学士学位毕业论文.doc

黑河学院毕业 设计 论文 I 目 录 摘 要 II ABSTRACT III 前 言 IV 第一章 端口扫描技术和网络攻击的概述 1 1 1 端口扫描的概念 1 1 1 1 端口的分类 1 1 1 2 查看端口的方法 1 1 1 3 研究端口的目的 2 1 2 网络攻击的概念 2 第二章 端口扫描和网络攻击的关键技术 3 2 1 常见的端口扫描技术 3 2 1 1 TCP connect 扫描 3 2 1 2 TCP SYN 扫描 3 2 1 3 TCP FIN 扫描 4 2 1 4 IP 段扫描 4 2 1 5 TCP 反向 ident 扫描 4 2 1 6 FTP 返回攻击 4 2 2 常见的网络攻击技术系统特性 5 2 3 网络攻击软件 WinArpAttactker 的分析与应用 6 第三章 防御措施 9 3 1 取消文件夹隐藏共享 9 3 2 拒绝恶意代码 9 3 3 封死黑客的后门 10 3 4 隐藏 IP 地址 10 3 5 关闭不必要的端口 10 3 6 更换管理员账户 11 3 7 杜绝 Guest 账户的入侵 11 3 8 安装必要的安全软件和防范木马程序 11 总 结 12 参考文献 13 致 谢 14 黑河学院毕业 设计 论文 II 摘 要 当今的 Internet 每时每刻都存在危险 如果用户在使用 Internet 时不采取任何保护措 施 就很容易遭到黑客的攻击 Windows XP 是进行 Internet 商务的最佳操作系统 此 外 Windows 操作系统不开放源代码 网络安全专家无法直接修改 增加操作系统中关 于网络协议实现的代码来改善操作系统的安全性 因此 在 Windows XP 平台下保护 PC 机上网的安全是一个值得研究的问题 近几年频繁出现的安全事故引起了各国计算机 安全界的高度重视 计算机网络安全技术也因此出现了日新月异的变化 本篇论文是对现时网络环境中的端口扫描技术和网络攻击技术的分析 系统的研 究目前存在于网络中的黑客攻击方式 从而为更好的防御网络中的危险程序 提供 详细说明 关键词 Internet 端口 端口扫描 网络攻击 黑河学院毕业 设计 论文 III ABSTRACT Today s Internet there is the danger at all times If a user when using the Internet do not take any protective measures it is vulnerable to hackers Windows XP is the best operating system Internet Business In addition Windows is not open source operating system network security experts can not be directly modified to increase the operating system on the network protocol to achieve the operating system code to improve security Therefore under the protection of Windows XP platform for PC Internet security is a problem worthy of study In recent years frequent security incidents caused by the computer security community countries attach great importance to computer network security technology also changes with each passing day there This paper is on the current network environment of the port scanning technology and analysis of network attack techniques Systems now exist in the network hacker attacks