端口扫描技术实现分析

 

0x01 端口

端口的百科定义：

端口（port），可以认为是设备与外界通讯交流的出口，端口的范围是从0 到 65535，主机通常通过“IP地址+端口号”来区分不同的服务的

端口号在 0～1023之间的为通用端口

端口分类

“端口”可分为 虚拟端口 和 物理端口

1. 虚拟端口：计算机内部或交换机路由器内的端口，不可见例如计算机中的80端口、21端口、23端口等
2. 物理端口：又称为接口，可见，计算机背板的RJ45网口，交换机路由器集线器等RJ45端口，电话使用RJ11插口也属于物理端口的范畴

我们今天关注的就是计算机的虚拟端口

根据协议，端口又可分为 TCP 和 UDP

1. TCP端口：Transmission Control Protocol传输控制协议，TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议。在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功能。
2. UDP端口：User Datagram Protocol用户数据报协议，UDP是OSI参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。UDP 协议基本上是IP协议与上层协议的接口。UDP协议适用端口分别运行在同一台设备上的多个应用程序。

 

0x02 基础知识补充

在理解TCP与UDP之前，我们要先明确OSI七层模型，OSI七层模型在1984年前后被引入

TCP与UDP如同其他统称为协议，网络协议是决定系统如何在网络中通信的规则标准集，采用相同的协议，不同的系统就可以进行通信

应用层：提供文件传输、消息转换等功能，当应用需要发送数据时，会将数据发送给这一层上对应的协议

应用层协议例如：简单邮件传输协议（SMTP），超文本传输协议（HTTP）、行式打印机后台程序（LPD）、文件传输协议（FTP）、普通文件传输协议（TFTP）、Telnet

表示层：用于接收应用层的消息，并将消息转换成标准的格式（可用于计算机）

应用层协议例如：应用ASCII码（美国信息交换标准编码）转换字符，利用标签图像文件格式（TIFF）、图形交换格式（GIF）、联合图像专家组（JPEG）、扩展二进制编码十进制交换模式（RBCDIM）

会话层：用于对两侧的应用程序建立连接，包括三个步骤“链接建立”、“数据传输”，“连接释放”，会话层运用三种模式进行程序之间的通信：

1. 单工模式：通信单向发生
2. 半双工模式：双向通行，但不能同时发送数据
3. 全双工模式：双向通行，能同时发送数据

传输层：用于建立计算机间的联系

传输层协议例如：传输控制协议（TCP）、用户数据报协议（UDP）、安全套接字层（SSL）、序列包交换（SPX）

网络层：用于在数据包的首部插入具体信息，可以将数据正确的编址和路由，发送到目的地

网络层协议例如：网际控制消息协议（ICMP）、路由信息协议（RIP）、开放最短路径优先（OSPF）、边界网关协议（BGP）、互联网组管理协议（IGMP）

数据链路层：负责通信，将数据转换为物理层能看得懂的格式

数据链路层分为两个子层，逻辑链路控制（LLC）层，介质访问控制（MAC）层

数据链路层协议例如：点对点协议（PPP）、ATM、第2层隧道协议（L2TP）、FDDI、以太网（IEEE 802.3）、令牌环（IEEE 802.5）、无线以太网（IEEE 802.11）

物理层：用于将转换成的数据用于电压

物理层协议例如：综合服务数字网络（ISDN）、数字用户线路（DSL）、同步光纤网络（SONET）

 

0x03 TCP 与 UDP

TCP

图片地址：https://hmurl.cn/6n8GKdDc

运用TCP协议，两个消息在传送之前，会经过三次握手，这也就是为什么TCP为面向连接的协议，握手完成就会建立虚拟链接，并且为全双工

TCP可以确保数据到达目的地，接收到数据包会返回ACK，使用序列号，可以保证每一个数据包都被接收，经常用于可靠的传输

SMTP简单邮件传输协议在传送消息时需要确保数据的传递，就会使用TCP

三次握手

图片地址：https://hmurl.cn/aHk40hhW

发送方在通信前，会先给接收方发送一个同步包（SYN），接收方返回给一个同步包（SYN），一个应答包（ACK），之后发送方通过发送应答包（ACK）进行应答

UDP

UDP是无连接协议，相比TCP速度较快，但不能保证数据到达目的地，是一种不可靠协议，也不是用序列号

 

0x04 TCP CONNECT SCAN

TCP CONNECT SCAN本质是通过尝试建立三次握手，建立成功则返回“端口开放”，若发送方接收到 RST 则表示“端口未开放”

但是TCP CONNECT扫描速度比较慢，而且建立了完整的TCP连接，会在目标主机上留下记录信息，不够隐蔽

所以，TCP connect是TCP SYN无法使用才考虑使用的方式

python实现

知识点补充：

socket.AF_UNIX 只能够用于单一的Unix系统进程间通信

socket.AF_INET 服务器之间网络通信

socket.AF_INET6 IPv6

socket.SOCK_STREAM 流式 socket，for TCP

socket.SOCK_DGRAM 数据报式 socket，for UDP

创建 TCP Socket：

s=socket.socket(socket.AF_INET, socket.SOCK_STREAM)

创建 UDP Socket:

s=socket.socket(socket.AF_INET, socket.SOCK_DGRAM)

使用nmap

nmap -sT 地址

MSF

use auxiliary/scanner/portscan/tcp

 

