0x01 端口

*端口的百科定义：*

端口（port），可以认为是设备与外界通讯交流的出口，端口的范围是从0 到 65535，主机通常通过“IP地址+端口号”来区分不同的服务的

端口号在 0～1023之间的为通用端口

端口分类

“端口”可分为 **虚拟端口* 和物理端口***

• *虚拟端口* ：计算机内部或交换机路由器内的端口，不可见例如计算机中的80端口、21端口、23端口等
• *物理端口* ：又称为接口，可见，计算机背板的RJ45网口，交换机路由器集线器等RJ45端口，电话使用RJ11插口也属于物理端口的范畴

我们今天关注的就是计算机的虚拟端口

根据协议，端口又可分为TCP 和 UDP

• *TCP端口 *： Transmission Control Protocol传输控制协议，TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议。在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功能。
• *UDP端口* ：User Datagram Protocol用户数据报协议，UDP是OSI参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。UDP 协议基本上是IP协议与上层协议的接口。UDP协议适用端口分别运行在同一台设备上的多个应用程序。

0x02 基础知识补充

在理解TCP与UDP之前，*我们要先明确OSI七层模型*，OSI七层模型在1984年前后被引入

TCP与UDP如同其他统称为协议，网络协议是决定系统如何在网络中通信的规则标准集，采用相同的协议，不同的系统就可以进行通信

*应用层 *： 提供文件传输、消息转换等功能，当应用需要发送数据时，会将数据发送给这一层上对应的协议
*应用层协议例如* ：简单邮件传输协议（SMTP），超文本传输协议（HTTP）、行式打印机后台程序（LPD）、文件传输协议（FTP）、普通文件传输协议（TFTP）、Telnet

*表示层 *： 用于接收应用层的消息，并将消息转换成标准的格式（可用于计算机）
*应用层协议例如* ：应用ASCII码（美国信息交换标准编码）转换字符，利用标签图像文件格式（TIFF）、图形交换格式（GIF）、联合图像专家组（JPEG）、扩展二进制编码十进制交换模式（RBCDIM）

*会话层 *： 用于对两侧的应用程序建立连接，包括三个步骤“链接建立”、“数据传输”，“连接释放”，会话层运用三种模式进行程序之间的通信：

• *单工模式：* 通信单向发生
• *半双工模式：* 双向通行，但不能同时发送数据
• *全双工模式：* 双向通行，能同时发送数据

*传输层 *： 用于建立计算机间的联系
*传输层协议例如* ：传输控制协议（TCP）、用户数据报协议（UDP）、安全套接字层（SSL）、序列包交换（SPX）

*网络层 *： 用于在数据包的首部插入具体信息，可以将数据正确的编址和路由，发送到目的地
*网络层协议例如* ：网际控制消息协议（ICMP）、路由信息协议（RIP）、开放最短路径优先（OSPF）、边界网关协议（BGP）、互联网组管理协议（IGMP）

*数据链路层 ：负责通信，将数据转换为物理层能看得懂的格式
数据链路层分为两个子层，逻辑链路控制（LLC）层，介质访问控制（MAC）层
*数据链路层协议例如 ：点对点协议（PPP）、ATM、第2层隧道协议（L2TP）、FDDI、以太网（IEEE 802.3）、令牌环（IEEE 802.5）、无线以太网（IEEE 802.11）

*物理层 *： 用于将转换成的数据用于电压
*物理层协议例如* ：综合服务数字网络（ISDN）、数字用户线路（DSL）、同步光纤网络（SONET）

0x03 TCP 与 UDP

TCP

图片地址：https://hmurl.cn/6n8GKdDc

运用TCP协议，两个消息在传送之前，会经过三次握手，这也就是为什么TCP为面向连接的协议，握手完成就会建立**虚拟链接 ，并且为**全双工

TCP可以确保数据到达目的地，接收到数据包会返回ACK，使用序列号，可以保证每一个数据包都被接收，经常用于可靠的传输

SMTP简单邮件传输协议在传送消息时需要确保数据的传递，就会使用TCP

三次握手

图片地址：https://hmurl.cn/aHk40hhW

发送方在通信前，会先给接收方发送一个同步包（SYN），接收方返回给一个同步包（SYN），一个应答包（ACK），之后发送方通过发送应答包（ACK）进行应答

UDP

UDP是**无连接协议 ，相比TCP速度较快，但不能保证数据到达目的地，是一种不可靠协议，也不是用序列号

0x04 TCP CONNECT SCAN

TCP CONNECT SCAN本质是通过尝试建立三次握手，建立成功则返回“端口开放” ，若发送方接收到 RST 则表示“端口未开放”

