同塔安全與防發(fā)布者：本站     時間：2019-08-27 16:08:09

還有許多入侵者將為自己開的后門設在一個非常高的端口上，這些不常用的端口，常常被
掃描程序忽略。入侵者通過這些端口可以任意使用系統(tǒng)的資源，也為他人非法訪問這臺主機
開了方便之門。在國內(nèi)，許多不能直接出國的主機上的用戶總愛將一些 Proxy之類的程序，偷
倫地安裝在一些方便出國的主機上，將大筆的流量賬單轉(zhuǎn)嫁到他人身上。有許多方法可以檢
 
 
測到這類活動，其中之一便是使用端口掃描程序。日個以
2.7.2各種端口擔描 同)
 
 
 
通常說來，最簡單的端口掃描程序僅僅是檢查一下目標主機有哪些端口可以建立TCP連
接，如果可以建立連接，則說明該主機在那個端口監(jiān)聽。當然，這種端口掃描程序不能進一步
確定端口提供什么樣的服務，也不能確定該服務是否有眾所周知的那些缺陷
 
要想知道端口上具體是什么服務，則必須用相應的協(xié)議來驗證。因為一個服務進程總是
客戶端提供正確的命令序列，才能完成正確的文件傳輸服務。遠程終端服務在一開始總是要 為了完成某種具體的工作，比如說，文件傳輸服務有文件傳輸?shù)囊惶讌f(xié)議，只有按照這個協(xié)議，
 
 
交換許多關于終端的信息，才能在用戶端實現(xiàn)正常的顯示。因此，應用層協(xié)議是各不相同的。
個專門在網(wǎng)絡上搜尋代理的程序，總是試圖連接一臺主機的許多端口，如果能夠通過這許多
端口之一，調(diào)來某一個WwW站點的網(wǎng)頁，則可以認為在這個端口正在運行著一個代理程序。
這種方法可以被目標主機檢測到，并被記錄下來。因為這種方法總是要主動去與目標主
 
 
機建立連接。而建立連接之后，便被目標主機記錄下來。另外，可以被防火墻之類的系統(tǒng)過濾
掉。當防火墻檢查通過的IP包時，對于這種來自未知的源IP地址的包總是非常警愒的。因
 
 
此，入侵者為了有效地隱蔽自己，又能進行端口掃描，需要尋找更有效的方法。有許多利用
TCP/IP協(xié)議的本身特征，實現(xiàn)隱身的技巧可供入侵者利用。了解這些知識對于管理員和配
置防火墻有很大的幫助。一些防火墻已提供這方面的過濾功能?，F(xiàn)在，讓我們先來溫習ー下
 
 
IP數(shù)據(jù)包中的一些字段的含義吧。メ
 
個在TCP數(shù)據(jù)包的報頭中有六個位，分別表示FIN、SYN、RST、PSHI、ACK和URGa
其中，ACK被置1，表明確認號是有效的；如果這一位被清零，數(shù)據(jù)包中不包含一個確認
 
 
確認號域?qū)⒈缓雎浴?br />  
PSH提示數(shù)據(jù)的接收者將收到的數(shù)據(jù)直接交給應用程序，而不是將它放在緩沖區(qū)，直到
緩沖區(qū)滿才交給應用程序。它常用一些實時的通信。個一は的の)
RST用來重置一個連接，用于ー臺主機崩潰或一些其它原因而引起的通信混亂。它也被
 
 
用來拒絕接收一個無效的TCP數(shù)據(jù)包，或者用來拒絕一個建立連接的企圖。當?shù)玫揭粋€重置 口8，S
 
 
了RST的TCP數(shù)據(jù)包，通常說明本機有一些問題
 
用，對連接請求需要應答，所以，在應答的TCP數(shù)據(jù)包中，SYN=1、ACK=L，SYN通常用來指 sYN用來建立一個連接。在連接請求數(shù)據(jù)包中，SYN=1、ACK=0指明確認域沒有使
明連接請求和連接請求被接收，而用ACK來區(qū)分這兩種情況。FN用來釋放一個連接。它指出發(fā)送者已經(jīng)沒有數(shù)據(jù)要發(fā)送。然而，當關ー個連接之
 
