前言
計算機端口相信大家不會陌生朴爬,但是你真的了解并熟練使用嗎即寒?對于攻擊者來講系統(tǒng)侵入往往會選擇網(wǎng)絡端口,也就是計算機與外界傳輸數(shù)據(jù)的通道召噩,一旦被攻擊者利用計算機將會面臨風險母赵。
一、端口掃描
對于端口掃描的解釋下面摘自百度百科:
端口掃描是指某些別有用心的人發(fā)送一組端口掃描消息具滴,試圖以此侵入某臺計算機凹嘲,并了解其提供的計算機網(wǎng)絡服務類型(這些網(wǎng)絡服務均與端口號相關)。端口掃描是計算機解密高手喜歡的一種方式抵蚊。
攻擊者可以通過它了解到從哪里可探尋到攻擊弱點施绎。實質(zhì)上,端口掃描包括向每個端口發(fā)送消息贞绳,一次只發(fā)送一個消息谷醉。接收到的回應類型表示是否在使用該端口并且可由此探尋弱點。
端口的掃描可以手動也可以使用軟件來進行冈闭,手動掃描的話需要對計算機的指令非常熟悉俱尼,也建議大家使用軟件來掃描,端口掃描的工具網(wǎng)絡上有很多就不介紹了萎攒。
這里我給大家推薦一個在線的端口掃描工具遇八,只需要輸入目標計算機的IP地址和需要掃描的端口號即可,對于初學者來說非常友好耍休,等到后期還是推薦大家使用強大一些的工具刃永。
工具網(wǎng)址:http://tool.chinaz.com/port/
通過掃描端口可以知道系統(tǒng)的BUG,從而攻入主機羊精。
攻擊者常使用的端口有8080斯够、21、22喧锦、23读规、25、80燃少、102束亏、110、111阵具、119碍遍、135定铜、161、177和399等雀久。
最常見的8080端口
端口8080端口同80端口宿稀,是被用于WWW代理服務的,可以實現(xiàn)網(wǎng)頁瀏覽赖捌,經(jīng)常在訪問某個網(wǎng)站或使用代理服務器的時候祝沸,會加上“:8080”端口號。
端口漏洞:8080端口可以被各種病毒程序所利用越庇,比如Brown Orifice(BrO)特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機罩锐。另外,RemoConChubo卤唉,RingZero木馬也可以利用該端口進行攻擊涩惑。
操作建議:一般我們是使用80端口進行網(wǎng)頁瀏覽的,為了避免病毒的攻擊桑驱,我們可以關閉該端口竭恬。
二、多種端口掃描
1熬的、TCP connect() 掃描
這是最基本的TCP掃描痊硕。操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用,用來與每一個感興趣的目標計算機的端口進行連接押框。如果端口處于偵聽狀態(tài)岔绸,那么connect()就能成功。否則橡伞,這個端口是不能用的盒揉,即沒有提供服務。
這個技術的一個最大的優(yōu)點是兑徘,你不需要任何權(quán)限刚盈。系統(tǒng)中的任何用戶都有權(quán)利使用這個調(diào)用。另一個好處就是速度挂脑。如果對每個目標端口以線性的方式扁掸,使用單獨的connect()調(diào)用,那么將會花費相當長的時間最域,你可以通過同時打開多個套接字,從而加速掃描锈麸。
使用非阻塞I/O允許你設置一個低的時間用盡周期镀脂,同時觀察多個套接字。但這種方法的缺點是很容易被發(fā)覺忘伞,并且被過濾掉薄翅。目標計算機的logs文件會顯示一連串的連接和連接是出錯的服務消息沙兰,并且能很快的使它關閉。
2翘魄、TCP SYN掃描
這種技術通常認為是“半開放”掃描鼎天,這是因為掃描程序不必要打開一個完全的TCP連接。掃描程序發(fā)送的是一個SYN數(shù)據(jù)包暑竟,好象準備打開一個實際的連接并等待反應一樣(參考TCP的三次握手建立一個TCP連接的過程)斋射。
一個SYN|ACK的返回信息表示端口處于偵聽狀態(tài)。一個RST返回但荤,表示端口沒有處于偵聽態(tài)罗岖。如果收到一個SYN|ACK,則掃描程序必須再發(fā)送一個RST信號腹躁,來關閉這個連接過程桑包。這種掃描技術的優(yōu)點在于一般不會在目標計算機上留下記錄。但這種方法的一個缺點是纺非,必須要有root權(quán)限才能建立自己的SYN數(shù)據(jù)包哑了。
3、TCP FIN 掃描
有的時候有可能SYN掃描都不夠秘密烧颖。一些防火墻和包過濾器會對一些指定的端口進行監(jiān)視弱左,有的程序能檢測到這些掃描。相反倒信,F(xiàn)IN數(shù)據(jù)包可能會沒有任何麻煩的通過科贬。這種掃描方法的思想是關閉的端口會用適當?shù)腞ST來回復FIN數(shù)據(jù)包。
