【正文】 I responded. She hesitated, then pushed the bushes farther apart. I saw a girl a little shorter than I wa s, and perhaps a little younger. She wore reddishbrown dungarees with a yellow shirt. T he cross stitched to the front of the dungarees was of a dar ker brown material. Her hair was tied on e ither side of her head with yellow ribbon s. She stood still for a few seconds as though uncertain about leaving the security of the bushes, then curiosity got the better of her caution, and she stepped out. I stared at her because she was pletely a stranger. From time to time there were gatherings or parties w hich br ought together all the children for miles around, so that it was astonishing to encounter one that I had never seen before. A grain of sand, teetering on the brink of the pit, trembled and fell in。 so it might be that w hat I was seeing was a bit of the world as it had been once upon a time — the w onderful world that the O ld People had lived in。 （ 2）學(xué)?？梢圆捎糜坝　⒖s印或其他復(fù)制方式保存學(xué)位論文。 [6] Anonymous[美 ].網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)分析與設(shè)計(jì) [M].北京：機(jī)械工業(yè)出版社 ,1998。文中分析了端口掃描基本原理 ,總結(jié)了現(xiàn)有檢測(cè)工具存在的主要問題 ,對(duì)現(xiàn)有檢測(cè)工具原理進(jìn)行了闡述。 如下圖 7所示，當(dāng)程序運(yùn)行并有 IP為 候，能顯示 IP為 ，能作出判斷并顯示出相應(yīng)的信息。 ++count。count=0。 //沒有相同的則將該不同的地址記錄到數(shù)組中 } }//if 條件判斷 //如果相同則不記錄 }//for 循環(huán) system(cls)。t=0。iTCP_MAX。 strcpy(,tcp[0].szSourceIP)。TYPE[i].iSourcePort==port) //比較TYPE[i].szDestIP 與 szDestIP 的值在和 TYPE[i].iSourcePort//的值做與運(yùn)算，將得到的結(jié)果和 port 比較，是否相等 { flag=false。 ++TCP_MAX。 strcpy(TCP_REC[TCP_MAX].szSourceIP,szSourceIP)。 此檢測(cè)端口掃描程序的設(shè)計(jì)不但可以檢測(cè)一般的掃描和快速掃描，在一定的程度上也能 檢測(cè)慢速掃描。它的端口檢測(cè)功能是通過一個(gè)嵌入程序來完成。 主流的端口掃描工具 常用的幾種端口掃描檢測(cè)器有： NSM（ The Network Security Monitor）、 Gr IDS、 Snort和 Portsentry等。而采用該方法，由 于分析器只需分析處理異常包，因此可以取一個(gè)很大的時(shí)間窗 T，從而檢測(cè)出慢速的掃描。首先將異常包根據(jù)其不同特性分成不同的類，然后再對(duì)不同的類計(jì)算一個(gè)類的異常值總和。 通常普通端口掃描的掃描者對(duì)被掃描者發(fā)送探測(cè)性數(shù)據(jù)包都是快速的，被掃描者在進(jìn)行捕包判斷上就會(huì)顯得比較容易，而慢速掃描與普通掃描一樣，都是一對(duì)一，即掃描者和被掃描者都只有一 個(gè)，但是其對(duì)目標(biāo)主機(jī)發(fā)送探測(cè)性數(shù)據(jù)包的時(shí)間間隔上就變化很大，可以在 1分鐘發(fā)送一個(gè)探測(cè)性數(shù)據(jù)包后 20分鐘再繼續(xù)發(fā)送探測(cè)性數(shù)據(jù)包，也或者在發(fā)送一個(gè)探測(cè)性數(shù)據(jù)包后時(shí)間就遞增，產(chǎn)生一個(gè)時(shí)間上的變化，總之給檢測(cè)端口掃描帶來了極大的困難，這就需要用新的規(guī)則，新的技術(shù)來進(jìn)行端口檢測(cè)。