教你防止网络监听与端口扫描
1.使用安全工具
有许多工具可以让我们发现系统中的漏洞,如SATAN等。SATAN是一个分析网络的管理、测试和报告许多信息,识别一些与网络相关的安全问题。
对所发现的问题,SATAN提供对这个问题的解释以及可能对系统和网络安全造成影响的程度,并且通过工具所附的资料,还能解释如何处理这些问题。
当然还有很多像这样的安全工具。包括对TCP端口的扫描或者对多台主机的所有TCP 端口实现监听;分析网络协议、监视控制多个网段等,正确使用这些安全工具,及时发现系统漏洞,才能防患于未然。
而对于WindowsNT系统平台,可定期检查EventLog中的SECLog记录,查看是否有可疑的情况,防止网络监听与端口扫描。
2.安装防火墙
防火墙型安全保障技术是基于被保护网络具有明确定义的边界和服务、并且网络安全的威胁仅来自外部的网络。通过监测、限制以及更改跨越“防火墙”的数据流,尽可能的对外部网络屏蔽有关被保护网络的信息、结构,实现对网络的安全保护,因此比较适合于相对独立,与外部网络互连途径有限并且网络服务种类相对单一、集中的网络系统,如Internet。“防火墙”型系统在技术原理上对来自内部网络系统的安全威胁不具备防范作用,对网络安全功能的加强往往以网络服务的灵活行、多样性和开放性为代价,且需要较大的网络管理开销。
防火墙型网络安全保障系统实施相当简单,是目前应用较广的网络安全技术,但是其基本特征及运行代价限制了其开放型的大规模网络系统中应用的潜力。由于防火墙型网络安全保障系统只在网络边界上具有安全保障功能,实际效力范围相当有限,因此“防火墙”型安全技术往往是针对特定需要而专门设计实施的系统。
对于个人用户,安装一套好的个人防火墙是非常实际而且有效的方法。现在许多公司都开发了个人防火墙,这些防火墙往往具有智能防御核心,攻击,并进行自动防御,保护内部网络的安全。
比如蓝盾防火墙系统在内核设计中引入自动反扫描机制,当黑客用扫描器扫描防火墙或防火墙保护的服务器时,将扫描不到任何端口,使黑客无从下手;同进还具有实时告警功能,系统对受到的攻击设有完备的纪录功能,纪录方式有简短纪录、详细记录、发出警告、纪录
统计(包括流量、连接时间、次数等)等记录,当系统发生警告时,还可以把警告信息传到呼机和手机上来,让系统管理员及得到通知。
3.对络上传输的信息进行加密,可以有效的防止网络监听等攻击
目前有许多软件包可用于加密连接,使入侵者即使捕获到数据,但无法将数据解密而失去窃听的意义。
最后给系统及网络管理员的一些建议:
(1)及时安装各种防火墙;
(2)关注国内一些有实力的安全站点,以得到最新网络系统漏洞的消息。
综合实验报告 ( 2010 -- 2011 年度第二学期) 名称:网络综合实验 题目:端口扫描程序 院系:信息工程系 班级: 学号: 学生姓名: 指导教师:鲁斌李莉王晓霞张铭泉设计周数: 2 周 成绩: 日期:2011年7月1日
一、综合实验的目的与要求 1.任务:设计并实现一个端口扫描程序,检测某个IP或某段IP的计算机的端口工作情况。 2.目的:加深对课堂讲授知识的理解,熟练掌握基本的网络编程技术和方法,建立网络编程整体概念,使得学生初步具有研究、设计、编制和调试网络程序的能力。 3.要求:熟悉有关定义、概念和实现算法,设计出程序流程框图和数据结构,编写出完整的源程序,基本功能完善,方便易用,操作无误。 4.学生要求人数:1人。 二、综合实验正文 1.端口扫描器功能简介:服务器上所开放的端口就是潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息,进行端口扫描的方法很多,可以是手工进行扫描、也可以用端口扫描软件进行。扫描器通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答,通过这种方法可以搜集到很多关于目标主机的各种有用的信息,例如远程系统是否支持匿名登陆、是否存在可写的FTP目录、是否开放TELNET 服务和HTTPD服务等。 2.实验所用的端口扫描技术:端口扫描技术有TCP connect()扫描、TCP SYN扫描、TCP FIN 扫描、IP段扫描等等。本次实验所用的技术是TCP connect()扫描,这是最基本的TCP 扫描,操作系统提供的connect()系统调用可以用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。这个技术的一个最大的优点是,你不需要任何权限。系统中的任何用户都有权利使用这个调用。 3.实验具体实现方案:编写一个端口扫描程序,能够显示某个IP或某段IP的计算机的某一个或某些端口是否正在工作。基本工作过程如下: (1) 设定好一定的端口扫描范围; (2) 设定每个端口扫描的次数,因为有可能有的端口一次扫描可能不通; (3) 创建socket,通过socket的connect方法来连接远程IP地址以及对应的端口; (4) 如果返回false,表示端口没有开放,否则端口开放。 4.有关TCP/IP的知识: 4.1套接字概念 1)在网络中要全局地标识一个参与通信的进程,需要采用三元组:协议、主机IP地址、端口号。
