实验二 网络端口扫描

admin管理员组

文章数量:1532657

2024年3月23日发(作者：)

实验二 网络端口扫描

一、实验目的

通过练习使用网络端口扫描器，了解目标主机开放的端口和服务程序，从而

获得系统有用的信息，发现网络系统的安全漏洞。本实验将在Windows操作系

统下使用Superscan工具进行网络端口扫描实验，在Linux操作系统下将使用综

合性扫描工具Nessus进行扫描练习（暂不进行）。通过端口扫描实验，可以增强

学生在网络安全方面的防护意识。

二、实验原理

在Internet安全领域，扫描器是最有效的破解工具之一，扫描器是一种自动

检测远程或本地主机安全性弱点的程序。通过使用扫描器，可以发现远程服务器

是否存活、它对外开放的各种TCP端口的分配及提供的服务、它所使用的软件

版本（如OS和其它Software的版本）以及所存在可能被利用的系统漏洞。根据

这些信息，可以让使用它的用户了解到远程主机所存在的安全问题。

1、扫描的类型

（1）地址扫描

地址扫描是最简单、最常见的一种扫描方式。可以通过Ping来判断某一主

机是否在线。也可以通过一些工具来获得某一网络中所有在线主机的地址。

但由于现在很多的路由器与防火墙对ICMP请求进行拦截，因此这种方式也

不一定很可靠。

（2）端口扫描

互联网上通信的双方不仅需要知道对方的地址，还需要知道通信程序的端口

号。目前使用的IPv4协议支持16位的端号，端口号可使用的范围为0～65535，

其中0～1023为熟知端口，被指定给特定的服务使用，由IANA（Internet Assigned

Numbers Authority，互联网数字分配机构）管理；1024～49151为注册端口，这

些端口由IANA记录并追踪；49152～65535端口叫做动态端口或专门端口，提

供给专用应用程序。

在进行入侵攻击之前，首先要了解目标系统的是什么OS，是否有保护措施，

运行什么服务和服务的版本，存在漏洞等，而要判断服务的方法就通过端口扫描，

这是因为常用的服务是使用标准的端口，因此只要知道了端口号，就能知道目标

主机上运行着什么服务，然后才能针对这些服务进行攻击。如对于开着23端口

的目标主机，可以利用一些口令攻击工具对Telnet服务进行口令的暴力破解。

在介绍端口扫描的几种方法之前，先简要说明一下TCP头中6个标志位。

- 1 -

TCP数据段头格式如图4-1所示。

32位

源 端 口

顺 序

号

TCP

头长

确 认 号

UAPR

SF

RCSSYI

N N G K H T

校 验 和

目的端口

窗 口 大 小

紧 急 指 针

≈

≈

可选项（0或更多的32位字）

数据（可选项）

图4-1 TCP数据段头

≈

≈

① 应急指针URG表示从当前顺序号到紧急数据位置的偏移量。这种设置

用于代替中断报文。如用到URG，则该位置1。

② ACK为1，表示确认号合法，ACK为0，表示确认号字段被省略，也即

该数据段不包含确认信息。

③ PSH位表示带有PUSH标志的数据可立即送往应用程序，而不必等到缓

冲区装满时才传送。

④ RST位用于复位，比如由于主机崩溃或其它原因导致连接出错，或者拒

绝非法数据段或拒绝一个连接请求等情况，此时RST置为1。

⑤ SYN是同步位，用于建立连接。在连接请求时，SYN=1，ACK=0表示

该数据段没有使用捎带的确认域。如果连接响应捎带了一个确认，则SYN=1，

ACK=1。本质上，SYN位被用来表示Connection Request和Connection Accepted,

然后进一步用ACK位来区分这两种可能的情况。

⑥ FIN位用于释放连接。它表示发送方已发送完毕，但在断开一个连接之

后，关闭进程可能会在一段不确定的时间内仍能继续接收到数据。

端口扫描有下面几种主要方法：

① TCP Connect扫描：使用系统提供的Connect()函数来连接目标端口，与

目标系统完成一次完整的三次握手过程，但这种方式很容易被目标系统检测到。

② TCP SYN扫描：也称半打开扫描（Half-Open Scanning），这种方法并没

有建立完整的TCP连接。客户端首先向服务器发送SYN发组请求连接，如果收

到一个来自服务器的SYN/ACK应答，就表明该端口处于监听状态，如果收到一

个RST/ACK分组，则表明该端口不在监听。但客户端不管收到什么样的分组都

返回一个RST/ACK分组，从而并不建立一个完整的TCP连接，这样目标系统不

会登记这种情况，从而比TCP Connect更隐蔽。

- 2 -

③ TCP FIN扫描：一些防火墙和包过滤程序能监视到SYN数据报访问未被

允许访问的端口，从而使得TCP SYN扫描也不太隐蔽。而TCP FIN扫描却不能