Defense so as to better the risk of the network to provide a detailed explanation Keywords Internet Port Port Scanning Network Attack 黑河学院毕业 设计 论文 IV 前 言 随着科学技术的飞速发展 21 世纪的地球人已经生活在信息时代 人们已经越来越 离不开网络 在网络方面 计算机技术和网络技术已成为科学家们研究的重点 它们均 已深入到人类社会的各个领域 Internet 把 地球人 之间的距离缩的更近了 互联网之 所以能这样迅速蔓延 被世人所接受 是因为它具备特有的信息资源 无论对学者 商 人 还是社会生活中的普通老百姓 只要你进入网络的世界 就能找到其隐藏的奥妙 就能得到你所需要的信息 近年来 Internet 的迅速发展 给人们的日常生活带来了全新的 感受 网络生存 已经成为时尚 同时人类社会诸如政治 经济 军事等各种活动对信 息网络的依赖程度已经越来越强 网络经济 时代已初露端倪 然而 网络技术的发展在给我们带来便利的同时也带来了巨大的隐患 尤其是 Internet 和 Intranet 的飞速发展对网络安全提出了前所未有的挑战 技术是一把双刃剑 不法分子试图不断利用新的技术伺机攻入他人的网络系统 而肩负保护网络安全重任的 系统管理员则要利用最新的网络技术来防范各种各样的非法网络入侵行为 事实已经证 明 随着互联网的日趋普及 在互联网上的犯罪活动也越来越多 特别是 Internet 大范围 的开放以及金融领域网络的接入 使得越来越多的系统遭到黑客攻击的威胁 本论文从技术 原理等方面 对端口扫描和网络攻击进行分析 最后总结出在 Windows XP 系统下 最简单有效的防御措施 黑河学院毕业 设计 论文 1 第一章 端口扫描技术和网络攻击的概述 随着 Internet 的日益普及 网络安全成为被广泛关注的问题 从 2000 年年初 Yahoo eBay 等著名网站遭到 DDoS 攻击 年底微软网站被 黑 开始 网络安全逐步成为热 门的技术产业 本论文主要研究分析端口扫描技术和网络攻击 1 1 端口扫描的概念 端口就是一个潜在的通信通道 也就是一个入侵通道 对目标计算机进行端口扫描 能得到许多有用的信息 进行扫描的方法很多 可以是手工进行扫描 也可以用端口扫 描软件进行 通过端口扫描 可以得到许多有用的信息 从而发现系统的安全漏洞 1 1 1 端口的分类 端口可分为3大类 1 公认端口 Well Known Ports 从0到1023 它们紧密绑定于一些服务 通常这些 端口的通讯明确表明了某种服务的协议 例如 80端口实际上总是 HTTP 通讯 2 注册端口 Registered Ports 从1024到49151 它们松散地绑定于一些服务 也 就是说有许多服务绑定于这些端口 这些端口同样用于许多其它目的 例如 许多系统 处理动态端口从1024左右开始 3 动态和 或私有端口 Dynamic and or Private Ports 从49152到65535 理论上 不应为服务分配这些端口 实际上 机器通常从1024起分配动态端口 但也有例外 SUN 的 RPC 端口从32768开始 1 1 2 查看端口的方法 1 用 netstat an 查看端口状态 在 Windows 2000 XP 中 可以在命令提示符下使用 netstat an 查看系统端口状态 可以列出系统正在开放的端口号及其状态 如图1 1所示 图1 1 使用命令提示符 黑河学院毕业 设计 论文 2 2 用第三方端口扫描软件 第三方端口扫描软件有许多 例如 Fport Scan Part nmap 等 界面虽然千差万别 但是功能却是类似的 这里以 Anger IP Scanner 为例 Anger IP Scanner 是一个相当 小的 IP 端口扫描软件 不过虽然它的体积小 但功能确一点也不小 利用它 可以获 得被扫描计算机的 IP 地址 Ping 响应时间 主机名称 计算机名称 工作组 登录用户 名 MAC 地址等信息 它可以在很短的时间内扫描远端主机 IP 的运作状况 并且快速的 将结果整理完 显示在窗口中 如图1 2所示 图1 2 Angry IP Scanner 界面 1 1 3 研究端口的目的 1 知道本机开了那些端口 2 