论文部分内容阅读
[摘要]本文主要介绍了计算机中端口的基本概念、端口的侦听原理及端口的扫描原理。为了保证计算机的安全,防止黑客攻击,我们要查找到计算机中的那些端口被打开,然后如何屏蔽这些危险的端口及阻止端口扫描的方法。
[关键词]端口 端口扫描 端口屏蔽
中图分类号:TP393.08 文献标识码:A 文章编号:1009-914X(2013)07-0270-01
网络安全技术指致力于解决如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术、网络结构安全分析技术、管理安全分析技术及其它的安全服务和机制策略。很多人在网络环境下使用计算机的过程中,都遭受过黑客的攻击,黑客到底是怎么侵人我们计算机的呢?我们怎样来保护我们计算机的安全,本文谈一点粗浅的看法。
一、计算机端口简介
随着计算机网络技术的发展,原来物理上的接口(如键盘、鼠标、网卡、显卡等输入、输出接口)已不能满足网络通信的要求,TCP/IP协议作为主流网络操作系统的核心协议很好地解决了这个通信难题。因为在TCP/IP协议中引入了一种称之为“Socket(套接字)”应用程序接口。有了这样一种接口技术,一台计算机就可以通过软件的方式与任何一台具有Socket接口的计算机进行通信。
正是有了这些端口,我们才可以把一台计算机既作Web服务器又作FIP服务器,因为各种服务采用不同的端口分别提供不同的服务,通常TCP/IP协议规定Web采用80号端口,FTP采用21号端口等。这样,通过不同端口,计算机就可以与外界进行互不干扰的通信。计算机的端口在计算机内部是由16位二进制数来表示的,因此计算机的端口最大可以有65535个,但是实际上常用的端口才几十个,由此可以看出未定义的端口相当多。这是很多黑客程序都可以采用某种方法,定义出一个特殊的端口来达到入侵的目的1。为了定义出这个端口,就要依靠某种程序在计算机启动之前自动加载到内存,强行控制计算机打开特殊的端口。这个程序就是“后门”程序,这些后门程序就是常说的木马程序。
二、计算机的端口分类
?端口的分类根据其参考对象不同有不同划分方法,如果从端口的性质来分,通常可以分为以下三类:
(1)公认端口:这类端口也常称之为“常用端口”。这类端口的端口号从0到1024,它们紧密绑定于一些特定的服务。通常这些端口的通信明确表明了某种服务的协议,这种端口是不可再重新定义它的作用对象。
(2)注册端口:端口号从1025到49151。它们松散地绑定于一些服务。也是说有许多服务绑定于这些端口,这些端口同样用于许多其他目的。这些端口多数没有明确的定义服务对象,不同程序可根据实际需要自己定义。
(3)动态和/或私有端口:端口号从49152到65535。理论上,不应把常用服务分配在这些端口上。实际上,有些较为特殊的程序,特别是一些木马程序就非常喜欢用这些端口,因为这些端口常常不被引起注意,容易隐蔽。
如果根据所提供的服务方式的不同,端口又可分为面向连接的“TCP协议端口”和面向无连结的“UDP协议端口”两种。
三、端口侦听原理
以太网协议的工作方式是将要发送的数据包发往连接在一起的所有计算机。只有与数据包中目标地址一致的那台计算机才能接收到信息包。但是当计算机工作在侦听模式下,不管数据包中的目标物理地址是什么,计算机都将可以接收到。当同一网络中的两台计算机通信的时候,源计算机将写有目的计算机地址的数据包直接发向目的计算机,或者当网络中的一台计算机同外界的计算机通信时,源计算机将写有目的计算机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去,要发送的数据包必须从TCP/IP协议的IP协议层交给网络接口即数据链路层。网络接口不会识别IP地址的,在网络接口中,由IP协议层的带有IP地址的数据包又增加了一部分以太网的帧头信息。在帧头中,有两个域分别为只有网络接口才能识别的源计算机和目的计算机的物理地址,这是一个48位的地址,这个48位的地址是与IP地址相对应的。换句话说,一个IP地址也会对应一个物理地址。对于作为网关的计算机,由于它连接了多个网络,它也就同时具备有很多个IP地址,在每个网络中它都有一个。而发向网络外的帧中继携带的是网关的物理地址。
当连接在同一条电缆或集线器上的计算机被逻辑地分为几个子网的时候,那么要是有一台计算机处于侦听模式,它可以接收到发向与自己不在同一个子网的计算机的数据包,在同一个物理信道上传输的所有信息都可以被接收到。
四、端口扫描原理
“端口扫描”通常指用同一信息对目标计算机的所有所需扫描的端口进行发送,然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。“端口扫描”行为的一个重要特征是:在短时期内有很多来自相同的信源地址传向不同的目的地端口的包2。
