網(wǎng)絡(luò)端口掃描試驗指導

本文格式為Word版，下載可任意編輯——網(wǎng)絡(luò)端口掃描試驗指導《網(wǎng)絡(luò)端口掃描》試驗指導

一、試驗目的

1、學習端口掃描技術(shù)的基本原理，理解端口掃描技術(shù)在網(wǎng)絡(luò)攻防中的應用；

2、通過上機試驗，熟練把握目前最為常用的網(wǎng)絡(luò)掃描工具Nmap的使用，并能利用工具掃描漏洞，更好地彌補安全不足。二、試驗預習提醒

1、網(wǎng)絡(luò)掃描概述

掃描是通過向目標主機發(fā)送數(shù)據(jù)報文，然后根據(jù)響應獲得目標主機的狀況。根據(jù)掃描對象的不同，可以分為基于主機的掃描和基于網(wǎng)絡(luò)的掃描2種，其中基于主機的掃描器又稱本地掃描器，它與待檢查系統(tǒng)運行于同一節(jié)點，執(zhí)行對自身的檢查。尋常在目標系統(tǒng)上安裝了一個代理（Agent）或者是服務(wù)（Services），以便能夠訪問所有的文件與進程，它的主要功能為分析各種系統(tǒng)文件內(nèi)容，查找可能存在的對系統(tǒng)安全造成要挾的漏洞或配置錯誤；而基于網(wǎng)絡(luò)的掃描器又稱遠程掃描器，一般它和待檢查系統(tǒng)運行于不同的節(jié)點上，通過網(wǎng)絡(luò)來掃描遠程計算機。根據(jù)掃描方式的不同，主要分為地址掃描、漏洞掃描和端口掃描3類。

（1）地址掃描

地址掃描是最簡單、最常見的一種掃描方式，最簡單的方法是利用Ping程序來判斷某個IP地址是否有活動的主機，或者某個主機是否在線。其原理是向目標系統(tǒng)發(fā)送ICMP回顯請求報文，并等待返回的ICMP回顯應答。

傳統(tǒng)的Ping掃描工具一次只能對一臺主機進行測試，效率較低，現(xiàn)在如Fping（Fastping）等工具能以并發(fā)的形式向大量的地址發(fā)出Ping請求，從而很快獲得一個網(wǎng)絡(luò)中所有在線主機地址的列表。但隨著安全防范意識的提供，好多路由器和防火墻都會進行限制，只要參與丟棄ICMP回顯請求信息的相關(guān)規(guī)則，或者在主機中通過一定的設(shè)置阻止對這樣的請求信息應答，即可對ICMP回顯請求不予響應，

（2）漏洞掃描

漏洞掃描是使用漏洞掃描器對目標系統(tǒng)進行信息查詢，檢查目標系統(tǒng)中可能包含的已知漏洞，從而發(fā)現(xiàn)系統(tǒng)中存在的擔憂全地方。其原理是采用基于規(guī)則的匹配技術(shù)，即根據(jù)安全專家對網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員對網(wǎng)絡(luò)系統(tǒng)安全配置的實際經(jīng)驗，形成一套標準的網(wǎng)絡(luò)系統(tǒng)漏洞庫，然后在此基礎(chǔ)上構(gòu)成相應的匹配規(guī)則，通過漏洞庫匹配的方法來檢查目標設(shè)備是否存在漏洞。在端口掃描后，即可知道目標主機開啟的端口以及端口上提供的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與漏洞庫進行匹配，即可查看是否有滿足匹配條件的漏洞存在。漏洞掃描大體包括CGI、POP3、FTP、HTTP和SSH漏洞掃描等。漏洞掃描的關(guān)鍵是所使用的漏洞庫，漏洞庫信息的完整性和有效性決定了漏洞掃描器的性能，漏洞庫的修訂和更新的性能也會影響漏洞掃描器運行的時間。

（3）端口掃描

端口是網(wǎng)絡(luò)連接的附著點，不同的應用進程使用不同的端口，假使一個應用程序希望提供某種服務(wù)，它將自己附著在端口上等待客戶請求的到來（即對端口進行監(jiān)聽），希望使用此服務(wù)的客戶則在本地主機分派一個端口，與遠程主機的服務(wù)端口連接，客戶通過聯(lián)系這些特別的端口來獲取特別的服務(wù)。在網(wǎng)絡(luò)連接中，服務(wù)器端的進程需要一直處于監(jiān)聽狀態(tài)，并且持續(xù)使用一致端口；而客戶端的進程則只需要在和服務(wù)器建立連接時動態(tài)地創(chuàng)立一個端口，并在連接終止后馬上釋放。一般來說，端口掃描的對象是前者，即作為網(wǎng)絡(luò)服務(wù)開放的

