網(wǎng)絡端口掃描實驗指導

1、網(wǎng)絡端口掃描實驗指導一、實驗目的1、學習端口掃描技術(shù)的基本原理，理解端口掃描技術(shù)在網(wǎng)絡攻防中的應用；2、通過上機實驗，熟練掌握目前最為常用的網(wǎng)絡掃描工具Nmap的使用，并能利用工具掃描漏洞，更好地彌補安全不足。二、實驗預習提示1、網(wǎng)絡掃描概述掃描是通過向目標主機發(fā)送數(shù)據(jù)報文，然后根據(jù)響應獲得目標主機的情況。根據(jù)掃描對象的不同，可以分為基于主機的掃描和基于網(wǎng)絡的掃描2種，其中基于主機的掃描器又稱本地掃描器，它與待檢查系統(tǒng)運行于同一節(jié)點，執(zhí)行對自身的檢查。通常在目標系統(tǒng)上安裝了一個代理（Agent）或者是服務（Services），以便能夠訪問所有的文件與進程，它的主要功能為分析各種系統(tǒng)文件內(nèi)容，查

2、找可能存在的對系統(tǒng)安全造成威脅的漏洞或配置錯誤；而基于網(wǎng)絡的掃描器又稱遠程掃描器，一般它和待檢查系統(tǒng)運行于不同的節(jié)點上，通過網(wǎng)絡來掃描遠程計算機。根據(jù)掃描方式的不同，主要分為地址掃描、漏洞掃描和端口掃描3類。（1）地址掃描地址掃描是最簡單、最常見的一種掃描方式，最簡單的方法是利用Ping程序來判斷某個IP地址是否有活動的主機，或者某個主機是否在線。其原理是向目標系統(tǒng)發(fā)送ICMP回顯請求報文，并等待返回的ICMP回顯應答。傳統(tǒng)的Ping掃描工具一次只能對一臺主機進行測試，效率較低，現(xiàn)在如Fping（Fast ping）等工具能以并發(fā)的形式向大量的地址發(fā)出Ping請求，從而很快獲得一個網(wǎng)絡中所有在

3、線主機地址的列表。但隨著安全防范意識的提供，很多路由器和防火墻都會進行限制，只要加入丟棄ICMP回顯請求信息的相關(guān)規(guī)則，或者在主機中通過一定的設(shè)置禁止對這樣的請求信息應答，即可對ICMP回顯請求不予響應，（2）漏洞掃描漏洞掃描是使用漏洞掃描器對目標系統(tǒng)進行信息查詢，檢查目標系統(tǒng)中可能包含的已知漏洞，從而發(fā)現(xiàn)系統(tǒng)中存在的不安全地方。其原理是采用基于規(guī)則的匹配技術(shù)，即根據(jù)安全專家對網(wǎng)絡系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員對網(wǎng)絡系統(tǒng)安全配置的實際經(jīng)驗，形成一套標準的網(wǎng)絡系統(tǒng)漏洞庫，然后在此基礎(chǔ)上構(gòu)成相應的匹配規(guī)則，通過漏洞庫匹配的方法來檢查目標設(shè)備是否存在漏洞。在端口掃描后，即可知道目標主機

4、開啟的端口以及端口上提供的網(wǎng)絡服務，將這些相關(guān)信息與漏洞庫進行匹配，即可查看是否有滿足匹配條件的漏洞存在。漏洞掃描大體包括CGI、POP3、FTP、HTTP和SSH漏洞掃描等。漏洞掃描的關(guān)鍵是所使用的漏洞庫，漏洞庫信息的完整性和有效性決定了漏洞掃描器的性能，漏洞庫的修訂和更新的性能也會影響漏洞掃描器運行的時間。（3）端口掃描端口是網(wǎng)絡連接的附著點，不同的應用進程使用不同的端口，如果一個應用程序希望提供某種服務，它將自己附著在端口上等待客戶請求的到來（即對端口進行監(jiān)聽），希望使用此服務的客戶則在本地主機分配一個端口，與遠程主機的服務端口連接，客戶通過聯(lián)系這些特殊的端口來獲取特殊的服務。在網(wǎng)絡連接

