《網(wǎng)絡(luò)端口掃描》實驗指導(dǎo)一、實驗?zāi)康?、學(xué)習(xí)端口掃描技術(shù)的基本原理，理解端口掃描技術(shù)在網(wǎng)絡(luò)攻防中的應(yīng)用；2、通過上機實驗，熟練掌握目前最為常用的網(wǎng)絡(luò)掃描工具Nmap的使用，并能利用工具掃描漏洞，更好地彌補安全不足。二、實驗預(yù)習(xí)提示1、網(wǎng)絡(luò)掃描概述掃描是通過向目標(biāo)主機發(fā)送數(shù)據(jù)報文，然后根據(jù)響應(yīng)獲得目標(biāo)主機的情況。根據(jù)掃描對象的不同，可以分為基于主機的掃描和基于網(wǎng)絡(luò)的掃描2種，其中基于主機的掃描器又稱本地掃描器，它與待檢查系統(tǒng)運行于同一節(jié)點，執(zhí)行對自身的檢查。通常在目標(biāo)系統(tǒng)上安裝了一個代理（Agent）或者是服務(wù)（Services），以便能夠訪問所有的文件與進(jìn)程，它的主要功能為分析各種系統(tǒng)文件內(nèi)容，查找可能存在的對系統(tǒng)安全造成威脅的漏洞或配置錯誤；而基于網(wǎng)絡(luò)的掃描器又稱遠(yuǎn)程掃描器，一般它和待檢查系統(tǒng)運行于不同的節(jié)點上，通過網(wǎng)絡(luò)來掃描遠(yuǎn)程計算機。根據(jù)掃描方式的不同，主要分為地址掃描、漏洞掃描和端口掃描3類。（1）地址掃描地址掃描是最簡單、最常見的一種掃描方式，最簡單的方法是利用Ping程序來判斷某個IP地址是否有活動的主機，或者某個主機是否在線。其原理是向目標(biāo)系統(tǒng)發(fā)送ICMP回顯請求報文，并等待返回的ICMP回顯應(yīng)答。傳統(tǒng)的Ping掃描工具一次只能對一臺主機進(jìn)行測試，效率較低，現(xiàn)在如Fping（Fastping）等工具能以并發(fā)的形式向大量的地址發(fā)出Ping請求，從而很快獲得一個網(wǎng)絡(luò)中所有在線主機地址的列表。但隨著安全防范意識的提供，很多路由器和防火墻都會進(jìn)行限制，只要加入丟棄ICMP回顯請求信息的相關(guān)規(guī)則，或者在主機中通過一定的設(shè)置禁止對這樣的請求信息應(yīng)答，即可對ICMP回顯請求不予響應(yīng)，（2）漏洞掃描漏洞掃描是使用漏洞掃描器對目標(biāo)系統(tǒng)進(jìn)行信息查詢，檢查目標(biāo)系統(tǒng)中可能包含的已知漏洞，從而發(fā)現(xiàn)系統(tǒng)中存在的不安全地方。其原理是采用基于規(guī)則的匹配技術(shù)，即根據(jù)安全專家對網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員對網(wǎng)絡(luò)系統(tǒng)安全配置的實際經(jīng)驗，形成一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)漏洞庫，然后在此基礎(chǔ)上構(gòu)成相應(yīng)的匹配規(guī)則，通過漏洞庫匹配的方法來檢查目標(biāo)設(shè)備是否存在漏洞。在端口掃描后，即可知道目標(biāo)主機開啟的端口以及端口上提供的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與漏洞庫進(jìn)行匹配，即可查看是否有滿足匹配條件的漏洞存在。漏洞掃描大體包括CGI、POP3、FTP、HTTP和SSH漏洞掃描等。漏洞掃描的關(guān)鍵是所使用的漏洞庫，漏洞庫信息的完整性和有效性決定了漏洞掃描器的性能，漏洞庫的修訂和更新的性能也會影響漏洞掃描器運行的時間。（3）端口掃描端口是網(wǎng)絡(luò)連接的附著點，不同的應(yīng)用進(jìn)程使用不同的端口，如果一個應(yīng)用程序希望提供某種服務(wù)，它將自己附著在端口上等待客戶請求的到來（即對端口進(jìn)行監(jiān)聽），希望使用此服務(wù)的客戶則在本地主機分配一個端口，與遠(yuǎn)程主機的服務(wù)端口連接，客戶通過聯(lián)系這些特殊的端口來獲取特殊的服務(wù)。在網(wǎng)絡(luò)連接中，服務(wù)器端的進(jìn)程需要一直處于監(jiān)聽狀態(tài)，并且持續(xù)使用相同端口；而客戶端的進(jìn)程則只需要在和服務(wù)器建立連接時動態(tài)地創(chuàng)建一個端口，并在連接結(jié)束后立即釋放。