代理扫描
文件传输协议(FTP)支持一个非常有意思的选项:代理ftp连接 。这个选项最初的目的(RFC959)是允许一个客户端同时跟两个FTP服务器建立连接,然后在服务器之间直接传输数据 。然而,在大部分实现中,实际上能够使得FTP服务器发送文件到Internet的任何地方 。许多攻击正是利用了这个缺陷 。最近的许多扫描器利用这个弱点实现ftp代理扫描 。
ftp端口扫描主要使用ftp代理服务器来扫描tcp端口 。扫描步骤如下:
1:假定S是扫描机,T是扫描目标,F是一个ftp服务器,这个服务器支持代理选项,能够跟S和T建立连接 。
2:S与F建立一个ftp会话,使用PORT命令声明一个选择的端口(称之为p-T)作为代理传输所需要的被动端口 。
3:然后S使用一个LIST命令尝试启动一个到p-T的数据传输 。
4:如果端口p-T确实在监听,传输就会成功(返回码150和226被发送回给S) 。否则S回收到"425无法打开数据连接"的应答 。
5:S持续使用PORT和LIST命令,直到T上所有的选择端口扫描完毕 。
FTP代理扫描不但难以跟踪,而且当ftp服务器在防火墙后面的时候二:全TCP连接和SYN扫描器
全TCP连接
全TCP连接是长期以来TCP端口扫描的基础 。扫描主机尝试(使用三次握手)与目的机指定端口建立建立正规的连接 。连接由系统调用connect()开始 。对于每一个监听端口,connect()会获得成功,否则返回-1,表示端口不可访问 。由于通常情况下,这不需要什么特权,所以几乎所有的用户(包括多用户环境下)都可以通过connect来实现这个技术 。
这种扫描方法很容易检测出来(在日志文件中会有大量密集的连接和错误记录) 。Courtney,GabrIEl和TCP Wrapper监测程序通常用来进行监测 。另外,TCP Wrapper可以对连接请求进行控制,所以它可以用来阻止来自不明主机的全连接扫描 。
TCP SYN扫描
在这种技术中,扫描主机向目标主机的选择端口发送SYN数据段 。如果应答是RST,那么说明端口是关闭的,按照设定就探听其它端口;如果应答中包含SYN和ACK,说明目标端口处于监听状态 。由于所有的扫描主机都需要知道这个信息,传送一个RST给目标机从而停止建立连接 。由于在SYN扫描时,全连接尚未建立,所以这种技术通常被称为半打开扫描 。SYN扫描的优点在于即使日志中对扫描有所记录,但是尝试进行连接的记录也要比全扫描少得多 。缺点是在大部分操作系统下,发送主机需要构造适用于这种扫描的IP包,通常情况下,构造SYN数据包需要超级用户或者授权用户访问专门的系统调用 。
三:秘密扫描与间接扫描
秘密扫描技术
由于这种技术不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而必SYN扫描隐蔽得多 。另外,FIN数据包能够通过只监测SYN包的包过滤器 。
秘密扫描技术使用FIN数据包来探听端口 。当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且回返回一个RST数据包 。否则,当一个FIN数据包到达一个打开的端口,数据包只是简单的丢掉(不返回RST) 。
Xmas和Null扫描是秘密扫描的两个变种 。Xmas扫描打开FIN,URG和PUSH标记,而Null扫描关闭所有标记 。这些组合的目的是为了通过所谓的FIN标记监测器的过滤 。
秘密扫描通常适用于Unix目标主机,除过少量的应当丢弃数据包却发送reset信号的操作系统(包括CISCO,BSDI,HP/UX,MVS和IRIX) 。在Windows95/NT环境下,该方法无效,因为不论目标端口是否打开,操作系统都发送RST 。
跟SYN扫描类似,秘密扫描也需要自己构造IP 包 。
间接扫描
推荐阅读
- 古曼童是什么
- 封闭系统统网络端口以保证系统安全
- 病毒利用新PowerPoint漏洞进行网络攻击
- cdx什么意思网络用语
- win7中网络适配器打不开具体处理方法
- 卡巴斯基更新提示“网络操作超时”怎么办
- 猎奇是什么意思
- 1014是什么意思
- 网络连接中断3102是什么意思
- 查找与清除线程插入式木马