网络信息安全基础(1)0309.ppt

网络信息安全基础 杨振华E mail yzh TELQQ 442884959 参考书目 网络安全 技术与实践 刘建伟王育民著清华大学出版社 信息系统管理工程师教程 陈禹主编清华大学出版社 网络信息安全的真相 BruceSchneier著机械工业出版社 网络安全工具及案例分析 邱亮孙亚刚著电子工业出版社 网络信息安全 肖军模刘军周海刚著机械工业出版社 第一章计算机网络基础知识 1TCP IP TransportControlProtocol InternetProtocol 分层思想 一组不同层次上的多个协议的组合 将网络协议分成不同的层次进行开发 每一层分别实现通信过程中不同的功能 通过TCP IP协议族 各个不同型号 运行不同操作系统的计算机便可以相互通信 TCP IP协议族的四个层次 TCP IP层OSI应用层 HTTP FTP和SMTP等 应用层传输层 TCP和UDP 传输层互联网层 IP ICMP 网络层网络接口层 设备驱动程序及接口卡 数据链路层 物理层 协议的数据流程图 1 2ARP ARP addressresolutionprotocol 地址解析协议ARP地址解析协议用于将计算机的网络IP地址转化为物理MAC地址 ARP协议的基本功能就是通过目标设备的IP地址 查询目标设备的MAC地址 以保证通信的顺利进行 RARP RARP ReverseaddressResolutionProtocol 逆地址解析协议将局域网中某个主机的物理地址转换为IP地址 比如局域网中有一台主机只知道物理地址而不知道IP地址 那么可以通过RARP协议发出征求自身IP地址的广播请求 然后由RARP服务器负责回答 ARP与RARP区别与联系 ARP只用来解析对方的物理网络地址 RARP除了用来解析本机的IP地址之外 还可以用来解析第三方的IP地址 二者报文格式是相同的 ARP RARP报文格式 ARP欺骗 一台不可信赖的计算机会发出假冒的ARP查询或应答信息 并将所有流向其他主机的数据流转移 这样 它就可以伪装成某台机器或修改数据流 这叫作ARP欺骗 附 参考资料1 2 检查本机的 ARP欺骗 木马染毒进程 ARP究竟属于哪一层 说法一 不能严格地把它置于确定的层 可以认为是第二层 也可以认为是第三层 二三层之间可能比较合适 说法二 ARP是层间协议 既不单独属于第二层 又不单独属于第三层 有的时候7层模型只是帮助我们理解 不能被其界定的界限给限制住了 RARP和ARP都是查询的 监控管理工具1 MAC扫描器V3 1 MAC扫描器 是用于批量获取远程计算机网卡的物理地址一款网络管理软件 本软件运行于网络 局域网 Internet都可以 内的一台机器上 即可监控整个网络的连接情况 实时检测各用户的IP MAC 主机名 用户名等并记录以供查询 可以由用户自己加以备注 能进行跨网段扫描 能和数据库中得IP和MAC地址进行比较 有修改IP的或使用虚假MAC地址的 都能报警 本软件适合于网络管理员使用 使用者请遵守 中华人民共和国计算机信息系统安全保护条例 同时 凡使用本软件恶意入侵他人电脑或网络者 非法获取他人MAC地址 任意修改自己MAC地址 破坏网络的正常运行 对运营商造成的损失以及由此引发的感情纠葛直至法律纠纷承担责任者 后果自负 作者不承担任何责任 拓展知识1 Windows中修改网卡MAC物理地址 如今大家都是ADSL上网 当你查网费时就会发现 每次上网电信都会记录下你的网卡MAC地址 这是因为IP地址是动态的 每次上网都不同 而MAC地址却是不变的 每张网卡都有一个与众不同的MAC 物理 地址 因此MAC地址就成了客户的网上身份证 通过记录MAC地址 即可确认是你上的网 一 MAC地址的用途 MAC地址在网卡中是固定的 每张网卡的MAC地址都不一样 网卡在制作过程中 厂家会在它的EPROM里面烧录上一组数字 这组数字 每张网卡都各不相同 这就是网卡的MAC 物理 地址 由于MAC地址的唯一性 因此它主要用来识别网络中用户的身份 例如ADSL上网时 电信用它来记费 确认是你上的网 在校园网中 MAC地址也可以用来识别用户 对于校园网的正式用户 其MAC地址会登记在服务器端 假如你是非法用户 服务器中就没有你的网卡MAC地址 这样当你试图连上网时 服务器就会立刻认出你 阻止你连上网络 查看网卡的MAC地址 