免费智能真题库 > 历年试卷 > 信息安全工程师 > 2022年下半年 信息安全工程师 上午试卷 综合知识
  第9题      
  知识点:   ACK扫描   FIN扫描   NULL扫描   SYN扫描   半连接扫描   端口扫描   完全连接扫描   隐蔽扫描   端口   全连接扫描
  关键词:   AC   半连接   端口   握手   半连        章/节:   网络攻击常见技术方法       

 
端口扫描的目的是找出目标系统上提供的服务列表。根据扫描利用的技术不同,端口扫描可以分为全连接扫描半连接扫描SYN扫描FIN扫描隐蔽扫描ACK扫描NULL扫描等类型。其中,在源主机和目的主机的三次握手连接过程中,只完成前两次,不建立一次完整连接的扫描属于(  )
 
 
  A.  FIN扫描 
 
  B.  半连接扫描 
 
  C.  SYN扫描    
 
  D.  完全连接扫描
 
 
 

 
  第47题    2019年上半年  
   56%
互联网上通信双方不仅需要知道对方的地址,也需要知道通信程序的端口号。以下关于端口的描述中,不正确的是( )。
  第11题    2021年下半年  
   47%
SYN扫描首先向目标主机发送连接请求,当目标主机返回响应后,立即切断连接过程,并查看响应情况。如果目标主机返回(),表示目标主..
  第59题    2021年下半年  
   17%
端口扫描的目的是找出目标系统上提供的服务列表。以下端口扫描技术中,需要第三方机器配合的是()。
 
  第59题    2021年下半年  
   17%
端口扫描的目的是找出目标系统上提供的服务列表。以下端口扫描技术中,需要第三方机器配合的是()。
  第22题    2017年上半年  
   57%
攻击者通过对目标主机进行端口扫描,可以直接获得()。
  第11题    2021年下半年  
   47%
SYN扫描首先向目标主机发送连接请求,当目标主机返回响应后,立即切断连接过程,并查看响应情况。如果目标主机返回(),表示目标主..
   知识点讲解    
   · ACK扫描    · FIN扫描    · NULL扫描    · SYN扫描    · 半连接扫描    · 端口扫描    · 完全连接扫描    · 隐蔽扫描    · 端口    · 全连接扫描
 
       ACK扫描
        首先由主机A向目标主机B发送FIN数据包,然后查看反馈数据包的TTL值和WIN值。开放端口所返回的数据包的TTL值一般小于64,而关闭端口的返回值一般大于64。开放端口所返回的数据包的WIN值一般大于0,而关闭端口的返回值一般等于0。
 
       FIN扫描
        源主机A向目标主机B发送FIN数据包,然后查看反馈信息。如果端口返回RESET信息,则说明该端口关闭。如果端口没有返回任何信息,则说明该端口开放。
 
       NULL扫描
        将源主机发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部置空。如果目标主机没有返回任何信息,则表明该端口是开放的。如果返回RST信息,则表明该端口是关闭的。
 
       SYN扫描
        首先向目标主机发送连接请求,当目标主机返回响应后,立即切断连接过程,并查看响应情况。如果目标主机返回ACK信息,表示目标主机的该端口开放。如果目标主机返回RESET信息,表示该端口没有开放。
 
