网络端口:在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等;二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等。
端口分类
按端口号可分为3大类:
(1)公认端口(Well Known Ports):从0到1023,它们紧密绑定(binding)于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。
(2)注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
(3)动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。
常见的端口号详解
1)公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。
2)注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
3)动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始
如下:
端口:0
服务:Reserved
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
端口:1
服务:tcpmux
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux 在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
端口:7
服务:Echo
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
端口:19
服务:Character Generator
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
端口:20、21
服务:FTP
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous 的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口:22
服务:Ssh
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
端口:23
服务:Telnet
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server 就开放这个端口。
端口:25
服务:SMTP
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
端口:31
服务:MSG Authentication
说明:木马Master Paradise、Hackers Paradise开放此端口。
端口:42
服务:WINS Replication
说明:WINS复制
端口:53
服务:Domain Name Server(DNS)
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
端口:67
服务:Bootstrap Protocol Server
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
端口:69
服务:Trival File Transfer
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。
端口:79
服务:Finger Server
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。
端口:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此端口。
端口:88
说明:Kerberos krb5。另外TCP的88端口也是这个用途。
端口:99
服务:Metagram Relay
说明:后门程序ncx99开放此端口。
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端口:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
端口:110
服务:SUN公司的RPC服务所有端口
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:113
服务:Authentication Service
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
端口:服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的\
功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。
端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
端口:143
服务:Interim Mail Access Protocol v2
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHA T在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。
端口:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
端口:162
说明:SNMP Trap(SNMP陷阱)
端口:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
端口:443
服务:Https
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
端口:445
说明:Common Internet File System(CIFS)(公共Internet文件系统)
端口:456
服务:[NULL]
说明:木马HACKERS PARADISE开放此端口。
端口:464
说明:Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。
端口:500
说明:Internet Key Exchange(IKE)(Internet密钥交换)
端口:513
服务:Login,remote login
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
端口:544
服务:[NULL]
说明:kerberos kshell
端口:548
服务:Macintosh,File Services(AFP/IP)
说明:Macintosh,文件服务。
端口:553
服务:CORBA IIOP (UDP)
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
端口:555
服务:DSF
