网络通信安全..ppt

1、第4章 网络通信安全,4.1 网络通信中的安全威胁 4.2 远程访问的安全 4.3 IP安全 4.4 端口扫描 4.5 小结 习题与思考题,本章学习目标,了解网络通信安全的内容。 了解网络通信传输中存在的安全威胁。 掌握远程访问的安全配置方法。 掌握端口扫描的概念和方法。 掌握IP的基础知识，以及IP安全的相关内容。,4.1 网络通信中的安全威胁,4.1.1 网络通信的安全性 4.1.2 网络通信存在的安全威胁 4.1.3 TCP/IP协议的脆弱性,4.1.1 网络通信的安全性,网络通信安全是指通过各种计算机、网络、密码技术和信息安全技术，确保在通信网络中传输、交换和存储的信息完整、真实和保密

2、，并对信息的传播及内容具有控制能力。 网络通信安全性粗略地分为四个相互交织的部分：保密、鉴别、反拒认以及完整性控制。所有这些问题也发生在传统的系统中。网络通信安全的内容可以概括为以下几个方面：,保密性：指防止静态信息被非授权访问和防止动态信息被截取解密。 完整性：要求在存储或传输时信息的内容和顺序都不被伪造、乱序、重置、插入和修改。 可靠性：指信息的可信度，包括信息的完整性、准确性和发送人的身份认证等方面。 实用性：即信息的加密密钥不可丢失。,可用性：指主机存放静态信息的可用性和可操作性。 占有性：若存储信息的主机、磁盘等信息载体被盗用，则将导致对信息占有权的丧失。保护信息占有性的方法有使用版

3、权、专利、商业秘密、使用物理和逻辑的访问限制，以及维护和检查有关盗窃文件的审计记录和使用标签等。,4.1.2 网络通信存在的安全威胁,计算机网络通信安全即数据在网络中的传输过程的安全，是指如何保证信息在网络传输过程中不被泄露与不被攻击。当网络中的计算机通信双方的发送方给接收方发送信息时，在传输的过程中可能会遭到攻击，攻击类型主要有以下四种：,截获：信息被非法用户截获，这时接收方没有接收到应该接收的信息，从而使信息中途丢失，失去了信息的可靠性。 窃听：信息虽然没有丢失，接收方也接收到了信息，但该信息已被不该看的人看到，失去了信息的保密性。 篡改：信息表面上虽然没有丢失，接收方也收到了应该接收的信

4、息，但该信息在传输过程中已被截获并被修改，或插入了欺骗性的信息，实际上接收方所接收到的信息是错误的，失去了信息的完整性。 伪造：发送方并没有发送信息给接收方，而接收方收到的信息是第三方伪造的，如果接收方不能通过有效办法发现这一情况，那就有可能造成严重的后果。,4.1.3 TCP/IP协议的脆弱性,TCP/IP协议是进行一切互联网上活动的基础，没有它，信息就不可能在不同操作系统、在不同通信协议中来去自由。因为当时网络软、硬件设备的局限性，当初设计该协议时只着重考虑了网络的速度，而对网络的安全性没作太多的考虑，甚至根本没作考虑，所以说TCP/IP本身在安全设计上就先天不足。,网上信息易被窃取 大多

5、数互联网上的信息是没有经过加密的，如电子邮件、网页中输入口令或填写个人资料、文件传输等这一切都很容易被一些别有用心的人监听和劫持，其实这就是TCP/IP通信协议在安全性方面的一个漏洞。,2. IP的缺陷导致易被欺骗 IP包中的源地址可以伪造； IP包中的“生成时间”可以伪造； 薄弱的认证环节。 图4-1说明了如何使用这个选项把攻击者的系统假扮成某一特定服务器的可信任的客户。,图4-1 IP地址欺骗,攻击者要使用那个被信任的客户的地址取代自己的地址。 攻击者构成一条要攻击的服务器和其主机间的直接路径，把被信任的客户作为通向服务器的路径的最后节点。 攻击者用这条路径向服务器发出客户申请。 服务器接

