剖析端口扫描原理及工具.pptVIP

计算机网络安全基础 计算机网络安全基础 * 1 RFC 793规定的处理 SYN或FIN到达关闭的端口，丢弃数据包并返回RST RST到达监听的端口，RST被丢弃 RST到达关闭的端口，RST被丢弃 ACK到达监听的端口，丢弃数据包并返回RST SYN=0的数据包到达监听的端口，丢弃数据包 SYN=1的数据包到达监听的端口，进行3次握手 FIN的数据包到达监听的端口，丢弃数据包 * 2 端口扫描技术 端口扫描 Port scan A port scan is a series of messages sent by someone attempting to break into a computer to learn which computer network services, each associated with a well-known port number, the computer provides. 确定目标系统正在运行的TCP/UDP服务 在扫描时希望隐藏自己 * 端口扫描分类 按照行为 Vanilla (香草) 扫描所有端口 Strobe 扫描部分端口（如仅仅扫描21/23/25） Sweep 扫描很多机器的一个端口 按照技术 比较简单的 隐藏自身的 * TCP connect扫描 直接用connect连接对方的端口 连接成功，说明对方端口是开放的 优点 简单，不需要特权用户 缺点 容易被察觉 在应用日志中会有记录下来一些没有任何动作的连接 * TCP SYN扫描 Half open scan 在3次握手完成前终止连接 方法 发SYN 如果收到RST，说明端口关闭 如果收到SYN ACK，说明端口开放，发送RST 优点 应用程序日志没有记录 缺点 复杂，需要自己构造数据包 很多系统要超级用户才能进行 容易被发现 * FIN Xmas Null扫描 FIN扫描 FIN对一个关闭的端口，会触发RST包 FIN对一个打开的端口，不会触发RST包（对某些OS） Xmas/Null扫描 发送带/不带FIN URG PSH的包 优点 能通过仅仅检查SYN的包过滤防火墙 缺点 不是所有系统都支持 * FTP Bounce Scan 利用FTP的2个通道中的数据通道 发送假的PORT命令，让ftp server连接到要扫描的端口 优点 隐藏自己 缺点 复杂 * Ping 扫描 确定哪些机器是up的 2种方式 ICMP 类似于ping，发送icmp消息给目标，看是否有返回 TCP ping 给目标特定的tcp端口(如常用的80)发送ack消息，如果返回rst，说明机器up。 * UDP 端口扫描 UDP是无连接的 向某个端口发送UDP数据 如果该端口关闭，会触发ICMP port unreachable 缺点 有的系统限制了ICMP的发送速率 * 3 nmap工具 /nmap/ 介绍port scan和nmap的文章 /nmap/nmap_doc.html Man pages /nmap/data/nmap_manpage.html * Nmap使用 在使用nmap的同时，在另一个terminal中用tcpdump察看nmap发送和接收的数据包 Ping扫描：了解哪些机器是up的 namp –sP 缺省时同时使用发送icmp和对80端口发送ack来探测 可以用nmap –sP –P0 不发送icmp消息 实验： 用tcpdump看2种方式的异同 * Nmap使用 TCP connect扫描： namp –sT 实验： 用tcpdump看扫描过程 * Nmap使用 TCP FIN, XMAS, NULL扫描： namp –sF namp –sX namp –sN 实验： 用tcpdump看扫描过程 * Nmap使用 UDP扫描： namp –sU 实验： 用tcpdump看扫描过程 * Nmap使用 idle扫描： /nmap/idlescan.html 实验： 用tcpdump看扫描过程 计算机网络安全基础 计算机网络安全基础 计算机网络安全基础 计算机网络安全基础 计算机网络安全基础 计算机网络安全基础