对于用端口扫描进行攻击的人来说,攻击者总是可以做到在获得扫描结果的同时,使自己很难被发现或者说很难被逆向跟踪。为了隐藏攻击,攻击者可以慢慢地进行扫描。除非目标系统通常闲着,有很大时间间隔的端口扫描是很难被识别的。通常进行端口扫描的工具目前主要采用的是端口扫描软件,也通称之为“端口扫描器”。
端口扫描器通过选用远程TCP/IP协议不同的端口的服务,记录目标计算机端口给予的回答的方法,可以搜集到很多关于目标计算机的各种有用信息。端口扫描器并不是一个直接攻击网络漏洞的程序,它仅仅能帮助发现目标机的某些内在的弱点。
五、端口的屏蔽和端口扫描的阻止
黑客的探測方式里除了侦察IP外,通常还采用端口扫描通过“端口扫描”可以知道被扫描的计算机哪些服务、端口是打开而没有被使用的。
1.端口的屏蔽
在Windows NT核心系统中要关闭掉一些闲置端口是比较方便的,可以采用“定向关闭指定服务的端口”和“只开放允许端口的方式”。计算机的一些网络服务会有系统分配默认的端口,将一些闲置的服务关闭掉,其对应的端口也会被关闭了。进入“控制面板”、“管理工具”、“服务”项内,关闭掉计算机的一些没有使用的服务,它们对应的端口也被停用了。至于“只开放允许端口的方式”,可以利用系统的“TCP/IP筛选”功能实现,设置的时候,“只允许”系统的一些基本网络通讯需要的端口即可。
2.阻止端口扫描
这种预防端口扫描的方式显然用户自己手工是不可能完成的,或者说完成起来相当困难,需要借助网络防火墙。
?防火墙的工作原理是:首先检查每个到达你的电脑的数据包,在这个包被你机上运行的任何软件看到之前,防火墙有完全的否决权,可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后,一个“TCP/IP端口”被打开;端口扫描时,对方计算机不断和本地计算机建立连接,并逐渐打开各个服务所对应的“TCP/IP端口”,及闲置端口,防火墙经过自带的拦截规则判断,就能够知道对方是否正进行端口扫描,并拦截掉对方发送过来的所有扫描需要的数据包。现在市面上几乎所有网络防火墙都能够抵御端口扫描,。因此安装硬件或软件防火墙是阻止端口扫描的有效手段。
参考文献
[1] Mike Shema著宋晨译.阻击黑客[M].电子工业出版社,2003.(5)9.18.
[2] (美)Charles P.Pfleeger,Shaft Lawrence Pfleeger著.计算机安全【M】(第3版).杌械工业出版社,2008.(9)10.28.
作者简介
李利清,性别男。黑龙江省大庆人,出生于1984年7月,现工作于大庆油田第五采油厂规划设计研究所。
[关键词]端口 端口扫描 端口屏蔽
中图分类号:TP393.08 文献标识码:A 文章编号:1009-914X(2013)07-0270-01
网络安全技术指致力于解决如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术、网络结构安全分析技术、管理安全分析技术及其它的安全服务和机制策略。很多人在网络环境下使用计算机的过程中,都遭受过黑客的攻击,黑客到底是怎么侵人我们计算机的呢?我们怎样来保护我们计算机的安全,本文谈一点粗浅的看法。
一、计算机端口简介
随着计算机网络技术的发展,原来物理上的接口(如键盘、鼠标、网卡、显卡等输入、输出接口)已不能满足网络通信的要求,TCP/IP协议作为主流网络操作系统的核心协议很好地解决了这个通信难题。因为在TCP/IP协议中引入了一种称之为“Socket(套接字)”应用程序接口。有了这样一种接口技术,一台计算机就可以通过软件的方式与任何一台具有Socket接口的计算机进行通信。
正是有了这些端口,我们才可以把一台计算机既作Web服务器又作FIP服务器,因为各种服务采用不同的端口分别提供不同的服务,通常TCP/IP协议规定Web采用80号端口,FTP采用21号端口等。这样,通过不同端口,计算机就可以与外界进行互不干扰的通信。计算机的端口在计算机内部是由16位二进制数来表示的,因此计算机的端口最大可以有65535个,但是实际上常用的端口才几十个,由此可以看出未定义的端口相当多。这是很多黑客程序都可以采用某种方法,定义出一个特殊的端口来达到入侵的目的1。为了定义出这个端口,就要依靠某种程序在计算机启动之前自动加载到内存,强行控制计算机打开特殊的端口。这个程序就是“后门”程序,这些后门程序就是常说的木马程序。
二、计算机的端口分类
?端口的分类根据其参考对象不同有不同划分方法,如果从端口的性质来分,通常可以分为以下三类:
(1)公认端口:这类端口也常称之为“常用端口”。这类端口的端口号从0到1024,它们紧密绑定于一些特定的服务。通常这些端口的通信明确表明了某种服务的协议,这种端口是不可再重新定义它的作用对象。
(2)注册端口:端口号从1025到49151。它们松散地绑定于一些服务。也是说有许多服务绑定于这些端口,这些端口同样用于许多其他目的。这些端口多数没有明确的定义服务对象,不同程序可根据实际需要自己定义。
