計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)和端口掃描技術(shù)畢業(yè)設(shè)計(jì)

1、計(jì)算機(jī)網(wǎng)絡(luò)平安中防火墻技術(shù)和端口掃描技術(shù)鐘德懿西南林學(xué)院 計(jì)算機(jī)與信息科學(xué)系，云南 昆明 650224摘要：進(jìn)入21世紀(jì)，隨著Internet的開(kāi)展，以Internet為平臺(tái)的信息技術(shù)進(jìn)入了新的時(shí)代，而網(wǎng)絡(luò)平安技術(shù)作為網(wǎng)絡(luò)技術(shù)中的重要組成局部也迎來(lái)了新的挑戰(zhàn)。網(wǎng)絡(luò)平安技術(shù)是伴隨著網(wǎng)絡(luò)的誕生而出現(xiàn)的, 90年代在國(guó)外獲得了飛速的開(kāi)展，近幾年頻繁出現(xiàn)的平安事故引起了各國(guó)計(jì)算機(jī)平安界的高度重視，計(jì)算機(jī)網(wǎng)絡(luò)平安技術(shù)也因此出現(xiàn)了日新月異的變化。本文主要針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)平安中的各種技術(shù)作了初步探討，特別是防火墻技術(shù)和端口掃描技術(shù)。并在相關(guān)理論的指導(dǎo)下自行開(kāi)發(fā)了一個(gè)由本地監(jiān)視，端口掃描，Ping主機(jī)等功能組成

2、的程序。此程序是在的環(huán)境下開(kāi)發(fā)的，主要應(yīng)用了WINDOWS操作系統(tǒng)下的網(wǎng)絡(luò)編程接口和VB6.0里的Winsock控件，程序中調(diào)用了大量的WINDOWS API。在文中具體描述了實(shí)現(xiàn)過(guò)程中采用的有關(guān)的技術(shù)，并給出了程序中的各個(gè)功能模塊以及設(shè)計(jì)思路和重要代碼。關(guān)鍵詞：網(wǎng)絡(luò)平安 端口掃描 防火墻 網(wǎng)絡(luò)協(xié)議 WINSOCK WINDOWS API The Technology Of Firewall and Ports-scan in Computer Network SecurityDeyi Zhong(Dept. of Computer and Information Science, South

3、west Forestry College, Kunming, Yunan, 650224, China)Abstract:Entering 21st century, with the development of Internet, The information technology taking Internet as platform entered new era, and network safe practice meet and bring the new challenge as important component of network technology too,T

4、he technology of network security has come forth with the network born. It developed rapidly overseas in the 1990s. The secure accident came recently caused to be placed importance by compute secure filed. So the technology of network security has taken a new look. This paper mainly discusses all ki

5、nds of technology of network security at first, especially about the technology of firewall and ports-scan. Based on correlative theory I develops a simple program about local listening, ports-scan, Ping Host-computer. this Procedure develop under the environment of VB6.0 , Use WINDOWS network progr

6、amming interface and Winsock controlling part of VB6.0 of operating system mainly, have transfered a large amount of WINDOWS APIs in the procedure . Relevant technology adopted in the course of describedding and realizes concretly in the article, and provide each function module and the mentality of

7、 designing and important code in the procedure .Keywords:Network security; Ports-Scan; Firewall; Network Protocol; Winsock; Windows API目 錄 TOC o 1-3 h z u HYPERLINK l _Toc75274384 1 前言 PAGEREF _Toc75274384 h 1 HYPERLINK l _Toc75274385 2 網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)平安中的主要技術(shù)簡(jiǎn)介 PAGEREF _Toc75274385 h 1 HYPERLINK l _Toc7527

8、4386 2.1 網(wǎng)絡(luò)協(xié)議 PAGEREF _Toc75274386 h 1 HYPERLINK l _Toc75274387 2.1.1 TCP/IP協(xié)議 PAGEREF _Toc75274387 h 2 HYPERLINK l _Toc75274388 2.1.2 PPTP協(xié)議 PAGEREF _Toc75274388 h 2 HYPERLINK l _Toc75274389 L2F協(xié)議 PAGEREF _Toc75274389 h 3 HYPERLINK l _Toc75274390 2.1.4 L2TP協(xié)議 PAGEREF _Toc75274390 h 3 HYPERLINK l _T

9、oc75274391 2.1.5 IPSec協(xié)議 PAGEREF _Toc75274391 h 3 HYPERLINK l _Toc75274392 2.1.6 GRE協(xié)議 PAGEREF _Toc75274392 h 4 HYPERLINK l _Toc75274393 2.1.7 SSL協(xié)議 PAGEREF _Toc75274393 h 4 HYPERLINK l _Toc75274394 2.2 網(wǎng)絡(luò)平安中的主要技術(shù) PAGEREF _Toc75274394 h 4 HYPERLINK l _Toc75274395 2.2.1 防火墻技術(shù) PAGEREF _Toc75274395 h 4

10、 HYPERLINK l _Toc75274396 2.2.2 文件加密和數(shù)字簽名技術(shù) PAGEREF _Toc75274396 h 8 HYPERLINK l _Toc75274397 2.2.3 殺毒軟件技術(shù) PAGEREF _Toc75274397 h 9 HYPERLINK l _Toc75274398 3 計(jì)算機(jī)網(wǎng)絡(luò)攻擊中端口掃描技術(shù) PAGEREF _Toc75274398 h 10 HYPERLINK l _Toc75274399 3.1 端口掃描 PAGEREF _Toc75274399 h 10 HYPERLINK l _Toc75274400 3.2 常用的端口掃描技術(shù)介紹

11、 PAGEREF _Toc75274400 h 10 HYPERLINK l _Toc75274401 3.2.1 TCP/IP 相關(guān)問(wèn)題 PAGEREF _Toc75274401 h 10 HYPERLINK l _Toc75274402 3.2.2 TCP Connect() 掃描 PAGEREF _Toc75274402 h 12 HYPERLINK l _Toc75274403 3.2.3 TCP SYN 掃描 PAGEREF _Toc75274403 h 12 HYPERLINK l _Toc75274404 3.2.4 TCP FIN 掃描 PAGEREF _Toc75274404

12、 h 13 HYPERLINK l _Toc75274405 3.2.5 IP 段掃描 PAGEREF _Toc75274405 h 13 HYPERLINK l _Toc75274406 3.2.6 TCP反向Ident掃描 PAGEREF _Toc75274406 h 13 HYPERLINK l _Toc75274407 3.3.1 Ping掃描 PAGEREF _Toc75274407 h 14 HYPERLINK l _Toc75274408 3.3.2 平安掃描 PAGEREF _Toc75274408 h 15 HYPERLINK l _Toc75274409 3.3.3 棧指紋

13、 PAGEREF _Toc75274409 h 15 HYPERLINK l _Toc75274410 3.3.4 秘密掃描技術(shù) PAGEREF _Toc75274410 h 16 HYPERLINK l _Toc75274411 3.3.5 間接掃描 PAGEREF _Toc75274411 h 16 HYPERLINK l _Toc75274412 4. 一個(gè)集本地監(jiān)視，遠(yuǎn)程端口掃描的程序 PAGEREF _Toc75274412 h 16 HYPERLINK l _Toc75274413 4.1 程序主要界面及功能介紹 PAGEREF _Toc75274413 h 17 HYPERLIN

14、K l _Toc75274414 4.2 主要功能塊的實(shí)現(xiàn)原理 PAGEREF _Toc75274414 h 19 HYPERLINK l _Toc75274415 4.3 主要功能塊的程序設(shè)計(jì)流程 PAGEREF _Toc75274415 h 20 HYPERLINK l _Toc75274416 4.4 程序主要代碼 PAGEREF _Toc75274416 h 21 HYPERLINK l _Toc75274417 總結(jié) PAGEREF _Toc75274417 h 24 HYPERLINK l _Toc75274418 參考文獻(xiàn) PAGEREF _Toc75274418 h 25 HY

