网络通信安全.ppt

第4章网络通信安全 4 1网络通信中的安全威胁4 2远程访问的安全4 3IP安全4 4端口扫描4 5小结习题与思考题 本章学习目标 了解网络通信安全的内容 了解网络通信传输中存在的安全威胁 掌握远程访问的安全配置方法 掌握端口扫描的概念和方法 掌握IP的基础知识 以及IP安全的相关内容 4 1网络通信中的安全威胁 4 1 1网络通信的安全性4 1 2网络通信存在的安全威胁4 1 3TCP IP协议的脆弱性 4 1 1网络通信的安全性 网络通信安全是指通过各种计算机 网络 密码技术和信息安全技术 确保在通信网络中传输 交换和存储的信息完整 真实和保密 并对信息的传播及内容具有控制能力 网络通信安全性粗略地分为四个相互交织的部分 保密 鉴别 反拒认以及完整性控制 所有这些问题也发生在传统的系统中 网络通信安全的内容可以概括为以下几个方面 保密性 指防止静态信息被非授权访问和防止动态信息被截取解密 完整性 要求在存储或传输时信息的内容和顺序都不被伪造 乱序 重置 插入和修改 可靠性 指信息的可信度 包括信息的完整性 准确性和发送人的身份认证等方面 实用性 即信息的加密密钥不可丢失 可用性 指主机存放静态信息的可用性和可操作性 占有性 若存储信息的主机 磁盘等信息载体被盗用 则将导致对信息占有权的丧失 保护信息占有性的方法有使用版权 专利 商业秘密 使用物理和逻辑的访问限制 以及维护和检查有关盗窃文件的审计记录和使用标签等 4 1 2网络通信存在的安全威胁 计算机网络通信安全即数据在网络中的传输过程的安全 是指如何保证信息在网络传输过程中不被泄露与不被攻击 当网络中的计算机通信双方的发送方给接收方发送信息时 在传输的过程中可能会遭到攻击 攻击类型主要有以下四种 截获 信息被非法用户截获 这时接收方没有接收到应该接收的信息 从而使信息中途丢失 失去了信息的可靠性 窃听 信息虽然没有丢失 接收方也接收到了信息 但该信息已被不该看的人看到 失去了信息的保密性 篡改 信息表面上虽然没有丢失 接收方也收到了应该接收的信息 但该信息在传输过程中已被截获并被修改 或插入了欺骗性的信息 实际上接收方所接收到的信息是错误的 失去了信息的完整性 伪造 发送方并没有发送信息给接收方 而接收方收到的信息是第三方伪造的 如果接收方不能通过有效办法发现这一情况 那就有可能造成严重的后果 4 1 3TCP IP协议的脆弱性 TCP IP协议是进行一切互联网上活动的基础 没有它 信息就不可能在不同操作系统 在不同通信协议中来去自由 因为当时网络软 硬件设备的局限性 当初设计该协议时只着重考虑了网络的速度 而对网络的安全性没作太多的考虑 甚至根本没作考虑 所以说TCP IP本身在安全设计上就先天不足 网上信息易被窃取大多数互联网上的信息是没有经过加密的 如电子邮件 网页中输入口令或填写个人资料 文件传输等这一切都很容易被一些别有用心的人监听和劫持 其实这就是TCP IP通信协议在安全性方面的一个漏洞 2 IP的缺陷导致易被欺骗IP包中的源地址可以伪造 IP包中的 生成时间 可以伪造 薄弱的认证环节 图4 1说明了如何使用这个选项把攻击者的系统假扮成某一特定服务器的可信任的客户 图4 1IP地址欺骗 攻击者要使用那个被信任的客户的地址取代自己的地址 攻击者构成一条要攻击的服务器和其主机间的直接路径 把被信任的客户作为通向服务器的路径的最后节点 攻击者用这条路径向服务器发出客户申请 服务器接收客户申请 就好像是从可信任客户直接发出的一样 然后给可信任客户返回响应 可信任客户使用这条路径将包向前传送给攻击者的主机 3 ICMP的缺陷网络中经常会使用到ICMP协议 只不过一般觉察不到而已 比如经常使用的用于检查网络通不通的 Ping 命令 这个 Ping 的过程实际上就是ICMP协议工作的过程 还有其他的网络命令如跟踪路由的 