端口掃描技術(shù)

端口掃描技術(shù)1、什么是端口（Port）？端口便是計(jì)算機(jī)與外部通信的途徑。在計(jì)算機(jī)領(lǐng)域中可以分為硬件端口和軟件端口兩類。硬件端口又稱為接口，如并口，串口，用于連接各類相關(guān)的硬件。集線器、交換機(jī)、路由器的端口指的是連接其他網(wǎng)絡(luò)設(shè)備的接口，如RJ-45端口、Serial端口等。

如果把IP地址比作一間房子，端口就是出入這間房子的門。真正的房子只有幾個(gè)門，但是一個(gè)IP地址的端口可以有65536個(gè)之多！端口是通過端口號(hào)來標(biāo)記的，端口號(hào)只有整數(shù)，范圍是從0到65535。端口有什么用呢？我們知道，一臺(tái)擁有IP地址的主機(jī)可以提供許多服務(wù)，比如Web服務(wù)、FTP服務(wù)、SMTP服務(wù)等，這些服務(wù)完全可以通過1個(gè)IP地址來實(shí)現(xiàn)。那么，主機(jī)是怎樣區(qū)分不同的網(wǎng)絡(luò)服務(wù)呢？顯然不能只靠IP地址，因?yàn)镮P地址與網(wǎng)絡(luò)服務(wù)的關(guān)系是一對(duì)多的關(guān)系。實(shí)際上是通過“IP地址+端口號(hào)”來區(qū)分不同的服務(wù)的。

例：有三個(gè)用戶通過Telnet登錄到服務(wù)器C上，一共有三個(gè)連接，表示為：（2，500）與（4，23）連接

(2，501)與(4，23)連接（4，500）與（4，23）連接

一、端口掃描的基本概念2、端口的分類公認(rèn)端口（熟知端口）：一些常用的應(yīng)用程序固定使用的熟知端口，其值一般在0~1023注冊(cè)端口：端口范圍為1024~49151

計(jì)算機(jī)將這些端口分配給用戶進(jìn)程或應(yīng)用程序。這些進(jìn)程主要是用戶選擇安裝的一些應(yīng)用程序，而不是已經(jīng)分配了公認(rèn)端口的常用程序。這些端口可以根據(jù)用戶程序的需要臨時(shí)指定。很多遠(yuǎn)程控制軟件、木馬程序等黑客軟件都有可能利用這些端口號(hào)來運(yùn)行自己的程序。例如:許多系統(tǒng)處理動(dòng)態(tài)端口從1024左右開始。如冰河默認(rèn)連接端口是7626、WAY2.4是8011、Netspy3.0是7306、YAI病毒是1024等等。動(dòng)態(tài)端口：端口范圍為49152~65535。之所以稱為動(dòng)態(tài)端口，是因?yàn)樗话悴还潭ǚ峙淠撤N服務(wù)，而是動(dòng)態(tài)分配。動(dòng)態(tài)分配是指當(dāng)一個(gè)系統(tǒng)進(jìn)程或應(yīng)用程序進(jìn)程需要網(wǎng)絡(luò)通信時(shí)，它向主機(jī)申請(qǐng)一個(gè)端口，主機(jī)從可用的端口號(hào)中分配一個(gè)供它使用。當(dāng)這個(gè)進(jìn)程關(guān)閉時(shí)，同時(shí)也就釋放了所占用的端口號(hào)。

實(shí)際上，黑客常利用這部分端口來運(yùn)行特定的木馬程序，因?yàn)檫@類端口非常隱蔽，不容易被人發(fā)覺。什么是端口掃描網(wǎng)絡(luò)中的每一臺(tái)計(jì)算機(jī)如同一座城堡，網(wǎng)絡(luò)技術(shù)中，把這些城堡的“城門”稱作計(jì)算機(jī)的端口。有很多大門對(duì)外完全開放，而有些則是緊閉的。端口掃描的目的就是要判斷主機(jī)開放了哪些服務(wù)，以及主機(jī)的操作系統(tǒng)的具體情況。通過使用掃描軟件，可以不留痕跡的發(fā)現(xiàn)遠(yuǎn)程服務(wù)器或者本地主機(jī)的各種TCP端口的分配及提供的服務(wù)和它們的軟件版本！這就能讓我們間接的或直觀的了解到遠(yuǎn)程主機(jī)所存在的安全問題。掃描軟件并不是一個(gè)直接的攻擊網(wǎng)絡(luò)漏洞的程序，它僅僅能幫助我們發(fā)現(xiàn)遠(yuǎn)程或者本地主機(jī)的某些內(nèi)在的弱點(diǎn)。一個(gè)好的掃描軟件能對(duì)它得到的數(shù)據(jù)進(jìn)行分析，幫助用戶查找目標(biāo)主機(jī)的漏洞。但它不會(huì)提供進(jìn)入一個(gè)系統(tǒng)的詳細(xì)步驟。掃描軟件一般應(yīng)該有三項(xiàng)功能：