端口。

由于網(wǎng)絡(luò)端口是計算機和外界相連的通道，因此疏于管理可能留下嚴重的安全隱患。端口掃描是利用網(wǎng)絡(luò)協(xié)議的安全漏洞，通過十分規(guī)的方法來確定連接在網(wǎng)絡(luò)上目標主機的哪些端口是開放的技術(shù)。其原理是通過向目標系統(tǒng)的TCPhuoUDP端口發(fā)送一定數(shù)量、帶有各種特別標識的報文，然后記錄目標系統(tǒng)反饋的報文信息，再分析判斷其上端口的狀態(tài)。

2、端口掃描的用途

一般來說，端口掃描有以下三種用途：

（1）獲取目標系統(tǒng)上的端口信息，用于識別其上具有的TCP和UDP服務(wù)；（2）獲得目標系統(tǒng)返回報文的某些特別標識，識別目標系統(tǒng)的操作系統(tǒng)類型；（3）進一步結(jié)合其他技術(shù)得到具體端口的詳細信息，從而識別某個特定服務(wù)的版本號。3、端口掃描的方法（1）基于連接的掃描1）TCP全連接掃描

TCP全連接掃描是端口掃描的基本形式，掃描主機通過TCP/IP協(xié)議的三次握手與目標主機的指定端口建立一次完整的連接。建立連接成功時，目標主機回應一個SYN/ACK數(shù)據(jù)包，說明目標主機的目標端口處于監(jiān)聽（開啟）狀態(tài)；建立連接失敗時，目標主機遇向掃描主機發(fā)送RST響應，說明該目標端口處于關(guān)閉狀態(tài)。TCP全連接掃描的優(yōu)點是易于實現(xiàn)，系統(tǒng)中任何用戶都有權(quán)限使用此調(diào)用；缺點是很簡單被發(fā)覺并被過濾掉，目標計算機的日志文件會顯示一連串的成功連接和連接出錯的服務(wù)信息。

2）TCPSYN掃描

TCPSYN掃描也稱半開放掃描，掃描程序向目標主機端口發(fā)送一個SYN數(shù)據(jù)包，若收到RST響應則說明目標端口關(guān)閉，若收到SYN/ACK響應則說明目標端口開放，處于偵聽狀態(tài)，此時掃描程序再發(fā)送一個RST信號給目標主機，終止建立連接。由于并未建立全連接，故常將此掃描方式稱為半開放掃描。TCPSYN掃描的優(yōu)點是一般不會在目標主機上留下記錄，但缺點是需要有管理員權(quán)限才能建立自己的SYN數(shù)據(jù)包。

（2）隱蔽掃描

隱蔽掃描技術(shù)不含標準的TCP三次握手協(xié)議的任何一部分，比SYN掃描更隱蔽，很難被記錄追蹤。隱蔽掃描采用包含F(xiàn)IN標志的TCP包來探測端口，假使探測的端口處于關(guān)閉狀態(tài)，則目標主機返回一個RST信號；假使探測的端口處于偵聽狀態(tài)，則目標主機遇忽略對FIN數(shù)據(jù)包的回復，即目標主機不會返回RST信號。XmasTree和Null掃描方式是基于以上原理的變形和發(fā)展。XmasTree掃描開啟FIN、URG和PSH標志，而Null掃描則關(guān)閉所有標志，這些組合的目的都是為了通過所謂的FIN標記監(jiān)測器的過濾。隱蔽掃描的優(yōu)點是比較隱蔽，不易被記錄追蹤，但尋常用于UNIX系統(tǒng)及其他少數(shù)系統(tǒng)，對Windows系統(tǒng)不適用，同時與SYN掃描類似，也需要自己構(gòu)造IP數(shù)據(jù)包。

