转自微信公众号：计算机与网络安全

在TCP协议中，计算机与计算机之间的通信都是通过端口识别进行传输的。不同的应用程序使用的端口也不同。通过判断开放的端口，可以了解目标主机运行哪些程序。通过构造TCP Ping包实施扫描可以判断端口是否开放，但它一次只能判断一个端口。本文介绍如何批量扫描端口，以判断端口的开放情况。

1、构造TCP端口扫描包

TCP端口扫描构造的是TCP连接中的第1次握手包[SYN]包。如果端口开放，将返回第二次握手包[SYN，ACK]；如果端口未开放，将返回[RST，ACK]包。用户可以借助netwox工具中编号为67的模块构造TCP端口扫描包。

在主机192.168.59.133上进行实施TCP端口扫描，探测目标主机192.168.59.156的端口开放情况。

1）判断端口20～25的开放情况，执行命令如下：

[email protected]:~# netwox 67 -i 192.168.59.156 -p 20-25

输出信息如下：

192.168.59.156 - 20 : closed

192.168.59.156 - 21 : closed

192.168.59.156 - 22 : closed

192.168.59.156 - 23 : closed

192.168.59.156 - 24 : closed

192.168.59.156 - 25 : closed

上述输出信息显示对端口20～25进行了扫描，closed表示这些端口都是关闭状态。

2）通过抓包，可以捕获扫描发送的TCP SYN请求包和返回的TCP RST-ACK包，如图1所示。这里，捕获到12个数据包。其中，第1～3个和第5～7个包分别为向端口20～25发送的SYN请求包。其中，源IP地址为192.168.59.133（实施主机地址）。由于这些端口关闭，每个请求都返回了RST-ACK响应包。其中，第4个和第8～12个包为返回的响应包，表示端口未开放。

图1  捕获端口关闭数据包

3）判断端口81的开放情况，执行命令如下：

[email protected]:~# netwox 67 -i 192.168.59.156 -p 81

输出信息如下：

192.168.59.156 - 81 : open

上述输出信息表示端口81是开放的。

4）此时捕获到的数据包，将返回的是SYN-ACK包，如图2所示。其中，第5个数据包为发送的SYN请求包；第6个数据包为返回的SYN-ACK包，表示端口81是开放的。

图2  捕获端口开放数据包

2、伪造TCP扫描包

直接基于本机构造TCP端口扫描包，很容易被发现。为了避免被发现，可以伪造TCP包实施扫描，如伪造IP地址和MAC地址。

在主机192.168.59.133上构造TCP扫描包，探测目标主机192.168.59.156的端口开放情况。

1）伪造IP地址为192.168.59.136，MAC地址为11：22：33：44：55：66，判断端口20～25的开放情况，执行命令如下：

[email protected]:~# netwox 68 -i 192.168.59.156 -p 20-25 -E 11:22:33:44:55:66 -I 192.168.59.136

输出信息如下：

192.168.59.156 - 20 : closed

192.168.59.156 - 21 : closed

192.168.59.156 - 22 : closed

192.168.59.156 - 23 : closed

192.168.59.156 - 24 : closed

192.168.59.156 - 25 : closed

2）当目标主机捕获到数据包时，发现的地址是虚假的地址，如图3所示。图中请求数据包的IP地址都为192.168.59.136（伪造的IP地址），MAC地址为11：22：33：44：55：66（伪造的MAC地址）。

图3  捕获到伪造地址的数据包

3、防御扫描

为了防御攻击者对主机端口的扫描，可以干扰攻击者的判断。例如，当扫描未开放的端口时，也返回[SYN，ACK]包，使攻击者认为该端口是开放的。防御扫描干扰需要使用netwox工具中编号为79的模块。

已知主机A的IP地址为192.168.59.135，主机B的IP地址为192.168.59.131。在主机192.168.59.135上实施防御扫描。

1）查看主机A当前监听的端口，执行命令如下：

[email protected]:~# netstat -l

输出信息如下：

Active Internet connections (only servers)

Proto   Recv-Q    Send-Q   Local Address   Foreign Address  State

tcp     0       0       0.0.0.0:5227     0.0.0.0:*      LISTEN

tcp     0       0       0.0.0.0:5228     0.0.0.0:*      LISTEN

tcp     0       0       0.0.0.0:5229     0.0.0.0:*      LISTEN

udp    19584    0      0.0.0.0:bootpc    0.0.0.0:*

raw6   0     0     [::]:ipv6-icmp     [::]:*    7

Active UNIX domain sockets (only servers)

上述输出信息表示主机A当前开启了端口5227、5228、5229这3个端口。

2）干扰主机B，使主机B认为除了上述3个端口以外，其他端口都是开放状态，执行命令如下：

[email protected]:~# netwox 79 -i 192.168.59.135 -p 1-5226,5230-65535

执行命令后没有任何输出信息，但是会对命令中指定的端口都进行响应，返回[SYN，ACK]包。

3）目标主机B对主机A进行扫描，例如，对端口21、25、53、80、443进行扫描，执行命令如下：

[email protected]:~# netwox 67 -i 192.168.59.135 -p 21,25,53,80,443

输出信息如下：

192.168.59.135 - 21 : open

192.168.59.135 - 25 : open

192.168.59.135 - 53 : open

192.168.59.135 - 80 : open

192.168.59.135 - 443 : open

以上输出信息表示目标主机A的21、25、53、80、443端口都是开放状态，而实际并没有开放。

4）通过抓包，查看捕获的数据包，如图4所示。从图中可以看到，主机B对主机A的21、25、53、80、443端口依次发送了TCP[SYN]包，并且都得到了对应的[SYN，ACK]响应包，表示这些端口是开放的。

图4  成功进行了干扰

通常，目标主机上都有自己的内核防火墙。当攻击主机对目标主机端口扫描时，内核防火墙也会向攻击主机回复响应包。这时，不仅netwox工具会发出响应包，内核防火墙也会进行回复，导致发送响应包[SYN，ACK]和[RST]。例如，上述对端口21、25、53、80、443进行扫描，将会得到的响应包，如图5所示。图中第13～17个数据包，分别是端口21、25、53、80、443给出的[SYN，ACK]响应包，第18～22个数据包，分别是端口21、25、53、80、443给出的[RST]响应包。

图5  内核防火墙的响应包

为了能够使netwox工具起到干扰作用，需要在目标主机上内核防火墙中进行配置，丢弃接收的数据包，执行命令如下：

[email protected]:~# iptables -P INPUT DROP

如果继续接收进入的数据包，执行命令如下：

[email protected]:~# iptables -P INPUT ACCEPT

如有侵权，请联系删除