在计算机通信中,一台计算机要与另一台计算机建立TCP或UDP连接,必须首先发送一个请求报文(SYN),根据接收端端口是否开放将回应不同的应答。如果TCP端口开放,则回应发送方一个ACK报文,并建立TCP连接控制结构;若TCP未开放,则回应发送方一个TCP RST报文,告知发送方TCP端口未开放。UDP连接的也是同样的道理。
端口扫描就是基于这一原理,攻击者利用Socket编程或其它技术发送合适的报文与目标主机的某些端口建立TCP连接、进行传输协议的验证等工作,从而获取目标主机的端口状态、提供的服务及提供的服务中是否含有漏洞缺陷等情况。
端口扫描攻击常用的扫描方式有TCP connect()扫描、SYN扫描、FIN扫描、IP地址段扫描等。
TCP connect()扫描
它是最基本的TCP扫描。操作系统提供的connect()系统调用,用来与每一个感兴趣的目标计算机端口进行连接。只要端口处于侦听状态,就能连接成功。否则,就不能成功。系统中的任何用户都可以使用这个调用,速度也很快。但它易被发现并被过滤掉。
SYN扫描
扫描主机自动向目标计算机的指定端口发送SYN数据段,表示请求建立连接。如果目标计算机回应一个SYN ACK报文,则说明该端口是活动的。随后,扫描主机传送一个RST给目标主机拒绝建立TCP连接,从而导致三次握手的失败;如果目标计算机回应的是RST报文,则表明该端口未开启。
FIN扫描
FIN扫描是指通过发送FIN来判断目标计算机的指定端口是否活动。如发送一个FIN报文到一个关闭的端口时,该报文会被丢弃掉,并返回一个RST报文。但是,如果当FIN报文到达一个活动的端口时,该报文只是简单的丢掉,不会返回任何回应。这种扫描方式没有涉及任何TCP连接部分,因此,可以称之为秘密扫描。
IP地址段扫描
它是利用路由表来进行扫描,一般可以通过使用第三方软件来实现,在其中设定IP地址范围,扫描存活的主机。目前,常见的端口号及对应的服务如表13-1所示.。
表13-1 常见IP地址端口号 端口号 服务名称 说明 文件传输服务,用于文件的上传与下载。最常见的攻击是攻击者通过寻21 Ftp服务 找打开Ftp服务器上anonymous账户的方法进行攻击。 23 25 53 80 110 111 161 Telnet服务 SMTP服务 DNS服务 Web服务 POP3服务 RPC服务 SNMP服务 远程登录,攻击者扫描这一端口通常是为了找到计算机所运行的操作系统。 简单邮件传输服务。攻击者搜寻SMTP服务器是为了传递它们的SPAM。 域名解析服务器。攻击者可以通过它进行区域传递,欺骗DNS或隐藏其它通信。 用于网页浏览 邮件服务 远程调用 简单网络管理。它允许远程管理设备。 443 3389 基于SSL的HTTP服务 Windows终端服务 网页浏览端口,能够提供加密和通过安全端口传输的另一种HTTP。 Microsoft RDP微软远程桌面使用的端口。
因篇幅问题不能全部显示,请点此查看更多更全内容