Tracert 命令也是基于ICMP协议的 ICMP中的 Redirect 消息可以用来欺骗主机和路由器 并使用假路径 这些假路径可以直接通向攻击者的计算机系统 而不能真正连接到一个合法的可信赖的计算机用户 这会使攻击者获得系统的访问权 对于系统来说 缺乏反映信源到信宿真实路径的跟踪信息 通过TCP IP发出一个数据包如同把一封信丢入信箱 发出者知道正在走向信宿 但发出者不知道通过什么路线或何时到达 这种不确定性也是安全漏洞 4 TCP IP协议明码传送信息导致易被监视网络中最常见的窃听是发生在共享介质的网络中 如以太网 这是由于TCP IP网络中众多的网络服务均是明码传送 黑客使用Sniffer Tcpdump或Snoop等探测工具 就可以清楚地看到某个用户从一台机器登录到另一台机器的全过程 大多数用户不加密邮件 而且许多人认为电子邮件是安全的 所以用它来传送敏感的内容 因此 电子邮件或者Telnet和FTP的内容 可以被监视从而了解一个站点的情况 5 提供不安全的服务基于TCP IP协议的服务很多 有WWW服务 FTP服务和电子邮件服务 TFTP服务 NFS服务等 这些服务都存在不同程度上的安全缺陷 当用户要保护站点时 就需要考虑 该提供哪些服务 要禁止哪些服务 如果有防火墙 应把不对外的服务限制在内网中 4 2远程访问的安全 管理安全的远程访问是一项艰巨的任务 因为远程系统可能直接连接到互联网而不是通过公司的防火墙 所以远程系统将给网络环境带来更大的风险 病毒和间谍软件防御以及一般的VPN网络策略还不足以保护这些系统的安全以及它们连接的网络的安全 远程访问安全的内容包括拨号调制解调器访问安全 虚拟专用网的安全以及无线网络接入的安全等 4 2远程访问的安全 4 2 1拨号调制解调器访问安全4 2 2虚拟专用网的安全4 2 3无线网络接入的安全4 2 4远程溢出攻击与后门 4 2 1拨号调制解调器访问安全 通过传输媒介 公用电话网 PublicSwitchedTelephoneNetwork PSTN 利用Modem模拟拨号技术来实现远程连接 是目前最为普通 方便的远程访问方式 虽然调制解调器给上网带来了极大的方便 但同时也带来了危险 不少人建立连接时 通常采取的措施并不安全 从开始到完成 只是根据默认的提示进行 调制解调器的危险在于它提供了进入用户网络的另一个入口点 也就是端口 一般来说 打开网络端口点越多 被入侵的可能性就越大 一般一个标准的Intranet结构会包括内 外网段 内网段和外段网之间有防火墙 在内外网段都可能提供拨号服务器 外网段拨号服务器供普通用户使用 内网段拨号服务器供公司的高级职员使用 这两种拨号服务保护方式是不同的 外网段拨号服务器被置于防火墙外部 它的安全是通过防火墙和身份验证服务器来保证的 对于内网段的内部网来说 这种服务应该是保密的 而且要严格控制 并应有强大的身份验证系统来保证安全 如果一个黑客通过拨号服务器登录到用户的网络中 那么他就像在用户的公司里使用一台机器一样 他会窃听到用户的内部网络通信 如何才能提高拨号网络的安全性呢 提高拨号调制解调器安全的方法很多 至少可以通过以下五种方法来实现 号码不要广泛流传 使用用户名和口令来保护拨号服务器 口令可以是静态 但最好是一次性口令 使用安全性好的调制调解器 回拨调制解调器 安静调制解调器是比较好的选择 回拨调制解调器是在连接时要求用户输入用户名和口令 它不会马上连接 它会先断开连接 查找该用户的合法电话号码 然后 回拨调制解调器会回拨到合法电话号码 并建立起连接 最后 用户就可以输入用户名和口令而进入该系统 这样做可以杜绝一个账号可以在不同电话机上使用的危险 安静调制解调器在登录完成之前不会发出特殊的 Connectionestablished 信号 这样可以防止有人按顺序搜索计算机拨号系统的电话号码 