15、PERLINK l _Toc75274419 致 謝 PAGEREF _Toc75274419 h 261 前言進(jìn)入21世紀(jì)，隨著Internet的開(kāi)展，以Internet為平臺(tái)的信息技術(shù)進(jìn)入了新的時(shí)代，人們?cè)谙硎芫W(wǎng)絡(luò)給人們帶來(lái)便利的同時(shí)，也在為越來(lái)越多的入侵，病毒等而煩惱。網(wǎng)絡(luò)的平安問(wèn)題日漸突出而且情況也越來(lái)越復(fù)雜，網(wǎng)絡(luò)平安問(wèn)題已威脅到國(guó)家的政治，經(jīng)濟(jì)，軍事，文化，意識(shí)形態(tài)等領(lǐng)域1。網(wǎng)絡(luò)平安技術(shù)是伴隨著網(wǎng)絡(luò)的誕生而出現(xiàn)的，但直到80年代末才引起關(guān)注，90年代在國(guó)外獲得了飛速的開(kāi)展。網(wǎng)絡(luò)平安需要“攻、防、測(cè)、控、管、評(píng)等多方面的根底理論和實(shí)施技術(shù)。 國(guó)際上網(wǎng)絡(luò)平安研究起步早，力度大、積累多、應(yīng)

16、用廣。80年代，美國(guó)國(guó)防部基于軍事計(jì)算機(jī)系統(tǒng)的保密需要，在70年代的根底理論研究成果計(jì)算機(jī)保密模型BellLa padula模型的根底上，制訂了“可信計(jì)算機(jī)系統(tǒng)平安評(píng)價(jià)準(zhǔn)那么TCSEC，隨后又制訂了關(guān)于網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫(kù)等方面的系列平安解釋?zhuān)纬闪似桨残畔⑾到y(tǒng)體系結(jié)構(gòu)的最早原那么。至今美國(guó)已研究出到達(dá)TCSEC要求平安系統(tǒng)包括平安操作系統(tǒng)、平安數(shù)據(jù)庫(kù)、平安網(wǎng)絡(luò)部件的產(chǎn)品多達(dá)100多種。網(wǎng)絡(luò)平安技術(shù)真正出現(xiàn)在中國(guó)始于20世紀(jì)90年代中后期，經(jīng)過(guò)四到五年的開(kāi)展以及融合國(guó)際先進(jìn)的技術(shù)，在一定的程度上平安技術(shù)已趨向于成熟。然而網(wǎng)絡(luò)的平安技術(shù)一直處于滯后狀態(tài)，這里所說(shuō)的滯后，只是針對(duì)于黑客技術(shù)而言，也就是

17、說(shuō)新的黑客技術(shù)的出現(xiàn)之后才有相應(yīng)的平安技術(shù)。所以相比而言,中國(guó)的計(jì)算機(jī)網(wǎng)絡(luò)的平安水平和管理水平不高除了一些重要的部門(mén)外,網(wǎng)絡(luò)建立時(shí)平安方面的問(wèn)題考慮得較少,投資也少，而對(duì)那些擁有大量敏感信息和機(jī)密的部門(mén)來(lái)說(shuō),又不宜直接采用國(guó)外現(xiàn)有的網(wǎng)絡(luò)平安技術(shù)與產(chǎn)品,因而研制自己的網(wǎng)絡(luò)平安技術(shù)和產(chǎn)品,增強(qiáng)全民的網(wǎng)絡(luò)平安意識(shí)都勢(shì)在必行3?；ヂ?lián)網(wǎng)已經(jīng)日漸融入到人類(lèi)社會(huì)的各個(gè)方面中，網(wǎng)絡(luò)防護(hù)與網(wǎng)絡(luò)攻擊之間的斗爭(zhēng)也將更加劇烈。這就對(duì)網(wǎng)絡(luò)平安技術(shù)提出了更高的要求。未來(lái)的網(wǎng)絡(luò)平安技術(shù)將會(huì)涉及到計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)層次中。2 網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)平安中的主要技術(shù)簡(jiǎn)介2.1 網(wǎng)絡(luò)協(xié)議2.1.1 TCP/IP協(xié)議TCP/IP協(xié)議指的是傳

18、輸控制協(xié)議TCP和互聯(lián)網(wǎng)協(xié)議IP，它們是兩個(gè)用在因特網(wǎng)上的網(wǎng)絡(luò)協(xié)議或數(shù)據(jù)傳輸?shù)姆椒?。這兩個(gè)協(xié)議屬于眾多的TCP/IP協(xié)議族中的一局部2。TCP/IP協(xié)議層次結(jié)構(gòu)模型如圖2-1所示： 圖2-1 TCP/IP協(xié)議層結(jié)構(gòu)模型 TCP/IP協(xié)議組中的協(xié)議保證因特網(wǎng)上的數(shù)據(jù)的傳輸，提供了幾乎上網(wǎng)所用的所有效勞。TCP/IP通過(guò)使用協(xié)議棧工作。這個(gè)棧是所有用來(lái)在兩臺(tái)機(jī)器間完成一個(gè)傳輸?shù)乃袇f(xié)議的集合。2.1.2 PPTP協(xié)議點(diǎn)到點(diǎn)隧道協(xié)議PPTP是由PPTP論壇開(kāi)發(fā)的點(diǎn)到點(diǎn)的平安隧道協(xié)議，為使用 上網(wǎng)的用戶(hù)提供平安VPN業(yè)務(wù)，1996年成為IETF草案。PPTP是PPP協(xié)議的一種擴(kuò)展，提供了在IP網(wǎng)上建立

19、多協(xié)議的平安VPN的通信方式，遠(yuǎn)端用戶(hù)能夠通過(guò)任何支持PPTP的ISP訪問(wèn)企業(yè)的專(zhuān)用網(wǎng)絡(luò)。PPTP提供PPTP客戶(hù)機(jī)和PPTP效勞器之間的保密通信2。PPTP客戶(hù)機(jī)是指運(yùn)行該協(xié)議的PC機(jī)，PPTP效勞器是指運(yùn)行該協(xié)議的效勞器。通過(guò)PPTP，客戶(hù)可以采用撥號(hào)方式接入公共的IP網(wǎng)。撥號(hào)客戶(hù)首先按常規(guī)方式撥號(hào)到ISP的接入效勞器NAS，建立PPP連接；在此根底上，客戶(hù)進(jìn)行二次撥號(hào)建立到PPTP效勞器的連接，該連接稱(chēng)為PPTP隧道，實(shí)質(zhì)上是基于IP協(xié)議的另一個(gè)PPP連接，其中IP包可以封裝多種協(xié)議數(shù)據(jù)，包括TCPIP，IPX和NetBEUI。對(duì)于直接連接到IP網(wǎng)的客戶(hù)那么不需要第一次的PPP撥號(hào)連接，

20、可以直接與PPTP效勞器建立虛擬通路。 L2F協(xié)議L2FLayer 2 Forwarding是由Cisco公司提出的，可以在多種介質(zhì)如ATM、幀中繼、IP上建立多協(xié)議的平安VPN的通信方式。它將鏈路層的協(xié)議如HDLC、PPP、ASYNC等封裝起來(lái)傳送，因此網(wǎng)絡(luò)的鏈路層完全獨(dú)立于用戶(hù)的鏈路層協(xié)議。L2F遠(yuǎn)端用戶(hù)能夠通過(guò)任何撥號(hào)方式接入公共IP網(wǎng)絡(luò)。首先，按常規(guī)方式撥號(hào)到ISP的接人效勞器NAS，建立PPP連接；NAS根據(jù)用戶(hù)名等信息發(fā)起第二次連接，呼叫用戶(hù)網(wǎng)絡(luò)的效勞器。這種方式下，隧道的配置和建立對(duì)用戶(hù)是完全透明的。L2F允許撥號(hào)效勞器發(fā)送PPP幀，并通過(guò)WAN連接到L2F效勞器5。L2F效勞器

21、將包去封裝后，把它們接入到企業(yè)自己的網(wǎng)絡(luò)中。與PPTP和PPP所不同的是，L2F沒(méi)有定義客戶(hù)。2.1.4 L2TP協(xié)議L2TP結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，可以讓用戶(hù)從客戶(hù)端或接人效勞器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸鏈路層PPP幀的方法。目前用戶(hù)撥號(hào)訪問(wèn)因特網(wǎng)時(shí)，必須使用IP協(xié)議，并且其動(dòng)態(tài)得到的IP地址也是合法的。L2TP的好處就在于支持多種協(xié)議，用戶(hù)可以保存原來(lái)的IPX、AppleTalk等協(xié)議或企業(yè)原有的IP地址，企業(yè)在原來(lái)非IP網(wǎng)上的投資不致于浪費(fèi)7。另外，L2TP還解決了多個(gè)PPP鏈路的捆綁問(wèn)題。L2TP主要由LAC接入集中器和LNSL2TP網(wǎng)絡(luò)效勞器構(gòu)成。

