端口扫描攻击_端口扫描反监听

hacker|
209

采用tcp syn扫描的 *** 进行端口扫描,存在哪些优点和缺点

呵呵,我来简单回答一下吧!

首先你搞错了一个问题,就是没有syn扫描这种东西,只有tcp扫描和udp扫描。而tcp扫描一般是使用tcp的syn数据包来进行的,也就是不严格地说,你说的这两个是同一个东西,呵呵!

所以我在这里详细地解释一下tcp扫描和udp扫描以及它们的区别,希望能对你有所帮助。

tcp端口扫描是通过syn数据包进行的,用于扫描目标机器的端口上是否存在程序监听,通常意义上,普通个人机器上的某个端口如果有程序监听的话,那么它一般是系统漏洞。由于tcp是一个有连接的可靠协议,所以要使用三次握手来建立连接,三次握手的报文分别是(syn)、(ack

syn)和(ack)。进行端口扫描时,首先向对方主机的某一端口发送(syn)报文,如果对方这一端口上有程序在监听(或者说存在漏洞),则回复(syn

ack)报文,否则回复(rst)报文。据此就可以判断对方端口上是否有程序在监听了,或者是否存在漏洞了。

udp端口扫描是通过普通数据包进行的,也是用于扫描对方端口上是否有程序在运行,就像上面所说的,如果普通个人机器上存在这样的端口,那一般也是系统漏洞。但对于udp来说,不存在监听这个概念,因为它是无连接不可靠的协议,发送数据包过去以后,通常也不会有任何的对等回应。因此,udp端口扫描主要是检测是否存在icmp端口不可达数据包。若该数据包出现,则说明对方这一端口上没有程序在监听,或者说该端口不存在漏洞,否则就说明该端口上有程序在监听,或者说存在漏洞。

呵呵,现在可以总结一下他们的区别了,主要是以下几点:

1.

tcp是有连接的协议,而udp是无连接的;

2.

tcp扫描检测(ack

syn)或者是(rst)报文,而udp检测icmp端口不可达报文;

3.

tcp协议是可靠但低效的,可以有效进行端口扫描,范围广,效率低,可以应用于任何 *** 中;udp协议时不可靠但高效的,范围小,效率高,一般应用于局域网内部,随着 *** 规模的增大,udp端口扫描的结果准确度会越来越差,极端情况是,如果对internet使用udp端口扫描,所得到的结果一定不准确。

呵呵,回答完毕,希望能对你有所帮助!

旗鱼云梯Linux端口扫描防护

端口扫描是指某些别有用心的人发送一组端口扫描消息,试图以此侵入某台计算机,并了解其提供的计算机 *** 服务类型(这些 *** 服务均与端口号相关)。端口扫描是计算机攻击的之一步,攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上,端口扫描包括向每个端口发送消息,一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。

在Linux上每个通过 *** 访问的程序都要监听一个端口,并通过此端口去访问。比如常用的端口: 22,80,443,3306,6379分别对应的是ssh服务,http服务,https服务,mysql服务,redis服务的默认端口。比如我们访问旗鱼云梯的网站 其实访问的是 或者 443. 比如MySQL开放远程权限允许远程访问的话,那么我们将通过ip:3306去访问mysql服务,redis同样如此 通过ip:6379访问redis服务。如果密码设置简单的话几下就被爆破了,mysql密码设置为123456,一下就爆破了。。。

对于常用服务除了80,443以外非常建议修改默认端口号,

说这么多,那跟端口扫描有什么关系呢?

当我们把SSH默认端口22修改为其他端口比如23456端口, 那么黑客想要继续对我服务器进行SSH爆破那怎么办呢?

