网络攻击与防范 nmap

网络攻击与防范

实验说明：端口扫描、DoS 等攻击方式是威胁网络安全的常用手段，防火墙则是应对此类攻击一种有效的设施。nmap 是一种网络探测和安全扫描程序，它能够获取主机提供的服务等信息。

实验目的：本实验通过使用 nmap 扫描远程主机搜集主机信息，使用 wireshark 捕获扫描的数据包，掌握网络攻击的基本技术和原理，以此探讨应对此类网络攻击的防御方法

实验内容：两两一组，相互协作完成本实验。

参与作者：lanpesk、对酒当歌

环境准备

安装 nmap，进入安装目录，在地址栏中输入“cmd”打开命令行窗口。

安装 wireshark，在对方进行扫描时打开 wireshark 捕获数据包，分析扫描数据包特点和类型。

我方ip

Nmap 扫描

（a）对活动主机进行端口扫描。

TCP

主机 A 使用 Nmap 工具对主机 B 进行 TCP 端口同步扫描（范围 1-2048）：

Nmap 命令： nmap -sS -p 1-2048 192.168.43.61；

nmap -sS -p 1-2048 192.168.43.61

主机 B 开放的 TCP 端口： 135、139、445、903、913、1066、1213 ；

UDP

对主机 B 进行 UDP 端口扫描（范围是 110-140）： adsafdght

Nmap 命令： nmap -sU -p 110-140 192.168.43.61 。

nmap -sU -p 110-140 192.168.43.61

主机 B 开放的 UDP 端口： 111、120、126、137、138 。

（b）分析扫描数据包的特点。

分别截图 TCP 和 UDP 端口扫描时 wireshark 捕获的数据包。结合捕获的数据包，简述 TCP 扫描的基本原理：

TCP扫描截图：

UDP扫描截图：

显然，TCP 扫描的基本原理是通过向每个端口都发送数据，逐一请求，看到哪一个回应，TCP需要三次握手建立连接，途中扫描到的正是握手中的过程。如下第一个SYN是请求，随后服务器发送【SYN，ACK】确认报文段，最后主动断开连接。

主机A发送SYN到主机B目标端口，如果收到SYN/ACK回复，那么判断端口是开放的；如果收到RST包，说明该端口是关闭的。如果没有收到回复，那么判断该端口被屏蔽（Filtered）。

5、思考与总结

（1）端口扫描和泛洪攻击有什么异同之处？

• 扫描攻击是指，攻击者运用扫描工具对网络进行主机地址或端口的扫描，通过准确定位潜在目标的位置，探测目标系统的网络拓扑结构和开放的服务端口，为进一步侵入目标系统做准备。

• 泛洪攻击是指攻击者在短时间内向目标系统发送大量的虚假请求，导致目标系统疲于应付无用信息，从而无法为合法用户提供正常服务，即发生拒绝服务。

• 端口扫描和泛洪攻击都会向端口发送请求，但端口扫描是对每一个端口发送少量数据，泛洪攻击则是向指定几个端口发送大量数据。

（2）使用 PING 命令探测主机时，有时得到的结果是远程主机不可达，是否说明一定无法连接到该主机，为什么？

• 目的主机没有路由或者找不到目的主机。
• 源主机已经能够到达目的主机的网络，但目的主机的无法到达（可能是因为目的主机没有关闭防火墙）。