5、中，服務器端的進程需要一直處于監(jiān)聽狀態(tài)，并且持續(xù)使用相同端口；而客戶端的進程則只需要在和服務器建立連接時動態(tài)地創(chuàng)建一個端口，并在連接結(jié)束后立即釋放。一般來說，端口掃描的對象是前者，即作為網(wǎng)絡服務開放的端口。由于網(wǎng)絡端口是計算機和外界相連的通道，因此疏于管理可能留下嚴重的安全隱患。端口掃描是利用網(wǎng)絡協(xié)議的安全漏洞，通過非常規(guī)的方法來確定連接在網(wǎng)絡上目標主機的哪些端口是開放的技術(shù)。其原理是通過向目標系統(tǒng)的TCPhuoUDP端口發(fā)送一定數(shù)量、帶有各種特殊標識的報文，然后記錄目標系統(tǒng)反饋的報文信息，再分析判斷其上端口的狀態(tài)。2、端口掃描的用途一般來說，端口掃描有以下三種用途：（1）獲取目標系統(tǒng)上的端口

6、信息，用于識別其上具有的TCP和UDP服務；（2）獲得目標系統(tǒng)返回報文的某些特殊標識，識別目標系統(tǒng)的操作系統(tǒng)類型；（3）進一步結(jié)合其他技術(shù)得到具體端口的詳細信息，從而識別某個特定服務的版本號。3、端口掃描的方法（1）基于連接的掃描1）TCP全連接掃描TCP全連接掃描是端口掃描的基本形式，掃描主機通過TCP/IP協(xié)議的三次握手與目標主機的指定端口建立一次完整的連接。建立連接成功時，目標主機回應一個SYN/ACK數(shù)據(jù)包，表明目標主機的目標端口處于監(jiān)聽（打開）狀態(tài)；建立連接失敗時，目標主機會向掃描主機發(fā)送RST響應，表明該目標端口處于關(guān)閉狀態(tài)。TCP全連接掃描的優(yōu)點是易于實現(xiàn)，系統(tǒng)中任何用戶都有權(quán)限

7、使用此調(diào)用；缺點是很容易被發(fā)覺并被過濾掉，目標計算機的日志文件會顯示一連串的成功連接和連接出錯的服務信息。2）TCP SYN掃描TCP SYN掃描也稱半開放掃描，掃描程序向目標主機端口發(fā)送一個SYN數(shù)據(jù)包，若收到RST響應則表明目標端口關(guān)閉，若收到SYN/ACK響應則表明目標端口開放，處于偵聽狀態(tài)，此時掃描程序再發(fā)送一個RST信號給目標主機，終止建立連接。由于并未建立全連接，故常將此掃描方式稱為半開放掃描。TCP SYN掃描的優(yōu)點是一般不會在目標主機上留下記錄，但缺點是需要有管理員權(quán)限才能建立自己的SYN數(shù)據(jù)包。（2）隱蔽掃描隱蔽掃描技術(shù)不含標準的TCP三次握手協(xié)議的任何一部分，比SYN掃描更

8、隱蔽，很難被記錄追蹤。隱蔽掃描采用包含F(xiàn)IN標志的TCP包來探測端口，如果探測的端口處于關(guān)閉狀態(tài)，則目標主機返回一個RST信號；如果探測的端口處于偵聽狀態(tài)，則目標主機會忽略對FIN數(shù)據(jù)包的回復，即目標主機不會返回RST信號。Xmas Tree和Null掃描方式是基于以上原理的變形和發(fā)展。Xmas Tree掃描打開FIN、URG和PSH標志，而Null掃描則關(guān)閉所有標志，這些組合的目的都是為了通過所謂的FIN標記監(jiān)測器的過濾。隱蔽掃描的優(yōu)點是比較隱蔽，不易被記錄追蹤，但通常用于UNIX系統(tǒng)及其他少數(shù)系統(tǒng)，對Windows系統(tǒng)不適用，同時與SYN掃描類似，也需要自己構(gòu)造IP數(shù)據(jù)包。（3）輔助掃描手