6、收客户申请，就好像是从可信任客户直接发出的一样，然后给可信任客户返回响应。 可信任客户使用这条路径将包向前传送给攻击者的主机。,3. ICMP的缺陷 网络中经常会使用到ICMP协议，只不过一般觉察不到而已。比如经常使用的用于检查网络通不通的“Ping”命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的“Tracert”命令也是基于ICMP协议的。,ICMP中的“Redirect”消息可以用来欺骗主机和路由器，并使用假路径。这些假路径可以直接通向攻击者的计算机系统，而不能真正连接到一个合法的可信赖的计算机用户，这会使攻击者获得系统的访问权。 对于系统来说

7、，缺乏反映信源到信宿真实路径的跟踪信息。通过TCP/IP发出一个数据包如同把一封信丢入信箱，发出者知道正在走向信宿，但发出者不知道通过什么路线或何时到达。这种不确定性也是安全漏洞。,4. TCP/IP协议明码传送信息导致易被监视 网络中最常见的窃听是发生在共享介质的网络中(如以太网)，这是由于TCP/IP网络中众多的网络服务均是明码传送。黑客使用Sniffer、Tcpdump或Snoop等探测工具，就可以清楚地看到某个用户从一台机器登录到另一台机器的全过程。 大多数用户不加密邮件，而且许多人认为电子邮件是安全的，所以用它来传送敏感的内容。因此，电子邮件或者Telnet和FTP的内容，可以被监视

8、从而了解一个站点的情况。,5. 提供不安全的服务 基于TCP/IP协议的服务很多，有WWW服务、FTP服务和电子邮件服务，TFTP服务、NFS服务等。这些服务都存在不同程度上的安全缺陷，当用户要保护站点时，就需要考虑，该提供哪些服务，要禁止哪些服务，如果有防火墙，应把不对外的服务限制在内网中。,4.2 远程访问的安全,管理安全的远程访问是一项艰巨的任务。因为远程系统可能直接连接到互联网而不是通过公司的防火墙，所以远程系统将给网络环境带来更大的风险。病毒和间谍软件防御以及一般的VPN网络策略还不足以保护这些系统的安全以及它们连接的网络的安全。 远程访问安全的内容包括拨号调制解调器访问安全、虚拟专

9、用网的安全以及无线网络接入的安全等。,4.2 远程访问的安全,4.2.1 拨号调制解调器访问安全 4.2.2 虚拟专用网的安全 4.2.3 无线网络接入的安全 4.2.4 远程溢出攻击与后门,4.2.1 拨号调制解调器访问安全,通过传输媒介公用电话网（Public Switched Telephone NetworkPSTN），利用Modem模拟拨号技术来实现远程连接，是目前最为普通、方便的远程访问方式。 虽然调制解调器给上网带来了极大的方便，但同时也带来了危险。不少人建立连接时，通常采取的措施并不安全，从开始到完成，只是根据默认的提示进行。,调制解调器的危险在于它提供了进入用户网络的另一个入

10、口点，也就是端口，一般来说，打开网络端口点越多，被入侵的可能性就越大。 一般一个标准的Intranet结构会包括内、外网段。内网段和外段网之间有防火墙，在内外网段都可能提供拨号服务器，外网段拨号服务器供普通用户使用，内网段拨号服务器供公司的高级职员使用，这两种拨号服务保护方式是不同的。,外网段拨号服务器被置于防火墙外部，它的安全是通过防火墙和身份验证服务器来保证的。对于内网段的内部网来说，这种服务应该是保密的，而且要严格控制，并应有强大的身份验证系统来保证安全。如果一个黑客通过拨号服务器登录到用户的网络中，那么他就像在用户的公司里使用一台机器一样，他会窃听到用户的内部网络通信。如何才能提高拨号

