2012.2
10 网络扫描技术简析
范海峰
南海舰队指挥所 广东 524001
摘要:作为一种基于攻击检测的主动性网络安全防御技术,安全扫描技术一直是信息网络安全防护的重要研究方向之一,本文介绍了安全扫描的概念,重点分析了网络安全扫描所涉及的各种技术的原理,并对各种技术的优缺点进行了探讨。
关键词:安全扫描;技术原理
0 前言
近年来,受益于信息网络技术高速的发展,全球信息化程度越来越高。随着各类信息网络的不断延伸和普及,来自网络的安全威胁也在呈指数级增长,在各种政治、军事、经济利益的驱使下,各类网络攻击层出不穷,网络攻击手段也不断复杂化、多样化,也更具有针对性,网络安全形势越加严峻。从各类网络安全事件中我们不难看出,信息系统网络和主机自身存在的错误安全配置和系统漏洞使网络攻击和入侵的成功率大大提高。为了能做到先敌发现,防患于未然,信息网络用户应该更加重视对网络扫描技术的研究和对网络扫描工具的应用。
1 网络扫描技术概述
网络扫描,作为信息系统安全防护的手段使用,是采用模拟黑客攻击方式对远程或本地系统的安全脆弱程度进行检测和评估的一种安全技术,基本原理是使用一系列的脚本,模拟对系统进行攻击的行为,并对结果进行分析,以此了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级,指导网络管理员根据扫描的结果及时更正网络安全漏洞和系统中的错误配置,抢在黑客攻击发起前进行防范。扫描技术在发挥着极为有效的主动防御功能的同时,也被黑客用来作为网络攻击的常用手段。因而,熟练掌握网络扫描的技术原理和实现方式,就可以知己知彼,在网络攻防中拥有更大主动权。
网络扫描技术的分类方法很多,按照一次完整的扫描过程,可以把扫描技术大体分为三类:一是扫描目标,发现目标存活技术,二是收集系统相关信息技术,包括操作系统类
型、所开放服务等等,三是根据收集到的信息判断目标系统是否存在漏洞,或者进行模拟攻击进一步检测。
2 常用网络扫描技术 2.1 目标发现技术
这种技术也被称为PING 扫射,其目的是为了发现目标主机或网络是否存活,采用的主要方法就是通过发送各种类型的ICMP 或者TCP 、UDP 请求报文,通过报文发送结果判断目标是否存活。几种主要的方式包括ICMP 广播、ICMP 扫射、ICMP 非回显、TCP 和UDP 扫射。ICMP 广播速度快但不能发现Windows 系统主机,ICMP 扫射使用简单,但速度较慢。与ICMP 协议的探测相比,TCP 扫射就要更加有效,它利用著名的“三次握手”方式进行扫描探测,在握手的过程中向目标发送SYN 报文,无论目标主机是回应SYN/ACK 报文或者RST 报文,都可以判断目标主机存活,是现在最为有效的目标发现方法。当然,现在的部分防火墙对TCP 扫射也有防御功能,能够伪造RST 报文,以假乱真,给扫描者造成目标主机存活的假象。
2.2 目标信息收集技术
在确定有哪些目标存活的基础上,就要进行目标信息的收集工作,这其中包括目标主机的端口开放信息、操作系统类型信息以及开放的服务。所利用的技术主要有端口扫描技术、操作系统判别技术和系统服务识别技术。
2.2.1 端口扫描技术
端口扫描主要可分为全连接扫描、半连接扫描、秘密扫描、欺骗扫描等。
2012.2
11
2.2.1.1 TCP connect 扫描
这是最基本的TCP 扫描方法,也成为“全连接扫描”,原理是使用操作系统提供的connect()系统调用来与目标主机的特定TCP 端口进行连接。如果目标端口处于监听状态,connect()就可以连接成功;若该端口没有开放,则会提示连接失败。优点是,不需要任何特殊权限,系统中任何用户都可以调用connect()函数。而且扫描速度快。缺点是容易被安防软件发觉并过滤掉,而且在目标主机的日志文件中会产生一系列的有关该服务连接建立并马上断开的错误信息。
2.2.1.2 TCP SYN 扫描
TCP SYN 扫描技术也称为“半连接的扫描”TCP SYN 扫描发送一个SYN 数据包,若返回SYN/ACK 数据包则表示目标端口处于监听状态,若返回RST 数据包则表示该端口没有开放。如果收到SYN/ACK 数据包,则扫描程序再发送一个RST 数据包来终止该连接过程。这种方法的优点是比较隐蔽,因为它不需要建立一个完整的TCP 连接,即使日志中对扫描有所记录,但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下,发送主机需要对扫描所使用IP 包进行构造,比较麻烦,而且构造SYN 数据包需要超级用户或者授权用户来访问专门的系统调用。
2.2.1.3 TCP FIN 扫描
SYN 扫描虽然比较隐蔽,但有时会受到一些防火墙和包过滤监视系统的限制接收SYN 的端口,在安防系统中留下记录。这时,TCP FIN 扫描就可以派上用场了。数据包可能会没有任何麻烦的通过。TCP FIN 扫描方法的原理是没有开放的端口会对FIN 数据包给出RST 应答,开放的端口会对FIN 数据包直接忽略,不予应答。这种方法与目标系统的类型有关,有的系统不管端口是否开放,都回复RST ,这时,该扫描方法就用来区分目标系统是UNIX 还是Windows 系统了。
2.2.1.4 欺骗扫描