發(fā)現(xiàn)運(yùn)行中的一個(gè)主機(jī)或網(wǎng)絡(luò)的能力；

一旦發(fā)現(xiàn)一臺(tái)主機(jī)，有發(fā)現(xiàn)什么服務(wù)正運(yùn)行在這臺(tái)主機(jī)上的能力；

通過測(cè)試這些服務(wù)，發(fā)現(xiàn)存在什么漏洞的能力。編寫掃描軟件必須要很多TCP/IP程序編寫和C,Perl和或SHELL語言的知識(shí)。需要一些Socket編程的背景，一種在開發(fā)客戶/服務(wù)應(yīng)用程序的方法。掃描軟件是一把雙刃劍：利用它可以更好地發(fā)現(xiàn)自己機(jī)器存在的問題和漏洞。黑客可以利用它，為自己的攻擊提供條件。常見TCP公認(rèn)端口號(hào)FTP 21 文件傳輸服務(wù)TELNET 23 遠(yuǎn)程登陸服務(wù)HTTP 80 網(wǎng)頁瀏覽服務(wù)POP3 110 郵件服務(wù)SMTP 25 簡(jiǎn)單右鍵傳輸服務(wù)常見UDP公認(rèn)端口號(hào)RPC 111 遠(yuǎn)程調(diào)用SNMP 161 簡(jiǎn)單網(wǎng)絡(luò)管理TFTP 69 簡(jiǎn)單文件傳輸一、端口掃描的基本概念二、端口掃描原理掃描原理TCP端口具有連接定向（connectionoriented）的特性（即是有面向連接的協(xié)議），為端口的掃描提供了基礎(chǔ)，所以，本章介紹的端口掃描技術(shù)，是基于TCP端口的。嘗試與目標(biāo)主機(jī)某些端口建立連接，如果該端口有回復(fù)，表示該端口開放，即為“活動(dòng)端口”。三、常用的掃描技術(shù)

（1）TCPconnect（）掃描（2）TCPSYN掃描（3）TCPFIN掃描（4）IP段掃描（5）TCP反向ident掃描（6）FTP返回攻擊（7）ICMPecho掃描

（8）UDPICMP端口不能到達(dá)掃描

（1）TCPconnect掃描這是最基本的掃描方式。如果目標(biāo)主機(jī)上的某個(gè)端口處于偵聽狀態(tài)，可根據(jù)其IP地址和端口號(hào)并調(diào)用connect()與其建立連接。若目標(biāo)主機(jī)未開放該端口，則connect操作失敗。因此，使用這種方法可以檢測(cè)到目標(biāo)主機(jī)開放了那些端口。注意，在執(zhí)行這種掃描方式時(shí)，不需要對(duì)目標(biāo)主機(jī)擁有任何權(quán)限，并且可以通過打開多個(gè)套接字來加速掃描。（2）TCPSYN掃描這種技術(shù)通常認(rèn)為是“半”掃描，掃描程序發(fā)送一個(gè)SYN數(shù)據(jù)包，等待目標(biāo)主機(jī)的應(yīng)答。如果目標(biāo)主機(jī)返回SYN|ACK，表示端口處于偵聽狀態(tài)。若返回RST，表示端口沒有處于偵聽狀態(tài)。如果收到一個(gè)SYN|ACK，則掃描程序發(fā)送一個(gè)RST數(shù)據(jù)包，來終止這個(gè)連接。這種掃描技術(shù)要求攻擊者在發(fā)起攻擊的計(jì)算機(jī)上必須有超級(jí)用戶或授權(quán)用戶的權(quán)限。

