【正文】 還要感謝本組同學(xué)的關(guān)心和幫助以及 所有老師四 年來悉心的關(guān)心和教導(dǎo)。他的作為讓我懂得了以后不管做任何事都要認(rèn)真負(fù)責(zé)，對工作要兢兢業(yè)業(yè)。 首先要感謝的是湖南農(nóng)業(yè)大學(xué)信息與科 學(xué)技術(shù)學(xué)院的指導(dǎo)老師朱幸輝老師的悉心指導(dǎo)。 在本次學(xué)習(xí)中， 因為 時間緊，加之本身對這方面的知識的不熟悉，論文必定有考慮不周的地方，懇請老師批評指正。在這場網(wǎng)絡(luò)安全的攻擊和反攻擊的信息戰(zhàn)中，永遠(yuǎn)沒有終點。越來越多的網(wǎng)站因為安全性問題而癱瘓，公司的機密信息不斷被竊取，政府機構(gòu)和組織不斷遭受著安全問題的威脅等等。從 Inter 的誕生之日起，就不可避免的面臨著網(wǎng)絡(luò)信息安全的問題。 5 結(jié)束語 近年來，計算機網(wǎng)絡(luò)獲得了飛速的發(fā)展。以在防火墻上采用更嚴(yán)格的過濾規(guī)則為例，端口掃描可以不 通過 IP 報 文分片以穿過防火墻，同時，也可采用 FIN 掃描、 ACK 掃描等新的手段以穿透防火墻，如更改默認(rèn)端口。掃描的目的是為了獲取信息，因此，通過提高自身的安全系數(shù)，杜絕不必要信息的外泄，是目前網(wǎng)絡(luò)掃描防御方法的實質(zhì)。這樣非特定用戶就無法使用該網(wǎng)絡(luò)服務(wù)。 (3)對于不需要為公眾所周知的網(wǎng)絡(luò)服務(wù)，采用更改默認(rèn)端口的方法。例如，對于一臺純粹的 HTTP 服務(wù)器而言，只需要開放其 80 端口，其余的 FTP、 Tel 等等網(wǎng)絡(luò)服務(wù)均可以全部關(guān)閉。 目前常用的掃描防御方法有以下 3 種： (1)在防火墻 (或 NAT)上采用更嚴(yán)格的過濾規(guī)則，阻止大部分掃描數(shù)據(jù)報文進(jìn)入系統(tǒng)。目前存在的掃描程序主要可分為基于主機和基于網(wǎng)絡(luò)兩種，前者主要關(guān)注軟件所在主機上面的風(fēng)險漏洞，而后者則是通過網(wǎng)絡(luò)遠(yuǎn)程探測其它主機的安全 風(fēng)險漏洞。這些信息用來創(chuàng)建一個指紋，然后跟已知的指紋進(jìn)行比較，就可以判斷出當(dāng)前被掃描的操作系統(tǒng)。 TCP/IP 棧指紋技術(shù)是活動探測的一個變種，它適用于整個 TCP/IP 協(xié)議的實現(xiàn)和操作系統(tǒng)?；顒犹綔y把 TCP 的實現(xiàn)看作一個黑盒子。 這種使用掃描器判斷遠(yuǎn)程操作系統(tǒng)的技術(shù)稱為（ TCP/IP）棧指紋技術(shù)。 NMAP 包含了很多的操作系統(tǒng)探測技術(shù)，定義了一個模板數(shù)據(jù)結(jié)構(gòu)來描述指紋。 最近出現(xiàn)的兩個掃描器， QueSO 和 NMAP，在指紋掃描中引入了新的技術(shù)。最初的掃描器，依靠檢測不同操作系統(tǒng)對 TCP/IP 的不同實現(xiàn)來識別操作系統(tǒng)。 FTP， TELNET， HTTP 和 DNS 服務(wù)器就是很好的例子。遠(yuǎn)程操作系統(tǒng)探測不是一個新問題。但是，從它發(fā)布以來，安全掃描器一直在不斷地發(fā)展，其實現(xiàn)機制也越來越復(fù)雜。 可能 SATAN 是最著名的安全掃描器。 ? 是否某種網(wǎng)絡(luò)服務(wù)需要認(rèn)證 。象其它端口掃描器一樣，它們查詢端口并記錄返回結(jié) 果。另外 ，一種類似于 SYN 掃描端口 80（或者類似的）也被經(jīng)常使用。