本文以 kali-linux-2022.3-vmware-amd64 为例。
一些命令与工具只做简单介绍。其使用另见《安全工具录》。
意义:
原理:
UDP 端口扫描:
TCP 端口扫描:
全连接扫描(TCP Connect Scan)
扫描器尝试与目标主机的端口建立完整的TCP连接。如果连接成功建立,则说明该端口是开放的。
半开放扫描(SYN 扫描,隐蔽扫描,TCP SYN Scan)
扫描器发送一个 TCP SYN 包(同步包)到目标主机的指定端口,如果收到目标主机的 TCP SYN/ACK 包(同步/应答包),则表示该端口是开放的;如果收到目标主机的 RST 包(复位包)或没有收到任何响应,则表示该端口是关闭的。
僵尸扫描(Zombie Scanning)
所有的 TCP 扫描方式都是基于三次握手的变化来判断目标端口状态。
发送 UDP 数据包。
命令行输入 scapy
进入或作为 python 模块使用。
示例01:UDP 扫描:UDP_scan.py
#!/usr/bin/python
import logging
import time
import sys
from scapy.all import *
from scapy.layers.inet import IP, UDP
logging.getLogger("scapy.runtime").setLevel(logging.ERROR)
if len(sys.argv) != 4:
print("Usage: ./UDP_scan.py " )
print("Example: ./UDP_scan.py 172.16.36.0 1 100")
sys.exit()
ip = str(sys.argv[1])
start = int(sys.argv[2])
end = int(sys.argv[3])
for port in range(start, end):
a = sr1(IP(dst=ip)/UDP(dport=port), timeout=1, verbose=0)
time.sleep(1)
if a == None:
print(port)
else:
pass
print("END")
sys.exit()
基本语法:
nmap 选项
部分选项:
参数 | 说明 |
---|---|
-sU |
UDP Scan. |
-p |
Only scan specified ports. |
如果不指定端口,默认扫描内置的 1000 个常用端口。
示例01:
nmap -sU 1.1.1.1
示例02:
nmap 1.1.1.1 -sU -p 53
示例03:
nmap -iL iplist.txt -sU -p 1-200
半开放扫描(SYN 扫描,隐蔽扫描,TCP SYN Scan)
扫描器向目标主机发送一个 SYN 数据包
不建立完整连接,应用日志不记录扫描行为:比较隐蔽。
命令行输入 scapy
进入或作为 python 模块使用。
示例01:syn_scan.py。
#!/usr/bin/python
import logging
import sys
from scapy.all import *
from scapy.layers.inet import IP, TCP
logging.getLogger("scapy.runtime").setLevel(logging.ERROR)
if len(sys.argv) != 4:
print("Usage: ./syn_scan.py " )
print("Example: ./syn_scan.py 172.16.36.0 1 100")
sys.exit()
ip = str(sys.argv[1])
start = int(sys.argv[2])
end = int(sys.argv[3])
for port in range(start, end):
a = sr1(IP(dst=ip)/TCP(dport=port), timeout=1, verbose=0)
if a == None:
pass
elif int(a[TCP].flags) == 18:
print(port)
else:
pass
print("END")
sys.exit()
基本语法:
nmap 选项
部分选项:
参数 | 说明 |
---|---|
-sS/sT/sA/sW/sM |
TCP SYN/Connect()/ACK/Window/Maimon scans. |
--open |
Only show open (or possibly open) ports. |
示例01:
nmap -sS 1.1.1.1 -p 80,21,25,110,443
示例02:
nmap -sS 1.1.1.1 -p 1-65535 --open
示例03:与 示例02 一样。
nmap -sS 1.1.1.1 -p- --open
基本语法:
hping3 选项
部分选项:
参数 | 说明 |
---|---|
-8 或 --scan |
SCAN mode. |
-S 或 --syn |
set SYN flag. |
-p 或 --destport |
[+][+]port destination port(default 0) ctrl+z inc/dec. |
-a 或 --spoof |
spoof source address. |
示例01:
hping3 1.1.1.1 --scan 80,21,25,443 -S
示例02:
hping3 1.1.1.1 --scan 0-65535 -S
示例03:发送10个 TCP SYN 数据包,源 IP 地址为 1.1.1.2,目标 IP 地址为 1.1.1.3,并向 1 号端口开始递增发送数据包。
hping3 -c 10 -S --spoof 1.1.1.2 -p ++1 1.1.1.3
Scapy 实现全连接扫描比较困难,需要配合防火墙。
因为内核认为莫名收到的 SYN/ACK 数据包是非法包,直接发送 RST 数据包终止连接。
基本语法:
nmap 选项
部分选项:
参数 | 说明 |
---|---|
-sS/sT/sA/sW/sM |
TCP SYN/Connect()/ACK/Window/Maimon scans. |
示例01:
nmap -sT 1.1.1.1 -p 80,21,25
示例02:
nmap -sT 1.1.1.1 -p 80-2000
Dmitry 用于网络侦察:端口扫描、服务识别等。功能简单,但使用简便。
Deepmagic Information Gathering Tool.
