同塔安全與防

材企與鹽S

下面讓我們看一看利用上述這些信息，人侵者是如何障藏自己的端口掃描活動的。

(1)TCPconnect()的掃描。這是最基本的一種掃描方式。使用系統(tǒng)提供的connect()第

說明該端口不可訪問。它的一個特點(diǎn)是，使用TCPconnect()不需要任何特權(quán)，任何Unix用r統(tǒng)調(diào)用并建立與想要的目標(biāo)主機(jī)的端口的連接。如果端口正在監(jiān)聽，connec()就返回，否則、

接目標(biāo)主機(jī)的端口，還可以同時(shí)使用多個ekt，來加快掃描的速度。使用個非阻塞的都可以使用這個系統(tǒng)調(diào)用另一個特點(diǎn)是速度快。除了串行地使用單個cm()調(diào)用來

調(diào)用將可以同時(shí)監(jiān)視多個Ska另外，這種掃描方式容島被檢測到，并且被過濾。。

主機(jī)的日志文件將會記錄下這些達(dá)連接信息和錯誤信息，然后立即關(guān)閉連接，。目標(biāo)

(2)TCPSYN掃描。這種掃描通常稱為半開掃描，因?yàn)椴⒉皇且粋€全TCP連接。通過發(fā)

送一個SYN數(shù)據(jù)包，就好像準(zhǔn)備打開一個真正的連接，然后等待響應(yīng)。一個SYN/ACK表明該端口正在監(jiān)聽，一個RST響應(yīng)表明該端口沒有被監(jiān)聽。如果收到一個SYN/ACK，通過立

戶權(quán)限才能建立這種可配置的SYN數(shù)據(jù)包。文的五記部，令命的五即發(fā)送一個RST來關(guān)閉連接。它的特點(diǎn)是極少有主機(jī)來記錄這種連接請求，但必須有超級用

(3)TCPFIN掃描。在很多情況下，即使是SYN掃描也不能做到很隱秘。些防火墻和

包過濾程序監(jiān)視SYN數(shù)據(jù)包訪間個未被允許訪問的端口，=些程序可以檢測到這些掃描。

然而，F(xiàn)IN數(shù)據(jù)包卻有可能通過這些掃描。回其基本思想是:關(guān)閉的端口將會用正確的RST來應(yīng)答發(fā)送的FIN數(shù)據(jù)包，而相反，打開

的端口往往忽略這些請求。這是一個TCP實(shí)現(xiàn)上的錯誤，但不是所有的系統(tǒng)都存在著類似錯

誤，因此，并不是對所有的系統(tǒng)都有效。に自來部數(shù)、加高(4)Fragmentation掃描。這種掃描并不是僅僅發(fā)送檢測的數(shù)據(jù)包，而是將要發(fā)送的數(shù)據(jù)

包分成一組更小的IP包。通過將TCP包頭分成幾段，放人不同的IP包中，將使得包過濾程

序難以過濾，因此，可以做到想要做的掃描活動。然而，一些程序很難處理這些過小的包。

(S5)UDPrecfrom()和write()掃描。一些人認(rèn)為，UDP的掃描是無意義的。沒有Root權(quán)

限的用戶不能直接得到端口不可訪問的錯誤，但是Linux可以間接地通知用戶。例如，一個關(guān)

閉的端口的第二次write()調(diào)用通常會失敗。如果在一個非阻塞的Udpsocket上調(diào)用rector

()通常會返回EAGAIN()(“Tryagain"，eror=13)，而ICMP則收到一個ECONNERFUSED

("Connectionrefused”，erno=111)的錯誤信息。等的五

(6)ICMP的掃描。這并不是一個真正的端口掃描，因?yàn)镮CMP并沒有端口的抽象。然

而，用PING這個命令，通?？梢缘玫骄W(wǎng)上目標(biāo)主機(jī)是否正在運(yùn)行的信息。置來田T29

82.8口令破解圖金的就當(dāng)0常面，，別D的武個的

,Y2

.當(dāng)前，無論是計(jì)算機(jī)用戶，還是一個銀行的戶頭，都是通過口令來進(jìn)行身份認(rèn)證的，口令是

維持安全的第一道防線。可是，使用口令面臨著許多的安全問題現(xiàn)在有越來越多的人試圖

在Internet上進(jìn)行人侵和高科技的犯罪，他們最初的原因也許是因?yàn)橄到y(tǒng)沒有口令，或者是使

用了一個容易猜測的口令。網(wǎng)站建設(shè)畫9T的Uは民