端口掃描技術1、什么是端口（Port）？端口便是計算機與外部通信的途徑。在計算機領域中可以分為硬件端口和軟件端口兩類。硬件端口又稱為接口，如并口，串口，用于連接各類相關的硬件。集線器、交換機、路由器的端口指的是連接其他網絡設備的接口，如RJ-45端口、Serial端口等。

如果把IP地址比作一間房子，端口就是出入這間房子的門。真正的房子只有幾個門，但是一個IP地址的端口可以有65536個之多！端口是通過端口號來標記的，端口號只有整數，范圍是從0到65535。端口有什么用呢？我們知道，一臺擁有IP地址的主機可以提供許多服務，比如Web服務、FTP服務、SMTP服務等，這些服務完全可以通過1個IP地址來實現。那么，主機是怎樣區分不同的網絡服務呢？顯然不能只靠IP地址，因為IP地址與網絡服務的關系是一對多的關系。實際上是通過“IP地址+端口號”來區分不同的服務的。

例：有三個用戶通過Telnet登錄到服務器C上，一共有三個連接，表示為：（2，500）與（4，23）連接

(2，501)與(4，23)連接（4，500）與（4，23）連接

一、端口掃描的基本概念2、端口的分類公認端口（熟知端口）：一些常用的應用程序固定使用的熟知端口，其值一般在0~1023注冊端口：端口范圍為1024~49151

計算機將這些端口分配給用戶進程或應用程序。這些進程主要是用戶選擇安裝的一些應用程序，而不是已經分配了公認端口的常用程序。這些端口可以根據用戶程序的需要臨時指定。很多遠程控制軟件、木馬程序等黑客軟件都有可能利用這些端口號來運行自己的程序。例如:許多系統處理動態端口從1024左右開始。如冰河默認連接端口是7626、WAY2.4是8011、Netspy3.0是7306、YAI病毒是1024等等。動態端口：端口范圍為49152~65535。之所以稱為動態端口，是因為它一般不固定分配某種服務，而是動態分配。動態分配是指當一個系統進程或應用程序進程需要網絡通信時，它向主機申請一個端口，主機從可用的端口號中分配一個供它使用。當這個進程關閉時，同時也就釋放了所占用的端口號。

實際上，黑客常利用這部分端口來運行特定的木馬程序，因為這類端口非常隱蔽，不容易被人發覺。什么是端口掃描網絡中的每一臺計算機如同一座城堡，網絡技術中，把這些城堡的“城門”稱作計算機的端口。有很多大門對外完全開放，而有些則是緊閉的。端口掃描的目的就是要判斷主機開放了哪些服務，以及主機的操作系統的具體情況。通過使用掃描軟件，可以不留痕跡的發現遠程服務器或者本地主機的各種TCP端口的分配及提供的服務和它們的軟件版本！這就能讓我們間接的或直觀的了解到遠程主機所存在的安全問題。掃描軟件并不是一個直接的攻擊網絡漏洞的程序，它僅僅能幫助我們發現遠程或者本地主機的某些內在的弱點。一個好的掃描軟件能對它得到的數據進行分析，幫助用戶查找目標主機的漏洞。但它不會提供進入一個系統的詳細步驟。掃描軟件一般應該有三項功能：

發現運行中的一個主機或網絡的能力；

一旦發現一臺主機，有發現什么服務正運行在這臺主機上的能力；

通過測試這些服務，發現存在什么漏洞的能力。編寫掃描軟件必須要很多TCP/IP程序編寫和C,Perl和或SHELL語言的知識。需要一些Socket編程的背景，一種在開發客戶/服務應用程序的方法。掃描軟件是一把雙刃劍：利用它可以更好地發現自己機器存在的問題和漏洞。黑客可以利用它，為自己的攻擊提供條件。常見TCP公認端口號FTP 21 文件傳輸服務TELNET 23 遠程登陸服務HTTP 80 網頁瀏覽服務POP3 110 郵件服務SMTP 25 簡單右鍵傳輸服務常見UDP公認端口號RPC 111 遠程調用SNMP 161 簡單網絡管理TFTP 69 簡單文件傳輸一、端口掃描的基本概念二、端口掃描原理掃描原理TCP端口具有連接定向（connectionoriented）的特性（即是有面向連接的協議），為端口的掃描提供了基礎，所以，本章介紹的端口掃描技術，是基于TCP端口的。嘗試與目標主機某些端口建立連接，如果該端口有回復，表示該端口開放，即為“活動端口”。三、常用的掃描技術