但是TCP CONNECT扫描速度比较慢，而且建立了完整的TCP连接，会在目标主机上留下记录信息，不够隐蔽

所以，TCP connect是TCP SYN无法使用才考虑使用的方式

python实现

```

-- coding = utf-8 --

@Time : 2022/2/26 9:52 上午

@Author : lmn

@File : TCP_CONNECT_SCAN_lmn.py

@Software : PyCharm

import threading
from socket import *

lock = threading.Lock()

def PortScanner(host, port):
try:
s = socket(AF_INET, SOCK_STREAM)
# AF_INET 服务器之间网络通信
# SOCK_STREAM 流式socket，for TCP
s.connect((host, port))
# s.connect('192.168.1.1','80')) 错误
# s.connect('192.168.1.1',80)) 正确
lock.acquire()
# 只有一个线程能成功地获取锁
print("[+] PORT: %d open" % port)
lock.release()
# 释放锁
s.close()
except:
pass

def main():
setdefaulttimeout(1)
# 1秒后，如果还未成功，自动跳入下一次操作，此次运行失败
print("Welcome to use TCP CONNECT SCAN!!!")
IP = input("Please Input IP:>")
PORT = input("Please Input PORT（Separated by ','）:>")
portList = PORT.split(',')
for i in portList:
if i.isdigit():
t = threading.Thread(target=PortScanner, args=(IP, int(i)))
# args 动态参数就是传入的参数的个数是动态的
t.start()
else:
newPortList = i.split('-')
startPort = int(newPortList[0])
endPort = int(newPortList[0])
for port in range(int(newPortList[0]), int(newPortList[0])):
t = threading.Thread(target=PortScanner, args=(IP, port))
t.start()
print('[*] The TCP CONNECT SCAN is complete!')

if name == 'main':
main()
```

---

*知识点补充：*
socket.AF_UNIX 只能够用于单一的Unix系统进程间通信
socket.AF_INET 服务器之间网络通信
socket.AF_INET6 IPv6
socket.SOCK_STREAM 流式 socket，for TCP
socket.SOCK_DGRAM 数据报式 socket，for UDP

*创建 TCP Socket：*
s=socket.socket(socket.AF_INET, socket.SOCK_STREAM)

*创建 UDP Socket:*
s=socket.socket(socket.AF_INET, socket.SOCK_DGRAM)

---

使用nmap

```
nmap -h

SCAN TECHNIQUES:
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans
```

nmap -sT 地址

MSF

use auxiliary/scanner/portscan/tcp

0x05 TCP SYN SCAN

TCP SYN SCAN 是TCP 半连接扫描，该方式发送 SYN 到目标端口

• 如果收到SYN/ACK回复，可以判断端口是开放的
• 如果收到RST包，该端口是关闭的
• 如果没有收到回复，该端口被屏蔽了

该方式仅**发送SYN包对目标主机的特定端口 ，但*不建立完整的TCP连接*，相对较隐蔽，而且效率比较高，适用范围广

使用nmap

```
nmap -h

SCAN TECHNIQUES:
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans
```

nmap -sS 地址

MSF

use auxiliary/scanner/portscan/syn

如果遇到这种情况

sudo一下

0x06 TCP Xmas Tree SCAN

该扫描模式通过发送带有下列标志位的 TCP 数据包 :

• *URG：* urgent紧急
• *PSH：* PSH为1表示的是有真正的TCP数据包内容被传递
• *FIN：* finish结束，在结束会话时使用

正常情况下，三个标志位不能被同时设置，但在此种扫描中可以用来判断哪些端口关闭还是开放

当端口关闭时，计算机接收到的数据包不包含SYN，RST，或者ACK位，会向发送方发送一个RST，若在端口开放时，则不返回任何消息

总的来说Xmas tree 就是指 flags 中 FIN、URG、PSH 被置为1的TCP包

使用nmap

```
nmap -h

SCAN TECHNIQUES:
-sN/sF/sX: TCP Null, FIN, and Xmas scans
```

