實(shí)驗07端口掃描

1、端口掃描6.3.1 背景描述 “端口”在計算機(jī)和網(wǎng)絡(luò)領(lǐng)域中是個非常重要的概念。它是專門為計算機(jī)通信而設(shè)計的，它不是硬件，不同于計算機(jī)中的接口，如USB端口、網(wǎng)卡端口等，或者交換機(jī)、路由器用于連接其他網(wǎng)絡(luò)設(shè)備的接口，如RJ-45端口、SC端口等。這里所說的端口指網(wǎng)絡(luò)中面向連接服務(wù)和無連接服務(wù)的通信協(xié)議端口，是一種抽象的軟件結(jié)構(gòu)，一般是指TCP/IP協(xié)議中的端口，端口號的范圍從0到65535，比如用于瀏覽網(wǎng)頁服務(wù)的80端口，用于FTP服務(wù)的21端口等。端口號是一個16bit的二進(jìn)制數(shù)，用于標(biāo)示不用作用的端口。端口號分為系統(tǒng)默認(rèn)端口號和一般端口號。系統(tǒng)默認(rèn)端口號由因特網(wǎng)指派名字和號碼公司ICANN負(fù)

2、責(zé)分配給一些常用的應(yīng)用程序固定使用的熟知端口，其數(shù)值從0-1023；一般端口號則是指1024-65535這些數(shù)值。端口掃描就是對一段端口或指定的端口進(jìn)行掃描。其基本原理是使用TCP/IP協(xié)議向遠(yuǎn)程目標(biāo)主機(jī)的某一端口提出建立一個連接的請求并記錄目標(biāo)系統(tǒng)的應(yīng)答，從而判斷出目標(biāo)系統(tǒng)端口的開關(guān)狀態(tài)。常用的端口掃描技術(shù)有如下幾種：1TCP connect()掃描。系統(tǒng)調(diào)用connect()，向目標(biāo)端口發(fā)送一個SYN數(shù)據(jù)包，等待目標(biāo)機(jī)器反應(yīng)。如果目標(biāo)機(jī)器返回的是SYN/ACK數(shù)據(jù)包，證明目標(biāo)端口處于監(jiān)聽狀態(tài)，發(fā)送ACK數(shù)據(jù)包；如果返回的是RST/ACK數(shù)據(jù)包，說明目標(biāo)端口關(guān)閉，發(fā)送RESET數(shù)據(jù)包，完成三

3、次握手。2TCP SYN 掃描。這項技術(shù)通常稱為半開掃描(half-open)，發(fā)送一個SYN數(shù)據(jù)包到目的端口，等待響應(yīng)，如果收到SYN|ACK(應(yīng)答)，表明該端口是開放監(jiān)聽的。收到RST則代表該端口未被監(jiān)聽。如果收到SYN|ACK的響應(yīng)，則馬上發(fā)送一個RST包來中斷這個連接。3TCP FIN掃描。向目標(biāo)端口發(fā)送FIN數(shù)據(jù)包，按照rfc793，目標(biāo)系統(tǒng)應(yīng)該給所有關(guān)閉著的端口返回一個RST數(shù)據(jù)包。4XMAS掃描。也稱圣誕樹掃描，將TCP的首部含有的六個標(biāo)志位（URG、ACK、PSH、RST、SYN和FIN）都置為1，按照rfc793，目標(biāo)系統(tǒng)應(yīng)該給所有關(guān)閉著的端口發(fā)送一個RST 包。5空(Nul