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
端口:568
服务:Membership DPA
说明:成员资格DPA。
端口:569
服务:Membership MSN
说明:成员资格MSN。
端口:635
服务:mountd
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd 可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。
端口:636
服务:LDAP
说明:SSL(Secure Sockets layer)
端口:666
服务:Doom Id Software
说明:木马Attack FTP、Satanz Backdoor开放此端口
端口:993
服务:IMAP
说明:SSL(Secure Sockets layer)
端口:1001、1011
服务:[NULL]
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
端口:1024
服务:Reserved
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
端口:1025、1033
服务:1025:network blackjack 1033:[NULL]
说明:木马netspy开放这2个端口。
端口:1080
服务:SOCKS
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。
端口:1170
服务:[NULL]
说明:木马Streaming Audio Trojan、Psyber Stream Server、V oice开放此端口。
端口:1234、1243、6711、6776
服务:[NULL]
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。
端口:1245
服务:[NULL]
说明:木马Vodoo开放此端口。
端口:1433
服务:SQL
说明:Microsoft的SQL服务开放的端口。
端口:1492
服务:stone-design-1
说明:木马FTP99CMP开放此端口。
端口:1500
服务:RPC client fixed port session queries
说明:RPC客户固定端口会话查询
端口:1503
服务:NetMeeting T.120
说明:NetMeeting T.120
端口:1524
服务:ingress
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail 和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。
端口:1600
服务:issd
说明:木马Shivka-Burka开放此端口。
端口:1645、1812
说明:Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)
端口:1646、1813
说明:RADIUS accounting(Routing and Remote Access)(RADIUS记帐(路由和远程访问))
端口:1701
说明:Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)
端口:1720
服务:NetMeeting
说明:NetMeeting H.233 call Setup。
端口:1731
服务:NetMeeting Audio Call Control
说明:NetMeeting音频调用控制。
端口:1801、3527
说明:Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。
端口:1807
服务:[NULL]
说明:木马SpySender开放此端口。
端口:1981
服务:[NULL]
说明:木马ShockRave开放此端口。
端口:1999
服务:cisco identification port
说明:木马BackDoor开放此端口。
端口:2000
服务:[NULL]
说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。
端口:2001
服务:[NULL]
说明:木马Millenium 1.0、Trojan Cow开放此端口。
端口:2023
服务:xinuexpansion 4
说明:木马Pass Ripper开放此端口。
端口:2049
服务:NFS
说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。
端口:2115
服务:[NULL]
说明:木马Bugs开放此端口。
端口:2140、3150
服务:[NULL]
说明:木马Deep Throat 1.0/3.0开放此端口。
端口:2500
服务:RPC client using a fixed port session replication
说明:应用固定端口会话复制的RPC客户
端口:2504
说明:Network Load Balancing(网络平衡负荷)
端口:2583
服务:[NULL]
说明:木马Wincrash 2.0开放此端口。
端口:2801
服务:[NULL]
说明:木马Phineas Phucker开放此端口。
端口:3024、4092
服务:[NULL]
说明:木马WinCrash开放此端口。
端口:3128
服务:squid
说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。
端口:3129
服务:[NULL]
说明:木马Master Paradise开放此端口。
端口:3150
服务:[NULL]
说明:木马The Invasor开放此端口。
端口:3210、4321
服务:[NULL]
说明:木马SchoolBus开放此端口
端口:3333
服务:dec-notes
说明:木马Prosiak开放此端口
端口:3389
服务:超级终端
说明:WINDOWS 2000终端开放此端口。端口:3700
服务:[NULL]
说明:木马Portal of Doom开放此端口
端口:3996、4060
服务:[NULL]
说明:木马RemoteAnything开放此端口端口:4000
服务:QQ客户端
说明:腾讯QQ客户端开放此端口。
端口:4092
服务:[NULL]
说明:木马WinCrash开放此端口。
端口:4590
服务:[NULL]
说明:木马ICQTrojan开放此端口。
端口:5000、5001、5321、50505
服务:[NULL]
说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。
端口:5400、5401、5402
服务:[NULL]
说明:木马Blade Runner开放此端口。
端口:5550
服务:[NULL]
说明:木马xtcp开放此端口。
端口:5569
服务:[NULL]
说明:木马Robo-Hack开放此端口。
端口:5632
服务:pcAnywere
