目標端口掃描方法總結
阿新 • • 發佈:2018-06-22
實現 分享圖片 pro ans res usr F5 端口掃描 -a
環境:
靶機:10.10.10.11
目標機:10.10.10.14 或者 10.10.10.12
環境:
靶機:10.10.10.11
目標機:10.10.10.14 或者 10.10.10.12
1. scapy實現端口掃描
1. 半連接掃描
原理:靶機機向目標主機發送SYN請求,通過目標主機的回復判斷端口是否是存活的,如果端口關閉會回復RST,如果沒有關閉就會回復SYN/ACK
1.1 scapy掃描
端口開放情況
>>>sr1(IP(dst=‘10.10.10.14‘)/TCP(flags=‘S‘,dport=80)) #發送SYN Begin emission: ....*Finished to send 1 packets. Received 5 packets, got 1 answers, remaining 0 packets <IP version=4L ihl=5L tos=0x0 len=44 id=0 flags=DF frag=0L ttl=64 proto=tcp chksum=0x12a0 src=10.10.10.14 dst=10.10.10.11 options=[] |<TCP sport=http dport=ftp_data seq=2037664706 ack=1 dataofs=6L reserved=0L flags=SA window=5840 chksum=0x937e urgptr=0 options=[(‘MSS‘, 1460)] |<Padding load=‘\x00\x00‘ |>>> #得到SA的回復,目標端口沒有關閉
端口沒有開放情況:
>>> sr1(IP(dst=‘10.10.10.14‘)/TCP(flags=‘S‘,dport=8080)) #發送SYN Begin emission: ....Finished to send 1 packets. * Received 5 packets, got 1 answers, remaining 0 packets <IP version=4L ihl=5L tos=0x0 len=40 id=0 flags=DF frag=0L ttl=64 proto=tcp chksum=0x12a4 src=10.10.10.14 dst=10.10.10.11 options=[] |<TCP sport=http_alt dport=ftp_data seq=0 ack=1 dataofs=5L reserved=0L flags=RA window=0 chksum=0x67ff urgptr=0 |<Padding load=‘\x00\x00\x00\x00\x00\x00‘ |>>> 回復的RA(RST/ACK)
基於上面的敘述可以做一個簡單的python端口半連接掃描腳本:
#!/usr/bin/python #encoding=utf-8 from scapy.all import * def syn(ip,start,end): for port in range(start,end): reply = sr1(IP(dst=ip)/TCP(dport=port,flags=‘S‘),timeout=2,verbose=0) if (reply[TCP].flags == 18): print port def main(): ip=raw_input(‘Input IP: ‘); start=int(raw_input(‘Input start port: ‘)) end=int(raw_input(‘Input end port: ‘)) syn(ip,start,end) main()
1.2 nmap半連接掃描
kali@kal:~/review$ nmap -sS 10.10.10.14 -p20-30 #指定範圍
kali@kal:~/review$ nmap -sS 10.10.10.14 -p 80,22,5 #指定端口掃描
kali@kal:~/review$ nmap -sS 10.10.10.14 -p 80,22,5 --open #只顯示開放的端口掃描抓包情況如下:
1.3 hping3半連接掃描
指定ip範圍掃描
kali@kal:/$ sudo hping3 10.10.10.14 --scan 20-30 -S
指定端口掃描
kali@kal:/$ sudo hping3 10.10.10.14 --scan 20,22,25,30 -S
偽造IP為192.168.10.10進行SYN掃描
kali@kal:/$ sudo hping3 10.10.10.14 --spoof 192.168.10.10 --scan 20-30 -S2. 全連接掃描
原理:首先向目標主機發送SYN包,然後目標主機回復SYN/ACK,再次向目標主機發送ACK的包,建立三次握手.三次握手建立成功,說明端口開放
2.1scapy全連接掃描
利用scapy實現全連接端口掃描,需要先關閉內核向外發送的RST
kali@kal:/$ sudo iptables -A OUTPUT -p tcp --tcp-flags RST RST -j DROP
kali@kal:/$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp flags:RST/RST建立全連接的主要代碼如下:
端口可以任意修改
