端口扫描技术

端口扫描技术1、什么是端口（Port）？端口便是计算机与外部通信的途径。在计算机领域中可以分为硬件端口和软件端口两类。硬件端口又称为接口，如并口，串口，用于连接各类相关的硬件。集线器、交换机、路由器的端口指的是连接其他网络设备的接口，如RJ-45端口、Serial端口等。

如果把IP地址比作一间房子，端口就是出入这间房子的门。真正的房子只有几个门，但是一个IP地址的端口可以有65536个之多！端口是通过端口号来标记的，端口号只有整数，范围是从0到65535。端口有什么用呢？我们知道，一台拥有IP地址的主机可以提供许多服务，比如Web服务、FTP服务、SMTP服务等，这些服务完全可以通过1个IP地址来实现。那么，主机是怎样区分不同的网络服务呢？显然不能只靠IP地址，因为IP地址与网络服务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区分不同的服务的。

例：有三个用户通过Telnet登录到服务器C上，一共有三个连接，表示为：（2，500）与（4，23）连接

(2，501)与(4，23)连接（4，500）与（4，23）连接

一、端口扫描的基本概念2、端口的分类公认端口（熟知端口）：一些常用的应用程序固定使用的熟知端口，其值一般在0~1023注册端口：端口范围为1024~49151

计算机将这些端口分配给用户进程或应用程序。这些进程主要是用户选择安装的一些应用程序，而不是已经分配了公认端口的常用程序。这些端口可以根据用户程序的需要临时指定。很多远程控制软件、木马程序等黑客软件都有可能利用这些端口号来运行自己的程序。例如:许多系统处理动态端口从1024左右开始。如冰河默认连接端口是7626、WAY2.4是8011、Netspy3.0是7306、YAI病毒是1024等等。动态端口：端口范围为49152~65535。之所以称为动态端口，是因为它一般不固定分配某种服务，而是动态分配。动态分配是指当一个系统进程或应用程序进程需要网络通信时，它向主机申请一个端口，主机从可用的端口号中分配一个供它使用。当这个进程关闭时，同时也就释放了所占用的端口号。

实际上，黑客常利用这部分端口来运行特定的木马程序，因为这类端口非常隐蔽，不容易被人发觉。什么是端口扫描网络中的每一台计算机如同一座城堡，网络技术中，把这些城堡的“城门”称作计算机的端口。有很多大门对外完全开放，而有些则是紧闭的。端口扫描的目的就是要判断主机开放了哪些服务，以及主机的操作系统的具体情况。通过使用扫描软件，可以不留痕迹的发现远程服务器或者本地主机的各种TCP端口的分配及提供的服务和它们的软件版本！这就能让我们间接的或直观的了解到远程主机所存在的安全问题。扫描软件并不是一个直接的攻击网络漏洞的程序，它仅仅能帮助我们发现远程或者本地主机的某些内在的弱点。一个好的扫描软件能对它得到的数据进行分析，帮助用户查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。扫描软件一般应该有三项功能：

发现运行中的一个主机或网络的能力；

一旦发现一台主机，有发现什么服务正运行在这台主机上的能力；

通过测试这些服务，发现存在什么漏洞的能力。编写扫描软件必须要很多TCP/IP程序编写和C,Perl和或SHELL语言的知识。需要一些Socket编程的背景，一种在开发客户/服务应用程序的方法。扫描软件是一把双刃剑：利用它可以更好地发现自己机器存在的问题和漏洞。黑客可以利用它，为自己的攻击提供条件。常见TCP公认端口号FTP 21 文件传输服务TELNET 23 远程登陆服务HTTP 80 网页浏览服务POP3 110 邮件服务SMTP 25 简单右键传输服务常见UDP公认端口号RPC 111 远程调用SNMP 161 简单网络管理TFTP 69 简单文件传输一、端口扫描的基本概念二、端口扫描原理扫描原理TCP端口具有连接定向（connectionoriented）的特性（即是有面向连接的协议），为端口的扫描提供了基础，所以，本章介绍的端口扫描技术，是基于TCP端口的。尝试与目标主机某些端口建立连接，如果该端口有回复，表示该端口开放，即为“活动端口”。三、常用的扫描技术

（1）TCPconnect（）扫描（2）TCPSYN扫描（3）TCPFIN扫描（4）IP段扫描（5）TCP反向ident扫描（6）FTP返回攻击（7）ICMPecho扫描

（8）UDPICMP端口不能到达扫描

（1）TCPconnect扫描这是最基本的扫描方式。如果目标主机上的某个端口处于侦听状态，可根据其IP地址和端口号并调用connect()与其建立连接。若目标主机未开放该端口，则connect操作失败。因此，使用这种方法可以检测到目标主机开放了那些端口。注意，在执行这种扫描方式时，不需要对目标主机拥有任何权限，并且可以通过打开多个套接字来加速扫描。（2）TCPSYN扫描这种技术通常认为是“半”扫描，扫描程序发送一个SYN数据包，等待目标主机的应答。如果目标主机返回SYN|ACK，表示端口处于侦听状态。若返回RST，表示端口没有处于侦听状态。如果收到一个SYN|ACK，则扫描程序发送一个RST数据包，来终止这个连接。这种扫描技术要求攻击者在发起攻击的计算机上必须有超级用户或授权用户的权限。