（3）TCPFIN掃描一些防火墻會(huì)對(duì)一些指定的端口進(jìn)行監(jiān)視，因此TCPSYN掃描攻擊可能會(huì)被檢測(cè)并紀(jì)錄下來。FIN數(shù)據(jù)包可以通過它們而不留痕跡。向目標(biāo)主機(jī)的某個(gè)端口發(fā)送FIN數(shù)據(jù)包，若端口處于偵聽狀態(tài)，目標(biāo)主機(jī)不會(huì)回復(fù)FIN數(shù)據(jù)包。相反，若端口未被偵聽，目標(biāo)主機(jī)會(huì)用適當(dāng)?shù)腞ST來回復(fù)。但某些系統(tǒng)對(duì)所有的FIN一律回復(fù)RST，而不管端口是否打開，在這種情況下，TCPFIN掃描是不適用的。（4）IP分片掃描這種方法并不直接發(fā)送TCP探測(cè)數(shù)據(jù)包，而是預(yù)先將數(shù)據(jù)包分成兩個(gè)較小的IP數(shù)據(jù)包傳送給目標(biāo)主機(jī)。將數(shù)據(jù)包分片的目的是使他們能夠通過防火墻和包過濾器，將一個(gè)TCP分為幾個(gè)較小的數(shù)據(jù)包，可能會(huì)穿過防火墻而到達(dá)目標(biāo)主機(jī)。目標(biāo)主機(jī)收到這些IP包后，會(huì)把它們組合還原為原先的TCP探測(cè)數(shù)據(jù)包。

（5）TCP反向ident掃描在建立一個(gè)完整的TCP連接后，ident協(xié)議（RFC1413）允許通過TCP連接列出任何進(jìn)程擁有者的用戶名（包含該進(jìn)程擁有何種權(quán)限）。因此，掃描器能連接到http端口，然后檢查該服務(wù)器是否正在以root權(quán)限運(yùn)行。（6）FTP反射攻擊從一個(gè)代理的FTP服務(wù)器來掃描TCP端口，就可以從防火墻的后面連接到一個(gè)FTP服務(wù)器，然后進(jìn)行端口掃描。（7）ICMP_echo掃描通過執(zhí)行ping命令，可以判斷出在一個(gè)網(wǎng)絡(luò)上主機(jī)是否能到達(dá)（即是否開機(jī)）。（8）UDPICMP不能到達(dá)掃描發(fā)起攻擊的計(jì)算機(jī)需要有root權(quán)限。許多主機(jī)在用戶向未打開的UDP端口發(fā)送一個(gè)錯(cuò)誤數(shù)據(jù)包時(shí)，會(huì)返回一個(gè)ICMP_PORT_UNREACH應(yīng)答。通過它來判斷哪個(gè)端口是關(guān)閉的。

全TCP連接（容易被發(fā)現(xiàn)）半打開式掃描（SYN掃描）FIN掃描第三方掃描三、端口掃描分類

端口掃描就是得到目標(biāo)主機(jī)開放和關(guān)閉的端口列表，這些開放的端口往往與一定的服務(wù)相對(duì)應(yīng)，通過這些開放的端口，就能了解主機(jī)運(yùn)行的服務(wù)，然后就可以進(jìn)一步整理和分析這些服務(wù)可能存在的漏洞，隨后采取針對(duì)性的攻擊。

通過端口掃描識(shí)別漏洞1.端口的關(guān)閉和開放在Windows的默認(rèn)情況下，會(huì)有很多不安全的或無用的端口處于開啟狀態(tài)，比如Telnet服務(wù)的23端口、FTP服務(wù)的21端口、SMTP服務(wù)的25端口、RPC服務(wù)的135端口等等。為了保證系統(tǒng)的安全性，我們可以通過下面的方法來關(guān)閉/開啟端口。（1）關(guān)閉端口如：在Windows2000/XP中關(guān)閉Telnet服務(wù)的端口，操作步驟為：首先打開“控制面板”，雙擊“管理工具”，再雙擊“服務(wù)”。接著在打開的服務(wù)窗口中找到并雙擊“Telnet”服務(wù)，如圖：

四、端口的管理（2）開啟端口如果要開啟該端口只需先在“啟動(dòng)類型”選擇“自動(dòng)”，單擊“確定”按鈕，再打開該服務(wù)，在“服務(wù)狀態(tài)”中單擊“啟動(dòng)”按鈕即可啟用該端口，最后，單擊“確定”按鈕即可。

2、管理端口可采用兩種方法：一種方法是利用系統(tǒng)內(nèi)置的管理工具，另一種方法是利用第三方軟件來實(shí)現(xiàn)。（1）用“TCP/IP篩選”管理端口打開“本地連接狀態(tài)”---“屬性”按鈕---“Internet協(xié)議（TCP/IP）”---“高級(jí)”---“選項(xiàng)”----“TCP/IP篩選”左邊“TCP端口”上的“只允許”選上。增加你允許使用的端口，如“80”、“21”、“25”等，如圖所示，重新啟動(dòng)以后未經(jīng)允許的端口就關(guān)閉了。