4、l)掃描?？?Null)掃描關(guān)掉所有TCP首部中的標(biāo)志，按照rfc793，目標(biāo)系統(tǒng)應(yīng)該給所有關(guān)閉著的端口發(fā)送一個RST 包。6ACK 掃描。發(fā)送一個只有ACK標(biāo)志的TCP 數(shù)據(jù)包給目標(biāo)主機(jī)，如果主機(jī)反饋一個TCP RST 數(shù)據(jù)包來，那么這個主機(jī)是存在的。如果端口被過濾，要么什么也收不到，要么收到ICMP 消息（目標(biāo)不可達(dá)）；相反，如果沒有被過濾，則收到有關(guān)RST 數(shù)據(jù)包。另外，從UDP協(xié)議可知，如果UDP端口打開，則沒有應(yīng)答報文；如果端口關(guān)閉，則會有TCMP報文（端口不可達(dá)）。這樣，只需構(gòu)造一個UDP報文，觀察響應(yīng)報文就可知道目標(biāo)端口的狀態(tài)。6.3.2 工作原理通過端口掃描，可以得到許多有用的

5、信息，從而發(fā)現(xiàn)系統(tǒng)的安全漏洞。它使系統(tǒng)用戶了解系統(tǒng)目前向外界提供了哪些服務(wù)，從而為系統(tǒng)用戶管理網(wǎng)絡(luò)提供了一種手段。 一個端口就是一個潛在的通信通道，也就是一個入侵通道。端口掃描技術(shù)是一項自動探測本地和遠(yuǎn)程系統(tǒng)端口開放情況的策略及方法。端口掃描技術(shù)的原理是端口掃描向目標(biāo)主機(jī)的 TCP/IP服務(wù)端口發(fā)送探測數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。通過分析響應(yīng)來判斷服務(wù)端口是打開還是關(guān)閉，就可以得知端口提供的服務(wù)或信息。端口掃描也可以通過捕獲本地主機(jī)或服務(wù)器的流入流出IP數(shù)據(jù)包來監(jiān)視本地主機(jī)的運(yùn)行情況，它通過對接收到的數(shù)據(jù)進(jìn)行分析，幫助我們發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在的弱點(diǎn)。在端口掃描后，獲得目標(biāo)主機(jī)的端口開放情況

6、，通過查詢端口對應(yīng)的服務(wù)，就可以得出該主機(jī)開設(shè)的服務(wù)情況。在此基礎(chǔ)上，對端口上提供的服務(wù)進(jìn)行識別。例如Nmap使用的nmap-services數(shù)據(jù)庫包含大約2,200個著名的服務(wù)，通過查詢這個數(shù)據(jù)庫，Nmap可以報告那些端口可能分別對應(yīng)的服務(wù)類型，這種查詢一般是正確的，但是如果想確切的知道端口上運(yùn)行的服務(wù)，那就需要版本探測。雖然0-1023端口一般給固定分配了服務(wù)，但有些時候，某些服務(wù)并不運(yùn)行在特定的端口，而且1024到49151端口的端口都可以被注冊為某種應(yīng)用所有，所以，需要對常見的服務(wù)進(jìn)行動態(tài)識別。每個服務(wù)必須要有自己的、唯一的特征標(biāo)志。否則，客戶端軟件就無法和服務(wù)器軟件完成握手和進(jìn)一步的

7、信息交換。攻擊者就是利用這點(diǎn)來識別服務(wù)的。以常見的TCP類型服務(wù)為例。在完成TCP協(xié)議的3次握手后，客戶端軟件和服務(wù)器軟件建立了連接(connection)。這時服務(wù)器軟件可以被分成2種，一種是主動發(fā)出握手信息，要求客戶端軟件回應(yīng)，另一種等待客戶端軟件發(fā)來命令，直到超時。對于第一種，只要過濾和處理服務(wù)器軟件發(fā)來的banner和握手信息就可以得到服務(wù)的名稱。如果能有一個軟件特稱的數(shù)據(jù)庫，那么識別軟件的名稱和版本也是可以實(shí)現(xiàn)的了；對于第二種，要識別服務(wù)的名稱，必須要模擬客戶端軟件發(fā)出一些命令，接收服務(wù)器軟件返回的數(shù)據(jù)，然后進(jìn)行過濾和處理就可。目前常用的的端口掃描工具有：SATAN（Security