被检测出来。TCP FIN扫描的原理是向目标端口发送一个FIN分组，所有关闭着

的端口会返回一个RST分组，而所有打开的端口则会忽略这些请求，从而可以

获知哪些端口是打开的。但这种方式只在基于UNIX的TCP/IP协议栈上才有效。

④ TCP Xmas树扫描：该方法是向目标端口发送FIN、URG和PUSH分组，

对于所有关闭的端口，目标系统会发送一个RST分组。

⑤ TCP 空扫描：该方法是关闭掉所有标志，发送一个TCP分组，对于所

有关闭的端口，目标系统会发送一个RST分组。

⑥ TCP ACK扫描：该方法可以用来判断防火墙过滤规则的设计。

⑦ TCP Windows扫描：此方法可检测一些系统（如AIX和Free BSD）上打

开的以及被过滤/不被过滤的端口，因为TCP窗口大小的报告方式不规则。

⑧ TCP RPC扫描：此方法用来检测和定位远程过程调用（Remote Procedure

Call）端口以及相关的程序及版本号。

⑨ UDP扫描：此方法向目标端口发送一个UDP分组。如果目标系统返回

一个ICMP Port Unreachable来响应，则表示该端口是关闭的；若没有返回该响

应，则表明该端口是打开的。但在网络条件不太好的情况下时，该方法就不太可

靠。

⑩ Ident扫描：Ident用于确定某个TCP连接的发起方身份，方法是与身份

验证方主机的TCP113端口建立连接并通信，许多版本的Ident服务确实会响应

并返回与某端口上服务进程相关联的用户属性。

11

FTP Bounce扫描：操作者在本地打开一个FTP Server的控制连接，然后○

用Port命令向FTP Server提供一个欲扫描的目标计算机端口号，并发送List命

令。这时FTP Server会向目标主机指定端口发送连接请求，如果目标主机相应端

口正在监听，则会返回成功信息，否则，会返回类似下面的连接失败信息：

“425 Can’t build data connection: Connection refused”

利用这一方法，可以从一个支持FTP代理的FTP Server上发起对目标主机

的端口扫描。该方法的优点是可以隐藏扫描者身份，使其难以追踪，并有可能穿

过防火墙。

比如192.168.5.201上tcp/3306是开放的，在192.168.5.203上做如下操作

telnet 192.168.5.209 21

user scz

- 3 -

pass ***

port 192,168,5,201,23,23

200 PORT command successful.

Nlst

425 Can't build data connection: Connection refused.

port 192,168,5,201,12,234

200 PORT command successful.

Nlst

150 ASCII data connection for /bin/ls (192.168.5.201,3306) (0 bytes).

226 ASCII Transfer complete.

Quit

如上信息表明192.168.5.201的tcp/3306是可以connect()上的，而tcp/5911

未开放。

注意：Port命令后六个数字用逗号隔开，其中前四个数字组成IP地址，第5

个数字乘以256再加上第6个数字为实际的端口号。

此时192.168.5.201只知连接来自192.168.5.209，而不知攻击者位于

192.168.5.203。显然某些时候这会危及权限控制，比如IP限制。

（3）漏洞扫描

漏洞扫描是指使用漏洞扫描程序对目标系统进行信息查询，通过漏洞扫描，

可以发现系统中存在的不安全的地方。

漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。

漏洞扫描分为内部扫描和外部扫描。

内部扫描是指从主机系统内部检测系统配置的缺陷，模拟系统管理员进行系

统内部审核的全过程，发现能够被黑客利用的种种错误配置。

外部扫描是指利用漏洞扫描器在Internet上发现目标服务器的各种端口分

配、提供的服务、服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。

内部扫描是系统管理员的特征扫描，是他所独有的，黑客不可能进行内部扫

描。系统管理员也可以用外部扫描来检测网络系统的安全性。

- 4 -

三、实验环境

Window XP系统和Windows 2000系统的虚拟机

四、实验内容和步聚

1、使用SuperScan扫描

Superscan具有端口扫描、主机名扫描、Ping扫描的功能，其界面如图4-2

所示。

图4-2 Superscan操作界面

（1）、主机名解析

在“要找主机名”栏中，可以输入IP地址或需要转换的域名，单击“查找”

