美國服務(wù)器的端口掃描一般就是尋找入侵通道，為了保障美國服務(wù)器的網(wǎng)絡(luò )安全，需要了解下端口掃描的具體操作，今天美聯(lián)科技小編就跟大家介紹下美國服務(wù)器常見(jiàn)的幾種端口掃描類(lèi)型及其實(shí)現原理，以下內容中主機A均指發(fā)起連接的主機，主機B均指接受連接的主機。

1、TCP Connect掃描

TCP Connect掃描試圖與每一個(gè)TCP端口進(jìn)行三次連接通信，完成三次連接過(guò)程。如果能夠成功建立連接，則證明端口開(kāi)放，否則為關(guān)閉。說(shuō)明這種類(lèi)型的掃描因為要完成一次完整的TCP連接，所以它的準確性非常高，但也最容易被防火墻或入侵檢測系統檢測到，,而且，在目標主機的日志中會(huì )記錄大批的連接請求以及錯誤信息。

2、SYN掃描

SYN掃描要比 TCP Connect掃描隱蔽一些， TCP三次連接依次包含了SYNSYN-ACK和ACK3個(gè)數據包。SYN掃描僅僅發(fā)送初始的SYN數據包給目標主機,如果端口處于開(kāi)放狀態(tài)，那么目標主機將響應SYN-ACK數據包，如果端口處于關(guān)閉狀態(tài)，那么目標主機將響應RST數據包。

這是前兩次連接的過(guò)程，SYN掃描與TCP Connect掃描完全相同。兩者不同的地方是接下來(lái)SYN掃描要做的工作：當主機B返回 SNY/ACK數據包后，計算機A并不使用ACK數據包作為響應，替代是計算機A響應一個(gè)RST數據包，從而斷開(kāi)連接。通過(guò)在建立會(huì )話(huà)之前斷開(kāi)連接，SYN掃描能夠避開(kāi)某些防火墻的檢測。但是，許多入侵檢測系統能夠監測到SYN掃描。

3、NULL掃描

在NULL掃描中，將一個(gè)沒(méi)有設置標志位的數據包發(fā)送給TCP端口。在正常的TCP通信中，至少要設置標志位。然而在NULL掃描中，所有標志位都不設置。根據RFC793的要求，在端口關(guān)閉的狀態(tài)下，如果收到了一個(gè)沒(méi)有設置標志位的數據字段，那么接收主機應該丟棄這個(gè)分段，并發(fā)送一個(gè)RST數據包。否則不會(huì )響應包到達發(fā)起掃描的客戶(hù)端計算機。

當向每一個(gè)TCP端口發(fā)送沒(méi)有設置標志位的數據包時(shí)，如果目標主機上該端口處于關(guān)閉狀態(tài)，那么它將響應一個(gè)RST數據包，如果該端口處于開(kāi)放狀態(tài)，那么主機忽略該數據包，不會(huì )響應包到達發(fā)起掃描的客戶(hù)端計算機。

4、FIN掃描

另一種類(lèi)型的反向掃描為FN掃描，它與NULL掃描相似，同樣比SYN和 TCP Connect掃描更隱蔽一些，但精確度也相對低一些。

FIN位指示TCP會(huì )話(huà)的結束，在FIN掃描中，一個(gè)設置了FN位的數據包被發(fā)送給目標主機的每一個(gè)端口，與所有類(lèi)型的反向掃描一樣，響應RST數據包表示端口關(guān)閉，沒(méi)有響應表示端口開(kāi)放。同樣需要注意的是Windows操作系統并不遵從RFC793，因此這類(lèi)系統不能夠對這種類(lèi)型的掃描提供精確的結果。

5、ACK掃描

ACK掃描通常用來(lái)穿過(guò)防火墻的規則集。在A(yíng)CK掃描中，使用響應包來(lái)發(fā)現防火墻的配置信息。如果某個(gè)端口被防火墻過(guò)濾,那么就不會(huì )返回數據包。如果某個(gè)端口沒(méi)有被防火墻過(guò)濾，那么返回RST數據包。通過(guò)偵聽(tīng)RST數據包，可以了解哪些端口被防火墻過(guò)濾掉，哪些端口沒(méi)有被過(guò)濾掉。

6、Xmas-Tree掃描

Xmas-Tree掃描發(fā)送帶有下述標志的TCP數據包。

URG：指示數據是緊急數據,應該馬上被處理。

PSH：強制將數據壓入緩沖區。

FIN：在結東TCP會(huì )話(huà)時(shí)使用。

這個(gè)掃描中使用的技巧并不是這些標志原來(lái)的用途，但它們可以在一起同時(shí)使用。正常的TCP連接不應該同時(shí)設置這3個(gè)標志。Xmas-Tree掃描返回與其他反向掃描相同的結果，并且依然不能確定 Windows平臺上端口的關(guān)閉與開(kāi)放。

7、Dump掃描

Dumb掃描也稱(chēng)為Idle掃描或反向掃描，Dumb掃描是另一種掃描方法，在掃描目標主機的過(guò)程中，它使用第三方的僵尸計算機進(jìn)行掃描。僵尸主機是一臺被入侵的空閑主機。典型情況下，這臺主機并不存儲敏感數據，對這樣的主機的訪(fǎng)問(wèn)通常并不會(huì )引起人們的注意。

在IDLE掃描中，僵尸主機向目標主機發(fā)SYN包。目標主機根據端口的不同狀態(tài),發(fā)送不同的回應，端口開(kāi)放時(shí)回應 SYNACK，關(guān)閉時(shí)回應RST。僵尸主機對 SYNACK回應RST，對RST不做回應。因此只要監控僵尸主機的發(fā)包數量就可以知道目標主機端口的狀態(tài)。為了獲得偽裝主機在掃描過(guò)程中的發(fā)包數量,我們可以利用某些操作系統存在的PID值來(lái)預測漏洞。

當從僵尸主機上發(fā)起這種掃描時(shí)，進(jìn)行的是一個(gè)從計算機到僵尸主機的、連續的ping操作。查看僵尸主機返回的Echo響應的D字段，能夠確定目標主機上哪一些端口是開(kāi)放端口，哪一些端口是關(guān)閉端口。

以上就是美聯(lián)科技關(guān)于美國服務(wù)器常見(jiàn)的端口掃描的介紹，需要了解更多的用戶(hù)，歡迎咨詢(xún)美聯(lián)科技在線(xiàn)客服！