網(wǎng)絡(luò)安全設(shè)計(jì)報(bào)告2

1、網(wǎng)絡(luò)安全課程設(shè)計(jì)報(bào)告題 專網(wǎng)絡(luò)工程日2014.12.2評(píng)分項(xiàng)分遵守機(jī)房規(guī)章制度實(shí)驗(yàn)原理分析與設(shè)計(jì)課題功能實(shí)現(xiàn)情況設(shè)計(jì)驗(yàn)收與答辯細(xì)掃描器是網(wǎng)絡(luò)信息收集的一種方法，是入侵者搜集信息的幾種常用手法之一，也正是這一過程最容易使入侵者暴露自己的身份和意圖。如果入侵者掌握了目標(biāo)主機(jī)開放了哪些服務(wù)，運(yùn)行何種操作系統(tǒng)，他們就能夠使用相應(yīng)的手段實(shí)現(xiàn)入侵。從功能上可分為漏洞掃描器和端口掃描器。根據(jù)提供服務(wù)類型的不同，端口分為兩種，一種是TCP端口，一種是UDP端口。通過此次課程設(shè)計(jì)，能夠掌握端口的基礎(chǔ)知識(shí)，掌握掃描器的基本原理并設(shè)計(jì)實(shí)現(xiàn)端口掃描。本程序主要實(shí)現(xiàn)：簡(jiǎn)易的端口掃描，支持多線程，并可指定線程數(shù)進(jìn)行端口掃

2、描，并記錄時(shí)間；能對(duì)指定的主機(jī)進(jìn)行端口掃描；能掃描特定的部分端口號(hào)或?qū)χ付ǖ亩丝诙蝺?nèi)的端口進(jìn)行逐個(gè)掃描；能識(shí)別部分開放端口所提供的服務(wù)；以及使端口掃描器具有簡(jiǎn)單易懂美觀的用戶圖形界面。Internet的網(wǎng)絡(luò)通信大多是建立在 TCP和 UDP TCP/IP協(xié)議封裝數(shù)據(jù)包進(jìn)行通信。根據(jù)提供服務(wù)類型的不同，端口分為兩種，一種是 TCP端口，一種是 UDP端口。 TCP端口：即傳輸控制協(xié)議端口，需要在客戶端和服務(wù)器之間建立連接，這樣可以 FTP服務(wù)的 21端口，Telnet服務(wù)的 23端口，SMTP服務(wù)的 25端口，以及 HTTP服務(wù)的 80端口等等。 UDP端口：即用戶數(shù)據(jù)包協(xié)議端口，無(wú)需在客戶端和

3、服務(wù)器之間建立連接，可靠性得不到保障。常見的有DNS服務(wù)的 53端口，SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）服務(wù)的161端口，QICQ使用的 8000和 4000端口等等。通過調(diào)用 socket函數(shù) connect()如果端口處于偵聽狀態(tài)，那么 connect()就能成功返回。否則，這個(gè)端口不可用，即沒有提供服務(wù)。優(yōu)點(diǎn)：穩(wěn)定可靠，不需要特殊的權(quán)限。缺點(diǎn)：掃描方式不隱蔽，服務(wù)器日志會(huì)記錄下大量密集的連接和錯(cuò)誤記錄 ，并容易被防火墻發(fā)現(xiàn)和屏蔽。這個(gè)方法有些“死板”，它的本質(zhì)是將所有用戶需要用到的正常計(jì)算機(jī)端口外的其計(jì)算機(jī)的所有對(duì)外通訊的端口都存在潛在的危險(xiǎn)的 HTTP（80QQ（4000 端口）等不能被關(guān)閉

4、。這種預(yù)防端口掃描的方式顯然用戶自己手工是不可能完成的，或者說完成起來(lái)相當(dāng)困難，需要借助軟件。這些軟件就是我們常用的網(wǎng)絡(luò)防火墻.防火墻的工作原理是：首先檢查每個(gè)到達(dá)你的電腦的數(shù)據(jù)包，在這個(gè)包被你機(jī)上運(yùn)行的任何軟件看到之前，防火墻有完全的否決權(quán)，可以禁止你的電腦接收 Internet 上的任何東西。當(dāng)?shù)谝粋€(gè)請(qǐng)求建立連接的包被“TCP/IP 端口被打開；端口掃描時(shí)，對(duì)方計(jì)算機(jī)不斷和本地計(jì)算機(jī)“TCP/IP 端口及閑置端口，防火墻經(jīng)過自帶的攔截規(guī)則判斷，就能夠知道對(duì)方是否正進(jìn)行端口掃描，并攔截掉對(duì)方發(fā)送過來(lái)的所有掃描需要的數(shù)據(jù)包。多線程端口掃描器是實(shí)現(xiàn)計(jì)算機(jī)的端口的掃描，只要在在前臺(tái)設(shè)置好所要掃描的

