今天小編給大家帶來一種黑客技術——端口掃描。我們都知道想要進房間,就必須找到門或者是窗戶。黑客也不例外,想要去攻擊目標主機,肯定要找好入口。今天大家可以通過了解這項技術,知道黑客如何找入口以及你如何防範他找到入口。
端口掃描
端口掃描是主動連接到目標系統的TCP 和UDP 端口,確定在目標系統上有那些服務正在運行或者處於監聽模式(LISTENING)的過程。只有知道那些端口是開放的,並且是什麼服務在這個端口運行,才能進行下一步的操作。進行端口掃描主要得到這幾種信息:
- 目標系統運行的TCP服務和UDP服務。
- 目標系統上的操作系統的具體類型。
- 確定目標系統上負責提供服務的應用程序和腳本。
端口掃描類型
TCP連接掃描:這種掃描是與目標主機完成完整的三次握手(SYN、SYN/ACK、ACK),因此很容易被目標主機察覺。
TCP SYN 掃描:也叫”半開掃描“,雙方並沒有建立完整的TCP連接,一般將這類事件記錄進日誌,但是不能過多的連接,否則系統會拒絕服務。
TCP FIN 掃描:向目標系統發送一個FIN數據包,如果目標系統端口是關閉的,就返回一個RST數據包。
TCP 空掃描:關掉所有的標誌,目標系統是的端口是關閉的就返回一個RST數據包。
UDP 掃描:向目標端口發送一個UDP數據包,如果返回“ICMP port unreachable”,則表明這個端口是關閉的。
TCP ACK 掃描
TCP 窗口掃描
TCP RPC 掃描
UNIX掃描TCP和UDP工具
strobe(TCP)
運行在linux上有TCP掃描工具,特點是對系統和網絡資源進行優化、高效率地掃描目標系統的能力。strobe可以輸出所有處於監聽狀態的TCP端口,缺點是不支持UDP掃描。
下載:http://linux.maruhn.com/
udp_scan (UDP) / tcp_scan(TCP)
剛好可以彌補strobe的缺點,它屬於SATAN(安全管理員網絡分析工具箱)的組件之一,工具有些過時了,還有它的缺點是會觸發IDS的掃描報警消息,所以一般用於掃描端口小於1024的。
下載:http://wwdsilx.wwdsi.com
netcat (TCP\UDP)
中文名:瑞士軍刀,簡稱:nc。提供了UDP和TCP端口掃描的能力。而且還有其它高級功能。有windows下的,也有linux下的。但在windows下UDP掃描無法進行。
nmap (UDP\TCP)
UNIX端口掃描工具,具備基本的TCP和UDP掃描功能,同時集成了其它的掃描技術。nmap提供了 “f” 選項把數據包劃分成片段,提供了 “D” 選項給目標站點灌輸多餘的信息,從而有一定的欺騙能力。
下載:http://www.insecure.org/nmap
Windows掃描TCP和UDP工具
SuperScan(UDP\TCP)
SuperScan是一款windows系統的掃描工具,提供的是圖形化界面,其中ping掃描只是其中一個功能,功能方面與fping類似,也可以同時發送多個ICMP ECHO 請求數據包,還可以發送另外3種類型的ICMP 數據包。也可以進行ping掃描的同時對目標主機名進行解析並且保存在一個HTML文件。工具中有TCP掃描器和UDP掃描器,可以靈活指定IP和端口清單。所以有ping掃描、TCP端口掃描、UDP端口掃描,還可以組合多種技術同時進行掃描。
下載:http://www.foundstone.com
WUPS(UDP)
windows下的圖形化界面UDP端口掃描器。每次只能按給定的順序對一臺主機的給定端口進行掃描。
下載:http://ntsecurity.nu
ScanLine(UDP\TCP)
windows下的命令行端口掃描器,選項非之多,功能也很全。而且能夠快速掃描很大的地址範圍,同時進行UDP和TCP掃描。
下載:http://www.foundstone.com
端口掃描的防範
檢測:通過IDS監測端口掃描活動,建立一個攻擊預警系統。UNIX下的Snort 是一款很棒的IDS免費軟件。很多防火牆都能夠監測端口掃描活動,但設置得不太全面。而且可以將你的防火牆或者入侵監測系統配置成可以通過電子郵件實時報警。對於Windows,Attacker工具可以監聽特定的端口,被監測的端口受到掃描攻擊時會發出警報。
Snort: http://snort.org
Attacker: http://foundstone.com
預防:其實最好的方法就是儘量關閉不必要的端口。在UNIX環境下在/etc/inetd.conf 文件裡註釋掉不必要的服務,然後修改系統啟動腳本禁用此類服務。在Windows下同樣也是禁用不必要的端口,在控制面板裡的服務選項。
閱讀更多 網絡事紀 的文章