（3）TCPFIN扫描一些防火墙会对一些指定的端口进行监视，因此TCPSYN扫描攻击可能会被检测并纪录下来。FIN数据包可以通过它们而不留痕迹。向目标主机的某个端口发送FIN数据包，若端口处于侦听状态，目标主机不会回复FIN数据包。相反，若端口未被侦听，目标主机会用适当的RST来回复。但某些系统对所有的FIN一律回复RST，而不管端口是否打开，在这种情况下，TCPFIN扫描是不适用的。（4）IP分片扫描这种方法并不直接发送TCP探测数据包，而是预先将数据包分成两个较小的IP数据包传送给目标主机。将数据包分片的目的是使他们能够通过防火墙和包过滤器，将一个TCP分为几个较小的数据包，可能会穿过防火墙而到达目标主机。目标主机收到这些IP包后，会把它们组合还原为原先的TCP探测数据包。

（5）TCP反向ident扫描在建立一个完整的TCP连接后，ident协议（RFC1413）允许通过TCP连接列出任何进程拥有者的用户名（包含该进程拥有何种权限）。因此，扫描器能连接到http端口，然后检查该服务器是否正在以root权限运行。（6）FTP反射攻击从一个代理的FTP服务器来扫描TCP端口，就可以从防火墙的后面连接到一个FTP服务器，然后进行端口扫描。（7）ICMP_echo扫描通过执行ping命令，可以判断出在一个网络上主机是否能到达（即是否开机）。（8）UDPICMP不能到达扫描发起攻击的计算机需要有root权限。许多主机在用户向未打开的UDP端口发送一个错误数据包时，会返回一个ICMP_PORT_UNREACH应答。通过它来判断哪个端口是关闭的。

全TCP连接（容易被发现）半打开式扫描（SYN扫描）FIN扫描第三方扫描三、端口扫描分类

端口扫描就是得到目标主机开放和关闭的端口列表，这些开放的端口往往与一定的服务相对应，通过这些开放的端口，就能了解主机运行的服务，然后就可以进一步整理和分析这些服务可能存在的漏洞，随后采取针对性的攻击。

通过端口扫描识别漏洞1.端口的关闭和开放在Windows的默认情况下，会有很多不安全的或无用的端口处于开启状态，比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性，我们可以通过下面的方法来关闭/开启端口。（1）关闭端口如：在Windows2000/XP中关闭Telnet服务的端口，操作步骤为：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Telnet”服务，如图：

四、端口的管理（2）开启端口如果要开启该端口只需先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。

2、管理端口可采用两种方法：一种方法是利用系统内置的管理工具，另一种方法是利用第三方软件来实现。（1）用“TCP/IP筛选”管理端口打开“本地连接状态”---“属性”按钮---“Internet协议（TCP/IP）”---“高级”---“选项”----“TCP/IP筛选”左边“TCP端口”上的“只允许”选上。增加你允许使用的端口，如“80”、“21”、“25”等，如图所示，重新启动以后未经允许的端口就关闭了。

四、端口的管理（2）端口扫描工具X-SCANNMAPX-PortPortScannerSuperScanFluxay流光X-WAY端口扫描工具X-Scan端口扫描工具X-Scan的使用步骤一：设置检测范围

步骤二：设置扫描模块

开放服务：探测目标主机开放了哪些端口。

SNMP信息：探测目标主机的SNMP（简单网络管理协议）信息。通过对这一项的扫描，可以检查出目标主机在SNMP中不正当的设置。

SSL漏洞：SSL是网上传输信用卡和账号密码等信息时广泛采用的行业加密标准。但是这种标准并不是完美无缺的，可以通过X-Scan来检测是否存在该漏洞。

RPC漏洞：RPC为RemoteProcedureCall的缩写，即远程过程调用。它允许一台计算机上的程序去执行另一台计算机上的程序。它广泛应用于网络服务中，由于RPC功能强大、实现复杂，因而难免出现或大或小的缺陷。有证据表明，1999年末到2000年初大规模的分布式拒绝服务攻击中，很多被作为攻击跳板的牺牲品就是因为存在RPC漏洞

端口扫描工具X-Scan的使用SQL-Server弱口令：如果SQL-Server（数据库服务器）的管理员密码采用默认设置或设置过于简单，如“123”、“abc”等，就会被X-Scan扫描出SQL-Server弱口令。

FTP弱口令：探测FTP服务器（文件传输服务器）上密码设置是否过于简单或允许匿名登录。

NT-Server弱口令：探测NT主机用户名密码是否过于简单。

NetBIOS信息：NetBIOS（网络基本输入输出协议）通过139端口提供服务。默认情况下存在。可以通过NetBIOS获取远程主机信息。

SMTP漏洞：SMTP（简单邮件传输协议）漏洞指SMTP协议在实现过程中的出现的缺陷（Bug）。

POP3弱口令：POP3是一种邮件服务协议，专门用来为用户接收邮件。选择该项后，X-Scan会探测目标主机是否存在POP3弱口令。

端口扫描工具X-Scan的使用CGI“公用网关接口”漏洞：自动探测成百个CGI漏洞。它可以实现Web服务器和浏览器（用户）的信息交互。通过CGI程序接受Web浏览器发送给Web服务器的信息，进行处理，将响应结果再回送给Web服务器及Web浏览器。如常见的表单（Form）数据的处理、数据库查询等。如果设置不当，可以让未授权者通过CGI漏洞进行越权操作。

IIS漏洞：IIS是微软操作系统提供的Internet信息服务器。自IIS的诞生之日起，它的漏洞就没有间断过。X-Scan可以扫描出多种常见的IIS漏洞，如“.PRINTER漏洞”，“Unicode漏洞”等。

BIND漏洞：BIND为BerkeleyInternetNameDomain的缩写，是通过软件来实现域名解析系统（DomainNameSystem）。与前面提到的一样，它在提供服务的同