5、 IP、起始端口、結(jié)束端口以及所要用到的線程數(shù)，點(diǎn)擊掃描，就可以掃描到所輸入 IP地址主機(jī)的開放端口，并顯示在主窗體中；點(diǎn)擊退出，則可以退出該程序。IP設(shè)置應(yīng)為所在主機(jī)的 IP地址，起始端口和結(jié)束端口應(yīng)為 065535之間的一個(gè)數(shù)，且起始端口應(yīng)小于結(jié)束端口的大小。線程數(shù)為0200 之間的一個(gè)數(shù)。點(diǎn)擊開始后就會(huì)運(yùn)行，直到掃描完畢顯示出開放端口，如果沒有開放端口，則只顯示掃描完畢。 圖像顯示功能：顯示界面圖形。端口掃描功能：掃描開放的端口，并將掃描到的開放端口號(hào)送到前臺(tái)。 多線程功能：當(dāng)客戶端要求與服務(wù)器端建立連接時(shí)，服務(wù)器端就將用到多線程功能，為每一個(gè)建立起來(lái)的連接創(chuàng)建一個(gè)線程。界面設(shè)置構(gòu)思圖當(dāng)

6、出現(xiàn)如圖所示的界面時(shí)，填寫好要掃描的IP 地址，需要掃描的端口范圍和線程數(shù)，單擊命令提示按鈕就可以開始掃描，掃描結(jié)果就會(huì)顯示在中間的掃描結(jié)果顯示區(qū)域，在掃描狀態(tài)顯示區(qū)就會(huì)顯示是否掃描完畢。流程圖如下：本程序使用了為主要的 Scanner 類和 Scan 類。Scan 類的作用是創(chuàng)建線程掃描端口，然后把結(jié)果顯示到前臺(tái)。Scanner 類的作用是構(gòu)造前臺(tái)布局，調(diào)用 Scan 類添加事件處理，對(duì)輸入進(jìn)行錯(cuò)誤判斷，如果輸入不在允許的范圍之內(nèi)則顯示相關(guān)錯(cuò)誤。以下是四模塊的詳細(xì)設(shè)計(jì)步驟：本程序采用小窗口形式，外圍大小為 170mm*90mm,字體采用宋體五號(hào)，結(jié)果顯示區(qū)域框架大小為160mm*45mm,底

7、色為粉紅，結(jié)果顯示字幕為主機(jī)地址加開放端口。其余地方設(shè)圖2本程序調(diào)用一些類和包，比如軟件包 java.awt.color 、java.awt.event、io.IOException、Javax.Swing、jvnet.substance.*。1 java.awt.color包：提供用于顏色空間的類。它包含了基于國(guó)際色彩聯(lián)盟(ICC) 配置文件格式規(guī)范的顏色空間實(shí)現(xiàn)。e.g. Result.setBackground(Color.PINK);/設(shè)置窗口為粉紅2. java.awt.event 包：提供處理由 AWT 組件所激發(fā)的各類事件的接口和類。此包定義了事件和事件偵聽器，以及事件偵聽器適配

8、器，它是讓事件偵聽器的編寫過程更為輕松的便捷類。 e.g. public void actionPerformed(ActionEvent e) String cmd = e.getActionCommand();if(cmd.equals(Start)3.Javax.Swing：由所有JavaGUI）組件所構(gòu)成，它們可以提供比本地平臺(tái)GUI組件更多的功能。Swing 包的組成：javax.swing ，javax.swing.borde ，javax.swing.colorchooser ，avax.swing.event，javax.swing.filechooser，javax.swin

9、g.plaf，javax.swing.tree等接口常用 Swing組件：按鈕：JButton文本區(qū)：JTextArea在本程序中使用如下：/ 設(shè)置主窗體位置和大小mainFrame.setBounds(180, 200, 550, 300);/ 設(shè)置掃描按鈕和退出按鈕Start.setActionCommand(Start);Start.addActionListener(this);Exit.setActionCommand(Exit);Exit.addActionListener(this);InetSocketAddress(InetAddress addr, int IP 地址和端口

10、號(hào)創(chuàng)建套接字Socket()：通過系統(tǒng)默認(rèn)類型的 SocketImpl 創(chuàng)建未連接套接字Socket(InetAddress address, int port)：創(chuàng)建一個(gè)流套接字并將其連接到指定 IP地址的指定端口號(hào)。void connect(SocketAddress endpoint, int timeout)時(shí)值的服務(wù)器。關(guān)鍵代碼如下：int timeoutMs=50;scans.connect(sockaddr, timeoutMs); / 將此套接字連接到具有指定超時(shí)值的服務(wù)器用遞歸函數(shù)實(shí)驗(yàn)多線程使用關(guān)鍵算法如下：for(int i = minPort;i = maxPort; )

