软考-流量分析

扫描技术是网络攻防的一种重要手段，在攻和防当中都有其重要意义。nmap是一个开放源码的网络扫描工具，可以查看网络系统中有哪些主机在运行以及哪些服务是开放的。
nmap工具的命令选项:sS 用于实现SYN扫描，该扫描类型是通过观察开放端口和关闭端口对探测分组的响应来实现端口扫描的。
图3-1是在执行命令nmap - sS*.*.*.*时所捕获到的网络分组。

1、此次扫描的目标主机的 IP 地址是多少？

答：192.168.220.1

2、SYN扫描采用的传输层协议名字是什么?

答：TCP协议

3、SYN 的含义是什么?

答：同步比特位，同步信息，tcp/ip握手信号

4、目标主机开放了哪几个端口?简要说明判断依据。

答：135，139。如果端口开放，会响应一个syn/ack包。否则返回一个rst包

5、每次扫描有没有完成完整的三次握手?这样做的目的是什么?

答：未完成三次握手，这样做是因为可以减少很多扫描日志

6、补全表3-1 所示的防火墙过滤器规则的空(1) - (5），达到防火墙禁止此类扫描流量进入和处出网络 ，同时又能允许网内用户访问外部网页服务器的目的。

答：（1）udp，（2）*，（3）80，（4）0，（5）1

7、简要说明为什么防火墙需要在进出两个方向上对据数据包进行过滤。

答：进入时过滤是因为防止被攻击，出去时过滤是因为防止成为攻击源和跳板机。