一般來說，端口掃描的對象是前者，即作為網(wǎng)絡(luò)服務(wù)開放的端口。由于網(wǎng)絡(luò)端口是計算機和外界相連的通道，因此疏于管理可能留下嚴(yán)重的安全隱患。端口掃描是利用網(wǎng)絡(luò)協(xié)議的安全漏洞，通過非常規(guī)的方法來確定連接在網(wǎng)絡(luò)上目標(biāo)主機的哪些端口是開放的技術(shù)。其原理是通過向目標(biāo)系統(tǒng)的TCPhuoUDP端口發(fā)送一定數(shù)量、帶有各種特殊標(biāo)識的報文，然后記錄目標(biāo)系統(tǒng)反饋的報文信息，再分析判斷其上端口的狀態(tài)。2、端口掃描的用途一般來說，端口掃描有以下三種用途：（1）獲取目標(biāo)系統(tǒng)上的端口信息，用于識別其上具有的TCP和UDP服務(wù)；（2）獲得目標(biāo)系統(tǒng)返回報文的某些特殊標(biāo)識，識別目標(biāo)系統(tǒng)的操作系統(tǒng)類型；（3）進(jìn)一步結(jié)合其他技術(shù)得到具體端口的詳細(xì)信息，從而識別某個特定服務(wù)的版本號。3、端口掃描的方法（1）基于連接的掃描1）TCP全連接掃描TCP全連接掃描是端口掃描的基本形式，掃描主機通過TCP/IP協(xié)議的三次握手與目標(biāo)主機的指定端口建立一次完整的連接。建立連接成功時，目標(biāo)主機回應(yīng)一個SYN/ACK數(shù)據(jù)包，表明目標(biāo)主機的目標(biāo)端口處于監(jiān)聽（打開）狀態(tài)；建立連接失敗時，目標(biāo)主機會向掃描主機發(fā)送RST響應(yīng)，表明該目標(biāo)端口處于關(guān)閉狀態(tài)。TCP全連接掃描的優(yōu)點是易于實現(xiàn)，系統(tǒng)中任何用戶都有權(quán)限使用此調(diào)用；缺點是很容易被發(fā)覺并被過濾掉，目標(biāo)計算機的日志文件會顯示一連串的成功連接和連接出錯的服務(wù)信息。2）TCPSYN掃描TCPSYN掃描也稱半開放掃描，掃描程序向目標(biāo)主機端口發(fā)送一個SYN數(shù)據(jù)包，若收到RST響應(yīng)則表明目標(biāo)端口關(guān)閉，若收到SYN/ACK響應(yīng)則表明目標(biāo)端口開放，處于偵聽狀態(tài)，此時掃描程序再發(fā)送一個RST信號給目標(biāo)主機，終止建立連接。由于并未建立全連接，故常將此掃描方式稱為半開放掃描。TCPSYN掃描的優(yōu)點是一般不會在目標(biāo)主機上留下記錄，但缺點是需要有管理員權(quán)限才能建立自己的SYN數(shù)據(jù)包。（2）隱蔽掃描隱蔽掃描技術(shù)不含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何一部分，比SYN掃描更隱蔽，很難被記錄追蹤。隱蔽掃描采用包含F(xiàn)IN標(biāo)志的TCP包來探測端口，如果探測的端口處于關(guān)閉狀態(tài)，則目標(biāo)主機返回一個RST信號；如果探測的端口處于偵聽狀態(tài)，則目標(biāo)主機會忽略對FIN數(shù)據(jù)包的回復(fù)，即目標(biāo)主機不會返回RST信號。XmasTree和Null掃描方式是基于以上原理的變形和發(fā)展。XmasTree掃描打開FIN、URG和PSH標(biāo)志，而Null掃描則關(guān)閉所有標(biāo)志，這些組合的目的都是為了通過所謂的FIN標(biāo)記監(jiān)測器的過濾。隱蔽掃描的優(yōu)點是比較隱蔽，不易被記錄追蹤，但通常用于UNIX系統(tǒng)及其他少數(shù)系統(tǒng)，對Windows系統(tǒng)不適用，同時與SYN掃描類似，也需要自己構(gòu)造IP數(shù)據(jù)包。（3）輔助掃描手段1）分段掃描分段掃描一般結(jié)合其他方法來提供更為隱蔽的掃描，它并不是直接發(fā)送TCP探測數(shù)據(jù)包，而是將原來封裝在一個報文的探測信息（往往在TCP報頭中）拆分至兩個或多個較小的報文中，算好各自的偏移，并都置系統(tǒng)的標(biāo)識，然后發(fā)送，使其難以被過濾。