11、网络的安全性呢？,提高拨号调制解调器安全的方法很多，至少可以通过以下五种方法来实现。 号码不要广泛流传。 使用用户名和口令来保护拨号服务器。口令可以是静态，但最好是一次性口令。 使用安全性好的调制调解器。回拨调制解调器、安静调制解调器是比较好的选择。,回拨调制解调器是在连接时要求用户输入用户名和口令，它不会马上连接，它会先断开连接，查找该用户的合法电话号码，然后，回拨调制解调器会回拨到合法电话号码，并建立起连接。最后，用户就可以输入用户名和口令而进入该系统。这样做可以杜绝一个账号可以在不同电话机上使用的危险。 安静调制解调器在登录完成之前不会发出特殊的“Connectionestablishe

12、d”信号，这样可以防止有人按顺序搜索计算机拨号系统的电话号码。,在网络上加一个用于核实用户身份的服务器。 防范通过调制调解器对Windows NT的RAS访问带来的安全隐患。 WindowsNT、2000、2003的远程访问服务(Remote Access ServerRAS)给用户提供了一种远程用调制解调器访问远程网络的功能，当用户通过远程访问服务连接到远程网络中时，电话线就变得透明了，用户可以访问所有资源，就像他们坐在办公室进而访问这些资源一样，RAS调制解调器起着像网卡一样的作用。,但这种RAS在实施过程中存在许多重大的安全隐患。因为RAS服务器和网络操作系统服务器使用相同的用户数据库。

13、用户用在办公室中使用的同一个用户进行登录，这样可以保证用户具有相同的访问权限，但这给网络安全的管理带来了新的难题。 为了进行连接，用户必须有一个有效的系统用户账户和RAS拨入许可，这在用户尝试登录到系统之前，必须被验证。但如果用户不在公司，其身份的真实性就很难验证，如果某个系统管理员的账号被一些别有用心的人知道后进行RAS访问，那后果将会非常严重。,加强公司员工账号管理。为了防止非法用户通过RAS访问网络就必须加强公司员工账号管理，特别是管理员账号。 管理员账号最好不是使用“Administrator” 。应对其进行改名，或增加一个同样权限的系统管理员组成员，用户账号也要求经常更改。 定期更改

14、密码。有些公司就要求所要用户密码至少一个月改一次，而且最近的两次密码不能一样，公司的进、销、存管理软件用户密码至少要求一个星期改一次，这在某种程度上预防了非法用户通过RAS进行非法登录。,4.2.2 虚拟专用网的安全,虚拟专用网(Virtual Private NetworkVPN)是专用网络在公共网络(如Internet)上的扩展。VPN通过私有隧道技术在公共网络上仿真一条点到点的专线，通信数据在安全隧道中进行加密传输，从而达到安全传输数据的目的。由于VPN具有高度灵活性、高带宽、高安全性、应用费用相对低廉等优点，已经成为非常理想的企业网远程访问解决方案。 VPN 的应用可以分为三个基本类型

15、：Access VPN、Intranet VPN和Extranet VPN。,1. VPN的一般组网方案 可以利用企业现有的网络设备，如路由器、服务器与防火墙来建置VPN。有些企业网络以路由器为中心，把VPN服务加在路由器上。有些企业把防火墙看成是Internet安全通信的核心，选择防火墙式的VPN建置方案。 1) 路由器式VPN 使用具有VPN功能的路由器，公司总部便可与分公司间经由Internet或ISP网络来传送企业内部资料。拨号连接用户也可在ISP网络中建立隧道(Tunneling)，以存取企业网络。,相对来说，路由器式VPN部署较容易，只要在路由器上添加VPN服务，通常只需将软件升级

16、即可，而新型路由器通常已在软件或操作系统中内建了VPN服务。基本上，路由器上的VPN软件升级，一般都会包括防火墙、加密以及隧道等功能。有些厂商则会将用户身份辨识与既有的身份辨识服务，如远程身份辨识拨号连接用户服务(Remote Authentication Dial-In User ServiceRADIUS)连结在一起。,2) 软件式VPN 由生产厂商和协作厂商提供的VPN应用程序可执行加密、隧道建立与身份辨识，让用户通过VPN与企业内部网络相连。这种技术可使现有设备继续沿用，即将软件安装在现有的服务器上，不需变动网络组态。另外，程序可与现有的网络操作系统的身份辨识服务相连，可大幅简化VPN

