信息安全原理与实践第11章端口扫描与网络侦听.ppt

　　端口扫描程序对于系统管理人员，是一个非常简便实用的工具。端口扫描程序可以帮助系统管理员更好地管理系统与外界的交互。当系统管理员扫描到Finger服务所在的端口号(79/tcp)时，假如原来端口是关闭的，现在又被扫描到，则说明有人非法取得了系统管理员的权限，改变了inetd.conf文件中的内容。因为这个文件只有系统管理员可以修改，这说明系统的安全正在受到侵犯。 　　最简单的端口扫描程序仅仅是检查一下目标主机在哪些端口可以建立TCP连接。如果可以建立连接，则说明该主机在那个端口监听。当然，这种端口扫描程序不能进一步确定端口提供什么样的服务，也不能确定该服务是否有众所周知的那些缺陷。 　　对于非法入侵者而言，要想知道端口上具体是什么服务，必须用相应的协议来验证才能确定。因为一个服务进程总是为了完成某种具体的工作而设定的，比如说，文件传输服务有文件传输的一套协议，客户端只有按照这个协议提供正确的命令序列，才能完成正确的文件传输服务。使用端口扫描器对目标系统执行端口扫描时至少能达到以下目的：标识运行在目标系统上的TCP和UDP服务；标识目标系统的操作系统类型；标识特定应用程序或特定服务的版本。常见的扫描方法有TCP Connect()、TCP SYN、TCP FIN、TCP ACK及UDP扫描等。 11.1.2 网络侦听 　　所谓网络侦听，是指利用先进的技术和手段，发现和捕获网络设