从入门到精通网络监听技术全解 作者: , 出处:中国IT实验室, 责任编辑: 韩博颖, 2008-04-07 09:24 网络监听,可以有效地对网络数据、流量进行侦听、分析,从而排除网络故障,成为了普通的网络管理员想真正成长为资深的网络工程师的必经之路。 编者按: 网络监听,可以有效地对网络数据、流量进行侦听、分析,从而排除网络故障,但它同时又带来了信息失窃等极大隐患,也因此,网络监听成为了一个普通的网络管理员想真正成长为资深的网络工程师的必经之路。 网络监听,在网络安全上一直是一个比较敏感的话题,作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,因而一直倍受网络管理员的青睐。然而,在另一方面网络监听也给以太网安全带来了极大的隐患,许多的网络入侵往往都伴随着以太网内网络监听行为,从而造成口令失窃,敏感数据被截获等等连锁性安全事件。 网络监听在安全领域引起人们普遍注意是在94年开始的,在那一年2月间,相继发生了几次大的安全事件,一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件,利用它对美国骨干互联网和军方网窃取了超过100000个有效的用户名和口令。上述事件可能是互联网上最早期的大规模的网络监听事件了,它使早期网络监听从"地下"走向了公开,并迅速的在大众中普及开来。 关于网络监听常常会有一些有意思的问题,如:"我现在有连在网上的计算机了,我也有了窃听的软件了,那么我能不能窃听到微软(或者美国国防部,新浪网等等)的密码? 又如:我是公司的局域网管理员,我知道hub很不安全,使用hub这种网络结构将公司的计算计互连起来,会使网络监听变得非常容易,那么我们就换掉hub,使用交换机,不就能解决口令失窃这种安全问题了么? 这是两个很有意思的问题,我们在这里先不做回答,相信读者看完全文后会有自己正确的答案。 基本概念:认清mac地址和ip地址 首先,我们知道,一台接在以太网内的计算机为了和其他主机进行通讯,在硬件上是需要网卡,在软件上是需要网卡驱动程序的。而每块网卡在出厂时都有一个唯一的不与世界上任何一块网卡重复的硬件地址,称为mac地址。同时,当网络中两台主机在实现tcp/ip通讯时,网卡还必须绑定一个唯一的ip地址。下面用一个常见的unix命令ifconfig来看一看作者本人的一台正常工作的机器的网卡: [yiming@server/root]# ifconfig -a hme0: flags=863 mtu 1500 inet 192.168.1.35 netmask ffffffe0
网络嗅探与监听 局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点。目前局域网主要用于办公室自动化和校园教学及管理,一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。 一、网络监听 网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。 二、在局域网实现监听的基本原理 对于目前很流行的以太网协议,其工作方式是:将要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,只有与数据包中目标地址一致的那台主机才能接收。但是,当主机工作监听模式下,无论数据包中的目标地址是什么,主机都将接收(当然只能监听经过自己网络接口的那些包)。 在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送,必须从TCP/IP 协议的IP层交给网络接口,也就是数据链路层,而网络接口是不会识别IP地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与IP 地址相对应的48位的地址。
传输数据时,包含物理地址的帧从网络接口(网卡)发送到物理的线路上,如果局域网是由一条粗缆或细缆连接而成,则数字信号在电缆上传输,能够到达线路上的每一台主机。当使用集线器时,由集线器再发向连接在集线器上的每一条线路,数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时,正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的物理地址是自己的或者是广播地址,则将数据帧交给上层协议软件,也就是IP层软件,否则就将这个帧丢弃。对于每一个到达网络接口的数据帧,都要进行这个过程。 然而,当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。而且,当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。也就是说,在同一条物理信道上传输的所有信息都可以被接收到。另外,现在网络中使用的大部分协议都是很早设计的,许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上,许多信息以明文发送。因此,如果用户的账户名和口令等信息也以明文的方式在网上传输,而此时一个黑客或网络攻击者正在进行网络监听,只要具有初步的网络和TCP/IP协议知识,便能轻易地从监听到的信息中提取出感兴趣的部分。同理,正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位,在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段。 三、局域网监听的简单实现 要使主机工作在监听模式下,需要向网络接口发出I/O控制命令,将其设置为监听模式。在Unix系统中,发送这些命令需要超级用户的权限。在Windows 系列操作系统中,则没有这个限制。要实现网络监听,可以自己用相关的计算机语言和函数编写出功能强大的网络监听程序,也可以使用一些现成的监听软件,在很多黑客网站或从事网络安全管理的网站都有。 1. 一个使用Wireshark进行监听并解析IPv4协议头部的例子 (1)IP数据报首部概述