Mac地址又称为物理地址 PhysicalAddress 适配器地址 进入MS DOS 在开始菜单 运行中执行win98 commandwin2000 xp NT cmd查看MAC地址 win2000 xp NT ipconfig allLinux sbin ifconfig a 二 MAC地址是可以修改的 有些场合 例如冒充网络中的正式用户 就需要修改你的网卡MAC 要修改MAC地址 你可以通过硬件的方法实现 即利用网卡厂家提供的修改程序来烧录网卡的EEPROM 这样做虽然可行 但是风险很大 操作也复杂 即使你很有经验 也难免在操作中出现错误 其实完全没必要用烧录方法 修改网卡中的MAC地址 Windows安装的时候 会自动从网卡中读入MAC地址 把它存放在注册表中以备后用 当数据在网络中传输时 从网卡发出的数据包中要求有一个源MAC地址 这个MAC地址就是从注册表中读取的 并非从网卡中读取的 因此只要你修改了注册表中的MAC地址 就相当于改了网卡EEPROM中的MAC地址 两者实际效果是完全相同的 三 修改注册表中MAC的方法 1 使用软件修改本方法适用于所有类型的网卡 1 Win2003 XP 2000可以使用SMAC 这款软件并不能修改网卡中的MAC地址 只能修改注册表中的MAC 运行后点击 Refresh 窗口中的列表框将显示网卡的类型 IP地址 ActiveMAC等 在下面六个输入框中输入你指定的MAC地址 然后点击右侧的 UpdateMAC 即可修改完成 最后重启电脑使修改值生效 注意 试用版不能输入新的MAC地址 只能把MAC改成0C 0C 0C 0C 0C 01 2 在网卡属性中修改 如果你的网卡采用了RealTek公司的RTL8139芯片 就可以在网卡属性中修改MAC 方法如下 开始 设置 控制面板 系统 硬件 设备管理器 在设备管理器中展开 网络适配器 右击要修改MAC地址的网卡 选择 属性 点击 高级 选项卡 在 属性 下 选择点击NetworkAddress项目 在右侧 值 的下方 输入你要指定的MAC地址值 例如020202020202 注意要连续输入12个数字或字母 中间不要输入 重新启动电脑后 修改即可生效 如果修改之后 在Win2003 XP 2000下 你又想把注册表中的MAC地址恢复成原样 可以选择 NetworkAddress 项 将右边的值选择为 不存在 再重新启动即可 3 在注册表中修改 对于非RTL8139芯片的网卡 你可以直接修改注册表中的MAC 注意 修改注册表前 要先备份注册表 1 Win2003 XP 2000点击 开始 运行 输入regedit打开注册表 定位到HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control Class 4D36E972 E325 11CE BFC1 08002BE10318 0000 0001 0002等主键下 查找DriverDesc的内容 了解网卡使用了哪个主键 例如0001 如果主键下有params项 则该主键也是网卡所使用的 例如 网卡使用了0001主键 因此我们就选中它 在其右边建一个字符串项 名为NetworkAddress 双击该串 输入你指定的MAC地址值 注意应该是12位的连续数字或字母 其间没有 号 在0001下的NDI params中添加一项子键 名为NetworkAddress 选择该子键 在其右边添加名为default的字符串 键值为修改后的MAC地址 与上面的数值相同 修改后重启生效 拓展知识2 ADSL ADSL AsymmetricDigitalSubscriberLine 的全称是非对称数字式用户线路 是一种可以让家庭或小型企业利用现有电话网采用高频数字压缩方式 由网络服务提供商ISP进行宽带接入的技术 由于从ISP端到用户端 下行 需要大带宽来支持 而从用户端到ISP端 上行 只需要小量带宽即可 因此这种接入方式称之为 非对称 数字式用户线路 ADSL是如何工作的 当在一对电话线的两端分别安置一个ADSL设备时 利用现代分频和编码调制技术 就能够在这段电话线上产生三个信息通道 高速的下传通道 1 5 1 8M S 中速的双工通道普通的电话通道这三个通道可以同时工作 具体工作流程是 经ADSLModem编码后的信号通过电话线传到电信局后再通过一个信号识别 