11、 if(i + threadNum) = maxPort) 使用 io.IOException包：用來(lái)處理io的錯(cuò)誤，在以后的程序中調(diào)用這個(gè)函數(shù)的時(shí)候就必須用 try和 catch來(lái)捕獲異常，否則編譯會(huì)報(bào)錯(cuò)，這主要涉及到 java的安全機(jī)制。.catch (NumberFormatException e1) 在 Eclipse 中右擊，選擇運(yùn)行方式，JAVA 應(yīng)用設(shè)置結(jié)束口，設(shè)置065535之間的端口號(hào)且必須 為 整數(shù)，并且大于開始4.1 運(yùn)行結(jié)果1.運(yùn)行界面：2.未開始掃描狀態(tài)：3.正常掃描時(shí)：圖 6圖 7圖 8圖 97.另外我們計(jì)算了掃描器的掃描時(shí)間，我們能發(fā)現(xiàn)線程數(shù)的增多能有效減少掃描器

12、的掃描時(shí)間圖 10第一個(gè)紅框是線程數(shù)為 10 20 所用時(shí)間為 3000ms程數(shù)增多縮短了掃描時(shí)間根據(jù)防御原理，我們通過開啟系統(tǒng)防火墻來(lái)對(duì)端口掃描進(jìn)行防御912,902,443，掃描不出端口23,445,135,139?？梢娤到y(tǒng)自帶防火墻能對(duì)防御端口掃描起到一定作用，但并不能夠完全阻止，需要設(shè)計(jì)具有更嚴(yán)格規(guī)則的包過濾防火墻才行。4.3 系統(tǒng)異常當(dāng)線程數(shù)為 100 或過多時(shí)，掃描結(jié)果已顯示掃描完成，但掃描器左下方的掃描狀態(tài)卻并沒1、由于對(duì) Java 的編程掌握得不夠深入，所以程序的界面設(shè)計(jì)得不夠完美。我們通過調(diào)用一些包，盡可能優(yōu)化用戶界面，后續(xù)將對(duì)按鈕，皮膚等等進(jìn)行優(yōu)化。2、掃描狀態(tài)的輸出函數(shù)的

13、速度跟不上端口掃描的速度，最后程序掃描結(jié)束時(shí)，掃描狀態(tài)函數(shù)有時(shí)還在繼續(xù)運(yùn)行，程序運(yùn)行無(wú)法達(dá)到一致性。3.本程序還不能實(shí)現(xiàn)對(duì)一整個(gè)網(wǎng)段的 IP 進(jìn)行端口掃描，我們考慮套更大的 IP 段 for循環(huán)來(lái)實(shí)現(xiàn)，但因時(shí)間有限未能調(diào)試成功。4.關(guān)于防御功能，我們采用的是系統(tǒng)自帶防火墻進(jìn)行防御，但并不能夠完全阻止，我們的改進(jìn)思想是設(shè)計(jì)規(guī)則更為嚴(yán)格的包過濾防火墻進(jìn)行防御。本次設(shè)計(jì)我們選的課題是編寫一個(gè)簡(jiǎn)單的端口掃描程序，因此我們選擇eclipse 使用Java 語(yǔ)言進(jìn)行編寫。經(jīng)過這兩個(gè)星期的課程，通過圖書館和網(wǎng)上查找資料，順利完成了設(shè)計(jì)和開發(fā)，端口掃描系統(tǒng)開發(fā)完畢。系統(tǒng)基本符合要求，由于時(shí)間比較匆促，但還存在

14、以下一些小問題，本次課程設(shè)計(jì)結(jié)束后還會(huì)繼續(xù)完善。在整個(gè)設(shè)計(jì)過程中，得到了老師和同學(xué)的幫助，在不斷學(xué)習(xí)的過程中我體會(huì)到：1、這次課程設(shè)計(jì)是一個(gè)不斷學(xué)習(xí)的過程，從設(shè)計(jì)初的模糊認(rèn)識(shí)到最后能夠順利完成，我體會(huì)到在實(shí)踐中學(xué)習(xí)的重要性。2、設(shè)計(jì)過程中，由于要實(shí)現(xiàn)某些功能，網(wǎng)上資源解決了我的問題。多借鑒網(wǎng)絡(luò)資源也是學(xué)好軟件編程一個(gè)不錯(cuò)的方法，但自己要有創(chuàng)新。關(guān)于本課題，我們還認(rèn)識(shí)到，端口掃描是綜合掃描器最基礎(chǔ)的功能，也是黑客攻擊的基本步驟，因此，掌握端口掃描的常用技術(shù)和防范措施對(duì)維護(hù)系統(tǒng)安全有重要作用。端口掃描不僅可以得知系統(tǒng)哪些端口開放，還可以根據(jù)系統(tǒng)的響應(yīng)信息得知目標(biāo)系統(tǒng)的相關(guān)信息。對(duì)端口掃描的預(yù)防多由防火墻完成，因此掌握防火墻的原理對(duì)于維護(hù)系統(tǒng)安全很有幫助