HTTP协议
每次交互由一个ASCII请求组成,随后是一个类似于RFC 822 MIME的回应。
对于浏览器来说,为了与服务器连接,最常用的方法是与服务器上的80端口建立一个TCP连接,但这个过程并不是正式请求的。使用TCP的意义在于,浏览器和服务器都不需要担心消息丢失、消息重复、长消息及消息确认等问题。
FTP
FTP的客户端在21端口上发起一个用于控制的与服务器的TCP连接。
snort
目前的入侵检测工具一般应用模式匹配、特征匹配、签名技术等手段对网络数据包进行识别,如果数据包的某项内容符合其中的一种,则被认定为是网络数据包异常行为。
NetBIOS
使用UCP和TCP的传输层服务。
TCP/IP上NetBIOS设计的标准是能够保持TCP/IP网络上NetBIOS服务的功能。它提供三种类型的服务:会话服务、数据包服务、名字服务。
NetBIOS名字
如果在Windows网络中使用NetBIOS,则每台主机将被分配一个叫做计算机名的指定NetBIOS名字。虽然一台主机在多个NIC网卡上可以有多个IP地址,但是计算机名是主机的唯一标识。NetBIOS名字长16字节。
微软公司解析NetBIOS名字的方法被称为WINS。所用的NetBIOS都必须被解析成IP地址,解析后名字会被存储在NetBIOS远程名字高速缓存中。使用Windows命令行工具Nbtstat,能够查看本地或者远程NetBIOS主机名字缓存内容。nbtstat -n
数据包服务
提供UDP端口138上的报文传输。
会话服务
提供在TCP端口139上
DNS
使用的是UDP传输
服务器消息块SMB
用于文件、数据库、资源访问、身份验证的一个跨平台的应用层协议。SMB较新的版本叫做通用互联网文件系统(Common Internet File System, CIFS)。
TELNET
端口 23
端口
RFC预先定义了1024个端口
BT一般定义的端口 4556
查看端口netstat,国内比较流行的冰刃,国外著名的tcpview
netstat -n, netstat -an
计算机的安全分析工具
防火墙:基于个人主机的有McAfee的桌面防火墙、天网防火墙,基于网络的有Netscreen的硬件防火墙等。
入侵检测工具:snort。IPS(intrusion prevention system)将检测和防火墙合二为一,试图取代IDS。
扫描器:nmap、nessus
协议分析仪:ethereal
|