后，一個進程還可以繼續(xù)接收數(shù)據(jù)。SUN和FIN的TCP數(shù)據(jù)包都有順序號。因此，可保證數(shù)
據(jù)按照正確的順序被處理

材企與鹽S
 
 
 
下面讓我們看一看利用上述這些信息，人侵者是如何障藏自己的端口掃描活動的。
(1) TCP connect()的掃描。這是最基本的一種掃描方式。使用系統(tǒng)提供的 connect()第
說明該端口不可訪問。它的一個特點是，使用 TCP connect()不需要任何特權，任何Unix用r 統(tǒng)調(diào)用并建立與想要的目標主機的端口的連接。如果端口正在監(jiān)聽， connec()就返回，否則、
接目標主機的端口，還可以同時使用多個ekt，來加快掃描的速度。使用個非阻塞的 都可以使用這個系統(tǒng)調(diào)用另一個特點是速度快。除了串行地使用單個cm()調(diào)用來
 
 
調(diào)用將可以同時監(jiān)視多個Ska另外，這種掃描方式容島被檢測到，并且被過濾。。
主機的日志文件將會記錄下這些達連接信息和錯誤信息，然后立即關閉連接，。目標
 
 
(2) TCP SYN掃描。這種掃描通常稱為半開掃描，因為并不是一個全TCP連接。通過發(fā)
送一個SYN數(shù)據(jù)包，就好像準備打開一個真正的連接，然后等待響應。一個SYN/ACK表明 該端口正在監(jiān)聽，一個RST響應表明該端口沒有被監(jiān)聽。如果收到一個 SYN/ACK，通過立
戶權限才能建立這種可配置的SYN數(shù)據(jù)包。文的五記部，令命的五 即發(fā)送一個RST來關閉連接。它的特點是極少有主機來記錄這種連接請求，但必須有超級用
(3) TCP FIN掃描。在很多情況下，即使是SYN掃描也不能做到很隱秘。些防火墻和
包過濾程序監(jiān)視SYN數(shù)據(jù)包訪間個未被允許訪問的端口，=些程序可以檢測到這些掃描。
然而，F(xiàn)IN數(shù)據(jù)包卻有可能通過這些掃描。回 其基本思想是:關閉的端口將會用正確的RST來應答發(fā)送的FIN數(shù)據(jù)包，而相反，打開
 
的端口往往忽略這些請求。這是一個TCP實現(xiàn)上的錯誤，但不是所有的系統(tǒng)都存在著類似錯
誤，因此，并不是對所有的系統(tǒng)都有效。に自來部數(shù)、加高 (4) Fragmentation掃描。這種掃描并不是僅僅發(fā)送檢測的數(shù)據(jù)包，而是將要發(fā)送的數(shù)據(jù)
包分成一組更小的IP包。通過將TCP包頭分成幾段，放人不同的IP包中，將使得包過濾程
序難以過濾，因此，可以做到想要做的掃描活動。然而，一些程序很難處理這些過小的包。
 
(S5) UDP recfrom()和 write()掃描。一些人認為，UDP的掃描是無意義的。沒有Root權
限的用戶不能直接得到端口不可訪問的錯誤，但是 Linux可以間接地通知用戶。例如，一個關
閉的端口的第二次 write()調(diào)用通常會失敗。如果在一個非阻塞的 Udpsocket上調(diào)用 rector
()通常會返回 EAGAIN()(“ Try again"，eror=13)，而ICMP則收到一個 ECONNERFUSED
(" Connection refused”，erno=111)的錯誤信息。等的五
 
(6)ICMP的掃描。這并不是一個真正的端口掃描，因為ICMP并沒有端口的抽象。然
而，用PING這個命令，通?？梢缘玫骄W(wǎng)上目標主機是否正在運行的信息。置來田T29
 
 
82.8口令破解 圖金的就當 0常面，，別D的武個的
 
,Y2
 
 
 
.當前，無論是計算機用戶，還是一個銀行的戶頭，都是通過口令來進行身份認證的，口令是
維持安全的第一道防線?？墒牵褂每诹蠲媾R著許多的安全問題現(xiàn)在有越來越多的人試圖
在 Internet上進行人侵和高科技的犯罪，他們最初的原因也許是因為系統(tǒng)沒有口令，或者是使
 
 
用了一個容易猜測的口令。