端口掃描原理-CSNA論壇.ppt

1、端口掃描原理,端口掃描,端口掃描是通過與目標(biāo)系統(tǒng)的TCP/IP端口連接，查看該系統(tǒng)處于監(jiān)聽或運(yùn)行狀態(tài)的服務(wù)。 一項(xiàng)自動探測本地和遠(yuǎn)程系統(tǒng)端口開放情況的策略及方法，它使系統(tǒng)用戶了解系統(tǒng)目前向外界提供了哪些服務(wù)，從而為管理或攻擊提供了一種手段。,端口掃描,原理 1）向目標(biāo)主機(jī)的TCP/IP服務(wù)端口發(fā)送探測數(shù)據(jù)包，記錄目標(biāo)主機(jī)的響應(yīng)。 2）分析響應(yīng)，判斷服務(wù)端口是打開還是關(guān)閉，得知端口提供的服務(wù)或信息。 端口掃描也可以通過捕獲本地主機(jī)或服務(wù)器的流入流出IP數(shù)據(jù)包對本地主機(jī)的運(yùn)行情況進(jìn)行監(jiān)視，查找內(nèi)在弱點(diǎn)。,端口掃描,1、TCP概述 2、TCP掃描 1）全連接掃描 2）半連接掃描（TCP SYN掃描）

2、 3）TCP FIN掃描（秘密掃描） 4）TCP Xmas和TCP null 5）間接掃描 3、UDP掃描 4、防范,TCP 協(xié)議概述,源端口和目的端口字段各占2 字節(jié)。端口是運(yùn)輸層與應(yīng)用層的服務(wù)接口。運(yùn)輸層的復(fù)用和分用功能都要通過端口才能實(shí)現(xiàn)。,序號字段占4 字節(jié)。TCP 連接中傳送的數(shù)據(jù)流中的每一個字節(jié)都編上一個序號。序號字段的值則指的是本報(bào)文段所發(fā)送的數(shù)據(jù)的第一個字節(jié)的序號。,確認(rèn)號字段占4 字節(jié)，是期望收到對方的下一個報(bào)文段的數(shù)據(jù)的第一個字節(jié)的序號。,數(shù)據(jù)偏移占4 bit，它指出TCP 報(bào)文段的數(shù)據(jù)起始處距離TCP 報(bào)文段的起始處有多遠(yuǎn)?！皵?shù)據(jù)偏移”的單位不是字節(jié)而是32 bit 字（

3、4 字節(jié)為計(jì)算單位）。,保留字段占6 bit，保留為今后使用，但目前應(yīng)置為0。,緊急比特URG 當(dāng)URG =1 時，表明緊急指針字段有效。它告訴系統(tǒng)此報(bào)文段中有緊急數(shù)據(jù)，應(yīng)盡快傳送(相當(dāng)于高優(yōu)先級的數(shù)據(jù))。,確認(rèn)比特ACK 只有當(dāng)ACK =1 時確認(rèn)號字段才有效。當(dāng)ACK =0 時，確認(rèn)號無效。,推送比特PSH (PuSH) 接收TCP 收到推送比特置1 的報(bào)文段，就盡快地交付給接收應(yīng)用進(jìn)程，而不再等到整個緩存都填滿了后再向上交付。,復(fù)位比特RST (ReSeT) 當(dāng)RST =1 時，表明TCP 連接中出現(xiàn)嚴(yán)重差錯（如由于主機(jī)崩潰或其他原因），必須釋放連接，然后再重新建立運(yùn)輸連接。,同步比特S

4、YN 同步比特SYN 置為1，就表示這是一個連接請求或連接接受報(bào)文。,終止比特FIN (FINal) 用來釋放一個連接。當(dāng)FIN =1 時，表明此報(bào)文段的發(fā)送端的數(shù)據(jù)已發(fā)送完畢，并要求釋放運(yùn)輸連接。,窗口字段占2 字節(jié)。窗口字段用來控制對方發(fā)送的數(shù)據(jù)量，單位為字節(jié)。TCP 連接的一端根據(jù)設(shè)置的緩存空間大小確定自己的接收窗口大小，然后通知對方以確定對方的發(fā)送窗口的上限。,檢驗(yàn)和占2 字節(jié)。檢驗(yàn)和字段檢驗(yàn)的范圍包括首部和數(shù)據(jù)這兩部分。在計(jì)算檢驗(yàn)和時，要在TCP 報(bào)文段的前面加上12 字節(jié)的偽首部。,緊急指針字段占16 bit。緊急指針指出在本報(bào)文段中的緊急數(shù)據(jù)的最后一個字節(jié)的序號。,選項(xiàng)字段長度可