另一方面鳖悠,打開的端口會忽略對FIN數(shù)據(jù)包的回復榜掌。這種方法和系統(tǒng)的實現(xiàn)有一定的關系。有的系統(tǒng)不管端口是否打開乘综,都回復RST憎账,這樣,這種掃描方法就不適用了卡辰。并且這種方法在區(qū)分Unix和NT時胞皱,是十分有用的。
4九妈、IP段掃描
這種不能算是新方法反砌,只是其它技術的變化。它并不是直接發(fā)送TCP探測數(shù)據(jù)包萌朱,是將數(shù)據(jù)包分成兩個較小的IP段宴树。這樣就將一個TCP頭分成好幾個數(shù)據(jù)包,從而過濾器就很難探測到晶疼。但必須小心酒贬。一些程序在處理這些小數(shù)據(jù)包時會有些麻煩又憨。
5、TCP 反向 ident掃描
ident 協(xié)議允許(rfc1413)看到通過TCP連接的任何進程的擁有者的用戶名锭吨,即使這個連接不是由這個進程開始的蠢莺。因此你能,舉個例子零如,連接到http端口躏将,然后用identd來發(fā)現(xiàn)服務器是否正在以root權(quán)限運行。這種方法只能在和目標端口建立了一個完整的TCP連接后才能看到埠况。
6耸携、FTP 返回攻擊
FTP協(xié)議的一個有趣的特點是它支持代理(proxy)FTP連接。即入侵者可以從自己的計算機和目標主機的FTP server-PI(協(xié)議解釋器)連接辕翰,建立一個控制通信連接夺衍。然后,請求這個server-PI激活一個有效的server-DTP(數(shù)據(jù)傳輸進程)來給Internet上任何地方發(fā)送文件喜命。對于一個User-DTP沟沙,這是個推測,盡管RFC明確地定義請求一個服務器發(fā)送文件到另一個服務器是可以的壁榕。給許多服務器造成打擊矛紫,用盡磁盤,企圖越過防火墻”牌里。
我們利用這個的目的是從一個代理的FTP服務器來掃描TCP端口颊咬。這樣,你能在一個防火墻后面連接到一個FTP服務器牡辽,然后掃描端口(這些原來有可能被阻塞)喳篇。如果FTP服務器允許從一個目錄讀寫數(shù)據(jù),你就能發(fā)送任意的數(shù)據(jù)到發(fā)現(xiàn)的打開的端口态辛。
對于端口掃描麸澜,這個技術是使用PORT命令來表示被動的User DTP正在目標計算機上的某個端口偵聽。然后入侵者試圖用LIST命令列出當前目錄奏黑,結(jié)果通過Server-DTP發(fā)送出去炊邦。如果目標主機正在某個端口偵聽,傳輸就會成功(產(chǎn)生一個150或226的回應)熟史。否則馁害,會出現(xiàn)"425
Can't build data connection: Connection refused."。然后蹂匹,使用另一個PORT命令碘菜,嘗試目標計算機上的下一個端口。這種方法的優(yōu)點很明顯,難以跟蹤炉媒,能穿過防火墻。主要缺點是速度很慢昆烁,有的FTP服務器最終能得到一些線索吊骤,關閉代理功能。
三静尼、查看端口
有的攻擊者還會利用軟件的BUG來間接的進入目標主機白粉,我們下面來看看如何查看我們的端口那些被占用了。
1鼠渺、以管理員身份運行命令提示符
2鸭巴、輸入命令:netstat -ano,就會出現(xiàn)所有的端口拦盹。我們選擇一個被占用的端口鹃祖,例如7680。
3普舆、查看被占用端口對應的PID恬口,輸入命令:netstat -aon|findstr "7680",回車沼侣,記下最后一位數(shù)字祖能,即PID,這里是2936。
4蛾洛、繼續(xù)輸入tasklist|findstr "2936"养铸,回車,查看是哪個進程或者程序占用了7680端口轧膘,結(jié)果是:svchost.exe
5钞螟、我們打開任務管理器,查看進程扶供,找到2936筛圆。可以看出是和命令查看是一致的椿浓。
6太援、結(jié)束進程的話可以再任務管理器中,或者是在cmd的命令窗口中輸入:taskkill /f /t /im Tencentdl.exe扳碍。
四提岔、端口攻擊技術
五、掃描工具下載
我已經(jīng)給你們準備好了笋敞,都是單文件的小工具碱蒙,分別是掃描之王nmap、高速全端口掃描工具御劍Tcp掃描,有特殊功能的portready赛惩。
下載鏈接:https://pan.baidu.com/s/1pI3kUg65Efjcy7gv4SbXgg
提取碼:ztoc
目前我做了一款最新版的黑客工具包關注微信公眾號:拉普拉斯妖怪哀墓,獲取相關內(nèi)容