欺骗扫描是为了增强扫描的隐蔽性,利用已攻陷或存在可利用漏洞的第三方作为攻击跳板,进行扫描。例如,我们经常使用的FTP 协议支持代理(proxy)FTP 连接,扫描者通过FTP 协议解释器在源主机和目标主机之间建立控制通信连接,请求协议解释器激活一个有效的数据传输进程来给其他主机发送信息。这样,扫描者就可以用代理服务技术来扫描代理服务器所在网段主机的TCP 端口。利用这种方法,就可
以绕过防火墙,利用防火墙内部的一个FTP 服务器进行端口扫描。优点是很难被跟踪,能穿过防火墙;其缺点是速度很慢。
2.2.1.5 UDP 扫描
随着网络用户安全意识的不断增强和防火墙设备使用的日益广泛,TCP 端口被管理的越来越严,不会被轻易开放,即使开放也会进行严格的数据监视。为了避免这种监视,达到扫描目的,可以采用UDP 扫描。这种扫描方式的特点隐蔽性好,但所使用的数据包在通过网络时容易被丢弃,从而产生错误的探测信息。
2.2.2 操作系统及服务检测技术 2.2.2.1 操作系统检测技术
每个操作系统,甚至每个内核修订版本在TCP/IP 栈方面都存在微小的差别,这些差别使相对应的数据包的响应也不相同。好的网络扫描工具能够提供响应列表,把收到的响应与列表中的响应进行对比,如果能与已知的某种操作系统响应匹配,就可以识别出目标主机所运行的操作系统的类型。对于网络入侵来说,能够了解目标的操作系统的类型是非常重要的,可以由此明确使用何种漏洞攻击以及掌握目标系统存在的弱点。操作系统检测技术主要有主动识别和被动识别两种。
主动识别:主动发包,多次的试探,筛选不同信息,例如根据返回的ACK 值判断,有些系统会返回所确认的TCP 分组的序列号,有些则返回序列号加1。某些操作系统会使用一些固定的TCP 窗口或设置IP 头的DF 位来改善性能,这些都是判断对应操作系统的依据。主动识别技术对Windows 的判定精度比较差,只能够判定大致范围,很难判定出其精确版本,但是对UNIX 、CISCO 网络设备时比较精确,有时甚至可以判定出版本小号。但是目标主机与源主机之间跳数越多,精度就越差。这主要是因为数据包里的很多特征值在传输过程中都已经被修改或模糊化。现在普遍使用ICMP 识别技术,就是主动识别技术的一种,其优势是只需要通过ICMP ,发送UDP 包给关闭的端口,根据ICMP 回应的TOS 、TTL 值、校验和等信息,通过这些信息以树状的形式去过滤,最终精确锁定。例如TTL 值,当你发送icmp 的echo 请求,对方回应的ttl 值是有一定规律可循的,一般是4个数值,32(win95,惟一值为32的操作系统),64,128(windows 家族,只有win95例外),256。64和256比较难以分辨,大多数的unix 和linux 都可能是。代表性扫描工具Xprobe 。
被动识别:被动监测网络数据报文,从而确定所用的操
2012.2
12 作系统。利用对数据报文中报头内DF 位,TOS 位,窗口大小,TTL 值进行检测判断。因为这种方法不需要主动发送探测数据包,只需要抓取网络上的报文,所以叫做被动识别技术。例如telnet 对方,并用snort 监听数据包。
2.2.2.2 系统服务检测技术
对于系统服务的检测主要是根据已扫描到的端口进行判定,或者利用HTTP 响应分析、二进制信息探测(banner)等手段实现。
依据端口判定,就是直接利用端口与服务对应的关系,这种方式判定服务是较早的一种方式,对于大范围评估是有一定价值的,但其精度较低,在实际使用中经常会产生误判。例如,认为只要开放了80端口就是开放了http 协议。但实际并非如此,这就是端口扫描技术在服务判定上的根本缺陷。
相对而言,二进制信息探测方式相对精确,获取服务的banner ,是一种比较成熟的技术,可以用来判定当前运行的服务,对服务的判定较为准确。而且不仅能判定服务,还能够判定具体的服务版本信息,但容易遭到banner 伪装手段的反欺骗而产生误报。
2.3 漏洞扫描技术
漏洞源于“vulnerability ”(脆弱性),是指系统在软硬件或策略上存在的安全缺陷,从而使攻击者能够在未经授权的情况下进行访问和控制系统,漏洞攻击是网络入侵的主要形式,端口扫描和操作系统及服务检测只是最基本的信息探测,攻击者的最终目的是在此基础上找到目标系统存在的薄弱环节,找到错误的配置或者找出存在的危害性较大的系统
漏洞。这些漏洞包括错误系统配置、弱口令、网络协议漏洞以及其他已知漏洞。漏洞扫描技术主要基于两种方式来实现目标系统漏洞检测。
2.3.1 基于漏洞特征库匹配
基于漏洞特征匹配的漏洞扫描的关键是它所使用的漏洞特征库。漏洞特征库是采用基于规则的模式特征匹配技术,首先,根据安防专家对已经存在的安全漏洞、网络攻击案例的深入分析和系统安全配置工作方面的工作经验,汇总成一套标准的系统漏洞特征库,其次在此基础之上,分门别类列出每条匹配规则,由编辑好的扫描工具进行自动扫描。这种方法需要所使用的漏洞特征库要全面,正确,否则可能产生误报或漏报。
2.3.2 插件技术
插件是由脚本语言编写的子程序,扫描程序可以通过调用它来执行漏洞扫描,检测出系统中存在的一个或多个漏洞。添加新的插件就可以使漏洞扫描软件增加新的功能,扫描出更多的漏洞,因而比较灵活,维护方便。
3 结束语
网络扫描技术作为一种有效的主动防御技术是不可缺少的,在网络安全防护工作,应该综合考虑需要进行安全防护的网络系统的具体防护要求和防护等级,将网络扫描技术与防火墙、IDS 、防病毒软件等各种安全产品结合应用,构建一个高效、稳定、安全的网络系统。
参考文献
[1]王群.计算机网络安全技术.清华大学出版社.2008. [2]胡道元,闵京华.网络安全.清华大学出版社.2008.