否則， ACK 數(shù)據(jù)包發(fā)送給每一個需要探測的主機 IP。 ? TCP PING： 如發(fā)送特殊的 TCP 包給通常都打開且沒有過濾的端口（例如 80 端 21 口）。主要由兩種方法用來實現(xiàn) Ping掃描。 其他掃描技術(shù) PING 掃描 如果需要掃描一個主機上甚至整個子網(wǎng)上的成千上萬個端口，首先判斷一個主機是否開機就非常重要了。 缺點 ： 可能被丟棄 。這 樣就將一個 TCP頭分成好幾個數(shù)據(jù)包，從而包過濾器就很難探測到。 缺點 ： 一些 ftp server禁止這種特性 。 (5) S持續(xù)使用 PORT和 LIST命令，直到 T上所有的選擇端口掃描 完畢。 (3) 然后 S使用一個 LIST命令嘗試啟動一個到 pT的數(shù)據(jù)傳輸。該方法正是利用了這個缺陷，其掃描步驟如下 ： (1) 假定 S是掃描機， T是掃描目標(biāo)， F是一個助服務(wù)器，這個服務(wù)器支持代理選項，能夠跟 S和 T建立連接 。 TCP ftp proxy 掃描 FTP代理連接選項，其目的是允許一個客戶端同時跟兩個 FTP服務(wù)器建立連接，然后在服務(wù)器之間直接傳輸數(shù)據(jù)。 優(yōu)點：隱蔽性好。當(dāng)一個這種數(shù)據(jù)包到達(dá)一個關(guān)閉 的端口，數(shù)據(jù)包會被丟掉，并且返回一個 RST數(shù) 20 據(jù)包。 Xmas掃描打開 FIN, URG和 PUSH標(biāo)記，而 Null掃描關(guān)閉所有標(biāo)記。但在 Windows95/NT環(huán)境下，該方法無效，因為不論目標(biāo)端口是否打開，操作系統(tǒng)都返回 RST包。 優(yōu)點 ： 由于這種技術(shù)不包含標(biāo)準(zhǔn)的 TCP三次握手協(xié)議的任何部分，所以無法被記錄下來，從而 比 SYN掃描隱蔽得多， FIN數(shù)據(jù)包能夠通過只監(jiān)測 SYN包的包過濾器。這種方法和系統(tǒng)的實現(xiàn)有一定的關(guān)系。并且返回一個 RST數(shù)據(jù)包。 隱藏掃描技術(shù) TCP FIN 掃描 掃描器向目標(biāo)主機端口發(fā)送 FIN包。 優(yōu)點：隱蔽性好。掃描機和目標(biāo)記的角色非常明顯。由于掃描主機會對欺騙主機發(fā)送回應(yīng)信息，所以必須監(jiān)控欺騙主機的 IP行為，從而獲得原始掃描的結(jié)果。缺點是在大部分操作系統(tǒng)下，發(fā)送主機需要構(gòu)造適用于這種掃描的IP包，通常情況下，構(gòu)造 SYN數(shù)據(jù)包需要超級用戶或者授權(quán)用戶訪問專門的系統(tǒng)調(diào)用。由于在 SYN掃描時， 19 全連接尚未建立，所以這種技術(shù)通常被稱為半打開掃描。 TCP SYN 掃描 掃描主機向目標(biāo)主機的選擇端口發(fā)送設(shè)置了 SYN數(shù)據(jù)標(biāo)志的 TCP包，就 像 打開常規(guī) TCP連接時一樣。 半開放掃描技術(shù) 若端口掃描沒有完成一個完整的 TCP 連接，在掃描主機和目標(biāo)主機的一指定端口建立連接時候只完成了前兩次握手，在第 3 步時，掃描主機中斷了本次連接，使連接沒有完全建立起來，這樣的端口掃描稱為半連接掃描，也稱為間接掃描。因此能連接到 端口，然后用 identd來發(fā)現(xiàn)服務(wù)器是否正在以 root權(quán)限運行。目標(biāo)計算機的 logs文 件會顯示一連串的連接和連接是出錯的服務(wù)消息，并且能很快的使它關(guān)閉。使用非阻塞 UO允許設(shè)置一個低的時間用盡周期，同時觀察多個套接字。另一個好處就是速度。