“There be some deep magic going on”.
基本语法:
dmitry 选项
部分选项:
参数 | 说明 |
---|---|
-p |
Perform a TCP port scan on a host. |
-o |
Save output to %host.txt or to file specified by -o file |
示例01:
dmitry -p 172.16.36.135 -o output.txt
基本语法:
nc 选项
部分选项:
参数 | 说明 |
---|---|
-n |
numeric-only IP addresses, no DNS. |
-v |
verbose [use twice to be more verbose]. |
-w secs |
timeout for connects and final net reads. |
-z |
zero-I/O mode [used for scanning]. |
示例01:
nc -nv -w 1 -z 192.168.60.4 1-100
-z
:表示进行端口扫描。对指定的主机和端口范围执行零输入和零输出的扫描,以确定它们是否处于打开状态。
示例02:简单脚本,对某主机端口扫描。
for x in $(seq 20 30); do nc -nv -w 1 -z 1.1.1.1 $x; done | grep open
示例03:简单脚本,对某网段主机 80 端口扫描。
for x in $(seq 1 254); do nc -nv -w 1 -z 1.1.1.$x 80; done
僵尸扫描:
这里的僵尸机不是指被控制的主机,而是网络中足够闲置的主机系统。
僵尸机要满足两个条件:
IPID(IP 标识符)是网络层协议(如IPv4)中用于标识每个数据包的唯一值。
原理如下图:
示例01:zombie_scan.py
#!/usr/bin/python
import logging
from scapy.all import *
from scapy.layers.inet import IP, TCP
logging.getLogger("scapy.runtime").setLevel(logging.ERROR)
def zombie_scan(target, zombie):
print("\nScanning target" + target + " with zombie " + zombie)
print("\n-------------Open Ports on Target-------------\n")
for port in range(1, 100):
try:
start_val = sr1(IP(dst=zombie)/TCP(flags="SA", dport=port), timeout=1, verbose=0)
send(IP(src=zombie, dst=target)/TCP(flags="S", dport=port), verbose=0)
end_val = sr1(IP(dst=zombie)/TCP(flags="SA"), timeout=1, verbose=0)
if end_val[IP].id == (start_val[IP].id + 2):
print(port)
except:
pass
def ipid(zombie):
reply_1 = sr1(IP(dst=zombie)/TCP(flags="SA"), timeout=1, verbose=0)
send(IP(dst=zombie)/TCP(flags="SA"), verbose=0)
reply_2 = sr1(IP(dst=zombie)/TCP(flags="SA"), timeout=1, verbose=0)
if reply_2[IP].id == (reply_1[IP].id + 2):
print("IPID sequence is incremental and target appears to be idle. ZOMBIE LOCATED")
response = input("Do you want to use this zombie to perform a scan? (y or n): ")
if response == "y":
target = input("Enter the IP address of the target system: ")
zombie_scan(target, zombie)
else:
print("Either the IPID sequence is not incremental or the target is not idle. NOT A GOOD ZOMBIE")
print("-------------Zombie Scan Suite-------------\n")
print("1 - Identify Zombie Host")
print("2 - Perform Zombie Scan\n")
ans = input("Select an Option (1 or 2): ")
if ans == "1":
zombie = input("Enter IP address to test IPID sequence: ")
ipid(zombie)
elif ans == "2":
zombie = input("Enter IP address for zombie system: ")
target = input("Enter IP address for scan target: ")
zombie_scan(target, zombie)
基本语法:
nmap 选项
部分选项:
参数 | 说明 |
---|---|
--script= |
“Lua scripts” is a comma separated list of directories, script-files or script-categories. |
-sI |
Idle scan.(欺骗扫描) |
-Pn |
Treat all hosts as online – skip host discovery.(禁用主机发现,跳过对目标主机是否在线的检测。) |
可以到 /usr/share/nmap/scripts/ 目录下查看所有 nmap 脚本。
示例01:
发现僵尸:
nmap -p445 172.168.2.133 --script=ipidseq.nse
ipidseq.nse 是 Nmap 的一个脚本,用于检测目标主机的 IPID 序列。
扫描目标:
nmap 172.16.36.135 -sI 172.168.2.133 -Pn -p 0-100
量大祸不在,机深祸亦深。
——《增广贤文》