目前本机的端口处于什么状态 3 目前本机是不是正在和其它计算机交换数据 1 2 网络攻击的概念 试图通过网络入侵或干扰一个网络的行为 就是网络攻击 网络攻击的种类有多种 多样 分为主动攻击和被动攻击 主动攻击是电脑用户利用自己的电脑和网络 进行入 侵或干扰其它网络 被动攻击 是电脑中了病毒或木马程序 在机主不知道的情况下 由病毒或木马自己进行网络入侵或干扰活动 黑河学院毕业 设计 论文 3 第二章 端口扫描和网络攻击的关键技术 2 1 常见的端口扫描技术 2 1 1 TCP connect 扫描 TCP connect 扫描使用基本的 TCP 连接建立机制 打开一个到目标主机感兴趣端 口的连接 1 SYN 数据包被发往目标主机的扫描端口 2 用户等待目标主机发送回来的包类型 如果收到的数据包是 SYN ACK 类型 说 明目标端口正在监听如果收到的数据包是 RST ACK 类型 说明目标端口不处于监听状态 连接被复位 3 如果收到 SYN ACK 数据包则通过发送 ACK 信号完成三次握手 4 当整个连接过程完成后 结束连接 这种的扫描容易被发现 目标主机检查日志文件时很容易就发现这一类一连接就断 开的错误信息 TCP IP 协议的网络体系结构 如图2 1所示 图 2 1 TCP IP 协议的体系结构 2 1 2 TCP SYN 扫描 这种技术通常认为是 半开放 扫描 这是因为扫描程序不必要打开一个完全的 TCP 连接 扫描程序发送的是一个 SYN 数据包 好像准备打开一个实际的连接并等待反 应一样 参考 TCP 的三次握手建立一个 TCP 连接的过程 一个 SYN ACK 的返回信息 表示 端口处于侦听状态 一个 RST 返回 表示端口没有处于侦听态 如果收到一个 4 应用层 3 传输层 1 网络接口层 2 互联网层 SMPTPOP3FTPHTTPDNS TCPUDP IPICM P 网络接口 黑河学院毕业 设计 论文 4 SYN ACK 则扫描程序必须再发送一个 RST 信号 来关闭这个连接过程 这种扫描技术 的优点在于一般不会在目标计算机上留下记录 但这种方法的一个缺点是 必须要有 root 权限才能建立自己的 SYN 数据包 TCP 的 报文格式 如图 2 2 所示 图 2 2 TCP 报文结构 2 1 3 TCP FIN 扫描 有的时候有可能 SYN 扫描都不够秘密 一些防火墙和包过滤器会对一些指定的端口 进行监视 有的程序能检测到这些扫描 相反 FIN 数据包可能会没有任何麻烦的通过 这种扫描方法的思想是关闭的端口会用适当的 RST 来回复 FIN 数据包 另一方面 打开 的端口会忽略对 FIN 数据包的回复 这种方法和系统的实现有一定的关系 有的系统不管端口是否打开 都回复 RST 这样 这种扫描方法就不适用了 并且这种方法在区分 Unix 和 NT 时 是十分有用的 2 1 4 IP 段扫描 这种不能算是新方法 只是其它技术的变化 它并不是直接发送 TCP 探测数据包 是将数据包分成两个较小的 IP 段 这样就将一个 TCP 头分成好几个数据包 从而过滤器 就很难探测到 但必须小心 一些程序在处理这些小数据包时会有些麻烦 2 1 5 TCP 反向 ident 扫描 ident 协议允许 rfc1413 看到通过 TCP 连接的任何进程的拥有者的用户名 即使这 个连接不是由这个进程开始的 例如 连接到 http 端口 然后用 ident 来发现服务器是否 正在以 root 权限运行 这种方法只能在和目标端口建立了一个完整的 TCP 连接后才能看 到 2 1 6 FTP 返回攻击 FTP 协议的一个有趣的特点是它支持代理 proxy FTP 连接 即入侵者可以从自己 源端口 16 位 目的端口 16 位 序号 确认号 报头长度 保 留 U R S A C K P S H R S T S Y N F I N 窗口大小 16 位 校验和紧急指针 选项 可变 填充 可变 数据区 报头 报体 黑河学院毕业 设计 论文 5 的计算机 和目标主机 的 FTP Server PI 协议解释器 连接 建立一个 控制通信连接 然后 请求这 Server PI 激活一个有效的 Server DTP 数据传输进程 来 给 Internet 上任何地方发送文件 对于一个 User DTP 这是个推测 尽管 RFC 明确地定 义 请求一个服务器发送文件到另一个服务器是可以的 