Kali学习笔记9:端口扫描详解(上)

UDP端口扫描:

原理:回应ICMP不可达,代表端口关闭;没有回应,端口开启

建议了解应用层的UDP包头结构,构建对应的UDP数据包用来提高准确度

另外:所有的扫描都存在误判情况

 

我们用Scapy写个脚本来试试:

#!/usr/bin/python
import logging

logging.getLogger("scapy.runtime").setLevel(logging.ERROR)
from scapy.all import *
import time
import sys

if len(sys.argv) != 4:
    print "./udp_scan.py [target ip] [first port] [last port]"
    print "example ./udp_scan.py 10.0.0.5 1 100"
    print "example will UDP port scan ports 1 to 100 on 10.0.0.5"

ip = sys.argv[1]
start = int(sys.argv[2])
end = int(sys.argv[3])

for port in range(start, end):
    a = sr1(IP(dst=ip) / UDP(dport=port), timeout=5, verbose=0)
    time.sleep(1)
    if a == None:
        print port
    else:
        pass

 

如果是从WINDOWS复制过去的

vi udp_scan.py

:set fileformat=unix

:wq

chmod u+x udp_scan.py

 

执行:./udp_scan.py 10.0.0.0 1 100

 

接下来看看使用最强大的Nmap:

Nmap在端口扫描方面使用-sU参数

 而我们使用Nmap如果不指定任何端口的话,他会扫描定义好的1000个常用端口

 

 

当然也可以指定端口扫描:

 

如果你一定要扫描全部端口,也是可以的:

 

好的,接下来我们看TCP端口扫描:

基于连接协议扫描:

所有的扫描都是基于三次握手的变化来判断目标端口状态

 

首先我们先用SCAPY演示:

我开启一个Metasploitable的虚拟机,查看到它的IP:192.168.22.129

再查看下Kali虚拟机的IP:192.168.22.130

 

打开Scapy测试:

我们主动发一个SYN包,只要回应SYN+ACK包,就代表端口开启,

我们不能继续回应ACK包,而要回复RST断开连接防止被发现!

 

 

第一行的意思是发送一个TCP数据包将返回值赋给a

然后我们查看下这个a包:发现默认扫描80端口,并且返回SYN+ACK

我们为什么这里不主动回RST包呢?

 原因:可以抓包发现,操作系统会自动回复给"莫名其妙"的TCP包RST

 

接下来我们换个端口扫描:22

 

 

这种情况也说明这里的22端口是开放的

 

那么如果我们扫描一个关闭的端口呢?

 

 

发现目标机器回复的是一个RST+ACK

 代表:这台机器是活着的,但是当前扫描的端口(22222)是没有开放的

 

我们在scapy的基础上写一个简单的扫描脚本:syn_scan.py

#!/usr/bin/python
import logging

logging.getLogger("scapy.runtime").setLevel(logging.ERROR)
from scapy.all import *
import time
import sys

if len(sys.argv) != 4:
    print "./syn_scan.py [target ip] [first port] [last port]"
    print "example ./udp_scan.py 10.0.0.5 1 100"
    print "example will TCP SYN scan ports 1 to 100 on 10.0.0.5"

ip = sys.argv[1]
start = int(sys.argv[2])
end = int(sys.argv[3])

for port in range(start, end):
    a = sr1(IP(dst=ip) / TCP(dport=port), timeout=1, verbose=0)
    time.sleep(1)
    if a == None:
        pass
    else:
        if int(a[TCP].flags)==18:
            print  port
        else:
            pass

 

难点:这里为什么flags==18?

抓包发现SYN和ACK分别是2和2的4次方即为16,加在一起恰好为18

 

使用这个脚本:

老规矩,如果是windows转移过去的:

vi syn_scan.py

:set fileformat=unix

:wq

chmod u+x syn_scan.py

 

执行:./syn_scan.py 10.0.0.0 1 100

 

 

这里并没有扫描完全,不过效果达到了(如果扫windows端口,1-100不会有任何开放端口)

 

隐蔽端口扫描这种方式其实比UDP的方式稳多了

 

当然,强大的Nmap也可以实现:而且效率更高

不过扫描原理就是上边写的内容

无参数扫描:

使用后发现比自己搞的脚本快太多,而且完善,真不愧是强大的Nmap

 

这里我们扫描的机器没有防火墙,所以扫描到的端口都是open的,如果存在close或filter,我们需要一个参数才能获取open的端口

 

nmap还可以加上一个参数:-sS:

 

其实和默认方式是一样的,所以直接使用即可

 

如果需要全部扫描:nmap [ip] -p -65535

如果需要扫描指定端口:nmap [ip] -p 80,22,...,139

 

 

其他端口扫描方式:

Hping3:

-S表示用SYN扫描,flags的S,A当然就代表SYN和ACK了

 下面来个有趣的:

 

先解释下这行命令:-c 100发送一百个包,和-p ++1组合,意味对端口1-100分别发送SYN包,

有趣在--spoof参数,伪造源IP地址,我这台机器无法查看扫描结果,只有我登陆伪造的192.168.168.168机器才可以查看结果。

其实下边这十几行都没有用

 

这种方式有很大的优点也有很大的缺点:

优点:非常隐蔽,基本不会被发现,在目标看来是另外一个机器发送的探测数据包

缺点:麻烦,需要另外一台机器

 

上边的都是TCP半连接端口扫描

接下来,看看TCP全连接端口扫描:

 

下一篇博客我们继续:

posted @ 2018-09-13 13:54  4ra1n  阅读(2608)  评论(2编辑  收藏  举报