埠掃描
出自 MBA智库百科(https://wiki.mbalib.com/)
埠掃描(Port Scan)
目錄 |
埠掃描是指黑客發送一組埠掃描消息,試圖以此侵入用戶電腦,並掌握電腦網路服務類型。攻擊者可以通過它知道到從哪裡可找到攻擊弱點。實質上。埠掃描向每個埠發送消息,一次只發送一個消息。接收到的回應類型表示是否在用該埠並且可發現電腦的弱點。
其中“埠(Port)”的含義有兩個:一種是指物理連接埠,例如集線器、交換機、路由器等設備的介面,另一個是從邏輯意義上進行形象化比喻產生的,一般泛指在TCPgP協議中的埠,如80埠是指網頁瀏覽服務、2l埠是指FTP協議傳輸服務,而且TCP/IP的協議埠號範圍很寬,從0~65535都屬於邏輯埠的範圍。
埠掃描的原理是通過向目標主機發送探測數據包(主要針對TCP/IP服務埠),並通過探測數據包反饋回來的數據判斷服務埠的狀態,這些信息會被記錄下來並用於判斷埠是否關閉。如利用調用套接字函數connect()可以實現與目標主機的鏈接並形成完整的“三次握手”,如果埠處於偵聽狀態則返回connect()函數,也就意味著埠開放;反之則意味著無法提供服務。由於大部分的網訪問都是基於TCP傳輸協議和UDP數據報協議完成的,這也就給攻擊者提供了主要的掃描對象。以TCPhP協議為例,一共有四個協議層構成,分別為:應用層、傳輸層、網際層和介面層。大部分的網路服務(services)也是通過TCP埠來識別的,這就進一步收縮了可檢測的範圍。如果一個攻擊者想要瞭解目標主機的服務狀態和內容,只需要從反饋的埠號進行分析便可一日瞭然。如:檢測到遠程登錄協議的埠號23,通過竊取登錄賬號口令,入侵者便可以通過漏洞建立遠程通信連接。
(1)TCPconnect()掃描方式。這是最常用、最近本的埠掃描類型,通過對操作系統提供的conect()函數調用可以連接任意一個目標電腦埠,不需要任何許可權,也能夠節省單位訪問時間。但是這種方式也存在一個致命的問題,它的隱蔽性不夠好,很容易被過濾掉。
(2)TCPSYN掃描方式。這種掃描方式是通過SYN數據包實現的,從技術角度來說屬於“半開放”形式。這種掃描方式剋服了隱蔽性差的缺點,而且不易引起電腦監控系統的註意,也不會留下記錄。但是要實現這一點也要有相應的root許可權,同樣也不容易實現。
(3)IP段掃描。IP段掃描是一項比較新的技術,通過一些網路工具就可以輕鬆地實現,也是一切Hacker喜歡的隨機埠掃描方式。通過掃描工具只需要確定要掃描的IP段,例如192.168.1.1~192.168.1.200,就可以找出這個IP範圍內主機通過路由器的狀態。由於這種方式並不直接通過TCP探測數據包發送,所以隱蔽性很強。