在网络上加一个用于核实用户身份的服务器 防范通过调制调解器对WindowsNT的RAS访问带来的安全隐患 WindowsNT 2000 2003的远程访问服务 RemoteAccessServer RAS 给用户提供了一种远程用调制解调器访问远程网络的功能 当用户通过远程访问服务连接到远程网络中时 电话线就变得透明了 用户可以访问所有资源 就像他们坐在办公室进而访问这些资源一样 RAS调制解调器起着像网卡一样的作用 但这种RAS在实施过程中存在许多重大的安全隐患 因为RAS服务器和网络操作系统服务器使用相同的用户数据库 用户用在办公室中使用的同一个用户进行登录 这样可以保证用户具有相同的访问权限 但这给网络安全的管理带来了新的难题 为了进行连接 用户必须有一个有效的系统用户账户和RAS拨入许可 这在用户尝试登录到系统之前 必须被验证 但如果用户不在公司 其身份的真实性就很难验证 如果某个系统管理员的账号被一些别有用心的人知道后进行RAS访问 那后果将会非常严重 加强公司员工账号管理 为了防止非法用户通过RAS访问网络就必须加强公司员工账号管理 特别是管理员账号 管理员账号最好不是使用 Administrator 应对其进行改名 或增加一个同样权限的系统管理员组成员 用户账号也要求经常更改 定期更改密码 有些公司就要求所要用户密码至少一个月改一次 而且最近的两次密码不能一样 公司的进 销 存管理软件用户密码至少要求一个星期改一次 这在某种程度上预防了非法用户通过RAS进行非法登录 4 2 2虚拟专用网的安全 虚拟专用网 VirtualPrivateNetwork VPN 是专用网络在公共网络 如Internet 上的扩展 VPN通过私有隧道技术在公共网络上仿真一条点到点的专线 通信数据在安全隧道中进行加密传输 从而达到安全传输数据的目的 由于VPN具有高度灵活性 高带宽 高安全性 应用费用相对低廉等优点 已经成为非常理想的企业网远程访问解决方案 VPN的应用可以分为三个基本类型 AccessVPN IntranetVPN和ExtranetVPN 1 VPN的一般组网方案可以利用企业现有的网络设备 如路由器 服务器与防火墙来建置VPN 有些企业网络以路由器为中心 把VPN服务加在路由器上 有些企业把防火墙看成是Internet安全通信的核心 选择防火墙式的VPN建置方案 1 路由器式VPN使用具有VPN功能的路由器 公司总部便可与分公司间经由Internet或ISP网络来传送企业内部资料 拨号连接用户也可在ISP网络中建立隧道 Tunneling 以存取企业网络 相对来说 路由器式VPN部署较容易 只要在路由器上添加VPN服务 通常只需将软件升级即可 而新型路由器通常已在软件或操作系统中内建了VPN服务 基本上 路由器上的VPN软件升级 一般都会包括防火墙 加密以及隧道等功能 有些厂商则会将用户身份辨识与既有的身份辨识服务 如远程身份辨识拨号连接用户服务 RemoteAuthenticationDial InUserService RADIUS 连结在一起 2 软件式VPN由生产厂商和协作厂商提供的VPN应用程序可执行加密 隧道建立与身份辨识 让用户通过VPN与企业内部网络相连 这种技术可使现有设备继续沿用 即将软件安装在现有的服务器上 不需变动网络组态 另外 程序可与现有的网络操作系统的身份辨识服务相连 可大幅简化VPN的管理工作 3 防火墙式VPN许多企业以防火墙为Internet安全措施的核心 用来防范黑客的攻击 许多防火墙厂商已在它们的产品中支持VPN服务 保护用户的内部网络免于被未授权的用户侵入 一个良好的防火墙可以根据用户 应用程序和传输源辨识通信流 这种作法的好处是现有网络架构保持不变 就可以管理VPN服务所用的接口 而且与原来管理防火墙时使用的接口相同 因为加密与建立隧道等VPN服务都是由软件来处理的 