22、LAC支持客戶(hù)端的L2TP，用于發(fā)起呼叫，接收呼叫和建立隧道。LNS是所有隧道的終點(diǎn)。在傳統(tǒng)的PPP連接中，用戶(hù)撥號(hào)連接的終點(diǎn)是LAC，L2TP使得PPP協(xié)議的終點(diǎn)延伸到LNS。在平安性考慮上，L2TP僅僅定義了控制包的加密傳輸方式，對(duì)傳輸中的數(shù)據(jù)并不加密。因此，L2TP并不能滿(mǎn)足用戶(hù)對(duì)平安性的需求。如果需要平安的VPN，那么依然需要IPSec協(xié)議。2.1.5 IPSec協(xié)議利用隧道方式來(lái)實(shí)現(xiàn)VPN時(shí)，除了要充分考慮隧道的建立及其工作過(guò)程之外，另外一個(gè)重要的問(wèn)題是隧道的平安。第二層隧道協(xié)議只能保證在隧道發(fā)生端及終止端進(jìn)行認(rèn)證及加密，而隧道在公網(wǎng)的傳輸過(guò)程中并不能完全保證平安。IPSec加密技術(shù)

23、那么是在隧道外面再封裝，保證了隧道在傳輸過(guò)程中的平安性。IPSec可用兩種方式對(duì)數(shù)據(jù)流進(jìn)行加密：隧道方式和傳輸方式。隧道方式對(duì)整個(gè)IP包進(jìn)行加密，使用一個(gè)新的IPSec包打包。這種隧道協(xié)議是在IP上進(jìn)行的，因此不支持多協(xié)議。傳輸方式時(shí)，IP包的地址局部不處理，僅對(duì)數(shù)據(jù)凈荷進(jìn)行加密10。2.1.6 GRE協(xié)議 通用路由協(xié)議封裝GRE，GRE規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來(lái)定義，允許用戶(hù)使用IP包封裝IP、IPX、AppleTalk包，并支持全部的路由協(xié)議如RIP2、OSPF等。通過(guò)GRE，用戶(hù)可以利用公共IP網(wǎng)絡(luò)連接IPX網(wǎng)絡(luò)、A

24、ppleTalk網(wǎng)絡(luò)，還可以使用保存地址進(jìn)行網(wǎng)絡(luò)互連，或者對(duì)公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。GER只提供了數(shù)據(jù)包的封裝，并沒(méi)有加密功能來(lái)防止網(wǎng)絡(luò)偵聽(tīng)和攻擊，所以在實(shí)際環(huán)境中經(jīng)常與IPSec在一起使用，由IPSec提供用戶(hù)數(shù)據(jù)的加密，從而給用戶(hù)提供更好的平安性。2.1.7 SSL協(xié)議 Secure socket layer(SSL)協(xié)議最初由Netscape企業(yè)開(kāi)展，現(xiàn)已成為網(wǎng)絡(luò)用來(lái)鑒別網(wǎng)站和網(wǎng)頁(yè)瀏覽者身份，以及在瀏覽器使用者及網(wǎng)頁(yè)效勞器之間進(jìn)行加密通訊的全球化標(biāo)準(zhǔn)。它能夠?qū)π庞每ê蛡€(gè)人信息提供較強(qiáng)的保護(hù)。SSL是對(duì)計(jì)算機(jī)之間整個(gè)會(huì)話進(jìn)行加密的協(xié)議。在SSL中，采用了公開(kāi)密鑰和私有密鑰兩種加密方法，主

25、要用于提高應(yīng)用程序之間的數(shù)據(jù)的平安系數(shù)。SSL協(xié)議的整個(gè)要領(lǐng)可以被總結(jié)為：一個(gè)保證任何安裝了平安套接層的客戶(hù)和效勞器間事務(wù)平安的協(xié)議，它涉及所有TCP/IP應(yīng)用程序。SSL是對(duì)計(jì)算機(jī)之間整個(gè)會(huì)話進(jìn)行加密的協(xié)議13。在SSL中，采用了公開(kāi)密鑰和私有密鑰兩種加密方法。2.2 網(wǎng)絡(luò)平安中的主要技術(shù)2.2.1 防火墻技術(shù)防火墻有許許多多種形式，有以軟件形式運(yùn)行在普通計(jì)算機(jī)之上的，也有以固件形式設(shè)計(jì)在路由器之中的。還有專(zhuān)業(yè)的硬件防火墻。防火墻開(kāi)展史如圖2-2所示: 圖2-2 防火墻開(kāi)展史 包過(guò)濾防火墻 在互聯(lián)網(wǎng)這樣的TCP/IP網(wǎng)絡(luò)上，所有往來(lái)的信息都被分割成許許多多一定長(zhǎng)度的信息包，包中包含發(fā)送者的I

26、P地址和接收者的IP地址信息。當(dāng)這些信息包被送上互聯(lián)網(wǎng)絡(luò)時(shí)，路由器會(huì)讀取接收者的IP并選擇一條適宜的物理線路發(fā)送出去，信息包可能經(jīng)由不同的路線抵達(dá)目的地，當(dāng)所有的包抵達(dá)目的地后會(huì)重新組裝復(fù)原。包過(guò)濾式的防火墻會(huì)檢查所有通過(guò)的信息包中的IP地址，并按照系統(tǒng)管理員所給定的過(guò)濾規(guī)那么進(jìn)行過(guò)濾15。如果對(duì)防火墻設(shè)定某一IP地址的站點(diǎn)為不適宜訪問(wèn)的話，從這個(gè)地址來(lái)的所有信息都會(huì)被防火墻屏蔽掉。包過(guò)濾防火墻的優(yōu)點(diǎn)是它對(duì)于用戶(hù)來(lái)說(shuō)是透明的，處理速度快而且易于維護(hù)，通常做為第一道防線。包過(guò)濾路由器通常沒(méi)有用戶(hù)的使用記錄，這樣就不能得到入侵者的攻擊記錄。而攻破一個(gè)單純的包過(guò)濾式防火墻對(duì)黑客來(lái)說(shuō)還是有方法的。IP

27、地址欺騙是黑客比擬常用的一種攻擊手段。黑客們向包過(guò)濾式防火墻發(fā)出一系列信息包，這些包中的IP地址已經(jīng)被替換為一串順序的IP地址，一旦有一個(gè)包通過(guò)了防火墻，黑客便可以用這個(gè)IP地址來(lái)偽裝他們發(fā)出的信息；在另一種情況下黑客們使用一種他們自己編制的路由攻擊程序，這種程序使用動(dòng)態(tài)路由協(xié)議來(lái)發(fā)送偽造的路由信息，這樣所有的信息包都會(huì)被重新路由到一個(gè)入侵者所指定的特別地址；破壞這種防火墻的另一種方法被稱(chēng)之為同步風(fēng)暴，這實(shí)際上是一種網(wǎng)絡(luò)炸彈。攻擊者向被攻擊的計(jì)算機(jī)發(fā)出許許多多個(gè)虛假的同步請(qǐng)求信息包，目標(biāo)計(jì)算機(jī)響應(yīng)了這種信息包后會(huì)等待請(qǐng)求發(fā)出者的應(yīng)答，而攻擊者卻不做任何的響應(yīng)。如果效勞器在一定時(shí)間里沒(méi)有收到響應(yīng)