分离器 如果是语音信号就传到电话交换机上 如果是数字信号就接入Internet ADSL的结构 ADSL设备的种类很多 性能也不是完全一样 但基本的内核和接口却是完全一样的 ADSL必须支持模拟语音服务功能 一种专用的分离器将从ADSL的数字带宽下分隔出4KHz的模拟信号 ADSL同时还支持Internet和视频服务等功能 所有这些服务都是在中心局或者是在本地的交换机外部接入的 能够较好的解决中继和交换机的拥塞问题 以便信号能够畅通 ADSL的特点 高速率 一般情况下只能够达到5M S左右的下行最高速率 不过这已经是传统的56K模拟调制解调器或ISDN的数十倍 价格低 与此同时 ADSL不需要使用电话 属于专线上网的方式 这就意味着ADSL上网不需要缴付另外的电话费 并且ADSL个人用户还具有一个静态IP地址 多功能 ADSL除了可以高速上网浏览网页 收发电子邮件等功能外 它还可以实现网络视频点播 家庭网络办公 远程事务 远程教学等多种功能 投入低 ADSL可以让ISP利用现有的电话网络 提供广泛的接入服务以及新的通讯功能 不仅可以减少供应商的经济投入 同时也降低了投资的风险 广为分布的电话网几乎连接所有的角落 ADSL可以在用户需要时随时随地提供服务 而不需要另行布线而受到线路的限制 1 3互联网层 1 互联网层是将整个网络体系结构贯穿在一起的关键层 该层的任务是允许主机将分组发送到任何网络上 并且让这些分组独立地到达目标端 2 IPIP数据包是一组数据 含有源地址和目标地址以及一些选项 如比特位 头校验和数据净荷等 IP是一个不可靠的数据报业务 它既不能保证数据包得以传送 仅传一次或以特定的次序传输 也不能对数据包进行正确性检验 IP头中的校验只是针对数据包中的IP头进行检验 IP协议不能保证数据就是从数据包中给定的源地址发送的 任意一台主机都能够发送具有任何源地址的数据包 IP欺骗 攻击者可以发送含有伪造返回地址 源地址 的数据包 这种攻击叫IP欺骗 ICMP internetcontrolmessageprotocol ICMP是一个低层通信机制 用来影响TCP和UDP连接的行为 它可以用来通知主机到达目的地最佳路由 报告路由故障 或因网络故障中断某个连接 管理员常使用的两个非常重要的监控工具 ping和traceroute的协议基础 ping功能 用来测试一帧数据从一台主机传输到另一台主机所需的时间 从而判断主响应时间 traceroute功能 显示数据包到主机间的路径 1 4传输层 端到端的传输协议TCP UDPTCP TransportControlProtocol传输控制协议 可靠的面向连接的协议UDP UserDatagramprotocol用户数据报协议 不可靠的 无连接的协议 TCP连接开放过程 客户机状态 服务器状态 ACK CSEQ 1 SSED 1 SYN ACK CSEQ 1 SSED SYN CSEQ 激活开放 半开放 连接建立 1 5应用层 应用层包含了所有的高层协议 Telnet虚拟终端协议 简单终端到某台主机的访问FTP Filetransferprotocol 文件传输协议SMTP Simplemailtransferprotocol 简单邮件传输协议POP3 Postofficeprotocol3 邮件传输协议HTTP HyperTextTransportprotocol 超文本传输协议 用于获取WWW上的页面 1 6TCP IP的工作流程 1 TCP IP封装过程 2 TCP IP同层通信 3 TCP IP工作流程 2 互联网的地址 一些特有用途的IP地址 1 主机地址全为0的IP地址 只作为网络地址用 如 172 16 0 0 假如其子网掩码为 255 255 0 0 2 主机地址全为1的IP地址 只作为广播地址用 如 172 16 255 255 假如其子网掩码为 255 255 0 0 3 以127开头的IP地址 只作为网络诊断用 如 127 0 0 1是回送地址 环回地址 指本地机 一般可通过ping127 0 0 1来验证系统上的TCP IP协议是否被正确安装 如果TCP IP协议没有安装 电脑就上不了网 4 IP地址的第一个字段不能为全0 固定IP和动态IP InternetIP地址由NIC InternetNetworkInformationCenter 