9、段1）分段掃描分段掃描一般結(jié)合其他方法來提供更為隱蔽的掃描，它并不是直接發(fā)送TCP探測數(shù)據(jù)包，而是將原來封裝在一個報文的探測信息（往往在TCP報頭中）拆分至兩個或多個較小的報文中，算好各自的偏移，并都置系統(tǒng)的標識，然后發(fā)送，使其難以被過濾。掃描器從IP分片中劈開TCP頭，由于包過濾防火墻看不到一個完整的TCP頭，無法對應相應的過濾規(guī)則，從而可繞過包過濾防火墻。2）ACK掃描ACK掃描并不能識別端口是否打開，但可以判斷目標主機是否受到防火墻的保護，以及防火墻的類型。因為RFC文檔規(guī)定對于來訪的ACK報文，物理端口打開與否，均返回RST報文。因此如果發(fā)送方通過這種方式得到RST報文，就可以判斷目標

10、主機上未安裝防火墻或者只有簡單的包過濾防火墻（它無法判斷此ACK報文是否合法）；如果發(fā)送方?jīng)]有收到RST報文，則要么目標主機關(guān)機，要么受基于狀態(tài)檢測的防火墻保護，因為基于狀態(tài)監(jiān)測的防火墻會將突然來訪的ACK報文全部丟棄，不作應答。（4）非TCP掃描1）UDP掃描端口掃描一般是掃描TCP端口，因為TCP是面向連接的協(xié)議，目標系統(tǒng)通常會返回一些有用的信息；而UDP為不可靠的無連接協(xié)議，為了發(fā)現(xiàn)正在服務的UDP端口，通常產(chǎn)生一個內(nèi)容為空的UDP數(shù)據(jù)包發(fā)往目標端口，若目標端口上有服務正在等待，則目標端口將返回表示錯誤的消息；如果目標端口處于關(guān)閉狀態(tài)，則目標操作系統(tǒng)會發(fā)現(xiàn)一個ICMP Unreachab

11、le消息。2）ICMP掃描Ping命令發(fā)送ICMP請求包給目標IP地址，如果有應答則表示主機開機。如果要探測目標網(wǎng)絡內(nèi)主機的情況，可以構(gòu)造ICMP廣播報文，如果有機器響應，則可判斷其開機。ICMP掃描方法也可用來探測局域網(wǎng)的地址分配結(jié)構(gòu)（如果有一個以上的主機響應廣播報文，則表示此廣播地址就是目標網(wǎng)絡的廣播地址）。如果已設(shè)置了目標網(wǎng)絡的網(wǎng)關(guān)默認將外來的IP廣播地址轉(zhuǎn)換成第二層的物理廣播地址，則可以結(jié)合IP欺騙技術(shù)，通過發(fā)送Ping的廣播報文對目標實現(xiàn)DDos分布式拒絕服務攻擊。3）操作系統(tǒng)指紋識別不同的網(wǎng)絡操作系統(tǒng)在處理網(wǎng)絡信息時是不完全相同的，有著各自不同的特點，這些特點被稱為系統(tǒng)的“指紋”。

12、通過識別這些指紋可以實現(xiàn)網(wǎng)絡系統(tǒng)的識別。4、常見的掃描工具常見的免費掃描工具有Nmap、Superscan、Nessus、流光、Microsoft的系統(tǒng)漏洞檢測工具MBSA、X-Scan的那個，商業(yè)安全掃描產(chǎn)品有Symantec的NetRecon、NAI的CyberCops Scanner、Cisco的Secure Scanner、ISS的系列掃描產(chǎn)品等。Nmap是一款開放源代碼的網(wǎng)絡探測和安全審核的工具，基本上包括了所有知名的掃描方式，并且提供了許多非常實用的輔助功能以對目標主機作進一步的偵測，如操作系統(tǒng)指紋識別、進程用戶分析以及眾多可選的方式來逃避目標系統(tǒng)的監(jiān)測等。Nmap可任意指定主機、

