计算机网络安全与管理实验(4)

2019-02-17 18:06

NULL flags TCP SYN ALL

flags(XMAS) TCP SYN tcp

fragmenting

图2 已知的扫描方法（1）TCP connect 扫描

TCP connect 扫描属于全扫描（open scan）中的最为常见的一种。TCP 连接是长期以来TCP 端口扫描的基础。扫描主机尝试（使用三次握手）与目的机指定端口建立正规的连接。连接由系统调用connect()开始。对于每一个监听端口，connect()会获得成功，否则返回－1，表示端口不可访问。由于通常情况下，这不需要什么特权，所以几乎所有的用户（包括多用户环境下）都可以通过connect 来实现这个技术。

这种扫描方法的最大缺点是很容易检测出来（在日志文件中会有大量密集的连接和错误记录）。Courtney，Gabriel 和TCP Wrapper 监测程序都可以用来进行监测。另外，TCP Wrapper 可以对连接请求进行控制，所以它可以用来阻止来自不明主机的全连接扫描。（2）TCP SYN 扫描

TCP SYN 扫描是半开扫描（half open scan）中的一种。术语“半开”指的是连接的一方在三次握手完成前终止连接。

在这种技术中，扫描主机向目标主机的选择端口发送SYN 数据段。如果应答是RST，那么说明端口是关闭的，按照设定就探听其它端口；如果应答中包含SYN 和ACK，说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息，传送一个RST 给目标机从而停止建立连接。由于在SYN 扫描时，全连接尚未建立，所以这种技术通常被称为半打开扫描。

SYN 扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比

全扫描少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的IP 包，通常情况下，构造SYN 数据包需要超级用户或者授权用户访问专门的系统调用。这种方法向目标端口发送一个SYN 分组（packet），如果目标端口返回SYN/ACK，那么可以肯定该端口处于检听状态；否则，返回的是RST/ACK。（3）秘密扫描（stealth scan methods）

由于这种技术不包含标准的TCP 三次握手协议的任何部分，所以无法被记录下来，

从而必SYN 扫描隐蔽得多。另外，FIN 数据包能够通过只监测SYN 包的包过滤器。秘密扫描技术使用FIN 数据包来探听端口。当一个FIN 数据包到达一个关闭的端口，数据包会被丢掉，并且回返回一个RST 数据包。否则，当一个FIN 数据包到达一个打开的端口，数据包只是简单的丢掉（不返回RST）。

Xmas 和Null 扫描是秘密扫描的两个变种。Xmas 扫描打开FIN，URG 和PUSH 标记，而Null 扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN 标记监测器的过滤。秘密扫描通常适用于UNIX 目标主机，除过少量的应当丢弃数据包却发送reset 信号的操作系统（包括CISCO，BSDI，HP/UX，MVS 和IRIX）。在Windows95/NT 环境下，该方法无效，因为不论目标端口是否打开，操作系统都发送RST。同SYN 扫描类似，秘密扫描也需要自己构造IP 包。

（4）Ping 扫描

如果需要扫描一个主机上甚至整个子网上的成千上万个端口，首先判断一个主机是否开机就非常重要了。这就是Ping 扫描器的目的。主要由两种方法用来实现Ping 扫描。 1：ICMP 扫描：例如发送ICMP 请求包给目标IP 地址，有相应的表示主机开机。 2：TCP Ping：例如发送特殊的TCP 包给通常都打开且没有过滤的端口（例如80 端

口）。对于没有root 权限的扫描者，使用标准的connect 来实现。否则，ACK 数据包发送给每一个需要探测的主机IP。每一个返回的RST 表明相应主机开机了。另外，一种类似于SYN 扫描端口80（或者类似的）也被经常使用。（5）UDP 端口扫描

这种方法向目标端口发送一个UDP 分组。如果目标端口以“ICMP port unreachable” 消息响应，那么说明该端口是关闭的；反之，如果没有收到“ICMP port unreachable”响应消息，则可以肯定该端口是打开的。由于UDP 协议是面向无连接的协议，这种扫描技术的精确性高度依赖于网络性能和系统资源。另外，如果目标系统采用了大量分组过滤技术，那么UDP 扫描过程会变得非常慢。比如大部分操作系统都采纳了RFC1812 的建议，限定了icmp 差错分组的发送速率，比如Linux 系统只允许4 秒最多只允许发送80 个目的地不可达消息，而Solaris 每秒只允许发送2 个此种消息。然而微软仍保留了其一贯的做法，忽略了rfc1812 中的建议，没有对速率进行任何限制，因此，在很短的时间内可以扫描完Windows 机器上的所有64k UDP 端口。