从而进一步提高了效能 2 VPN的安全管理同任何的网络资源一样 VPN也必须得到有效的管理 需要关注VPN的安全问题 目前所有的VPN设备都应用了相关的核心技术 这些技术包括隧道协议 Tunneling 资料加密 Encryption 认证 Authentication 及存取控制 AccessControl 等 1 隧道技术隧道技术就是将原始报文在A地进行封装 到达B地后去掉封装 还原成原始报文 这样就形成了一条由A到B的通信隧道 隧道协议技术分为两种不同的类型 端对端 End to End 隧道技术 从用户的PC延伸到用户所连接的服务器上 点对点 Node to Node 隧道技术 主要是连接不同地区的局域网络 在局域网络内部传送的资料并不需做任何的变动 2 加密技术大部分VPN设备厂商都支持市场上主要的几种加密技术 像RSASecurity公司的RivestCipher技术 DES及Triple DES 三重DES 等 密钥长度的选择取决于许多因素 较明显的因素包括确保资料机密的重要性程度以及资料所流经的网络安全性等 在VPN中 加密应只使用于特别敏感的交通 当有需要时才使用 或加装硬件加密模块 因为加密非常占用处理器资源 而且会影响速度性能 一旦VPN采用加密技术后 系统也必须提供用户一套取得密钥的方法 最常见的几种密钥管理技术为PPP Point to PointProtocol 点对点协议 中的加密技术 ECP协议 EncryptionControlProtocol 加密控制协议 MPPE MicrosoftPoint to PointEncryption Microsoft点对点加密技术 ISAKMP IKE InternetSocietyAssociationKeyManagementProtocol InternetKeyExchange 网络安全关联密钥管理协议 网络密钥交换 3 认证VPN采用了许多现存的用户认证技术 举例来说 许多厂商所推出的VPN设备中 都具备了PPP的PAP PasswordAuthenticationProtocol 密码认证协议 技术 CHAP ChallengeHandshakeAuthenticationProtocol 挑战性握手验证协议 VPN连接包括两种认证形式 用户身份认证在VPN连接建立之前 VPN服务器对请求建立连接的VPN客户机进行身份验证 核查其是否为合法的授权用户 如果使用双向验证 还需进行VPN客户机对VPN服务器的身份验证 数据完整性和合法性认证检查链路上传输的数据是否出自源端以及在传输过程中是否经过篡改 VPN链路中传输的数据包含密码检查 密钥只由发送者和接收者双方共享 4 存取控制在确认用户身份之后 进一步所需要的功能就是针对不同的用户授予不同的存取权限 这部分的功能也是认证服务器拥有的另一功能 许多VPN的产品都伴随有适用该产品的认证服务器 用户必须接受身份和授权程序的验证 让网络知道他们是谁以及让用户知道他们可以做些什么 一个良好的系统也会执行账户稽核 以追踪支出源和确保安全性 验证 Authentication 授权 Authorization 和账户稽核 Accounting 统称为AAA服务 5 QoS技术通过隧道技术和加密技术 已经能够建立起一个具有安全性 互操作性的VPN 但是该VPN性能上不稳定 管理上不能满足用户的要求 这就要加入服务质量 QualityofService QoS 实行QoS应该在主机网络中 即VPN所建立的隧道这一段 建立一条性能符合用户要求的隧道 4 2 3无线网络接入的安全 随着无线网络技术的成熟 无线网络和数据采集设备及监控设备的有效结合 同样可以很方便地进行远程连接 目前实现无线网络的技术有 蓝牙无线接入技术IEEE802 11连接技术HomeRF HomeRadioFrequency 