掃描器從IP分片中劈開TCP頭，由于包過濾防火墻看不到一個完整的TCP頭，無法對應(yīng)相應(yīng)的過濾規(guī)則，從而可繞過包過濾防火墻。2）ACK掃描ACK掃描并不能識別端口是否打開，但可以判斷目標(biāo)主機是否受到防火墻的保護(hù)，以及防火墻的類型。因為RFC文檔規(guī)定對于來訪的ACK報文，物理端口打開與否，均返回圖3.1.1全面TCP掃描圖3.1.2使用Ping掃描方式探測主機圖3.1.3TCP連接掃描4、UDP掃描Nmap默認(rèn)監(jiān)聽的是目標(biāo)主機的TCP端口，由于現(xiàn)在防火墻設(shè)備的流行，TCP端口的管理狀態(tài)越來越嚴(yán)格，不會輕易開放，并且通信監(jiān)視嚴(yán)格。UDP掃描可以用來確定主機上哪些UDP端口處于開放狀態(tài)，其原理是通過發(fā)送零字節(jié)的UDP信息包到目標(biāo)機器的各個端口，如果收到一個ICMP端口無法到達(dá)的回應(yīng)，那么該端口是關(guān)閉的，否則可以認(rèn)為它是開放的。該方式的優(yōu)點是利用UDP端口關(guān)閉時返回的ICMP信息，不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分，因此隱蔽性好。其缺點是由于UDP是不面向連接的，這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡(luò)時容易被丟棄從而產(chǎn)生錯誤的探測信息，所以整個精度會比較低；同時，由于不同操作系統(tǒng)在實現(xiàn)ICMP協(xié)議的時候為了避免廣播風(fēng)暴都會有峰值速率的限制，因此掃描速度比較慢。這一掃描方法命令行格式為：nmap–sUIP地址，如nmap–sU，則可對目標(biāo)主機進(jìn)行UDP掃描，輸出結(jié)果如圖3.1.4所示。圖3.1.4UDP掃描5、秘密掃描1）TCPSYN掃描這種方式是半開放式的TCP同步掃描，掃描程序不打開完整的TCP連接，發(fā)送一個SYN信息包并等待對方的回應(yīng)。掃描原理參見“實驗預(yù)習(xí)提示”中的“TCPSYN掃描”。這種掃描的的最大好處是可以進(jìn)行更加隱蔽的掃描，防止被目標(biāo)主機監(jiān)測到，只有極少的站點會對它作出記錄，但是需要有root權(quán)限來定制這些SYN包。命令行格式為：nmap–sSIP地址，如nmap–sS，則可對目標(biāo)主機進(jìn)行TCPSYN掃描，輸出結(jié)果如圖3.1.5所示。將TCPSYN掃描與前面的TCPconnect掃描進(jìn)行對比，可以看出TCPSYN掃描的速度明顯比TCPconnect掃描快，掃描結(jié)果略有不同。圖3.1.5TCPSYN掃描SYN掃描在有些情況下仍不夠隱蔽，一些防火墻及信息包過濾裝置會在重要端口守護(hù)，只要安裝了過濾和日志軟件來檢測同步空閑字符SYN，則-sS的隱蔽作用就失效了，SYN包在此時便會被截獲，一些應(yīng)用軟件如Synlogger以及Courtney對偵測這種類型的掃描都是行家。所以，需要有更進(jìn)一步的隱蔽掃描方式。2）FIN掃描、XmasTree掃描和Null掃描由于關(guān)閉的端口會對發(fā)送的探測信息返回一個RST，而打開的端口則對其忽略不理。所以，F(xiàn)IN掃描使用空的FIN信息包作為探針，XmasTree使用FIN、URG、PUSH標(biāo)記，Null掃描則不用任何標(biāo)記。需要注意的是此方法與系統(tǒng)的實現(xiàn)有一定的關(guān)系，由于微軟的堅持和獨特，對于運行Windows95/98或NT的機器不管端口是否打開都會回復(fù)RST，因此FIN、XmasTree和Null掃描的結(jié)果都是端口關(guān)閉。命令行格式分別為：nmap–sFIP地址，nmap–sXIP地址，nmap–sNIP地址，如nmap–sF，則可對目標(biāo)主機進(jìn)行FIN掃描，輸出結(jié)果如圖3.1.6所示；nmap–sX，則可對目標(biāo)主機進(jìn)行XmasTree掃描，輸出結(jié)果如圖3.1.7所示；nmap–sN，則可對目標(biāo)主機進(jìn)行Null掃描，輸出結(jié)果如圖3.1.8所示。