主动扫描-端口扫描

一.基础概念

二三四层发现的目的只是为了准确发现所有活着主机IP，确定攻击面，端口扫描即发现攻击点，发现开放端口。端口对应网络服务及应用端程序，服务端程序的漏洞通过端口攻入。【所有的扫描结果，都不要完全相信】

一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息。进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行扫描。在手工进行扫描时，需要熟悉各种命令。对命令执行后的输出进行分析。用扫描软件进行扫描时，许多扫描器软件都有分析数据的功能。通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。
对端口扫描中出现的服务结果，不要相信，那只是一个惯例，并不准确。

二.工具使用

1.UDP

(1).nmap
nmap 192.168.1.1 -sU -p 53,67 #默认不加-p，扫描1000常用端口
nmap -iL iplist.txt -sU -p 1-200 #指定地址列表

2.TCP

(1).全连接扫描——SYN、SYN+ACK、ACK
建立完整TCP三次连接，结果最最准确不需要任何权限，系统中的任何用户都有权利使用这个调用，而且速度快，但容易被发觉。
scapy对全连接扫描比较困难
若直接给目标系统发SYN+ACK/ACK，dst会认为是异常包，回应RST
TCP扫描：
【操作系统内核，会认为没建立完整的连接，会返回一个RST，表示请求断开连接】需要避免接受此包，以免混淆后续操作。让RST包不产生
iptables，linux防火墙，工作位置在内核之前
使用策略：iptables -A OUTPUT -p tcp --tcp-flags RST RST -d 192.168.20.2 -j DROP

• nmap

nmap -sT 192.168.1.115 -p 100-200 不加-p，会扫描1000个常用端口

• nc

nc -nv -w 1 -z 192.168.1.115 100-200 #-nv：n表示跟数字内容，v不做域名解析 -w超时时间 -z使用扫描模式
for x in $(seq 20 30); do nc -nv -w 1 -z 1.1.1.1 $x; done | grep open
for x in $(seq 1 254); do nc -nv -w 1 -z 1.1.1.$x 80; done

(2).半开扫描
不建立完整的TCP连接，不在应用层留痕，只能在网络层有些迹像可循
只发SYN包，若收到SYN+ACK，则端口开放；若收到R+A，端口关闭

• nmap

nmap 192.168.1.115 -p100-200 #默认-sS（SYN）
nmap 192.168.1.115 -p100-200 --open #若目标主机在防火墙保护下，--open可过滤杂项
nmap -sS 192.168.1.115 -p100-200,445,3389 --open #用","分隔指定端口

• Hping（结果比较清晰）

hping3 192.168.1.115 --scan 100-200 -S #-S：SYN包

源地址欺骗
必须有权登陆伪造的IP地址主机，查看回包，或者能在交换机做镜像端口

hping3 -c 100 -S --spoof 192.168.1.140 -p ++1 192.168.1.1