端口掃描原理-CSNA論壇.ppt

1、端口掃描原理,端口掃描,端口掃描是通過與目標系統(tǒng)的TCP/IP端口連接，查看該系統(tǒng)處于監(jiān)聽或運行狀態(tài)的服務。 一項自動探測本地和遠程系統(tǒng)端口開放情況的策略及方法，它使系統(tǒng)用戶了解系統(tǒng)目前向外界提供了哪些服務，從而為管理或攻擊提供了一種手段。,端口掃描,原理 1）向目標主機的TCP/IP服務端口發(fā)送探測數(shù)據(jù)包，記錄目標主機的響應。 2）分析響應，判斷服務端口是打開還是關閉，得知端口提供的服務或信息。 端口掃描也可以通過捕獲本地主機或服務器的流入流出IP數(shù)據(jù)包對本地主機的運行情況進行監(jiān)視，查找內(nèi)在弱點。,端口掃描,1、TCP概述 2、TCP掃描 1）全連接掃描 2）半連接掃描（TCP SYN掃描）

2、 3）TCP FIN掃描（秘密掃描） 4）TCP Xmas和TCP null 5）間接掃描 3、UDP掃描 4、防范,TCP 協(xié)議概述,源端口和目的端口字段各占2 字節(jié)。端口是運輸層與應用層的服務接口。運輸層的復用和分用功能都要通過端口才能實現(xiàn)。,序號字段占4 字節(jié)。TCP 連接中傳送的數(shù)據(jù)流中的每一個字節(jié)都編上一個序號。序號字段的值則指的是本報文段所發(fā)送的數(shù)據(jù)的第一個字節(jié)的序號。,確認號字段占4 字節(jié)，是期望收到對方的下一個報文段的數(shù)據(jù)的第一個字節(jié)的序號。,數(shù)據(jù)偏移占4 bit，它指出TCP 報文段的數(shù)據(jù)起始處距離TCP 報文段的起始處有多遠?！皵?shù)據(jù)偏移”的單位不是字節(jié)而是32 bit 字（

3、4 字節(jié)為計算單位）。,保留字段占6 bit，保留為今后使用，但目前應置為0。,緊急比特URG 當URG =1 時，表明緊急指針字段有效。它告訴系統(tǒng)此報文段中有緊急數(shù)據(jù)，應盡快傳送(相當于高優(yōu)先級的數(shù)據(jù))。,確認比特ACK 只有當ACK =1 時確認號字段才有效。當ACK =0 時，確認號無效。,推送比特PSH (PuSH) 接收TCP 收到推送比特置1 的報文段，就盡快地交付給接收應用進程，而不再等到整個緩存都填滿了后再向上交付。,復位比特RST (ReSeT) 當RST =1 時，表明TCP 連接中出現(xiàn)嚴重差錯（如由于主機崩潰或其他原因），必須釋放連接，然后再重新建立運輸連接。,同步比特S

4、YN 同步比特SYN 置為1，就表示這是一個連接請求或連接接受報文。,終止比特FIN (FINal) 用來釋放一個連接。當FIN =1 時，表明此報文段的發(fā)送端的數(shù)據(jù)已發(fā)送完畢，并要求釋放運輸連接。,窗口字段占2 字節(jié)。窗口字段用來控制對方發(fā)送的數(shù)據(jù)量，單位為字節(jié)。TCP 連接的一端根據(jù)設置的緩存空間大小確定自己的接收窗口大小，然后通知對方以確定對方的發(fā)送窗口的上限。,檢驗和占2 字節(jié)。檢驗和字段檢驗的范圍包括首部和數(shù)據(jù)這兩部分。在計算檢驗和時，要在TCP 報文段的前面加上12 字節(jié)的偽首部。,緊急指針字段占16 bit。緊急指針指出在本報文段中的緊急數(shù)據(jù)的最后一個字節(jié)的序號。,選項字段長度可

5、變。TCP 只規(guī)定了一種選項，即最大報文段長度MSS (Maximum Segment Size)。MSS 告訴對方TCP：“我的緩存所能接收的報文段的數(shù)據(jù)字段的最大長度是MSS 個字節(jié)?！?MSS 是TCP 報文段中的數(shù)據(jù)字段的最大長度。數(shù)據(jù)字段加上TCP 首部才等于整個的TCP 報文段。,填充字段這是為了使整個首部長度是4 字節(jié)的整數(shù)倍。,用三次握手建立TCP連接, A 的TCP 向B 發(fā)出連接請求報文段，其首部中的同步比特SYN 應置為1，并選擇序號x，表明傳送數(shù)據(jù)時的第一個數(shù)據(jù)字節(jié)的序號是x。 B 的TCP 收到連接請求報文段后，如同意，則發(fā)回確認。 B 在確認報文段中應將SYN 置為

6、1，其確認號應為x +1，同時也為自己選擇序號y。 A 收到此報文段后，向B 給出確認，其確認號應為y +1。 A 的TCP 通知上層應用進程，連接已經(jīng)建立。 當運行服務器進程的主機B 的TCP 收到主機A 的確認后，也通知其上層應用進程，連接已經(jīng)建立。,建立TCP 連接,從A 到B 的連接就釋放了，連接處于半關閉狀態(tài)。相當于A 向B 說：“我已經(jīng)沒有數(shù)據(jù)要發(fā)送了。但你如果還發(fā)送數(shù)據(jù)，我仍接收?！?釋放TCP連接,TCP掃描,思路： 通過窮舉法，依次判斷哪些端口在開放。 依次判1-1024端口是否開放。,客戶端,服務器端,端口開放,TCP掃描,1）全連接掃描 是TCP端口掃描的基礎，通過完整的

7、三次握手與目標主機的指定端口建立一次完整的連接。,客戶端,服務器端,端口開放,TCP掃描,2）半連接掃描（TCP SYN掃描） 兩次握手,客戶端,服務器端,端口開放,TCP掃描,3）TCP FIN（秘密掃描） 針對Unix系統(tǒng),客戶端,服務器端,端口開放,TCP掃描,4）TCP Xmas和TCP null 針對Unix系統(tǒng)，是TCP FIN的變種； TCP Xmas掃描打開FIN、URG、PUSH標記 NULL掃描則關閉所有標記。 目的是防止包被過濾。,TCP掃描,5）間接掃描 攻擊主機借用第三方IP（欺騙、偽裝主機IP）掃描目標主機。,攻 擊 主 機,偽 裝 主 機 第三方主機,目 標 主

8、機,使用偽裝主機IP給目標主機發(fā)包,根據(jù)端口狀態(tài)，發(fā)回應包給偽裝主機,發(fā)回應包給目標主機,監(jiān)控偽裝主機的行為，分析目標主機狀態(tài),UDP掃描,UDP概述,UDP掃描,為何UDP掃描不容易實現(xiàn)？ 1）UDP ICMP端口不可達掃描,UDP掃描,1）UDP ICMP端口不可達掃描 問題：丟包、限定ICMP差錯分組的發(fā)送頻率；需root權限,UDP掃描,2）UDP recvfrom()和write() 掃描 對非root用戶不能直接讀取“端口不可達”錯誤，Linux能間接地在它們到達時通知用戶： 對一個關閉的端口的第二次調(diào)用write()將失敗 在非阻塞的UDP套接字上調(diào)用recvfrom()時，如果ICMP出錯還沒有到達時回