主动信息收集之端口扫描

端口扫描按类型可分为TCP端口扫描和UDP端口扫描，而在TCP端口扫描中又有几种扫描方式，下面直接入正题吧~（其中的几个小脚本会在新笔记中集中写出）

UDP端口扫描：

使用Nmap：

nmap -sU 10.10.10.137

默认扫描的端口为1000个，基于ICMP的目标不可达的探测，即若目标主机没有回复目标端口不可达则认为端口是开放的

nmap -sU -p 110-200

nmap -sU -p 100-200 -iL iplist.txt

使用Python脚本：

udp_scan.py

TCP端口扫描：

所有的TCP端口扫描都是基于三次握手的各种变化形式来进行的。

全连接扫描：

即建立完整的三次握手来进行确认。结果是最为准确的，但是不隐蔽。

使用Scapy的Python脚本：

由于操作系统内核会把返回的SYN/ACK包当成非法包而进行reset处理，全连接扫描对scapy比较困难，只能通过各种手段综合一下才能全面地扫描。

tcp_scan.py：

脚本执行完成后，可以看到最后收到的包的类型为RST，和理想的不一样：

通过Wireshark抓包分析：

可看到，虽然接受到了SYN/ACK包并向目标主机发送了ACK包，但是内核总在接收到SYN/ACK时就发送了RST包，以至于三次握手没能成功并最后还接受到了RST包。解决的方法是要让内核的RST包发送不出去，可以通过iptables命令来实现：

iptables -A OUTPUT -p tcp --tcp-flags RST RST -d 10.10.10.137 -j DROP

为防火墙通过-A参数添加一条规则，OUTPUT为出栈，-p参数指定协议为tcp，--tcp-flags参数指定了flags为RST，-d指向目标地址，-j参数指示动作为DROP。整条命令的作用是当内核准备给目标主机发送RST包时，在防火墙的出口关卡中就会把这个包丢弃掉从而没有发送出去。

设置好之后，通过iptables的-L参数来查看设置的规则：

可以看到设置成功，下面再次执行该脚本来查看，同时用Wireshark抓包查看：

可以看到最后一个收到的为ACK包，即证明三次握手成功。

三次握手成功，最后的包为目标端口发送的ACK包。

使用Nmap：

nmap -sT 10.10.10.137 -p 1-200

默认扫描1000个常用的端口，-sT参数使用TCP三次握手即全连接的方式进行扫描

nmap -sT -iL iplist.txt -p 21,80,443

使用Dmitry：

功能较简单，默认扫描150个常用端口

dmitry -p 10.10.10.137

-p参数执行TCP端口扫描

dmitry -p 10.10.10.137 -o output

-o参数将结果输出保存为output文件中 

使用Nc：

nc -nv -w 1 -z 10.10.10.137 1-100

-z参数用来指定扫描端口；-n参数指不作域名解析而是直接输入IP地址；-v参数显示详细的信息；-w参数对端口的连接超时时间。

隐蔽扫描：

是基于SYN的，即只发送SYN包而不建立完整的连接，若收到SYN/ACK则可以确定目标端口是开放的并发送RST包去关闭连接。目标系统的应用日志不会对这种扫描进行记录，较为隐蔽。

使用Scapy：

可看到TCP包中的flags已经为S，即发送的包为SYN，因而只需要设置IP包中的目标地址即可，然后就直接使用sr1()进行发送：

可以看到返回的包中TCP中的flags为SA，即SYN/ACK，说明端口是开放的。在这里因为没有设置扫描的端口所有扫描了默认端口80。

这里使用Wireshark抓包进行分析：

可以看到，一开始向目标主机的默认端口80发送SYN包，目标主机返回SYN/ACK包，即端口开启，最后再发送RST包给目标主机以断开连接，从而整个过程实现了端口的扫描。需要注意的一点就是，最后红色高亮显示的RST包是由本机的操作系统内核发送的，因为其本身并不知道是用户自己注入TCP的SYN包而收到目标主机的SYN/ACK包的，其认为是非法包因而去reset这个连接。

当然简便一点实现就是通过一句话，顺便改一下扫描的端口：

a=sr1(IP(dst="10.10.10.137")/TCP(flags="S",dport=1234),timeout=1,verbose=0)

结果显示返回的包中TCP中的flags为RA，即RST/ACK，即端口没有开放便reset该连接请求，但是由于主机存活所以有ACK响应。

同样来通过Wireshark来分析看看：

 

