20CN网络安全小组论坛 - 菜鸟乐园

论坛: 菜鸟乐园标题: 教程

作者: xiaoen [xiaoen]

论坛用户

什么是端口？
在开始讲什么是端口之前，我们先来聊一聊什么是 port 呢？常常在网络上听说『我的主机开了多少的 port ，会不会被入侵呀！？』或者是说『开那个 port 会比较安全？又，我的服务应该对应什么 port 呀！？』呵呵！很神奇吧！怎么一部主机上面有这么多的奇怪的 port 呢？这个 port 有什么作用呢？！
由于每种网络的服务功能都不相同，因此有必要将不同的封包送给不同的服务来处理，所以��，当你的主机同时开启了 FTP 与 WWW 服务的时候，那么别人送来的资料封包，就会依照 TCP 上面的 port 号码来给 FTP 这个服务或者是 WWW 这个服务来处理，当然就不会搞乱��！（注：嘿嘿！有些很少接触到网络的朋友，常常会问说：『咦！为什么你的计算机同时有 FTP、WWW、E-Mail 这么多服务，但是人家传资料过来，你的计算机怎么知道如何判断？计算机真的都不会误判吗？！』现在知道为什么了吗？！对啦！就是因为 port 不同嘛！你可以这样想啦，有一天，你要去银行存钱，那个银行就可以想成是『主机』，然后，银行当然不可能只有一种业务，里头就有相当多的窗口，那么你一进大门的时候，在门口的服务人员就会问你说：『嗨！你好呀！你要做些什么事？』你跟他说：『我要存钱呀！』，服务员接着就会告诉你：『喝！那么请前往三号窗口！那边的人员会帮您服务！』这个时候你总该不会往其它的窗口跑吧？！ ^_^""这些窗口就可以想成是『 port 』��！所以啦！每一种服务都有特定的 port 在监听！您无须担心计算机会误判的问题呦！）

・每一个 TCP 联机都必须由一端(通常为 client )发起请求这个 port 通常是随机选择大于 1024 以上的 port 号来进行！其 TCP 封包会将(且只将) SYN 旗标设定起来！这是整个联机的第一个封包；

・如果另一端(通常为 Server ) 接受这个请求的话（当然��，特殊的服务需要以特殊的 port 来进行，例如 FTP 的 port 21 ），则会向请求端送回整个联机的第二个封包！其上除了 SYN 旗标之外同时还将 ACK 旗标也设定起来，并同时时在本机端建立资源以待联机之需；

・然后，请求端获得服务端第一个响应封包之后，必须再响应对方一个确认封包，此时封包只带 ACK 旗标(事实上�o后继联机中的所有封包都必须带有 ACK 旗标)�r

・只有当服务端收到请求端的确认( ACK )封包(也就是整个联机的第三个封包)之后�o两端的联机才能正式建立。这就是所谓的 TCP 联机的'三段式交握( Three-Way Handshake )'的原理。

　　经过三向交握之后，呵呵！你的 client 端的 port 通常是高于 1024 的随机取得的 port 至于主机端则视当时的服务是开启哪一个 port 而定，例如 WWW 选择 80 而 FTP 则以 21 为正常的联机信道！

总而言之,我们这里所说的端口，不是计算机硬件的I/O端口，而是软件形式上的概念.工具提供服务类型的不同，端口分为两种，一种是TCP端口，一种是UDP端口。计算机之间相互通信的时候，分为两种方式：一种是发送信息以后，可以确认信息是否到达，也就是有应答的方式，这种方式大多采用TCP协议；一种是发送以后就不管了，不去确认信息是否到达，这种方式大多采用UDP协议。对应这两种协议的服务提供的端口，也就分为TCP端口和UDP端口。
那么，如果攻击者使用软件扫描目标计算机，得到目标计算机打开的端口，也就了解了目标计算机提供了那些服务。我们都知道，提供服务就一定有服务软件的漏洞，根据这些，攻击者可以达到对目标计算机的初步了解。如果计算机的端口打开太多，而管理者不知道，那么，有两种情况：一种是提供了服务而管理者没有注意，比如安装IIS的时候，软件就会自动增加很多服务，而管理员可能没有注意到；一种是服务器被攻击者安装木马，通过特殊的端口进行通信。这两种情况都是很危险的，说到底，就是管理员不了解服务器提供的服务，减小了系统安全系数。

第十个：什么是扫描
如果你的机子连入互联网，那么你就有被扫描的危险。这里要给大家介绍的就是：什么是扫描，为什么有人要扫描，以及有趣的秘密握手机制和不同的扫描技术。
　　扫描一个系统或者一个网络，通常是为了发现这个被扫描的对象在提供哪些服务。扫描者可以分成两种类型，一种是“好人”：比如系统管理员和网络安全顾问，他们扫描的目的纯粹是外了找出系统的缺陷或漏洞，进而想办法弥补。当然另一类的就只能是“坏人”了，比如有“脚本小孩”或者更“坏”的，他们的目的是为了找出漏洞，进而实施攻击。

　　扫描就象是去一栋公寓然后挨家敲门看谁在家。你是否在运行一个WEB服务器，或者邮件服务器、BIND、Telnet、FTP、RPC等等。这些问题的答案扫描都可以给出。遗憾的是，这些答案通常很明显的暴露在外，使得那些技术不是很高明的人可以轻而易举的进去“参观”。