28、信號(hào)的話就會(huì)結(jié)束這次請(qǐng)求連接，但是當(dāng)效勞器在遇到成千上萬(wàn)個(gè)虛假請(qǐng)求時(shí)，它便沒(méi)有能力來(lái)處理正常的用戶(hù)效勞請(qǐng)求，處于這種攻勢(shì)下的效勞器表現(xiàn)為性能下降，效勞響應(yīng)時(shí)間變長(zhǎng)，嚴(yán)重時(shí)效勞器完全停止甚至死機(jī)。圖2-3,2-4分別顯示了靜態(tài)包過(guò)濾防火墻和動(dòng)態(tài)包過(guò)濾防火在OSI七層模型中的位。圖2-3 靜態(tài)包過(guò)濾防火墻圖2-4 動(dòng)態(tài)包過(guò)濾防火墻 狀態(tài)監(jiān)測(cè)防火墻 這種防火墻具有非常好的平安特性，它使用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)平安策略的軟件模塊，稱(chēng)之為監(jiān)測(cè)引擎。監(jiān)測(cè)引擎在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，抽取狀態(tài)信息，并動(dòng)態(tài)地保存起來(lái)作為以后執(zhí)行平安策略的參考。監(jiān)測(cè)引擎支持多

29、種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和效勞的擴(kuò)充。當(dāng)用戶(hù)訪問(wèn)請(qǐng)求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和平安規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動(dòng)作。一旦某個(gè)訪問(wèn)違反平安規(guī)定，就會(huì)拒絕該訪問(wèn)，并報(bào)告有關(guān)狀態(tài)作日志記錄。狀態(tài)監(jiān)測(cè)防火墻的另一個(gè)優(yōu)點(diǎn)是它會(huì)監(jiān)測(cè)無(wú)連接狀態(tài)的遠(yuǎn)程過(guò)程調(diào)用RPC和用戶(hù)數(shù)據(jù)報(bào)(UDP)之類(lèi)的端口信息，而包過(guò)濾和應(yīng)用網(wǎng)關(guān)防火墻都不支持此類(lèi)應(yīng)用。這種防火墻無(wú)疑是非常鞏固的，但它會(huì)降低網(wǎng)絡(luò)的速度，而且配置也比擬復(fù)雜。 代理效勞器防火墻代理效勞器作用于應(yīng)用層，它用來(lái)提供給用層效勞的控制，起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)效勞時(shí)中間轉(zhuǎn)接作用

30、。內(nèi)部網(wǎng)絡(luò)只接受代理提出的效勞請(qǐng)求，拒絕外部網(wǎng)絡(luò)的其他接點(diǎn)直接請(qǐng)求。具體地說(shuō)，代理效勞器是運(yùn)行在防火墻主機(jī)上的專(zhuān)門(mén)的應(yīng)用程序或者效勞器程序，防火墻主機(jī)可以是具體有一個(gè)內(nèi)部網(wǎng)絡(luò)接口和一個(gè)外部網(wǎng)絡(luò)接口的雙重宿主主機(jī)，也可以是一些可以訪問(wèn)Internet并被內(nèi)部主機(jī)訪問(wèn)的堡壘主機(jī)。這些程序接受用戶(hù)對(duì)Internet效勞的請(qǐng)求(如FTP，Telnet等),并按照一定的平安策略轉(zhuǎn)發(fā)它們到實(shí)際的效勞，代理提供代替連接并且充當(dāng)效勞的網(wǎng)關(guān)14。圖2-3顯示了包過(guò)濾防火墻和代理防火墻的優(yōu)缺點(diǎn)。圖2-3 包過(guò)濾防火墻和代理防火墻的比擬 屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連接，而不讓它們

31、直接與內(nèi)部主機(jī)相連，屏蔽主機(jī)防火墻由包過(guò)濾路由器和堡壘主機(jī)組成。這個(gè)防火墻系統(tǒng)提供的平安等級(jí)比包過(guò)濾防火墻系統(tǒng)要高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層平安包過(guò)濾和應(yīng)用層平安代理效勞。所以入侵者在破壞內(nèi)部網(wǎng)的平安性之前，必須首先滲透兩種不同的平安系統(tǒng)，堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，而包過(guò)濾路由器那么放置在內(nèi)部和因特網(wǎng)之間。在路由器上進(jìn)行規(guī)那么配置，使得外部系統(tǒng)只能訪問(wèn)堡壘主機(jī)，去往內(nèi)部系統(tǒng)上其他主機(jī)的信息全部被阻塞。由于內(nèi)部主機(jī)與堡壘主機(jī)處于同一個(gè)網(wǎng)絡(luò)，內(nèi)部系統(tǒng)是否允許直接訪問(wèn)因特網(wǎng)，或者是要求使用堡壘主機(jī)上的代理效勞來(lái)訪問(wèn)因特網(wǎng)由機(jī)構(gòu)的平安策略來(lái)決定。對(duì)路由器的過(guò)濾規(guī)那么進(jìn)行配置，使得其只接受來(lái)自堡壘主機(jī)的內(nèi)部數(shù)

32、據(jù)包，就可以強(qiáng)制內(nèi)部用戶(hù)使用代理效勞，在采用屏蔽主機(jī)防火墻的情況下，過(guò)濾路由器是否正確配置是這種防火墻平安與否的關(guān)鍵，所以過(guò)濾路由器的路由表應(yīng)當(dāng)受到嚴(yán)格的保護(hù)，如果路由表遭到破壞，那么數(shù)據(jù)包就不會(huì)被路由到堡壘主機(jī)上，使堡壘主機(jī)被越過(guò)。屏蔽主機(jī)防火墻的實(shí)現(xiàn)過(guò)程如圖2-4所示。圖2-4 屏蔽主機(jī)防火墻 雙宿網(wǎng)關(guān)防火墻雙宿網(wǎng)關(guān)防火墻又稱(chēng)雙重宿主主機(jī)防火墻，雙宿網(wǎng)關(guān)是一種擁有兩個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻，例如，一個(gè)網(wǎng)絡(luò)接口連到外部的不可信任的網(wǎng)絡(luò)上，另一個(gè)接口網(wǎng)絡(luò)連接到內(nèi)部的可信任的網(wǎng)絡(luò)上。這種防火墻的最大特點(diǎn)是IP層的通信是被阻止的，兩個(gè)網(wǎng)絡(luò)之間的通信可通過(guò)應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理效勞來(lái)

33、完成。雙宿網(wǎng)關(guān)防火墻的實(shí)現(xiàn)過(guò)程如圖2-5所示15。 圖2-5 雙宿網(wǎng)關(guān)防火墻2.2.2 文件加密和數(shù)字簽名技術(shù) 與防火墻配合使用的平安技術(shù)還有文件加密與數(shù)字簽名技術(shù)，它是為提高信息系統(tǒng)及數(shù)據(jù)的平安性和保密性, 防止秘密數(shù)據(jù)被外部竊取、偵聽(tīng)或破壞所采用的主要技術(shù)手段之一。隨著信息技術(shù)的開(kāi)展, 網(wǎng)絡(luò)平安與信息保密日益引起人們的關(guān)注。目前各國(guó)除了從法律上、管理上加強(qiáng)數(shù)據(jù)的平安保護(hù)外, 從技術(shù)上分別在軟件和硬件兩方面采取措施, 推動(dòng)著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷開(kāi)展。按作用不同, 文件加密和數(shù)字簽名技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。 數(shù)據(jù)傳輸加密技術(shù)目的是對(duì)傳輸

34、中的數(shù)據(jù)流加密, 常用的方針有線路加密和端對(duì)端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿, 是對(duì)保密信息通過(guò)各線路采用不同的加密密鑰提供平安保護(hù)。后者那么指信息由發(fā)送者端通過(guò)專(zhuān)用的加密軟件，采用某種加密技術(shù)對(duì)所發(fā)送文件進(jìn)行加密,把明文也即原文加密成密文加密后的文件，這些文件內(nèi)容是一些看不懂的代碼， 然后進(jìn)入TCP/IP數(shù)據(jù)包封裝穿過(guò)互聯(lián)網(wǎng), 當(dāng)這些信息一旦到達(dá)目的地, 將由收件人運(yùn)用相應(yīng)的密鑰進(jìn)行解密, 使密文恢復(fù)成為可讀數(shù)據(jù)明文。目前最常用的加密技術(shù)有對(duì)稱(chēng)加密技術(shù)和非對(duì)稱(chēng)加密技術(shù)，對(duì)稱(chēng)加密技術(shù)是指同時(shí)運(yùn)用一個(gè)密鑰進(jìn)行加密和解密，非對(duì)稱(chēng)加密方式就是加密和解密所用的密鑰不一樣，它有一對(duì)密鑰，稱(chēng)