演示的我就直接指定端口扫描了,不然扫描全端口扫描太慢了。黑客一般用的都是端口扫描工具进行全端口扫描。

旗鱼云梯根据客户反馈和需求,推出端口防扫描安全防护,自动检测非法端口扫描IP,超过阈值自动封禁,从源头加固主机安全。保护服务器不受端口扫描的危害,坚守之一道防线。

如何在 OS X 的 *** 工具中使用端口扫描器

1.使用安全工具有许多工具可以让我们发现系统中的漏洞,如SATAN等。SATAN是一个分析 *** 的管理、测试和报告许多信息,识别一些与 *** 相关的安全问题。当然还有很多像这样的安全工具。包括对TCP端口的扫描或者对多台主机的所有TCP端口实现监听;分析 *** 协议、监视控制多个网段等,正确使用这些安全工具,及时发现系统漏洞,才能防患于未然。而对于WindowsNT系统平台,可定期检查EventLog中的SECLog记录,查看是否有可疑的情况,防止 *** 监听与端口扫描。2.安装防火墙防火墙型安全保障技术是基于被保护 *** 具有明确定义的边界和服务、并且 *** 安全的威胁仅来自外部的 *** 。通过监测、限制以及更改跨越“防火墙”的数据流,尽可能的对外部 *** 屏蔽有关被保护 *** 的信息、结构,实现对 *** 的安全保护,因此比较适合于相对独立,与外部 *** 互连途径有限并且 *** 服务种类相对单一、集中的 *** 系统,如Internet。“防火墙”型系统在技术原理上对来自内部 *** 系统的安全威胁不具备防范作用,对 *** 安全功能的加强往往以 *** 服务的灵活行、多样性和开放性为代价,且需要较大的 *** 管理开销。防火墙型 *** 安全保障系统实施相当简单,是目前应用较广的 *** 安全技术,但是其基本特征及运行代价限制了其开放型的大规模 *** 系统中应用的潜力。由于防火墙型 *** 安全保障系统只在 *** 边界上具有安全保障功能,实际效力范围相当有限,因此“防火墙”型安全技术往往是针对特定需要而专门设计实施的系统。对于个人用户,安装一套好的个人防火墙是非常实际而且有效的 *** 。现在许多公司都开发了个人防火墙,这些防火墙往往具有智能防御核心,攻击,并进行自动防御,保护内部 *** 的安全。比如蓝盾防火墙系统在内核设计中引入自动反扫描机制,当黑客用扫描器扫描防火墙或防火墙保护的服务器时,将扫描不到任何端口,使黑客无从下手;同进还具有实时告警功能,系统对受到的攻击设有完备的纪录功能,纪录方式有简短纪录、详细记录、发出警告、纪录统计(包括流量、连接时间、次数等)等记录,当系统发生警告时,还可以把警告信息传到呼机和手机上来,让系统管理员及得到通知。3.对络上传输的信息进行加密,可以有效的防止 *** 监听等攻击目前有许多软件包可用于加密连接,使入侵者即使捕获到数据,但无法将数据解密而失去窃听的意义。最后给系统及 *** 管理员的一些建议:(1)及时安装各种防火墙;

怎样防止 *** 监听与端口扫描

*** 监听是一种监视 *** 状态、数据流

程以及 *** 上信息传输的管理工具,它可以将 *** 界面设定成监听模式,并且可以截获 *** 上所传输的信息。也就是说,当黑客登录 *** 主机并取得超级用户权限

后,若要登录其它主机,使用 *** 监听便可以有效地截获 *** 上的数据,这是黑客使用更好的 *** 。但是 *** 监听只能应用于连接同一网段的主机,通常被用来获取

用户密码等。

步骤/ *** 使用安全工具

有许多工具可以让我们发现系统中的漏洞,如SATAN等。SATAN是一个分析 *** 的管理、测试和报告许多信息,识别一些与 *** 相关的安全问题。 对所发现的问题,SATAN提供对这个问题的解释以及可能对系统和 *** 安全造成影响的程度,并且通过工具所附的资料,还能解释如何处理这些问题。 当然还有很多像这样的安全工具。包括对TCP端口的扫描或者对多台主机的所有TCP端口实现监听;分析 *** 协议、监视控制多个网段等,正确使用这些安全工具,及时发现系统漏洞,才能防患于未然。 而对于WindowsNT系统平台,可定期检查EventLog中的SECLog记录,查看是否有可疑的情况,防止 *** 监听与端口扫描。 安装防火墙

防火墙型安全保障技术是基于被保护 *** 具有明确定义的边界和服务、并且 *** 安全

的威胁仅来自外部的 *** 。通过监测、限制以及更改跨越“防火墙”的数据流,尽可能的对外部 *** 屏蔽有关被保护 *** 的信息、结构,实现对 *** 的安全保护,因