The Network Scan Technology Analysis Fan Haifeng
South China sea fleet command post, Guangdong,524001,China
Abstract:Active sex network safety that is a kind of to examine according to the attack defendoofs a technique, safety's scanning a technique has been one of the important research directions of information network safe protection, this text introduced the concept of safe scanning and particularly analyzed a network safety the principle of various technique involved by scanning, and carried on a study to the merit and shortcoming of various technique. Keywords:the safety scan; Technique principle; Merit and shortcoming
网络安全技术发展分析 2007年,网络安全界风起云涌,从技术更加精湛的网络注入到隐蔽性更强的钓鱼式攻击,从频频被利用的系统漏洞到悄然运行的木马工具,网络攻击者的手段也更加高明。 网络攻击的发展趋势 综合分析2007年网络攻击技术发展情况,其攻击趋势可以归纳如下: 如今安全漏洞越来越快,覆盖面越来越广 新发现的安全漏洞每年都要增加一倍之多,管理人员要不断用最新的补丁修补这些漏洞,而且每年都会发现安全漏洞的许多新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。 攻击工具越来越复杂 攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比,攻击工具的特征更难发现,更难利用特征进行检测。攻击工具具有以下特点: ?反侦破和动态行为 攻击者采用隐蔽攻击工具特性的技术,这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;早期的攻击工具是以单一确定
的顺序执行攻击步骤,今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为。 ?攻击工具的成熟性 与早期的攻击工具不同,目前攻击工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工具。此外,攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。 攻击自动化程度和攻击速度提高,杀伤力逐步提高 扫描可能的受害者、损害脆弱的系统。目前,扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。以前,安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分,从而加快了攻击的传播速度。 传播攻击。在2000年之前,攻击工具需要人来发动新一轮攻击。 目前,攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播,在不到18个小时内就达到全球饱和点。 越来越不对称的威胁 In ter net上的安全是相互依赖的。每个In ter net 系统遭受攻击的可能性取决于连接到全球In ternet上其他系统的安全状态。 由于攻击技术的进步,一个攻击者可以比较容易地利用分布式系
综合实验报告 ( 2010 -- 2011 年度第二学期) 名称:网络综合实验 题目:端口扫描程序 院系:信息工程系 班级: 学号: 学生姓名: 指导教师:鲁斌李莉王晓霞张铭泉设计周数: 2 周 成绩: 日期:2011年7月1日
一、综合实验的目的与要求 1.任务:设计并实现一个端口扫描程序,检测某个IP或某段IP的计算机的端口工作情况。 2.目的:加深对课堂讲授知识的理解,熟练掌握基本的网络编程技术和方法,建立网络编程整体概念,使得学生初步具有研究、设计、编制和调试网络程序的能力。 3.要求:熟悉有关定义、概念和实现算法,设计出程序流程框图和数据结构,编写出完整的源程序,基本功能完善,方便易用,操作无误。 4.学生要求人数:1人。 二、综合实验正文 1.端口扫描器功能简介:服务器上所开放的端口就是潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息,进行端口扫描的方法很多,可以是手工进行扫描、也可以用端口扫描软件进行。扫描器通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答,通过这种方法可以搜集到很多关于目标主机的各种有用的信息,例如远程系统是否支持匿名登陆、是否存在可写的FTP目录、是否开放TELNET 服务和HTTPD服务等。 2.实验所用的端口扫描技术:端口扫描技术有TCP connect()扫描、TCP SYN扫描、TCP FIN 扫描、IP段扫描等等。本次实验所用的技术是TCP connect()扫描,这是最基本的TCP 扫描,操作系统提供的connect()系统调用可以用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。这个技术的一个最大的优点是,你不需要任何权限。系统中的任何用户都有权利使用这个调用。 3.实验具体实现方案:编写一个端口扫描程序,能够显示某个IP或某段IP的计算机的某一个或某些端口是否正在工作。基本工作过程如下: (1) 设定好一定的端口扫描范围; (2) 设定每个端口扫描的次数,因为有可能有的端口一次扫描可能不通; (3) 创建socket,通过socket的connect方法来连接远程IP地址以及对应的端口; (4) 如果返回false,表示端口没有开放,否则端口开放。 4.有关TCP/IP的知识: 4.1套接字概念 1)在网络中要全局地标识一个参与通信的进程,需要采用三元组:协议、主机IP地址、端口号。
浅析计算机网络安全与漏洞扫描技术 发表时间:2017-07-27T09:50:21.773Z 来源:《防护工程》2017年第7期作者:郑冬雪[导读] 在预防计算机系统程序漏洞工作中,可以通过使用竞争编码预防安全漏洞。 成都双流国际机场股份有限公司四川成都 610000 摘要:一般来说,互联网设计的领域十分广泛,不受地域、时间、人员的限制,基于互联网上述的性质,为人们的生活带来了众多便利,但是同时也无形中增加了自身的危险性,由于涉及的层面较多,关乎的因素也较多,因此,任何一种因素的改变都会制约互联网的正常运行,使得互联网失去安全的环境。这篇论文根据上述介绍的内容做出了深入的研究,主要讲述计算机网络与漏洞扫描技术的实际应用和存在的价值。 关键词:计算机网络安全;漏洞扫描技术;网络信息安全 1漏洞检测技术对计算机网络安全的作用 (1)预防竞争性漏洞。在预防计算机系统程序漏洞工作中,可以通过使用竞争编码预防安全漏洞。原子编码是编程语言中最小的单位,对系统运行的影响较小。原子化操作是指通过锁定系统状态从而避免系统发生异常变化,导致间接调动系统文件或语句。(2)预防缓冲区漏洞。缓冲区的漏洞能够通过计算机系统程序检测出来,同时可以通过应用系统中的危险函数进行预防,通过强制更新计算机版本覆盖存在安全漏洞的版本,例如将版本4.0.6.7683更新至4.0.6.7687。(3)预防随机性漏洞。通过使用性能良好的随机发生设备能够有效预防计算机系统程序出现随机性漏洞。基于设备自带密码算法,能够通过随机流数来实现计算机安全监测。当计算机出现系统漏洞时,由于无法确定具体数据,及时被黑客攻击也无法获取计算机中的资料。(4)预防字符串漏洞。通过在数码中直接应用于格式常量能够有效预防字符串漏洞,能够使黑客无法对系统进行侵入。函数公式在没有给出具体数值的情况下,是无法进行计算的。因此,计算机程序在使用各类函数进行安全监测时,需要确保各方面的参数设置以及性能的均衡。 2计算机网络安全漏洞防范的具体措施 2.1防火墙技术网络 目前,为了给计算机网络的使用提供安全、健康的环境,科技人员创造出防火墙技术,将安全漏洞和整体系统进行分离。但是,这种过滤型隔离技术并不是十全十美的,其很难分辨出隐含的操作地址,使得整个安全维护工作出现了弊端。尽管,目前的代理技术可以缓解上述问题,但也需要借助防护器在密码辅助的条件下才能顺利进行。若是想将防火墙装配全部应用到互联网安全维护体系中,就必须要利用防控技术,合理控制互联网使用者的权限,避免部分数据资料的流失,以此维护互联网的稳定。 2.2漏洞扫描技术 这项技术的使用宗旨在于对计算机互联网体系内部漏洞的监管,及时发现漏洞的存在并给以相应的解决方案。比如说,在对计算机主机端口进行漏洞扫描的时候,可以采用模拟的形式确定漏洞是否存在,接下来在一层层的确认环节后,将出现的和将要出现的漏洞统统找到,最后根据其成因给出解决方案。一般来说,对于互联网端口和设备的检测必须要经常进行,要定期检查并不定期抽查,特别是在经常出现漏洞的部位更要严格检测,因为只有每隔一段时间的监管才能确保计算机一直处在安全稳定的环境当中,才能保证其正常的操作和使用。 2.3提高病毒的防杀技术 在对网络造成不良影响的众多成因中,病毒的杀伤力是极大的。为此,最为核心的安全技术便是防范网络病毒并进行杀毒处理。大多数计算机用户都认为对网络病毒的防范最重要的就是杀毒,其实并不是那么简单的。防止电脑中毒是有效避免网络病毒的首要步骤。若感染后再分析病毒并杀毒,难以从本质上解决计算检网络问题,而只是采取补救措施罢了。所以,针对计算机网络病毒,要从杀毒转变为防病毒,用户可在计算机内安装软件监督计算机内病毒情况,而且应注重杀毒软件的更新,若觉察到了计算机内潜在病毒的存在,应当立即消除病毒隐患。 3安全漏洞扫描的技术简析 3.1主动扫描与被动扫描 现今社会当中,科技水平在逐年强化,整个漏洞监管体系也被分成两个方面:主动扫描和被动扫描。对于主动扫描的概念可以解释为:其是一种较为老旧的监管方式,是计算机自带的一种安全防卫模式,以便计算机对互联网环境的维护。被动扫描的概念可以解释为:其是一种自动感应的互联网监管体系,一般只会在极其特殊的情况下才会运作,使得整个监管系统变得全面。虽然两者具有本质的不同,但是都有各自的优势:主动扫描进行的速度很快、反应敏捷且扫描准确;被动扫描进行的较为全面,监管力度较强。 3.2采用暴力破解法 一般来说,很多互联网体系都会安装安全防护装置,以此保护使用者的使用安全,但是如果想要得到使用者的信息则需要对应的口则,导致问题较为繁琐,使得难度较低的口则被攻击者轻易破解。这样一来,攻击者就会轻而易举的得到互联网的访问权限,但是不会引起管理人员的注意。 4结束语 互联网危险度表现为以下几点:互联网因为安全漏洞的出现,导致使用人的人身安全、人员信息、财产数据等等信息泄露;随着科学技术水平的不断提升,使得网络的使用状况更加危险,很多隐含的漏洞无形中增加,就算是安全扫描也可能忽视。所以说,若是想强化互联网漏洞扫描技术,实现整体化的检测,就必须要不断强化互联网安全维护工作,将每一份任务都做到位。除此之外,安全维护人员还要不断学习,创造出顺应时代需要的新技能,使得漏洞扫描系统更加全面和高效。对于目前扫描中发现的互联网缺陷,管理人员必须要及时解决,为计算机的运行营造安全、健康的互联网环境。 参考文献: [1]魏昭.计算机网络防御策略求精关键技术研究[D].北京航空航天大学,2014.
