硅谷杂志:通过虚拟机探讨网络扫描及端口安全 |
| 2012-11-10 18:20 作者:劳翠金 来源:硅谷网 HV: 编辑: 【搜索试试】
|
|
[硅谷网11月10日文]据《硅谷》杂志2012年第17期刊文称,配置不当的系统很容易受到入侵,为加强计算机网络的安全防护,针对黑客攻击的手段,运用虚拟机技术探讨Ping扫描的原理与防护、进程的连接过程、端口的状态、端口扫描的原理、木马通过端口实施远程控制的过程及端口的安全防护。
1Ping扫描
黑客在攻击之前,会先收集目标网络的相关信息,确定攻击的范围。Ping扫描是常用的方法之一,它会向目标系统发送ICMPECHO包,如果目标系统返回ICMPECHO_REPLY,说明目标系统真实存在。防范Ping扫描的方法是在网络的边界路由器或防火墙上设置不允许ICMP包通过,在个人电脑上通过个人版防火墙或Windows自带的功能实现防ping效果。下面启动两台虚拟机PC1、PC2,用Windows自带功能实现主机防Ping。
1)Windows防火墙。开启方法是右击PC1的网上邻居,属性,右击本地连接,属性,高级,在Windows防火墙栏目中,选择设置,选中启用。设置后,PC2不能Ping通PC1。
2)IP安全策略。方法是打开PC1的控制面板,管理工具,本地安全策略,右击“IP安全策略,在本地计算机”,创建IP安全策略,下一步,命名策略名称为NoPing,下一步,不选“激活默认响应规则”,下一步,编辑属性。在“IP安全策略NoPing属性”的“规则”选项卡中,不选“使用添加向导”,添加,出现新规则属性,添加“IP筛选器列表”,输入新名称PingMe,添加,源地址选“任何IP地址”,目标地址选“我的IP地址”,协议类型选“ICMP”,确定。选中新建的IP筛选器“PingMe”,添加“筛选器操作”,安全措施选“阻止”,输入新名称deny,选中新筛选器deny,确定。右击新建的IP安全策略“NoPing”,指派。此时防ping功能生效。设置后,PC2不能Ping通PC1。
2端口扫描
禁用Ping扫描后,仍可通过端口扫描等替代方法找到在线主机,但准确性和效率会比ping扫描稍差。端口扫描还可获知对方开放的端口、支持的服务、系统的版本等信息。
2.1进程连接及端口状态
网络上两台主机的进程间通信,需先通过IP地址找到对方,再通过端口号找到对应的进程。面向连接的TCP与无连接的UDP都是通过端口号来识别网络两端的进程的。默认端口范围从0到1023,已由权威机构分配给常见的服务;动态端口范围从1024到65535,进程通信前需先申请一个此类端口,通信结束时再释放。
面向连接的TCP端口要经历连接的建立、保持和结束。CLOSED是端口的初始状态,表示关闭状态;LISTENING表示端口处于监听状态,若服务器开放了某些服务,对应端口的状态则为LISTENING,表示可以接受连接请求。建立TCP连接需经三次握手。连接前,客户端端口CLOSED,服务器端端口LISTENING。客户端向服务器端发送SYN报文,请求建立连接,状态转化为SYN_SENT,当服务器端收到SYN报文,变为SYN_RCVD状态,完成第一次握手;服务器端随即发送ACK应答和另一方向的连接请求SYN报文,合称ACK+SYN报文,客户端接受,完成第二次握手;客户端返回ACK报文应答,服务器收到,双方进入ESTABLISHED状态,连接建立,完成第三次握手。
关闭TCP连接需四次挥手,每个方向的关闭都需要请求和应答。客户端再无数据发送时,向服务器端发送FIN报文,申请结束连接,进入FIN_WAIT_1状态;服务器端收到后,回应ACK报文,进入CLOSE_WAIT状态;客户端收到ACK应答,从FIN_WAIT1状态转化为FIN_WAIT2状态,端口处于半连接状态,一个方向的连接已关闭,另一方向还没关闭,至此完成前两次挥手;CLOSE_WAIT状态的服务器端再无数据传送时,发送FIN报文给客户端,申请关闭另一方向的连接,转为LAST_ACK状态。客户端收到FIN报文后,发送ACK应答,进入TIME_WAIT状态,等2MSL后回到CLOSED状态,其中MSL是报文段的生存期限;服务器端收到ACK应答,进入CLOSED状态,完成四次挥手。以上是一方先提出结束连接申请的过程,若双方同时发送SYN报文提出结束连接申请,则双方进入CLOSING状态。