MSF

use auxiliary/scanner/portscan/xmas

0x07 TCP NULL SCAN

NULL包是指所有的flags都为0的TCP包

如果没有收到接收方的回复，则认为端口开放，收到RST则为端口关闭

使用nmap

```
nmap -h

SCAN TECHNIQUES:
-sN/sF/sX: TCP Null, FIN, and Xmas scans
```

nmap -sN 地址

MSF

use auxiliary/scanner/portscan/xmas

0x08 TCP ACK SCAN

*使用TCP ACK扫描不能够确定端口的关闭或者开放*

向目标主机的端口发送ACK包

如果收到RST包，说明该端口没有被防火墙屏蔽
没有收到RST包，说明被屏蔽

该方式只能用于确定防火墙是否屏蔽某个端口，可以辅助TCP SYN的方式来判断目标主机防火墙的状况

使用nmap

```
nmap -h

SCAN TECHNIQUES:
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans

nmap -sA 地址
```

MSF

use auxiliary/scanner/portscan/ack

0x09 TCP WINDOW SCAN

窗口扫描与 ACK 扫描完全相同，它利用某些系统的实现细节来区分端口是否打开，而不是总是 unfiltered 在返回 RST 时打印

简单说就是检查数据包的大小来衡量端口是否打开
如果 RST 数据包中的窗口大小不为零，则说明目标端口是开放的

使用nmap

图片地址：https://nmap.org/

0x10 TCP Idle Scan

空闲扫描允许完全盲端口扫描，攻击者实际上可以扫描目标，而无需从他们自己的 IP 地址向目标发送单个数据包，可以使用巧妙的侧信道攻击允许扫描从一个“僵尸主机”反弹 。入侵检测系统 (IDS) 报告会将僵尸指为攻击者

除了非常隐蔽之外，这种扫描方式允许挖掘机器之间基于IP的信任关系

空闲扫描的步骤

1. 探测僵尸的 IP ID 并记录下来。
2. 僵尸机主机上伪造一个包，并将其发送到目标主机上所需的端口，并根据端口状态，目标的反应可能会导致僵尸机的 IP ID 增加
3. 再探查僵尸机的IP ID，比较两次得到IP ID值

若僵尸机的IP ID增加了1，说明僵尸机还没有发出任何包，响应攻击者的探查请求除外
没有发送包也就意味着目标端口没有被打开
若僵尸机的IP ID增加了2，说明在两次探测之间发送了一个数据包，这个额外的数据包通常意味着端口是开放的

僵尸机空闲扫描

nmap官网上有一张特别详细的图

为了能让读者更明白一些，我通过更直白的语言讲解一下

端口开放

1. 攻击者向僵尸发送SYN/ACK报文，僵尸机发送回一个RST，并透露它的IP ID

1. 目标主机发送SYN/ACK给僵尸机，以响应看起来是来自于僵尸机的来自于攻击方的SYN，僵尸返回一个SYN/ACK，在进程中增加它的IP ID

1. 重复第一步，僵尸机的IP ID + 2

端口关闭

1. 攻击者向僵尸发送SYN/ACK报文，僵尸机发送回一个RST，并透露它的IP ID

1. 目标主机发送SYN/ACK给僵尸机，以响应看起来是来自于僵尸机的来自于攻击方的SYN，僵尸返回一个RST

1. 重复第一步，僵尸机的IP ID + 1

端口被过滤

1. 攻击者向僵尸发送SYN/ACK报文，僵尸机发送回一个RST，并透露它的IP ID

1. 目标主机忽略了SYN，也没有向僵尸机发送RST，没有任何相应IP ID也没有增加

1. 重复第一步，僵尸机的IP ID + 1

0x11 UDP Scan

由于 UDP 扫描通常比 TCP 更慢且更困难，但是也不能忽略UDP端口扫描
它可以与诸如 SYN 扫描 (-sS) 之类的 TCP 扫描类型结合使用，以在同一运行期间检查两种协议，UDP 扫描通过向每个目标端口发送一个 UDP 数据包来工作

UDP扫描一般如果返回ICMP port unreachable说明端口关闭
没有回应或有回应则认为是端口开放，但是UDP是不可靠的，存在丢包的可能性

使用nmap

```
nmap -h

SCAN TECHNIQUES:=
-sU: UDP Scan
```

nmap -sU 地址

图片地址：https://nmap.org/

reference：
https://hmurl.cn/JfHqdODP
https://nmap.org/