网络安全的威胁因素及常见网络安全技术分析 摘要:随着Internet的飞速发展,网络安全问题日益凸现。本文针对网络安全的主要威胁因素,重点阐述了几种常用的网络信息安全技术。 关键词:计算机网络安全网络技术 随着Internet的飞速发展,网络应用的扩大, 网络安全风险也变的非常严重和复杂。原先由单机安全事故引起的故障通过网络传给其他系统和主机,可造成大范围的瘫痪,再加上安全机制的缺乏和防护意识不强,网络风险日益加重。 一、网络安全的威胁因素 归纳起来,针对网络安全的威胁主要有: 1.软件漏洞:每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。 2.配置不当:安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。 3.安全意识不强:用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。 4.病毒:目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。 5.黑客:对于计算机数据安全构成威胁的另一个方面是来自电脑黑客。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。 二、常用的网络安全技术 1.防火墙技术 防火墙技术是指网络之间通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全
网络侦察技术分析(一) [本文原创,禁止任何形式的转载] 一名严谨的黑客在入侵之前会先进行网络侦察及分析,以判断可行性及应采取的入侵方法。我们今天就讲一下一名黑客是如何进行网络侦察的。 首先,我们介绍一下安全管理的规范。一名好的网络安全人员,应该从两个不同的角度来分析网络进行安全评估:1、从黑客角度进行思考,寻找现有的网络漏洞,对网络资源加以保护;2、从安全管理者的角度进行思考,寻找最佳途径既可保障安全又不影响商业运作效率。 从安全管理者角度考虑,安全管理者知道网络是如何配置的,更多从防火墙内部发起探测,关注内部网络的服务器和主机是否有异常情况,但黑客是不知道目标网络的配置情况,他们是从防火墙外部进行攻击/渗透的,所以一名合格的安全管理者还要从防火墙外部进行渗透看是否能穿透防火墙而控制网络主机。 如图: 从安全顾问角度考虑,首先要从不知情者的角度加以定位,然后以内部知情人的角度来评估网络安全 如图: 下面我们看一下不同基点的安全管理结构: 首先我们介绍一下基于网络的安全管理结构。 如图: 由图可知,基于网络的管理产品将软件安装在一台服务器上,由它来向网络提出查询,提出查询的要求,其中主机往往是管理者,扫描网络上所有可疑的活动。在这种结构下每台计算机被动的响应查询,优点是主机并不知道被监视,缺点是监视端口会对交换机的性能产生影响 我们再介绍一下基于主机级的安全管理结构。 如图: 由图可知,这是一种分层管理体系,一层是图形界面,二层是管理者,通过代理发出查询请求,从代理收集信息进行显示,三层是安装在每台主机上的代理。可安装SNMP辅助管理。 安全审计的三个阶段: 对于安全管理的几个概念我们介绍完了,我们看一下网络攻击的动机。随着木马/病毒及黑客技术的商业化,网络攻击行为越来越多的是为了名利目的。现在所存在的主要动机为:偷
在计算机安全领域,安全漏洞(SecurityHole)通常又称作脆弱性(vulnerability)。 漏洞的来源漏洞的来源:(1)软件或协议设计时的瑕疵(2)软件或协议实现中的弱点(3)软件本身的瑕疵(4)系统和网络的错误配置 DNS区域传送是一种DNS 服务器的冗余机制。通过该机制,辅DNS服务器能够从其主DNS 服务器更新自己的数据,以便主DNS服务器不可用时,辅DNS服务器能够接替主DNS服务器工作。正常情况下,DNS区域传送操作只对辅DNS服务器开放。然而,当系统管理员配置错误时,将导致任何主机均可请求主DNS服务器提供一个区域数据的拷贝,以至于目标域中所有主机信息泄露. 网络扫描主要分为以下3个阶段:(1)发现目标主机或网络。(2)发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。(3)根据搜集到的信息判断或者进一步检测系统是否存在安全漏洞。 网络扫描的主要技术 (1)主机扫描:确定在目标网络上的主机是否可达,同时尽可能多映射目标网络的拓扑结构,主要利用ICMP 数据包 (2)端口扫描:发现远程主机开放的端口以及服务 (3)操作系统指纹扫描:根据协议栈判别操作系统 发现存活主机方法: ICMP 扫射ping 广播ICMP 非回显ICMP(ICMP时间戳请求允许系统向另一个系统询当前的时间。ICMP地址掩码请求用于无盘系统引导过程中获得自己的子网掩码。) TCP 扫射UDP 扫射 获取信息: (1)端口扫描: 端口扫描就是连接到目标机的TCP 和UDP端口上,确定哪些服务正在运行及服务的版本号,以便发现相应服务程序的漏洞。 (2)TCP connect()扫描: 利用操作系统提供的connect()系统调用,与每一个感兴趣的目标计算机的端口进行连接。如果目标端口处于侦听状态,那么connect()就能成功;否则,该端口是不能用的,即没有提供服务。 (3)TCP SYN扫描: 辨别接收到的响应是SYN/ACK报文还是RST报文,就能够知道目标的相应端口是出于侦听状态还是关闭状态(RST为关闭)。又叫“半开扫描”,因为它只完成了3次握手过程的一半. (4) TCP ACK扫描: 用来探测防火墙的规则设计。可以确定防火墙是简单的包过滤还是状态检测机制 (5):TCP Fin扫描: 扫描器发送一个FIN数据包 ?如果端口关闭的,则远程主机丢弃该包,并送回一个RST包 ?如果端口处于侦听状态忽略对FIN数据包的回复 ?与系统实现有一定的关系,有的系统不管端口是否打开,都回复RST(windows),但可以区分Unix和Windows (6) TCP XMAS 扫描(7) TCP 空扫描(8) UDP ICMP 端口不可达扫描
计算机网络安全的威胁及安全技术分析 班级:电气1001 姓名:余欣鑫 学号:10291027
