【正文】 墻是不夠的。你要關心的是一旦入侵者進入系統(tǒng)，他能得到些什么。舉個例子，假設你的 WEB服務器對某一計算機 A是信任的。又有多少計算機是受這些計算機信任的呢？在信任關系中，這臺計算機之前的任何一臺計算機都可能對你的計算機進行攻擊，并成功。 Sniffer往往是攻擊者在侵入系統(tǒng)后使用的，用來收集有用的信息。系統(tǒng)安全管理員要定期的對所管理的網絡進行安全測試，防止安全隱患。請記住，許多攻擊往往來自網絡內部。所有局域內或通過 Modem連到 Inter上的機器運行了很多監(jiān)聽常用和非常用端口的服務。事實上，端口的掃描是向每個端口一次發(fā)送一個消息的過程。 端口掃描技術的原理 端口掃描向目標主機的 TCP/IP服務端口發(fā)送探測數據包，并記錄目標主機的響應。端口掃描也可以通過捕獲本地主機或服務器的流入流出 IP數據包來監(jiān)視本地主機的運行情況，它僅能對接收到的數據進行分析，幫助我們發(fā)現(xiàn)目標主機的某些內在的弱點，而不會提供進入一個系統(tǒng)的詳細步驟。常用端口 (又稱為標準端口 )被IANA(互相網號碼分配授權單位， Unix中，文本文件 /etc/services(在windows 2022下為 %windir%\system32\drivers\etc\services)列出了這些服務名和所用的端口號。 echo 7/tcp Echo ftpdata 20/udp File Transfer [Default Data] ftp 21/tcp File Transfer [Control] ssh 22/tcp SSH Remote Login Protocol tel 23/tcp Tel domain 53/udp Domain Name Server 80/tcp World Wide Web HTTP 試圖用一個未授權用戶程序打開一個在 0..1023范圍內的端口是不能成功的，用戶程序可以打開任何一個未分配的 1023以上的端口。事實上在此范圍內的端口號中，也有一些 標準 的端口，例如 : wins 1512/tcp Microsoft Windows Inter Name Service radius 1812/udp RADIUS authentication protocol yahoo 5010 Yahoo! Messenger x11 60006063/tcp X Window System 一些惡意的程序常常散布很廣，它們到處搜尋，收集到了這些常用的端口號碼。 TCP connect(): 連接系統(tǒng)通過喚起一個本機上提供的可以用來打開所有感興趣端口的程序。 Strobe：閘門掃描是一個相對較窄的掃描，僅僅是尋找那些功擊者已經普遍知道如何去攻擊的服務器。 Ident協(xié)議允許那些通過 TCP連接到計算機上的任何進程來窺視計算機的用戶名，即便是那個進程并沒有被初始化。 端口掃描技術 從攻擊者的角度來看通過端口掃描存在的一個問題是，它很容易被在此端口監(jiān)聽的服務所記錄在訪問日志里。有很多的秘密掃描技術能夠越過這個問題。顯然，這是一場比賽 ——也許一個月后秘密掃描將不會這么神氣了。因此，慢速掃描 (一天或者更久的時間 )也變成了一種秘密技術了。 IP包分片：掃描器從 IP分片中劈開 TCP頭。許多包過濾器和防火墻要求所有的 IP碎片 (例如： Linux內核中的 CONFIG _IP _ALWAYS _DEFRAG既是 )，但許多網絡并不能提供避免的隊列中丟失信息性能。一個 SYN包發(fā)送 (就像我們準備打開一個連接 )，目標機器上返回 SYN和 ACK， （待續(xù) … ） 端口掃描技術 這就表示該端口處于監(jiān)聽狀態(tài)，返回 RST表示沒有監(jiān)聽。 FIN掃描：典型的 TCP掃描是試圖建立連接 (以最少的步驟 )。掃描器發(fā)送一個 FIN包，這將使打開的端口關閉。相反，開啟的端口會忽略所有查詢的包。如果沒有服務在監(jiān)聽目標端口，操作系統(tǒng)也將產生一個錯誤消息。因此，沒有信息返回表示有服務在此端口監(jiān)聽。 在 XMAS掃描中用到了一些其他的技術，它是把 TCP包中的所有標志都設置好了。但是，不同的操作系統(tǒng)對這些掃描的回應是不同的，所以識另不同的操作系統(tǒng)甚至操作系統(tǒng)的版本和補丁等級都很重要。之所以攻擊者會掃描SOCKS，是因為大多數用戶的 SOCKS配置有錯誤。所有其它在內網的機器連接 Inter都要通過這臺機器上運行的 WinGate。