技术 无线网络最基本的安全措施是有线等效保密WEP WiredEquivalentPrivacy 协议 WEP使用RC4加密算法 这种算法使用同一组密钥来打乱以及重新组合网络封包 如果用户的密钥管理系统以一种可预测的方式循环使用一组不同的密钥 那么决心要破解密码的黑客便可以从正常用户的局域网络流量中收集资料 并且通过密钥的相关分析来帮助破解加密机制 他们的攻击技巧对于40位或者128位的RC4加密机制都同样有效 基于以上原因 最新的标准整合了两项与认证和加密有关的关键组件 在认证功能方面 未来可能会采用802 1x标准 采用这项标准能够让用户每次登入网络都使用不同的加密密钥 而且该标准自身提供了密钥管理机制 在新的标准没有出来之前 如果要确保无线接入的安全性最好 应该采取以下措施 1 使用动态秘钥管理动态安全链路会自动生成一个新的128位加密秘钥 它对每个网络用户和每次网络会话来说都是唯一的 这一技术能够比静态共享秘钥策略提供更高的网络安全性 帮助用户从手工的输入工作中解脱出来 2 定期稽核强化无线接入安全性的一个必要步骤便是通过网络稽核 找出所有未受管制的无线局域网络联接器 进而将它们纳入系统既有安全政策的管制 或者干脆完全停止使用这些联接器 从短期来看 各企业应该使用具备无线局域网络流量侦测功能的产品 以便能够方便地找出无线局域网络联接器 3 认证由于以WEP为基础的标准规范存在安全缺陷 因此需要一套强而有力的认证机制与防火墙搭配一起使用 即将无线局域网络区段作为公共网络一样看待 第二层虚拟局域网络 Layer2virtualLANs 可以将无线局域网络流量区隔在单一防火墙之外 从而减少多重防火墙设备的需要 除了单纯地通过认证机制以及网络观测设备来进行存取控制之外 用户也可以部署一套入侵侦测系统 IntrusionDetectionSystem IDS 以便主动地事先辨认出局域网络入侵迹象 4 2 4远程溢出攻击与后门 1 远程溢出攻击远程溢出攻击作为常见的漏洞利用方式 一旦攻击者寻找并发现目标主机的某个守护进程或网络服务存在着远程溢出漏洞 那么他很可能在接下来的时间内取得主机的额外访问权 就这样攻击者在没有物理接触目标系统的情况下就获得了对目标主机的控制权 远程溢出攻击者无须一个账号登录到本地直接获得远程系统的管理员权限 通常通过攻击以root身份执行的有漏洞的系统守护进程或网络服务来完成 这些漏洞中的绝大部分来源于缓冲区溢出 少部分来自守护进程本身的逻辑缺陷 2 后门程序后门又称为BackDoor 其用途在于潜伏在电脑中 从事搜集信息或便于黑客进入的动作 后门程序和电脑病毒的最大的区别 在于后门程序不一定有自我复制的动作 也就是后门程序不一定会 感染 其他电脑 它不仅绕过系统已有的安全设置 而且还能挫败系统上各种增强的安全设置 简单的后门可能只是建立一个新的账号 或者接管一个很少使用的账号 复杂的后门 包括木马 可能会绕过系统的安全认证而对系统有安全存取权 后门产生的必要条件有以下三点 必须以某种方式与其他终端节点相连 目标机默认开放的可供外界访问的端口必须在一个以上 目标主机存在设计或人为疏忽 导致攻击者能以权限较高的身份执行程序 4 3IP安全 随着Internet的迅速发展 现有的IP版本不足以满足Internet的性能和功能要求 作为一种稀缺资源 IP地址的盗用就成为很常见的问题 IP地址盗用侵害了Internet网络的正常用户的权利 并且给网络计费 网络安全和网络运行带来了巨大的负面影响 因此解决IP地址盗用问题成为当前一个迫切的课题 4 3IP安全 4 3 1IP安全的防范技术4 3 2IP的鉴别和保密机制 4 3 1IP安全的防范技术 Internet的经营者已在某些领域开发出专用的安全机制 但是用户对于协议层有一些安全要求 通过实现IP级的安全性 