计算机网络安全的威胁及安全技术分析 【摘要】:随着Internet的飞速发展,网络安全问题日益凸现。越来越多的威胁因素开始渐渐地影响到我们的日常网络应用。本文针对网络安全的主要威胁因素,重点阐述了以下几种常用的网络信息安全技术:1.防火墙(Fire Wall)技术2.数据加密技术3.系统容灾技术4.漏洞扫描技术5.物理安全。 【关键词】:信息安全:网络安全:密码 【Abstract】:With the rapid development of Internet, network security becomes more and more serious .More and more risks start to affect our life on the application of Internet. This paper mainly of network security risk factors, and emphatically expounds several common network information security technology. 【Key words】: Information security: network security: password
【正文】 随着Internet的飞速发展,网络应用的扩大,网络安全风险也变的非常严重和复杂。原先由单机安全事故引起的故障通过网络传给其他系统和主机,可造成大范围的瘫痪,再加上安全机制的缺乏和防护意识不强,网络风险日益加重。 一、网络安全的威胁因素 归纳起来,针对网络安全的威胁主要有: 1.软件漏洞:每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。 2.配置不当:安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。 3.安全意识不强:用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。 4.病毒:目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。 5.黑客:对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(backer)。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。 二、几种常用的网络安全技术 1.防火墙(Fire Wall)技术
网络端口扫描实验报告 一、网络端口扫描简介 TCP/IP协议在网络层是无连接的,而“端口”,就已经到了传输层。端口便是计算机与外部通信的途径。一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息。进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行。在手工进行扫描时,需要熟悉各种命令,对命令执行后的输析出进行分,效率较低。用扫描软件进行扫描时,许多扫描器软件都有分析数据的功能。通过端口扫描,可以得到许多有用的信息,从而发现系统的安全漏洞。扫描工具根据作用的环境不同可分为:网络漏洞扫描工具和主机漏洞扫描工具。前者指通过网络检测远程目标网络和主机系统所存在漏洞的扫描工具。后者指在本机运行的检测本地系统安全漏洞的扫描工具。本实验主要针对前者。 端口是TCP协议中定义的,TCP协议通过套接字(socket)建立起两台计算机之间的网络连接。它采用【IP地址:端口号】形式定义,通过套接字中不同的端口号来区别同一台计算机上开启的不同TCP和UDP连接进程。端口号在0~~65535之间,低于1024的端口都有确切的定义,它们对应着因特网上常见的一些服务。这些常见的服务可以划分为使用TCP端口(面向连接如打电话)和使用UDP端口
(无连接如写信)两种。端口与服务进程一一对应,通过扫描开放的端口就可以判断计算机中正在运行的服务进程。 二、实验目的 1.了解熟悉MFC及的基本原理和方法。 2.加深对tcp的理解,学习端口扫描技术和,原理熟悉socket编程。 3.通过自己编程实现简单的IP端口扫描器模型。 4.通过端口扫描了解目标主机开放的端口和服务程序。 三、实验环境 Windows操作系统 VC++6.0开发环境 四、实验设计 实验原理 通过调用socket函数connect()连接到目标计算机上,完成一次完整的三次握手过程,如果端口处于侦听状态,那么connect()就可以成功返回,否则这个端口不可用,即没有提供服务。 实验内容 1. 设计实现端口扫描器 2. IP地址、端口范围可以用户输入。 3. 要求有有好的可视化操作界面。 实验步骤: 1、用户界面:使用vc6.0里的MFC来开发用户界面 2、端口扫描:使用socket函数中的connect()连接计算机来判定目标计算机是否开放了要测试的端口 五、代码实现 #include
以太网中网络扫描原理与检测 以太网中网络扫描原理与检测 摘要:对网络扫描原理和现有基本方法进行了分析,并设计了一个陷阱机来检测所在网段中的网络扫描行为。 关键词:网络扫描网络扫描检测陷阱机 网络扫描通过扫描本地主机,能检测主机当前可用的服务及其开放端口,帮助网络管理员查找安全漏洞,查杀木马、蠕虫等危害系统安全的病毒。一些扫描器还封装了简单的密码探测,利用自定义规则的密码生成器来检测过于简单和不安全的密码。 网络扫描一般包括2个阶段:(1)对整个网络扫描一遍,从而找到活动主机(因为许多子网配置得很稀疏,大部分IP地址是空的)。(2)对每个活动主机进行穷尽式的端口扫描。 网络扫描也是网络入侵的基础。一次成功的网络入侵离不开周密的网络扫描。攻击者利用网络扫描探知目标主机的各种信息,根据扫描的结果选择攻击方法以达到目的。因此,若能及时监测、识别网络扫描,就能预防网络攻击。为了得到被扫描主机的信息,网络扫描报文对应的源地址往往是真正的地址,因此监测网络扫描可以定位攻击者。 1网络扫描原理 网络扫描通过检测目标主机TCP/IP不同端口的服务,记录目标给予的回答。通过这种方法,可以搜集到很多目标主机的各种信息(如是否能用匿名登录,是否有可写的FTP目录,是否能用Telnet等)。在获得目标主机