四、端口的管理（2）端口掃描工具X-SCANNMAPX-PortPortScannerSuperScanFluxay流光X-WAY端口掃描工具X-Scan端口掃描工具X-Scan的使用步驟一：設(shè)置檢測(cè)范圍

步驟二：設(shè)置掃描模塊

開放服務(wù)：探測(cè)目標(biāo)主機(jī)開放了哪些端口。

SNMP信息：探測(cè)目標(biāo)主機(jī)的SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）信息。通過對(duì)這一項(xiàng)的掃描，可以檢查出目標(biāo)主機(jī)在SNMP中不正當(dāng)?shù)脑O(shè)置。

SSL漏洞：SSL是網(wǎng)上傳輸信用卡和賬號(hào)密碼等信息時(shí)廣泛采用的行業(yè)加密標(biāo)準(zhǔn)。但是這種標(biāo)準(zhǔn)并不是完美無缺的，可以通過X-Scan來檢測(cè)是否存在該漏洞。

RPC漏洞：RPC為RemoteProcedureCall的縮寫，即遠(yuǎn)程過程調(diào)用。它允許一臺(tái)計(jì)算機(jī)上的程序去執(zhí)行另一臺(tái)計(jì)算機(jī)上的程序。它廣泛應(yīng)用于網(wǎng)絡(luò)服務(wù)中，由于RPC功能強(qiáng)大、實(shí)現(xiàn)復(fù)雜，因而難免出現(xiàn)或大或小的缺陷。有證據(jù)表明，1999年末到2000年初大規(guī)模的分布式拒絕服務(wù)攻擊中，很多被作為攻擊跳板的犧牲品就是因?yàn)榇嬖赗PC漏洞

端口掃描工具X-Scan的使用SQL-Server弱口令：如果SQL-Server（數(shù)據(jù)庫服務(wù)器）的管理員密碼采用默認(rèn)設(shè)置或設(shè)置過于簡(jiǎn)單，如“123”、“abc”等，就會(huì)被X-Scan掃描出SQL-Server弱口令。

FTP弱口令：探測(cè)FTP服務(wù)器（文件傳輸服務(wù)器）上密碼設(shè)置是否過于簡(jiǎn)單或允許匿名登錄。

NT-Server弱口令：探測(cè)NT主機(jī)用戶名密碼是否過于簡(jiǎn)單。

NetBIOS信息：NetBIOS（網(wǎng)絡(luò)基本輸入輸出協(xié)議）通過139端口提供服務(wù)。默認(rèn)情況下存在?？梢酝ㄟ^NetBIOS獲取遠(yuǎn)程主機(jī)信息。

SMTP漏洞：SMTP（簡(jiǎn)單郵件傳輸協(xié)議）漏洞指SMTP協(xié)議在實(shí)現(xiàn)過程中的出現(xiàn)的缺陷（Bug）。

POP3弱口令：POP3是一種郵件服務(wù)協(xié)議，專門用來為用戶接收郵件。選擇該項(xiàng)后，X-Scan會(huì)探測(cè)目標(biāo)主機(jī)是否存在POP3弱口令。

端口掃描工具X-Scan的使用CGI“公用網(wǎng)關(guān)接口”漏洞：自動(dòng)探測(cè)成百個(gè)CGI漏洞。它可以實(shí)現(xiàn)Web服務(wù)器和瀏覽器（用戶）的信息交互。通過CGI程序接受Web瀏覽器發(fā)送給Web服務(wù)器的信息，進(jìn)行處理，將響應(yīng)結(jié)果再回送給Web服務(wù)器及Web瀏覽器。如常見的表單（Form）數(shù)據(jù)的處理、數(shù)據(jù)庫查詢等。如果設(shè)置不當(dāng)，可以讓未授權(quán)者通過CGI漏洞進(jìn)行越權(quán)操作。

IIS漏洞：IIS是微軟操作系統(tǒng)提供的Internet信息服務(wù)器。自IIS的誕生之日起，它的漏洞就沒有間斷過。X-Scan可以掃描出多種常見的IIS漏洞，如“.PRINTER漏洞”，“Unicode漏洞”等。

BIND漏洞：BIND為BerkeleyInternetNameDomain的縮寫，是通過軟件來實(shí)現(xiàn)域名解析系統(tǒng)（DomainNameSystem）。與前面提到的一樣，它在提供服務(wù)的同