端口扫描技术.pptVIP

端口扫描技术;;如果把IP地址比作一间房子，端口就是出入这间房子的门。真正的房子只有几个门，但是一个IP地址的端口可以有65536个之多！端口是通过端口号来标记的，端口号只有整数，范围是从0到65535。端口有什么用呢？我们知道，一台拥有IP地址的主机可以提供许多效劳，比方Web效劳、FTP效劳、SMTP效劳等，这些效劳完全可以通过1个IP地址来实现。那么，主机是怎样区分不同的网络效劳呢？显然不能只靠IP地址，因为IP地址与网络效劳的关系是一对多的关系。实际上是通过“IP地址+端口号”来区分不同的效劳的。;例：有三个用户通过Telnet登录到效劳器C上，一共有三个连接，表示为：

〔，500〕与〔，23〕连接

，501)与，23)连接

〔，500〕与〔，23〕连接;2、端口的分类

公认端口〔熟知端口〕：一些常用的应用程序固定使用的熟知端口，其值一般在0~1023;注册端口：端口范围为1024~49151

计算机将这些端口分配给用户进程或应用程序。这些进程主要是用户选择安装的一些应用程序，而不是已经分配了公认端口的常用程序。这些端口可以根据用户程序的需要临时指定。很多远程控制软件、木马程序等黑客软件都有可能利用这些端口号来运行自己的程序。

例如:许多系统处理动态端口从1024左右开始。如冰河默认连接端口是7626、WAY2.4是8011、Netspy3.0是7306、YAI病毒是1024等等。;动态端口：端口范围为49152~65535。

之所以称为动态端口，是因为它一般不固定分配某种效劳，而是动态分配。动态分配是指当一个系统进程或应用程序进程需要网络通信时，它向主机申请一个端口，主机从可用的端口号中分配一个供它使用。当这个进程关闭时，同时也就释放了所占用的端口号。

实际上，黑客常利用这局部端口来运行特定的木马程序，因为这类端口非常隐蔽，不容易被人觉察。;;通过使用扫描软件，可以不留痕迹的发现远程效劳器或者本地主机的各种TCP端口的分配及提供的效劳和它们的软件版本！这就能让我们间接的或直观的了解到远程主机所存在的平安问题。;扫描软件一般应该有三项功能：

发现运行中的一个主机或网络的能力；

一旦发现一台主机???有发现什么效劳正运行在这台主机上的能力；

通过测试这些效劳，发现存在什么漏洞的能力。

编写扫描软件必须要很多TCP/IP程序编写和C,Perl和或SHELL语言的知识。需要一些Socket编程的背景，一种在开发客户/效劳应用程序的方法。

扫描软件是一把双刃剑：

利用它可以更好地发现自己机器存在的问题和漏洞。

黑客可以利用它，为自己的攻击提供条件。;常见TCP公认端口号

FTP 21 文件传输效劳

TELNET 23 远程登陆效劳

HTTP 80 网页浏览效劳

POP3 110 邮件效劳

SMTP 25 简单右键传输效劳

常见UDP公认端口号

RPC 111 远程调用

SNMP 161 简单网络管理

TFTP 69 简单文件传输

;二、端口扫描原理;三、常用的扫描技术;〔1〕TCPconnect扫描

这是最根本的扫描方式。如果目标主机上的某个端口处于侦听状态，可根据其IP地址和端口号并调用connect()与其建立连接。假设目标主机未开放该端口，那么connect操作失败。因此，使用这种方法可以检测到目标主机开放了那些端口。注意，在执行这种扫描方式时，不需要对目标主机拥有任何权限，并且可以通过翻开多个套接字来加速扫描。

〔2〕TCPSYN扫描

这种技术通常认为是“半”扫描，扫描程序发送一个SYN数据包，等待目标主机的应答。如果目标主机返回SYN|ACK，表示端口处于侦听状态。假设返回RST，表示端口没有处于侦听状态。如果收到一个SYN|ACK，那么扫描程序发送一个RST数据包，来终止这个连接。这种扫描技术要求攻击者在发起攻击的计算机上必须有超级用户或授权用户的权限。;〔3〕TCPFIN扫描

一些防火墙会对一些指定的端口进行监视，因此TCPSYN扫描攻击可能会被检测并纪录下来。FIN数据包可以通过它们而不留痕迹。

向目标主机的某个端口发送FIN数据包，假设端口处于侦听状态，目标主机不会回复FIN数据包。相反，假设端口未被侦听，目标主时机用适当的RST来回复。

但某些系统对所有的FIN一律回复RST，而不管端口是否翻开，在这种情况下，TCPFIN扫描是不适用的。

〔4〕IP分片扫描

这种方法并不直接发送TCP探测数据包，而是预先将数据包分成两个较小的IP数据包传送给目标主机。将数据包分