17、的管理工作。,3) 防火墙式VPN 许多企业以防火墙为Internet安全措施的核心，用来防范黑客的攻击。许多防火墙厂商已在它们的产品中支持VPN服务，保护用户的内部网络免于被未授权的用户侵入。一个良好的防火墙可以根据用户、应用程序和传输源辨识通信流。 这种作法的好处是现有网络架构保持不变，就可以管理VPN服务所用的接口，而且与原来管理防火墙时使用的接口相同。因为加密与建立隧道等VPN服务都是由软件来处理的，从而进一步提高了效能。,2. VPN的安全管理 同任何的网络资源一样，VPN也必须得到有效的管理，需要关注VPN的安全问题。目前所有的VPN设备都应用了相关的核心技术，这些技术包括隧道协议

18、 (Tunneling)、资料加密 (Encryption)、认证 (Authentication)及存取控制 (Access Control)等。,(1) 隧道技术 隧道技术就是将原始报文在A地进行封装，到达B地后去掉封装，还原成原始报文，这样就形成了一条由A到B的通信隧道。隧道协议技术分为两种不同的类型。 端对端(End-to-End)隧道技术。从用户的PC延伸到用户所连接的服务器上。 点对点(Node-to-Node)隧道技术。主要是连接不同地区的局域网络。在局域网络内部传送的资料并不需做任何的变动。,(2) 加密技术 大部分VPN设备厂商都支持市场上主要的几种加密技术，像RSA Sec

19、urity公司的Rivest Cipher技术、DES及Triple-DES (三重DES)等。密钥长度的选择取决于许多因素，较明显的因素包括确保资料机密的重要性程度以及资料所流经的网络安全性等。 在VPN中，加密应只使用于特别敏感的交通，当有需要时才使用，或加装硬件加密模块，因为加密非常占用处理器资源，而且会影响速度性能。,一旦VPN采用加密技术后，系统也必须提供用户一套取得密钥的方法。最常见的几种密钥管理技术为PPP (Point-to-Point Protocol，点对点协议)中的加密技术。 ECP协议(Encryption Control Protocol，加密控制协议) MPPE (

20、Microsoft Point-to-Point Encryption，Microsoft点对点加密技术) ISAKMP/IKE (Internet Society Association Key Management Protocol/Internet Key Exchange，网络安全关联密钥管理协议/网络密钥交换),(3) 认证 VPN采用了许多现存的用户认证技术。举例来说，许多厂商所推出的VPN设备中，都具备了PPP的PAP (Password Authentication Protocol，密码认证协议)技术、CHAP (Challenge Handshake Authenticat

21、ion Protocol，挑战性握手验证协议) 。,VPN连接包括两种认证形式： 用户身份认证 在VPN连接建立之前，VPN服务器对请求建立连接的VPN客户机进行身份验证，核查其是否为合法的授权用户。如果使用双向验证，还需进行VPN客户机对VPN服务器的身份验证。 数据完整性和合法性认证 检查链路上传输的数据是否出自源端以及在传输过程中是否经过篡改。VPN链路中传输的数据包含密码检查，密钥只由发送者和接收者双方共享。,(4) 存取控制 在确认用户身份之后，进一步所需要的功能就是针对不同的用户授予不同的存取权限。这部分的功能也是认证服务器拥有的另一功能。,许多VPN的产品都伴随有适用该产品的认证

22、服务器。用户必须接受身份和授权程序的验证，让网络知道他们是谁以及让用户知道他们可以做些什么。一个良好的系统也会执行账户稽核，以追踪支出源和确保安全性。 验证(Authentication) 、授权(Authorization)和账户稽核(Accounting) ，统称为AAA服务。,(5) QoS技术 通过隧道技术和加密技术，已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定，管理上不能满足用户的要求，这就要加入服务质量(Quality of ServiceQoS)。实行QoS应该在主机网络中，即VPN所建立的隧道这一段，建立一条性能符合用户要求的隧道。,4.2.3 无线

