端口掃描技術(shù)

端口掃描技術(shù)1、什么是端口（Port）？端口便是計算機與外部通信的途徑。在計算機領(lǐng)域中可以分為硬件端口和軟件端口兩類。硬件端口又稱為接口，如并口，串口，用于連接各類相關(guān)的硬件。集線器、交換機、路由器的端口指的是連接其他網(wǎng)絡(luò)設(shè)備的接口，如RJ-45端口、Serial端口等。

如果把IP地址比作一間房子，端口就是出入這間房子的門。真正的房子只有幾個門，但是一個IP地址的端口可以有65536個之多！端口是通過端口號來標(biāo)記的，端口號只有整數(shù)，范圍是從0到65535。端口有什么用呢？我們知道，一臺擁有IP地址的主機可以提供許多服務(wù)，比如Web服務(wù)、FTP服務(wù)、SMTP服務(wù)等，這些服務(wù)完全可以通過1個IP地址來實現(xiàn)。那么，主機是怎樣區(qū)分不同的網(wǎng)絡(luò)服務(wù)呢？顯然不能只靠IP地址，因為IP地址與網(wǎng)絡(luò)服務(wù)的關(guān)系是一對多的關(guān)系。實際上是通過“IP地址+端口號”來區(qū)分不同的服務(wù)的。

例：有三個用戶通過Telnet登錄到服務(wù)器C上，一共有三個連接，表示為：（2，500）與（4，23）連接

(2，501)與(4，23)連接（4，500）與（4，23）連接

一、端口掃描的基本概念2、端口的分類公認(rèn)端口（熟知端口）：一些常用的應(yīng)用程序固定使用的熟知端口，其值一般在0~1023注冊端口：端口范圍為1024~49151

計算機將這些端口分配給用戶進程或應(yīng)用程序。這些進程主要是用戶選擇安裝的一些應(yīng)用程序，而不是已經(jīng)分配了公認(rèn)端口的常用程序。這些端口可以根據(jù)用戶程序的需要臨時指定。很多遠(yuǎn)程控制軟件、木馬程序等黑客軟件都有可能利用這些端口號來運行自己的程序。例如:許多系統(tǒng)處理動態(tài)端口從1024左右開始。如冰河默認(rèn)連接端口是7626、WAY2.4是8011、Netspy3.0是7306、YAI病毒是1024等等。動態(tài)端口：端口范圍為49152~65535。之所以稱為動態(tài)端口，是因為它一般不固定分配某種服務(wù)，而是動態(tài)分配。動態(tài)分配是指當(dāng)一個系統(tǒng)進程或應(yīng)用程序進程需要網(wǎng)絡(luò)通信時，它向主機申請一個端口，主機從可用的端口號中分配一個供它使用。當(dāng)這個進程關(guān)閉時，同時也就釋放了所占用的端口號。

實際上，黑客常利用這部分端口來運行特定的木馬程序，因為這類端口非常隱蔽，不容易被人發(fā)覺。什么是端口掃描網(wǎng)絡(luò)中的每一臺計算機如同一座城堡，網(wǎng)絡(luò)技術(shù)中，把這些城堡的“城門”稱作計算機的端口。有很多大門對外完全開放，而有些則是緊閉的。端口掃描的目的就是要判斷主機開放了哪些服務(wù)，以及主機的操作系統(tǒng)的具體情況。通過使用掃描軟件，可以不留痕跡的發(fā)現(xiàn)遠(yuǎn)程服務(wù)器或者本地主機的各種TCP端口的分配及提供的服務(wù)和它們的軟件版本！這就能讓我們間接的或直觀的了解到遠(yuǎn)程主機所存在的安全問題。掃描軟件并不是一個直接的攻擊網(wǎng)絡(luò)漏洞的程序，它僅僅能幫助我們發(fā)現(xiàn)遠(yuǎn)程或者本地主機的某些內(nèi)在的弱點。一個好的掃描軟件能對它得到的數(shù)據(jù)進行分析，幫助用戶查找目標(biāo)主機的漏洞。但它不會提供進入一個系統(tǒng)的詳細(xì)步驟。掃描軟件一般應(yīng)該有三項功能：