就可获得转换后的结果，单击“本机”可以获得本地计算机的IP地址，单击“界

面”可以获得本地计算机IP地址的详细设置。

（2）端口扫描

利用端口扫描功能，可以扫描目标主机开放的端口和服务，在IP栏中，在

“起始”栏中输入开始的IP地址，在“结束”栏中输入结束的IP地址，在“扫

描类型”栏中选中“列表中定义”，这里规定了扫描的端口范围，然后单击“开

始”按钮，就可以在选择的IP地址段内扫描不同的主机开放的端口，扫描完成

＋

”可查看每台主机的详细扫描结果，后，选中扫描到的主机IP地址，单击“□

- 5 -

如存活的主机数，每台主机开放的端口数、每个端口的详细信息等，如图4-3所

示。

图4-3 端口扫描结果

Superscan也提供特定端口扫描功能，在“扫描类型”栏中选中“扫描所有

列表中的端口”，单击“端口列表”按钮进入端口配置菜单，如图4-4所示。选

中“选择端口”栏中的某一个端口，在左上角的“修改/新增/删除 端口信息”栏

中会显示与该端口相对应的信息。单击“新增”和“删除”可以添加或者删除相

应的端口，然后单击“端口列表文件”栏中的“保存”按钮，可以将选定的端口

列表保存在一个.lst文件中，默认情况下，Superscan有文件，该文件

包含了常用的端口列表，还有一个文件，该文件包含了常见的木马端口

列表。通过端口配置功能，Superscan提供了对特定端口的扫描，节省了时间和

资源，通过对木马端口的扫描，可以检测目标计算机是否补种植了木马。

- 6 -

图4-4 端口配置界面

（3）Ping功能

Superscan的Ping功能提供了检测主机和判断网络状况的作用。通过在IP

栏中输入起始和结束IP地址，然后选择“仅仅Ping”选项并单击“开始”按钮

即可启动Ping扫描。

在IP栏中，忽略IP［0］和忽略IP［255］分别用于屏蔽所有以0和255结

尾的IP地址，“前C段”和“后C段”按钮可直接转换到前一个或C一个C类

IP网段，“本C段”则用于直接选择整个网络。“超时”栏中可根据需要选择不

同的响应时间。上下滑动左侧的速度滑块，可调节扫描的速度。

五、实验报告要求：

1、使用SuperScan扫描工具对同一网段内所有主机进行端口扫描，完成后，任

选2台主机（其中一台为本机），分析其端口开放情况，要求注明开放的各端口

含义，以及可能带来的危害。

2、使用SuperScan扫描工具扫描本机，查看端口开放情况，并关闭存在威胁的

端口，任选1个，写出具体的关闭过程，要有截图说明。

【注】：实验报告内容应体现具体的操作流程，除相关的文字说明外，应有一定

的截图说明。

要求：思路清晰，内容完整。

- 7 -

附件：端口关闭方案

为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、

445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门

端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。下面介

绍如何在WinXP/2000/2003下关闭这些网络端口：

第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全

策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，

弹出快捷菜单，选择“创建 IP 安全策略”，于是弹出一个向导。在向导中点击

“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请

求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮

就创建了一个新的IP 安全策略。

第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”

左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”

对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首

先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的

筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何

IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议

类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，

点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它

可以防止外界通过135端口连上你的电脑。

点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，

重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端

口，为它们建立相应的筛选器。

重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，

建立好上述端口的筛选器，最后点击“确定”按钮。

第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点

击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。

在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”

按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，

选择“阻止”，然后点击“确定”按钮。

8

第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆

圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新

IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按

钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，

然后选择“指派”。

9

本文标签： 端口扫描目标连接服务