8、 Administrator Tool For Analyzing Networks）、Nmap(network mapper)、SSS（Shadow Security Scanner ）、ISS（Internet Security Scanner）和Super Scan等，下面介紹一些可以在Internet上免費(fèi)獲得的掃描程序。1NSS（網(wǎng)絡(luò)安全掃描器）(1) NSS由Perl語言編成，它最根本的價值在于速度，它運(yùn)行速度非?？欤梢詧?zhí)行下列常規(guī)檢查：Sendmail、匿名FTP、NFS出口、TFTP、Hosts.equiv、Xhost注：除非擁有最高特權(quán)，否則NSS不允許執(zhí)行Hosts.eq

9、uiv。(2) 利用NSS，用戶可以增加更強(qiáng)大的功能，其中包括：AppleTalk掃描、Novell掃描、LAN管理員掃描、可掃描子網(wǎng)。(3) NSS執(zhí)行的進(jìn)程包括：取得指定域的列表或報告，該域原本不存在這類列表、用Ping命令確定指定主機(jī)是否是活性的、掃描目標(biāo)主機(jī)的端口、報告指定地址的漏洞。(4) 提示。在對NSS進(jìn)行解壓縮后，不能立即運(yùn)行NSS，需要對它進(jìn)行一些修改，必須設(shè)置一些環(huán)境變量，以適應(yīng)你的機(jī)器配置。主要變量包括：$TmpDir_NSS使用的臨時目錄$YPX-ypx應(yīng)用程序的目錄$PING_可執(zhí)行的ping命令的目錄$XWININFO_xwininfo的目錄如果你隱藏了Perl i

10、nclude目錄（目錄中有Perl include文件），并且在PATH環(huán)境變量中沒有包含該目錄，需要加上這個目錄；同時，用戶應(yīng)該注意NSS需要ftplib.pl庫函數(shù)。NSS具有并行能力，可以在許多工作站之間進(jìn)行分布式掃描。而且，它可以使進(jìn)程分支。在資源有限的機(jī)器上運(yùn)行NSS（或未經(jīng)允許運(yùn)行NSS）應(yīng)該避免這種情況，在代碼中有這方面的選項設(shè)置。2Strobe（超級優(yōu)化TCP端口檢測程序）strobe是一個TCP端口掃描器，它可以記錄指定機(jī)器的所有開放端口。strobe運(yùn)行速度快（其作者聲稱在適中的時間內(nèi)，便可掃描整個一個國家的機(jī)器）。strobe的主要特點(diǎn)是，它能快速識別指定機(jī)器上正在運(yùn)行什

11、么服務(wù)。strobe的主要不足是這類信息是很有限的，一次strobe攻擊充其量可以提供給"入侵者"一個粗略的指南，告訴什么服務(wù)可以被攻擊。但是，strobe用擴(kuò)展的行命令選項彌補(bǔ)了這個不足。比如，在用大量指定端口掃描主機(jī)時，你可以禁止所有重復(fù)的端口描述（僅打印首次端口定義）。其他選項包括：（1）定義起始和終止端口（2）定義在多長時間內(nèi)接收不到端口或主機(jī)響應(yīng)，便終止這次掃描。（3）定義使用的socket號碼（4）定義strobe要捕捉的目標(biāo)主機(jī)的文件在獲得strobe的同時，必然獲得手冊頁面，這對于Solaris 2.3是一個明顯的問題，為了防止發(fā)生問題，必須禁止使用getp