13、網(wǎng)段甚至整個網(wǎng)絡作為掃描目標，掃描方式也可通過添加合適的選項按需組合。Nmap運行通常會得到被掃描主機端口的列表、周知端口的服務名（如果可能）、端口號、狀態(tài)和協(xié)議等信息。每個端口由Open、Filtered和Unfiltered三種狀態(tài)，其中Open狀態(tài)表明目標主機能夠在此端口使用accept（）系統(tǒng)調(diào)用接受路徑；Filtered狀態(tài)表明防火墻、包過濾和其他網(wǎng)絡安全軟件掩蓋了此端口，禁止Nmap探測是否打開；Unfiltered狀態(tài)表明此端口關(guān)閉，且無防火墻/包過濾軟件來隔離Nmap的探測企圖。5、反掃描技術(shù)（1）禁止不必要的服務系統(tǒng)上開放的某一個端口，運行的每一個服務都可能為入侵者提供信息，

14、成為入侵者攻擊的目標。因此，對抗網(wǎng)絡掃描的基本措施是將系統(tǒng)不必要的服務全部禁止。（2）屏蔽敏感信息系統(tǒng)中一些看起來無用的信息往往對入侵者來說比較重要，例如FTP服務的Banner等，入侵者通過這些信息，能夠判斷出操作系統(tǒng)的類型、服務軟件的版本等。（3）合理配置防火墻和入侵檢測系統(tǒng)IDS。一臺配置合理的防火墻能夠過濾掉大多數(shù)的掃描；同樣，配置合理的入侵檢測系統(tǒng)IDS，也能發(fā)現(xiàn)和記錄大部分的掃描行為。（4）陷阱/蜜罐技術(shù)。將攻擊者引導到一個蜜罐上，能夠幫助用戶收集最新的掃描，并判斷有什么樣的掃描能穿過防火墻。本實驗通過實際操作，了解掃描技術(shù)的工作原理，加深對網(wǎng)絡底層的理解，掌握常用掃描工具的基本用

15、法。三、實驗過程和指導（一）實驗要求1、閱讀Nmap文檔，了解命令行參數(shù)。2、選擇局域網(wǎng)中的主機作為掃描對象（不可非法掃描Internet中的主機），使用Nmap提供的默認配置文件，以及自行設(shè)定相關(guān)參數(shù)，對指定范圍的主機進行全面TCP掃描、PING掃描、TCP connect掃描、UDP掃描、秘密掃描、操作系統(tǒng)指紋識別等，記錄并分析掃描結(jié)果。（二）實驗準備1、閱讀教材有關(guān)章節(jié)，理解TCP/IP協(xié)議等掃描技術(shù)的相關(guān)工作原理。2、閱讀相關(guān)資料，熟悉Nmap的相關(guān)操作步驟和命令行參數(shù)的含義。（三）上機實驗Nmap有命令行和GUI兩種運行方式，這里以GUI的Zenmap 5.51為例。運行Zenmap

16、程序后，在Target列表框中輸入掃描的目標，在Command文本框中設(shè)置所需的掃描參數(shù)，單擊Scan按鈕，系統(tǒng)就開始進行掃描，結(jié)束后會顯示掃描結(jié)果。1、全面TCP掃描這是一種基本的掃描模式，不需要任何命令選項開關(guān)，即可對目標主機進行全面TCP掃描，顯示監(jiān)聽端口的服務情況。命令行格式為：nmap IP地址，如nmap ，則可對目標主機進行全面TCP掃描，輸出結(jié)果如圖3.1.1所示。這種掃描模式的缺點是允許了日志服務的主機可以很容易地監(jiān)測到這類掃描。要達到隱蔽功能，必須設(shè)置一些命令選項開關(guān)，從而實現(xiàn)較高級的功能。2、PING掃描如果想知道網(wǎng)絡上有哪些主

17、機是開放的，可以使用Ping掃描方式探測主機，nmap通過對指定的ip地址發(fā)送icmp的echo request信息包來做到這一點，有回應的主機就是開放的。命令行格式為：nmap sn IP地址，如nmap sn ，則可對目標主機進行探測，輸出結(jié)果包括開放主機的IP地址和MAC地址，如圖3.1.2所示。3、TCP connect掃描這是對TCP的最基本形式的偵測，也是nmap的默認掃描方式。操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用可以用來對目標主機上感興趣的端口進行連接試探，如果該端口處于監(jiān)聽狀態(tài)，則連接成功，否則代表這個端口無法到達。該方式的優(yōu)點是