35、為“公鑰和“私鑰兩個(gè)，這兩上密鑰必須配對(duì)使用，也就是說(shuō)用公鑰加密的文件必須用相應(yīng)人的么鑰才能解密，反之亦然。 數(shù)據(jù)存儲(chǔ)加密技術(shù) 這種加密技術(shù)的目的是防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密, 可分為密文存儲(chǔ)和存取控制兩種。前者一般是通過(guò)加密法轉(zhuǎn)換、附加密碼、加密模塊等方法實(shí)現(xiàn)。它不僅可以為互聯(lián)網(wǎng)上通信的文件進(jìn)行加密和數(shù)字簽名，還可以對(duì)本地硬盤(pán)文件資料進(jìn)行加密，防止非法訪問(wèn)。這種加密方式不同于OFFICE文檔中的密碼保護(hù)，用加密軟件加密的文件在解密前內(nèi)容都會(huì)作一下代碼轉(zhuǎn)換，把原來(lái)普通的數(shù)據(jù)轉(zhuǎn)變成一堆看不懂的代碼，這樣就保護(hù)了原文件不被非法閱讀、修改。后者那么是對(duì)用戶(hù)資格、權(quán)限加以審查和限制, 防止非法用戶(hù)存取

36、數(shù)據(jù)或合法用戶(hù)越權(quán)存取數(shù)據(jù)，這種技術(shù)主要應(yīng)用于NT系統(tǒng)和一些網(wǎng)絡(luò)操作系統(tǒng)中，在系統(tǒng)中可以對(duì)不同工作組的用戶(hù)賦予相應(yīng)的權(quán)限以到達(dá)保護(hù)重要數(shù)據(jù)不被非法訪問(wèn)13。 數(shù)據(jù)完整性鑒別技術(shù) 數(shù)據(jù)完整性鑒別技術(shù)的目的是對(duì)介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證, 到達(dá)保密的要求。 一般包括口令、密鑰、身份 、數(shù)據(jù)等項(xiàng)的鑒別, 系統(tǒng)通過(guò)比照驗(yàn)證對(duì)象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù), 實(shí)現(xiàn)對(duì)數(shù)據(jù)的平安保護(hù)。這種鑒別技術(shù)主要應(yīng)用于大型的數(shù)據(jù)庫(kù)管理系統(tǒng)中，因?yàn)橐粋€(gè)單位的數(shù)據(jù)通常是一個(gè)單位的命脈，所以保護(hù)好公司數(shù)據(jù)庫(kù)的平安通常是一個(gè)單位網(wǎng)管、甚至到領(lǐng)導(dǎo)的最重要的責(zé)任11。數(shù)據(jù)庫(kù)系統(tǒng)會(huì)根據(jù)不同用戶(hù)設(shè)

37、置不同訪問(wèn)權(quán)限，并對(duì)其身份及權(quán)限的完整性進(jìn)行嚴(yán)格識(shí)別。 密鑰管理技術(shù)數(shù)據(jù)的加密技術(shù)通常是運(yùn)用密鑰對(duì)數(shù)據(jù)進(jìn)行加密，這就涉及了一個(gè)密鑰的管理問(wèn)題。因?yàn)橛眉用苘浖M(jìn)行加密時(shí)所用的密鑰通常不是平常所用的密碼那么僅幾位，至多十幾位數(shù)字或字母，一般情況這種密鑰達(dá)64bit，有的到達(dá)128bit，一般不可能完全用腦來(lái)記住這些密鑰，只能保存在一個(gè)平安的地方，所以這就涉及到了密鑰的管理技術(shù)。密鑰的保存媒體通常有: 磁卡、磁帶、磁盤(pán)、半導(dǎo)體存儲(chǔ)器或IC卡中等，但這些都可能有損壞或喪失的危險(xiǎn)。所以現(xiàn)在的主流加密軟件都采取第三方認(rèn)證這第三方可以是個(gè)人，也可以是公證機(jī)關(guān)或采用隨機(jī)密鑰來(lái)彌補(bǔ)人們記憶上的缺乏，還是如PGP

38、加密軟件，不過(guò)現(xiàn)在的WIN2K系統(tǒng)以及其它一些加密軟件都在慢慢地往這個(gè)方向開(kāi)展。 2.2.3 殺毒軟件技術(shù)殺毒軟件肯定是人們見(jiàn)的最多，也用得最為普遍的平安技術(shù)方案，因?yàn)檫@種技術(shù)實(shí)現(xiàn)起來(lái)最為簡(jiǎn)單。但人們都知道殺毒軟件的主要功能就是殺毒，功能十分有限，不能完全滿(mǎn)足網(wǎng)絡(luò)平安的需要。這種方式對(duì)于個(gè)人用戶(hù)或小企業(yè)或許還能滿(mǎn)足需要，但如果個(gè)人或企業(yè)有電子商務(wù)方面的需求，就不能完全滿(mǎn)足了。可喜的是隨著殺毒軟件技術(shù)的不斷開(kāi)展，現(xiàn)在的主流殺毒軟件同時(shí)對(duì)預(yù)防木馬及其它的一些黑客程序的入侵。還有的殺毒軟件開(kāi)發(fā)商同時(shí)提供了軟件防火墻，具有了一定防火墻功能，在一定程度上能起到硬件防火墻的成效，如KV300、金山防火墻、

39、Norton防火墻等。3 計(jì)算機(jī)網(wǎng)絡(luò)攻擊中端口掃描技術(shù)3.1 端口掃描 根據(jù)計(jì)算機(jī)提供效勞類(lèi)型的不同，端口也分為了兩大類(lèi)，一種是TCP端口，另一種是UDP端口。而計(jì)算機(jī)間相互通信也分為兩大類(lèi)，一種是發(fā)送方發(fā)送信息后需要接受方響應(yīng)這個(gè)信息并給與應(yīng)答，及有應(yīng)答方式；另一種那么是發(fā)送方在發(fā)送信息后不去理會(huì)接受方是否收到信息，及無(wú)應(yīng)答方式。這兩種計(jì)算機(jī)通訊方式與上邊的兩大類(lèi)端口一一對(duì)應(yīng)，即有應(yīng)答(TCP端口)與無(wú)應(yīng)答(UDP端口)。而端口掃描有如下幾種方式：1對(duì)某一特定端口進(jìn)行指定IP段的檢測(cè)，以了解該端口在該域段的使用情況。通常使用這種掃描方式是在沒(méi)有指定目標(biāo)而針對(duì)某一存在漏洞的效勞所進(jìn)行的整域段的

40、搜索。2對(duì)某一特定主機(jī)進(jìn)行全端口或指定端口區(qū)間的檢測(cè)以了解該主機(jī)的端口使用情況。通常使用這種掃描方式是在指定目標(biāo)的前提下，對(duì)目標(biāo)主機(jī)效勞開(kāi)放情況進(jìn)行的檢測(cè)分析，這將有助于盡快了解目標(biāo)主機(jī)，并展開(kāi)入侵。3前兩者的綜合。通常進(jìn)行這種掃描也是盲目的，沒(méi)有具體攻擊目標(biāo)。3.2 常用的端口掃描技術(shù)介紹掃描器通過(guò)選用遠(yuǎn)程TCP/IP不同的端口的效勞，并記錄目標(biāo)給予的答復(fù)，通過(guò)這種方法，可以搜集到很多關(guān)于目標(biāo)主機(jī)的各種有用的信息。3.2.1 TCP/IP 相關(guān)問(wèn)題 1連接端及標(biāo)記 IP地址和端口被稱(chēng)作套接字，它代表一個(gè)TCP連接的一個(gè)連接端。為了獲得TCP效勞，必須在發(fā)送機(jī)的一個(gè)端口上和接收機(jī)的一個(gè)端口上建

41、立連接。TCP連接用兩個(gè)連接端來(lái)區(qū)別，也就是連接端1，連接端2。連接端互相發(fā)送數(shù)據(jù)包。 一個(gè)TCP數(shù)據(jù)包包括一個(gè)TCP頭，后面是選項(xiàng)和數(shù)據(jù)。一個(gè)TCP頭包含6個(gè)標(biāo)志位。它們的意義分別為： SYN：用來(lái)建立連接的標(biāo)志位，讓連接雙方同步序列號(hào)。如果SYN1而ACK=0，那么表示該數(shù)據(jù)包為連接請(qǐng)求，如果SYN=1而ACK=1那么表示接受連接。 FIN：表示發(fā)送端已經(jīng)沒(méi)有數(shù)據(jù)要求傳輸了，希望釋放連接。 RST：用來(lái)復(fù)位一個(gè)連接。RST標(biāo)志置位的數(shù)據(jù)包稱(chēng)為復(fù)位包。一般情況下，如果TCP收到的一個(gè)分段明顯不是屬于該主機(jī)上的任何一個(gè)連接，那么向遠(yuǎn)端發(fā)送一個(gè)復(fù)位包。 URG：為緊急數(shù)據(jù)標(biāo)志。如果它為1，表示本