说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere 时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。
端口:5742
服务:[NULL]
说明:木马WinCrash1.03开放此端口。
端口:6267
服务:[NULL]
说明:木马广外女生开放此端口。
端口:6400
服务:[NULL]
说明:木马The tHing开放此端口。
端口:6670、6671
服务:[NULL]
说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。
端口:6883
服务:[NULL]
说明:木马DeltaSource开放此端口。
端口:6969
服务:[NULL]
说明:木马Gatecrasher、Priority开放此端口。
端口:6970
服务:RealAudio
说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。
端口:7000
服务:[NULL]
说明:木马Remote Grab开放此端口。
端口:7300、7301、7306、7307、7308
服务:[NULL]
说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。
端口:7323
服务:[NULL]
说明:Sygate服务器端。
端口:7626
服务:[NULL]
说明:木马Giscier开放此端口。
端口:7789
服务:[NULL]
说明:木马ICKiller开放此端口。
端口:8000
服务:OICQ
说明:腾讯QQ服务器端开放此端口。
端口:8010
服务:Wingate
说明:Wingate代理开放此端口。
端口:8080
服务:代理端口
说明:WWW代理开放此端口。
端口:9400、9401、9402
服务:[NULL]
说明:木马Incommand 1.0开放此端口。
端口:9872、9873、9874、9875、10067、10167 服务:[NULL]
说明:木马Portal of Doom开放此端口。
端口:9989
如何设置网络端口 众所周知,计算机之间通信是通过端口进行的,例如你访问一个网站时,Windows就会在本机开一个端口(例如1025端口),然后去连接远方网站服务器的一个端口,别人访问你时也是如此。默认状态下,Windows会在你的电脑上打开许多服务端口,黑客常常利用这些端口来实施入侵,因此掌握端口方面的知识,是安全上网必备的技能。 一、常用端口及其分类 电脑在Internet上相互通信需要使用TCP/IP协议,根据TCP/IP协议规定,电脑有256×256(65536)个端口,这些端口可分为TCP端口和UDP端口两种。如果按照端口号划分,它们又可以分为以下两大类: 1.系统保留端口(从0到1023) 这些端口不允许你使用,它们都有确切的定义,对应着因特网上常见的一些服务,每一个打开的此类端口,都代表一个系统服务,例如80端口就代表Web服务。21对应着FTP,25对应着SMTP、110对应着POP3等(如图1)。 2.动态端口(从1024到65535) 当你需要与别人通信时,Windows会从1024起,在本机上分配一个动态端口,如果1024端口未关闭,再需要端口时就会分配1025端口供你使用,依此类推。 但是有个别的系统服务会绑定在1024到49151的端口上,例如3389端口(远程终端服务)。从49152到65535这一段端口,通常没有捆绑系统服务,允许Windows动态分配给你使用。 二、如何查看本机开放了哪些端口 在默认状态下,Windows会打开很多“服务端口”,如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接,可以使用以下两种方法。 1.利用netstat命令 Windows提供了netstat命令,能够显示当前的TCP/IP 网络连接情况,注意:只有安装了TCP/IP协议,才能使用netstat命令。 操作方法:单击“开始→程序→附件→命令提示符”,进入DOS窗口,输入命令netstat -na 回车,于是就会显示本机连接情况及打开的端口,如图2。其中Local Address代表本机IP地址和打开的端口号(图中本机打开了135
常见网络端口和网络协议 常见端口号: HTTP——80 FTP——21 TELNETt——23 SMTP ——25 DNS——53 TFTP——69 SNMP——161 RIP——520 查看端口状况: Netstat –n 应用层、表示层、会话层(telnet、ftp、snmp、smtp、rpc) 传输层、网络层(IP、TCP、OSPF、RIP、ARP、RARP、BOOTP、ICMP) 端口号的范围: 0~255 公共应用 255~1023 商业公司 1024~65535 没有限制 或: 1-1023 众所周知端口 >=1024 随机端口 下面介绍的这些端口都是服务器默认的端口,所以认识这些服务器端口对我们学习,和故障排错时很有帮助的。 下面列出了这些服务所对应的端口。 ftp-data20/tcp#FTP, data ftp21/tcp#FTP. control telnet23/tcp smtp25/tcp mail#Simple Mail Transfer Protocol pop3110/tcp#Post Office Protocol - Version 3 domain53/udp#Domain Name Server tftp69/udp#Trivial File Transfer http80/tcp www www-http#World Wide Web https443/tcp ms-sql-s1433/tcp#Microsoft-SQL-Server ms-sql-m1434/udp#Microsoft-SQL-Monitor 终端服务3389/tcp [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
项目五二端口网络 基本要求 1. 掌握二端口网络的概念; 2. 熟悉二端口网络的方程(Z、Y、H、T)及参数; 3. 理解二端口网络等效的概念和计算方法; 4. 理解二端口网络的输入电阻、输出电阻和特性阻抗的定义 重点 ●二端口网络及其方程 ●二端口网络的Z、Y、T(A)、H参数矩阵以及参数之间的相互关系 ●二端口网络的连接方式以及等效 难点 二端口网络的T形和 形等效电路分析计算 任务1 二端口网络方程和参数 1..二端口网络 一个网络,如果有n个端子可以与外电路连接,则称为n端网络,如图5.1(a)所示。 如果有n对端可以与外电路连接,且满足端口条件,则称为n端口网络,如图5.1(b)所示。 仅有一个端口的网络称为一端口网络或单端口网络,如图5.1(c)所示。 只有两个端口的网络称为二端口网络或双端口网络,如图5.1(d)所示。