就可以确保一个组织安全组网 IP级的安全包含两个功能域 鉴别和保密 IPv6对这些特征的支持是强制性的 而IPv4是选择性的 在两种情况下 安全特征主要都在IP信元头后面的扩展信元头中实现 1 IP地址盗用方法分析IP地址的盗用方法多种多样 其常用方法主要有以下几种 静态修改IP地址 成对修改IP MAC地址 动态修改IP地址 2 防范技术研究针对IP盗用问题 网络专家采用了各种防范技术 现在比较常用的防范技术主要是根据TCP IP的层次结构 在不同的层次采用不同的方法来防止IP地址的盗用 交换机控制解决IP地址的最彻底的方法是使用交换机进行控制 即在TCP IP第二层进行控制 使用交换机提供的端口的单地址工作模式 即交换机的每一个端口只允许一台主机通过该端口访问网络 任何其它地址的主机的访问都将被拒绝 路由器隔离采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址是全球唯一的 不能改变 实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表 获得当前IP和MAC的对照关系 和事先合法的IP和MAC地址比较 如不一致 则为非法访问 防火墙与代理服务器使用防火墙与代理服务器相结合 也能较好地解决IP地址盗用问题 防火墙用来隔离内部网络和外部网络 用户访问外部网络通过代理服务器进行 使用这样的办法是将IP防盗放到应用层来解决 变IP管理为用户身份和口令的管理 4 3 2IP的鉴别和保密机制 IPSec协议IPSec全称为InternetProtocolSecurity 是由InternetEngineeringTaskForce IETF 定义的安全标准框架 是Internet的网络层安全协议 用以提供公用和专用网络的端对端加密和验证服务 IPSec是应用于IP层上网络数据安全的一整套的协议体系结构 包括 网络认证协议AH AuthenticationHeader 认证头 ESP EncapsulatingSecurityPayload 封装安全载荷 IKE InternetKeyExchange 因特网密钥交换 用于网络认证及加密的一些算法 SecurityProtocolLayers abcdefghi abc def ghi TCP IP Applicationdata DatainTCP IP abcdefghi abc def ghi TCP Applicationdata IP IPSec DatainTCP IPSec IP 2 安全关联 SA 为使通信双方的认证 加密算法及其参数 密钥的一致 相互间建立的联系被称为安全组合或安全关联 SecurityAssociation 关联是发送方和接收方之间的单向关系 如果双向安全交换需要一个同级关系 那么就需要两个安全关联 SA由一个三元组唯一地标识 该三元组为安全索引参数SPI 一个用于输出处理的目的IP地址 或用于输入处理的源IP地址 和协议 如AH或ESP SPI是为了唯一标识SA而生成的一个32位整数 包含在AH头标和ESP头标中 有了SPI 相同源 目的节点的数据流可以建立多个SA 3 认证头标AH认证 鉴别 头标AH AuthenticationHeader 提供无连接的完整性 数据源认证和抗重放保护服务 4 加密头标ESPESP EncapsulatingSecurityPayload 提供数据保密 无连接完整性服务 ESP一般采用对称密码体制加密数据 根据用户要求 该机制可以用来给传送层的段加密 如TCP 用户数据报协议 UDP或ICMP 或者给整个IP分组加密 前者叫作传送模式ESP 后者叫作隧道模式ESP 图4 2传送模式下IP报文加密 图4 3隧道模式下IP报文加密 5 鉴别与保密的综合鉴别与保密这两种IP安全机制可以综合运用 