通过协议分析理解端口扫描原理.doc

通过协议分析理解端口扫描原理端口扫描通常利用TCP、UDP等方式去检测操作系统类型及开放的服务，为进一步的攻击做好准备 通常，蠕虫病毒、网络攻击等常见彩响网络安全的行为，都是从扫描开始的所以，深入了解各种网络扫 描的工作原理及其表现特征，对网络管理者具有相当的实战意义NMAP作为常见的网络扫描工具，内置了多种扫描方式，毎种方式的工作原理不同，其数据包和通讯 特征也不尽相同：这里我们将通过网络分析软件对常见扫描方式进行分析和图形化的展现，以方便对这些 扫描方式进行深入的理解扫描分析1. TCP SYN 扫描■扫描原理TCPSYN扫描应该是最受欢迎的扫扭之一，其扫扭速度快（每秒可以扫抢数以千计的端门），兼容性 好（只要对端支持TCP协议栈即可），且不易被发现TCP SYN扫描通常又叫“半幵放”扫描,因为它不必打开一个完整的TCP连接，它发送一个SYN包， 就像真的要打开一个连接一样，然后等待对端的反应如果对端返冋SYN/ACK报文则表示该端口处于监 听状态，此时，扫描端则必须再返冋一个RST报文來关闭此连接；返冋RST报文则表示该端I I没有开放■深入理解TCP SYN扌：|描在科來网络分析中的视图表现：G JM8包大小分布sastzjs利砂WtHOSR<=64140.2582.2240.005%512165-12719.8122700.000三00128-2555.661330.000%00256-511000.000%00512-10231.45920.000%001024-1517000.000%00> = 1518000.000%00（数据包统让）3TCP5H+沁TCP同步雄1.003TCP同步接收0TCP同步确认发送o|TCP同步id认接收2TCP48束洼接发送0TCM8束连接接收02TCPMSStt998 j（TCP FLAG 统计）合字St*SUBu “192.168.6.1OO:1C:23:75:6D:7D192.168.6.1167|（=传帧/ 1.166192.168.6.122OChOG29^F：OWA192.168.6.122167V TCP/ 998V TCP *2* J|必 TCP HOBS167（诊断提示）【am*192 Wld19Z血64扌192-163.6.1^192168.4.1^"m• ・"2a8SSS9黑192.16tAU1^00032MOOKX>00192.1684.12%212600<)0^0192.168AL222126oooooo192468^1:1)92126192.168A12$212600:0000192.168^.1^952126»00002XX00^002皿OOOOtOO2WWWONS（TCP会话统计）TELNET 00:00:00192.168.6.122:49400192.168.6.122:49400192.168.6.122:49400192.168.6.122:49400192.168.6.122:49400192.168.6.1:23192.168.6.1:80192.168.6.1:2000192.168.6.1:4321192.168.6.1:587ia6HTTP00:00:00126SCCP00:00:00126Rwhois00:00:00126Submis...00:00:00120120626262662110:35:22641110:35:24641110:35;24641110:35:22V •字詩 V •加… 开冷发包羽冋66 2 1 10:35:22192.168.6.122: 494...192.168.6.1:23 硯妾0.000000 Seq = 0, Next Seq = 1V/indow = 2048SYN / -0.00S284SYN. ACKSeq = 0. Ack = 0. Next Seq = 10.005460 Seq - 1. Next Seq - 1Window/ 二 0RST（端I I处于监听状态）节点1“5愍▼曲对间知亠―字节<-如•・开槪罰闾* 192.168.6.122:494002 192.168.6.1:233186TELNET00:00:00120662110:35:22岂 192.168.6.122:49400S 192.168.6.1:803"http00:00:00120662110:35:222 192.1^8.6.122:494002 192.168.6.1:20002/6SCCP00:00:0062641110:35:24丘 192.168.6.122:49400鱼 192.168.6.1:4321■126Rwhois00:00:0062641110:35:24三 192.1^8.6.122:49400§ 192.168.6.1:5872126Submis...00:00:0062641110:35:22O=* 0 - / 192.RS192.168.6.122: 494.../192.168.6.1： 4321 l&S0.000000Seq 二 0. Next Seq = 1Window = 2048SYN X0.016273ACK R中Seq = 0, Ack = 0, Next Seq = 0（端口处于关闭状态）■分析总结■会话数据包总计为2个或3个，2个包表示端口未开放，3个包表示端口开放：■以固定端口与被扫描IP尝试连接，乩会话大多具有相同的特征；■在TCP Flag统计中TCP同步位发送和TCP复位接收较多；■小包多（＜128字节）。

2. TCP connect 扫描■扫描原理TCP connect扫描也是一种常见的扌描方式，它通过操作系统与H标机器建立连接，而不是直接发送 原始数据包，这与浏览器、P2P客户端及其大多数网络应用程序一样,建立连接山高层系统调用执彳亍这 种扫描的最大好处是无需root权限，但会在系统日志里留下记录，所以当在日志系统里看到同一系统的大 量连接尝试,就应该知道系统被扫描了■深入理解TCP CONNECT扫描在科来网络分析中的视图表现:8帧包大小分布字节数利用亜<=64103.2741,6220.891%17.824 Kbps3565-127107,547人6280.924%1&480 Kbps35128-255X 000.000%00256-511000.000%00512-1023000.000%001024-1517000.000%00>=1518000.000%00（数据包统计）(TCP FLAG 统计)<•sts« ■WSi 朽…■・朽SSt2 -><-S3K-rnT!iJ1192.168^1>4452IMOOeOOsOOCIFS66641110t5&M2 22.1864219?・血64力2l>00(XXM»11lOS&Ml&S&MW I92.1W12^312192.1WA 1:58721300(XXX»Sub*ni$voc1110:5a：M1058:)4S 19246S4.1Z681321M>0000X)0TCP ・ Other11iasa：M1(X5•:M2 192.16S4.1222192.163.6.1:330621)00000«TCP ・ Other1>l05a：MS 192.16&.6.12192.16&6.L33O62IM0(HX>«>TCP •11ias&3sZ619246862M21)0OOOCXOOTCP • Other11l&s&ng 192.16&6.1Z372130oooooo111058:1$1058:15S 192.168A11218192.16«.^t252130OO^XhOO11KX5&3SWt畑s2 192.16S4.U一 --&1919Zl«a^l：44SaIM000(X00anm 0 •VWfi » 192.16&&122:68101924M.6.1:445 6V0000000 g ■ 0. Noct $

3. UDP扫描■扫描原理UDP扫描通常与ICMP相结合进行，它发送没有携带任何数据的UDP数据包到H标主机，如果返冋 ICMP端口不可达（类型为3,代码为3）提示，则表示目标端口是关闭的，但主机是存活的：如果某服务 响应一个UDP报文，贝俵明该端口是开放的当然，U。