图5.1 端口网络框图 2.二端口网络Z 方程和Z 参数 1)Z 方程 图5.2 线性二端口网络 图5.3 线性二端口网络 二端口的Z 参数方程是一组以二端口网络的电流1I &和2I &表征电压1U &和2 U &的方程。二端口网络以电流1 I &和2 I &作为独立变量,电压1U &和2 U &作为待求量,根据置换定理,二端口网络端口的外部电路总是可以用电流源替代,如图5.2和图5.3 11111222211222U Z I Z I U Z I Z I ?=+??=+?? &&&&&& 2)Z 参数 Z 参数具有阻抗的性质,是与网络内部结构和参数有关而与外部电路无关的一组参数 11Z 为输出端口开路时,输入端口的入端阻抗; 22Z 为输入端口开路时,输出端口的入端阻抗; 12Z 为输入端口开路时,输入端口电压与输出端口电流构成的转移阻抗; 21Z 为输出端口开路时,输出电压与输入电流构成的转移阻抗。
端口扫描与检测技术的实现 摘要 随着Internet日益广泛的应用,黑客攻击行为也是有增无减。如何有效地抵御这种攻击行为,一直是信息安全领域的焦点。 而其中,端口扫描技术吸引了越来越多人的关注。端口扫描是黑客搜集目标主机信息的一种常用方法。为了有效地对付网络入侵行为,对端口扫描进行研究是非常有益和必要的。攻击者在攻击一个目标时,首先要获取目标的一些基本信息,端口扫描就是其中最简单最重要的方法之一,它可以扫描目标机器中开放的端口,从而确定目标机器中提供的服务,为下一步攻击做准备。针对端口扫描技术,相应的端口扫描检测技术显的越发重要,作为网络安全技术中的一个重要课题,端口扫描检测技术意义重大。 本文首先阐述了端口扫描技术以及端口扫描检测技术的基本原理和常用方法,然后在此基础上设计了一个对基于网络的端口进行扫描,能判断出目标主机端口开放情况的程序以及一个从网络信息的数据包的捕获和分析着手,再通过统计判断是否存在端口扫描行为的程序,最后从攻击和防御的角度对端口扫描和检测技术作了演示及分析。 关键词:端口;端口扫描;数据包捕获;端口检测
The Realization of Port Scanning and Detecting Technology Abstract As the widely applying of Internet, the attacking behavior made by hacker is increasing but not decreasing. How to resist this kind of attacking behavior is always the key point of the domain of the information security. And the port scanning draws people's attention more and more. Port scanning is a usual method which is used by the hacker to collect the information of the target main processor. In order to deal with the invading behavior of the Internet effectively, it is very useful and necessary to work on the port scanning. When an attacker attacks to a target, he or she will firstly gets some basic information about the target, and the port scanning is one of the most simple and important methods which can scan the opening Port of the target machine to make sure the offering service made by the target machine, and it is a preparation to the next attacking. The port detecting seems more and more important referring to the port scanning. As an important task of the secure technique of Internet, the port detecting is of great significance. In this thesis, it firstly elaborates the basic principles and usual methods of the port scanning. On this basis, it then designs a program which can scan the Port of the Internet, and assess the opening situation of the target main processor, and the other program which begins on capturing and analyzing the information packet of Internet, and then assess whether there is a behavior about port scanning through statistic analyses. Lastly, it demonstrates and analyses the technology of port scanning and port detecting from the viewpoint of attacking and resisting. Key Words:port; port scanning; packet capture; port detecting
综合实验报告 ( 2010 -- 2011 年度第二学期) 名称:网络综合实验 题目:端口扫描程序 院系:信息工程系 班级: 学号: 学生姓名: 指导教师:鲁斌李莉王晓霞张铭泉设计周数: 2 周 成绩: 日期:2011年7月1日
一、综合实验的目的与要求 1.任务:设计并实现一个端口扫描程序,检测某个IP或某段IP的计算机的端口工作情况。 2.目的:加深对课堂讲授知识的理解,熟练掌握基本的网络编程技术和方法,建立网络编程整体概念,使得学生初步具有研究、设计、编制和调试网络程序的能力。 3.要求:熟悉有关定义、概念和实现算法,设计出程序流程框图和数据结构,编写出完整的源程序,基本功能完善,方便易用,操作无误。 4.学生要求人数:1人。 二、综合实验正文 1.端口扫描器功能简介:服务器上所开放的端口就是潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息,进行端口扫描的方法很多,可以是手工进行扫描、也可以用端口扫描软件进行。扫描器通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答,通过这种方法可以搜集到很多关于目标主机的各种有用的信息,例如远程系统是否支持匿名登陆、是否存在可写的FTP目录、是否开放TELNET 服务和HTTPD服务等。 2.实验所用的端口扫描技术:端口扫描技术有TCP connect()扫描、TCP SYN扫描、TCP FIN 扫描、IP段扫描等等。本次实验所用的技术是TCP connect()扫描,这是最基本的TCP 扫描,操作系统提供的connect()系统调用可以用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。这个技术的一个最大的优点是,你不需要任何权限。系统中的任何用户都有权利使用这个调用。 3.实验具体实现方案:编写一个端口扫描程序,能够显示某个IP或某段IP的计算机的某一个或某些端口是否正在工作。基本工作过程如下: (1) 设定好一定的端口扫描范围; (2) 设定每个端口扫描的次数,因为有可能有的端口一次扫描可能不通; (3) 创建socket,通过socket的connect方法来连接远程IP地址以及对应的端口; (4) 如果返回false,表示端口没有开放,否则端口开放。 4.有关TCP/IP的知识: 4.1套接字概念 1)在网络中要全局地标识一个参与通信的进程,需要采用三元组:协议、主机IP地址、端口号。