(3)动态和/或私有端口:端口号从49152到65535。理论上,不应把常用服务分配在这些端口上。实际上,有些较为特殊的程序,特别是一些木马程序就非常喜欢用这些端口,因为这些端口常常不被引起注意,容易隐蔽。
如果根据所提供的服务方式的不同,端口又可分为面向连接的“TCP协议端口”和面向无连结的“UDP协议端口”两种。
三、端口侦听原理
以太网协议的工作方式是将要发送的数据包发往连接在一起的所有计算机。只有与数据包中目标地址一致的那台计算机才能接收到信息包。但是当计算机工作在侦听模式下,不管数据包中的目标物理地址是什么,计算机都将可以接收到。当同一网络中的两台计算机通信的时候,源计算机将写有目的计算机地址的数据包直接发向目的计算机,或者当网络中的一台计算机同外界的计算机通信时,源计算机将写有目的计算机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去,要发送的数据包必须从TCP/IP协议的IP协议层交给网络接口即数据链路层。网络接口不会识别IP地址的,在网络接口中,由IP协议层的带有IP地址的数据包又增加了一部分以太网的帧头信息。在帧头中,有两个域分别为只有网络接口才能识别的源计算机和目的计算机的物理地址,这是一个48位的地址,这个48位的地址是与IP地址相对应的。换句话说,一个IP地址也会对应一个物理地址。对于作为网关的计算机,由于它连接了多个网络,它也就同时具备有很多个IP地址,在每个网络中它都有一个。而发向网络外的帧中继携带的是网关的物理地址。
当连接在同一条电缆或集线器上的计算机被逻辑地分为几个子网的时候,那么要是有一台计算机处于侦听模式,它可以接收到发向与自己不在同一个子网的计算机的数据包,在同一个物理信道上传输的所有信息都可以被接收到。
四、端口扫描原理
“端口扫描”通常指用同一信息对目标计算机的所有所需扫描的端口进行发送,然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。“端口扫描”行为的一个重要特征是:在短时期内有很多来自相同的信源地址传向不同的目的地端口的包2。
对于用端口扫描进行攻击的人来说,攻击者总是可以做到在获得扫描结果的同时,使自己很难被发现或者说很难被逆向跟踪。为了隐藏攻击,攻击者可以慢慢地进行扫描。除非目标系统通常闲着,有很大时间间隔的端口扫描是很难被识别的。通常进行端口扫描的工具目前主要采用的是端口扫描软件,也通称之为“端口扫描器”。
端口扫描器通过选用远程TCP/IP协议不同的端口的服务,记录目标计算机端口给予的回答的方法,可以搜集到很多关于目标计算机的各种有用信息。端口扫描器并不是一个直接攻击网络漏洞的程序,它仅仅能帮助发现目标机的某些内在的弱点。
五、端口的屏蔽和端口扫描的阻止
黑客的探測方式里除了侦察IP外,通常还采用端口扫描通过“端口扫描”可以知道被扫描的计算机哪些服务、端口是打开而没有被使用的。
1.端口的屏蔽
在Windows NT核心系统中要关闭掉一些闲置端口是比较方便的,可以采用“定向关闭指定服务的端口”和“只开放允许端口的方式”。计算机的一些网络服务会有系统分配默认的端口,将一些闲置的服务关闭掉,其对应的端口也会被关闭了。进入“控制面板”、“管理工具”、“服务”项内,关闭掉计算机的一些没有使用的服务,它们对应的端口也被停用了。至于“只开放允许端口的方式”,可以利用系统的“TCP/IP筛选”功能实现,设置的时候,“只允许”系统的一些基本网络通讯需要的端口即可。
2.阻止端口扫描
这种预防端口扫描的方式显然用户自己手工是不可能完成的,或者说完成起来相当困难,需要借助网络防火墙。
?防火墙的工作原理是:首先检查每个到达你的电脑的数据包,在这个包被你机上运行的任何软件看到之前,防火墙有完全的否决权,可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后,一个“TCP/IP端口”被打开;端口扫描时,对方计算机不断和本地计算机建立连接,并逐渐打开各个服务所对应的“TCP/IP端口”,及闲置端口,防火墙经过自带的拦截规则判断,就能够知道对方是否正进行端口扫描,并拦截掉对方发送过来的所有扫描需要的数据包。现在市面上几乎所有网络防火墙都能够抵御端口扫描,。因此安装硬件或软件防火墙是阻止端口扫描的有效手段。
参考文献
[1] Mike Shema著宋晨译.阻击黑客[M].电子工业出版社,2003.(5)9.18.
[2] (美)Charles P.Pfleeger,Shaft Lawrence Pfleeger著.计算机安全【M】(第3版).杌械工业出版社,2008.(9)10.28.
作者简介
李利清,性别男。黑龙江省大庆人,出生于1984年7月,现工作于大庆油田第五采油厂规划设计研究所。