以传输要求保密和鉴别的IP分组 有两种综合方案可供选择 先加密 后鉴别在这种情况下 要鉴别整个IP分组 包括加密的和未加密的部分 先加密后鉴别 IP H 基于IP的信元头加上扩展信元头ESP H 密封保密负载信元头ET 密封保密负载尾部字段AH 鉴别信元头 先鉴别 后加密该方案适用于隧道模式的ESP 在这种情况下 鉴别信元头被放在内部IP分组之中 这一内部分组既被鉴别 被加密 先鉴别后加密 4 4端口扫描 4 4 1基本概念4 4 2端口扫描4 4 3栈指纹4 4 4端口扫描方法 4 4 1基本概念 1 TCP协议TCP 传输控制协议 是一种使用得最广泛的网络通信协议 很多服务都是建立在TCP协议之上 比如最流行的Email SMTP POP3 HTTP FTP等等 TCP建立连接的过程 三次握手 TCP断开连接的过程 四次握手 2 TCP协议标志位TCP报文格式包含6个标志位 分别为 SYN 标志位用来建立连接 让连接双方同步序列号 如果SYN 1而ACK 0 则表示该数据包为连接请求 如果SYN 1而ACK 1则表示接受连接 ACK 为确认标志位 如果为1 表示包中的确认号是有效的 否则 包中的确认号无效 FIN 表示发送端已经没有数据要求传输了 希望释放连接 RST 用来复位一个连接 RST标志置位的数据包称为复位包 一般情况下 如果TCP收到一个分段明显不属于该主机上的任何一个连接 则向远端发送一个复位包 URG 为紧急数据标志 如果为1 表示本数据包中包含紧急数据 此时紧急数据指针有效 PSH 如果置位 接收端应尽快把数据传送给应用层 3 TCP会话准则大部分系统在实现TCP IP时遵循以下原则 当一个SYN或者FIN数据包到达一个关闭的端口 TCP丢弃数据包同时发送一个RST数据包 当一个RST数据包到达一个监听端口 RST被丢弃 当一个RST数据包到达一个关闭的端口 RST被丢弃 当一个包含ACK的数据包到达一个监听端口时 数据包被丢弃 同时发送一个RST数据包 当一个SYN位关闭的数据包到达一个监听端口时 数据包被丢弃 当一个SYN数据包到达一个监听端口时 正常的三阶段握手继续 回答一个SYN ACK数据包 当一个FIN数据包到达一个监听端口时 数据包被丢弃 FIN行为 关闭端口返回RST 监听端口丢弃包 在URG和PSH标志位置位时同样要发生 所有的URG PSH和FIN 或者没有任何标记的TCP数据包都会引起 FIN行为 4 端口在Internet上 各主机间通过TCP IP协议发送和接收数据报 各个数据报根据其目的主机的IP地址来进行互联网络中的路由选择 但是 大多数操作系统支持多程序 进程 同时运行 因此本地操作系统会给那些有需求的进程分配端口 Port 端口其实就是队列 操作系统为各个进程分配了不同的队列 数据报按照目的端口被推入相应的队列中 等待被进程取用 5 ICMP协议ICMP Internet控制消息协议 协议用于在主机 路由器之间传递控制消息 控制消息是指网络通不通 主机是否可达 路由是否可用等网络本身的消息 这些控制消息虽然并不传输用户数据 但是对于用户数据的传递起着重要的作用 ICMP报文分为查询报文和差错报文两类 常用ICMP报文分类 4 4 2端口扫描 端口扫描是为了确定主机端口的开放情况 利用此技术 可以远程检测目标主机开放的服务 端口扫描前首先要枚举待扫描的端口 然后向目标主机的这些端口发送探测数据包 并记录目标主机的响应 通过分析响应来判断服务端口是打开还是关闭 由此也可以得知目标主机提供的服务信息 到目前为止存在各类的端口扫描方法 主要有TCP全连接扫描 TCPSYN 半连接 扫描 TCPFIN扫描 UDPICMP端口不能到达扫描等 4 4 3栈指纹 端口扫描只能提供被扫描主机所开放服务的信息 不会提供目标主机的操作系统的其它信息 为了更进一步