什么是端口扫描?

端口扫描器是一种用于探测主机或服务器以识别开放端口的应用程序。不良行为者可以使用端口扫描器通过查找主机上运行的网络服务来利用漏洞。安全分析师也可以使用它们来确认网络安全策略。

什么是端口扫描?

端口扫描如何工作

在网络或服务器上运行端口扫描可以揭示哪些端口是开放的和监听的(接收信息),以及揭示安全设备的存在,例如发件人和目标之间存在的防火墙。这种技术称为指纹识别。它对于测试网络安全和系统防火墙的强度也很有价值。由于此功能,它也是一种流行的侦察工具,供攻击者寻找访问薄弱点以闯入计算机。

港口提供的服务各不相同。它们的编号从 0 到 65535,但某些范围更常用。端口 0 到 1023 被标识为“知名端口”或标准端口,并已由 Internet 号码分配机构 (IANA) 分配服务。一些最著名的港口及其分配的服务包括:

  • 端口 20 (UDP) — 用于数据传输的文件传输协议 (FTP)
  • 端口 22 (TCP) — 用于安全登录、FTP 和端口转发的安全外壳 (SSH) 协议
  • 端口 23 (TCP) — 用于未加密文本通信的 Telnet 协议
  • 端口 53 (UDP) — 域名系统 (DNS) 将互联网上所有计算机的名称转换为 IP 地址
  • 端口 80 (TCP) — 万维网 HTTP

在 1023 之后的端口上也提供标准服务,如果这些端口打开,则表明系统受感染,因为它在一些影响深远的木马和病毒中很受欢迎。

什么是端口扫描?

端口扫描的类型

端口扫描将精心准备的数据包发送到每个目标端口号。端口扫描软件能够使用的基本技术包括:

  • Vanilla——最基本的扫描;尝试一次连接到所有 65,536 个端口。香草扫描是完全连接扫描,这意味着它发送一个 SYN 标志(连接请求),并在收到 SYN-ACK(连接确认)响应后,发回一个 ACK​​ 标志。此 SYN、SYN-ACK、ACK 交换包括 TCP 握手。完全连接扫描是准确的,但很容易被检测到,因为完全连接总是被防火墙记录下来。
  • SYN扫描——也称为半开扫描,它只发送一个SYN,并等待来自目标的SYN-ACK响应。如果收到响应,扫描器将永远不会响应。由于 TCP 连接未完成,系统不会记录交互,但发送方已了解端口是否打开。
  • Xmas 和 FIN 扫描——一组扫描的示例,用于收集信息而不被目标系统记录。在 FIN 扫描中,一个未经请求的 FIN 标志(通常用于结束已建立的会话)将被发送到端口。系统对这个随机标志的响应可以揭示端口的状态或对防火墙的了解。例如,一个关闭的端口接收到一个未经请求的 FIN 数据包,将以一个 RST(瞬时中止)数据包响应,但一个开放的端口将忽略它。圣诞节扫描只是发送一组所有标志,创建一个无意义的交互。可以解释系统的响应以更好地了解系统的端口和防火墙。
  • FTP 弹跳扫描——允许通过 FTP 服务器弹跳数据包来伪装发件人的位置。这也是为了不被发现发件人而设计的。
  • 扫描——在多台计算机上对同一端口执行 ping 操作,以确定网络上哪些计算机处于活动状态。这不会显示有关端口状态的信息,而是告诉发送方网络上哪些系统处于活动状态。因此,它可以用作初步扫描。

端口扫描结果

端口扫描器发送一个 UDP 或 TCP 网络数据包,询问端口的状态。结果将揭示网络或服务器状态,可以是以下之一:打开、关闭和过滤。

什么是端口扫描?

1. 打开——接受

打开的端口表示以下内容:

  • 目标网络/服务正在接受数据报/连接。
  • 目标网络/服务已使用 TCP SYN 数据包进行响应,表明它正在侦听
  • 用于端口扫描的服务正在使用中(通常是 UDP 或 TCP)。

对于不良行为者,定位开放端口是任务。这给安全人员带来了挑战,他们面临着用防火墙阻止开放端口的任务(同时避免切断授权用户的访问)。

2.封闭——不倾听

关闭的端口表示以下内容:

  • 目标网络/服务器已收到请求,但没有服务正在侦听

尽管端口已关闭,但仍可访问,因此可用于确认 IP 地址上是否存在主机。安全人员应持续监控关闭的端口,并考虑用防火墙对其进行封锁(使其成为过滤端口)。

3.过滤——丢弃/阻止

过滤后的端口表示以下内容:

  • 已发送请求数据包。主持人没有在听,也没有回应。
  • 请求数据包可能被防火墙或入侵防御系统阻止。

只要数据包没有到达目标,不良行为者就无法发现更多信息。通常,发送到过滤端口的数据包不会收到响应,但当收到响应时,错误消息通常是“禁止通信”或“无法到达目的地”。

什么是端口扫描?

坏人如何使用端口扫描作为攻击方法

据 SANS Institute 称,端口扫描是不良行为者在搜索易受攻击的服务器时最常用的策略之一。当以网络为目标时,端口扫描通常是第一步。端口扫描提供有关网络环境的有用信息,例如:

  • 存在的防御措施,例如防火墙
  • 有关目标系统的详细信息
  • 在线的机器
  • 正在运行的应用程序
  • 谁可能拥有易受攻击的网络或服务器

此类信息对于寻找软件漏洞的恶意行为者非常有价值。能够识别组织正在运行特定的 DNS 或 Web 服务器可以更容易地找到这些漏洞。有几种 TCP 协议技术允许坏人使用诱饵流量进行端口扫描,完全隐藏他们的网络地址和位置。

为使发送者不被接收系统的日志检测到而开发的扫描称为隐身扫描,攻击者特别感兴趣。尽管端口扫描在该领域很受欢迎,但对于网络指纹识别和渗透测试人员评估网络安全强度而言,它是一种有价值的工具。

文章链接: https://www.mfisp.com/20514.html

文章标题:什么是端口扫描?

文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
IDC云库

应用程序交付的关键要素是什么?现代应用程序交付有哪些好处?

2023-5-15 15:27:09

IDC云库服务器vps推荐

常见的数据库系统及其特点,备份和恢复数据方法

2023-5-16 10:01:41

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
客户经理
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

梦飞科技 - 最新云主机促销服务器租用优惠