一、实验目的 ●掌握网络端口扫描器的使用方法,熟悉常见端口和其对应的服务程序,掌握发现系统漏 洞的方法。 ●掌握综合扫描及安全评估工具的使用方法,了解进行简单系统漏洞入侵的方法,了解常 见的网络和系统漏洞以及其安全防护方法。 二、实验原理 ●端口扫描原理 1.端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应。 通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务或信 息。 2.端口扫描主要有经典的扫描器(全连接)、SYN(半连接)扫描器、秘密扫描等。 3.全连接扫描:扫描主机通过TCP/IP协议的三次握手与目标主机的指定端口建立一 次完整的连接。建立连接成功则响应扫描主机的SYN/ACK连接请求,这一响应表 明目标端口处于监听(打开)的状态。如果目标端口处于关闭状态,则目标主机会 向扫描主机发送RST的响应。 4.半连接(SYN)扫描:若端口扫描没有完成一个完整的TCP连接,在扫描主机和 目标主机的一指定端口建立连接时候只完成了前两次握手,在第三步时,扫描主机 中断了本次连接,使连接没有完全建立起来,这样的端口扫描称为半连接扫描,也 称为间接扫描。 5.TCP FIN(秘密)扫描:扫描方法的思想是关闭的端口会用适当的RST来回复FIN 数据包。另一方面,打开的端口会忽略对FIN数据包的回复。 ●综合扫描和安全评估技术工作原理 1.获得主机系统在网络服务、版本信息、Web应用等相关信息,然后采用模拟攻击 的方法,对目标主机系统进行攻击性的安全漏洞扫描,如果模拟攻击成功,则视为 漏洞存在。最后根据检测结果向系统管理员提供周密可靠的安全性分析报告。 ●常见的TCP端口如下: 服务名称端口号说明 FTP 21 文件传输服务 TELNET 23 远程登录服务 HTTP 80 网页浏览服务 POP3 110 邮件服务 SMTP 25 简单邮件传输服务 SOCKS 1080 代理服务 ●常见的UDP端口如下: 服务名称端口号说明 RPC 111 远程调用
端口扫描与检测技术的实现 摘要 随着Internet日益广泛的应用,黑客攻击行为也是有增无减。如何有效地抵御这种攻击行为,一直是信息安全领域的焦点。 而其中,端口扫描技术吸引了越来越多人的关注。端口扫描是黑客搜集目标主机信息的一种常用方法。为了有效地对付网络入侵行为,对端口扫描进行研究是非常有益和必要的。攻击者在攻击一个目标时,首先要获取目标的一些基本信息,端口扫描就是其中最简单最重要的方法之一,它可以扫描目标机器中开放的端口,从而确定目标机器中提供的服务,为下一步攻击做准备。针对端口扫描技术,相应的端口扫描检测技术显的越发重要,作为网络安全技术中的一个重要课题,端口扫描检测技术意义重大。 本文首先阐述了端口扫描技术以及端口扫描检测技术的基本原理和常用方法,然后在此基础上设计了一个对基于网络的端口进行扫描,能判断出目标主机端口开放情况的程序以及一个从网络信息的数据包的捕获和分析着手,再通过统计判断是否存在端口扫描行为的程序,最后从攻击和防御的角度对端口扫描和检测技术作了演示及分析。 关键词:端口;端口扫描;数据包捕获;端口检测
The Realization of Port Scanning and Detecting Technology Abstract As the widely applying of Internet, the attacking behavior made by hacker is increasing but not decreasing. How to resist this kind of attacking behavior is always the key point of the domain of the information security. And the port scanning draws people's attention more and more. Port scanning is a usual method which is used by the hacker to collect the information of the target main processor. In order to deal with the invading behavior of the Internet effectively, it is very useful and necessary to work on the port scanning. When an attacker attacks to a target, he or she will firstly gets some basic information about the target, and the port scanning is one of the most simple and important methods which can scan the opening Port of the target machine to make sure the offering service made by the target machine, and it is