23、网络接入的安全,随着无线网络技术的成熟，无线网络和数据采集设备及监控设备的有效结合，同样可以很方便地进行远程连接。目前实现无线网络的技术有： 蓝牙无线接入技术 IEEE 802.11连接技术 HomeRF (Home Radio Frequency)技术。,无线网络最基本的安全措施是有线等效保密WEP (Wired Equivalent Privacy)协议。WEP使用RC4加密算法，这种算法使用同一组密钥来打乱以及重新组合网络封包。 如果用户的密钥管理系统以一种可预测的方式循环使用一组不同的密钥，那么决心要破解密码的黑客便可以从正常用户的局域网络流量中收集资料，并且通过密钥的相关分析来帮助破

24、解加密机制。他们的攻击技巧对于40位或者128位的RC4加密机制都同样有效。,基于以上原因，最新的标准整合了两项与认证和加密有关的关键组件。在认证功能方面，未来可能会采用802.1x标准。采用这项标准能够让用户每次登入网络都使用不同的加密密钥，而且该标准自身提供了密钥管理机制。,在新的标准没有出来之前，如果要确保无线接入的安全性最好，应该采取以下措施： 1. 使用动态秘钥管理 动态安全链路会自动生成一个新的128位加密秘钥，它对每个网络用户和每次网络会话来说都是唯一的。这一技术能够比静态共享秘钥策略提供更高的网络安全性，帮助用户从手工的输入工作中解脱出来。,2. 定期稽核 强化无线接入安全性的

25、一个必要步骤便是通过网络稽核，找出所有未受管制的无线局域网络联接器，进而将它们纳入系统既有安全政策的管制，或者干脆完全停止使用这些联接器。从短期来看，各企业应该使用具备无线局域网络流量侦测功能的产品，以便能够方便地找出无线局域网络联接器。,3. 认证 由于以WEP为基础的标准规范存在安全缺陷，因此需要一套强而有力的认证机制与防火墙搭配一起使用，即将无线局域网络区段作为公共网络一样看待。 第二层虚拟局域网络(Layer 2 virtual LANs)可以将无线局域网络流量区隔在单一防火墙之外，从而减少多重防火墙设备的需要。 除了单纯地通过认证机制以及网络观测设备来进行存取控制之外，用户也可以部署

26、一套入侵侦测系统(Intrusion Detection SystemIDS)，以便主动地事先辨认出局域网络入侵迹象。,4.2.4 远程溢出攻击与后门,1. 远程溢出攻击 远程溢出攻击作为常见的漏洞利用方式，一旦攻击者寻找并发现目标主机的某个守护进程或网络服务存在着远程溢出漏洞，那么他很可能在接下来的时间内取得主机的额外访问权，就这样攻击者在没有物理接触目标系统的情况下就获得了对目标主机的控制权。,远程溢出攻击者无须一个账号登录到本地直接获得远程系统的管理员权限，通常通过攻击以root身份执行的有漏洞的系统守护进程或网络服务来完成，这些漏洞中的绝大部分来源于缓冲区溢出，少部分来自守护进程本身的

27、逻辑缺陷。,2. 后门程序 后门又称为Back Door，其用途在于潜伏在电脑中，从事搜集信息或便于黑客进入的动作。后门程序和电脑病毒的最大的区别，在于后门程序不一定有自我复制的动作，也就是后门程序不一定会“感染”其他电脑。它不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。,简单的后门可能只是建立一个新的账号，或者接管一个很少使用的账号；复杂的后门（包括木马）可能会绕过系统的安全认证而对系统有安全存取权。 后门产生的必要条件有以下三点： 必须以某种方式与其他终端节点相连 ； 目标机默认开放的可供外界访问的端口必须在一个以上 ； 目标主机存在设计或人为疏忽，导致攻击者能以权限较