0x05 TCP SYN SCAN

TCP SYN SCAN 是 TCP 半连接扫描，该方式发送 SYN 到目标端口

1. 如果收到SYN/ACK回复，可以判断端口是开放的
2. 如果收到RST包，该端口是关闭的
3. 如果没有收到回复，该端口被屏蔽了

该方式仅发送SYN包对目标主机的特定端口，但不建立完整的TCP连接，相对较隐蔽，而且效率比较高，适用范围广

使用nmap

nmap -sS 地址

MSF

use auxiliary/scanner/portscan/syn

如果遇到这种情况

sudo一下

 

0x06 TCP Xmas Tree SCAN

该扫描模式通过发送带有下列标志位的 TCP 数据包 :

1. URG：urgent紧急
2. PSH：PSH为1表示的是有真正的TCP数据包内容被传递
3. FIN：finish结束，在结束会话时使用

正常情况下，三个标志位不能被同时设置，但在此种扫描中可以用来判断哪些端口关闭还是开放

当端口关闭时，计算机接收到的数据包不包含SYN，RST，或者ACK位，会向发送方发送一个RST，若在端口开放时，则不返回任何消息

总的来说Xmas tree 就是指 flags 中 FIN、URG、PSH 被置为1的TCP包

使用nmap

MSF

use auxiliary/scanner/portscan/xmas

 

0x07 TCP NULL SCAN

NULL包是指所有的flags都为0的TCP包

如果没有收到接收方的回复，则认为端口开放，收到RST则为端口关闭

使用nmap

nmap -sN 地址

MSF

use auxiliary/scanner/portscan/xmas

 

0x08 TCP ACK SCAN

使用TCP ACK扫描不能够确定端口的关闭或者开放

向目标主机的端口发送ACK包

如果收到RST包，说明该端口没有被防火墙屏蔽

没有收到RST包，说明被屏蔽

该方式只能用于确定防火墙是否屏蔽某个端口，可以辅助TCP SYN的方式来判断目标主机防火墙的状况

使用nmap

MSF

use auxiliary/scanner/portscan/ack

 

0x09 TCP WINDOW SCAN

窗口扫描与 ACK 扫描完全相同，它利用某些系统的实现细节来区分端口是否打开，而不是总是 unfiltered 在返回 RST 时打印

简单说就是检查数据包的大小来衡量端口是否打开

如果 RST 数据包中的窗口大小不为零，则说明目标端口是开放的

使用nmap

图片地址：https://nmap.org/

 

0x10 TCP Idle Scan

空闲扫描允许完全盲端口扫描，攻击者实际上可以扫描目标，而无需从他们自己的 IP 地址向目标发送单个数据包，可以使用巧妙的侧信道攻击允许扫描从一个“僵尸主机”反弹 。入侵检测系统 (IDS) 报告会将僵尸指为攻击者

除了非常隐蔽之外，这种扫描方式允许挖掘机器之间基于IP的信任关系

空闲扫描的步骤

1. 探测僵尸的 IP ID 并记录下来。
2. 僵尸机主机上伪造一个包，并将其发送到目标主机上所需的端口，并根据端口状态，目标的反应可能会导致僵尸机的 IP ID 增加
3. 再探查僵尸机的IP ID，比较两次得到IP ID值

若僵尸机的IP ID增加了1，说明僵尸机还没有发出任何包，响应攻击者的探查请求除外

没有发送包也就意味着目标端口没有被打开

若僵尸机的IP ID增加了2，说明在两次探测之间发送了一个数据包，这个额外的数据包通常意味着端口是开放的

僵尸机空闲扫描

🧟‍♂️ 🧟‍♂️ 🧟‍♂️ 💻

nmap官网上有一张特别详细的图

为了能让读者更明白一些，我通过更直白的语言讲解一下

端口开放

攻击者向僵尸发送SYN/ACK报文，僵尸机发送回一个RST，并透露它的IP ID

目标主机发送SYN/ACK给僵尸机，以响应看起来是来自于僵尸机的来自于攻击方的SYN，僵尸返回一个SYN/ACK，在进程中增加它的IP ID

重复第一步，僵尸机的IP ID + 2

端口关闭

攻击者向僵尸发送SYN/ACK报文，僵尸机发送回一个RST，并透露它的IP ID

目标主机发送SYN/ACK给僵尸机，以响应看起来是来自于僵尸机的来自于攻击方的SYN，僵尸返回一个RST

重复第一步，僵尸机的IP ID + 1

端口被过滤

攻击者向僵尸发送SYN/ACK报文，僵尸机发送回一个RST，并透露它的IP ID

目标主机忽略了SYN，也没有向僵尸机发送RST，没有任何相应IP ID也没有增加

重复第一步，僵尸机的IP ID + 1

 

0x11 UDP Scan

由于 UDP 扫描通常比 TCP 更慢且更困难，但是也不能忽略UDP端口扫描

它可以与诸如 SYN 扫描 (-sS) 之类的 TCP 扫描类型结合使用，以在同一运行期间检查两种协议，UDP 扫描通过向每个目标端口发送一个 UDP 数据包来工作

UDP扫描一般如果返回ICMP port unreachable说明端口关闭

没有回应或有回应则认为是端口开放，但是UDP是不可靠的，存在丢包的可能性

使用nmap

nmap -sU 地址

图片地址：https://nmap.org/

reference：

https://hmurl.cn/JfHqdODP

https://nmap.org/