a preparation to the next attacking. The port detecting seems more and more important referring to the port scanning. As an important task of the secure technique of Internet, the port detecting is of great significance. In this thesis, it firstly elaborates the basic principles and usual methods of the port scanning. On this basis, it then designs a program which can scan the Port of the Internet, and assess the opening situation of the target main processor, and the other program which begins on capturing and analyzing the information packet of Internet, and then assess whether there is a behavior about port scanning through statistic analyses. Lastly, it demonstrates and analyses the technology of port scanning and port detecting from the viewpoint of attacking and resisting. Key Words:port; port scanning; packet capture; port detecting
网络端口扫描实验报告 一、网络端口扫描简介 TCP/IP协议在网络层是无连接的,而“端口”,就已经到了传输层。端口便是计算机与外部通信的途径。一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息。进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行。在手工进行扫描时,需要熟悉各种命令,对命令执行后的输析出进行分,效率较低。用扫描软件进行扫描时,许多扫描器软件都有分析数据的功能。通过端口扫描,可以得到许多有用的信息,从而发现系统的安全漏洞。扫描工具根据作用的环境不同可分为:网络漏洞扫描工具和主机漏洞扫描工具。前者指通过网络检测远程目标网络和主机系统所存在漏洞的扫描工具。后者指在本机运行的检测本地系统安全漏洞的扫描工具。本实验主要针对前者。 端口是TCP协议中定义的,TCP协议通过套接字(socket)建立起两台计算机之间的网络连接。它采用【IP地址:端口号】形式定义,通过套接字中不同的端口号来区别同一台计算机上开启的不同TCP和UDP连接进程。端口号在0~~65535之间,低于1024的端口都有确切的定义,它们对应着因特网上常见的一些服务。这些常见的服务可以划分为使用TCP端口(面向连接如打电话)和使用UDP端口
(无连接如写信)两种。端口与服务进程一一对应,通过扫描开放的端口就可以判断计算机中正在运行的服务进程。 二、实验目的 1.了解熟悉MFC及的基本原理和方法。 2.加深对tcp的理解,学习端口扫描技术和,原理熟悉socket编程。 3.通过自己编程实现简单的IP端口扫描器模型。 4.通过端口扫描了解目标主机开放的端口和服务程序。 三、实验环境 Windows操作系统 VC++6.0开发环境 四、实验设计 实验原理 通过调用socket函数connect()连接到目标计算机上,完成一次完整的三次握手过程,如果端口处于侦听状态,那么connect()就可以成功返回,否则这个端口不可用,即没有提供服务。 实验内容 1. 设计实现端口扫描器 2. IP地址、端口范围可以用户输入。 3. 要求有有好的可视化操作界面。 实验步骤: 1、用户界面:使用vc6.0里的MFC来开发用户界面 2、端口扫描:使用socket函数中的connect()连接计算机来判定目标计算机是否开放了要测试的端口 五、代码实现 #include
信息安全实验报告 学号: 学生姓名: 班级:
实验一网络扫描与监听 一、实验目的 网络扫描是对整个目标网络或单台主机进行全面、快速、准确的获取信息的必要手段。通过网络扫描发现对方,获取对方的信息是进行网络攻防的前提。该实验使学生了解网络扫描的内容,通过主机漏洞扫描发现目标主机存在的漏洞,通过端口扫描发现目标主机的开放端口和服务,通过操作系统类型扫描判断目标主机的操作系统类型。 通过该实验,了解网络扫描的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法,能够通过网络扫描发现对方的信息和是否存在漏洞。要求能够综合使用以上的方法来获取目标主机的信息。 而网络监听可以获知被监听用户的敏感信息。通过实验使学生了解网络监听的实现原理,掌握网络监听软件的使用方法,以及对网络中可能存在的嗅探结点进行判断的原理。掌握网络监听工具的安装、使用,能够发现监听数据中的有价值信息,了解网络中是否存在嗅探结点的判断方法及其使用。 二、实验要求 基本要求了解网络扫描的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法,能够通过网络扫描发现对方的信息和是否存在漏洞。掌握网络监听工具的安装、使用,能够发现监听数据中的有价值信息等。提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用等。 三、实验步骤 1)扫描软件X-Scan 和Nmap 以及WinPcap 驱动安装包并安装。 2)打开X-Scan,如下图所示。 3)点击“设置”->“扫描参数”,弹出扫描参数设置对话框,在“指定IP 范围”输入被扫描的IP 地址或地址范围。在“全局设置”的“扫描模块”设置对话框中选择需要检测的模块。其他可以使用默认的设置,也可以根据实际需要进行选择。最后点击“确定”回到主界面。