它的檢測(cè)原理是 ： 如果在短時(shí)間內(nèi)有超過 7個(gè)以上的端口收到信息包 (不管類型如何 ) , 那么這一事件就被當(dāng)成端口掃描記錄下來。 它們 進(jìn)行端口掃描檢測(cè) 采用的算法大致可以概括如下 ： 在 M秒內(nèi) ， 監(jiān)測(cè)從同一源端發(fā)出的數(shù)據(jù)包 , 如果其目的 IP與目的端口的組合數(shù)目超出 N的話 , 則認(rèn)為是一次掃描。這種方法只能在和目標(biāo)端口建立了一個(gè)完整的 TCP 連接后才能看到。 （ 7） UDP recvfrom()和 write()掃描。 （ 6） UDP ICMP端口不能到達(dá)掃描 這種方法與上面幾種方法的不同之處在于使用的是 UDP協(xié)議。 這樣 ，用戶能在一個(gè)防火墻后面連接到一個(gè) FTP服務(wù)器 ， 然后掃描端口 。 它 并不是直接發(fā)送 TCP探測(cè)數(shù)據(jù)包 ， 是將數(shù)據(jù)包分成二個(gè)較小的 IP段 。 一些防火墻和包過濾器會(huì)對(duì)一些指定的端口進(jìn)行監(jiān)視 ， 有的程序能檢測(cè)到這些掃描 。 目標(biāo)計(jì)算機(jī)的 logs文件會(huì)顯示一連串的連接和連接 是否 出錯(cuò)的服務(wù)消息 ， 并且能很快地使它關(guān)閉 。 利用 操作系統(tǒng)提供的 connect系統(tǒng)調(diào)用 ， 用來與每一個(gè)感興趣的目標(biāo)計(jì)算機(jī)的端口進(jìn)行連接 。通過設(shè)置原始套接字的 I/0控制命令，便可以調(diào)用 recv()接收返回的數(shù)據(jù)包。調(diào)用 setsockopt()設(shè)置選項(xiàng)IP_HDRINCL，根據(jù)填充 TCP、 IP報(bào)頭的內(nèi)容構(gòu)造 IP 數(shù)據(jù)包。 第 4 頁 共 23 頁 這樣，原始套接字接口實(shí)際上成為網(wǎng)絡(luò)層向上提供的接口。 通常通過調(diào)用套接字函數(shù) connect ()連接到目標(biāo)計(jì)算機(jī)上，完成一個(gè)完整的3次握手程。在關(guān)閉程序進(jìn)程后，就會(huì)釋放所占用的端口號(hào)。 2 端口掃描概述 基本概念 端口的含義 ： 在 網(wǎng)絡(luò)技術(shù) 中，端口（ Port）大致有兩種意思：一是物理意義上的端口 ,比如， ADSL Modem、集線器、交換機(jī)、路由器用于連接其他網(wǎng)絡(luò)設(shè)備的接口，如 RJ45 端口、 SC 端口等等。事實(shí)已經(jīng)證明，隨著互聯(lián)網(wǎng)的日趨普及，在互聯(lián)網(wǎng)上的犯罪活動(dòng)也越來越多，特別是 Inter 大范圍的開放以及金融領(lǐng)域網(wǎng)絡(luò)的接入，使得越來越多的系統(tǒng)遭到入侵攻擊的威脅。 packet capture。 端口掃描是黑客搜集目標(biāo)主機(jī)信息的一種常用方法。為了有效地對(duì)付網(wǎng)絡(luò)入侵行為 ,對(duì)端口掃描進(jìn)行研究是非常有益和必要的。 port detecting 目 錄 論文總頁數(shù)： 23頁 1 引言 ................................................................... 1 本課題研究的意義 .................................................... 1 本課題的研究方法 .................................................... 2 2 端口掃描概述 ........................................................... 2 基本概念 ............................................................ 2 端口 掃描原理 ........................................................ 3 端口掃描技術(shù)簡介 .................................................... 5 3 檢測(cè)端口掃描概述 ....................................................... 7 端口掃描檢測(cè)的分析 .................................................. 7 普通 端口掃描檢測(cè)技術(shù)概述 ............................................. 8 慢 速端口 掃描 檢測(cè)技術(shù)概述 ............................................. 9 端口 掃描的分布式檢測(cè)概述 ............................................. 