標(biāo)準(zhǔn)的 TCP/IP 連接建立過程是，如果 server 的端口是打開的，在 client 和server 間 的 TCP 數(shù)據(jù)包將包括以 下握手過程： client 一 SYN server 一 SYN/ACK client 一 ACK 而如果 server 的端口沒有打開，上述流程將如下： client 一 SYN server 一 SYN/ACK client 一 RST 優(yōu)點：穩(wěn)定可靠，不需要特殊的權(quán)限。其實現(xiàn)原理是：通過直接同目標(biāo)主機進(jìn)行一次完整的 3 次 TCP/IP 建鏈過程。 TCP connect（）掃描 這是最基本的 TCP 掃描。 端口掃描技術(shù) 根據(jù)采用探測方法的不同，我們可以把端口掃描技術(shù)分為開放掃描、半開放掃描、隱蔽掃描以及其它掃描等。其原理是當(dāng)一個主機向遠(yuǎn)端一個服務(wù)器 17 的某一個端口提出建立一個連接的請求，如果對方有此項服務(wù)，就會應(yīng)答，如果對方未安裝此項服務(wù)時，即使你向相應(yīng)的端口發(fā)出請求，對方仍無應(yīng)答，利用這個原理，如果對所有熟知端口或自己選定的某個范圍內(nèi)的熟知端口分別建立連接，并記錄下遠(yuǎn)端服務(wù)器所給予的應(yīng)答，通過查看記錄就可以知道目 標(biāo)服務(wù)器上都安裝了哪些服務(wù)，這就是端口掃描，通過端口掃描，就可以搜集到很多關(guān)于目標(biāo)主機的各種很有參考價值的信息。 所謂 端口掃描，就是逐個對一段端口或指定的端口進(jìn)行掃描。 下表中列出了常用的和本文所涉及到的端口及其意義 ： 16 表 1 常用端口及其意義 Table 1 Common port and its significance 十進(jìn)制端口號 內(nèi)容 意義 7 Echo 回送 13 Daytime 日期時間 15 Netstate 網(wǎng)絡(luò)狀態(tài)程序 20 Ftp(Data) 文件傳輸協(xié)議（用于傳輸數(shù)據(jù)） 21 23 Ftp(Control) Tel 文件傳輸協(xié)議（用于傳輸控制） 遠(yuǎn)程登錄 25 Smtp 簡單郵件傳輸協(xié)議 53 Dns 域名服務(wù) 67 Bootps 引導(dǎo)協(xié)議服務(wù)器 69 Tftp 簡單文件傳輸協(xié)議 80 WWW 萬維網(wǎng)服務(wù)器 119 Nntp 網(wǎng)絡(luò)新聞傳輸協(xié)議 139 Netbios Netbios 協(xié)議 端口掃描原理 一個端口就是一個潛在的通信通道，也就是一個入侵通 道。而 “ 關(guān) ” 則表示對應(yīng)的服務(wù)程序沒有安裝或當(dāng)前沒有處于運行狀態(tài)，即使你在客戶端運行相應(yīng)訪問請求的程序，仍無法得到結(jié)果。 在對端口的狀態(tài)描述中，各種稱呼都有，有的用 “ 開 ” 和 “ 不開 ” ，有的用 “ 激活 ” 和 “ 關(guān)閉 ” ，有的用 “ 開 ” 和 “ 關(guān) ” 來描述，鑒于所表示的意義完全一致，因此，本文后繼部分中，統(tǒng)一稱之為 “ 開 ” 和 “ 關(guān) ” 。因此實際上所說的服務(wù)器和主機之間沒有一個一一對應(yīng)關(guān)系，主機是一個硬件的概念，是一臺物理設(shè)備，而服務(wù)器是指一組軟件系統(tǒng)，一臺主機上可以裝多個服務(wù)器來提供服務(wù)，而某個服務(wù)器也可以由幾臺計算機通過軟件進(jìn)行捆綁后實現(xiàn)，一臺主機 可由 IP地址區(qū)分，而主機上的服務(wù)則可由端口實現(xiàn)。