常见的端口扫描类型及原理 常见的扫描类型有以下几种: 秘密扫描 秘密扫描是一种不被审计工具所检测的扫描技术。 它通常用于在通过普通的防火墙或路由器的筛选(filtering)时隐藏自己。 秘密扫描能躲避IDS、防火墙、包过滤器和日志审计,从而获取目标端口的开放或关闭的信息。由于没有包含TCP 3次握手协议的任何部分,所以无法被记录下来,比半连接扫描更为隐蔽。 但是这种扫描的缺点是扫描结果的不可靠性会增加,而且扫描主机也需要自己构造IP包。现有的秘密扫描有TCP FIN 扫描、TCP ACK扫描、NULL扫描、XMAS扫描和SYN/ACK 扫描等。 1、Connect()扫描: 此扫描试图与每一个TCP端口进行“三次握手”通信。如果能够成功建立接连,则证明端口开发,否则为关闭。准确度很高,但是最容易被防火墙和IDS检测到,并且在目标主机的日志中会记录大量的连接请求以及错误信息。 TCP connect端口扫描服务端与客户端建立连接成功(目标
端口开放)的过程: ① Client端发送SYN; ② Server端返回SYN/ACK,表明端口开放; ③ Client端返回ACK,表明连接已建立; ④ Client端主动断开连接。 建立连接成功(目标端口开放)如图所示 TCP connect端口扫描服务端与客户端未建立连接成功(目标端口关闭)过程: ① Client端发送SYN; ② Server端返回RST/ACK,表明端口未开放。 未建立连接成功(目标端口关闭)如图所示。 优点:实现简单,对操作者的权限没有严格要求(有些类型的端口扫描需要操作者具有root权限),系统中的任何用户 都有权力使用这个调用,而且如果想要得到从目标端口返回banners信息,也只能采用这一方法。 另一优点是扫描速度快。如果对每个目标端口以线性的方式,使用单独的connect()调用,可以通过同时打开多个套接字,从而加速扫描。 缺点:是会在目标主机的日志记录中留下痕迹,易被发现,并且数据包会被过滤掉。目标主机的logs文件会显示一连串的连接和连接出错的服务信息,并且能很快地使它关闭。
网络监听实验报告 一、实验目的 利用Sniffer软件捕获网络信息数据包,然后通过解码进行分析。通过实验,了解网络监听原理和过程。 二、实验环境及设备 硬件:可以用三台真机:三台PC、一台集线器或交换机、网线若干; 或也可以用三台虚拟机:一台内存不少于2GB的PC,用VMware虚拟机软件建 立三台虚拟机,要求能流畅运行。 软件:Windows XP Professional SP3,IIS组件包(用于搭建FTP服务器),Sniffer软件。 三、实验内容 将三台PC组建成一个局域网;将其中的A机搭建为FTP服务器,并将服务器设置为要求用户名和密码登录;B机作为A机FTP服务的访问者,知道A机FTP服务的用户名和密码;C机作为监听者,装有Sniffer软件,监听A、B两机的通信,以监听到A机的FTP 服务用户名和密码为最终目标。 四、实验详细步骤 本实验内容分为三个过程: 1、准备三台PC,将三台PC组建成一个局域网,以能互相ping通为成功标志。 (1)物理连接:若用三台实体PC,用交换机连接成网络;若用三台虚拟机,则都使用“桥接”方式连接成网络,操作方法为:选定需设置的虚拟机→“虚拟机”菜单→“设置”命令→“硬件”选项卡→“Network Adapter”→“桥接:直接连接到物理网络”。
(2)分配IP地址 IP地址设置好后,关闭防火墙,测试三台电脑能否互相ping通。关闭防火墙方法:右击桌面“网上邻居”→属性→右击“本地连接”→属性→“高级”选项卡→“设置”按钮→“常规”选项卡→选中“关闭(不推荐)”。如下图。 2、在A机上安装IIS,搭建并设置FTP服务器,以B机通过用户名和密码能访问A机FTP 服务为成功标志。 (1)安装IIS。 打开“我的电脑”→“控制面板”→“添加/删除程序”→“添加/删除windows组件”→勾选“Internet信息服务(IIS)”→“详细信息”→勾选“文件传输协议(FTP)服务”→点击确定开始安装IIS,如下图。在安装过程中提示需要放入Windows系统光盘,请点击确定后选择IIS组件包所在位置,如下图。
计算机网络课程课程设计任务书
计算机网络设计说明书 学院名称:计算机与信息工程学院 班级名称:网络工程122班 学生姓名: 学号: 题目:基于多线程的端口扫描程序 指导教师 姓名: 起止日期:2015年6月13日至2015年6月20日
