萬盛學電腦網

 萬盛學電腦網 >> Linux教程 >> linux系統企業端口掃描策略

linux系統企業端口掃描策略

  企業端口掃描策略

  1、端口掃描的目的  對於位於網絡中的計算機系統來說,一個端口就是一個潛在的通信通道,也就是一個入侵通道。對目標計算機進行端口掃描,能得到許多有用的信息從而發現系統的安全漏洞。通過其可以使系統用戶了解系統目前向外界提供了哪些服務,從而為系統用戶管理網絡提供了一種參考的手段。

  從技術原理上來說,端口掃描向目標主機的TCP/UDP服務端口發送探測數據包,並記錄目標主機的響應。通過分析響應來判斷服務端口是打開還是關閉,就可以得知端口提供的服務或信息。

  端口掃描也可以通過捕獲本地主機或服務器的流入流出IP數據包來監視本地主機的運行情況,不僅能對接收到的數據進行分析,而且能夠幫助用戶發現目標主機的某些內在的弱點,而不會提供進入一個系統的詳細步驟。一般說來,端口掃描的目的通常是如下的一項或者多項:

  (1)發現開放端口:發現目標系統上開放的TCP或UDP端口;

  (2)了解主機操作系統信息:端口掃描可以通過操作系統的“指紋”來推測被掃描操作系統或者應用程序的版本等信息;

  (3)了解軟件或者服務版本:軟件或服務版本可以通過“標志獲取”或者應用程序的指紋來識別獲得;

  (4)發現脆弱的軟件版本:識別軟件和服務的缺陷,從而有助於發起針對漏洞的攻擊。

   端口掃描主要有經典的掃描器(全連接)以及所謂的SYN(半連接)掃描器。此外還有間接掃描和秘密掃描等。TCP掃描方式是通過與被掃描主機建立標准的 TCP連接,因此這種方式最准確,很少漏報、誤報,但是容易被目標主機察覺、記錄。SYN方式是通過與目標主機建立半打開連接,這樣就不容易被目標主機記 錄,但是掃描結果會出現漏報,在網絡狀況不好的情況下這種漏報是嚴重的。

  2、快速安裝nmap進行企業端口掃描   nmap是一個網絡探測和安全掃描程序,系統管理者和個人可以使用這個軟件掃描大型的網絡,獲取那台主機正在運行以及提供什麼服務等信息。nmap支持很 多掃描技術,例如:UDP、TCP connect()、TCP SYN(半開掃描)、ftp代理(bounce攻擊)、反向標志、ICMP、FIN、ACK掃描、聖誕樹(Xmas Tree)、SYN掃描和null掃描。

  nmap還提供了一些高級的特征,例如:通過TCP/IP協議棧特征探測操作系統類型,秘密掃 描,動態延時和重傳計算,並行掃描,通過並行ping掃描探測關閉的主機,誘餌掃描,避開端口過濾檢測,直接RPC掃描(無須端口影射),碎片掃描,以及 靈活的目標和端口設定。

  為了提高nmap在non-root狀態下的性能,軟件的設計者付出了很大的努力。很不幸,一些內核界面(例如raw socket)需要在root狀態下使用。所以應該盡可能在root使用nmap。

  nmap運行通常會得到被掃描主機端口的列表。nmap總會給出well known端口的服務名(如果可能)、端口號、狀態和協議等信息。每個端口的狀態有:open、filtered、unfiltered。

  open狀態意味著目標主機能夠在這個端口使用accept()系統調用接受連接;

  filtered狀態表示防火牆、包過濾和其它的網絡安全軟件掩蓋了這個端口,禁止 nmap探測其是否打開。

  unfiltered表示這個端口關閉,並且沒有防火牆/包過濾軟件來隔離nmap的探測企圖。通常情況下,端口的狀態基本都是unfiltered狀態,只有在大多數被掃描的端口處於filtered狀態下,才會顯示處於unfiltered狀態的端口。

  根據使用的功能選項,nmap也可以報告遠程主機的下列特征:使用的操作系統、TCP序列、運行綁定到每個端口上的應用程序的用戶名、DNS名、主機地址是否是欺騙地址、以及其它一些東西。

copyright © 萬盛學電腦網 all rights reserved