什么是端口扫描？ 如何防止端口扫描攻击？

什么是端口扫描？ 如何防止端口扫描攻击？

端口扫描是黑客常用的网络攻击手段之一，通过扫描目标主机的端口状态，可以发现潜在的安全漏洞。本文将详细介绍端口扫描的概念、技术、工具以及如何防范端口扫描攻击，帮助读者全面了解这一网络安全威胁。

什么是端口扫描？

端口扫描是黑客用于发现网络中开门或弱点的常见技术。端口扫描攻击可帮助网络罪犯找到开放端口，并找出他们是接收还是发送数据。它还可以揭示组织是否正在使用防火墙等活动安全设备。

当黑客向端口发送消息时，他们收到的响应决定了端口是否正在使用，以及是否有任何潜在的漏洞可能被利用。

企业还可以使用端口扫描技术将数据包发送到特定端口，并分析任何潜在漏洞的响应。然后，他们可以使用 IP 扫描、网络映射器（Nmap）和 Netcat 等工具来确保其网络和系统的安全。

端口扫描可以提供以下信息：

• 正在运行的服务
• 拥有服务的用户
• 是否允许匿名登录
• 哪些网络服务需要身份验证

什么是端口？

端口是计算机上的一个点，在多个程序和互联网之间与设备或其他计算机进行信息交换。为确保一致性和简化编程过程，会为端口分配端口号。这与 IP 地址相结合，形成了每个互联网服务提供商（ISP）用于满足请求的重要信息。

端口号从 0 到 65，535 不等，并根据受欢迎程度进行排名。编号为 0 至 1，023 的端口称为“知名”端口，通常保留用于互联网，但也可以用于特殊目的。这些端口由互联网分配号码管理局（IANA）分配，由领先企业和 SQL（SQL） 服务持有。

端口通常由传输控制协议（TCP）和用户数据报协议（UDP）管理，TCP 定义如何在应用程序之间建立和维护网络对话，UDP主要用于在应用程序之间建立低延迟和容损连接。一些最流行和最常用的端口包括：

• 端口 20（UDP）：用于传输数据的 文件传输协议（FTP）
• 端口 22（TCP）：用于 FTP、端口转发和安全登录 的安全外壳（SSH） 协议
• 端口 23（TCP）：用于未加密通信的 Telnet 协议
• 端口 53（UDP）：域名系统（DNS），它将互联网域名转换为机器可读的 IP 地址
• 端口 80（TCP）：万维网超文本传输协议（HTTP）

从 1，024 到 49，151 的端口被视为“注册端口”，它们由软件公司注册。从 49，152 到 65，535 的端口被认为是动态和专用端口，几乎每个人都可以在互联网上使用。

什么是端口扫描技术？

端口扫描使用各种技术查看发送到目标端口号的数据包。其中一些包括：

• ping 扫描： ping 扫描被认为是最简单的端口扫描技术。它们也称为互联网控制消息协议（ICMP）请求。ping 扫描向各种服务器发送一组多个 ICMP 请求，以试图获得响应。管理员可以使用 ping 扫描来解决问题，防火墙可以阻止和禁用 ping。

• 香草扫描： 另一种基本端口扫描技术，香草扫描尝试同时连接到所有 65，536 个端口。它发送同步（SYN）标志或连接请求。当它收到 SYN-ACK 响应或连接确认时，它会使用 ACK 标志进行响应。此扫描准确，但易于检测，因为防火墙始终会记录完整的连接。

• 同步扫描： 也称为半开扫描，它向目标发送 SYN 标志，并等待 SYN-ACK 响应。如果出现响应，扫描仪不会回复，这意味着 TCP 连接未完成。因此，交互不会被记录，但发件人会了解端口是否打开。这是黑客用来发现弱点的快速技术。

• XMAS 和 FIN 扫描： 圣诞树扫描（XMAS 扫描）和 FIN 扫描是更加离散的攻击方法。XMAS 扫描的名称取自数据包中打开的一组标志，当在 Wireshark 等协议分析仪中查看时，它们看起来像圣诞树一样闪烁。这种类型的扫描会发送一组标记，当它们被响应时，可以披露有关防火墙和端口状态的见解。FIN 扫描发现攻击者向特定端口发送 FIN 标志，通常用于结束已建立的会话。系统对其的响应可以帮助攻击者了解活动级别，并深入了解组织的防火墙使用情况。