一、选题背景 随着互联网的飞速发展,网络入侵行为日益严重,网络安全成为人们关注的焦点。端口扫描技术是网络安全扫描技术的重要技术之一。对目标系统进行端口扫描,是网络系统入侵者进入目标系统的第一步。网络安全探测在网络安全中起着主动防御的作用,占有非常重要的地位。网络安全探测的所有功能都是建立在端口扫描的基础上,所以对端口扫描技术的研究有着非常重要的现实意义。 现实世界中的很多过程都具有多条线索同时动作的特性。Java语言的一大特性就是内置对多线程的支持。多线程是指同时存在几个执行体,按几条不同的执行线索共同工作的情况,它使得编程人员可以很方便地开发出具有多线程功能、能同时处理多个任务的功能强大的应用程序。 端口是由计算机的通信协议TCP/IP协议定义的。其中规定,有IP地址和端口号作为套接字,它代表TCP连接的一个连接端,一般称为Socket。具体来说,就是用[IP:端口]来定位一台主机的进程。 可见端口与进程是一一对应的,如果某个进程正在等待连接,称之为该进程正在监听,那么就会出现与它相对应的端口。由此可见,通过扫描端口,就可以判断出目标计算机有哪些通信进程正在等待连接。 利用TCP connect扫描原理,扫描主机通过TCP/IP协议的三次握手与目标主机的指定端口建立一次完整的连接,如果目标主机该端口有回复,则说明该端口开放。利用多线程技术实现了对一目标IP进行设定数目的端口扫描,对多IP段的特定端口进行扫描。 二、方案设计 多线程端口扫描器是实现计算机的端口的扫描,只要在在前台设置好所要扫描的IP、起始端口、结束端口以及所要用到的线程数,点击扫描,就可以扫描到所输入IP地址主机的开放端口,并显示在主窗体中;点击退出,则可以退出该程序。IP设置应为所在主机的IP地址,起始端口和结束端口应为0~65535之间的一个数,且起始端口应小于结束端口的大小。线程数为0~200之间的一个数。点击开始后就会运行,直到扫描完毕显示出开放端口,如果没有开放端口,则只显示扫描完毕。 本系统要实现的功能: ①端口扫描功能:扫描开放的端口,并将扫描到的开放端口号送到前台。 ②图像显示功能:显示图形界面,以及显示扫描结果。 ③多线程功能:当客户端要求与服务器端建立连接时,服务器端就将用到多线程功能,为每一个建立起来的连接创建一个线程。 ④异常抛出功能:对于明显的数据错误,能提示出错误的类型并阻止程序的运行。 流程图:
已经确定了自己以后的职业了,现在就应该努力提高技术了。偶尔也写写对一些技术原理的个人理解,当做检验自己的学习情况了。也希望能对光临我空间的人有所帮助。这是自己写的第一篇,有不足的地方欢迎大家指教。 网络监听,又称为网络嗅探。网络监听可以说是网络安全领域一个非常敏感的话题了。作为一种发展比较成熟的技术,网络监听就像一把双刃剑,一方面它为网络管理员提供了一种管理网络的手段,监听在协助网络管理员监测网络传输数据、排除网络故障等方面有着不可替代的作用;另一方面,网络监听也是黑客获取在局域网上传输的敏感信息的一种重要手段,因为网络监听是一种被动的攻击方式,不易被察觉。 在我们使用的局域网技术中,以太网技术是最经常使用的一种。在以太网中,又可分为共享型以太网和交换型以太网。在讨论网络监听时,我们先使用最简单的共享型以太网来进行讨论。 共享型以太网,使用CSMA/CD媒体访问控制方式,通过集线器相连,网络拓扑为总线型。同一个以太网中的所有节点共享传输介质。根据CSMA/CD媒体访问控制方法,节点在发送数据帧之前先侦听传输介质上是否有数据帧在传输,如果没有的话即进行数据传输。这就意味着在同一个以太网上,当有数据帧在传输时,这个以太网中的所有节点都能接受到这个数据帧。节点根据帧头部所携带的目的MAC地址来判断这个帧是否是发给自己的:当所接收到的帧的目的MAC地址为本机MAC地址是,接收该帧;当所接收到的帧的目的MAC地址不是本机MAC 地址时,则丢弃该帧。但是,当节点的网卡工作在混杂模式时,该节点将接收所有在以太网上传输的数据帧,包括在网络上传输的口令等敏感信息。 而在交换型以太网中,情况就有所不同了。交换型以太网通过交换机连接。交换机工作于数据链路层,通过将接收到的数据帧的目的MAC地址与自身的地址对照表相比较来确定将数据帧转发给哪个端口,只有当交换机接收到广播帧或者是交换机的地址对照表上没有该MAC 地址的对应端口时,才把该帧向所有端口广播。这样,以太网上的节点就很少接收到发送给其他节点的数据帧了。
一、高级ICMP扫描技术 Ping就是利用ICMP协议走的,高级的ICMP扫描技术主要是利用ICMP协议最基本的用途:报错。根据网络协议,如果按照协议出现了错误,那么接收端将产生一个ICMP的错误报文。这些错误报文并不是主动发送的,而是由于错误,根据协议自动产生。 当IP数据报出现checksum和版本的错误的时候,目标主机将抛弃这个数据报,如果是checksum出现错误,那么路由器就直接丢弃这个数据报了。有些主机比如AIX、HP-UX等,是不会发送ICMP的Unreachable数据报的。 我们利用下面这些特性: 1、向目标主机发送一个只有IP头的IP数据包,目标将返回Destination Unreachable的ICMP错误报文。 2、向目标主机发送一个坏IP数据报,比如,不正确的IP头长度,目标主机将返回Parameter Problem的ICMP错误报文。 3、当数据包分片但是,却没有给接收端足够的分片,接收端分片组装超时会发送分片组装超时的ICMP数据报。