按照上述原理，這其實也是一個很好的區(qū)分Windows和Unix/Linux兩種平臺的方法，如果掃描發(fā)現(xiàn)了打開的端口，那就能知道目標(biāo)主機運行的不是Windows；如果-sF、-sX、-sN的掃描顯示所有端口都是關(guān)閉的，但一個SYN掃描卻顯示有打開端口，則能大致推斷目標(biāo)主機是Windows平臺。當(dāng)然，這只是一個簡單應(yīng)用，nmap有更徹底的操作系統(tǒng)辨別方法。6、操作系統(tǒng)指紋識別該方法經(jīng)由TCP/IP來獲取“指紋”，從而判別目標(biāo)主機的操作系統(tǒng)類型，其原理是用一連串的信息包探測出所掃描的主機位于操作系統(tǒng)有關(guān)堆棧的信息，并區(qū)分其精細(xì)差異，以此判別操作系統(tǒng)。它用搜集到的信息建立一個“指紋”，用來同已知的操作系統(tǒng)的指紋相比較，這樣判定操作系統(tǒng)就有了依據(jù)。命令行格式為：nmap–OIP地址，如nmap–O，則可對目標(biāo)主機進(jìn)行操作系統(tǒng)類型探測，輸出結(jié)果如圖3.1.9所示。圖3.1.6FIN掃描圖3.1.7XmasTree掃描圖3.1.8Null掃描 圖3.1.9操作系統(tǒng)指紋識別注意，nmap的這種方式有時也會得到錯誤的診斷信息，比如系統(tǒng)有端口開放。但nmap返回不可識別的操作系統(tǒng)，這也是有可能的，這時可以用nmap的-d參數(shù)來測試，詳見nmap參考文檔。 7、其他應(yīng)用（1）掃描主機群除了掃描單個目標(biāo)主機，還可以同時掃描一個主機群，如：nmap–sT–O-10就可以同時掃描并探測IP地址在-0之間的每一臺主機。當(dāng)然這需要更多的時間，耗費更多的系統(tǒng)資源和網(wǎng)絡(luò)帶寬，輸出結(jié)果頁可能會很長。此時可以用下面的命令將結(jié)果重定向輸送到一個文件中：nmap–sT–O–oNscan_result.txt-10，輸出結(jié)果如圖3.1.10所示。（2）其他常用參數(shù)1）-I：進(jìn)行TCP反向用戶認(rèn)證掃描，可以透露掃描用戶信息。其原理是利用了Ident協(xié)議(RFC1413)，Ident協(xié)議允許看到通過TCP連接的任何進(jìn)程的擁有者的用戶名，即使這個連接不是由該進(jìn)程發(fā)起的。例如可以連接到一個http端口，然后通過ident來發(fā)現(xiàn)服務(wù)器是否正在以root權(quán)限運行。但這種掃描方式只能在和目標(biāo)端口建立了一個完整的TCP全連接之后才有效，并且實際上很多主機都會關(guān)閉ident服務(wù)，因此在高版本Nmap中已不再支持這種掃描方式。命令行格式為：nmap–IIP地址，如nmap–I，則可對目標(biāo)主機進(jìn)行TCP反向用戶認(rèn)證掃描，輸出結(jié)果如圖3.1.11所示。圖3.1.10掃描主機群圖3.1.11TCP反向用戶認(rèn)證掃描2）-iR：進(jìn)行隨機主機掃描。命令行格式為：nmap–iR掃描主機數(shù)，如nmap–iR3，則可對3個隨機目標(biāo)主機進(jìn)行掃描，輸出結(jié)果如圖3.1.12所示。3）-p：掃描特定的端口范圍，默認(rèn)掃描的是從1到1024端口。命令行格式為：nmap–p端口范圍IP地址，如nmap–p1025-3000，則可對目標(biāo)主機中1025-3000范圍內(nèi)的端口進(jìn)行掃描，輸出結(jié)果如圖3.1.13所示。圖3.1.12隨機主機掃描圖3.1.13特定的端口范圍掃描4）-v：詳細(xì)模式，能帶來更多信息，進(jìn)行長數(shù)據(jù)顯示，-v–v是最長數(shù)據(jù)顯示。命令行格式為：nmap–vIP地址，如nmap–v，則可對目標(biāo)主機進(jìn)行詳細(xì)模式掃描，輸出結(jié)果如圖3.1.14所示。5）-host_timeout<毫秒數(shù)>：超時參數(shù)，具體制定nmap對某個IP的掃描時間總量，超過則作不通處理，默認(rèn)值是不做設(shè)定。網(wǎng)絡(luò)設(shè)備上被過濾掉的端口一般會大大延長偵測時間，設(shè)置超時參數(shù)有時可以顯著