18、不需要任何權(quán)限，系統(tǒng)中任何用戶都有權(quán)利使用此調(diào)用；使用非阻塞I/O允許設(shè)置一個低的時間用盡周期，通過同時打開多個套接字可以加速掃描。其缺點是很容易被察覺，并且被防火墻將掃描信息包過濾掉；目標主機的log文件會顯示一連串的連接和連接出錯信息，并且能很快使它關(guān)閉。命令行格式為：nmap sT IP地址，如nmap sT ，則可對目標主機進行TCP連接掃描，輸出結(jié)果如圖3.1.3所示。圖3.1.1 全面TCP掃描圖3.1.2 使用Ping掃描方式探測主機圖3.1.3 TCP連接掃描4、UDP掃描Nmap默認監(jiān)聽的是目標主機的TCP端口，由于現(xiàn)在防火墻設(shè)備的

19、流行，TCP端口的管理狀態(tài)越來越嚴格，不會輕易開放，并且通信監(jiān)視嚴格。UDP掃描可以用來確定主機上哪些UDP端口處于開放狀態(tài)，其原理是通過發(fā)送零字節(jié)的UDP信息包到目標機器的各個端口，如果收到一個ICMP端口無法到達的回應，那么該端口是關(guān)閉的，否則可以認為它是開放的。該方式的優(yōu)點是利用UDP端口關(guān)閉時返回的ICMP信息，不包含標準的TCP三次握手協(xié)議的任何部分，因此隱蔽性好。其缺點是由于UDP是不面向連接的，這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡時容易被丟棄從而產(chǎn)生錯誤的探測信息，所以整個精度會比較低；同時，由于不同操作系統(tǒng)在實現(xiàn)ICMP協(xié)議的時候為了避免廣播風暴都會有峰值速率的限制，因此掃描速度比較

20、慢。這一掃描方法命令行格式為：nmap sU IP地址，如nmap sU ，則可對目標主機進行UDP掃描，輸出結(jié)果如圖3.1.4所示。圖3.1.4 UDP掃描5、秘密掃描1）TCP SYN掃描這種方式是半開放式的TCP同步掃描，掃描程序不打開完整的TCP連接，發(fā)送一個SYN信息包并等待對方的回應。掃描原理參見“實驗預習提示”中的“TCP SYN掃描”。這種掃描的的最大好處是可以進行更加隱蔽的掃描，防止被目標主機監(jiān)測到，只有極少的站點會對它作出記錄，但是需要有root權(quán)限來定制這些SYN包。命令行格式為：nmap sS IP地址，如nmap sS 19

21、，則可對目標主機進行TCP SYN掃描，輸出結(jié)果如圖3.1.5所示。將TCP SYN掃描與前面的TCP connect掃描進行對比，可以看出TCP SYN掃描的速度明顯比TCP connect掃描快，掃描結(jié)果略有不同。圖3.1.5 TCP SYN掃描SYN掃描在有些情況下仍不夠隱蔽，一些防火墻及信息包過濾裝置會在重要端口守護，只要安裝了過濾和日志軟件來檢測同步空閑字符SYN，則-sS的隱蔽作用就失效了，SYN包在此時便會被截獲，一些應用軟件如Synlogger以及Courtney對偵測這種類型的掃描都是行家。所以，需要有更進一步的隱蔽掃描方式。2）FIN

22、掃描、Xmas Tree掃描和Null掃描由于關(guān)閉的端口會對發(fā)送的探測信息返回一個RST，而打開的端口則對其忽略不理。所以，F(xiàn)IN掃描使用空的FIN信息包作為探針，Xmas Tree使用FIN、URG、PUSH標記，Null掃描則不用任何標記。需要注意的是此方法與系統(tǒng)的實現(xiàn)有一定的關(guān)系，由于微軟的堅持和獨特，對于運行Windows 95/98或NT的機器不管端口是否打開都會回復RST，因此FIN、Xmas Tree和Null掃描的結(jié)果都是端口關(guān)閉。命令行格式分別為：nmap sF IP地址，nmap sX IP地址，nmap sN IP地址，如nmap sF ，則可對目標

