Rss订阅

首页 »安全 » 网络端口扫描技术全攻略 »正文

网络端口扫描技术全攻略

来源: 发布时间:星期五, 2009年9月11日浏览:0次评论:0

=tpc_content>:TCP/IP相关问题 　　连接端及标记

　　IP地址和端口被称作套接字

它代表

个TCP连接

个连接端

为了获得TCP服务

必须在发送机

个端口上和接收机

个端口上建立连接

TCP连接用两个连接端来区别

也就是(连接端1

连接端2)

连接端互相发送数据包

个TCP数据包包括

个TCP头

后面是选项和数据

个TCP头包含6个标志位

它们

意义分别为:

　　SYN: 标志位用来建立连接

让连接双方同步序列号

如果SYN＝1而ACK=0

则表示该数据包为连接请求

如果SYN=1而ACK=1则表示接受连接

　　FIN: 表示发送端已经没有数据要求传输了

希望释放连接

　　RST: 用来复位

个连接

RST标志置位

数据包称为复位包

般情况下

如果TCP收到

个分段明显不是属于该主机上

任何

个连接

则向远端发送

个复位包

　　URG: 为紧急数据标志

如果它为1

表示本数据包中包含紧急数据

此时紧急数据指针有效

　　ACK: 为确认标志位

如果为1

表示包中

确认号时有效

否则

包中

确认号无效

　　PSH: 如果置位

接收端应尽快把数据传送给应用层

　　TCP连接

建立

　　TCP是

个面向连接

可靠传输协议

面向连接表示两个应用端在利用TCP传送数据前必须先建立TCP连接

TCP

可靠性通过校验和

定时器

数据序号和应答来提供

通过给每个发送

字节分配

个序号

接收端接收到数据后发送应答

TCP协议保证了数据

可靠传输

数据序号用来保证数据

顺序

剔除重复

数据

在

个TCP会话中

有两个数据流(每个连接端从另外

端接收数据

同时向对方发送数据)

因此在建立连接时

必须要为每

个数据流分配ISN(

序号)

为了了解实现过程

我们假设客户端C希望跟服务器端S建立连接

然后分析连接建立

过程(通常称作 3阶段握手):

　　1: C --SYN XXà S

　　2: C ?-SYN YY/ACK XX+1------- S

　　3: C ----ACK YY+1--à S

　　1:C发送

个TCP包(SYN 请求)给S

其中标记SYN(同步序号)要打开

SYN请求指明了客户端希望连接

服务器端端口号和客户端

ISN(XX是

个例子)

　　2:服务器端发回应答

包含自己

SYN信息ISN(YY)和对C

SYN应答

应答时返回下

个希望得到

字节序号(YY+1)

　　3:C 对从S 来

SYN进行应答

数据发送开始

些实现细节

　　大部分TCP/IP实现遵循以下原则:

　　1:当

个SYN或者FIN数据包到达

个关闭

端口

TCP丢弃数据包同时发送

个RST数据包

　　2:当

个RST数据包到达

个监听端口

RST被丢弃

　　3:当

个RST数据包到达

个关闭

端口

RST被丢弃

　　4:当

个包含ACK

数据包到达

个监听端口时

数据包被丢弃

同时发送

个RST数据包

　　5:当

个SYN位关闭

数据包到达

个监听端口时

数据包被丢弃

　　6:当

个SYN数据包到达

个监听端口时

正常

3阶段握手继续

回答

个SYN　ACK数据包

　　7:当

个FIN数据包到达

个监听端口时

数据包被丢弃

"FIN行为"(关闭得端口返回RST

监听端口丢弃包)

在URG和PSH标志位置位时同样要发生

所有

URG

PSH和FIN

或者没有任何标记

TCP数据包都会引起"FIN行为"