2.2通过虚拟机模拟木马入侵,观察进程的通信过程及端口状态
1)TCP建立连接及断开连接的过程。在PC2上安装Serv-U、开启基于TCP的FTP服务,安装Wireshark,开始抓包;在PC1的DOS界面下,输入ftpPC2的IP地址,输入用户名、密码连接到PC2,输入bye断开连接;在PC2上停止抓包,可观察到三次握手及四次挥手过程。
2)UDP通信过程。UDP可直接通信,不需要事先建立连接。在PC2上启用基于UDP的DNS服务,将域名www.lcvc.cn解释为自己的IP,运行Wireshark,开始抓包;将PC1的首选DNS服务器设为PC2的IP地址,在PC1的DOS界面下输入nslookup,再输入www.lcvc.cn,输入exit退出。通过Wireshark可观察到UDP传输的源端口、目的端口、校验值等信息。
3)模拟木马入侵,观察木马进程监听端口的状态。
①灰鸽子木马。在PC1上运行灰鸽子木马的客户端,生成服务器端并传给PC2;PC2运行木马服务器端后,被PC1控制。在PC1或PC2上运行命令netstat–ano,可以看到PC2的一个随机端口与PC1灰鸽子监听的8000端口建立了连接状态。
②用NC模拟木马。NC被称为网络工具中的瑞士军刀,它短小精悍,简单的两行命令就能实现与灰鸽子木马类似的功能。在PC1输入命令:nc–l–p7788,监听本地7788端口;在PC2上运行命令:nc–ecmd.exePC1的ip7788,将cmd重定向到PC1的7788端口。命令执行完后可看到,PC1能在DOS提示符下操控PC2了。运行命令netstat–ano,可观察进程及端口的状态。
2.3端口扫描的原理
通过扫描软件进行端口扫描,找出系统漏洞,是黑客入侵或网络管理员加固系统的重要途径,扫描软件进行端口扫描的途径及原理是:
1)TCP端口扫描。①全连接扫描。通过三次握手与对方建立正常连接,判断端口是否开放。这种方法很容易被对方检测出来,黑客不常采用。②SYN扫描。扫描软件向对方端口发送SYN数据包,若对方端口开放会回应ACK+SYN,扫描软件回应RST拒绝连接;若对方端口没开放,会回应RST。从回应信息可以判断对方端口是否开放。③FIN扫描。向UNIX或Linux操作系统某端口发送FIN数据包时,若该端口开放,FIN数据包会被丢弃;若该端口未开放,会返回RST。根据是否返回RST数据包,可判断对方端口是否开放。本方法不适用于Windows,因Windows不论端口是否打开,都返回RST。SYN扫描和FIN扫描都没有与对方建立TCP正常连接,所以不易被发现。
2)UDP端口扫描。UDP不需要建立连接,可直接向对方的UDP端口发送数据包,若端口未开放,会返回ICMP不可达报文;若端口开放,则不会返回任何针对该UDP报文的ICMP报文。下面通过虚拟机观察此过程:PC1安装hping,输入命令:hpingPC2的IP-2–p80–c1,作用是向对方未开放的UDP端口80发送一个UDP报文。同时运行Wireshark,可看到返回的差错报文类型为3,表示终点不可达,返回的代码为3,表示端口不可达。
2.4防范端口扫描
1)通过windows自身的功能,将不需要的、有潜在危险的端口关闭。方法是进入控制面板/管理工具/服务,关闭不需要的服务,服务对应的端口随之关闭。另一方法是在网卡属性中,选择高级/选项,选中“TCP/IP筛选”,属性,设置只允许系统的一些基本网络通讯需要的端口。
2)通过配置防火墙、路由器,拒绝数据流向某些端口。还可通过防火墙和入侵检测系统的联动,使系统及时发现和屏蔽异常的端口。
3)个人用户运行netstat–ano等命令时,一旦发现有异常的端口处于监听或连接状态,判断其可能是木马,可用pskill结束相关进程;也可用TCPView等图形界面软件,查看端口状态,发现异常情况时在相应进程上右击选结束进程。
总之,配置不当的系统很容易遭到入侵。网管应利用好网络扫描这把双刃剑,及时找到系统存在的漏洞并加以修复。
基金项目2011年度广西教育厅科研项目立项项目,编号:201106LX821。
作者简介:
劳翠金(1972-),女,讲师,硕士,研究方向:网络安全。 |
|
|
|
【对“硅谷杂志:通过虚拟机探讨网络扫描及端口安全”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