统一负责全球地址的规划 管理 同时由InterNIC APNIC RIPE三大网络信息中心具体负责美国及其它地区的IP地址分配 固定IP 固定IP地址是长期固定分配给一台计算机使用的IP地址 一般是特殊的服务器才拥有固定IP地址 动态IP 因为IP地址资源非常短缺 通过电话拨号上网或普通宽带上网用户一般不具备固定IP地址 而是由ISP动态分配暂时的一个IP地址 共有地址和私有地址 公有地址 Publicaddress 由InterNIC InternetNetworkInformationCenter因特网信息中心 负责 这些IP地址分配给注册并向InterNIC提出申请的组织机构 通过它直接访问因特网 私有地址 Privateaddress 属于非注册地址 专门为组织机构内部使用 以下列出留用的内部私有地址 A类10 0 0 0 10 255 255 255B类172 16 0 0 172 31 255 255C类192 168 0 0 192 168 255 255 IP子网掩码概述 子网掩码的概念子网掩码是一个32位地址 用于屏蔽IP地址的一部分以区别网络标识和主机标识 并说明该IP地址是在局域网上 还是在远程网上 确定子网掩码数用于子网掩码的位数决定于可能的子网数目和每个子网的主机数目 在定义子网掩码前 必须弄清楚本来使用的子网数和主机数目 子网掩码IP协议标准规定 每一个使用子网的网点都选择一个32位的位模式 若位模式中的某位置1 则对应IP地址中的某位为网络地址 包括网间网部分和物理网络号 中的一位 若位模式中的某位置0 则对应IP地址中的某位为主机地址中的一位 例如位模式 11111111111111111111111100000000中 前三个字节全1 代表对应IP地址中最高的三个字节为网络地址 后一个字节全0 代表对应IP地址中最后的一个字节为主机地址 这种位模式叫做 子网掩码 子网掩码与IP地址结合使用 可以区分出一个网络地址的网络号和主机号 例如 有一个C类地址为 192 9 200 13其缺省的子网掩码为 255 255 255 0则它的网络号和主机号可按如下方法得到 将IP地址192 9 200 13转换为二进制11000000000010011100100000001101 将子网掩码255 255 255 0转换为二进制11111111111111111111111100000000 将两个二进制数逻辑与 AND 运算后得出的结果即为网络部分11000000000010011100100000001101AND11111111111111111111111100000000等于11000000000010011100100000000000结果为192 9 200 0 即网络号为192 9 200 0 将子网掩码取反再与IP地址逻辑与 AND 后得到的结果即为主机部分11000000000010011100100000001101AND00000000000000000000000011111111等于00000000000000000000000000001101结果为0 0 0 13 即主机号为13 如果是C类网 则子网掩码为255 255 255 0 如果是B类网 则子网掩码为255 255 0 0 如果是A类网 则子网掩码为255 0 0 0 将一个C类网络分成4个子网 若我们用的网络号为192 9 200 则该C类网内的主机IP地址就是192 9 200 1 192 9 200 254 因为全 0 和全 1 的主机地址有特殊含义 不作为有效的IP地址 现将网络划分为4个部分 占用主机地址的高序位即为11000000 转换为十进制为192 这样就可确定该子网掩码为 255 255 255 192 4个子网的IP地址范围分别为 11000000000010011100100000000001192 9 200 111000000000010011100100000111110192 9 200 62 11000000000010011100100001000001192 9 200 6511000000000010011100100001111110192 9 200 126 11000000000010011100100010000001192 9 200 12911000000000010011100100010111110192 