（1）TCPconnect（）掃描（2）TCPSYN掃描（3）TCPFIN掃描（4）IP段掃描（5）TCP反向ident掃描（6）FTP返回攻擊（7）ICMPecho掃描

（8）UDPICMP端口不能到達掃描

（1）TCPconnect掃描這是最基本的掃描方式。如果目標主機上的某個端口處于偵聽狀態，可根據其IP地址和端口號并調用connect()與其建立連接。若目標主機未開放該端口，則connect操作失敗。因此，使用這種方法可以檢測到目標主機開放了那些端口。注意，在執行這種掃描方式時，不需要對目標主機擁有任何權限，并且可以通過打開多個套接字來加速掃描。（2）TCPSYN掃描這種技術通常認為是“半”掃描，掃描程序發送一個SYN數據包，等待目標主機的應答。如果目標主機返回SYN|ACK，表示端口處于偵聽狀態。若返回RST，表示端口沒有處于偵聽狀態。如果收到一個SYN|ACK，則掃描程序發送一個RST數據包，來終止這個連接。這種掃描技術要求攻擊者在發起攻擊的計算機上必須有超級用戶或授權用戶的權限。

（3）TCPFIN掃描一些防火墻會對一些指定的端口進行監視，因此TCPSYN掃描攻擊可能會被檢測并紀錄下來。FIN數據包可以通過它們而不留痕跡。向目標主機的某個端口發送FIN數據包，若端口處于偵聽狀態，目標主機不會回復FIN數據包。相反，若端口未被偵聽，目標主機會用適當的RST來回復。但某些系統對所有的FIN一律回復RST，而不管端口是否打開，在這種情況下，TCPFIN掃描是不適用的。（4）IP分片掃描這種方法并不直接發送TCP探測數據包，而是預先將數據包分成兩個較小的IP數據包傳送給目標主機。將數據包分片的目的是使他們能夠通過防火墻和包過濾器，將一個TCP分為幾個較小的數據包，可能會穿過防火墻而到達目標主機。目標主機收到這些IP包后，會把它們組合還原為原先的TCP探測數據包。

（5）TCP反向ident掃描在建立一個完整的TCP連接后，ident協議（RFC1413）允許通過TCP連接列出任何進程擁有者的用戶名（包含該進程擁有何種權限）。因此，掃描器能連接到http端口，然后檢查該服務器是否正在以root權限運行。（6）FTP反射攻擊從一個代理的FTP服務器來掃描TCP端口，就可以從防火墻的后面連接到一個FTP服務器，然后進行端口掃描。（7）ICMP_echo掃描通過執行ping命令，可以判斷出在一個網絡上主機是否能到達（即是否開機）。（8）UDPICMP不能到達掃描發起攻擊的計算機需要有root權限。許多主機在用戶向未打開的UDP端口發送一個錯誤數據包時，會返回一個ICMP_PORT_UNREACH應答。通過它來判斷哪個端口是關閉的。

全TCP連接（容易被發現）半打開式掃描（SYN掃描）FIN掃描第三方掃描三、端口掃描分類

端口掃描就是得到目標主機開放和關閉的端口列表，這些開放的端口往往與一定的服務相對應，通過這些開放的端口，就能了解主機運行的服務，然后就可以進一步整理和分析這些服務可能存在的漏洞，隨后采取針對性的攻擊。

通過端口掃描識別漏洞1.端口的關閉和開放在Windows的默認情況下，會有很多不安全的或無用的端口處于開啟狀態，比如Telnet服務的23端口、FTP服務的21端口、SMTP服務的25端口、RPC服務的135端口等等。為了保證系統的安全性，我們可以通過下面的方法來關閉/開啟端口。（1）關閉端口如：在Windows2000/XP中關閉Telnet服務的端口，操作步驟為：首先打開“控制面板”，雙擊“管理工具”，再雙擊“服務”。接著在打開的服務窗口中找到并雙擊“Telnet”服務，如圖：