向目标主机发送一个IP数据报,但是协议项是错误的,比如协议项不可用,那么目标将返回Destination Unreachable的ICMP报文,但是如果是在目标主机前有一个防火墙或者一个其他的过滤装置,可能过滤掉提出的要求,从而接收不到任何回应。可以使用一个非常大的协议数字来作为IP头部的协议内容,而且这个协议数字至少在今天还没有被使用,应该主机一定会返回Unreachable,如果没有Unreachable的ICMP数据报返回错误提示,那么就说明被防火墙或者其他设备过滤了,我们也可以用这个办法来探测是否有防火墙或者其他过滤设备存在。 利用IP的协议项来探测主机正在使用哪些协议,我们可以把IP头的协议项改变,因为是8位的,有256种可能。通过目标返回的ICMP错误报文,来作判断哪些协议在使用。如果返回Destination Unreachable,那么主机是没有使用这个协议的,相反,如果什么都没有返回的话,主机可能使用这个协议,但是也可能是防火墙等过滤掉了。NMAP的IP Protocol scan也就是利用这个原理。 利用IP分片造成组装超时ICMP错误消息,同样可以来达到我们的探测目的。当主机接收到丢失分片的数据报,并且在一定时间内没有接收到丢失的数据报,就会丢弃整个包,并且发送ICMP分片组装超时错误给原发送端。我们可以利用这个特性制造分片的数据包,然后等待ICMP组装超时错误消息。可以对UDP 分片,也可以对TCP甚至ICMP数据包进行分片,只要不让目标主机获得完整的数据包就行了,当然,对于UDP这种非连接的不可靠协议来说,如果我们没
第8章网络监听技术 8.7 实验 8.7.1 Wireshark的安装与使用 1. 实验目的 了解Wireshark软件的监听原理,掌握Wireshark软件的使用方法,学会使用Wireshark 软件进行数据包和协议分析。 2. 实验内容与要求 (1) 安装Wireshark、飞秋软件。 (2) 学习使用Wireshark软件,包含各功能菜单的作用,选项的设置等。 (3) 二人(A和B)一组,组员A和B启动Wireshark软件,设置好捕获选项,并开始捕获。注意根据情况设置好过滤器,使得尽量只捕获自己想要的那些数据包,进行以下实验过程: a)启动飞秋,不使用飞秋进行任何操作,通过分析Wireshark捕获的数据包判断 飞秋是否会定时发送数据包,如果发送,采用的是何种协议、何种方式? b)组员B使用飞秋向组员A发送消息。 c)组员A和B截获数据包后,分析飞秋发送消息使用的传输层协议(UDP/TCP), 并分析使用飞秋发送一条消息时的通信机制。 d)组员B使用飞秋的刷新功能进行刷新。 e)组员A和B截获数据包后,分析飞秋刷新时使用的传输层协议,并分析使用 飞秋刷新时的通信机制。 f)组员B使用飞秋向组员A发送文件。 g)组员A和B截获数据包后,分析飞秋发送文件时使用的传输层协议,并分析 使用飞秋发送文件时的通信机制。 (4) 将观察结果截图,并写入实验报告中。 3. 实验环境 (1) 实验室环境,实验用机的操作系统为Windows。 (2) 最新版本的Wireshark软件。 (3) 飞秋即时通信软件。 8.7.2 利用Cain软件实现ARP 欺骗 1. 实验目的 理解ARP欺骗攻击的基本原理,掌握使用Cain、Wireshark工具进行ARP欺骗和网络监听的方法。 2. 实验内容与要求 (1) 安装Wireshark、Cain、飞秋软件。 (2) 三人一组(A,B,C),C运行Cain软件进行ARP欺骗、运行Wireshark软件监听A和B之间的飞秋通信。 (3) 在主机C中安装好Cain工具后,单击【Sniffer】按钮,对主机所在的局域网进行扫描和嗅探,嗅探一段时间后,可以在【Sniffer】选项卡下看到局域网上主机的列表,列表中还显示了主机对应的MAC地址。 (4) 如果Cain嗅探到希望监听的两台主机,单击界面下方的【APR】选项卡,切换到APR (ARP Poison Routing)界面,单击界面工具栏中的蓝色“+”按钮,弹出【New ARP Poison Routing】的窗口。
实验二:《网络监听工具的安装使用》 一、基本信息 项目编码:07011111 项目学时:2 项目类型:综合项目属性:必修 大纲执笔:陈雁大纲审批:计算机科学学院学术委员会主管院长:王杨 二、实验目的 掌握网络监听工具ethereal的基本使用,并了解如何捕获数据报进行分析 三、教学要求 1.安装使用网络监听工具ethereal; 2.使用ethereal网络分析器对局域网的数据包进行识别、分析。 四、主要仪器设备 Windows 2000以上操作系统,可上Internet网络的计算机若干,ethereal安装包 五、考核方式及要求 实验报告 六、主要内容 本次实验需在小组合作的基础之上完成。每个小组由两位成员组成,相互之间通信,通过网络监听工具截取通信数据包,分析数据包完成实验内容。 1、通过ipconfig命令获取本机IP地址,并填写上面的小组情况表。 2、下载网络监听工具ethereal和winpcap并安装; (1)首先安装winpcap;
(2)安装ethereal。 3、从本机ping小组另一位成员的计算机,使用ethereal截取ping过程中的通信数据。 4、分析截取的由于第3步操作而从本机发送到目的机的数据帧中的IP数据报并填写下表。
先启动ethereal抓包,然后访问任意Http服务器,使用截取操作中的通信数据。 分析截取的由于第6步操作而从本机发送到目的机的数据帧中的TCP数据报并填写下表。 7、分析截取的由于第6步操作而从目的机返回到本机的数据帧中的TCP数据报并填写下 表。 七、实验报告 记录实验内容各步骤的实验结果。
实训十网络扫描攻击防护实训 一、实训目的 1、了解基本的网络扫描攻击方法; 2、掌握WAF防护网络扫描攻击的配置方法。 二、应用环境 本次实训我们将模拟网络扫描行为,对网站进行网络扫描攻击,并使用WAF进行攻击防护。 三、实训设备 1、WAF设备1台 2、PC机2台 3、双绞线(直通)2根 四、实训拓扑 透明部署模式 五、实训要求 1、按照拓扑连接网络 2、按照拓扑中的IP地址配置设备IP 六、实训步骤 第一步:在PC机2上部署要进行网络扫描的网站,并在本地访问正常,在PC机2上打开浏览器输入http://127.0.0.1/