5、變。TCP 只規(guī)定了一種選項(xiàng)，即最大報(bào)文段長度MSS (Maximum Segment Size)。MSS 告訴對方TCP：“我的緩存所能接收的報(bào)文段的數(shù)據(jù)字段的最大長度是MSS 個字節(jié)?！?MSS 是TCP 報(bào)文段中的數(shù)據(jù)字段的最大長度。數(shù)據(jù)字段加上TCP 首部才等于整個的TCP 報(bào)文段。,填充字段這是為了使整個首部長度是4 字節(jié)的整數(shù)倍。,用三次握手建立TCP連接, A 的TCP 向B 發(fā)出連接請求報(bào)文段，其首部中的同步比特SYN 應(yīng)置為1，并選擇序號x，表明傳送數(shù)據(jù)時的第一個數(shù)據(jù)字節(jié)的序號是x。 B 的TCP 收到連接請求報(bào)文段后，如同意，則發(fā)回確認(rèn)。 B 在確認(rèn)報(bào)文段中應(yīng)將SYN 置為

6、1，其確認(rèn)號應(yīng)為x +1，同時也為自己選擇序號y。 A 收到此報(bào)文段后，向B 給出確認(rèn)，其確認(rèn)號應(yīng)為y +1。 A 的TCP 通知上層應(yīng)用進(jìn)程，連接已經(jīng)建立。 當(dāng)運(yùn)行服務(wù)器進(jìn)程的主機(jī)B 的TCP 收到主機(jī)A 的確認(rèn)后，也通知其上層應(yīng)用進(jìn)程，連接已經(jīng)建立。,建立TCP 連接,從A 到B 的連接就釋放了，連接處于半關(guān)閉狀態(tài)。相當(dāng)于A 向B 說：“我已經(jīng)沒有數(shù)據(jù)要發(fā)送了。但你如果還發(fā)送數(shù)據(jù)，我仍接收?！?釋放TCP連接,TCP掃描,思路： 通過窮舉法，依次判斷哪些端口在開放。 依次判1-1024端口是否開放。,客戶端,服務(wù)器端,端口開放,TCP掃描,1）全連接掃描 是TCP端口掃描的基礎(chǔ)，通過完整的

7、三次握手與目標(biāo)主機(jī)的指定端口建立一次完整的連接。,客戶端,服務(wù)器端,端口開放,TCP掃描,2）半連接掃描（TCP SYN掃描） 兩次握手,客戶端,服務(wù)器端,端口開放,TCP掃描,3）TCP FIN（秘密掃描） 針對Unix系統(tǒng),客戶端,服務(wù)器端,端口開放,TCP掃描,4）TCP Xmas和TCP null 針對Unix系統(tǒng)，是TCP FIN的變種； TCP Xmas掃描打開FIN、URG、PUSH標(biāo)記 NULL掃描則關(guān)閉所有標(biāo)記。 目的是防止包被過濾。,TCP掃描,5）間接掃描 攻擊主機(jī)借用第三方IP（欺騙、偽裝主機(jī)IP）掃描目標(biāo)主機(jī)。,攻 擊 主 機(jī),偽 裝 主 機(jī) 第三方主機(jī),目 標(biāo) 主

8、機(jī),使用偽裝主機(jī)IP給目標(biāo)主機(jī)發(fā)包,根據(jù)端口狀態(tài)，發(fā)回應(yīng)包給偽裝主機(jī),發(fā)回應(yīng)包給目標(biāo)主機(jī),監(jiān)控偽裝主機(jī)的行為，分析目標(biāo)主機(jī)狀態(tài),UDP掃描,UDP概述,UDP掃描,為何UDP掃描不容易實(shí)現(xiàn)？ 1）UDP ICMP端口不可達(dá)掃描,UDP掃描,1）UDP ICMP端口不可達(dá)掃描 問題：丟包、限定ICMP差錯分組的發(fā)送頻率；需root權(quán)限,UDP掃描,2）UDP recvfrom()和write() 掃描 對非root用戶不能直接讀取“端口不可達(dá)”錯誤，Linux能間接地在它們到達(dá)時通知用戶： 對一個關(guān)閉的端口的第二次調(diào)用write()將失敗 在非阻塞的UDP套接字上調(diào)用recvfrom()時，如果ICMP出錯還沒有到達(dá)時回