42、數(shù)據(jù)包中包含緊急數(shù)據(jù)。此時(shí)緊急數(shù)據(jù)指針有效。 ACK：為確認(rèn)標(biāo)志位。如果為1，表示包中確實(shí)認(rèn)號(hào)有效的。否那么，包中確實(shí)認(rèn)號(hào)無(wú)效。 PSH：如果置位，接收端應(yīng)盡快把數(shù)據(jù)傳送給應(yīng)用層。 2TCP連接的建立 TCP是一個(gè)面向連接的可靠傳輸協(xié)議。面向連接表示兩個(gè)應(yīng)用端在利用TCP傳送數(shù)據(jù)前必須先建立TCP連接。 TCP的可靠性通過(guò)校驗(yàn)和，定時(shí)器，數(shù)據(jù)序號(hào)和應(yīng)答來(lái)提供。通過(guò)給每個(gè)發(fā)送的字節(jié)分配一個(gè)序號(hào)，接收端接收到數(shù)據(jù)后發(fā)送應(yīng)答，TCP協(xié)議保證了數(shù)據(jù)的可靠傳輸。數(shù)據(jù)序號(hào)用來(lái)保證數(shù)據(jù)的順序，剔除重復(fù)的數(shù)據(jù)。在一個(gè)TCP會(huì)話中，有兩個(gè)數(shù)據(jù)流每個(gè)連接端從另外一端接收數(shù)據(jù)，同時(shí)向?qū)Ψ桨l(fā)送數(shù)據(jù)，因此在建立連接時(shí)，

43、必須要為每一個(gè)數(shù)據(jù)流分配ISN初始序號(hào)。為了了解實(shí)現(xiàn)過(guò)程，假設(shè)客戶(hù)端C希望跟效勞器端S建立連接，然后分析連接建立的過(guò)程通常稱(chēng)作三階段握手： ：C發(fā)送一個(gè)TCP包SYN 請(qǐng)求給S，其中標(biāo)記SYN同步序號(hào)要翻開(kāi)。SYN請(qǐng)求指明了客戶(hù)端希望連接的效勞器端端口號(hào)和客戶(hù)端的ISNXX是一個(gè)例子。 ：效勞器端發(fā)回應(yīng)答，包含自己的SYN信息ISNYY和對(duì)C的SYN應(yīng)答，應(yīng)答時(shí)返回下一個(gè)希望得到的字節(jié)序號(hào)YY+1。 ：C 對(duì)從S 來(lái)的SYN進(jìn)行應(yīng)答，數(shù)據(jù)發(fā)送開(kāi)始。 大局部TCP/IP實(shí)現(xiàn)遵循以下原那么： ：當(dāng)一個(gè)SYN或者FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口，TCP丟棄數(shù)據(jù)包同時(shí)發(fā)送一個(gè)RST數(shù)據(jù)包。 ：當(dāng)一個(gè)RS

44、T數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口，RST被丟棄。 ：當(dāng)一個(gè)RST數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口，RST被丟棄。 ：當(dāng)一個(gè)包含ACK的數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口時(shí)，數(shù)據(jù)包被丟棄，同時(shí)發(fā)送一個(gè)RST數(shù)據(jù)包。 ：當(dāng)一個(gè)SYN位關(guān)閉的數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口時(shí)，數(shù)據(jù)包被丟棄。 ：當(dāng)一個(gè)SYN數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口時(shí)，正常的三階段握手繼續(xù)，答復(fù)一個(gè)SYN|ACK數(shù)據(jù)包。 ：當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口時(shí)，數(shù)據(jù)包被丟棄。FIN行為關(guān)閉的端口返回RST，監(jiān)聽(tīng)端口丟棄包，在URG和PSH標(biāo)志位置位時(shí)同樣要發(fā)生。所有的URG，PSH和FIN，或者沒(méi)有任何標(biāo)記的TCP數(shù)據(jù)包都會(huì)引起FIN行為。3.2.2 TCP Connect

45、() 掃描這是最根本的TCP掃描。利用操作系統(tǒng)提供的Connect()系統(tǒng)調(diào)用，用來(lái)與每一個(gè)感興趣的目標(biāo)計(jì)算機(jī)的端口進(jìn)行連接。如果端口處于偵聽(tīng)狀態(tài)，那么Connect()就能成功。否那么，這個(gè)端口是不能用的，即沒(méi)有提供效勞。這個(gè)技術(shù)的一個(gè)最大的優(yōu)點(diǎn)是，你不需要任何權(quán)限。系統(tǒng)中的任何用戶(hù)都有權(quán)利使用這個(gè)調(diào)用。另一個(gè)好處就是速度。如果對(duì)每個(gè)目標(biāo)端口以線性的方式，使用單獨(dú)的Connect()調(diào)用，那么將會(huì)花費(fèi)相當(dāng)長(zhǎng)的時(shí)間，你可以通過(guò)同時(shí)翻開(kāi)多個(gè)套接字，從而加速掃描。使用非阻塞I/O允許你設(shè)置一個(gè)低的時(shí)間用盡周期，同時(shí)觀察多個(gè)套接字。但這種方法的缺點(diǎn)是很容易被覺(jué)察，并且被過(guò)濾掉。目標(biāo)計(jì)算機(jī)的Logs文

46、件會(huì)顯示一連串的連接和連接是出錯(cuò)的效勞消息，并且能很快的使它關(guān)閉。3.2.3 TCP SYN 掃描這種技術(shù)通常認(rèn)為是“半開(kāi)放掃描，這是因?yàn)閽呙璩绦虿槐匾_(kāi)一個(gè)完全的TCP連接。掃描程序發(fā)送的是一個(gè)SYN數(shù)據(jù)包，好象準(zhǔn)備翻開(kāi)一個(gè)實(shí)際的連接并等待反響一樣。一個(gè)Synlack的返回信息表示端口處于偵聽(tīng)狀態(tài)。一個(gè)RST返回，表示端口沒(méi)有處于偵聽(tīng)?wèi)B(tài)。如果收到一個(gè)Synlack，那么掃描程序必須再發(fā)送一個(gè)RST信號(hào)，來(lái)關(guān)閉這個(gè)連接過(guò)程。這種掃描技術(shù)的優(yōu)點(diǎn)在于一般不會(huì)在目標(biāo)計(jì)算機(jī)上留下記錄。但這種方法的一個(gè)缺點(diǎn)是，必須要有Root權(quán)限才能建立自己的SYN數(shù)據(jù)包。3.2.4 TCP FIN 掃描有的時(shí)候有可

47、能SYN掃描都不夠秘密。一些防火墻和包過(guò)濾器會(huì)對(duì)一些指定的端口進(jìn)行監(jiān)視，有的程序能檢測(cè)到這些掃描。相反，F(xiàn)IN數(shù)據(jù)包可能會(huì)沒(méi)有任何麻煩的通過(guò)。這種掃描方法的思想是關(guān)閉的端口會(huì)用適當(dāng)?shù)腞ST來(lái)回復(fù)FIN數(shù)據(jù)包。另一方面，翻開(kāi)的端口會(huì)忽略對(duì)FIN數(shù)據(jù)包的回復(fù)6。這種方法和系統(tǒng)的實(shí)現(xiàn)有一定的關(guān)系。有的系統(tǒng)不管端口是否翻開(kāi)，都回復(fù)RST，這樣，這種掃描方法就不適用了。并且這種方法在區(qū)分Unix和NT時(shí)，是十分有用的。3.2.5 IP 段掃描這種不能算是新方法，只是其它技術(shù)的變化。它并不是直接發(fā)送TCP探測(cè)數(shù)據(jù)包，是將數(shù)據(jù)包分成兩個(gè)較小的IP段。這樣就將一個(gè)TCP包頭分成好幾個(gè)數(shù)據(jù)包，從而過(guò)濾器就很難探

