端口与漏洞扫描及网络监听.docVIP

端口漏洞扫描网络监听漏洞扫描网络监听x-scan对进行漏洞扫描。 被入侵者（）：用Analyzer分析进来的数据包，判断是否遭到扫描攻击。 第1步：入侵者，启动x-scan，设置参数。 安装好x-scan后，有两个运行程序：xscann.exe和xscan_gui.exexscann.exe是扫描器的控制台版本xscan_gui.exe是扫描器的窗口版本。运行窗口版本xscan_gui.exe），如图5.7所示。单击工具栏最左边的“设置扫描参数”按钮，进行相关参数的设置，比如扫描范围的设定，xscanner可以支持对多个IP地址的扫描，也就是说使用者可以利用xscanner成批扫描多个IP地址，例如在IP地址范围内输入1～55。如果只输入一个IP地址，扫描程序将针对单独IP地址进行扫描输入x-scan，设置参数 第3步：入侵者，扫描结果。 如图5.8所示，“普通信息”标签页显示漏洞扫描过程中的信息，“漏洞信息”标签页显示可能存在的漏洞，比如终端服务（端口3389）的运行，就为黑客提供了很好的入侵通道。 图5.8 扫描结果 第4步：被入侵者，网络监听。 由于Analyzer 3.0a12在Windows 2003 SP2下不能正常运行（在Windows XP SP2下可以正常运行），因此选用以前的版本Analyzer 2.2进行测试，读者可以在http://analyzer.polito. it/ download.htm下载xscan_gui.exe之前被入侵者运行analyzer。在入侵者运行xscan_gui.exe漏洞扫描结束后，停止Analyzer的抓包，然后分析Analyzer抓获的数据包，如图5.9所示，对从发来的数据包进行分析，可知对进行了端口和漏洞扫描。 2．扫描器的组成 扫描器一般是由用户界面、扫描引擎、扫描方法集、漏洞数据库、扫描输出报告等模块组成。  图5.9 被入侵者进行网络监听 3．漏洞 漏洞一词是从英文单词Vulnerability翻译而来，Vulnerability应译脆弱性，但是中国的技术人员已经更愿意接受漏洞Hole）”这一通俗化的名词。4．端口扫描 端口扫描端口扫描通过TCP或UDP的连接来判断目标主机上是否有相关的服务正在运行监听。Advanced Port Scanner对某网段进行扫描，结果如图5.10所示。 图5.10 用Advanced Port Scanner对某网段进行扫描 （2）端口 （3）端口的分类端口一般分为两类熟知端口一般端口端口扫描端口扫描器端口扫描TCPconnect（）扫描SYN扫描SYN/ACK扫描FIN扫描、XMAS扫描、NULL扫描、RESET扫描和UDP扫描，在此仅介绍TCPconnect（）扫描SYN扫描UDP扫描。 ① TCPconnect（）扫描TCPconnect（）扫描使用TCP连接建立三次握手机制，一个到目标主机端口的连接TCPconnect（）扫描SYN扫描SYN扫描11所示，TCP的SYN扫描不同于TCPconnect扫描，因为并不一个完整的TCP连接。只是发送一个SYN数据包去建立一个三次握手过程，等待响应，如果收到SYNACK数据包，则清楚的表明目标端口处于监听状态，如果收到的是RSTACK数据包，则表明目标端口处于非监听端口。发送RESET，因为没有建立完整的连接过程，目标主机的日志文件中不会有这种尝试扫描的记录。 UDP扫描。 5．网络监听原理 网络监听Analyzer 3.0a12进行测试。先运行Analyzer 3.0a177982，再使用Outlook Express或者analyzer 收发邮件，然后分析Analyzer抓获的数据包，如图5.12和图5.13所示，可以看到邮箱的用户名和密码（被隐藏）。 图5.12 TCPconnect（）扫描SYN扫描网络监听的工作方式是将数据包发同一网段所有主机在数据包包应该接收数据包的主机的地址，只有与数据包中目地址一致的那台主机接收，但是当主机工作在监听模式混杂模式不管数据包中的目地址是什么，主机都将接收。 TCPconnect（）扫描SYN扫描