《端口扫描.docx》由会员分享,可在线阅读,更多相关《端口扫描.docx(4页珍藏版)》请在三一文库上搜索。
1、.一、高级 ICMP扫描技术Ping 就是利用 ICMP协议走的,高级的 ICMP扫描技术主要是利用 ICMP协议最基本的用途:报错。根据网络协议,如果按照协议出现了错误,那么接收端将产生一个 ICMP的错误报文。这些错误报文并不是主动发送的,而是由于错误,根据协议自动产生。当 IP 数据报出现 checksum 和版本的错误的时候,目标主机将抛弃这个数据报,如果是 checksum出现错误,那么路由器就直接丢弃这个数据报了。有些主机比如 AIX、HP-UX等,是不会发送 ICMP的 Unreachable 数据报的。我们利用下面这些特性:1、向目标主机发送一个只有 IP 头的 IP 数据包,
2、目标将返回 Destination Unreachable 的 ICMP错误报文。2、向目标主机发送一个坏 IP 数据报,比如,不正确的 IP 头长度,目标主机将返回 Parameter Problem 的 ICMP错误报文。3、当数据包分片但是,却没有给接收端足够的分片,接收端分片组装超时会发送分片组装超时的 ICMP数据报。向目标主机发送一个 IP 数据报,但是协议项是错误的,比如协议项不可用,那么目标将返回 Destination Unreachable 的 ICMP报文,但是如果是在目标主机前有一个防火墙或者一个其他的过滤装置, 可能过滤掉提出的要求, 从而接收不到任何回应。可以使用一
3、个非常大的协议数字来作为 IP 头部的协议内容,而且这个协议数字至少在今天还没有被使用,应该主机一定会返回Unreachable ,如果没有 Unreachable 的 ICMP数据报返回错误提示,那么就说明被防火墙或者其他设备过滤了,我们也可以用这个办法来探测是否有防火墙或者其他过滤设备存在。利用 IP 的协议项来探测主机正在使用哪些协议, 我们可以把 IP 头的协议项改变,因为是 8 位的,有 256 种可能。通过目标返回的 ICMP错误报文,来作判断哪些协议在使用。如果返回 Destination Unreachable ,那么主机是没有使用这个协议的,相反,如果什么都没有返回的话,主机
4、可能使用这个协议,但是也可能是防火墙等过滤掉了。 NMAP的 IP Protocol scan 也就是利用这个原理。利用 IP 分片造成组装超时 ICMP错误消息,同样可以来达到我们的探测目的。 当主机接收到丢失分片的数据报, 并且在一定时间内没有接收到丢失的数据报, 就会丢弃整个包,并且发送 ICMP分片组装超时错误给原发送端。我们可以利用这个特性制造分片的数据包, 然后等待 ICMP组装超时错误消息。 可以对 UDP分片,也可以对 TCP甚至 ICMP数据包进行分片,只要不让目标主机获得完整的数据包就行了,当然,对于 UDP这种非连接的不可靠协议来说, 如果我们没有接收到超时错误的 ICM
5、P返回报,也有可能时由于线路或者其他问题在传输过程中丢失了。;.我们能够利用上面这些特性来得到防火墙的 ACL( access list ),甚至用这些特性来获得整个网络拓扑结构。 如果我们不能从目标得到 Unreachable 报文或者分片组装超时错误报文,可以作下面的判断:1、防火墙过滤了我们发送的协议类型2、防火墙过滤了我们指定的端口3、防火墙阻塞 ICMP的 Destination Unreachable 或者 Protocol Unreachable 错误消息。4、防火墙对我们指定的主机进行了ICMP错误报文的阻塞。二、高级 TCP扫描技术最基本的利用 TCP扫描就是使用 conne
6、ct() ,这个很容易实现,如果目标主机能够 connect ,就说明一个相应的端口打开。不过,这也是最原始和最先被防护工具拒绝的一种。在高级的 TCP扫描技术中主要利用 TCP连接的三次握手特性和 TCP数据头中的标志位来进行,也就是所谓的半开扫描。先认识一下 TCP数据报头的这六个标志位。URG:( Urgent Pointer field significant)紧急指针。用到的时候值为1,用来处理避免 TCP数据流中断ACK:(Acknowledgment field significant )置 1 时表示确认号(Acknowledgment Number)为合法,为 0 的时候表示
7、数据段不包含确认信息,确认号被忽略。PSH:( Push Function ), PUSH标志的数据,置 1 时请求的数据段在接收方得到后就可直接送到应用程序,而不必等到缓冲区满时才传送。RST:( Reset the connection )用于复位因某种原因引起出现的错误连接,也用来拒绝非法数据和请求。如果接收到 RST位时候,通常发生了某些错误。SYN:( Synchronize sequence numbers)用来建立连接,在连接请求中, SYN=1,ACK=0,连接响应时, SYN=1,ACK=1。即,SYN和 ACK来区分 Connection Request和 Connecti
8、on Accepted 。FIN:( No more data from sender )用来释放连接,表明发送方已经没有数据发送了。;.TCP协议连接的三次握手过程是这样的:首先客户端(请求方)在连接请求中,发送 SYN=1,ACK=0的 TCP数据包给服务器端(接收请求端),表示要求同服务器端建立一个连接;然后如果服务器端响应这个连接,就返回一个 SYN=1, ACK=1的数据报给客户端,表示服务器端同意这个连接,并要求客户端确认;最后客户端就再发送 SYN=0,ACK=1的数据包给服务器端,表示确认建立连接。我们就利用这些标志位和TCP协议连接的三次握手特性来进行扫描探测。SYN 扫描这
9、种扫描方式也被称为“半打开” 扫描,因为利用了 TCP协议连接的第一步,并且没有建立一个完整的 TCP连接。实现办法是向远端主机某端口发送一个只有SYN标志位的 TCP数据报,如果主机反馈一个 SYN | ACK 数据包,那么,这个主机正在监听该端口,如果反馈的是RST数据包,说明,主机没有监听该端口。在X-Scanner 上就有 SYN的选择项。ACK 扫描发送一个只有 ACK标志的 TCP数据报给主机, 如果主机反馈一个 TCPRST数据报来,那么这个主机是存在的。 也可以通过这种技术来确定对方防火墙是否是简单的分组过滤,还是一个基于状态的防火墙。FIN对某端口发送一个 TCPFIN 数据
10、报给远端主机。如果主机没有任何反馈,那么这个主机是存在的,而且正在监听这个端口;主机反馈一个 TCPRST回来,那么说明该主机是存在的,但是没有监听这个端口。NULL即发送一个没有任何标志位的 TCP包,根据 RFC793,如果目标主机的相应端口是关闭的话,应该发送回一个 RST数据包。FIN+URG+PUSH向目标主机发送一个 Fin 、 URG和 PUSH分组,根据 RFC793,如果目标主机的相应端口是关闭的,那么应该返回一个 RST标志。上面这些办法可以绕过一些防火墙, 从而得到防火墙后面的主机信息, 当然,是在不被欺骗的情况下的。 这些方法还有一个好处就是比较难于被记录, 有的办法;.即使在用 netstat 命令上也根本显示不出来, 而且一般的安全防护设备也根本不记录这些内容,这样能够更好地隐藏自己。三、高级 UDP扫描技术在 UDP实现的扫描中, 多是了利用和 ICMP进行的组合进行, 这在 ICMP中以及提及了。还有一些特殊的就是 UDP回馈,比如 SQL SERVER,对其 1434 端口发送x02或者 x03就能够探测得到其连接端口。;.