端口扫描基本原理

2024年4月28日发(作者：)

端口扫描基本原理

端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解

其提供的计算机网络服务类型（这些网络服务均与端口号相关）。端口扫描是计算机解密高

手喜欢的一种方式。攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上，端口扫描

包括向每个端口发送消息，一次只发送一个消息。接收到的回应类型表示是否在使用该端口

并且可由此探寻弱点。

扫描器应该有三项功能：发现一个主机或网络的能力；一旦发现一台主机，有发现什么服务

正运行在这台主机上的能力；通过测试这些服务，发现漏洞的能力。

TCP connect() 扫描

这是最基本的TCP扫描。操作系统提供的connect（）系统调用，用来与每一个感兴趣的目

标计算机的端口进行连接。如果端口处于侦听状态，那么connect（）就能成功。否则，这

个端口是不能用的，即没有提供服务。这个技术的一个最大的优点是，你不需要任何权限。

系统中的任何用户都有权利使用这个调用。另一个好处就是速度。如果对每个目标端口以线

性的方式，使用单独的connect（）调用，那么将会花费相当长的时间，你可以通过同时打

开多个套接字，从而加速扫描。使用非阻塞I/O允许你设置一个低的时间用尽周期，同时观

察多个套接字。但这种方法的缺点是很容易被发觉，并且被过滤掉。目标计算机的logs文

件会显示一连串的连接和连接是出错的服务消息，并且能很快的使它关闭。

TCP SYN扫描

这种技术通常认为是“半开放”扫描，这是因为扫描程序不必要打开一个完全的TCP连接。

扫描程序发送的是一个SYN数据包，好象准备打开一个实际的连接并等待反应一样（参考

TCP的三次握手建立一个TCP连接的过程）。一个SYN|ACK的返回信息表示端口处于侦听

状态。一个RST返回，表示端口没有处于侦听态。如果收到一个SYN|ACK，则扫描程序必

须再发送一个RST信号，来关闭这个连接过程。这种扫描技术的优点在于一般不会在目标

计算机上留下记录。但这种方法的一个缺点是，必须要有root权限才能建立自己的SYN数

据包。

TCP的三次握手

第一次

第一次握手：建立连接时，客户端发送syn包（syn=j）到服务器，并进入SYN_SENT状态，

等待服务器确认；SYN：同步序列编号（Synchronize Sequence Numbers）。

第二次

第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个

SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；

第三次

第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=k+1），此

包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

TCP FIN 扫描

有的时候有可能SYN扫描都不够秘密。一些防火墙和包过滤器会对一些指定的端口进行监

视，有的程序能检测到这些扫描。相反，FIN数据包可能会没有任何麻烦的通过。这种扫描

方法的思想是关闭的端口会用适当的RST来回复FIN数据包。另一方面，打开的端口会忽

略对FIN数据包的回复。这种方法和系统的实现有一定的关系。有的系统不管端口是否打

开，都回复RST，这样，这种扫描方法就不适用了。并且这种方法在区分Unix和NT时，

是十分有用的。

IP段扫描

这种不能算是新方法，只是其它技术的变化。它并不是直接发送TCP探测数据包，是将数

据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包，从而过滤器就很难探

测到。但必须小心。一些程序在处理这些小数据包时会有些麻烦。

TCP 反向 ident扫描

ident 协议允许（rfc1413）看到通过TCP连接的任何进程的拥有者的用户名，即使这个连接

不是由这个进程开始的。因此你能，举个例子，连接到http端口，然后用identd来发现服

务器是否正在以root权限运行。这种方法只能在和目标端口建立了一个完整的TCP连接后

才能看到。