9 主流的端口掃描工具 ................................................. 11 4 端口掃描的實(shí)現(xiàn) ........................................................ 12 掃描程序的設(shè)計(jì)原理 ................................................. 12 程序流程圖 ......................................................... 12 5 檢測(cè)端口掃描的實(shí)現(xiàn) ..................................................... 13 檢測(cè)程序的設(shè)計(jì)原理 ................................................. 13 程序流程圖 ......................................................... 14 設(shè)計(jì)實(shí)現(xiàn)重點(diǎn)代碼 ................................................... 15 6 性能測(cè)試 .............................................................. 19 端口掃描程序性能測(cè)試 ................................................ 19 檢測(cè)端口掃描程序性能測(cè)試 ............................................ 19 結(jié) 論 .................................................................. 21 參考文獻(xiàn) .................................................................. 21 致 謝 .................................................................. 22 聲 明 .................................................................. 23 第 1 頁 共 23 頁 1 引言 隨著科學(xué)技術(shù)的飛速發(fā)展， 21世紀(jì)的地球人已經(jīng)生活在信息時(shí)代。而作為黑客入侵的前奏，端口掃描是最常見的信息獲取手段，端口掃描的檢測(cè)技術(shù)在當(dāng)今已經(jīng)越來越成為一個(gè)重要的課題。二是邏輯意義上的端口，一般是指 TCP/IP 協(xié)議中的端口，端口號(hào)的范圍從 0到 65535，比如用于瀏覽網(wǎng)頁服務(wù)的 80 端口，用于 FTP 服務(wù)的 21端口等等。 不過，動(dòng)態(tài)端口也常常被病毒木馬程序所利用，如冰河默認(rèn)連接端口是762 WAY 是 801 Netspy 是 730 YAI 病毒是 1024 等等。如果端口處于偵聽狀態(tài)，那么 connect()就能成功返回。實(shí)現(xiàn)時(shí)可通過調(diào)用Winsock2庫中的函數(shù) setsockopt()來設(shè)置選項(xiàng) IP_HDRINCL，以獲取自定義 IP報(bào)頭的權(quán)限。設(shè)置偵聽原始套接字的同步和超時(shí)之后，調(diào)用 sendto()發(fā)送 IP 數(shù)據(jù)包。一般情況下使用的是TCP SYN半連接掃描，由于 TCPConnect()全連接掃描擁有很好的穩(wěn)定性，這種技術(shù)用得非常多。 如果端口處于偵聽狀態(tài) ， 則 connect就能成功 。 （ 2） TCP SYN掃描 這種技術(shù)通常認(rèn)為是 “ 半開放 ” 掃描 ， 這是因?yàn)閽呙璩绦虿槐匾蜷_一個(gè)完全的 TCP連接 。 相反 ， FIN數(shù)據(jù)包可能會(huì)順利通過 。 這樣就將一個(gè) TCP頭分成好幾個(gè)數(shù)據(jù)包 ， 從而過濾器就很難探測(cè)到 。如果 FTP服務(wù)器允許從一個(gè)目錄讀寫數(shù)據(jù)，你就能發(fā)送任意的數(shù)據(jù)到發(fā)現(xiàn)的打開的端口。由于這個(gè)協(xié)議很簡單，所以掃描變得相對(duì)困難。 當(dāng)非 root用戶不能直接讀到端口不能到達(dá)錯(cuò)誤時(shí)， Linux能間接地在它們到達(dá)時(shí)通知用戶。 總之， 為了避過目標(biāo)系統(tǒng)的日志審計(jì)和防火墻的阻截， 為了避過目標(biāo)系統(tǒng)的端口掃描檢測(cè)， 入侵者往往會(huì)采用一 系列方法來改變正常的 端口 掃描方式，以達(dá)成 端口 掃描的隱蔽性，這些方法包括：改變掃描端口的順序、慢速掃描、端口 掃描間隔隨機(jī)化、隨機(jī)化掃