第二步:在PC机1上打开浏览器输入https://192.168.1.2/登录WAF设备,将保护网站添加到WAF站点管理中,左侧功能树进入站点->站点管理,点击新建按钮
输入web服务器IP地址和端口,点击确定,将网站加入WAF保护中 注意:此步骤中策略集选择“无” 第三步:在PC机1上安装网络扫描软件APPSCAN,先将PC机上的杀毒软件关闭,将压缩包解压后,请确认有下面三个文件 点击APP SCAN7.8.1中文版.exe进行安装,安装完毕后,不要立即运行,先将keygen.exe 和patch.exe拷贝到C:\Program Files\IBM\Rational AppScan该目录下,先点击patch.exe
点击按钮patch,然后点击exit关闭,再点击keygen.exe 点击Generate按钮,生成一个license.lic文件 这时回到系统桌面,运行APPSCAN
软件打开以后,点击帮助->许可证
第1章网络安全概述与环境配置 1. 网络攻击和防御分别包括哪些内容? 答:攻击技术主要包括以下几个方面。 (1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。 (2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。 (3)网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。 (4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。 (5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。 防御技术主要包括以下几个方面。 (1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。 (2)加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。 (3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。 (4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。 (5)网络安全协议:保证传输的数据不被截获和监听。 2. 从层次上,网络安全可以分成哪几层?每层有什么特点? 答:从层次体系上,可以将网络安全分成4个层次上的安全:物理安全,逻辑安全,操作系统安全和联网安全。 物理安全主要包括5个方面:防盗,防火,防静电,防雷击和防电磁泄漏。 逻辑安全需要用口令、文件许可等方法来实现。 操作系统安全,操作系统必须能区分用户,以便防止相互干扰。操作系统不允许一个用户修改由另一个账户产生的数据。 联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。(1)访问控制服务:用来保护计算机和联网资源不被非授权使用。(2)通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。 (感觉如果说是特点的话这样回答有点别扭。。) 3. 为什么要研究网络安全? 答:网络需要与外界联系,同时也就受到许多方面的威胁:物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等。(可详细展开) 6. 网络安全橙皮书是什么?包括哪些内容? 答:
网络扫描与网络嗅探一实验目的 (1)理解网络嗅探和扫描器的工作机制和作用 (2)使用抓包与协议分析工具Wireshark (3)掌握利用扫描器进行主动探测,收集目标信息的方法(4)掌握使用漏洞扫描器检测远程或本地主机安全性漏洞二实验环境 Windows xp操作系统平台,局域网环境 网络抓包与协议分析工具Wireshark 扫描器软件:Superscan 三实验步骤 使用Wireshark 抓包并进行协议分析 (1)下载并安装软件,主界面如图
(2)单击capture,打开interface接口选项,选择本地连接,如图 (3)使用Wireshark数据报获取,抓取TCP数据包并进行分析 从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图所示:
(4)TCP三次握手过程分析(以第一次握手为例) 主机(172.16.1.64)发送一个连接请求到(172.16.0.1),第一个TCP包的格式如图所示: 第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6,其格式为:
第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为: TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。Sequence number同步序号,这里是0x3a 2a b7 bb,但这里显示的是相对值0。Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。Options选项8字节