同塔安全与防

材企与盐S

下面让我们看一看利用上述这些信息，人侵者是如何障藏自己的端口扫描活动的。

(1)TCPconnect()的扫描。这是最基本的一种扫描方式。使用系统提供的connect()第

说明该端口不可访问。它的一个特点是，使用TCPconnect()不需要任何特权，任何Unix用r统调用并建立与想要的目标主机的端口的连接。如果端口正在监听，connec()就返回，否则、

接目标主机的端口，还可以同时使用多个ekt，来加快扫描的速度。使用个非阻塞的都可以使用这个系统调用另一个特点是速度快。除了串行地使用单个cm()调用来

调用将可以同时监视多个Ska另外，这种扫描方式容島被检测到，并且被过滤。。

主机的日志文件将会记录下这些達连接信息和错误信息，然后立即关闭连接，。目标

(2)TCPSYN扫描。这种扫描通常称为半开扫描，因为并不是一个全TCP连接。通过发

送一个SYN数据包，就好像准备打开一个真正的连接，然后等待响应。一个SYN/ACK表明该端口正在监听，一个RST响应表明该端口没有被监听。如果收到一个SYN/ACK，通过立

户权限才能建立这种可配置的SYN数据包。文的五記部，令命的五即发送一个RST来关闭连接。它的特点是极少有主机来记录这种连接请求，但必须有超级用

(3)TCPFIN扫描。在很多情况下，即使是SYN扫描也不能做到很隐秘。些防火墙和

包过滤程序监视SYN数据包访间个未被允许访问的端口，=些程序可以检测到这些扫描。

然而，FIN数据包却有可能通过这些扫描。回其基本思想是:关闭的端口将会用正确的RST来应答发送的FIN数据包，而相反，打开

的端口往往忽略这些请求。这是一个TCP实现上的错误，但不是所有的系统都存在着类似错

误，因此，并不是对所有的系统都有效。に自来部数、加高(4)Fragmentation扫描。这种扫描并不是仅仅发送检测的数据包，而是将要发送的数据

包分成一组更小的IP包。通过将TCP包头分成几段，放人不同的IP包中，将使得包过滤程

序难以过滤，因此，可以做到想要做的扫描活动。然而，一些程序很难处理这些过小的包。

(S5)UDPrecfrom()和write()扫描。一些人认为，UDP的扫描是无意义的。没有Root权

限的用户不能直接得到端口不可访问的错误，但是Linux可以间接地通知用户。例如，一个关

闭的端口的第二次write()调用通常会失败。如果在一个非阻塞的Udpsocket上调用rector

()通常会返回EAGAIN()(“Tryagain"，eror=13)，而ICMP则收到一个ECONNERFUSED

("Connectionrefused”，erno=111)的错误信息。等的五

(6)ICMP的扫描。这并不是一个真正的端口扫描，因为ICMP并没有端口的抽象。然

而，用PING这个命令，通常可以得到网上目标主机是否正在运行的信息。置来田T29

82.8口令破解图金的就当0常面，，别D的武个的

,Y2

.当前，无论是计算机用户，还是一个银行的户头，都是通过口令来进行身份认证的，口令是

维持安全的第一道防线。可是，使用口令面临着许多的安全问题现在有越来越多的人试图

在Internet上进行人侵和高科技的犯罪，他们最初的原因也许是因为系统没有口令，或者是使

用了一个容易猜测的口令。网站建设画9T的Uは民