屏蔽135 139 445 3389端口的方法以及网络端口安全防护技巧 默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和UDP 135、137、138、445 端口,一些流行病毒的后门端口(如TCP 2745、3127、6129 端口),以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口: 第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建IP 安全策略”(如右图),于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。 第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。 第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何IP 地址”,目标地址选“我的IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输
常见的端口扫描类型及原理 常见的扫描类型有以下几种: 秘密扫描 秘密扫描是一种不被审计工具所检测的扫描技术。 它通常用于在通过普通的防火墙或路由器的筛选(filtering)时隐藏自己。 秘密扫描能躲避IDS、防火墙、包过滤器和日志审计,从而获取目标端口的开放或关闭的信息。由于没有包含TCP 3次握手协议的任何部分,所以无法被记录下来,比半连接扫描更为隐蔽。 但是这种扫描的缺点是扫描结果的不可靠性会增加,而且扫描主机也需要自己构造IP包。现有的秘密扫描有TCP FIN 扫描、TCP ACK扫描、NULL扫描、XMAS扫描和SYN/ACK 扫描等。 1、Connect()扫描: 此扫描试图与每一个TCP端口进行“三次握手”通信。如果能够成功建立接连,则证明端口开发,否则为关闭。准确度很高,但是最容易被防火墙和IDS检测到,并且在目标主机的日志中会记录大量的连接请求以及错误信息。 TCP connect端口扫描服务端与客户端建立连接成功(目标
端口开放)的过程: ① Client端发送SYN; ② Server端返回SYN/ACK,表明端口开放; ③ Client端返回ACK,表明连接已建立; ④ Client端主动断开连接。 建立连接成功(目标端口开放)如图所示 TCP connect端口扫描服务端与客户端未建立连接成功(目标端口关闭)过程: ① Client端发送SYN; ② Server端返回RST/ACK,表明端口未开放。 未建立连接成功(目标端口关闭)如图所示。 优点:实现简单,对操作者的权限没有严格要求(有些类型的端口扫描需要操作者具有root权限),系统中的任何用户 都有权力使用这个调用,而且如果想要得到从目标端口返回banners信息,也只能采用这一方法。 另一优点是扫描速度快。如果对每个目标端口以线性的方式,使用单独的connect()调用,可以通过同时打开多个套接字,从而加速扫描。 缺点:是会在目标主机的日志记录中留下痕迹,易被发现,并且数据包会被过滤掉。目标主机的logs文件会显示一连串的连接和连接出错的服务信息,并且能很快地使它关闭。
构建局域网内部安全防护体系的八种方法 摘要随着局域网内部计算机用户的不断增加,局域网安全面临的问题也由以前的只注重防范外网病毒、木马的入侵转变为同时应对来自局域网内外各种因素的挑战。本文叙述了采用八种方法尽可能消除来自局域网内部的安全威胁,构建可靠的安全防护体系。 关键词局域网;内部;安全;防护体系 随着计算机网络技术的飞速发展和社会各行业、各领域局域网应用的日益广泛,各企事业、团体的局域网规模迅猛扩展。一些单位由于管理不善、人员安全意识淡薄,局域网内部存在IP地址冲突频发,病毒、木马通过U盘、移动硬盘等在网内泛滥,信息泄密等问题,严重影响了网络的正常运行和信息的安全。如何有效应对来自内部的威胁,构建安全可靠的防护体系值得我们加以重视并认真思考。经过研究和总结,可以采取以下8种方法: 一是高度重视物理隔离、物理安全。对于网内非联网的计算机绝对禁止与外网相连,禁止使用外来U盘、移动硬盘、MP3等存储介质,尽量防止病毒、木马等轻易进入网内。此外,还要注重服务器、重要用户计算机的物理安全,除了关门上锁之外,还要专门给机箱配锁,避免硬盘被盗。这也是平常人们容易忽视的,攻击者常常可以简单地通过物理层面直接对服务器主机进行渗透操作,破解了管理者设下的重重关卡。 二利用交换机划分多个网内子网,控制病毒传播。利用交换机的访问控制列表,控制子网间的访问规则,控制病毒的传播,增加网络安全系数。 三是IP地址绑定。采用上网计算机IP地址与MAC地址唯一对应,内网没有空闲IP地址的方法,可以有效地防止IP地址引起的网络阻断和随意用个人笔记本电脑上内部局域网引起的病毒传播和数据泄密。 四是主机系统安全加固。首先要关闭危险服务,包括:关闭Netbios(139端口);关闭445端口;关闭135端口;关闭Telnet服务;关闭Terminal Services 服务;关闭Remote Registry服务;关闭Workstation服务等。其次要保护账户密码安全。要重命名Administrator和Guest账户。操作步骤如下:[开始]-[运行]-[gpedit.msc]-[Windows设置]-[安全设置]-[本地策略]-[安全选项]-[账户:重命名系统管理员账户],同法重命名Guest账户。此外,还要删除多余账户,设置高强度密码等。再次,要安装360安全卫士等安全软件与本机自带防火墙相互协作,共同维护系统安全。 五是利用入侵检测系统查找内网病毒。利用入侵检测系统监测到的数据,分析、查找、判断内网中有无病毒,并及时采取有效措施。 六是利用病毒过滤网关保护服务器区域。网络防病毒过滤网关可以有效地拦
常见端口一览表