48、測(cè)到。但必須小心，一些程序在處理這些小數(shù)據(jù)包時(shí)會(huì)有些麻煩。3.2.6 TCP反向Ident掃描Ident 協(xié)議允許看到通過(guò)TCP連接的任何進(jìn)程的擁有者的用戶(hù)名，即使這個(gè)連接不是由這個(gè)進(jìn)程開(kāi)始的。舉個(gè)例子，連接到HTTP端口，然后用Identd來(lái)發(fā)現(xiàn)效勞器是否正在以Root權(quán)限運(yùn)行。這種方法只能在和目標(biāo)端口建立了一個(gè)完整的TCP連接后才能看到。UDP ICMP端口不能到達(dá)掃描，這種方法與上面幾種方法的不同之處在于使用的是UDP協(xié)議8。由于這個(gè)協(xié)議很簡(jiǎn)單，所以掃描變得相比照擬困難。這是由于翻開(kāi)的端口對(duì)掃描探測(cè)并不發(fā)送一個(gè)“確認(rèn)，關(guān)閉的端口也并不需要發(fā)送一個(gè)錯(cuò)誤數(shù)據(jù)包。幸運(yùn)的是，許多主機(jī)在你向一個(gè)未

49、翻開(kāi)的UDP端口發(fā)送一個(gè)數(shù)據(jù)包時(shí)，會(huì)返回一個(gè)“ICMP_PORT_UNREACH錯(cuò)誤9。這樣你就能發(fā)現(xiàn)哪個(gè)端口是關(guān)閉的。UDP和ICMP錯(cuò)誤都不保證能到達(dá)，因此這種掃描器必須還實(shí)現(xiàn)在一個(gè)包看上去是喪失的時(shí)候才能重新傳輸。這種掃描方法是很慢的，因?yàn)镽FC對(duì)ICMP錯(cuò)誤消息的產(chǎn)生速率做了規(guī)定。同樣，這種掃描方法需要具有Root權(quán)限。3.2.7 認(rèn)證掃描和代理掃描 到目前為止，分析的掃描器在設(shè)計(jì)時(shí)都只有一個(gè)目的：判斷一個(gè)主機(jī)中哪個(gè)端口上有進(jìn)程在監(jiān)聽(tīng)。然而，最新掃描器增加了其它的功能，能夠獲取監(jiān)聽(tīng)端口的進(jìn)程的特征和行為。 1認(rèn)證掃描上面分析的掃描器在設(shè)計(jì)時(shí)都只有一個(gè)目的：判斷一個(gè)主機(jī)中哪個(gè)端口上有進(jìn)程

50、在監(jiān)聽(tīng)。然而，最近的幾個(gè)新掃描器增加了其它的功能，能夠獲取監(jiān)聽(tīng)端口的進(jìn)程的特征和行為。這種掃描利用認(rèn)證協(xié)議，掃描器能夠獲取運(yùn)行在某個(gè)端口上進(jìn)程的用戶(hù)名userid。認(rèn)證掃描嘗試與一個(gè)TCP端口建立連接，如果連接成功，掃描器發(fā)送認(rèn)證請(qǐng)求到目的主機(jī)的113TCP端口12。認(rèn)證掃描同時(shí)也被成為反向認(rèn)證掃描，因?yàn)榧词棺畛醯腞FC建議了一種幫助效勞器認(rèn)證客戶(hù)端的協(xié)議，然而在實(shí)際的實(shí)現(xiàn)中也考慮了反向應(yīng)用即客戶(hù)端認(rèn)證效勞器。 2代理掃描 文件傳輸協(xié)議FTP支持一個(gè)非常有意思的選項(xiàng)：代理ftp連接。這個(gè)選項(xiàng)最初的目的RFC959是允許一個(gè)客戶(hù)端同時(shí)跟兩個(gè)FTP效勞器建立連接，然后在效勞器之間直接傳輸數(shù)據(jù)。然而

51、，在大局部實(shí)現(xiàn)中，實(shí)際上能夠使得FTP效勞器發(fā)送文件到Internet的任何地方。許多攻擊正是利用了這個(gè)缺陷。最近的許多掃描器利用這個(gè)弱點(diǎn)實(shí)現(xiàn)ftp代理掃描。 ftp端口掃描主要使用ftp代理效勞器來(lái)掃描tcp端口。掃描步驟如下： ：假定S是掃描機(jī)，T是掃描目標(biāo)，F(xiàn)是一個(gè)ftp效勞器，這個(gè)效勞器支持代理選項(xiàng)，能夠跟S和T建立連接。 ：S與F建立一個(gè)ftp會(huì)話，使用PORT命令聲明一個(gè)選擇的端口稱(chēng)之為pT作為代理傳輸所需要的被動(dòng)端口。 ：然后S使用一個(gè)LIST命令嘗試啟動(dòng)一個(gè)到pT的數(shù)據(jù)傳輸。 ：如果端口pT確實(shí)在監(jiān)聽(tīng)，傳輸就會(huì)成功返回碼150和226被發(fā)送回給S。否那么S回收到425無(wú)法翻開(kāi)數(shù)

52、據(jù)連接的應(yīng)答。 ：S持續(xù)使用PORT和LIST命令，直到T上所有的選擇端口掃描完畢。 3.3 其它掃描方法 3.3.1 Ping掃描 如果需要掃描一個(gè)主機(jī)上甚至整個(gè)子網(wǎng)上的成千上萬(wàn)個(gè)端口，首先判斷一個(gè)主機(jī)是否開(kāi)機(jī)就非常重要了。這就是Ping掃描器的目的。主要由兩種方法用來(lái)實(shí)現(xiàn)Ping掃描。 1真實(shí)掃描：例如發(fā)送ICMP請(qǐng)求包給目標(biāo)IP地址，有相應(yīng)的表示主機(jī)開(kāi)。2TCP Ping：例如發(fā)送特殊的TCP包給通常都翻開(kāi)且沒(méi)有過(guò)濾的端口例如80端口。對(duì)于沒(méi)有root權(quán)限的掃描者，使用標(biāo)準(zhǔn)的connect來(lái)實(shí)現(xiàn)。否那么，ACK數(shù)據(jù)包發(fā)送給每一個(gè)需要探測(cè)的主機(jī)IP。每一個(gè)返回的RST說(shuō)明相應(yīng)主機(jī)開(kāi)機(jī)了。另

53、外，一種類(lèi)似于SYN掃描端口80或者類(lèi)似的也被經(jīng)常使用。 3.3.2 平安掃描平安掃描器是用來(lái)自動(dòng)檢查一個(gè)本地或者遠(yuǎn)程主機(jī)的平安漏洞的程序。象其它端口掃描器一樣，它們查詢(xún)端口并記錄返回結(jié)果。但是它們。它們主要要解決以下問(wèn)題： 1是否允許匿名登錄。 2是否某種網(wǎng)絡(luò)效勞需要認(rèn)證。 3是否存在平安漏洞。 3.3.3 棧指紋 絕大局部平安漏洞與缺陷都與操作系統(tǒng)相關(guān)，因此遠(yuǎn)程操作系統(tǒng)探測(cè)是系統(tǒng)管理員關(guān)心的一個(gè)問(wèn)題。 遠(yuǎn)程操作系統(tǒng)探測(cè)不是一個(gè)新問(wèn)題。近年來(lái)，TCP/IP實(shí)現(xiàn)提供了主機(jī)操作系統(tǒng)信息效勞。FTP，TELNET，HTTP和DNS效勞器就是很好的例子。然而，實(shí)際上提供的信息都是不完整的，甚至有可能