12、eername()。在行命令中加入-g 標(biāo)志就可以實(shí)現(xiàn)這一目的。同時，盡管strobe沒有對遠(yuǎn)程主機(jī)進(jìn)行廣泛測試，但它留下的痕跡與早期的ISS一樣明顯，被strobe掃描過的主機(jī)會知道這一切（這非常象在/var/adm/messages文件中執(zhí)行連接請求）。3SATAN（安全管理員的網(wǎng)絡(luò)分析工具）SATAN是為UNIX設(shè)計的，它主要是用C和Perl語言編寫的（為了用戶界面的友好性，還用了一些HTML技術(shù)）。它能在許多類UNIX平臺上運(yùn)行，有些根本不需要移植，而在其他平臺上也只是略作移植。在Linux上運(yùn)行SATAN有一個特殊問題，應(yīng)用于原系統(tǒng)的某些規(guī)則在Linus平臺上會引起系統(tǒng)失效的致命缺陷

13、；在tcp-scan模塊中實(shí)現(xiàn) select()調(diào)用也會產(chǎn)生問題；最后要說的是，如果用戶掃描一個完整子網(wǎng)，則會引進(jìn)反向fping爆炸，也即套接字（socket）緩沖溢出。但是，有一個站點(diǎn)不但包含了用于Linux的、改進(jìn)的SATAN二進(jìn)制代碼，還包含了diff文件。SATAN用于掃描遠(yuǎn)程主機(jī)的許多已知的漏洞，其中包括但并不限于下列這些漏洞：（1）FTPD脆弱性和可寫的FTP目錄（2）NFS脆弱性（3）NIS脆弱性（4）RSH脆弱性（5）Sendmail（6）X服務(wù)器脆弱性SATAN的安裝和其他應(yīng)用程序一樣，每個平臺上的SATAN目錄可能略有不同，但一般都是/satan-1.1.1。安裝的第一步（

14、在閱讀了使用文檔說明后）是運(yùn)行Perl程序reconfig。這個程序搜索各種不同的組成成分，并定義目錄路徑。如果它不能找到或定義一個瀏覽器。則運(yùn)行失敗，那些把瀏覽器安裝在非標(biāo)準(zhǔn)目錄中（并且沒有在PATH中進(jìn)行設(shè)置）的用戶將不得不手工進(jìn)行設(shè)置。同樣，那些沒有用DNS（未在自己機(jī)器上運(yùn)行DNS）的用戶也必須在/satan-1.1.1/conf/satan.cf中進(jìn)行下列設(shè)置：$dont_use_nslookuo=1；在解決了全部路徑問題后，用戶可以在分布式系統(tǒng)上運(yùn)行安裝程序（IRIX或SunOS），我建議要非常仔細(xì)地觀察編譯，以找出錯誤。SATAN比一般掃描器需要更多一些的資源，尤其是在內(nèi)存和處理

15、器功能方面要求更高一些。如果你在運(yùn)行SATAN時速度很慢，可以嘗試幾種解決辦法。最直接的辦法就是擴(kuò)大內(nèi)存和提高處理器能力，但是，如果這種辦法不行，我建議用下面兩種方法：一是盡可能地刪除其他進(jìn)程；二是把你一次掃描主機(jī)的數(shù)量限制在100臺以下。最后說明的一點(diǎn)是，對于沒有強(qiáng)大的視頻支持或內(nèi)存資源有限的主機(jī)，SATAN有一個行命令接口，這一點(diǎn)很重要。4JakalJakal是一個秘密掃描器，也就是，它可以掃描一個區(qū)域（在防火墻后面），而不留下任何痕跡。秘密掃描器工作時會產(chǎn)生“半掃描”（half scans），它啟動（但從不完成）與目標(biāo)主機(jī)的SYN/ACK過程。從根本上講，秘密掃描器繞過了防火墻，并且避開