28、高的身份执行程序。,4.3 IP安全,随着Internet的迅速发展，现有的IP版本不足以满足Internet的性能和功能要求。作为一种稀缺资源，IP地址的盗用就成为很常见的问题。 IP地址盗用侵害了Internet网络的正常用户的权利，并且给网络计费、网络安全和网络运行带来了巨大的负面影响，因此解决IP地址盗用问题成为当前一个迫切的课题。,4.3 IP安全,4.3.1 IP安全的防范技术 4.3.2 IP的鉴别和保密机制,4.3.1 IP安全的防范技术,Internet的经营者已在某些领域开发出专用的安全机制。但是用户对于协议层有一些安全要求。通过实现IP级的安全性，就可以确保一个组织安全组

29、网。 IP级的安全包含两个功能域：鉴别和保密。 IPv6对这些特征的支持是强制性的，而IPv4是选择性的。在两种情况下，安全特征主要都在IP信元头后面的扩展信元头中实现。,1. IP地址盗用方法分析 IP地址的盗用方法多种多样，其常用方法主要有以下几种： 静态修改IP地址。 成对修改IP-MAC地址。 动态修改IP地址。,2. 防范技术研究 针对IP盗用问题，网络专家采用了各种防范技术，现在比较常用的防范技术主要是根据TCP/IP的层次结构，在不同的层次采用不同的方法来防止IP地址的盗用。 交换机控制 解决IP地址的最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制：使用交换机提

30、供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问都将被拒绝。,路由器隔离 采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址是全球唯一的，不能改变。实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表，获得当前IP和MAC的对照关系，和事先合法的IP和MAC地址比较，如不一致，则为非法访问。,防火墙与代理服务器 使用防火墙与代理服务器相结合，也能较好地解决IP地址盗用问题。防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决，变IP管理为用户身份和口令的管理。,4.

31、3.2 IP的鉴别和保密机制,IPSec协议 IPSec全称为Internet Protocol Security，是由Internet Engineering Task Force (IETF) 定义的安全标准框架， 是Internet的网络层安全协议，用以提供公用和专用网络的端对端加密和验证服务。,IPSec是应用于IP层上网络数据安全的一整套的协议体系结构。包括： 网络认证协议AH（Authentication Header，认证头） ESP（Encapsulating Security Payload，封装安全载荷） IKE（Internet Key Exchange，因特网密钥交换）

32、 用于网络认证及加密的一些算法,Security Protocol Layers,abcdefghi,abc,def,ghi,TCP,IP,Application data,Data in TCP/IP,abcdefghi,abc,def,ghi,TCP,Application data,IP/IPSec,Data in TCP/IPSec/IP,2. 安全关联（SA) 为使通信双方的认证/加密算法及其参数、密钥的一致，相互间建立的联系被称为安全组合或安全关联（Security Association）。 关联是发送方和接收方之间的单向关系，如果双向安全交换需要一个同级关系，那么就需要两个安全

33、关联。 SA由一个三元组唯一地标识，该三元组为安全索引参数SPI、一个用于输出处理的目的IP地址（或用于输入处理的源IP地址）和协议（如AH或ESP）。,SPI是为了唯一标识SA而生成的一个32位整数。包含在AH头标和ESP头标中。有了SPI，相同源、目的节点的数据流可以建立多个SA。,3. 认证头标AH 认证（鉴别）头标AH（Authentication Header）提供无连接的完整性、数据源认证和抗重放保护服务。,4.加密头标ESP ESP（Encapsulating Security Payload）提供数据保密、无连接完整性服务。 ESP一般采用对称密码体制加密数据。 根据用户要求，

