1、端口扫描网络行为定义介绍
端口扫描,顾名思义,就是逐个对一段端口或指定的端口进行扫描。通过扫描结果可以知道一台计算机上都提供了哪些服务,然后就可以通过所提供的这些服务的己知漏洞就可进行攻击。其原理是当一个主机向远端一个服务器的某一个端口提出建立一个连接的请求,如果对方有此项服务,就会应答,如果对方未安装此项服务时,即使你向相应的端口发出请求,对方仍无应答,利用这个原理,如果对所有熟知端口或自己选定的某个范围内的熟知端口分别建立连接,并记录下远端服务器所给予的应答,通过查看一记录就可以知道目标服务器上都安装了哪些服务,这就是端口扫描,通过端口扫描,就可以搜集到很多关于目标主机的各种很有参考价值的信息。例如,对方是否提供FPT服务、WWW服务或其它服务
2、扫描工具 NMAP
nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全。
3、数据包分析实验
NMAP端口扫描数据包可以从
使用wireshark打开discovery_portscan_nmap.pcap,可以看到不同端口的SYN数据包,
发送SYN请求到不同的端口,根据ACK应答判断端口是否打开
Client端192.168.75.1发送SYN;Server端192.168.75.132返回RST/ACK,表明端口未开放
Client端发送SYN;Server端返回SYN/ACK,表明端口开放;
例如83发送3306端口的SYN,102有RST/ACK响应则可以判断目标机器未开启3306端口,常规为MYSQL数据库端口
数据包返回SYN/ACK表明端口打开如53、21、25、80、139、135等端口是打开的,如下图
参考
https://attack.mitre.org/techniques/T1046/
https://github.com/cyberstarsky/CyberThreatBehavior/
https://www.jianshu.com/p/874405b0a6ae