而事實上，即使沒有什么漏洞可找，僅就掃描所得的信息，就己能給黑客提供了大量的重要信息，因此端口掃描往往作為黑客攻擊某一網(wǎng)站的第一步。端口掃描與其說是一種攻擊方法，不如說是一種檢測方法，顧名思義，端口掃描即對端口進(jìn)行掃描。在網(wǎng)絡(luò)技術(shù)中，通常端口的意義一般指 TCP/IP 協(xié)議中的端口，端口號從 0— 65535，分為 TCP 端口和 UDP 端口。而端口這個概念是在傳輸層提出的，是傳輸層標(biāo)志服務(wù)的手段。同時，目前大多數(shù)網(wǎng)絡(luò)上的機器的信息流都有可能被偷看到，但更新式的網(wǎng)絡(luò)技術(shù)如幀中繼，異步傳輸模式 （ ATM） 可將數(shù)據(jù)包源地址直接發(fā)送給目的地址，從而防止信息流在傳輸中途被泄露。 目前，人們正在設(shè)計新的 IP 協(xié)議（也被稱為 IP version 6）。 Karl Bridge/Karl Brouter 產(chǎn)品拓展了包過濾的范圍，它對應(yīng)用層上的包過濾和授權(quán)進(jìn)行了擴(kuò)展。如 Border 網(wǎng)絡(luò)技術(shù)公司的Border 產(chǎn)品和 Truest 信息系統(tǒng)公司的 產(chǎn)品從外部向內(nèi)看起來像是代理服務(wù)（任何外部服務(wù)請求都來自于同一主機），而由內(nèi)部向外看像一個包過濾系統(tǒng)（內(nèi)部用戶認(rèn)為他們直接與外部網(wǎng)交互）。一個輸出 的 UDP 數(shù) 據(jù)包可以引起對應(yīng)的允許應(yīng)答 UDP 創(chuàng)立一個臨時的包過濾規(guī)則，允許其對 應(yīng)的 UDP 包進(jìn)入內(nèi)部網(wǎng)。 包過濾系統(tǒng)向著更具柔性和多功能的方向發(fā)展。越來越多的客戶 端和服務(wù)器端的應(yīng)用程序本身就支持代理服務(wù)方式。同時，硬件方式構(gòu)建的防火墻，如： PIX520，其不夠靈活的問題也是固化防火墻的共同問題，所以在一個實際的網(wǎng)絡(luò)運行環(huán)境中，僅僅依靠防火墻來保證網(wǎng)絡(luò)的安全顯然是不夠，此時，應(yīng)根據(jù)實際需求采取相應(yīng)的安全策略。 當(dāng)然，防火墻本身也有其局限性，即不經(jīng)過防火墻的入侵，防火墻則是無能為力的，如被保護(hù)網(wǎng)絡(luò)中通過 SLIP 和 PPP 方式直接與因特 網(wǎng)相連的內(nèi)部用戶，則會造成安全隱患。 至于采用自行構(gòu)造防火墻方式，雖然費用低一些，但仍需要時間和經(jīng)費開發(fā)、配置防火墻系統(tǒng)，需要不斷地為管理、總體維護(hù)、軟件更新、安全修補以及一些附帶的操作提供支持。 防火墻的費用 簡單的包過濾防火墻所需費用最少，實際上任何企業(yè)網(wǎng)與因特網(wǎng)的連接都需要一個路由器，而包過濾是標(biāo)準(zhǔn)路由器的 一個基本特性。 企業(yè)網(wǎng)的安全策略 在一個企業(yè)網(wǎng)中，防火墻應(yīng)該是全局安全策略的一部分，構(gòu)建防火墻時首先要考慮其保護(hù)的范圍。約定防火 墻總是傳遞所有的信息，此方式認(rèn)定每一個潛在的危害總是可以基于逐項審查而被杜絕。當(dāng)然，該理念的不足在于過于強調(diào)安全而減弱了可用性，限制了用戶可以申請的服務(wù)的數(shù)量。防火墻阻塞所有流經(jīng)的信息，每一個服務(wù)請求或應(yīng)用的實現(xiàn)都基于逐項審查的基礎(chǔ)上。 安全操作系統(tǒng)的內(nèi)核配置和改造主要包含以下內(nèi)容： （ 1） 取消危險的系統(tǒng)調(diào)用 （ 2） 限制命