四、端口的管理（2）開啟端口如果要開啟該端口只需先在“啟動類型”選擇“自動”，單擊“確定”按鈕，再打開該服務，在“服務狀態”中單擊“啟動”按鈕即可啟用該端口，最后，單擊“確定”按鈕即可。

2、管理端口可采用兩種方法：一種方法是利用系統內置的管理工具，另一種方法是利用第三方軟件來實現。（1）用“TCP/IP篩選”管理端口打開“本地連接狀態”---“屬性”按鈕---“Internet協議（TCP/IP）”---“高級”---“選項”----“TCP/IP篩選”左邊“TCP端口”上的“只允許”選上。增加你允許使用的端口，如“80”、“21”、“25”等，如圖所示，重新啟動以后未經允許的端口就關閉了。

四、端口的管理（2）端口掃描工具X-SCANNMAPX-PortPortScannerSuperScanFluxay流光X-WAY端口掃描工具X-Scan端口掃描工具X-Scan的使用步驟一：設置檢測范圍

步驟二：設置掃描模塊

開放服務：探測目標主機開放了哪些端口。

SNMP信息：探測目標主機的SNMP（簡單網絡管理協議）信息。通過對這一項的掃描，可以檢查出目標主機在SNMP中不正當的設置。

SSL漏洞：SSL是網上傳輸信用卡和賬號密碼等信息時廣泛采用的行業加密標準。但是這種標準并不是完美無缺的，可以通過X-Scan來檢測是否存在該漏洞。

RPC漏洞：RPC為RemoteProcedureCall的縮寫，即遠程過程調用。它允許一臺計算機上的程序去執行另一臺計算機上的程序。它廣泛應用于網絡服務中，由于RPC功能強大、實現復雜，因而難免出現或大或小的缺陷。有證據表明，1999年末到2000年初大規模的分布式拒絕服務攻擊中，很多被作為攻擊跳板的犧牲品就是因為存在RPC漏洞

端口掃描工具X-Scan的使用SQL-Server弱口令：如果SQL-Server（數據庫服務器）的管理員密碼采用默認設置或設置過于簡單，如“123”、“abc”等，就會被X-Scan掃描出SQL-Server弱口令。

FTP弱口令：探測FTP服務器（文件傳輸服務器）上密碼設置是否過于簡單或允許匿名登錄。

NT-Server弱口令：探測NT主機用戶名密碼是否過于簡單。

NetBIOS信息：NetBIOS（網絡基本輸入輸出協議）通過139端口提供服務。默認情況下存在?？梢酝ㄟ^NetBIOS獲取遠程主機信息。

SMTP漏洞：SMTP（簡單郵件傳輸協議）漏洞指SMTP協議在實現過程中的出現的缺陷（Bug）。

POP3弱口令：POP3是一種郵件服務協議，專門用來為用戶接收郵件。選擇該項后，X-Scan會探測目標主機是否存在POP3弱口令。

端口掃描工具X-Scan的使用CGI“公用網關接口”漏洞：自動探測成百個CGI漏洞。它可以實現Web服務器和瀏覽器（用戶）的信息交互。通過CGI程序接受Web瀏覽器發送給Web服務器的信息，進行處理，將響應結果再回送給Web服務器及Web瀏覽器。如常見的表單（Form）數據的處理、數據庫查詢等。如果設置不當，可以讓未授權者通過CGI漏洞進行越權操作。

IIS漏洞：IIS是微軟操作系統提供的Internet信息服務器。自IIS的誕生之日起，它的漏洞就沒有間斷過。X-Scan可以掃描出多種常見的IIS漏洞，如“.PRINTER漏洞”，“Unicode漏洞”等。

BIND漏洞：BIND為BerkeleyInternetNameDomain的縮寫，是通過軟件來實現域名解析系統（DomainNameSystem）。與前面提到的一樣，它在提供服務的同