项目5网络攻击与安全防御;;小明是网络中心管理员,发现网络中心Web服务器出现掉线现象,严重影响访问。通过数据包分析软件捕获数据,发现有很多异常数据包攻击Web服务器,初步判断有病毒在网络传播,需要确认病毒类型,采用有针对性策略,保护Web服务器安全。;Linux和Windows系统都存在安全漏洞。要想发现漏洞,就用到工具:扫描器。如果希望查看什么病毒攻击服务器,通过扫描器查看服务器端口,了解进出端口信息,判断攻击类型。;5.2.1了解计算机的端口
端口”是网络设备通信出口。计算机可以提供许多服务,如Web服务、FTP服务等。主机怎样区分不同服务?
就引入端口机制,每个端口对应服务,由一个整数标识,称端口号。如80,139,445等。;5.2.1了解计算机的端口
2.端口的作用
主机IP地址可以映射65536个(即:2^16)端口。国际标准化组织规定标准端口号范围0到1023,提供常见服务。;5.2.1了解计算机的端口
2.端口作用
入侵者用网络扫描器软件,对目标主机端口扫描,确定哪些端口是开放、哪些端口有漏洞。从开放端口知道目标计算机提供服务,猜测可能存在漏洞。;5.2.2认识网络扫描器
1.什么是网络扫描器
网络扫描器一般是黑客进行网络攻击前的重要预备工具。网络扫描器自动检测远程或本地主机安全漏洞,能提供自动、快速而准确检测功能。;5.2.2认识网络扫描器
1.什么是网络扫描器
网络扫描器和网络监听工具一样,也是网络管理员重要工具,帮助网络系统管理员掌握系统安全状况,也是日常工作中的必备工具。;5.2.2认识网络扫描器
2.网络扫描器的功能
常见的网络扫描器的主要功能列举如下。
(1)检测目标主机是否在线。
(2)扫描目标系统开放的端口,有的还可以测试端口的服务信息。
(3)获取目标操作系统的敏感信息。
(4)破解系统口令。
(5)扫描其他系统的敏感信息。;5.2.2认识网络扫描器
3.常用扫描器工具
网络上扫描器工具很多,有的DOS下运行,有的提供图形用户界面。;5.2.3了解网络扫描的技术原理
网络扫描探测目标网络,找出尽可能多目标;进一步探测目标系统开放端口、操作系统类型、运行服务、存在安全弱点等信息。;5.2.3了解网络扫描的技术原理
扫描器通过收集系统信息,自动检测远程或本地主机安全性弱程序:发现目标主机或网络。然后,进一步搜集目标信息:操作系统类型、运行服务以及软件版本等。最后,判断系统存在安全漏洞。
;5.2.3了解网络扫描的技术原理
1.TCP全连接扫描
TCP全连接扫描利用TCP三次握手,与目标主机建立正常TCP连接,判断指定端口是否开放。这种方法缺点是:容易被记录或被检测。;5.2.3了解网络扫描的技术原理
1.TCP全连接扫描
扫描器发送SYN数据包,当目标设备回复SYN+ACK时,即代表端口开放。;5.2.3了解网络扫描的技术原理
2.TCPSYN扫描
主机向服务器发送SYN+Port21数据包,如果服务器拒绝开放远程登录端口21,远程服务器发送RST给目标主机,拒绝连接。如果无法连接,说明该端口关闭。;5.2.3了解网络扫描的技术原理
2.TCPSYN扫描
主机向服务器发送SYN+Port80数据包,远端主机开放该端口,则回应SYN/ACK信息给主机,建立通信服务。根据回应数据段,判断服务器端口是否开放。;5.2.3了解网络扫描的技术原理
3.TCPACK扫描
向目标主机发送ACK包,如果收到RST包,说明该端口没有被防火墙屏蔽。;5.2.3了解网络扫描的技术原理
3.TCPACK扫描
没有收到RST包,说明被屏蔽。该方式确定防火墙是否屏蔽某个端口,辅助TCPSYN判断目标主机防火墙状况。;5.2.3了解网络扫描的技术原理
4.TCPFIN扫描
本地主机向目标主机发送FIN=1,如果远端目标服务器端口开放,则丢弃此包不回应。;5.2.3了解网络扫描的技术原理
4.TCPFIN扫描
如果远端主机未开放,返回一个RST包。FIN扫描通过发送FIN反馈,判断远端目标服务器的端口是否开放。;5.2.3了解网络扫描的技术原理
5.UDPICMP扫描
UDP扫描利用UDP协议,向目标主机一个未打开UDP端口,发数据包,收到“ICMP:portunreachable”信息,说明该端口关闭。;5.2.3了解网络扫描的技术原理
5.UDPICMP扫描
没有收到回复,说明UDP端口可能是开放的。通过反向排除法,断定哪些UDP端口是开放状态。;5.2.3了解网络扫描的技术原理
6.ICMP扫描
ICMP扫射(ICMPsweep)探测多个主机地址是否处于活动状态,向多个目标