　　当然，我这里指的并非是那些极为高明，技术顶尖的黑客，我指的是那些只知道如何从网络上下载文件或收发EMAIL的大学生，当然中学生也不例外，他们通常被称为“脚本孩子”，因为他们并没有高深的技术知识作后盾，仅仅是通过运行别人写出的脚本程序来扫描或攻击别人的系统。除了这些可以随意下载的脚本外，攻击者通常还会下载一个叫做端口扫描器的软件工具。这种工具较旧的比如有ISS，较新的则如NMAP2.54的BETA22.1等。如果攻击者可以在你的系统中找到一个明显的漏洞，那么完了，你的系统很快将会属于他了，而且，扫描并不犯法，它并不是抢劫，你还无处申诉。

　　如今，“坏人”的扫描通常会遇到这样的问题，就是他们扫描过的系统往往会记录扫描行为所利用的每一个连接信息，或许扫描的人的确很浅薄，没有意识到在他们扫描过程中会在系统中留下“犯罪”的记录，但稍微留意的人都会想法抹除他们的犯罪记录。有很多方法可以达到这个目的。比如，许多黑客通过他预先攻击过的主机来扫描远程主机，这样，即使被扫描的主机记录了这一信息，逆向搜索的人能知道的也仅限于黑客预先攻击过的主机，真正的黑客信息并不能找到。这里介绍的秘密扫描就属于这样一种扫描方式，它使得逆向搜索变的更为困难，因为它的工作机制甚至不需要建立连接。

　　为了理解什么是秘密扫描以及它的工作原理，你首先应该对TCP/IP数据包的内容以及TCP的秘密握手机制有所了解。除了携带发送和接收方的IP地址和端口号外，TCP的报头还包含一个序列号和一些起着特殊作用的标记位。这里仅提到其中的三个标记位：SYN，ACK和FIN。因为它们三个的作用与这里讨论的主题密切相关。

　　当系统间彼此说“HELLO”或道“GOODBYE”时，就会用到所谓的握手机制。让我们先看看如何利用TCP/IP的握手机制来建立一个连接。本文中所提到的连接均指的是发生在两个IP地址间，有一定的端口号的连接。当你想网上冲浪，或者想TELNET到远程主机时，三次握手机制就会为你生成一个这样的连接。

　　它的工作原理大致如下：握手的第一步，一台计算机首先请求和另外一台计算机建立连接，它通过发送一个SYN请求来完成，也即将前面提到的SYN标记位置位。消息的内容就象是说：“HI，听着，我想和你的机子端口X上的服务说话，咱们先同步一下，我用序列号Y来开始连接。” 端口X表示了连接的服务类型。至于哪些端口支持哪些类型的服务，可以参考UNIX下面的/etc/services文件。两台计算机间的每条信息都有一个由发送方产生的序列号，序列号的使用使得双方知道他们之间是同步的，而且还可以起到丢失信息时或接收顺序错误时发送警告信息的作用。

　　握手的第二步，接收到SYN请求的计算机响应发送来的序列号，它会将ACK标记位置位，同时它也提供自己的序列号，这个做法类似于说：OH，亲爱的，我已经收到了你的号码，这是我的号码。

　　到现在为止，发起连接建立请求的计算机认为连接已经建立起来，然而对方却并不这样认为，对方还要等到它自己的序列号有了应答后才能确认连接建立起来。因此现在的状态可以称为“半连接”。如果发起连接请求的计算机不对收到的序列号作出应答，那么这个连接就永远也建立不起来，而正因为没有建立连接，所以系统也不会对这次连接做任何记录。

　　握手的第三步，发起连接请求的计算机对收到的序列号作出应答，这样，两台计算机之间的连接才算建立起来。

　　两台计算机说”GOODBYE“时的握手情况与此类似：当一台计算机说没有更多的数据需要发送了，它发送一个FIN信号（将FIN标记位置位）通知另一端，接收到FIN的另一端计算机可能发送完了数据，也可能没发送完，但它会对此作出应答，而当它真正完成所有需要发送的数据后，它会再发送一个自己的FIN信号，等对方对此作出应答后，连接才彻底解除。

FIN秘密扫描的工作原理就是向它的目的地一个根本不存在的连接发送FIN信息，如果这项服务没有开，那么目的地会响应一条错误信息，但如果是有这项服务，那么它将忽略这条消息。这样，扫描者的问题“你运行X吗”就有了答案，而且还不会在系统中有所记录。

　　还有两种其他的扫描手段值得注意。一种叫做圣诞树扫描，因为，它将所有的标记位都置位（不仅仅是SYN，ACK，FIN）；另一种叫做空扫描，因为所有的标记位都被复位。这些秘密的扫描行为将会根据接收端所运行的平台不同而产生不同的错误响应信息。

　　现代的端口扫描工具，象NMAP就是利用这样的原理来检测在一个系统上有那些服务是开着的。NMAP不光是最著名的，同时也是最出色的端口扫描工具。它被系统管理人员和“坏人”们广泛的应用，有关NMAP的介绍，大家可以通过搜索引擎去查找相关的资料。

++++++++不过对于扫描工具来说，菜鸟们用Scan和流光比较简单，功能也不错！+++++++++

[此贴被小恩(xiaoen) 在 05月09日15时52分编辑过]

地主发表时间: 04-05-09 09:11

回复: xiaoen [xiaoen]

论坛用户

哼哼~~~顶

B1层发表时间: 04-05-09 15:53

论坛: 菜鸟乐园