此比较适合于相对独立,与外部 *** 互连途径有限并且 *** 服务种类相对单一、集中的 *** 系统,如Internet。“防火墙”型系统在技术原理上对来自内部

*** 系统的安全威胁不具备防范作用,对 *** 安全功能的加强往往以 *** 服务的灵活行、多样性和开放性为代价,且需要较大的 *** 管理开销。

防火墙型 *** 安全保障系统实施相当简单,是目前应用较广的 *** 安全技术,但是其基本特征及运行代价限制了其开放型的大规模 *** 系统中应用的潜力。由于防

火墙型 *** 安全保障系统只在 *** 边界上具有安全保障功能,实际效力范围相当有限,因此“防火墙”型安全技术往往是针对特定需要而专门设计实施的系统。 对于个人用户,安装一套好的个人防火墙是非常实际而且有效的 *** 。现在许多公司都开发了个人防火墙,这些防火墙往往具有智能防御核心,攻击,并进行自动防御,保护内部 *** 的安全。

比如蓝盾防火墙系统在内核设计中引入自动反扫描机制,当黑客用扫描器扫描防火墙或防火墙保护的服务器时,将扫描不到任何端口,使黑客无从下手;同进还具

有实时告警功能,系统对受到的攻击设有完备的纪录功能,纪录方式有简短纪录、详细记录、发出警告、纪录统计(包括流量、连接时间、次数等)等记录,当系统

发生警告时,还可以把警告信息传到呼机和手机上来,让系统管理员及得到通知。对络上传输的信息进行加密,可以有效的防止 *** 监听等攻击

目前有许多软件包可用于加密连接,使入侵者即使捕获到数据,但无法将数据解密而失去窃听的意义。

注意事项最后给系统及 *** 管理员的一些建议:

(1)及时安装各种防火墙;

*** 下载时,那个"监听"端口是什么意思啊?为什么叫“监听“端口呢?与普通的端口是不是还有区别呢?

很多人都已经知道了可以借助NETSTAT -AN来查看当前的连接与开放的端口,但NETSTAT并不万能,比如你的Win95遭到OOB攻击的时候,不等NETSTAT你就已经死机了。为此,出现了一种特殊的小工具——端口监听程序。端口监听并不是一项复杂的技术,但却能解决一些局部问题,当OOB攻击风行的时候,有些程序员期望借助端口监听的简单方式堵住这一漏洞,于是就有了象ICMPWATCH、ANTINUKE、NUKENABER等工具,而后来BO、NETBUS等流行起来,也有人试图通过NUKENABER来监听12345、31337这样的端口,来发现木马并防止黑客的攻击,后来出现的一些专门针对BO设计的程序,如BS120的前期版本也主要是依靠端口监听的 *** ,当然随着木马的日趋泛滥和木马Server端端口的可定义性,这种 *** 还是被放弃了。

不过值得一提的是ANTINUKE,这虽然是一个只有几十K的小程序,但他带有一个反击的功能,就是说,会用OOB攻击的方式反击发包向你139端口的人,而且它会使HACKTEK这样的扫描器在扫描到139时发生溢出而终止,大家不妨实验一下。

NUKENABER的优点在于他可以监听多个端口,Port magic也有这样的功能。

另外需要说明的是,端口监听还用于实现对共享目录访问的监测和控制,我们都知道远程访问一台机器的共享目录实际是访问139端口,那么只要对本机139的监听就可以察觉对远程的访问请求,这样的软件有很多,如ProtectX、NetAlert等等,他们的功能比较近似,都可以记录或显示试图连接你机器的IP地址并发出警告,可以让你选择拒绝还是允许。

有些端口监听工具,不仅可以被动监听,也提供了一些有意思的功能,比如fakeserv让你的机器开放多个端口,使扫描者误认为你开放了Wingate、TELNET等多种服务,忙了一塌糊涂,结果才发现是个骗局。不仅浪费时间,而且还被你记录了IP。还有的让你的机器开放12345、31337等端口,待到有人用木马的客户端连接上来时,就发给他警告信息或利用木马本身的漏洞让他死机。

端口扫描器的缺陷就是只能监视固定的端口,面对越发恶劣的安全环境,仅仅凭借简单的端口监控程序是不够的。

0条大神的评论

发表评论