可以看到和前面端口开放时抓包的情况不同，此时只有两个包，一个是发送的SYN包，另一个则是目标主机返回的RST/ACK包，说明要探测的目标端口1234并没有开放。

当然上述的基于命令的扫描形式可以写成Python脚本：syn_scan.py

使用Nmap：

-sS参数为使用SYN方式进行扫描，而Nmap默认的扫描方式就是SYN，不加这个参数也一样

nmap -sS 10.10.10.137 -p 21,25,80,443nmap -sS 10.10.10.137 -p 1-65535 --opennmap -sS 10.10.10.137 -p - --opennmap -sS -iL iplist.txt -p 1-100

--open参数只显示开放的端口；第二条命令和第三条命令是一样的，1-65535等同于-，即扫描全端口。

Hping3：

hping3 10.10.10.137 --scan 1-100 -S

--scan参数指明扫描端口；-S参数使用SYN的方式扫描

结果以表格的形式列出，因为flags为SA所以为开放的端口。

hping3 -c 100 -p ++1 --spoof 192.168.1.122 -S 10.10.10.137

-c参数发送100次数据包，和后面的-p ++1组合使用，即将从端口1开始扫描，然后逐渐递增扫描到100端口；--spoof参数为伪造源IP地址，但是这样发送之后目标主机的返回包会发送到伪造的IP地址中而不是本机中。

下面用Wireshark来查看：

 

可以发现，源IP地址是伪造的IP地址，但是这里却又显示响应包，应该是因为都是虚拟机内网的原因才接受得到的。

僵尸扫描：

扫描更为隐蔽，但是实施的条件也比较难，即要可以伪造源地址和有僵尸机（闲置的主机）。

其大体过程为：攻击者向僵尸机发送SYN/ACK包，僵尸机接收到以后当作是非法包进行reset处理即发送包含一个IPID值（这里假设为x）的RST包给攻击者；攻击者收到RST包后，向目标主机发送SYN包，其中的源IP地址伪造为僵尸机的IP地址；后面分为两种情况，第一种情况是目标主机对应的端口是开放的，则会向伪造的源地址即僵尸机发送SYN/ACK包，此时僵尸机会将该包看作为非法包而向目标主机发送包含一个IPID值（此时为x+1）的RST包，然后当攻击者再向僵尸机发送SYN/ACK包时，会收到僵尸机返回的包含IPID值（此时值为x+2）的RST包；第二种情况是，目标主机相应的端口没有开启，则会直接对接受到的包进行reset处理，即向伪造的源地址、僵尸机发送RST包，僵尸机接收到该包后并不会做任何响应，之后当攻击者再次向僵尸机发送SYN/ACK包时，将会收到IPID值为x+1的RST包。

也就是说，攻击者判断的依据为：向僵尸机先后发送了两次SYN/ACK包，先后收到两次RST包，第一次RST包中IPID值为x，若第二次RST包中IPID值为x+2，则说明目标端口是开放的；若第二次RST包中IPID值为x+1，则说明目标端口是关闭的。

知道原理之后就可以进行演示了。在下面的示例中，在三台主机之间进行，分别是Kali Linux（扫描者，10.10.10.162）、Windows7（目标主机，10.10.10.154）、Windows XP（僵尸机，10.10.10.128）。

使用Scapy：

下面将扫描目标主机的139端口是否开放，发给僵尸机XP的是发到445端口（默认开启）。

比较两次id的值，az1中id值为155，az2中id值为157，即增加了2，说明目标主机的139端口是开放的。

用Wireshark抓包分析：

可以看到僵尸扫描的整个过程，先是攻击者向僵尸机发送SYN/ACK包，僵尸机收到后回RST包，然后攻击者伪造僵尸机向目标主机发送SYN包，因为目标主机139端口是开启的，所以收到后便返回伪源地址的僵尸机SYN/ACK包，僵尸机莫名收到目标主机的包当作非法包处理便返回RST包，最后攻击者再向僵尸机发送SYN/ACK包，根据僵尸机返回的包的id值的比较来确定端口是否开启。

可以进一步通过筛选条件tcp and ip.addr==10.10.10.154来查看跟目标主机有关的包：

可以看到在目标主机看来只能是看到僵尸机的源地址。

下面换扫描目标主机的12345端口（不开放）来进一步验证一下：

结果可知az2的id值较az1的大1，即12345端口没有开放。

当然可以把上述输入的命令整合成一句话的命令再写脚本实现自动化的扫描：zombie.py

使用Nmap：

通过调用nmap的脚本来识别僵尸机：

nmap -p 445 10.10.10.128 --script=ipidseq.nse

接着来扫描目标：

nmap 10.10.10.154 -sI 10.10.10.128 -Pn -p 1-200

-sI参数指定僵尸机IP地址，其中后面的字母为大写的i；-Pn参数将指定的主机默认为开启的，不进行主机发现。

 

用Wireshark抓包分析，查看与10.10.10.154相关的，可以看到和目标主机进行通信的地址都是僵尸机的地址，且目标主机都是发送SYN/ACK或SYN包：