就像是允許內部的機器訪問Inter一樣，外面的機器也可以訪問內部的機器。 IRC聊天服務器經常掃描客戶端以檢查 SOCKS服務是否打開。如果你收到這樣一個消息，你可以查看客戶端是否是 WinGate執(zhí)行的檢查。在這種情況下，這看起來象是內部的機器在攻擊SOCKS服務器。因此，攻擊者快速搜索 Inter，查找他們可以的攻擊系統(tǒng)。它要求代理 FTP連接支持。例如： FTPserverPI (協(xié)議解析器 )控制連接，要求 serverPI初始化一個活動的 serverDTP(數據傳送進程 )發(fā)送一個文件到Inter的任何地方。因此你可以在防火墻后與 FTP服務建立連接，然后掃描那些很可能被封鎖的端口 (如： 139)。我們的技術是利用端口 (FTP)命令來發(fā)現(xiàn)和記錄一些雖然被動但卻在監(jiān)聽目標機器特定的端口 userDTP用戶。如果我們的目標主機正在監(jiān)聽指定的端口，該傳送就會成功 (產生一個 250和一個 226回應 )。用這種方法的優(yōu)勢很明顯 (很難追蹤到，可繞開防火墻 )；主要的缺點是比較慢，并行許多 FTP服務執(zhí)行最終屏蔽代理的特征。例如： robfoobar查詢將向bar詢問 robfoo，引起向 bar查詢 foo。 Email：發(fā)送垃圾郵件的人試圖通過 SMTP服務器轉發(fā)他們的垃圾郵件。 Socks： Socks允許幾乎所有的協(xié)議穿過中介機器。 HTTP proxy：大多數網站服務都提供代理，便于所有的 web傳輸都可由個別帶有過濾器的服務很好的管理以提高性能。對 HTTP代理的試探在今天很常見。一個叫 BNC 的很特別的程序就是用了這種方式危及到機器的安全。 UDP的應答有著不同的方式，為了發(fā)現(xiàn) UDP端口，攻擊者們通常發(fā)送空的 UDP數據包，如果該端口正處于監(jiān)聽狀態(tài)，將發(fā)回一個錯誤消息或不理睬流入的數據包；如果該端口是關閉的，大多數的操作系統(tǒng)將發(fā)回 ICMP 端口不可到達 的消息，這樣，你可以發(fā)現(xiàn)一個端口到底有沒有打開，通過排除方法確定哪些端口是打開的。同樣，這種掃描技術因為實現(xiàn)了 RFC1812的意見和限制 ICMP消息錯誤的發(fā)送速率所以也慢。 有些人認為 UFP掃描是不完美的和沒有意義的，并非如此！讓我們看看最近 Solaris rpcbind(Sun Microsystems Security Bulletin Bulletin Number: 00167， April 8， 1998)發(fā)現(xiàn)的漏洞 rpcbind， Rpcbind能發(fā)現(xiàn)隱藏于 32770以上的沒有確定位置的 UDP端口。但是你能發(fā)現(xiàn)高于 30， 000以上的端口是處于監(jiān)聽狀態(tài)的嗎？有了 UDP掃描器，你可以做到！ UDP recvfrom()和 write()掃描：非 root用戶不能直接讀取 ICMP Port Unreach消息， Linux提供了一種方法可以間接通知到用戶。很多掃描器，如 :cat和，都是這樣。如果沒有收到ICMP錯誤報告，就會返回 ECONNREFUSED(連接拒絕 )。但是它常可以用來ping網內的機器以確定哪臺機器是連網的。 指紋識別操作系統(tǒng) 指紋識別是一種解析系統(tǒng)回應，來確定到底是出什么問題的技術。數據正確，系統(tǒng)有同樣的回應，但一般都不對錯誤的數據作出同樣的回應。所以在這里加以討論。 nmap由 Foydor開發(fā)的著名端口掃描器。讓我產生開發(fā) nmap的思想是 TMTOWTDI (There39。這是 Perl的口號，但同樣可以應用在掃描器上。更不用說掃描不同協(xié)議 (UDP， TCP， ICMP，等等 )了，你不可能用同一種掃描方式做完所有的事，同樣你也不希望用 10種不同的掃描方法，每一種方法都有各自的界面和性能來完成這件事情。偵察隱藏掃描得在內核層進行。顯然，還有很多種其它方法可以偵察端口掃描。但是，端口掃描有時會泄漏其它的信息，通過這些信息，可以得到一些欺騙地址掃描的真實來源。開啟TTL和源端口號可以給我們一些啟示，例如端口掃描類型 (只對隱藏掃描 )或攻擊者使用的操作系統(tǒng) (只對全 TCP連接掃描 )，當然這并不是完全確定的。 2．如何檢測網絡監(jiān)聽？ 3．簡述 Sniffer(嗅探器 )的工作原理。 6．端口掃描技術的原理是什么？ 7．簡述常見的端口掃描技術有哪些？