TCP/IP端口和其对应的网络访问服务的相关信息后,与网络漏洞扫描系统提供的漏洞库进行匹配,如果满足匹配条件,则视为漏洞存在。 在匹配原理上,网络漏洞扫描器一般采用基于规则的匹配技术。根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员关于网络系统安全配置的实际经验,形成一套标准的系统漏洞库,然后在此基础上构成相应的匹配规则,由程序自动进行系统漏洞扫描的分析工作。如在对TCP 80端口的扫描过程中,发现/cgi-bin/phf或/cgi-bin/Count.cgi,则根据专家经验以及CGI程序的共享性和标准化,可以推知该WWW服务存在2个CGI漏洞。 1.1主机在线探测 为了避免不必要的空扫描,在扫描之前一般要先探测主机是否在线。其实现原理和常用的ping命令相似。具体方法是向目标主机发送ICMP报文请求,根据返回值来判断主机是否在线。所有安装了TCP/IP协议的在线网络主机,都会对这样的ICMP报文请求给予答复。该方法不仅能探测主机是否在线,而且能根据ICMP应答报文的TTL(TTL是位于IP首部的生存时间字段)值来粗略分辨出目标主机操作系统,为下一步的扫描工作提供依据。RFC793说明了TCP怎样响应特别的信息包:这些响应基于2个TCP状态,即关闭(CLOSED)和监听(LISTEN)。 RFC793描述了当一个端口在关闭状态时,必须采用下面的规则:(1)任意进入的包含RST标志的信息段(segment)将被丢弃。(2)任意进入的不包含RST标志的信息段(如SYN、FIN和ACK)会导致在响应中回送一个RST。 当一个端口处于监听状态时,将采用下面的规则:(1)任意进入的包含
1.1在线安全监测 1.1.1网站安全监测背景 当前,互联网在我国政治、经济、文化以及社会生活中发挥着愈来愈重要的作用,作为国家关键基础设施和新的生产、生活工具,互联网的发展极大地促进了信息流通和共享,提高了社会生产效率和人民生活水平,促进了经济社会的发展。 网络安全形势日益严峻,针对我国互联网基础设施和金融、证券、交通、能源、海关、税务、工业、科技等重点行业的联网信息系统的探测、渗透和攻击逐渐增多。基础网络防护能力提升,但安全隐患不容忽视;政府网站篡改类安全事件影响巨大;以用户信息泄露为代表的与网民利益密切相关的事件,引起了公众对网络安全的广泛关注;遭受境外的网络攻击持续增多;网上银行面临的钓鱼威胁愈演愈烈;工业控制系统安全事件呈现增长态势;手机恶意程序现多发态势;木马和僵尸网络活动越发猖獗;应用软件漏洞呈现迅猛增长趋势;DDoS攻击仍然呈现频率高、规模大和转嫁攻击的特点。 1.1.2网站安全监测服务介绍 1.1. 2.1基本信息安全分析 对网站基本信息进行扫描评估,如网站使用的WEB发布系统版本,使用的BBS、CMS版本;检测网站是否备案等备案信息;另外判断目标网站使用的应用系统是否存在已公开的安全漏洞,是否有调试信息泄露等安全隐患等。 1.1. 2.2网站可用性及平稳度监测 拒绝服务、域名劫持等是网站可用性面临的重要威胁;远程监测的方式对拒绝服务的检测,可用性指通过PING、HTTP等判断网站的响应速度,然后经分析用以进一步判断网站是否被拒绝服务攻击等。 域名安全方面,可以判断域名解析速度检测,即DNS请求解析目标网站域
名成功解析IP的速度。 1.1. 2.3网站挂马监测功能 挂马攻击是指攻击者在已经获得控制权的网站的网页中嵌入恶意代码(通常是通过IFrame、Script引用来实现),当用户访问该网页时,嵌入的恶意代码利用浏览器本身的漏洞、第三方ActiveX漏洞或者其它插件(如Flash、PDF插件等)漏洞,在用户不知情的情况下下载并执行恶意木马。 网站被挂马不仅严重影响到了网站的公众信誉度,还可能对访问该网站的用户计算机造成很大的破坏。一般情况下,攻击者挂马的目的只有一个:利益。如果用户访问被挂网站时,用户计算机就有可能被植入病毒,这些病毒会偷盗各类账号密码,如网银账户、游戏账号、邮箱账号、QQ及MSN账号等。植入的病毒还可能破坏用户的本地数据,从而给用户带来巨大的损失,甚至让用户计算机沦为僵尸网络中的一员。 1.1. 2.4网站敏感内容及防篡改监测 基于远程Hash技术,实时对重点网站的页面真实度进行监测,判断页面是否存在敏感内容或遭到篡改,并根据相应规则进行报警 1.1. 2.5网站安全漏洞监测 Web时代的互联网应用不断扩展,在方便了互联网用户的同时也打开了罪恶之门。在地下产业巨大的经济利益驱动之下,网站挂马形势越来越严峻。2008年全球知名反恶意软件组织StopBadware的研究报告显示,全球有10%的站点都存在恶意链接或被挂马。一旦一个网站被挂马,将会很快使得浏览该网站用户计算机中毒,导致客户敏感信息被窃取,反过来使得网站失去用户的信任,从而丧失用户;同时当前主流安全工具、浏览器、搜索引擎等都开展了封杀挂马网站行动,一旦网站出现挂马,将会失去90%以上用户。 网站挂马的根本原因,绝大多数是由于网站存在SQL注入漏洞和跨站脚本漏洞导致。尤其是随着自动化挂马工具的发展,这些工具会自动大面积扫描互联
计算机网络安全技术分析 发表时间:2016-03-23T11:36:07.867Z 来源:《基层建设》2015年25期供稿作者:王伟宁 [导读] 北安市政务信息化管理服务中心计算机是人们进行工作和学习的主要工具之一,通过计算机网络。 王伟宁 北安市政务信息化管理服务中心 摘要:计算机网络已经成为人们生活中不可或缺的工具,计算机网络与人们的生活有着密切的关系,在计算机网络不断发展的进程中,人们对于计算机网络的安全也有了更高的关注度。本文主要就多种计算机网络技术进行了详尽的分析,并总结分析出计算机网络安全技术的未来发展趋势。希望通过本文的探究,能够为相关的人员提供一定的参考和借鉴。 关键词:计算机网络;安全技术;发展趋势 计算机是人们进行工作和学习的主要工具之一,通过计算机网络,人们可以更为快捷的获取到相关的信息,但是在计算机网络应用的过程中,也会受到各种因素的影响,而使得计算机网络出现一些信息丢失以及信息破损的问题,针对这些问题,就需要采取相关的安全技术,来加强对计算机网络的安全防护,以防止计算机网络遭受到恶意攻击和破坏,以保障计算机网络应用的安全性,而在计算机网络中,可应用的安全技术相对来说较多,下面本文主要就针对计算机网路的安全技术进行详尽的分析。 一、计算机网络安全技术分析 1、计算机网络防火墙技术 在计算机网络中,防火墙能够有效的阻隔网络传输中感染的一些不良病毒进入到用户网络中,起到保护用户网络安全的效用。这种技术主要针对的是内部网络,将访问内部网络资源进行筛选,剔除危险资源和有疑问的资源,保障资源应用的安全性,使得内部网络操作环境能够得到有效的改善。防火墙技术主要是针对两个网络之间的传输以及多个网络之间的数据传递进行中间的检验,检查的方式一般包括链接检查,或采用相关的安全防护手段来对网络进行安全检验,从而保障所传送到用户内部网络的数据无任何的恶意侵蚀病毒,并且应用该技术还可以有效对网络数据传送状态进行有效的监测和监视,以保障计算机内部网络应用的安全性。 