3、实验内容

利用现有的网络扫描工具Nmap（http://www.insecure.org/nmap）实现以上介绍的几

种扫描方式。要求在上机的过程中具体分析扫描的整个过程，利用嗅包器（tcpdump 或 commview 等）记录并分析扫描时进出网卡数据包，尽可能详尽地分析、讨论实验结果。（1）PING 扫描

分别利用ICMP、TCP 协议对局域网内的机器进行PING 扫描，由于-sP 参数在默认

情况下并行的使用ICMP 回应请求和TCP 的ACK 扫描技术，因此需要组合-P0 参数。记录一次完整的扫描过程，并比较两种方式的不同点。（2）TCP connect 扫描

对网关或服务器使用-sT 参数进行端口扫描，记录并分析扫描结果。（3）秘密扫描

分别利用-sF，-sX 和-sN 选项实现秘密扫描过程，记录并分析扫描结果。（4）UDP 扫描

试着利用-sU 参数扫描网关或服务器的UDP 端口，记录并分析扫描结果。

4、习题

1. nmap 的-sI 参数还提供了idle 扫描（也即利用以其它的机器为跳板对目标主机进行端口扫描）的能力，利用此参数对网关或服务器进行端口扫描，记录并分析扫描结果。

实验4 电子欺骗技术

一、实验要求与目的

1．熟悉IP欺骗、ARP欺骗和DNS欺骗的概念； 2．实现一种电子欺骗。二、实验内容

1.请求方向服务方发送SYN，表示想发起一次TCP连接。我们假定这次的序列号是某个数值X

Trust ->Target SYN SEQ:X

2.服务方产生SYN，ACK响应，并向请求方发送ACK，

ACK的值为X+1，表示数据成功接收到，且告知下一次希望接收到字节的SEQ是X+1。同时，服务方向请求方发送自己的SEQ，我们假定他的序列号是某个数值Y。 Target -> Trust SYN，ACK SEQ:Y ACK:X+1

3.请求方向服务方发送ACK，表示接收到服务方的回应。这次他的SEQ值为X+1，同时他的ACK值为Y+1，原理同上。 Trust ->Target ACK SEQ:X+1 ACK:Y+1

完成这一步以后，请求方和服务方之间的连接开放，数据能进行传输了。

实验4 DoS 攻击

1 实验目的

学习DoS（Denial of Service）攻击的基本概念，了解拒绝服务攻击的分类及其原理。掌握预防和防御DoS 攻击的方法，并学会在简单的网络环境中提高系统抵抗DoS 攻击的能力。

必须再次重申的是：本实验课程中涉及到了一些黑客攻击与破坏的技术、方法以及工具，我们介绍这些内容，是为了让大家能够利用这些知识建立更安全的网络，而不是用来攻击他人。

2 实验原理

拒绝服务攻击使系统瘫痪，或明显的降低系统的性能，因为过量使用资源而致使其他合法用户无法访问。拒绝服务攻击可能是蓄意的，也可能是偶然的。当未被授权的用户过量使用资源时，攻击是蓄意的；当合法用户无意的操作而使得资源不可用时，则是偶然的。对这两种拒绝服务攻击都采取预防措施。

一般来说，DoS 攻击难以防范，但是严格限制未被授权用户对关键用户、资源和文件的访问，可以防止许多DoS 攻击。大部分操作系统、路由器和网络组件都必须在容易被DoS 攻击的地方安装补丁。拒绝服务攻击的次数每天都在增长，如果攻击者无法获得目标机的访问权，多数人会发起拒绝服务攻击。这意味着即使系统安装了补丁，而且安全措施很好，系统仍然可能受到攻击。

2.1 拒绝服务攻击的类型

有两种常见的拒绝服务攻击类型。第一种是使系统或网络瘫痪。攻击者发送一些非法的数据或分组，就可以使系统死机或重新启动。本质上攻击者进行了一次拒绝服务攻击，因为没有人能够访问资源。以攻击者的角度来看，攻击的引人之处在于可以只发送少量的分组就使一个系统瘫痪。多数情况下，系统恢复工作需要管理员的干预，重新启动或关闭系统。这种拒绝服务攻击是最具破坏力的，因为只需要做少量工作就可以破坏，而修复却需要人工干预。

第二种攻击是向系统或网络发送大量信息，使系统或网络无法响应正常的请求。进行这

种攻击必须连续的向目标发送大量分组（TCP、UDP、ICMP 等）。当攻击者停止发送分组的时候，攻击也随之停止，系统或网络就会恢复正常。有时这种攻击也会使系统瘫痪，但是恢复系统只需要少量的人工干预。