常见端口列表 TCP 端口 TCP 1=TCP Port Service Multiplexe r TCP2=Death TCP5=Remote Job Entry,yoyo TCP7=Echo TCP11=Skun TCP12=Bomber TCP16=Skun TCP17=Skun TCP18= 消息传输协议 ,skun TCP19=Skun TCP20=FTP Data,Amanda TCP21= 文件传输 ,Back Construction, Blade Runner,Doly Trojan,Fore,FTPtroj an,Invisible FTP,Larva,WebEx,WinCrash TCP22= 远程登录协议 TCP 23= 远程登录 (Telnet),Tiny Telnet Server (= TTS)
TCP 25= 电子邮件 (SMTP),Ajan,Antige n,Email Password Sender,Happy 99,Kua ng2,ProMail trojan,Shtrilitz,Stealth,Tapira s,Terminator,WinPC,WinSpy,Haebu Coce da TCP27=Assasin TCP28=Amanda TCP29=MSG ICP TCP30=Agent40421 TCP31=Agent31,Hackers Paradise, Masters Paradise,Agent40421 TCP37=Time,ADM worm TCP39=SubSARI TCP41=DeepThroat,Foreplay TCP42=Host Name Server TCP43=WHOIS TCP44=Arctic TCP48=DRAT TCP49= 主机登录协议 TCP50=DRAT TCP51=IMP Logical Address Maint enance,Fuck Lamers Backdoor
防止黑客入侵网络端口的安全防护技巧大荟萃 众所周知,计算机之间通信是通过端口进行的,例如你访问一个网站时,Windows就会在本机开一个端口(例如1025端口),然后去连接远方网站服务器的一个端口,别人访问你时也是如此。默认状态下,Windows会在你的电脑上打开许多服务端口,黑客常常利用这些端口来实施入侵,因此掌握端口方面的知识,是安全上网必备的技能。 一、常用端口及其分类 电脑在Internet上相互通信需要使用TCP/IP协议,根据TCP/IP协议规定,电脑有256×256(65536)个端口,这些端口可分为TCP端口和UDP端口两种。如果按照端口号划分,它们又可以分为以下两大类: 1. 统保留端口(从0到1023) 这些端口不允许你使用,它们都有确切的定义,对应着因特网上常见的一些服务,每一个打开的此类端口,都代表一个系统服务,例如80端口就代表Web服务。21对应着FTP,25对应着SMTP,110对应着POP3等。 2. 动态端口(从1024到65535) 当你需要与别人通信时,Windows会从1024起,在本机上分配一个动态端口,如果1024端口未关闭,再需要端口时就会分配1025端口供你使用,依此类推。 但是有个别的系统服务会绑定在1024到49151的端口上,例如3389端口(远程终端服务)。从49152到65535这一段端口,通常没有捆绑系统服务,允许Windows动态分配给你使用。 二、如何查看本机开放了哪些端口 在默认状态下,Windows会打开很多“服务端口”,如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接,可以使用以下两种方法。
计算机网络端口详细介绍 端口概念 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等。二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等。我们这里将要介绍的就是逻辑意义上的端口。 查看端口 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。 关闭/开启端口 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认的情况下,有很多不安全的或没有什么用的端口是开启的,比如T elnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的1 35端口等等。为了保证系统的安全性,我们可以通过下面的方法来关闭/开启端口。 关闭端口 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击“S imple Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关闭了对应的端口。 开启端口 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可。 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开启端口。 端口分类 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: 1. 按端口号分布划分 (1)知名端口(Well-Known Ports) 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。 (2)动态端口(Dynamic Ports)
二端口网络 重点:两端口的方程和参数的求解 难点:二端口的参数的求解 本章与其它章节的联系: 学习本章要用到前几章介绍的一般网络的分析方法。 预备知识: 矩阵代数 §16.1 图的矩阵表示 1. 二端口网络 端口由一对端钮构成,且满足端口条件:即从端口的一个端钮流入的电流必须等于从该端口的另一个端钮流出的电流。当一个电路与外部电路通过两个端口连接时称此电路为二端口网络。在工程实际中,研究信号及能量的传输和信号变换时,经常碰到图 16.1 所示的二端口网络。 图 16.1(a)放大器 图 16.1(b) 滤波器 图 16.1(c) 传输线 图 16.1(d )三极管 图 16.1(e )变压器 注意: 1)如果组成二端口网络的元件都是线性的,则称为线性二端口网络;依据二端口网络的二个端口是否服从互易定理,分为可逆的和不可逆的;依据二端口网络使用时二个端口互换是否不改变其外电路的工作情况,分为对称的和不对称的。 2)图16.2(a)所示的二端口网络与图(b)所示的 四端网络的区别。 图 16.2(b )四端网络
图 16.2(a)二端口网络 3)二端口的两个端口间若有外部连接, 则会破坏原二端口的端口条件。若在图 16.2(a)所示的二端口网络的端口间连接 电阻 R 如图16.3所示,则端口条件破坏, 因为 图 16.3 即1-1'和2-2'是二端口,但3-3'和4-4'不是二端口,而是四端网络。 2. 研究二端口网络的意义 1)两端口应用很广,其分析方法易推广应用于 n 端口网络; 2)可以将任意复杂的图16.2(a)所示的二端口网络分割成许多子网络(两端口)进行分析,使分析简化; 3)当仅研究端口的电压电流特性时,可以用二端口网络的电路模型进行研究。 3. 分析方法 1)分析前提:讨论初始条件为零的无源线性二端口网络; 2)….. 3)分析中按正弦稳态情况考虑,应用相量法或运算法讨论。 §16.2 二端口的参数和方程 用二端口概念分析电路时,仅对端口处的电压电流之间的关系感兴趣,这种关系可以通过一些参数表示,而这些参数只决定于构成二端口本身的元件及它们的连接方式,一旦确定表征二端口的参数后,根据一个端口的电压、电流变化可以找出另一个端口的电压和电流。 1.二端口的参数 线性无独立源的二端口网络,在端口上有 4 个物理量 ,如图16.4所示。在 外电路限定的情况下,这 4 个物理量间存在着通过两端口网络来表征的约束方程,若任取其中的两个为自变量,可得到端口电压、电流的六种不同的方程表示,即可用六套参数描述二端口网络。其对应关系为:
