端口与漏洞扫描及网络监听

端口与漏洞扫描及网络监听

1．漏洞扫描与网络监听

扫描与监听的实验环境如图5.6所示。

图5.6 实验环境

入侵者（192.168.10.5）：运行x-scan对192.168.10.1进行漏洞扫描。

被入侵者（192.168.10.1）：用Analyzer分析进来的数据包，判断是否遭到扫描攻击。

第1步：入侵者，启动x-scan，设置参数。

安装好x-scan后，有两个运行程序：xscann.exe和xscan_gui.exe。xscann.exe是扫描器的控制台版本，xscan_gui.exe是扫描器的窗口版本。

在此运行窗口版本（xscan_gui.exe），如图5.7所示。单击工具栏最左边的“设置扫描参数”按钮，进行相关参数的设置，比如扫描范围的设定，xscanner可以支持对多个IP地址的扫描，也就是说使用者可以利用xscanner成批扫描多个IP地址，例如在IP地址范围内输入192.168.0.1～192.168.0.255。如果只输入一个IP地址，扫描程序将针对单独的IP地址进行扫描，在此输入192.168.10.1。

第2步：入侵者，进行漏洞扫描。

如图5.7所示，单击工具栏左边第二个按钮，即三角形按钮。进行漏洞扫描。

图5.7 启动x-scan，设置参数

第3步：入侵者，扫描结果。

如图5.8所示，“普通信息”标签页显示漏洞扫描过程中的信息，“漏洞信息”标签页显示可能存在的漏洞，比如终端服务（端口3389）的运行，就为黑客提供了很好的入侵通道。

图5.8 扫描结果

第4步：被入侵者，网络监听。

由于Analyzer 3.0a12在Windows 2003 SP2下不能正常运行（在Windows XP SP2下可以正常运行），因此选用以前的版本Analyzer 2.2进行测试，读者可以在http://analyzer.polito. it/ download.htm下载。

在入侵者运行xscan_gui.exe之前被入侵者运行analyzer。在入侵者运行xscan_gui.exe漏洞扫描结束后，停止Analyzer的抓包，然后分析Analyzer抓获的数据包，如图5.9所示，对从192.168.10.5发来的数据包进行分析，可知192.168.10.5对192.168.10.1进行了端口和漏洞扫描。

2．扫描器的组成

扫描器一般是由用户界面、扫描引擎、扫描方法集、漏洞数据库、扫描输出报告等模块组成。

图5.9 被入侵者进行网络监听

3．漏洞

漏洞一词是从英文单词Vulnerability翻译而来，Vulnerability应译为“脆弱性”，但是中国的技术人员已经更愿意接受“漏洞（Hole）”这一通俗化的名词。

4．端口扫描

（1）端口扫描的定义。端口扫描是通过TCP或UDP的连接来判断目标主机上是否有相关的服务正在运行并且进行监听。比如使用端口扫描器Advanced Port Scanner对某网段进行

扫描，结果如图5.10所示。

图5.10 用Advanced Port Scanner对某网段进行扫描

（2）端口。

（3）端口的分类。端口一般分为两类：熟知端口和一般端口。

（4）端口扫描。

（5）端口扫描器。

（6）端口扫描的类型。端口扫描的类型有多种，比如TCPconnect（）扫描、SYN扫描、SYN/ACK扫描、FIN扫描、XMAS扫描、NULL扫描、RESET扫描和UDP扫描，在此仅介绍TCPconnect（）扫描、SYN扫描和UDP扫描。

①TCPconnect（）扫描。如图5.11所示，TCPconnect（）扫描使用TCP连接建立的“三次握手”机制，建立一个到目标主机某端口的连接。

图5.11 TCPconnect（）扫描、SYN扫描

②SYN扫描。如图5.11所示，TCP的SYN扫描不同于TCPconnect（）扫描，因为并不建立一个完整的TCP连接。只是发送一个SYN数据包去建立一个“三次握手”过程，等待被扫描者的响应，如果收到SYN/ACK数据包，则清楚的表明目标端口处于监听状态，如果收到的是RST/ACK数据包，则表明目标端口处于非监听端口。然后发送RESET数据包，因为没有建立完整的连接过程，目标主机的日志文件中不会有这种尝试扫描的记录。

③UDP扫描。

5．网络监听及其原理

（1）网络监听获得邮箱的用户名和密码。在Windows XP SP2运行Analyzer 3.0a12进行测试。先运行Analyzer 3.0a177982，再使用Outlook Express或者analyzer

收发邮件，然后分析Analyzer抓获的数据包，如图5.12和图5.13所示，可以看到邮箱的用户名和密码（被隐藏）。

图5.12 TCPconnect（）扫描、SYN扫描

（2）网络监听原理。

以太网的工作方式是将数据包发送到同一网段（共享式网络）所有主机，在数据包首部

包含应该接收该数据包的主机的MAC地址，只有与数据包中的目的MAC地址一致的那台主机接收数据包，但是当一台主机的网卡工作在监听模式（或混杂模式），不管数据包中的目的MAC地址是什么，主机都将接收。

图5.13 TCPconnect（）扫描、SYN扫描