9 200 190 11000000000010011100100011000001192 9 200 19311000000000010011100100011111110192 9 200 254 三类网络子网数目与子网掩码的转换表 A类 子网数目占用位数子网掩码子网中主机数21255 128 0 08 388 60642255 192 0 04 194 30283255 224 0 02 097 150164255 240 0 01 048 574325255 248 0 0524 286646255 252 0 0262 1421287255 254 0 0131 0701288255 255 0 065 534 B类 子网数目占用位数子网掩码子网中主机数21255 255 128 032 76642255 255 192 016 38283255 255 224 08 190164255 255 240 04 094325255 255 248 02 046646255 255 252 01 0221287255 255 254 05102568255 255 255 0254 C类 子网数目占用位数子网掩码子网中主机数21255 255 255 12812642255 255 255 1926283255 255 255 22430164255 255 255 24014325255 255 255 2486646255 255 255 2522 定义子网掩码的步骤 A 确定哪些组地址归我们使用 如我们申请到的网络号为 210 73 a b 该网络地址为c类IP地址 网络标识为 210 73 主机标识为 a b B 根据我们现在所需的子网数以及将来可能扩充到的子网数 用宿主机的一些位来定义子网掩码 比如我们现在需要12个子网 将来可能需要14个 用第三个字节的前四位确定子网掩码 前四位都置为 1 即第三个字节为 11110000 这个数我们暂且称作新的二进制子网掩码 C 把对应初始网络的各个位都置为 1 即前两个字节都置为 1 第四个字节都置为 0 则子网掩码的间断二进制形式为 11111111 11111111 11110000 00000000 D 把这个数转化为间断十进制形式为 255 255 240 0 这个数为该网络的子网掩码 IP掩码的标注 A 无子网的标注法对无子网的IP地址 可写成主机号为0的掩码 如IP地址210 73 140 5 掩码为255 255 255 0 也可以缺省掩码 只写IP地址 B 有子网的标注法有子网时 一定要二者配对出现 以C类地址为例 IP地址中的前3个字节表示网络号 后一个字节既表明子网号 又说明主机号 还说明两个IP地址是否属于一个网段 例如 对于IP地址为210 73 140 5的主机来说 其主机标识为00000101 对于IP地址为210 73 140 16的主机来说它的主机标识为00010000 以上两个主机标识的前面三位全是000 说明这两个IP地址在同一个网络区域中 掩码的功用是说明有子网和有几个子网 但子网数只能表示为一个范围 不能确切讲具体几个子网 掩码不说明具体子网号 有子网的掩码格式 对C类地址 主机标识前几位为子网号 后面不写主机 全写0 IP的其他事项 一般国际互联网信息中心在分配IP地址时是按照网络来分配的 因此只有说到网络地址时才能使用A类 B类 C类的说法 在分配网络地址时 网络标识是固定的 而计算机标识是可以在一定范围内变化的 下面是三类网络地址的组成形式 A类地址 73 0 0 0B类地址 160 153 0 0C类地址 210 73 140 0上述中的每个0均可以在0 255之间进行变化 因为IP地址的前三位数字已决定了一个IP地址是属于何种类型的网络 所以A类网络地址将无法再分成B类IP地址 B类IP地址也不能再分成C类IP地址 在谈到某一特定的计算机IP地址时不宜使用A类 B类 C类的说法 但可以说主机地址是属于哪一个A类 B类 C类网络了 现在建好了一个局域网 已知局域网中的主机数目为200台 共分成了4个子网 每个子网里有50台机器 请问如何分配IP地址比较合理 解题思路 在这里可以这样做 同时选择4个C类的网络地址 192 168 0 1 50 192 168 1 1 50 192 168 2 1 