主机存活性判断实验.pdfVIP

主机存活性判断实验 应用场景 通过调用ping 命令来判断一台计算机是否存活是最基本的方法。如果想知道此时网络 上哪些主机正在运行。通过向指定的网络内的每个IP 地址发送ICMP echo 请求数据包，扫 描程序就可以完成这项任务。如果主机正在运行就会作出响应。然而，一些站点例如： 阻塞ICMP echo 请求数据包。然而，在默认的情况下扫描器也能够向80 端 口发送TCP ack 包，如果你收到一个RST 包，就表示主机正在运行。扫描器通常还会使用的 另一种技术是：发送一个SYN 包，然后等待一个RST 或者SYN/ACK 包。对于非root 用户， 扫描器使用connect()方法。root 用户下同时使用ICMP 和ACK 技术。 扫描器在默认的任何情况下都会进行ping 扫描，只有目标主机处于运行状态，才会进 行后续的扫描。但是可以强制关闭ping 扫描。 非ping 扫描使用connect()方法,这是最基本的TCP 扫描，实现方法最简单，直接连到 目标端口并完成一个完整的三次握手过程(SYN，SYN ／ACK 和 ACK)。Socket API 提供的 Connect( )系统调用，用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦 听状态，那么 Connect( )就能成功。否则，这个端口是不能用的，即没有提供服务。这个 技术的一个最大优点是不需要任何权限，系统中的任何用户都可以使用这个调用。另一个好 处就是速度。如果对每个目标端口以线性的方式，使用单独的Connect()调用，那么将会花 费相当长的时间，你可以通过同时打开多个套接字，从而加速扫描。这种扫描方法的缺点是 很容易被目标系统检测到，并且被过滤掉。目前的系统会对连接进行记录，因此目标计算机 的日志文件会显示大量密集的连接和连接出错的消息记录，并且能很快地使它关闭。如：TCP Wrapper 监测程序通常用来进行监测，可以对连接请求进行控制，所以它可以用来阻止来自 不明主机的全连接扫描。 VM Client VM Server 实验目标 1. 了解判断主机是否存活的基本方法与高级方法 2. 了解通过协议栈固有流程判断主机存活的方法 实验环境 虚拟机：Windows XP，SuperScan 软件 实验过程指导 1.使用windows 自带的ping 命令扫描目标计算机以判断该机是否在线 在本地主机打开命令行窗口，用ping 命令测试对象主机（可以选择启动Windows 虚拟 机为扫描对象）是否存活。 从上图中，可以看到目标主机有回复报文，说明该主机存活。 2．使用非windows 自带的ping 类型扫描目标计算机以判断该机是否在线 1) 在虚拟机上打开SuperScan 软件，填写扫描对象的IP 地址，并在其他选项卡中选择 合适的扫描选项，如下图所示。 2) 点击Host and Service Discovery 选项卡，在该选项卡中可以对扫描的UDP 和TCP 端 口进行选择，同时TCP 端口扫描的连接类型也可以选择。本实验选择的具体的配置 如下图所示： 3) 点击Scan Options 选项卡，具体的选项配置如下图所示： 4) 点击 Tools 选项卡，从如下图中可以看到有多种测试根据可以进行主机存活性的判 断。 5) 在各个选项卡的选项确定之后，单击扫描按钮进行扫描，可以得到如下图所示的扫 描结果： 此外，还可以通过分析扫描报告对目标主机做更进一步的分析，从而决定进一步的具体 操作。 6) 如果在目标主机上打开网络连接的防火墙，在桌面上选择“网上邻居”右键属性， 在本地连接上右键属性，再打开的选项卡上选择高级，单击设置按钮。此时再ping 目标主机，可以发现无法ping 通。 实验总结 本实验采用了windows 自带的ping 命令和SuperScan 软件进行了网络中主机存活性的 判断。在实际的网络中，可能有些目标主机无法 ping 通，但是这并不能够证明该主机就不 存活，有可能是由于目标主机可能阻塞了ping 报文等其他一些原因。这时可以采用如 X-Scan，SSS，NMap 等其它类型的扫描软件进行组合测试，以达到更为准确的判断。 思考实验 1) 针对通常扫描容易被发现的缺陷，有什么方法能够改善？ 2) 什么方法可以避免主机被网络中其他主