计算机网络课程课程设计任务书
计算机网络设计说明书 学院名称:计算机与信息工程学院 班级名称:网络工程122班 学生姓名: 学号: 题目:基于多线程的端口扫描程序 指导教师 姓名: 起止日期:2015年6月13日至2015年6月20日
一、选题背景 随着互联网的飞速发展,网络入侵行为日益严重,网络安全成为人们关注的焦点。端口扫描技术是网络安全扫描技术的重要技术之一。对目标系统进行端口扫描,是网络系统入侵者进入目标系统的第一步。网络安全探测在网络安全中起着主动防御的作用,占有非常重要的地位。网络安全探测的所有功能都是建立在端口扫描的基础上,所以对端口扫描技术的研究有着非常重要的现实意义。 现实世界中的很多过程都具有多条线索同时动作的特性。Java语言的一大特性就是内置对多线程的支持。多线程是指同时存在几个执行体,按几条不同的执行线索共同工作的情况,它使得编程人员可以很方便地开发出具有多线程功能、能同时处理多个任务的功能强大的应用程序。 端口是由计算机的通信协议TCP/IP协议定义的。其中规定,有IP地址和端口号作为套接字,它代表TCP连接的一个连接端,一般称为Socket。具体来说,就是用[IP:端口]来定位一台主机的进程。 可见端口与进程是一一对应的,如果某个进程正在等待连接,称之为该进程正在监听,那么就会出现与它相对应的端口。由此可见,通过扫描端口,就可以判断出目标计算机有哪些通信进程正在等待连接。 利用TCP connect扫描原理,扫描主机通过TCP/IP协议的三次握手与目标主机的指定端口建立一次完整的连接,如果目标主机该端口有回复,则说明该端口开放。利用多线程技术实现了对一目标IP进行设定数目的端口扫描,对多IP段的特定端口进行扫描。 二、方案设计 多线程端口扫描器是实现计算机的端口的扫描,只要在在前台设置好所要扫描的IP、起始端口、结束端口以及所要用到的线程数,点击扫描,就可以扫描到所输入IP地址主机的开放端口,并显示在主窗体中;点击退出,则可以退出该程序。IP设置应为所在主机的IP地址,起始端口和结束端口应为0~65535之间的一个数,且起始端口应小于结束端口的大小。线程数为0~200之间的一个数。点击开始后就会运行,直到扫描完毕显示出开放端口,如果没有开放端口,则只显示扫描完毕。 本系统要实现的功能: ①端口扫描功能:扫描开放的端口,并将扫描到的开放端口号送到前台。 ②图像显示功能:显示图形界面,以及显示扫描结果。 ③多线程功能:当客户端要求与服务器端建立连接时,服务器端就将用到多线程功能,为每一个建立起来的连接创建一个线程。 ④异常抛出功能:对于明显的数据错误,能提示出错误的类型并阻止程序的运行。 流程图:
著名端口 端口号码 / 层名称注释 1tcpmux TCP 端口服务多路复用 5rje远程作业入口 7echo Echo 服务 9discard用于连接测试的空服务 11systat用于列举连接了的端口的系统状态 13daytime给请求主机发送日期和时间 17qotd给连接了的主机发送每日格言 18msp消息发送协议 19chargen字符生成服务;发送无止境的字符流 20ftp-data FTP 数据端口 21ftp文件传输协议(FTP)端口;有时被文件服务协议(FSP)使用 22ssh安全 Shell(SSH)服务 23telnet Telnet 服务 25smtp简单邮件传输协议(SMTP) 37time时间协议 39rlp资源定位协议 42nameserver互联网名称服务 43nicname WHOIS 目录服务 49tacacs用于基于 TCP/IP 验证和访问的终端访问控制器访问控制系统 50re-mail-ck远程邮件检查协议 53domain域名服务(如 BIND) 63whois++WHOIS++,被扩展了的 WHOIS 服务 67bootps引导协议(BOOTP)服务;还被动态主机配置协议(DHCP)服务使用68bootpc Bootstrap(BOOTP)客户;还被动态主机配置协议(DHCP)客户使用69tftp小文件传输协议(TFTP) 70gopher Gopher 互联网文档搜寻和检索 71netrjs-1远程作业服务 72netrjs-2远程作业服务 73netrjs-3远程作业服务 73netrjs-4远程作业服务 79finger用于用户联系信息的 Finger 服务 80http用于万维网(WWW)服务的超文本传输协议(HTTP)
一、高级ICMP扫描技术 Ping就是利用ICMP协议走的,高级的ICMP扫描技术主要是利用ICMP协议最基本的用途:报错。根据网络协议,如果按照协议出现了错误,那么接收端将产生一个ICMP的错误报文。这些错误报文并不是主动发送的,而是由于错误,根据协议自动产生。 当IP数据报出现checksum和版本的错误的时候,目标主机将抛弃这个数据报,如果是checksum出现错误,那么路由器就直接丢弃这个数据报了。有些主机比如AIX、HP-UX等,是不会发送ICMP的Unreachable数据报的。 我们利用下面这些特性: 1、向目标主机发送一个只有IP头的IP数据包,目标将返回Destination Unreachable的ICMP错误报文。 2、向目标主机发送一个坏IP数据报,比如,不正确的IP头长度,目标主机将返回Parameter Problem的ICMP错误报文。 3、当数据包分片但是,却没有给接收端足够的分片,接收端分片组装超时会发送分片组装超时的ICMP数据报。
向目标主机发送一个IP数据报,但是协议项是错误的,比如协议项不可用,那么目标将返回Destination Unreachable的ICMP报文,但是如果是在目标主机前有一个防火墙或者一个其他的过滤装置,可能过滤掉提出的要求,从而接收不到任何回应。可以使用一个非常大的协议数字来作为IP头部的协议内容,而且这个协议数字至少在今天还没有被使用,应该主机一定会返回Unreachable,如果没有Unreachable的ICMP数据报返回错误提示,那么就说明被防火墙或者其他设备过滤了,我们也可以用这个办法来探测是否有防火墙或者其他过滤设备存在。 利用IP的协议项来探测主机正在使用哪些协议,我们可以把IP头的协议项改变,因为是8位的,有256种可能。通过目标返回的ICMP错误报文,来作判断哪些协议在使用。如果返回Destination Unreachable,那么主机是没有使用这个协议的,相反,如果什么都没有返回的话,主机可能使用这个协议,但是也可能是防火墙等过滤掉了。NMAP的IP Protocol scan也就是利用这个原理。 利用IP分片造成组装超时ICMP错误消息,同样可以来达到我们的探测目的。当主机接收到丢失分片的数据报,并且在一定时间内没有接收到丢失的数据报,就会丢弃整个包,并且发送ICMP分片组装超时错误给原发送端。我们可以利用这个特性制造分片的数据包,然后等待ICMP组装超时错误消息。可以对UDP 分片,也可以对TCP甚至ICMP数据包进行分片,只要不让目标主机获得完整的数据包就行了,当然,对于UDP这种非连接的不可靠协议来说,如果我们没