50 192 168 3 1 50 这四个网络的子网掩码都是255 255 255 0 在这里 按理说最后一个字段除去一个 0 和一个 255 以外 还可以容纳254台主机 而现在才用了50个 造成了资源的很大浪费 掩码扩展技术就是减少浪费的一个途径 针对本题来说 因为200台主机要用8个二进制位来表示 也就是说只选择一个C类的地址 假设就选定192 168 1 0 它的子网掩码为 255 255 255 0 现在对掩码向后进行扩展 因为要把局域网分成4个更小的子网 所以要用2位二进制数来表示 那么就应该向后扩展2位 也就是由原来的255 255 255 0扩展为255 255 255 192 最后得到的网络配置为 192 168 0 1 50 192 168 0 65 114 192 168 0 129 178 192 168 0 193 242 这就是最优的IP地址配置 巩固练习 现在建一个局域网 已知局域网中的主机数目为180台 共分成了6个子网 每个子网里有30台机器 请问如何分配IP地址比较合理 C类地址 220 20 20 0 试题一 2002年网工下午试题 说明 设有A B C D4台主机都处在同一个物理网络中 A主机的IP地址是192 155 12 112 B主机的IP地址是192 155 12 120 C主机的IP地址是192 155 12 176 D主机的IP地址是192 155 12 222 共同的子网掩码是255 255 255 224 问题1 A B C D4台主机之间哪些可以直接通信 哪些需要通过设置网关 或路由器 才能通信 请画出网络连接示意图 并注明各个主机的子网地址和主机地址 问题2 若要加入第5台主机E 使它能与D直接通信 其IP地址的设定范围应是多少 问题3 不改变A主机的物理位置 将其IP改为192 155 12 168 试问它的直接广播地址和本地广播地址各是多少 问题4 若要使主机A B C D在这个网上都能够直接通信 可采取什么办法 问题1 A B两台主机之间可以直接通信 A B与C之间通过路由器方能通信 A B与D之间通过路由器方能通信 C与D之间通过路由器方能通信 问题2 IP地址的范围是192 155 12 193至192 155 12 221问题3 o直接广播地址是192 155 12 191o本地广播地址是255 255 255 255问题4 将子网掩码改为255 255 255 0 即C类地址的默认值 端口和端口号 端口 port 可以认为是计算机与外界通讯交流的出口 计算机的物理端口 又称接口 包括 计算机的串口 并口 输入 输出设备 以及适配器接口等 软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口 是一种抽象的软件结构 端口是一个开放并且对外服务的接口 端口号只是端口的一个编号 每个IP能开65535个端口 所以端口号从1到65535不同的端口分别提供不同的服务 通过不同端口 计算机可以与外界进行互不干扰的通信 常见端口 端口 21服务 FTP说明 FTP服务器所开放的端口 用于上传 下载 最常见的攻击者用于寻找打开anonymous的FTP服务器的方法 这些服务器带有可读写的目录 木马DolyTrojan Fore InvisibleFTP WebEx WinCrash和BladeRunner所开放的端口 端口 22服务 SSh说明 PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh 这一服务有许多弱点 如果配置成特定的模式 许多使用RSAREF库的版本就会有不少的漏洞存在 SSH的英文全称是SecureSHell 通过使用SSH 你可以把所有传输的数据进行加密 这样 中间人 这种攻击方式就不可能实现了 而且也能够防止DNS和IP欺骗 端口 23服务 Telnet说明 远程登录 入侵者在搜索远程登录UNIX的服务 大多数情况下扫描这一端口是为了找到机器运行的操作系统 还有使用其他技术 入侵者也会找到密码 木马TinyTelnetServer就开放这个端口 端口 25服务 SMTP说明 SMTP服务器所开放的端口 用于发送邮件 入侵者寻找SMTP服务器是为了传递他们的SPAM 入侵者的帐户被关闭 他们需要连接到高带宽的E MAIL服务器上 