通常而言,防火墙的形式也包括很多中,而防火墙形式的不同,其技术类型也会有所不同,其中主要包括的防火墙技术类型就是滤型、网络地址转换-NAT、代理型以及监测型四种。而在对防火墙技术进行选择应用的时候,也需要根据内部网络特点来选择相适应的防火墙技术,并且在对防火墙技术进行选用的过程中,也需要注意到以下几点问题: 1.1总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。 1.2要注重保障防火墙本身的安全性,防火墙技术主要是对内部网络进行安全防护,其自身的安全性也需要注意。防火墙本身属于一种安全产品,其是信息系统中的一个重要的构成部分,防火墙在安全性上需要着重进行保障,这样才能够真正的发挥出其安全防护的作用。一般而言,影响防火墙安全的因素主要包括两点,第一就是防火墙的设计不当,第二就是防火墙的应用不合理。防火墙在实际应用的过程中,需要配置多个系统配件,同时采用手工进行系统操作,如果相关的管理人员对于防火墙不够了解,对于系统操作也不甚了解,那么就很有可能在进行防火墙系统配置的过程中,出现问题,从而影响到防火墙自身的安全性。 2、加密技术 信息交换加密技术分为两类:即对称加密和非对称加密。 2.1对称加密技术 在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。 2.2非对称加密/公开密钥加密 在非对称加密体系中,密钥被分解为一对。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。 3、密钥备份和恢复 为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。 4、证书管理与撤消系统 证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制,随时查询被撤消的证书。 二、计算机网络安全技术的发展趋势 随着计算机网络技术的成熟和发展,我们会面临越来越多的安全问题。面对网络安全不断产生的新问题,我们必须对网络安全技术的发展趋势有一定的了解,不断提高网络安全技术水平,才能保障网络的安全。首先是网络安全技术发展的专业化。网络犯罪手段的不断更新,要求有大量专门的科研机构对网络安全涉及的问题进行分析和解决,促进网络安全技术更新,使网络安全技术发展专业化。其次是网络安全技术的普及化。随着网络技术的广泛应用,网络病毒以及网络攻击也时刻威胁系统安全,这就要求我们具有网络的安全意识,以防
常见的端口扫描类型及原理 常见的扫描类型有以下几种: 秘密扫描 秘密扫描是一种不被审计工具所检测的扫描技术。 它通常用于在通过普通的防火墙或路由器的筛选(filtering)时隐藏自己。 秘密扫描能躲避IDS、防火墙、包过滤器和日志审计,从而获取目标端口的开放或关闭的信息。由于没有包含TCP 3次握手协议的任何部分,所以无法被记录下来,比半连接扫描更为隐蔽。 但是这种扫描的缺点是扫描结果的不可靠性会增加,而且扫描主机也需要自己构造IP包。现有的秘密扫描有TCP FIN 扫描、TCP ACK扫描、NULL扫描、XMAS扫描和SYN/ACK 扫描等。 1、Connect()扫描: 此扫描试图与每一个TCP端口进行“三次握手”通信。如果能够成功建立接连,则证明端口开发,否则为关闭。准确度很高,但是最容易被防火墙和IDS检测到,并且在目标主机的日志中会记录大量的连接请求以及错误信息。 TCP connect端口扫描服务端与客户端建立连接成功(目标
端口开放)的过程: ① Client端发送SYN; ② Server端返回SYN/ACK,表明端口开放; ③ Client端返回ACK,表明连接已建立; ④ Client端主动断开连接。 建立连接成功(目标端口开放)如图所示 TCP connect端口扫描服务端与客户端未建立连接成功(目标端口关闭)过程: ① Client端发送SYN; ② Server端返回RST/ACK,表明端口未开放。 未建立连接成功(目标端口关闭)如图所示。 优点:实现简单,对操作者的权限没有严格要求(有些类型的端口扫描需要操作者具有root权限),系统中的任何用户 都有权力使用这个调用,而且如果想要得到从目标端口返回banners信息,也只能采用这一方法。 另一优点是扫描速度快。如果对每个目标端口以线性的方式,使用单独的connect()调用,可以通过同时打开多个套接字,从而加速扫描。 缺点:是会在目标主机的日志记录中留下痕迹,易被发现,并且数据包会被过滤掉。目标主机的logs文件会显示一连串的连接和连接出错的服务信息,并且能很快地使它关闭。
合肥经济技术职业学院 毕业设计(论文) 论文(设计)题目计算机网络安全技术分析院系名称 学生姓名 学号 指导教师 中国.合肥
目录 摘要 (2) 关键字 (2) 第一章计算机网络安全概述 (3) 1.1 网络安全的定义 (3) 1.2 网络安全的基本要素 (3) 1.3 网络安全的重要性 (4) 1.4 网络安全脆弱的原因 (5) 第二章防火墙技术 (7) 2.1 防火墙的概述 (7) 2.2 防火墙的概念 (8) 2.3 防火墙的功能 (8) 2.4 防火墙的分类 (9) 2.5 防火墙的优、缺点 (9) 第三章防火墙技术在网络安全中的运用 (10) 3.1 防火墙在网络中的应用 (10) 3.2 防火墙技术在局域网中的应用 (12) 3.3 防火墙技术在个人电脑上的应用 (13) 3.4 防火墙技术在网络中的作用 (14) 总结 (16) 参考文献 (17)
摘要 随着全球信息化的飞速发展,计算机技术也在飞速的发展,以Internet为代表的信息网络技术的应用正日益普及,应用领域从传统的小型业务系统,逐渐向大型关键业务系统扩展,信息网络已经深入到国家的政府、军事、文教、金融、商业等诸多领域,可以说网络无处不在,他正在改变我们的工作方式和生活方式。 随着网络的不断发展,通信日益便捷,把我们的生活推向快速化,我们也逐渐适应了快速的通信化生活,由于信息的高速、便捷,人们都在利用高科技技术进行通信,使我们的生活向着高速化发展,人们逐渐放弃了陈旧的通信方式,改用快捷便利的通信方式,使我们的生活逐渐信息化和多样化,把我们的生活装点的更加丰富多彩。 网络安全不仅关系到国计民生,还与国家安全息息相关,它涉及到国家政治和军事命脉,影响到国家的安全和主权,一些发达国家都把国家网络安全纳入了国家安全体系。因此,网络安全不仅成为上家关注的焦点,也是技术研究的热门领域,同时也是国家和政府关注的焦点。 在信息不断发展的今天,我们不仅要充分的利用网络的有利资源,还应该加强网络安全的防范,加强防火墙技术的发展对网络安全能够得到更好的维护。网络安全化会使我们的生活更加的丰富,使通讯更加安全,让信息快速的发展。 关键字:防火墙技术、网络安全、信息、黑客