但现在这个方法好像不行了 这个协议的缺点是 能用来发送不能跟踪的邮件和新闻 给许多服务器造成打击 用尽 磁盘 企图越过防火墙 我们利用这个的目的是从一个代理的 FTP 服务器来扫描 TCP 端口 这样 就能在一 个防火墙后面连接到一个 FTP 服务器 然后扫描端口 这些原来有可能被阻塞 如果 FTP 服务器允许从一个目录读写数据 你就能发送任意的数据到发现的打开的端口 对于端口扫描 这个技术是使用 PORT 命令来表示被动的 User DTP 正在目标计算机 上的某个端口侦听 然后入侵者试图用 LIST 命令列出当前目录 结果通过 Server DTP 发送出去 如果目标主机正在某个端口侦听 传输就会成功 产生一个 150 或 226 的回 应 否则 会出现 425 Can t build data connection Connection refused 然后 使 用另一个 PORT 命令 尝试目标计算机上的下一个端口 这种方法的优点很明显 难以 跟踪 能穿过防火墙 主要缺点是速度很慢 有的 FTP 服务器最终能得到一些线索 关闭代理功能 2 2 常见的网络攻击技术系统特性 1 获取口令 其中包括三种方法 一是通过网络监听非法得到用户口令这类方法有一定的局限性 但危害性极大 监听者往往能够获得其所在网段的所有用户账号和口令 对局域网安全 威胁巨大 二是在知道用户的账号后 如电子邮件 前面的部分 利用一些专门软件强行 破解用户口令这种方法不受网段限制 但黑客要有足够的耐心和时间 三是在获得一个 服务器上的用户口令文件 此文件成为 Shadow 文件 后 用暴力破解程序破解用户口令 2 放置特洛伊木马程序 特洛伊木马程序可以直接侵入用户的电脑并进行破坏 它常被伪装成工具程序或者 游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载 一旦用户打开 了这些邮件的附件或者执行了这些程序之后 它们就会像古特洛伊人在敌人城外留下的 藏满士兵的木马一样留在自己的电脑中 并在自己的计算机系统中隐藏一个可以在 Windows 启 动时悄悄执行的程序 当您连接到因特网上时 这个程序就会通知黑客 来报告您的 IP 地址以及预先设定的端口 黑客在收到这些信息后 再利用这个潜伏在其 中的程序 就 可以任意地修改用户计算机的参数设定 复制文件 窥视用户整个硬 盘中的内容等 从而达到控制用户的计算机的目的 3 WWW 的欺骗技术 黑河学院毕业 设计 论文 6 黑客将用户要浏览的网页的 URL 改写为指向黑客自己的服务器 当用户浏览目标网 页的时候 实际上是向黑客服务器发出请求 那么黑客就可以达到欺骗的目的了 4 电子邮件攻击 电子邮件攻击主要表现为两种方式 一是电子邮件轰炸和电子邮件 滚雪球 也 就是通常所说的邮件炸弹 指的是用伪造的 IP 地址和电子邮件地址向同一信箱发送数以 千计 万计甚至无穷多次的内容相同的垃圾邮件 致使受害人邮箱被 炸 严重者可 能会给电子邮件服务器操作系统带来危险 甚至瘫痪 二是电子邮件欺骗 攻击者佯称 自己为系统管理员 邮件地址和系统管理员完全相同 给用户发送邮件要求用户修改 口令 口令可能为指定字符串 或在貌似正常的附件中加载病毒或其他木马程序 这类 欺骗只要用户提高警惕 一般危害性不是太大 5 通过一个节点来攻击其他节点 黑客在突破一台主机后 往往以此主机作为根据地 攻击其他主机 以隐蔽其入侵 路 径 避免留下蛛丝马迹 他们可以使用网络监听方法 尝试攻破同一网络内的其 他主机 也可以通过 IP 欺骗和主机信任关系 攻击其他主机 这类攻击很狡猾 但由于 某些技术很难掌握 如 IP 欺骗 因此较少被黑客使用 6 网络监听 网络监听是主机的一种工作模式 如果两台主机进行通信的信息没有加密 只要使 用某些网络监听工具 例如 NetXray for Windows 95 98 nt sniffit for linux solaries 等就 可以轻而易举地截取包括口令和账号在内的信息资料 7 寻找系统漏洞 许多系统都有这样那样的安全漏洞 Bugs 其中某些是操作系统或应用软件本身 具有的 这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏 除非用户将网线 拔 掉 还有一些漏洞是由于系统管理员配置错误引起的 如在网络文件系统中 