2:全TCP连接和SYN扫描器

　　全TCP连接

　　全TCP连接是长期以来TCP端口扫描

基础

扫描主机尝试(使用 3次握手)和目

机指定端口建立建立正规

连接

连接由系统

connect

开始

对于每

个监听端口

connect

会获得成功

否则返回－1

表示端口不可访问

由于通常情况下

这不需要什么特权

所以几乎所有

用户(包括多用户环境下)都可以通过connect来实现这个技术

　　这种扫描思路方法很容易检测出来(在日志文件中会有大量密集

连接和

记录)

Courtney,Gabriel和TCP Wrapper监测

通常用来进行监测

另外

TCP Wrapper可以对连接请求进行控制

所以它可以用来阻止来自不明主机

全连接扫描

　　TCP SYN扫描

　　在这种技术中

扫描主机向目标主机

选择端口发送SYN数据段

如果应答是RST

那么介绍说明端口是关闭

按照设定就探听其它端口；如果应答中包含SYN和ACK

介绍说明目标端口处于监听状态

由于所有

扫描主机都需要知道这个信息

传送

个RST给目标机从而停止建立连接

由于在SYN扫描时

全连接尚未建立

所以这种技术通常被称为半打开扫描

SYN扫描

优点在于即使日志中对扫描有所记录

但是尝试进行连接

记录也要比全扫描少得多

缺点是在大部分操作系统下

发送主机需要构造适用于这种扫描

IP包

通常情况下

构造SYN数据包需要超级用户或者授权用户访问专门

系统

　　 3:秘密扫描和间接扫描

　　秘密扫描技术

　　由于这种技术不包含标准

TCP 3次握手协议

任何部分

所以无法被记录下来

从而必SYN扫描隐蔽得多

另外

FIN数据包能够通过只监测SYN包

包过滤器

　　秘密扫描技术使用FIN数据包来探听端口

当

个FIN数据包到达

个关闭

端口

数据包会被丢掉

并且回返回

个RST数据包

否则

当

个FIN数据包到达

个打开

端口

数据包只是简单

丢掉(不返回RST)

　　Xmas和Null扫描是秘密扫描

两个变种

Xmas扫描打开FIN

URG和PUSH标记

而Null扫描关闭所有标记

这些组合

目

是为了通过所谓

FIN标记监测器

过滤

　　秘密扫描通常适用于UNIX目标主机

除过少量

应当丢弃数据包却发送re

信号

操作系统(包括CISCO

BSDI

HP/UX

MVS和IRIX)

在Windows95/NT环境下

该思路方法无效

不论目标端口是否打开

操作系统都发送RST

　　跟SYN扫描类似

秘密扫描也需要自己构造IP 包

　　

　　间接扫描

　　间接扫描

思想是利用第 3方

IP(欺骗主机)来隐藏真正扫描者

由于扫描主机会对欺骗主机发送回应信息

所以必须监控欺骗主机

IP行为

从而获得原始扫描

结果

间接扫描

工作过程如下:

　　假定参和扫描过程

主机为扫描机

隐藏机

目标机

扫描机和目标记

角色非常明显

隐藏机是

个非常特殊

角色

在扫描机扫描目

机

时候

它不能发送任何数据包(除了和扫描有关

包)

　　

　　 4:认证扫描和代理扫描

　　认证扫描

　　到目前为止

我们分析

扫描器在设计时都只有

个目

:判断

个主机中哪个端口上有进程在监听

然而

最近

许多扫描器利用这个弱点实现ftp代理扫描

　　ftp端口扫描主要使用ftp代理服务器来扫描tcp端口

扫描步骤如下:

　　1:假定S是扫描机

T是扫描目标

F是

个ftp服务器

这个服务器支持代理选项

能够跟S和T建立连接

　　2:S和F建立

个ftp会话

使用PORT命令声明

个选择

端口(称的为p－T)作为代理传输所需要

被动端口

　　3:然后S使用

个LIST命令尝试启动

个到p－T

数据传输

　　4:如果端口p－T确实在监听

传输就会成功(返回码150和226被发送回给S)

否则S回收到"425无法打开数据连接"