计算机网络课程课程设计任务书
计算机网络设计说明书 学院名称:计算机与信息工程学院 班级名称:网络工程122班 学生姓名: 学号: 题目:基于多线程的端口扫描程序 指导教师 姓名: 起止日期:2015年6月13日至2015年6月20日
一、选题背景 随着互联网的飞速发展,网络入侵行为日益严重,网络安全成为人们关注的焦点。端口扫描技术是网络安全扫描技术的重要技术之一。对目标系统进行端口扫描,是网络系统入侵者进入目标系统的第一步。网络安全探测在网络安全中起着主动防御的作用,占有非常重要的地位。网络安全探测的所有功能都是建立在端口扫描的基础上,所以对端口扫描技术的研究有着非常重要的现实意义。 现实世界中的很多过程都具有多条线索同时动作的特性。Java语言的一大特性就是内置对多线程的支持。多线程是指同时存在几个执行体,按几条不同的执行线索共同工作的情况,它使得编程人员可以很方便地开发出具有多线程功能、能同时处理多个任务的功能强大的应用程序。 端口是由计算机的通信协议TCP/IP协议定义的。其中规定,有IP地址和端口号作为套接字,它代表TCP连接的一个连接端,一般称为Socket。具体来说,就是用[IP:端口]来定位一台主机的进程。 可见端口与进程是一一对应的,如果某个进程正在等待连接,称之为该进程正在监听,那么就会出现与它相对应的端口。由此可见,通过扫描端口,就可以判断出目标计算机有哪些通信进程正在等待连接。 利用TCP connect扫描原理,扫描主机通过TCP/IP协议的三次握手与目标主机的指定端口建立一次完整的连接,如果目标主机该端口有回复,则说明该端口开放。利用多线程技术实现了对一目标IP进行设定数目的端口扫描,对多IP段的特定端口进行扫描。 二、方案设计 多线程端口扫描器是实现计算机的端口的扫描,只要在在前台设置好所要扫描的IP、起始端口、结束端口以及所要用到的线程数,点击扫描,就可以扫描到所输入IP地址主机的开放端口,并显示在主窗体中;点击退出,则可以退出该程序。IP设置应为所在主机的IP地址,起始端口和结束端口应为0~65535之间的一个数,且起始端口应小于结束端口的大小。线程数为0~200之间的一个数。点击开始后就会运行,直到扫描完毕显示出开放端口,如果没有开放端口,则只显示扫描完毕。 本系统要实现的功能: ①端口扫描功能:扫描开放的端口,并将扫描到的开放端口号送到前台。 ②图像显示功能:显示图形界面,以及显示扫描结果。 ③多线程功能:当客户端要求与服务器端建立连接时,服务器端就将用到多线程功能,为每一个建立起来的连接创建一个线程。 ④异常抛出功能:对于明显的数据错误,能提示出错误的类型并阻止程序的运行。 流程图:
随着信息技术在社会生活中的应用日益广泛,人们对信息安全的重要性有了更加深刻的认识。作为信息流通与传输的主要媒介,网络的安全问题无疑是信息安全中不可或缺的一环。而作为信息最初的发送方、中间的传递方、最终的接收方,主机的安全问题也占有非常重要的地位。在系统维护人员看来,只有足够安全的网络和主机,才能最大可能地保证信息安全。相应的,黑客(攻击者)也会尽可能地寻找网络和主机的漏洞,从而实施攻击来破坏信息安全。双方攻防的第一步,主要集中在对网络和主机的漏洞扫描上。 网络扫描,是基于Internet的、探测远端网络或主机信息的一种技术,也是保证系统和网络安全必不可少的一种手段。主机扫描,是指对计算机主机或者其它网络设备进行安全性检测,以找出安全隐患和系统漏洞。总体而言,网络扫描和主机扫描都可归入漏洞扫描一类。漏洞扫描本质上是一把双刃剑:黑客利用它来寻找对网络或系统发起攻击的途径,而系统管理员则利用它来有效防范黑客入侵。通过漏洞扫描,扫描者能够发现远端网络或主机的配置信息、TCP/UDP端口的分配、提供的网络服务、服务器的具体信息等。 主机漏洞扫描,主要通过以下两种方法来检查目标主机是否存在漏洞:1)在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;2)通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。 一、漏洞扫描技术 安全扫描技术是一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。 漏洞扫描可以划分为ping扫描、端口扫描、OS探测、脆弱点探测、防火墙扫描五种主要技术,每种技术实现的目标和运用的原理各不相同。按照TCP/IP协议簇的结构,ping扫描工作在互联网络层:端口扫描、防火墙探测工作在传输层;0S探测、脆弱点探测工作在互联网络层、传输层、应用层。ping扫描确定目标主机的IP地址,端口扫描探测目标主机所开放的端口,然后基于端口扫描的结果,进行OS探测和脆弱点扫描。 1.1 Ping扫描 ping扫描是指侦测主机IP地址的扫描。ping扫描的目的,就是确认目标主机的TCP/IP网络是否联通,即扫描的IP地址是否分配了主机。对没有任何预知信息的黑客而言,ping扫描是进行漏洞扫描及入侵的第一步;对已经了解网络整体IP划分的网络安全人员来讲,也可以借助ping扫描,对主机的IP分配有一个精确的定位。大体上,ping扫描是基于ICMP协议的。其主要思想,就是构造一个ICMP包,发送给目标主机,从得到的响应来进行判断。根据构造ICMP包的不同,分为ECH0扫描和non—ECHO扫描两种。 1.1.1 ECH0扫描 向目标IP地址发送一个ICMP ECHOREQUEST(ICMP type 8)的包,等待是否收至UICMP ECHO REPLY(ICMP type 0)。如果收到了ICMP ECHO REPLY,就表示目标IP上存在主机,否则就说明没有主机。值得注意的是,如果目标网络上的防火墙配置为阻止ICMP ECH0流量,ECH0扫描不能真实反映目标IP上是否存在主机。 此外,如果向广播地址发送ICMPECHO REQUEST,网络中的unix主机会响应该请求,而windows 主机不会生成响应,这也可以用来进行OS探测。 1.1.2 non-ECH0扫描