“端口侦听”与“端口”研究.docVIP

“端口侦听”与“端口扫描”研究 §鎏 信息安全倡思蚤全 端口侦听与端口扫描研究 铁道警官高等专科学校杨成卫 摘要:本文首先阐释了端口的概念;然后对端口侦听和端口扫描进行对比分析,并且重点阐释了 端口侦听与端口扫描的基本原理;最后给出用端口扫描原理实现网络监控的试验程序. 关键词:端口端口扫描端口侦听协议网络监控 网络监察是公安部门对网络管理的重要手段, 它在网络监管,保护网上用户,打击网络犯罪等有 着重要的作用.有必要从端口侦听与端口扫描 原理上研究网络监察技术,本文就这些方面进行探 讨. 一 ,端口概述 主机端口是英文Port的义译,端口是主机与 外界通讯交流的数据出入口,端口又分为硬件端口 和软件端口,所谓硬件端口又称为接口,包括:USB 端口,串行端口,并行端口等.软件领域的端口一般 指网络中面向连接服务(TCP)和无连接服务(UDP) 的通讯协议的端口. TCMP协议在网络层是无连接的(数据包只管 往网上连接,如何传出和到达以及是否到达由网络 设备来管理),而端1:3是传输层的内容,是面向连接 的.协议里面小于1024的端1:3号的端1:3都有确切的 定义和规定,它们是因特网上常见的一些服务端口, 这些常用的服务端口又分为TCP端口和UI3P端口. 传输层与网络层最大的区别是传输层提供过程 通讯能力,网络通讯的最终地址不仅包括主机地址 还包括可以描述过程的某种标识,而过程就是调入 内存运行的应用程序,可以认为TCP/IP协议提供的 端1:3是网络通讯过程的一种标识符,应用程序通过 系统调用与某端口建立连接后,那么传输给该端口 的数据都被相应的过程接收,相应的过程发给传输 层的数据都从该端口输出.在TCP/IP协议的实现 中,端口操作类似于一般的bO操作进程,获得一个 22警察技术2006/3 端口相当于获取本地唯一的bO文件可以用一般的 读写方式访问. 通过编程方式可以实现端口重定向,即把一 个端口指向一个地址,即赋给服务.端口在计算机 编程上就是Socket(套接字)接1:3. 二,端口侦听与端口扫描 端口侦听与端口扫描是黑客攻击和防护黑客攻 击常用的两种端口技术,在黑客攻击中利用它们准 确的寻找攻击目标,获取有用信息.而在个人即网 络防护方面通过这种端口技术可以及时的发现黑客 的攻击及一些安全漏洞. 端口侦听与端口扫描是有异同的.相同点,都 可以达到监视端口的目的,不同点,端口侦听利用某 个程序对目标主机监视,查看该主机上哪些端口是 空闲的,是可利用的.通过侦听还可以捕获别人有 用的信息,如黑客用之获得用户口令,发现端口空闲 便可入侵.对于保护自己主机来说也是非常有用的, 可以侦听自己对主机选定端口进行监视,这样可以 发现并拦截黑客的攻击.而端1:3扫描(Portscaning) 是通过与目标主机的TCP/IP端口建立连接并请求 某些服务,记录目标主机的应答,收集目标主机相关 信息(如匿名用户是否可以登录等),从而发现目标 主机某些内在的安全弱点,并且确定该端口什么服 务正在进行并获取该服务的信息. 在网络中当信息进行传播的时候可以利用工具 (软件),将网络接1:3设置在侦听模式,进而将网络中 正在传输的信息截获和捕获. 三,端口侦听与端口扫描原理 以太网(Ethernet)协议的工作方式是将要发送 的数据包发往连接在一起的所有主机.在包的头部 中包含有接收数据包的主机的地址,因此只有和该 数据包中目标地址一致的那台主机才能接收数据 包.但是若某主机工作在侦听模式下,不管数据包 中目标地址是什么,该主机可以接收.当同一网络 中的两台主机通信时,源主机把写有目标主机地址 的数据包直接发往目的主机.当网络中某台主机同 外界(非本网)的主机通信时,源主机将写有目的主 机IP地址的数据包发往网关,但这种数据包并不能 在协议栈的高层直接发送出去,要发往的数据包必 须从TCP/IP协议层交给网络接口——数据链路层. 网络接口不能识别IP地址,在网络接口中由IP协 议层来的带有IP地址的数据包又增加了以太网的 帧头信息,在帧头中有两个域:有网络接口层才能识 别的源主机和目的主机的物理地址(MAC地址),这 是一个48位(bit)地址,这个48位的地址与IP地址 相对应.换句话说,一个IP也对应一个物理地址.对 于网关主机,由于它连接多个网络,它也就同时具备 多个IP地址,每个网络也有一个IP地址.而发往网 络外的帧中携带该网关的物理地址. 以太网中填写了物理地址的帧从网络端口 (或网关端口)发送出去传到物理媒介线路上.如 果局域网是由一条粗同轴电缆或细同轴电缆连接 的,那么数字信号在电缆上传输就能到达线路上 的每一台主机.但用集线器(HUB)的时候,发送出 去的信号到集线器,由集线器再发给连接在集线 器上的每一条线路.这样在物