端口与系统漏洞检测.pptVIP

4.2扫描工具Nmap所能识别的6个状态如下：open(开放的)应用程序正在该端口接收TCP连接或者UDP报文。发现这一点通常是端口扫描的主要目标。安全意识强的人们知道每个开放的端口都有可能是攻击的入口。攻击者或者入侵测试者想要发现开放的端口。而管理员则试图关闭它们或者用防火墙保护它们以免妨碍了合法用户。2.closed(关闭的)关闭的端口对于Nmap也是可访问的(它接受Nmap的探测报文并作出响应)，但没有应用程序在其上监听。因关闭的端口是可访问的，也许稍后再扫描，可能一些端口又开放了。系统管理员可能会考虑用防火墙封锁这样的端口。那样他们就会被显示为被过滤的状态。4.2.2Nmap的使用---Nmap所能识别的端口状态4.2扫描工具4.2.2Nmap的使用---Nmap所能识别的端口状态由于包过滤阻止探测报文到达端口，Nmap无法确定该端口是否开放。过滤可能来自专业的防火墙设备，路由器规则或者主机上的软件防火墙。普遍的是过滤器只是丢弃探测帧，不做任何响应。这迫使Nmap重试若干次以防万一探测包是由于网络阻塞而丢弃的。这使得扫描速度明显变慢。filtered(被过滤的)未被过滤状态意味着端口可访问，但Nmap不能确定它是开放还是关闭。只有用于映射防火墙规则集的ACK扫描才会把端口分类到这种状态。用其它类型的扫描如SYN扫描，或者FIN扫描来扫描未被过滤的端口可以帮助确定端口是否开放。unfiltered(未被过滤的)4.2扫描工具4.2.2Nmap的使用---Nmap所能识别的端口状态当无法确定端口是开放还是被过滤时，Nmap就把该端口划分成这种状态。开放的端口不响应就是一个例子。没有响应也可能意味着报文过滤器丢弃了探测报文或者它引发的其它响应。因此Nmap无法确定该端口是开放的还是被过滤的。FIN，Null，和Xmas-Tree扫描可能把端口归入此类。open|filtered(开放或者被过滤的)01该状态用于Nmap不能确定端口是关闭的还是被过滤的。它只可能出现在IPIdle扫描中。closed|filtered(关闭或者被过滤的)024.2扫描工具Nmap的使用格式如下：nmap[扫描类型][选项]目标主机如：关于目标主机，最简单的形式是直接输入一个主机名（域名）或者一个IP地址。如果希望扫描某个IP地址的一个子网，可以使用CIDR的表示方式，如表示网段内的所有主机。Nmap可以灵活地指定IP地址。例如：如果要扫描这个B类网络128.210.*.*，可以使用下面三种方式来指定这些地址：128.210.*.*这三种形式是等价的。4.2.2Nmap的使用---Nmap使用格式4.2扫描工具?-sT（TCPconnect()扫描）这是对TCP的最基本形式的侦测。如果该端口被监听，则连接成功，否则代表这个端口无法到达。这个技术的很大好处就是你无须任何特殊权限，在大多数的系统下这个命令可以被任何人自由地使用。缺点：很容易被目标主机察觉并记录下来。因为服务器接受了一个连接但它却马上断开，于是其记录会显示出一连串的连接及错误信息。-sS（TCPSYN扫描）这是一种“半开”扫描，因为不打开完整的TCP连接，发送一个SYN信息包就像要打开一个真正的连接在等待对方的回应。一个SYN│ACK(应答)会表明该端口是开放监听的。一个RST则代表该端口未开放。如果SYN│ACK的回应返回，则会马上发送一个RST包来中断这个连接。最大好处：只有极少的站点会对它作出记录，但需要有root权限来定制这些SYN包。4.2.2Nmap的使用---Nmap使用格式4.2扫描工具4.2.2Nmap的使用---Nmap使用格式有时甚至SYN扫描都不够隐蔽，一些防火墙及信息包过滤装置会在重要端口守护，SYN包在此时会被截获。使用这三种方式可以进一步确定端口的开放情况，相对SYN扫描更加隐蔽，但其准确性要低一些。sF-sX–sN（FIN、Xmas-Tree和Null扫描）01仅希望了解网络上哪些主机是开放的，Nmap可以通过对指定IP发送ICMP的echorequest信息包来做到这一点，有回应的主机就是开放的。但一些站点对echorequest包设置了障碍，这样的话Nmap还能发送一个TCPACK包到80端口（默认），如果获得了RST返回，机器是开放的。第三个方法是发送一个SYN信息包并等待RST或SYN｜ACK响应。作为非root的用户可以使用的，常用connect()模式。对root来说，默认的Nmap同时使用ICMP和ACK方法扫描，不想探测任何实