将目 录和文件以可写的方式调出 将未加 Shadow 的用户密码文件以明码方式存放在某一目录 下 这都会给黑客带来可乘之机 应及时加以修正 8 利用账号进行攻击 有的黑客会利用操作系统提供的缺省账户和密码进行攻击 这类攻击只要系统管理 员提高警惕 将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服 9 偷取特权 利用各种特洛伊木马程序 后门程序和黑客自己编写的导致缓冲区溢出的程序进行 攻击 前者可使黑客非法获得对用户机器的完全控制权 后者可使黑客获得超级用户的 权 限 从而拥有对整个网络的绝对控制权 这种攻击手段 一旦奏效 危害性极大 2 3 网络攻击软件 WinArpAttactker 的分析与应用 目前存在局域网中的 arp 攻击一直困扰着我们 其实 arp 攻击并不是病毒 而是一些 黑河学院毕业 设计 论文 7 软件造成的 使用该软件者的目的就是独占大部分网络资源而使局域网内部其他机器不 能正常运作 WinArpAttacker 是一款能够在本地网络进行扫描 攻击 检测和防护的应用 软件 窗口如图 2 3 所示 图 2 3 WinArpAttacker 界面 1 WinArpAttacker 的界面分为四块输出区域 主机列表区 显示的信息有局域网内的机器 IP MAC 地址 主机名 是否在线 是否在监听 是否处于被攻击状态 另外 还有一些 ARP 数据包和转发数据包统计信息 如 ArpSQ 是该机器的发送 ARP 请求包的个数 ArpSP 是该机器的发送回应包个数 ArpRQ 是该机器的接收请求包个数 ArpRP 是该机器的接收回应包个数 检测事件显示区 在这里显示检测到的主机状态变化和攻击事件 能够检测的事 件列表 主要有 IP 冲突 扫描 SPOOF 监听 本地 ARP 表改变 新机器上线等 当用 鼠标在上面移动时 会显示对于该事件的说明 本机的 ARP 表中的项 这对于实时监控本机 ARP 表变化 防止别人进行 SPOOF 攻 击是很有好处的 显示区主要显示软件运行时的一些输出 如果运行有错误 则都会从这里输出 2 攻击的方式 FLOOD 不间断的 IP 冲突攻击 攻击可使对方机器弹出 IP 冲突对话框 导致当机 因而要小心使用 禁止网关 选定机器 选择禁止上网攻击 可使对方机器不能上网 IP 冲突 会使对方机器弹出 IP 冲突对话框 黑河学院毕业 设计 论文 8 网关嗅探 监听选定机器与网关的通讯 从而查看对方机器的上网流量 主机嗅探 监听选定的几台机器之间的通讯 网络嗅探 监听整个网络任意机器之间的通讯 这个功能很危险建议不要使用 3 WinArpAttacker 软件自带的保护措施 WinArpAttacker 支持 arp 表防护 当 WinArpAttacker 检测到本地或远程主机被欺骗 能够自动刷新本地或远程主机的 arp 表 防御选项卡如图 2 4 所示 图 2 4 保护选项卡 黑河学院毕业 设计 论文 9 第三章 防御措施 为了实现服务器与客户机的通信 服务器和客户机都必须建立套接字 这样做目的 是为了确保数据的安全性 在这种安全连接上 数据在发送前经过加密码 然后在接收 时先解密再进行处理 浏览器和服务器在发送任何数据之前都对所有流量加密 图 3 1 安全套接字工作流程图 经过对端口扫描和网络攻击技术的研究 结合现有的防御技术文章 总结下列几种 简单的防御措施 3 1 取消文件夹隐藏共享 1 打开注册表编辑器 进入 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Sevices Lanmanworkstation parameters 新建一个名为 AutoShareWKs 的双字节值 并将其值设为 0 然后重新启动电脑 2 在计算机管理中直接停止共享 右击我的电脑 管理 共享文件夹 共享 右击 需要停止的共享 停止共享 3 2 拒绝恶意代码 运行 IE 浏览器 工具 Internet 选项 安全 自定义级别 将安全级别定义为 安全 服务器 bind 套接字 s 与本地地址 相连 socket 建立流式套接字 返 回套接字号 s recv send 在套接字 ns 上读 写数据 直到完成交换 客户方 bind 将套接字 s 与远地主 机相连 socket 建立流式套接字 返 回套接字号 