54、是錯(cuò)誤的。最初的掃描器，依靠檢測(cè)不同操作系統(tǒng)對(duì)TCP/IP的不同實(shí)現(xiàn)來(lái)識(shí)別操作系統(tǒng)。由于差異的有限性，現(xiàn)在只能最多只能識(shí)別出10余種操作系統(tǒng)。 最近出現(xiàn)的兩個(gè)掃描器，QueSO和NMAP，在指紋掃描中引入了新的技術(shù)。 QueSO第一個(gè)實(shí)現(xiàn)了使用別離的數(shù)據(jù)庫(kù)于指紋。NMAP包含了很多的操作系統(tǒng)探測(cè)技術(shù)，定義了一個(gè)模板數(shù)據(jù)結(jié)構(gòu)來(lái)描述指紋。由于新的指紋可以很容易地以模板的形式參加，NMAP指紋數(shù)據(jù)庫(kù)是不斷增長(zhǎng)的，它能識(shí)別的操作系統(tǒng)也越來(lái)越多。 這種使用掃描器判斷遠(yuǎn)程操作系統(tǒng)的技術(shù)稱(chēng)為T(mén)CP/IP棧指紋技術(shù)。 另外有一種技術(shù)稱(chēng)為活動(dòng)探測(cè)?；顒?dòng)探測(cè)把TCP的實(shí)現(xiàn)看作一個(gè)黑盒子，通過(guò)研究TCP對(duì)探測(cè)的回應(yīng)

55、，就可以發(fā)現(xiàn) TCP實(shí)現(xiàn)的特點(diǎn)。TCP/IP 棧指紋技術(shù)是活動(dòng)探測(cè)的一個(gè)變種，它適用于整個(gè)TCP/IP協(xié)議的實(shí)現(xiàn)和操作系統(tǒng)。棧指紋使用好幾種技術(shù)來(lái)探測(cè)TCP/IP協(xié)議棧和操作系統(tǒng)的細(xì)微區(qū)別。這些信息用來(lái)創(chuàng)立一個(gè)指紋，然后跟的指紋進(jìn)行比擬，就可以判斷出當(dāng)前被掃描的操作系統(tǒng)。 棧指紋掃描包含了相當(dāng)多的技術(shù)。下面是一個(gè)局部的清單： 1FIN探測(cè) 2BOGUS標(biāo)記探測(cè) 3TCP ISN 取樣 4TCP 初始窗口 5ACK值 6ICMP錯(cuò)誤信息 7ICMP信息 8效勞類(lèi)型 9TCP選項(xiàng) 3.3.4 秘密掃描技術(shù) 由于這種技術(shù)不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何局部，所以無(wú)法被記錄下來(lái)，從而使SYN掃描隱

56、蔽得多。另外，F(xiàn)IN數(shù)據(jù)包能夠通過(guò)只監(jiān)測(cè)SYN包的包過(guò)濾器。 秘密掃描技術(shù)使用FIN數(shù)據(jù)包來(lái)探聽(tīng)端口。當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口，數(shù)據(jù)包會(huì)被丟掉，并且回返回一個(gè)RST數(shù)據(jù)包。否那么，當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)翻開(kāi)的端口，數(shù)據(jù)包只是簡(jiǎn)單的丟掉不返回RST。 Xmas和Null掃描是秘密掃描的兩個(gè)變種。Xmas掃描翻開(kāi)FIN，URG和PUSH標(biāo)記，而Null掃描關(guān)閉所有標(biāo)記。這些組合的目的是為了通過(guò)所謂的FIN標(biāo)記監(jiān)測(cè)器的過(guò)濾。 秘密掃描通常適用于UNIX目標(biāo)主機(jī)，除過(guò)少量的應(yīng)當(dāng)丟棄數(shù)據(jù)包卻發(fā)送reset信號(hào)的操作系統(tǒng)包括CISCO，BSDI，HP/UX，MVS和IRIX。在Window

57、s95/NT環(huán)境下，該方法無(wú)效，因?yàn)椴还苣繕?biāo)端口是否翻開(kāi)，操作系統(tǒng)都發(fā)送RST。 跟SYN掃描類(lèi)似，秘密掃描也需要自己構(gòu)造IP 包。 3.3.5 間接掃描 間接掃描的思想是利用第三方的IP欺騙主機(jī)來(lái)隱藏真正掃描者的IP。由于掃描主時(shí)機(jī)對(duì)欺騙主機(jī)發(fā)送回應(yīng)信息，所以必須監(jiān)控欺騙主機(jī)的IP行為，從而獲得原始掃描的結(jié)果。間接掃描的工作過(guò)程如下： 假定參與掃描過(guò)程的主機(jī)為掃描機(jī)，隱藏機(jī)，目標(biāo)機(jī)。掃描機(jī)和目標(biāo)記的角色非常明顯。隱藏機(jī)是一個(gè)非常特殊的角色，在掃描機(jī)掃描目的機(jī)的時(shí)候，它不能發(fā)送任何數(shù)據(jù)包除了與掃描有關(guān)的包。4. 一個(gè)集本地監(jiān)視，遠(yuǎn)程端口掃描的程序在以上理論的指導(dǎo)下，結(jié)合自己的實(shí)際情況，編寫(xiě)了一

58、個(gè)集本地監(jiān)視，遠(yuǎn)程端口掃描的程序，程序是在VB6.0+WinMe環(huán)境下開(kāi)發(fā)的，并在WinMe和WinXP操作系統(tǒng)下調(diào)試通過(guò),主要功能有本地監(jiān)聽(tīng)，端口掃描，Ping主機(jī)。 程序主要界面及功能介紹本地監(jiān)聽(tīng)在本地監(jiān)視的界面下，用戶(hù)首先添加需要監(jiān)聽(tīng)的端口，并通過(guò)另一個(gè)界面顯示出來(lái)，點(diǎn)擊界面上的監(jiān)聽(tīng)后，程序就會(huì)自動(dòng)監(jiān)視連接到本地主機(jī)的一切活動(dòng)連接，可以查看連接到本地主機(jī)各端口的主機(jī)IP地址及數(shù)據(jù)交換情況。程序運(yùn)行后界面如圖4-1所示。圖4-1 本地監(jiān)視界面點(diǎn)擊監(jiān)聽(tīng)后的界面如圖4-2所示。圖4-2 本地監(jiān)視界面端口掃描待掃描的主機(jī)首先必需是可以被Ping通的，這一步可以通過(guò)程序的Ping主機(jī)這個(gè)功能來(lái)完成

59、。首先添加需要掃描的主機(jī)IP地址，點(diǎn)擊右下角的開(kāi)始后就會(huì)對(duì)目標(biāo)主機(jī)進(jìn)行掃描，在默認(rèn)情況下，會(huì)掃描主機(jī)的1-32767之間的端口，如果想對(duì)指定的端口進(jìn)行掃描，就先選擇高級(jí)應(yīng)用，然后添加指定的端口。為了減少麻煩，如果端口在一定范圍內(nèi)，可以把界面中To選上，然后在開(kāi)始端口處填入要掃描的開(kāi)始端口，在終止端口處填入要掃描的終止端口，程序就會(huì)自動(dòng)添加該范圍內(nèi)的端口，當(dāng)然也可以通過(guò)界面上的刪除或者清空對(duì)已添加的端口進(jìn)行修改， 當(dāng)完成以上步驟后，點(diǎn)擊開(kāi)始就可以進(jìn)行端口掃描了，在程序的左下角會(huì)顯示當(dāng)前的掃描進(jìn)度，當(dāng)點(diǎn)擊右面的清空后，會(huì)清空掃描狀態(tài)內(nèi)的內(nèi)容。界面如圖4-3所示。Ping主機(jī)在Ping主機(jī)這一功能模

60、塊中，主要提供了Ping同一IP網(wǎng)段內(nèi)的主機(jī)和指定主機(jī)，鉤選高級(jí)應(yīng)用后，就可以添加指定范圍的IP地址，點(diǎn)擊開(kāi)始就可以對(duì)目標(biāo)主機(jī)實(shí)現(xiàn)Ping操作了，并在右邊方框內(nèi)顯示可Ping通的主機(jī)。界面如圖4-4所示。圖4-3 端口掃描圖4-4 Ping 主機(jī)4.2 主要功能塊的實(shí)現(xiàn)原理本地監(jiān)視入侵者通過(guò)連接到本機(jī)的端口，然后通過(guò)是否成功，來(lái)獲得信息，由于TCP的三次握手原理，他必定會(huì)留下自己的IP，本地監(jiān)視就是利用這一個(gè)原理來(lái)獲得對(duì)方的IP。實(shí)現(xiàn)：通過(guò)對(duì)VB中Winsock控件的屬性，方法，事件的操作來(lái)查看連接信息。Winsock控件的一些重要屬性，方法，事件屬性: LocalHostName :本地主機(jī)