發(fā)現(xiàn)運行中的一個主機或網(wǎng)絡(luò)的能力；

一旦發(fā)現(xiàn)一臺主機，有發(fā)現(xiàn)什么服務(wù)正運行在這臺主機上的能力；

通過測試這些服務(wù)，發(fā)現(xiàn)存在什么漏洞的能力。編寫掃描軟件必須要很多TCP/IP程序編寫和C,Perl和或SHELL語言的知識。需要一些Socket編程的背景，一種在開發(fā)客戶/服務(wù)應(yīng)用程序的方法。掃描軟件是一把雙刃劍：利用它可以更好地發(fā)現(xiàn)自己機器存在的問題和漏洞。黑客可以利用它，為自己的攻擊提供條件。常見TCP公認(rèn)端口號FTP 21 文件傳輸服務(wù)TELNET 23 遠(yuǎn)程登陸服務(wù)HTTP 80 網(wǎng)頁瀏覽服務(wù)POP3 110 郵件服務(wù)SMTP 25 簡單右鍵傳輸服務(wù)常見UDP公認(rèn)端口號RPC 111 遠(yuǎn)程調(diào)用SNMP 161 簡單網(wǎng)絡(luò)管理TFTP 69 簡單文件傳輸一、端口掃描的基本概念二、端口掃描原理掃描原理TCP端口具有連接定向（connectionoriented）的特性（即是有面向連接的協(xié)議），為端口的掃描提供了基礎(chǔ)，所以，本章介紹的端口掃描技術(shù)，是基于TCP端口的。嘗試與目標(biāo)主機某些端口建立連接，如果該端口有回復(fù)，表示該端口開放，即為“活動端口”。三、常用的掃描技術(shù)

（1）TCPconnect（）掃描（2）TCPSYN掃描（3）TCPFIN掃描（4）IP段掃描（5）TCP反向ident掃描（6）FTP返回攻擊（7）ICMPecho掃描

（8）UDPICMP端口不能到達掃描

（1）TCPconnect掃描這是最基本的掃描方式。如果目標(biāo)主機上的某個端口處于偵聽狀態(tài)，可根據(jù)其IP地址和端口號并調(diào)用connect()與其建立連接。若目標(biāo)主機未開放該端口，則connect操作失敗。因此，使用這種方法可以檢測到目標(biāo)主機開放了那些端口。注意，在執(zhí)行這種掃描方式時，不需要對目標(biāo)主機擁有任何權(quán)限，并且可以通過打開多個套接字來加速掃描。（2）TCPSYN掃描這種技術(shù)通常認(rèn)為是“半”掃描，掃描程序發(fā)送一個SYN數(shù)據(jù)包，等待目標(biāo)主機的應(yīng)答。如果目標(biāo)主機返回SYN|ACK，表示端口處于偵聽狀態(tài)。若返回RST，表示端口沒有處于偵聽狀態(tài)。如果收到一個SYN|ACK，則掃描程序發(fā)送一個RST數(shù)據(jù)包，來終止這個連接。這種掃描技術(shù)要求攻擊者在發(fā)起攻擊的計算機上必須有超級用戶或授權(quán)用戶的權(quán)限。