1若是您在阅读过程中发现任何疏漏或者错误，请尽快联系：hupeng@mail.ustc.edu.cn

2.2 分布式拒绝服务攻击

传统的拒绝服务攻击只是一台机器向目标发起攻击，但是在2000 年产生了一种新型的

攻击方式，这就是分布式拒绝服务攻击（DDoS）。攻击者可以在多台机器上或与他人合作，同时向一个目标或网络发起攻击。这使得防御变得困难，被攻击者在同一时间所收到的大量分组来自于多个不同的主机，而且，因为攻击来自范围广泛的IP 地址，来自每台主机的少量分组有可能被入侵检测系统（IDS）漏掉，所以检测、响应和取证就变得非常困难。第一次主要的DDoS 攻击发生在2000 年2 月，大量的公司被迫下线。在Internet 上可

以找到许多进行DDoS 攻击的工具。这里例举的是TFN2K。

TFN2K（Tribal Flood Network 2000）可以看作是Targa 的加强程序，两者的作者是同一个人。TFN2K 增加了5 种攻击，另外，它可以运行分布模式，即指挥多台机器同时发起攻击。TFN2K 分为两个部分：总管（Master）模块和代理（Agnet）模块。总管模块控制代理模块，通知代理模块何时以何种方式攻击。代理模块在傀儡机上运行，监听总管模块的命令。 TFN2K 采用了一些手段使得其很难被探测到。TFN2K 总管模块与代理模块之间的通讯可以使用ICMP Echo Reply 分组，实际要执行的指示以二进制形式包含在16 位ID 域中。因为没有端口号所以很难探测，即使使用端口扫描器也无法探测到主机是否正在被用作

TFN2K 的傀儡机。除了使用ICMP 通信之外，总管模块与代理模块之间的通讯还可以使用 TCP 和UDP 协议，这使得协议过滤不可能实现。

还需要介绍的是Trinoo 工具，它是发布最早的主流DDoS 工具，因此在功能上与TFN2K 相比不是那么强大。而且Trinoo 使用TCP 和UDP 在总管机和傀儡机之间通信，因此使用端口扫描器可以很容易的检测到。下面是Trinoo 使用的端口：攻击者到总管机：27665/TCP; 总管机到傀儡机：27444/UDP；傀儡机到总管机：31335/UDP。

其他的一些DDoS 工具，例如Stacheldraht(German for “barbed wire”)、Trinity、Shaft、 Mstream 等，这里不做详细介绍了，有兴趣的话可以参考相关介绍。图1 DDoS 攻击的网络模型

2.3 拒绝服务攻击难以防范的原因

拒绝服务攻击之所以难以防范，是因为永远不可能完全消除威胁。从网络的角度来看，只要系统连接到Internet，攻击者总是有机会发送大量用户根本处理不了的数据。虽然带宽和主机处理容量的增加可以减小威胁，但攻击者总是可以利用更多的资源来攻击网络。

2.4 拒绝服务攻击的实例

拒绝服务攻击的手段层出不穷，我们不可能给出一个完整的列表。下面我们来看几个拒绝服务攻击的例子。

2.4.1 Ping of Death

Ping of death 攻击是一种网络级的攻击，利用ICMP 协议对目标机进行碎片攻击，使目标机拒绝服务。攻击者发送一个长度超过65535 的ICMP Echo Request 数据包，目标主机在重组分片的时候会造成事先分配的65535 字节缓冲区溢出，导致TCP/IP 堆栈崩溃，系统通常会死机或重新启动。

使用系统已有的ping 命令，就可以发送ICMP Echo Request 数据包，通常可以定制发送数据包的大小。但是系统已有的ping 通常都对发送的数据包大小做了限制，超出长度限制的数据包会被拒绝发送。例如Linux 自带的ping 允许指定的最大长度为65507，这一数值是由最大允许数据包长度（65535 字节）减去IP 头标长度（20 字节）和ICMP 头标长度（8 字节）得出的。在Windows 下的ping 限制更为严格，最大长度为65500 字节。所以必须使用专门的工具来发包，但是考虑到目前新版本的操作系统都已经消除了这个缺陷，所以这类工具已经失去了利用价值。

防御：现在所有的标准TCP/IP 实现都能够应对超大尺寸的包，并且大多数防火墙能够

自动过滤这些攻击。从Windows98 之后的Windows NT(service pack 3 之后)，linux、Solaris、和Mac OS 都具有抵抗一般ping of death 攻击的能力。此外，对防火墙进行配置，阻断ICMP

共8页:

计算机网络安全与管理实验(4).doc 将本文的Word文档下载到电脑下载失败或者文档不完整，请联系客服人员解决！

下载这篇word文档