应答

　　5:S持续使用PORT和LIST命令

直到T上所有

选择端口扫描完毕

　　FTP代理扫描不但难以跟踪

而且当ftp服务器在防火墙后面

时候

5:其它扫描思路方法

　　Ping扫描

　　如果需要扫描

个主机上甚至整个子网上

成千上万个端口

首先判断

个主机是否开机就非常重要了

这就是Ping扫描器

目

主要由两种思路方法用来实现Ping扫描

　　1:真实扫描:例如发送ICMP请求包给目标IP地址

有相应

表示主机开机

　　2:TCP Ping:例如发送特殊

TCP包给通常都打开且没有过滤

端口(例如80端口)

对于没有root权限

扫描者

使用标准

connect来实现

否则

ACK数据包发送给每

个需要探测

主机IP

每

个返回

RST表明相应主机开机了

另外

种类似于SYN扫描端口80(或者类似

)也被经常使用

　　

　　安全扫描器

　　安全扫描器是用来自动检查

个本地或者远程主机

安全漏洞

象其它端口扫描器

样

它们查询端口并记录返回结果

但是它们

它们主要要解决以下问题:

　　1:是否允许匿名登录

　　2:是否某种网络服务需要认证

　　3:是否存在已知安全漏洞

　　可能SATAN是最著名

安全扫描器

1995年 4月SATAN最初发布

时候

人们都认为这就是它

最终版本

认为它不但能够发现相当多

已知漏洞

而且能够针对任何很难发现

漏洞提供信息

但是

从它发布以来

安全扫描器

直在不断地发展

其实现机制也越来越复杂

　　

　　栈指纹

　　绝大部分安全漏洞和缺陷都和操作系统相关

因此远程操作系统探测是系统管理员关心

个问题

　　远程操作系统探测不是

个新问题

近年来

TCP/IP实现提供了主机操作系统信息服务

FTP

TELNET

HTTP和DNS服务器就是很好

例子

然而

实际上提供

信息都是不完整

甚至有可能是

最初

扫描器

依靠检测区别操作系统对TCP/IP

区别实现来识别操作系统

由于差别

有限性

现在只能最多只能识别出10余种操作系统

　　最近出现

两个扫描器

QueSO和NMAP

在指纹扫描中引入了新

技术

QueSO第

个实现了使用分离

数据库于指纹

NMAP包含了很多

操作系统探测技术

定义了

个模板数据结构来描述指纹

由于新

指纹可以很容易地以模板

形式加入

NMAP指纹数据库是不断增长

它能识别

操作系统也越来越多

　　这种使用扫描器判断远程操作系统

技术称为(TCP/IP)栈指纹技术

　　另外有

种技术称为活动探测

活动探测把TCP

实现看作

个黑盒子

通过研究TCP对探测

回应

就可以发现 TCP实现

特点

TCP/IP 栈指纹技术是活动探测

个变种

它适用于整个TCP/IP协议

实现和操作系统

栈指纹使用好几种技术来探测TCP/IP协议栈和操作系统

细微区别

这些信息用来创建

个指纹

然后跟已知

指纹进行比较

就可以判断出当前被扫描

操作系统

　　栈指纹扫描包含了相当多

技术

下面是

个不太完整

清单:

　　1:FIN探测

　　2:BOGUS标记探测

　　3:TCP ISN 取样

　　4:TCP

窗口

　　5:ACK值

　　6:ICMP

信息

　　7:ICMP信息

　　8:服务类型

　　9:TCP选项

上

篇文章: 黑客道德准则不是所有

黑客都是罪犯

下

篇文章: 7类黑客各有“黑招”

标签：

下载文章的 PDF文档电子版离线看

我顶

专注于互联网--专注于架构

首页 »安全 » 网络端口扫描技术全攻略 »正文

网络端口扫描技术全攻略

相关文章

读者评论

发表评论

热门标签

精华推荐

最新标签

Dig排行

阅读排行

最新文章