网络安全须从根抓起教你网络端口的安全防护技巧 众所周知,计算机之间通信是通过端口进行的,例如你访问一个网站时,Windows 就会在本机开一个端口(例如1025端口,然后去连接远方网站服务器的一个端口,别人访问你时也是如此。默认状态下,Windows会在你的电脑上打开许多服务端口,黑客常常利用这些端口来实施入侵,因此掌握端口方面的知识,是安全上网必备的技能。 一、常用端口及其分类 电脑在Internet上相互通信需要使用TCP/IP协议,根据TCP/IP协议规定,电脑有256×256(65536个端口,这些端口可分为TCP端口和UDP端口两种。如果按照端口号划分,它们又可以分为以下两大类: 1.系统保留端口(从0到1023 这些端口不允许你使用,它们都有确切的定义,对应着因特网上常见的一些服务,每一个打开的此类端口,都代表一个系统服务,例如80端口就代表Web服务。21对应着FTP, 25对应着SMTP、110对应着POP3等。 2.动态端口(从1024到65535 当你需要与别人通信时,Windows会从1024起,在本机上分配一个动态端口,如果1024端口未关闭,再需要端口时就会分配1025端口供你使用,依此类推。 但是有个别的系统服务会绑定在1024到49151的端口上,例如3389端口(远程终端服务。从49152到65535这一段端口,通常没有捆绑系统服务,允许Windows动态分配给你使用。 二、如何查看本机开放了哪些端口 在默认状态下,Windows会打开很多“服务端口”,如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接,可以使用以下两种方法。
1.利用netstat命令 Windows提供了netstat命令,能够显示当前的 TCP/IP 网络连接情况,注意:只有安 装了TCP/IP协议,才能使用netstat命令。 操作方法:单击“开始→程序→附件→命令提示符”,进入Dos窗口,输入命令netstat -na 回车,于是就会显示本机连接情况及打开的端口。其中Local Address代表本机IP地址和打开的端口号(图中本机打开了135端口,Foreign Address是远程计算机IP地址和 端口号,State表明当前TCP的连接状态,图中LISTENING是监听状态,表明本机正在打开135端口监听,等待远程电脑的连接。 如果你在DOS窗口中输入了netstat -nab命令,还将显示每个连接都是由哪些程序创建的。上图2中本机在135端口监听,就是由svchost.exe程序创建的,该程序一共调用了5个组件(WS2_32.dll、RPCRT4.dll、rpCSS.dll、svchost.exe、 ADVAPI32.dll来完成创建工作。如果你发现本机打开了可疑的端口,就可以用该命令察看它调用了哪些组件,然后再检查各组件的创建时间和修改时间,如果发现异常,就可能是中了木马。 2.使用端口监视类软件 与netstat命令类似,端口监视类软件也能查看本机打开了哪些端口,这类软件非常多,著名的有TcpvIEw、Port Reporter、绿鹰PC万能精灵、网络端口查看器等,推荐你上网时启动Tcpview,密切监视本机端口连接情况,这样就能严防非法连接,确保自己的网络安全. 三、关闭本机不用的端口 默认情况下Windows有很多端口是开放的,一旦你上网,黑客可以通过这些端口连上你的电脑,因此你应该封闭这些端口。主要有:TCP139、445、593、1025 端口
计算机常用端口一览表 1 传输控制协议端口服务多路开关选择器 2 compressnet 管理实用程序 3 压缩进程 5 远程作业登录 7 回显(Echo) 9 丢弃 11 在线用户 13 时间 15 netstat 17 每日引用 18 消息发送协议 19 字符发生器 20 文件传输协议(默认数据口) 21 文件传输协议(控制) 22 SSH远程登录协议 23 telnet 终端仿真协议 24 预留给个人用邮件系统 25 smtp 简单邮件发送协议 27 NSW 用户系统现场工程师 29 MSG ICP 31 MSG验证
33 显示支持协议 35 预留给个人打印机服务 37 时间 38 路由访问协议 39 资源定位协议 41 图形 42 WINS 主机名服务 43 "绰号" who is服务 44 MPM(消息处理模块)标志协议 45 消息处理模块 46 消息处理模块(默认发送口) 47 NI FTP 48 数码音频后台服务 49 TACACS登录主机协议 50 远程邮件检查协议 51 IMP(接口信息处理机)逻辑地址维护 52 施乐网络服务系统时间协议 53 域名服务器 54 施乐网络服务系统票据交换 55 ISI图形语言 56 施乐网络服务系统验证 57 预留个人用终端访问
58 施乐网络服务系统邮件 59 预留个人文件服务 60 未定义 61 NI邮件? 62 异步通讯适配器服务 63 WHOIS+ 64 通讯接口 65 TACACS数据库服务 66 Oracle SQL*NET 67 引导程序协议服务端 68 引导程序协议客户端 69 小型文件传输协议 70 信息检索协议 71 远程作业服务 72 远程作业服务 73 远程作业服务 74 远程作业服务 75 预留给个人拨出服务 76 分布式外部对象存储 77 预留给个人远程作业输入服务 78 修正TCP 79 Finger(查询远程主机在线用户等信息)
网络攻击常见手法及防范措施 一、计算机网络攻击的常见手法 互联网发展至今,除了它表面的繁荣外,也出现了一些不良现象,其中黑客攻击是最令广大网民头痛的事情,它是计算机网络安全的主要威胁。下面着重分析黑客进行网络攻击的几种常见手法及其防范措施。 (一)利用网络系统漏洞进行攻击 许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。 对于系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏忽而使他人有机可乘。 (二)通过电子邮件进行攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。 对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,Outlook等收信软件同样也能达到此目的。 (三)解密攻击 在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一重要手法。取得密码也还有好几种方法,一种是对网络上的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又提了一道难题。这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置得比较简单,如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。 为了防止受到这种攻击的危害,用户在进行密码设置时一定要将其设置得复杂,也可使用多层密码,或者变换思路使用中文密码,并且不要以自己的生日和电话甚至用户名作为密码,因为一些密码破解软件可以让破解者输入与被破解用户相关的信息,如生日等,然后对这些