（3）TCPFIN掃描一些防火墻會對一些指定的端口進行監(jiān)視，因此TCPSYN掃描攻擊可能會被檢測并紀(jì)錄下來。FIN數(shù)據(jù)包可以通過它們而不留痕跡。向目標(biāo)主機的某個端口發(fā)送FIN數(shù)據(jù)包，若端口處于偵聽狀態(tài)，目標(biāo)主機不會回復(fù)FIN數(shù)據(jù)包。相反，若端口未被偵聽，目標(biāo)主機會用適當(dāng)?shù)腞ST來回復(fù)。但某些系統(tǒng)對所有的FIN一律回復(fù)RST，而不管端口是否打開，在這種情況下，TCPFIN掃描是不適用的。（4）IP分片掃描這種方法并不直接發(fā)送TCP探測數(shù)據(jù)包，而是預(yù)先將數(shù)據(jù)包分成兩個較小的IP數(shù)據(jù)包傳送給目標(biāo)主機。將數(shù)據(jù)包分片的目的是使他們能夠通過防火墻和包過濾器，將一個TCP分為幾個較小的數(shù)據(jù)包，可能會穿過防火墻而到達目標(biāo)主機。目標(biāo)主機收到這些IP包后，會把它們組合還原為原先的TCP探測數(shù)據(jù)包。

（5）TCP反向ident掃描在建立一個完整的TCP連接后，ident協(xié)議（RFC1413）允許通過TCP連接列出任何進程擁有者的用戶名（包含該進程擁有何種權(quán)限）。因此，掃描器能連接到http端口，然后檢查該服務(wù)器是否正在以root權(quán)限運行。（6）FTP反射攻擊從一個代理的FTP服務(wù)器來掃描TCP端口，就可以從防火墻的后面連接到一個FTP服務(wù)器，然后進行端口掃描。（7）ICMP_echo掃描通過執(zhí)行ping命令，可以判斷出在一個網(wǎng)絡(luò)上主機是否能到達（即是否開機）。（8）UDPICMP不能到達掃描發(fā)起攻擊的計算機需要有root權(quán)限。許多主機在用戶向未打開的UDP端口發(fā)送一個錯誤數(shù)據(jù)包時，會返回一個ICMP_PORT_UNREACH應(yīng)答。通過它來判斷哪個端口是關(guān)閉的。

全TCP連接（容易被發(fā)現(xiàn)）半打開式掃描（SYN掃描）FIN掃描第三方掃描三、端口掃描分類

端口掃描就是得到目標(biāo)主機開放和關(guān)閉的端口列表，這些開放的端口往往與一定的服務(wù)相對應(yīng)，通過這些開放的端口，就能了解主機運行的服務(wù)，然后就可以進一步整理和分析這些服務(wù)可能存在的漏洞，隨后采取針對性的攻擊。

通過端口掃描識別漏洞1.端口的關(guān)閉和開放在Windows的默認(rèn)情況下，會有很多不安全的或無用的端口處于開啟狀態(tài)，比如Telnet服務(wù)的23端口、FTP服務(wù)的21端口、SMTP服務(wù)的25端口、RPC服務(wù)的135端口等等。為了保證系統(tǒng)的安全性，我們可以通過下面的方法來關(guān)閉/開啟端口。（1）關(guān)閉端口如：在Windows2000/XP中關(guān)閉Telnet服務(wù)的端口，操作步驟為：首先打開“控制面板”，雙擊“管理工具”，再雙擊“服務(wù)”。接著在打開的服務(wù)窗口中找到并雙擊“Telnet”服務(wù)，如圖：

四、端口的管理（2）開啟端口如果要開啟該端口只需先在“啟動類型”選擇“自動”，單擊“確定”按鈕，再打開該服務(wù)，在“服務(wù)狀態(tài)”中單擊“啟動”按鈕即可啟用該端口，最后，單擊“確定”按鈕即可。

2、管理端口可采用兩種方法：一種方法是利用系統(tǒng)內(nèi)置的管理工具，另一種方法是利用第三方軟件來實現(xiàn)。（1）用“TCP/IP篩選”管理端口打開“本地連接狀態(tài)”---“屬性”按鈕---“Internet協(xié)議（TCP/IP）”---“高級”---“選項”----“TCP/IP篩選”左邊“TCP端口”上的“只允許”選上。增加你允許使用的端口，如“80”、“21”、“25”等，如圖所示，重新啟動以后未經(jīng)允許的端口就關(guān)閉了。