16、了端口掃描探測器，識別出在防火墻后面運(yùn)行的是什么服務(wù)。（這里包括了像Courtney和GAbriel這樣的精制掃描探測器）。5IdentTCPscanIdentTCPscan是一個更加專業(yè)化的掃描器，其中加入了識別指定TCP端口進(jìn)程的所有者的功能，也就是說，它能測定該進(jìn)程的UID。6CONNECTCONNECT是一個bin/sh程序，它的用途是掃描TFTP服務(wù)子網(wǎng)。7FSPScanFSPScan用于掃描FSP服務(wù)順。FSP代表文件服務(wù)協(xié)議，是非常類似于FTP的Internet協(xié)議。它提供匿名文件傳輸，并且據(jù)說具有網(wǎng)絡(luò)過載保護(hù)功能（比如，F(xiàn)SP從來不分叉）。FSP最知名的安全特性可能就是它記錄所

17、有到來用戶的主機(jī)名，這被認(rèn)為優(yōu)于FTP，因為FTP僅要求用戶的E- mail地址（而實(shí)際上根本沒有進(jìn)行記錄）。FSP相當(dāng)流行，現(xiàn)在為Windows 和OS/2開發(fā)了GUI客戶程序。8XSCANXSCAN掃描具有X服務(wù)器弱點(diǎn)的子網(wǎng)（或主機(jī)）。乍一看，這似乎并不太重要，畢竟其他多數(shù)掃描器都能做同樣的工作。然而，XSCAN包括了一個增加的功能：如果它找到了一個脆弱的目標(biāo)，它會立即加入記錄。XSCAN的其他優(yōu)點(diǎn)還包括：可以一次掃描多臺主機(jī)。這些主機(jī)可以在行命令中作為變量鍵入（并且你可以通過混合匹配同時指定主機(jī)和子網(wǎng)）。9NmapNmap是一款比較優(yōu)秀的工具。Nmap是一個網(wǎng)絡(luò)探測和安全掃描程序，系統(tǒng)管

18、理者和個人可以使用這個軟件掃描大型的網(wǎng)絡(luò)，獲取那臺主機(jī)正在運(yùn)行以及提供什么服務(wù)等信息。nmap支持很多掃描技術(shù)，例如：UDP、TCP connect()、TCP SYN(半開掃描)、ftp代理(bounce攻擊)、反向標(biāo)志、ICMP、FIN、ACK掃描、圣誕樹(Xmas Tree)、SYN掃描和null掃描。從掃描類型一節(jié)可以得到細(xì)節(jié)。nmap還提供了一些高級的特征，例如：通過TCP/IP協(xié)議棧特征探測操作系統(tǒng)類型，秘密掃描，動態(tài)延時和重傳計算，并行掃描，通過并行ping掃描探測關(guān)閉的主機(jī)，誘餌掃描，避開端口過濾檢測，直接RPC掃描(無須端口影射)，碎片掃描，以及靈活的目標(biāo)和端口設(shè)定。除了提供

19、基本的UDP和TCP端口掃描功能外，還綜合集成了眾多掃描技術(shù)，現(xiàn)在的端口掃描類型很大程度上根據(jù)Nmap的功能設(shè)置來劃分的。Nmap是在免費(fèi)軟件基金會的GNU General Public License(GPL)下發(fā)布的，有支持UNIX平臺的版本，也有支持Windows平臺的版本。其下載的地址為：/nmap/nmap _domnloag.html。端口掃描防御策略。一般來說，可以安裝防火墻進(jìn)行防范攻擊的端口掃描。此外，關(guān)閉一些沒有使用的端口、屏蔽一些危險的端口等。最后，用戶可以使用安全掃描器，事先對自己的系統(tǒng)作一個全面的評估，彌補(bǔ)漏洞，防患于未然。6.3.3 實(shí)驗列表實(shí)驗序號實(shí)驗名稱實(shí)驗一端口掃描【實(shí)驗一】端口掃描【實(shí)驗分析】實(shí)驗?zāi)康模簂 掌握端口掃描的基本概念和掌握端口掃描的原理；l 掌握端口掃描的幾種類型及其區(qū)別；場景描述： 圖6-3-1 實(shí)驗拓?fù)鋱D