23、主機進行FIN掃描，輸出結(jié)果如圖3.1.6所示；nmap sX ，則可對目標主機進行Xmas Tree掃描，輸出結(jié)果如圖3.1.7所示；nmap sN ，則可對目標主機進行Null掃描，輸出結(jié)果如圖3.1.8所示。按照上述原理，這其實也是一個很好的區(qū)分Windows和Unix/Linux兩種平臺的方法，如果掃描發(fā)現(xiàn)了打開的端口，那就能知道目標主機運行的不是Windows；如果-sF、-sX、-sN的掃描顯示所有端口都是關(guān)閉的，但一個SYN掃描卻顯示有打開端口，則能大致推斷目標主機是Wi

24、ndows平臺。當然，這只是一個簡單應用，nmap有更徹底的操作系統(tǒng)辨別方法。6、操作系統(tǒng)指紋識別該方法經(jīng)由TCP/IP來獲取“指紋”，從而判別目標主機的操作系統(tǒng)類型，其原理是用一連串的信息包探測出所掃描的主機位于操作系統(tǒng)有關(guān)堆棧的信息，并區(qū)分其精細差異，以此判別操作系統(tǒng)。它用搜集到的信息建立一個“指紋”，用來同已知的操作系統(tǒng)的指紋相比較，這樣判定操作系統(tǒng)就有了依據(jù)。命令行格式為：nmap O IP地址，如nmap O ，則可對目標主機進行操作系統(tǒng)類型探測，輸出結(jié)果如圖3.1.9所示。圖3.1.6 FIN掃描圖3.1.7 Xmas Tree掃描圖3.

25、1.8 Null掃描圖3.1.9 操作系統(tǒng)指紋識別注意，nmap的這種方式有時也會得到錯誤的診斷信息，比如系統(tǒng)有端口開放。但nmap返回不可識別的操作系統(tǒng)，這也是有可能的，這時可以用nmap的-d參數(shù)來測試，詳見nmap參考文檔。7、其他應用（1）掃描主機群除了掃描單個目標主機，還可以同時掃描一個主機群，如：nmap sT O -10就可以同時掃描并探測IP地址在-0之間的每一臺主機。當然這需要更多的時間，耗費更多的系統(tǒng)資源和網(wǎng)絡帶寬，輸出結(jié)果頁可能會很長。此時可以用下面的命令將結(jié)果重定向輸送到一個文件中：nmap sT O o

26、N scan_result.txt -10，輸出結(jié)果如圖3.1.10所示。（2）其他常用參數(shù)1）-I：進行TCP反向用戶認證掃描，可以透露掃描用戶信息。其原理是利用了Ident協(xié)議(RFC1413)，Ident協(xié)議允許看到通過TCP連接的任何進程的擁有者的用戶名，即使這個連接不是由該進程發(fā)起的。例如可以連接到一個http端口，然后通過ident來發(fā)現(xiàn)服務器是否正在以root權(quán)限運行。但這種掃描方式只能在和目標端口建立了一個完整的TCP全連接之后才有效，并且實際上很多主機都會關(guān)閉ident服務，因此在高版本Nmap中已不再支持這種掃描方式。命令行格式為：nmap I IP地

27、址，如nmap I ，則可對目標主機進行TCP反向用戶認證掃描，輸出結(jié)果如圖3.1.11所示。圖3.1.10 掃描主機群圖3.1.11 TCP反向用戶認證掃描2）-iR：進行隨機主機掃描。命令行格式為：nmap iR 掃描主機數(shù)，如nmap iR 3，則可對3個隨機目標主機進行掃描，輸出結(jié)果如圖3.1.12所示。3）-p：掃描特定的端口范圍，默認掃描的是從1到1024端口。命令行格式為：nmap p 端口范圍IP地址，如nmap p 1025-3000 ，則可對目標主機中1025-3000范圍內(nèi)的端口進行掃描，輸出結(jié)果如圖3.1.13所示。圖3.1.12 隨機主機掃描圖3.1.1