四、端口的管理（2）端口掃描工具X-SCANNMAPX-PortPortScannerSuperScanFluxay流光X-WAY端口掃描工具X-Scan端口掃描工具X-Scan的使用步驟一：設(shè)置檢測范圍

步驟二：設(shè)置掃描模塊

開放服務(wù)：探測目標(biāo)主機開放了哪些端口。

SNMP信息：探測目標(biāo)主機的SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）信息。通過對這一項的掃描，可以檢查出目標(biāo)主機在SNMP中不正當(dāng)?shù)脑O(shè)置。

SSL漏洞：SSL是網(wǎng)上傳輸信用卡和賬號密碼等信息時廣泛采用的行業(yè)加密標(biāo)準(zhǔn)。但是這種標(biāo)準(zhǔn)并不是完美無缺的，可以通過X-Scan來檢測是否存在該漏洞。

RPC漏洞：RPC為RemoteProcedureCall的縮寫，即遠(yuǎn)程過程調(diào)用。它允許一臺計算機上的程序去執(zhí)行另一臺計算機上的程序。它廣泛應(yīng)用于網(wǎng)絡(luò)服務(wù)中，由于RPC功能強大、實現(xiàn)復(fù)雜，因而難免出現(xiàn)或大或小的缺陷。有證據(jù)表明，1999年末到2000年初大規(guī)模的分布式拒絕服務(wù)攻擊中，很多被作為攻擊跳板的犧牲品就是因為存在RPC漏洞

端口掃描工具X-Scan的使用SQL-Server弱口令：如果SQL-Server（數(shù)據(jù)庫服務(wù)器）的管理員密碼采用默認(rèn)設(shè)置或設(shè)置過于簡單，如“123”、“abc”等，就會被X-Scan掃描出SQL-Server弱口令。

FTP弱口令：探測FTP服務(wù)器（文件傳輸服務(wù)器）上密碼設(shè)置是否過于簡單或允許匿名登錄。

NT-Server弱口令：探測NT主機用戶名密碼是否過于簡單。

NetBIOS信息：NetBIOS（網(wǎng)絡(luò)基本輸入輸出協(xié)議）通過139端口提供服務(wù)。默認(rèn)情況下存在?？梢酝ㄟ^NetBIOS獲取遠(yuǎn)程主機信息。

SMTP漏洞：SMTP（簡單郵件傳輸協(xié)議）漏洞指SMTP協(xié)議在實現(xiàn)過程中的出現(xiàn)的缺陷（Bug）。

POP3弱口令：POP3是一種郵件服務(wù)協(xié)議，專門用來為用戶接收郵件。選擇該項后，X-Scan會探測目標(biāo)主機是否存在POP3弱口令。

端口掃描工具X-Scan的使用CGI“公用網(wǎng)關(guān)接口”漏洞：自動探測成百個CGI漏洞。它可以實現(xiàn)Web服務(wù)器和瀏覽器（用戶）的信息交互。通過CGI程序接受Web瀏覽器發(fā)送給Web服務(wù)器的信息，進行處理，將響應(yīng)結(jié)果再回送給Web服務(wù)器及Web瀏覽器。如常見的表單（Form）數(shù)據(jù)的處理、數(shù)據(jù)庫查詢等。如果設(shè)置不當(dāng)，可以讓未授權(quán)者通過CGI漏洞進行越權(quán)操作。

IIS漏洞：IIS是微軟操作系統(tǒng)提供的Internet信息服務(wù)器。自IIS的誕生之日起，它的漏洞就沒有間斷過。X-Scan可以掃描出多種常見的IIS漏洞，如“.PRINTER漏洞”，“Unicode漏洞”等。

BIND漏洞：BIND為BerkeleyInternetNameDomain的縮寫，是通過軟件來實現(xiàn)域名解析系統(tǒng)（DomainNameSystem）。與前面提到的一樣，它在提供服務(wù)的同