（3）輔助掃描手段1）分段掃描

分段掃描一般結(jié)合其他方法來提供更為隱蔽的掃描，它并不是直接發(fā)送TCP探測數(shù)據(jù)包，而是將原來封裝在一個報文的探測信息（往往在TCP報頭中）拆分至兩個或多個較小的報文中，算好各自的偏移，并都置系統(tǒng)的標識，然后發(fā)送，使其難以被過濾。掃描器從IP分片中劈開TCP頭，由于包過濾防火墻看不到一個完整的TCP頭，無法對應相應的過濾規(guī)則，從而可繞過包過濾防火墻。

2）ACK掃描

ACK掃描并不能識別端口是否開啟，但可以判斷目標主機是否受到防火墻的保護，以及防火墻的類型。由于RFC文檔規(guī)定對于來訪的ACK報文，物理端口開啟與否，均返回

RST報文。因此假使發(fā)送方通過這種方式得到RST報文，就可以判斷目標主機上未安裝防火墻或者只有簡單的包過濾防火墻（它無法判斷此ACK報文是否合法）；假使發(fā)送方?jīng)]有收到RST報文，則要么目標主機關(guān)機，要么受基于狀態(tài)檢測的防火墻保護，由于基于狀態(tài)監(jiān)測的防火墻會將突然來訪的ACK報文全部丟棄，不作應答。

（4）非TCP掃描1）UDP掃描

端口掃描一般是掃描TCP端口，由于TCP是面向連接的協(xié)議，目標系統(tǒng)尋常會返回一些有用的信息；而UDP為不可靠的無連接協(xié)議，為了發(fā)現(xiàn)正在服務(wù)的UDP端口，尋常產(chǎn)生一個內(nèi)容為空的UDP數(shù)據(jù)包發(fā)往目標端口，若目標端口上有服務(wù)正在等待，則目標端口將返回表示錯誤的消息；假使目標端口處于關(guān)閉狀態(tài)，則目標操作系統(tǒng)會發(fā)現(xiàn)一個ICMPUnreachable消息。

2）ICMP掃描

Ping命令發(fā)送ICMP請求包給目標IP地址，假使有應答則表示主機開機。假使要探測目標網(wǎng)絡(luò)內(nèi)主機的狀況，可以構(gòu)造ICMP廣播報文，假使有機器響應，則可判斷其開機。ICMP掃描方法也可用來探測局域網(wǎng)的地址分派結(jié)構(gòu)（假使有一個以上的主機響應廣播報文，則表示此廣播地址就是目標網(wǎng)絡(luò)的廣播地址）。假使已設(shè)置了目標網(wǎng)絡(luò)的網(wǎng)關(guān)默認將外來的IP廣播地址轉(zhuǎn)換成其次層的物理廣播地址，則可以結(jié)合IP欺騙技術(shù)，通過發(fā)送Ping的廣播報文對目標實現(xiàn)DDos分布式拒絕服務(wù)攻擊。

3）操作系統(tǒng)指紋識別

不同的網(wǎng)絡(luò)操作系統(tǒng)在處理網(wǎng)絡(luò)信息時是不完全一致的，有著各自不同的特點，這些特點被稱為系統(tǒng)的“指紋〞。通過識別這些指紋可以實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的識別。

4、常見的掃描工具

常見的免費掃描工具有Nmap、Superscan、Nessus、流光、Microsoft的系統(tǒng)漏洞檢測工具MBSA、X-Scan的那個，商業(yè)安全掃描產(chǎn)品有Symantec的NetRecon、NAI的CyberCopsScanner、Cisco的SecureScanner、ISS的系列掃描產(chǎn)品等。

Nmap是一款開放源代碼的網(wǎng)絡(luò)探測和安全審核的工具，基本上包括了所有知名的掃描方式，并且提供了大量十分實用的輔助功能以對目標主機作進一步的偵測，如操作系統(tǒng)指紋識別、進程用戶分析以及眾多可選的方式來逃避目標系統(tǒng)的監(jiān)測等。Nmap可任意指定主機、網(wǎng)段甚至整個網(wǎng)絡(luò)作為掃描目標，掃描方式也可通過添加適合的選項按需組合。

Nmap運行尋常會得到被掃描主機端口的列表、周知端口的服務(wù)名（假使可能）、端口號、狀態(tài)和協(xié)議等信息。每個端口由Open、Filtered和Unfiltered三種狀態(tài)，其中Open狀態(tài)說明目標主機能夠在此端口使用accept（）系統(tǒng)調(diào)用接受路徑；Filtered狀態(tài)說明防火墻、包過濾和其他網(wǎng)絡(luò)安全軟件掩蓋了此端口，阻止Nmap探測是否開啟；Unfiltered狀態(tài)說明此端口關(guān)閉，且無防火墻/包過濾軟件來隔離Nmap的探測企圖。