r1 = sr1(IP(dst=‘10.10.10.14‘)/TCP(flags=‘S‘,dport=22))
r2 = sr1(IP(dst=‘10.10.10.14‘)/TCP(flags=‘A‘,dport=22,ack=r1[TCP].seq+1))2.2 nmap全連接掃描
指定端口範圍掃描
kali@kal:/$ sudo nmap -sT 10.10.10.14 -p1-100
指定端口掃描
kali@kal:/$ sudo nmap -sT 10.10.10.14 -p 22,25,888,23
2.3 dmitry全連接掃描
默認掃描1000個常用的端口
kali@kal:/$ dmitry -p 10.10.10.143.僵屍掃描
原理:
端口開放情況:
- 先通過scanner發送syn/ack給zombie,因為scanner沒有走完整的三次握手先發送syn,而是直接發送了syn/sck,因此zombie回復rst,此時zombie的ipid=x;
- scanner偽造源ip地址,將源ip地址設置成zombie的ip地址向被掃描主機發送syn,被掃主機就會回復一個syn/ack給源ip,但是目前源ip設置的是zombie,因此目標主機錯誤的給zombie回復一個syn/ack,但是zombie並沒有發送syn就直接收到了syn/ack,因此zombie回復RST,此時zombie的ipid=x+1。
- scanner再次向zombie發送syn/ack收到RST的回復,此時zombie的ipid=x+2
通過上面三步,得知IPID序列增加2,就可以知道目標端口開放
端口不開放情況: - 先通過scanner發送syn/ack給zombie,因為scanner沒有走完整的三次握手先發送syn,而是直接發送了syn/sck,因此zombie回復rst,此時zombie的ipid=x;
- scanner偽造源ip地址,將源ip地址設置成zombie的ip地址向被掃描主機發送syn,被掃主機端口不存活就會回復一個RST給源ip,但是目前源ip設置的是zombie,因此目標主機錯誤的給zombie回復一個RST,目標主機這是不會回復,那麽IPID仍然為x。
- scanner再次向zombie發送syn/ack收到RST的回復,此時zombie的ipid=x+1
通過上面三步,得知IPID序列增加2,就可以知道目標端口關閉
3.1scapy模塊僵屍掃描
1. 先構造數據包,向僵屍機發送ACK,這裏的端口是僵屍主機的端口。
>>> s1 = IP(dst=‘10.10.10.12‘)/TCP(flags=‘A‘,dport=445)
2. 再構造數據包,偽造源地址,源地址設置成僵屍主機的IP,目標地址設置成目標主機,這裏的port的是目標主機的端口。
>>> s2 = IP(dst=‘10.10.10.14‘,src=‘10.10.10.12‘)/TCP(flags=‘S‘,dport=22)
3. 最後構造數據包,再向僵屍主機發送ACK。
>>> s3 = IP(dst=‘10.10.10.12‘)/TCP(flags=‘A‘,dport=445)
發送上面構造的數據包,按順序發送。
>>> r1 = sr1(s1,verbose=0)
>>> r2 = sr1(s2,verbose=0)
>>> r3 = sr1(s3,verbose=0)
查看r1和r2的IPID
>>> r1[IP].id
9644
>>> r3[IP].id
9646
增加為2,說明目標端口開放。如果增加為1,說明目標端口關閉,如果增加不為1或者2,就不能判斷目標主機端口是否開放,因此需要目標主機ipid是遞增的而且足夠閑置。這裏就不繼續寫腳本。3.2 nmap實現僵屍掃描
判斷10.10.10.12是否可以當做僵屍主機
kali@kal:/$ sudo nmap 10.10.10.12 -p445 --script=ipidseq.nse隨機查找網絡中的僵屍主機
kali@kal:/$ sudo nmap -iR 100 -p 80 --script=ipidseq.nse利用找到的僵屍主機掃描
kali@kal:/$ sudo nmap 10.10.10.14 -sI 10.10.10.12 -p1-100
WARNING: Many people use -Pn w/Idlescan to prevent pings from their true IP. On the other hand, timing info Nmap gains from pings can allow for faster, more reliable scans.
Starting Nmap 7.70 ( https://nmap.org ) at 2018-06-21 18:02 CST
Idle scan using zombie 10.10.10.12 (10.10.10.12:443); Class: Incremental
Nmap scan report for 10.10.10.14
Host is up (0.044s latency).
Not shown: 94 closed|filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
25/tcp open smtp
53/tcp open domain
80/tcp open http
MAC Address: 00:0C:29:FA:DD:2A (VMware)
Nmap done: 1 IP address (1 host up) scanned in 4.83 seconds目標端口掃描方法總結