34、该机制可以用来给传送层的段加密（如TCP、用户数据报协议UDP或ICMP），或者给整个IP分组加密。前者叫作传送模式ESP，后者叫作隧道模式ESP。,图4-2 传送模式下IP报文加密,图4-3 隧道模式下IP报文加密,5鉴别与保密的综合 鉴别与保密这两种IP安全机制可以综合运用，以传输要求保密和鉴别的IP分组。有两种综合方案可供选择。 先加密，后鉴别 在这种情况下，要鉴别整个IP分组，包括加密的和未加密的部分。,先加密后鉴别,IP-H：基于IP的信元头加上扩展信元头 ESP-H：密封保密负载信元头 ET：密封保密负载尾部字段 AH：鉴别信元头,先鉴别，后加密 该方案适用于隧道模式的ESP。在这

35、种情况下，鉴别信元头被放在内部IP分组之中。这一内部分组既被鉴别，被加密。,先鉴别后加密,4.4 端口扫描,4.4.1 基本概念 4.4.2 端口扫描 4.4.3 栈指纹 4.4.4 端口扫描方法,4.4.1 基本概念,1. TCP协议 TCP（传输控制协议）是一种使用得最广泛的网络通信协议，很多服务都是建立在TCP协议之上，比如最流行的Email (SMTP, POP3)、HTTP、FTP等等。,TCP建立连接的过程（ 三次握手）,TCP断开连接的过程（四次握手）,2. TCP协议标志位 TCP报文格式包含6个标志位，分别为： SYN：标志位用来建立连接，让连接双方同步序列号。如果SYN=1

36、而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接。 ACK：为确认标志位。如果为1，表示包中的确认号是有效的。否则，包中的确认号无效。 FIN：表示发送端已经没有数据要求传输了，希望释放连接。,RST：用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到一个分段明显不属于该主机上的任何一个连接，则向远端发送一个复位包。 URG：为紧急数据标志。如果为1，表示本数据包中包含紧急数据。此时紧急数据指针有效。 PSH：如果置位，接收端应尽快把数据传送给应用层。,3. TCP会话准则 大部分系统在实现TCP/IP时遵循以下原则： 当一个SYN或

37、者FIN数据包到达一个关闭的端口，TCP丢弃数据包同时发送一个RST数据包。 当一个RST数据包到达一个监听端口，RST被丢弃；当一个RST数据包到达一个关闭的端口，RST被丢弃。 当一个包含ACK的数据包到达一个监听端口时，数据包被丢弃，同时发送一个RST数据包。,当一个SYN位关闭的数据包到达一个监听端口时，数据包被丢弃。 当一个SYN数据包到达一个监听端口时，正常的三阶段握手继续，回答一个SYNACK数据包。 当一个FIN数据包到达一个监听端口时，数据包被丢弃。“FIN行为”（关闭端口返回RST，监听端口丢弃包），在URG和PSH标志位置位时同样要发生。所有的URG，PSH和FIN，或者

38、没有任何标记的TCP数据包都会引起“FIN行为”。,4.端口 在Internet上，各主机间通过TCP/IP协议发送和接收数据报，各个数据报根据其目的主机的IP地址来进行互联网络中的路由选择。但是，大多数操作系统支持多程序（进程）同时运行，因此本地操作系统会给那些有需求的进程分配端口（Port）。 端口其实就是队列，操作系统为各个进程分配了不同的队列，数据报按照目的端口被推入相应的队列中，等待被进程取用。,5.ICMP协议 ICMP（Internet控制消息协议）协议用于在主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输

39、用户数据，但是对于用户数据的传递起着重要的作用。 ICMP报文分为查询报文和差错报文两类。,常用ICMP报文分类,4.4.2 端口扫描,端口扫描是为了确定主机端口的开放情况。利用此技术，可以远程检测目标主机开放的服务。 端口扫描前首先要枚举待扫描的端口，然后向目标主机的这些端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭。由此也可以得知目标主机提供的服务信息。,到目前为止存在各类的端口扫描方法，主要有TCP全连接扫描、TCP SYN（半连接）扫描、TCP FIN扫描、UDP ICMP端口不能到达扫描等。,4.4.3 栈指纹,端口扫描只能提供被扫描主机所开放服务的信息，不会提供目标主机的操作系统的其它信息。为了更进一步的探测目标主机的操作系统信息，还需