将简单的信息传递到不同的地址 木马Antigen EmailPasswordSender HaebuCoceda ShtrilitzStealth WinPC WinSpy都开放这个端口 端口 80服务 HTTP说明 用于网页浏览 木马Executor开放此端口 端口 102服务 Messagetransferagent MTA X 400overTCP IP说明 消息传输代理 端口 109服务 PostOfficeProtocol Version3说明 POP3服务器开放此端口 用于接收邮件 客户端访问服务器端的邮件服务 POP3服务有许多公认的弱点 关于用户名和密码交换缓冲区溢出的弱点至少有20个 这意味着入侵者可以在真正登陆前进入系统 成功登陆后还有其他缓冲区溢出错误 端口 110服务 SUN公司的RPC服务所有端口说明 常见RPC服务有rpc mountd NFS rpc statd rpc csmd rpc ttybd amd等 端口 119服务 NetworkNewsTransferProtocol说明 NEWS新闻组传输协议 承载USENET通信 这个端口的连接通常是人们在寻找USENET服务器 多数ISP限制 只有他们的客户才能访问他们的新闻组服务器 打开新闻组服务器将允许发 读任何人的帖子 访问被限制的新闻组服务器 匿名发帖或发送SPAM 端口 135服务 LocationService说明 Microsoft在这个端口运行DCERPCend pointmapper为它的DCOM服务 这与UNIX111端口的功能很相似 使用DCOM和RPC的服务利用计算机上的end pointmapper注册它们的位置 远端客户连接到计算机时 它们查找end pointmapper找到服务的位置 HACKER扫描计算机的这个端口是为了找到这个计算机上运行ExchangeServer吗 什么版本 还有些DOS攻击直接针对这个端口 端口 137 138 139服务 NETBIOSNameService说明 其中137 138是UDP端口 当通过网上邻居传输文件时用这个端口 而139端口 通过这个端口进入的连接试图获得NetBIOS SMB服务 这个协议被用于windows文件和打印机共享和SAMBA 还有WINSRegisrtation也用它 端口 161服务 SNMP说明 SNMP允许远程管理设备 所有配置和运行信息的储存在数据库中 通过SNMP可获得这些信息 许多管理员的错误配置将被暴露在Internet Cackers将试图使用默认的密码public private访问系统 他们可能会试验所有可能的组合 SNMP包可能会被错误的指向用户的网络 后门 BackDoor 程序 据专家们分析 服务器端口数最大可以有65535个 但是实际上常用的端口才几十个 由此可以看出未定义的端口相当多 许多黑客程序都可以采用某种方法 定义出一个特殊的端口来达到入侵的目的 为了定义出这个端口 就要依靠某种程序在计算机启动之前自动加载到内存 强行控制计算机打开那个特殊的端口 这个程序就是 后门 程序 也就是常说的木马程序 关闭端口的方法 点击 开始 控制面板 网络连接 本地连接 右键 属性 然后选择 Internet tcp ip 属性 在 Internet tcp ip 属性 对话框中选择 高级 选项卡 在 高级TCP IP设置 对话框中点选 选项 TCP IP筛选 属性 在这里分为3项 分别是TCP UDP IP协议 假设我的系统只想开放21 80 25 110这4个端口 只要在 TCP端口 上勾选 只允许 然后点击 添加 依次把这些端口添加到里面 然后确定 注意 修改完以后系统会提示重新启动 这样设置才会生效 这样 系统重新启动以后只会开放刚才你所选的那些端口 其它端口都不会开放 4 客户机 服务器模型 C S模型 C S模型分为重复型和并发型重复型服务器通过以下步骤进行交互 等待一个客户请求的到来 处理客户请求 发送响应给发送请求的客户 返回 重复型服务器主要的问题发生在 状态 在这个时候 它不能为其他客户机提供服务 并发型服务器采用以下步骤 等待一个客户请求的到来 启动一个新的服务器来处理这个客户的请求 在这期间可能生成一个新的进程 任务或线程 并依赖底层操作系统的支持 生成的新服务器对客户的全部请求进行处理 处理结束后 终止这个新服务器 返回 并发