• FTP 反弹扫描： 这种技术使发件人能够通过使用 FTP 服务器反弹数据包来掩盖其位置。

• 扫描： 这种初步端口扫描技术将流量发送到网络上多台计算机上的端口，以识别活动计算机。它不会共享任何有关端口活动的信息，但会通知发件人是否正在使用任何系统。

点击查看大图

不同类型的端口检查器或扫描仪

有几种不同的端口扫描或检查技术，包括：

• ping 扫描：ping 用于检查网络数据包是否可以到达 IP 地址，而不会出现任何问题。ping 扫描涉及将多个 ICMP 请求自动传输到各种服务器。

• 2半开或同步扫描：攻击者可以使用半开扫描检查端口的状态，而无需创建完全连接，通常称为 SYN 扫描。这种扫描仅传输 SYN 消息，无法完成与收件人的连接。

• XMAS 扫描：XMAS 扫描将多个数据包发送到端口，以检查其是否打开。如果端口关闭，扫描仪将获得响应。如果它没有得到响应，这意味着端口是开放的，可用于访问网络。

如何使用开放端口检查工具

要使用开放端口检查工具运行端口扫描，您必须：

• 打开工具，然后输入域或 IP 地址。
• 然后，该工具会检查哪些端口处于开放和活动状态，并能够接受请求。
• 您还可以通过手动输入单个端口来检查它们是否正在接受请求。
• 您从工具获得的结果要么是“打开”，这意味着它可用，要么是“超时”，这意味着它被阻止或不可用。

端口扫描与网络扫描

网络扫描是识别网络上活动主机列表并将其映射到其 IP 地址的过程，在运行端口扫描之前需要对其进行编译。

网络扫描过程也称为主机发现，这通常是黑客进行攻击的第一步。他们使用两种主要协议：地址解析协议（ARP）扫描和各种 ICMP 扫描。ARP 扫描将 IP 地址映射到媒体访问控制（MAC）地址，并可用于确定处于活动状态的主机。它仅在局域网（LAN）内工作，因此攻击者必须连接到内部网络。

各种 ICMP 数据包可用于在 LAN 外部进行网络扫描，例如地址标记、回显和时间戳请求。发现主机取决于是否收到目标主机的回复。未收到响应意味着目标地址没有主机，或者请求被防火墙或数据包过滤器阻止。

扫描网络扫描并编译可用主机列表后，端口检查器或端口扫描仪攻击可以识别特定端口的使用情况。它通常将端口分类为打开、关闭或过滤。

如何防止端口扫描攻击？

端口扫描是网络罪犯用于搜索易受攻击服务器的常用方法。他们经常使用它来发现组织的安全级别，确定企业是否有有效的防火墙，并检测易受攻击的网络或服务器。一些 TCP 方法还使攻击者能够隐藏其位置。

网络罪犯通过网络进行搜索，以评估端口的反应，从而了解他们的业务安全级别及其部署的系统。

防止端口扫描攻击依赖于具有与不断变化的威胁情报。 威胁趋势 企业还需要强大的安全软件、端口扫描工具和安全警报，以监控端口并防止恶意行为者进入其网络。实用工具包括 IP 扫描、Nmap 和 Netcat。

其他防御机制包括：

• 强大的防火墙： 防火墙可以防止未经授权的访问企业的专用网络。它控制端口及其可见性，并在关闭端口之前检测端口扫描何时进行。
• TCP 包装：这些功能使管理员能够根据 IP 地址和域名灵活地允许或拒绝访问服务器。
• 发现网络漏洞： 企业可以使用端口检查器或端口扫描仪来确定是否打开了比所需更多的端口。他们需要定期检查其系统，以报告可能被攻击者利用的潜在弱点或漏洞。

端口扫描常见问题解答

什么是端口扫描仪攻击？

黑客使用端口检查器或端口扫描仪攻击来了解企业网络中的弱点或漏洞。当黑客向端口号发送消息时，他们收到的响应会告诉他们它是否打开，并帮助他们发现潜在的弱点。

端口扫描是否危险？

端口检查器或端口扫描仪可能很危险，因为它们可以告诉黑客企业是否容易受到攻击。扫描可以通知攻击者公司网络或系统内现有的弱点，然后他们可以利用这些弱点来获得未经授权的访问。

黑客使用哪些端口？

常用端口通常高度安全，而其他端口可能被忽略，容易受到黑客攻击。通常被黑客攻击的 TCP 端口号包括端口 21（FTP）、端口 22（SSH）、端口 23（Telnet）、端口 25（简单邮件传输协议或 SMTP）、端口 110（POP3） 和端口 443（安全 HTTP 和超文本传输协议或 HTTPS）。常见的目标 TCP 和 UDP 端口包括端口 53（DNS）、端口 137 至 139（通过 TCP/IP 的 Windows NetBIOS）以及 1433 和 1434（Microsoft SQL Server）。

什么是常见的开放端口号？

常见的开放端口包括端口 20，该端口包含 FTP；端口 22，该端口用于安全登录；端口 53，该端口为 DNS；端口 80，该端口为万维网 HTTP。