       半连接扫描
        半连接扫描是指在源主机和目的主机的三次握手连接过程中,只完成前两次握手,不建立一次完整的连接。
 
       端口扫描
        端口扫描的目的是找出目标系统上提供的服务列表。端口扫描程序挨个尝试与TCP/UDP端口连接,然后根据端口与服务的对应关系,结合服务器端的反应推断目标系统上是否运行了某项服务,攻击者通过这些服务可能获得关于目标系统的进一步的知识或通往目标系统的途径。根据端口扫描利用的技术,扫描可以分成多种类型,下面分别叙述。
               完全连接扫描
               完全连接扫描利用TCP/IP协议的三次握手连接机制,使源主机和目的主机的某个端口建立一次完整的连接。如果建立成功,则表明该端口开放。否则,表明该端口关闭。
               半连接扫描
               半连接扫描是指在源主机和目的主机的三次握手连接过程中,只完成前两次握手,不建立一次完整的连接。
               SYN扫描
               首先向目标主机发送连接请求,当目标主机返回响应后,立即切断连接过程,并查看响应情况。如果目标主机返回ACK信息,表示目标主机的该端口开放。如果目标主机返回RESET信息,表示该端口没有开放。
               ID头信息扫描
               这种扫描方法需要用一台第三方机器配合扫描,并且这台机器的网络通信量要非常少,即dumb主机。
               首先由源主机A向dumb主机B发出连续的PING数据包,并且查看主机B返回的数据包的ID头信息。一般而言,每个顺序数据包的ID头的值会增加1。然后由源主机A假冒主机B的地址向目的主机C的任意端口(1~65535)发送SYN数据包。这时,主机C向主机B发送的数据包有两种可能的结果:
               . SYN|ACK表示该端口处于监听状态。
               . RST|ACK表示该端口处于非监听状态。
               那么,由后续PING数据包的响应信息的ID头信息可以看出,如果主机C的某个端口是开放的,则主机B返回A的数据包中,ID头的值不是递增1,而是大于1。如果主机C的某个端口是非开放的,则主机B返回A的数据包中,ID头的值递增1,非常规律。
               隐蔽扫描
               隐蔽扫描是指能够成功地绕过IDS、防火墙和监视系统等安全机制,取得目标主机端口信息的一种扫描方式。
               SYN|ACK扫描
               由源主机向目标主机的某个端口直接发送SYN|ACK数据包,而不是先发送SYN数据包。由于这种方法不发送SYN数据包,目标主机会认为这是一次错误的连接,从而会报错。
               如果目标主机的该端口没有开放,则会返回RST信息。如果目标主机的该端口处于开放状态(LISTENING),则不会返回任何信息,而是直接将这个数据包抛弃掉。
               FIN扫描
               源主机A向目标主机B发送FIN数据包,然后查看反馈信息。如果端口返回RESET信息,则说明该端口关闭。如果端口没有返回任何信息,则说明该端口开放。
               ACK扫描
               首先由主机A向目标主机B发送FIN数据包,然后查看反馈数据包的TTL值和WIN值。开放端口所返回的数据包的TTL值一般小于64,而关闭端口的返回值一般大于64。开放端口所返回的数据包的WIN值一般大于0,而关闭端口的返回值一般等于0。
               NULL扫描
               将源主机发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部置空。如果目标主机没有返回任何信息,则表明该端口是开放的。如果返回RST信息,则表明该端口是关闭的。
               XMAS扫描
               XMAS扫描的原理和NULL扫描相同,只是将要发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等头标志位全部置成1。如果目标主机没有返回任何信息,则表明该端口是开放的。如果返回RST信息,则表明该端口是关闭的。
               网络端口扫描是攻击者必备的技术,通过扫描可以掌握攻击目标的开放服务,根据扫描所获得的信息,为下一步的攻击做准备。
 
       完全连接扫描
        完全连接扫描利用TCP/IP协议的三次握手连接机制,使源主机和目的主机的某个端口建立一次完整的连接。如果建立成功,则表明该端口开放。否则,表明该端口关闭。
 
       隐蔽扫描
        隐蔽扫描是指能够成功地绕过IDS、防火墙和监视系统等安全机制,取得目标主机端口信息的一种扫描方式。
 
       端口
        在TCP/IP网络中,传输层的所有服务都包含端口号,它们可以唯一区分每个数据包包含哪些应用协议。端口系统利用这种信息来区分包中的数据,尤其是端口号使一个接收端计算机系统能够确定它所收到的IP包类型,并把它交给合适的高层软件。
        端口号和设备IP地址的组合通常称作插口(socket)。任何TCP/IP实现所提供的服务都用知名的1~1023之间的端口号。这些知名端口号由Internet号分配机构(Internet Assigned Numbers Authority, IANA)来管理。例如,SMTP所用的TCP端口号是25,POP3所用的TCP端口号是110,DNS所用的UDP端口号为53,WWW服务使用的TCP端口号为80。FTP在客户与服务器的内部建立两条TCP连接,一条是控制连接,端口号为21;另一条是数据连接,端口号为20。
        256~1023之间的端口号通常由UNIX系统占用,以提供一些特定的UNIX服务。也就是说,提供一些只有UNIX系统才有的而其他操作系统可能不提供的服务。
        在实际应用中,用户可以改变服务器上各种服务的保留端口号,但要注意,在需要服务的客户端也要改为同一端口号。
 
       全连接扫描
        全连接扫描是TCP端口扫描的基础,现有的全连接扫描有TCP connect扫描和TCP反向ident扫描等。其中TCP connect扫描的实现原理如下所述:
        扫描主机通过TCP/IP协议的三次握手与目标主机的指定端口建立一次完整的连接。连接由系统调用connect开始。如果端口开放,则连接将建立成功;否则,若返回-1,则表示端口关闭。建立连接成功如下图(a)所示。
        
        TCP connect扫描服务器端与客户端建立连接图
        上图(a)中表明目标主机的一指定端口以ACK响应扫描主机的SYN/ACK连接请求,这一响应表明目标端口处于监听(打开)的状态。如果目标端口处于关闭状态,则目标主机会向扫描主机发送RST的响应,如上图(b)所示。
   题号导航      2022年下半年 信息安全工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第9题    在手机中做本题