于20世纪60年代末美国的一个网络分组交换研究项目，它是一系列网络协议的总称，这些协议使计算机之间可以进行信息交换。 TCP/IP参考模型分为4层，每一层负责不同的通信功能，从上到下依次为：应用层、传输层、Internet层、网络接入层 。 2．TCP与UDP TCP/IP参考模型的传输层包括TCP和UDP， TCP（Transmission Control Protocol）是传输控制协议，它提供可靠的、面向连接的传输服务，在传送数据前需要先建立连接，确认信息到达目的，并具有完善的错误检测与恢复、顺序控制和流量控制等功能 UDP（User Datagram Protocol）是用户数据报协议，它提供不可靠的、无连接的传输服务，在传送数据前不需要先建立连接，不确认信息是否到达。 3．TCP三次握手 三次握手（Three-way Handshaking）是指用TCP发送数据时事先通过三次通信建立连接，使收发双方同步，并交换TCP窗口大小信息。 TCP连接在发送新的数据之前都要通过三次握手进行初始化，将数据包以特定的顺序编号传输，并确认这些数据包是否到达目的地，以此提供可靠的数据传送。 TCP三次握手的过程 7.1.2 端口的定义 端口是专门为计算机通信而设计的，计算机通信离不开端口。 在计算机网络中，端口（Port）一般分为硬件端口和软件端口两种。集线器、交换机、路由器这类网络设备上用于连接到其他网络设备的接口称为硬件端口。 套接字由IP地址和端口两部分组成，这里的端口就是软件端口。软件端口通常指网络服务、通信协议的端口，是逻辑上的概念，定义了计算机之间通过软件方式的通信。 7.1.3 端口的分类 1．根据端口的性质划分 （1）公认端口 （2）注册端口 （3）动态和私有端口 2．根据提供的服务方式划分 （1）TCP端口 （2）UDP端口 7.2 端口扫描技术 7.2.1 端口扫描概述 1．端口扫描原理 端口扫描（Port Scanning）是一种通过连接到目标计算机的TCP和UDP端口来确定目标计算机上运行的进程和服务的方法。 2．端口扫描目的和用途 1）能识别在线的一台计算机或多台计算机组成的网络。 2）能识别计算机上启用的服务、开放的端口。 3）能识别计算机上操作系统类型、系统信息。 4）能识别计算机上应用程序和特定服务的版本。 5）能识别计算机的系统漏洞、软件漏洞。 7.2.2 常见的端口扫描技术 1．TCP全连接扫描 2．TCP同步序列号扫描（SYN扫描） 3．TCP结束标志扫描（FIN扫描） 4．TCP connect（）扫描 5．IP段扫描 6．ICMP echo扫描 7．UDP ICMP端口不能到达扫描 8．代理扫描 7.3 常见扫描软件及其应用 7.3.1 扫描软件概述 扫描软件是基于扫描技术开发出来的一种自动检测本地或远程计算机安全性弱点的程序。 7.3.2 SuperScan扫描工具及应用 SuperScan 是一款免费的功能比较强大的扫描工具。SuperScan能够帮助网管员发现网络中的弱点，以便采取相应的措施。 基本使用方法见课本。 7.4 端口扫描防御技术应用 7.4.1 查看端口的状态 1．用netstat命令查看 在DOS命令提示符界面中，输入“netstat –an”，“Proto”代表协议，“Local Address”代表本机地址，该地址冒号后的数字就是开放的端口号；“Foreign Address”代表远程计算机地址，如果和其他机器正在通信，显示的就是对方的地址。 2．用软件工具TCPView查看 TCPView v3. 02是一款Sysinternals开发的绿色软件，在主界面中它能显示本机连接进程所对应的端口的状态，且在Windows 2000/XP/2003操作系统中会直接显示该程序的系统图标，TCPView能随着系统状态的变化而动态更新。 7.4.2 关闭闲置和危险的端口 1．关闭闲置的服务 在Windows NT系列操作系统中，打开“控制面板”→“管理工具”→“服务”，找到计算机中未被使用的服务，选择该服务后单击鼠标右键，在弹出的快捷菜单中选择“停止”命令，将这些服务关闭，其对应的端口也会被关闭。 2．设置“TCP/IP筛选”关闭端口 打开“本地连接属性”对话框，双击“Internet协议（TCP/IP）”，单击“高级”按钮，在弹出的对话框中