WEB开发技术
题目:TCP端口探测
姓名:水雪利
班级:软件1102班
教师:朱辉
日期:2013/10/29
评价
内容一:端口及NetStat
端口用于标识应用层上进行通信的软件进程,取值范围:0-65535。
应用程序(调入内存运行后一般称为:进程)通过系统调用与某端口建立连接(binding,绑定)后,传输层传给该端口的数据都被相应的进程所接收,相应进程发给传输层的数据都从该端口输出。
在TCP/IP协议的实现中,端口操作类似于一般的I/O操作,进程获取一个端口,相当于获取本地唯一的I/O文件,可以用一般的读写方式访问类似于文件描述符,每个端口都拥有一个叫端口号的整数描述符,用来区别不同的端口。
由于TCP/IP传输层的TCP和UDP两个协议是两个完全独立的软件模块,因此各自的端口号也相互独立。如TCP有一个255号端口,UDP也可以有一个255号端口,两者并不冲突。
内容二:套接字编程
多个TCP连接或多个应用程序进程可能需要通过同一个TCP协议端口传输数据。应用层通过传输层进行数据通信时,TCP和UDP会遇到同时为多个应
用程序进程提供并发服务的问题。为了区别不同的应用程序进程和连接,许多计算机操作系统为应用程序与TCP/IP协议交互提供了称为套接字(Socket)的接口。
内容三:端口扫描器
端口扫描是指某些别有用心的人发送一组端口扫描消息,试图以此侵入某台计算机,并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关)。端口扫描是计算机解密高手喜欢的一种方式。攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上,端口扫描包括向每个端口发送消息,一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。
扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器你可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本!这就能让我们间接的或直观的了解到远程主机所存在的安全问题。
扫描器并不是一个直接的攻击网络漏洞的程序,它仅仅能帮助我们发现目标机的某些内在的弱点。一个好的扫描器能对它得到的数据进行分析,帮助我们查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。
扫描器应该有三项功能:发现一个主机或网络的能力;一旦发现一台主机,有发现什么服务正运行在这台主机上的能力;通过测试这些服务,发现漏洞的能力。
TCP connect扫描
扫描原理
TCP connect()扫描也是一种常见的扫描方式,它通过操作系统与目标机器建立连接,而不是直接发送原始数据包,这与浏览器、P2P客户端及其大多数网络应用程序一样,建立连接由高层系统调用。执行这种扫描的最大好处是无需
root权限,但会在系统日志里留下记录,所以当在日志系统里看到同一系统的大量连接尝试,就应该知道系统被扫描了。
TCP CONNECT()扫描在科来网络分析中的视图表现:
数据包统计
TCP FLAG统计
TCP 会话统计
端口处于监听状态
特点:
1、会话数据包总计为2-6个不等,需查看数据信息确认端口状态;
2、以连续端口与被扫描IP尝试连接,且会话大多具有相同的特征;
3、在TCP Flag统计中TCP同步位发送和TCP复位接收较多,同时会有少量的同步接受和复位包发送;
4、小包多(<128字节)。
内容四:防火墙设置