5、反掃描技術(shù)

（1）阻止不必要的服務(wù)系統(tǒng)上開放的某一個端口，運行的每一個服務(wù)都可能為入侵者提供信息，成為入侵者攻擊的目標。因此，對抗網(wǎng)絡(luò)掃描的基本措施是將系統(tǒng)不必要的服務(wù)全部阻止。

（2）屏蔽敏感信息

系統(tǒng)中一些看起來無用的信息往往對入侵者來說比較重要，例如FTP服務(wù)的Banner等，入侵者通過這些信息，能夠判斷出操作系統(tǒng)的類型、服務(wù)軟件的版本等。

（3）合理配置防火墻和入侵檢測系統(tǒng)IDS。一臺配置合理的防火墻能夠過濾掉大多數(shù)的掃描；同樣，配置合理的入侵檢測系統(tǒng)IDS，也能發(fā)現(xiàn)和記錄大部分的掃描行為。

（4）陷阱/蜜罐技術(shù)。將攻擊者引導到一個蜜罐上，能夠幫助用戶收集最新的掃描，并

判斷有什么樣的掃描能穿過防火墻。

本試驗通過實際操作，了解掃描技術(shù)的工作原理，加深對網(wǎng)絡(luò)底層的理解，把握常用掃描工具的基本用法。三、試驗過程和指導

（一）試驗要求

1、閱讀Nmap文檔，了解命令行參數(shù)。

2、選擇局域網(wǎng)中的主機作為掃描對象（不可非法掃描Internet中的主機），使用Nmap提供的默認配置文件，以及自行設(shè)定相關(guān)參數(shù)，對指定范圍的主機進行全面TCP掃描、PING掃描、TCPconnect掃描、UDP掃描、機要掃描、操作系統(tǒng)指紋識別等，記錄并分析掃描結(jié)果。

（二）試驗準備

1、閱讀教材有關(guān)章節(jié)，理解TCP/IP協(xié)議等掃描技術(shù)的相關(guān)工作原理。2、閱讀相關(guān)資料，熟悉Nmap的相關(guān)操作步驟和命令行參數(shù)的含義。（三）上機試驗

Nmap有命令行和GUI兩種運行方式，這里以GUI的Zenmap5.51為例。運行Zenmap程序后，在Target列表框中輸入掃描的目標，在Command文本框中設(shè)置所需的掃描參數(shù)，單擊Scan按鈕，系統(tǒng)就開始進行掃描，終止后會顯示掃描結(jié)果。

1、全面TCP掃描

這是一種基本的掃描模式，不需要任何命令選項開關(guān)，即可對目標主機進行全面TCP掃描，顯示監(jiān)聽端口的服務(wù)狀況。命令行格式為：nmapIP地址，如nmap，則可對目標主機進行全面TCP掃描，輸出結(jié)果如圖3.1.1所示。

這種掃描模式的缺點是允許了日志服務(wù)的主機可以很簡單地監(jiān)測到這類掃描。要達到隱蔽功能，必需設(shè)置一些命令選項開關(guān)，從而實現(xiàn)較高級的功能。

2、PING掃描

假使想知道網(wǎng)絡(luò)上有哪些主機是開放的，可以使用Ping掃描方式探測主機，nmap通過對指定的ip地址發(fā)送icmp的echorequest信息包來做到這一點，有回應的主機就是開放的。命令行格式為：nmap–snIP地址，如nmap–sn，則可對目標主機進行探測，輸出結(jié)果包括開放主機的IP地址和MAC地址，如圖3.1.2所示。

3、TCPconnect掃描

這是對TCP的最基本形式的偵測，也是nmap的默認掃描方式。操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用可以用來對目標主機上感興趣的端口進行連接試探，假使該端口處于監(jiān)聽狀態(tài)，則連接成功，否則代表這個端口無法到達。該方式的優(yōu)點是不需要任何權(quán)限，系統(tǒng)中任何用戶都有權(quán)利使用此調(diào)用；使用非阻塞I/O允許設(shè)置一個低的時間用完周期，通過同時開