s send recv 在套接字上写 读数据 直到数据交换完成 closesocket 关闭套接字 nsclosesocket 关闭套接字 s 结束 TCP 对话 黑河学院毕业 设计 论文 10 级 高 对 ActiveX 控件和插件 中第 2 3 项设置为 禁用 其它项设置为 提示 之后点击 确定 这样设置后 当你使用 IE 浏览网页时 就能有效避免恶意网页中恶 意代码的攻击 3 3 封死黑客的后门 1 删掉不必要的协议 对于服务器和主机来说 一般只安装 TCP IP 协议就够了 鼠标右击 网络邻居 选择 属性 再鼠标右击 本地连接 选择 属性 卸载不必要的协议 其中 NETBIOS 是很多安全缺陷的根源 对于不需要提供文件和打印共享的主机 还可以将绑 定在 TCP IP 协议的 NETBIOS 关闭 避免针对 NETBIOS 的攻击 选择 TCP IP 协议 属性 高级 进入 高级 TCP IP 设置 对话框 选择 WINS 标签 勾选 禁用 TCP IP 上的 NETBIOS 一项 关闭 NETBIOS 2 关闭 文件和打印共享 用鼠标右击 网络邻居 选择中本地连接然后右击属性菜单 在弹出的对话框中把 Microsoft 网络文件和打印机共享 前的复选框取消即可 3 把 Guest 账号禁用 打开控制面板 双击 用户和密码 单击 高级 选项卡 再单击 高级 按钮 弹出本地用户和组窗口 在 Guest 账号上面点击右键 选择属性 在 常规 页中选中 账户已停用 另外 将 Administrator 账号改名可以防止黑客知道自己的管理员账号 这会在很大程度上保证计算机安全 4 禁止建立空连接 打开注册表 HKEY LOCAL MACHINE System CurrentControlSetControl LSA 将 DWORD 值 Restrict Anonymous 的键值改为 1 即可 3 4 隐藏 IP 地址 黑客经常利用一些网络探测技术来查看我们的主机信息 主要目的就是得到网络中 主机的 IP 地址 IP 地址在网络安全上是一个很重要的概念 如果攻击者知道了你的 IP 地 址 等于为他的攻击准备好了目标 他可以向这个 IP 发动各种进攻 如 DoS 拒绝服务 攻击 Floop 溢出攻击等 隐藏 IP 地址的主要方法是使用代理服务器 3 5 关闭不必要的端口 黑客在入侵时常常会扫描用户的计算机端口 如果安装了端口监视程序 比如 Net watch 该监视程序则会有警告提示 如果遇到这种入侵 可用工具软件关闭用不到的端 黑河学院毕业 设计 论文 11 口 比如 用 Norton Internet Security 关闭用来提供网页服务的 80 和 443 端口 其他 一些不常用的端口也可关闭 3 6 更换管理员账户 Administrator 账户拥有最高的系统权限 一旦该账户被人利用 后果不堪设想 黑客 入侵的常用手段之一就是试图获得 Administrator 账户的密码 所以我们要重新配置 Administrator 账号 首先是为 Administrator 账户设置一个强大复杂的密码 然后我们重 命名 Administrator 账户 再创建一个没有管理员权限的 Administrator 账户欺骗入侵者 这样一来 入侵者就很难搞清哪个账户真正拥有管理员权限 也就在一定程度上减少了 危险性 3 7 杜绝 Guest 账户的入侵 Guest 账户即所谓的来宾账户 它可以访问计算机 但受到限制 不幸的是 Guest 也为黑客入侵打开了方便之门 网上有很多文章中都介绍过如何利用 Guest 用户得到管理 员权限的方法 所以要杜绝基于 Guest 账户的系统入侵 禁用或彻底删除 Guest 账户是最 好的办法 3 8 安装必要的安全软件和防范木马程序 我们还应在电脑中安装并使用必要的防黑软件 杀毒软件和防火墙都是必备的 在 上网时打开它们 这样即便有黑客进攻我们的安全也是有保证的 木马程序会窃取所植入电脑中的有用信息 因此我们也要防止被黑客植入木马程序 常用的办法有 1 在下载文件时先放到自己新建的文件夹里 再用杀毒软件来检测 起到提前预防 的作用 2 在 开始 程序 启动 或 开始 程序 Startup 选项里看是 否有不明的运行项目 如果有 删除即可 3 注册表里 KEY LOCAL MACHINE SOFTWARE Microso