少年锦时

投我以木桃，报之以琼瑶；你予我三月春光，我赠你四月桃花。人间真情莫过于此。

俗话说的好

前言

?：老哥，是时候前面写的扫描器升升级了，不然都没法打怪了。。。

：从何说起啊？

?：一扫就被墙，一扫就被墙，整个*啊！

：也难怪，哥技术不好，无法带你飞，今后的路你可要自行摸索啊！！！

?：老哥~

：老弟~

?：行啦！别整这些没用的，快给我想招，要不然弄*你！！！

：这变脸如翻书啊。。。咳咳嗯~，方法是有滴，前面不是介绍了 scapy 模块嘛，好家伙，这模块，写扫描，写嗅探，游历于各层协议如入无人之境，取敌方主机首级如探囊取物，各种协议分析函数信手拈来，简直人中吕布，马中赤兔，是为网络协议分析之上乘神兵利器也~

?：逼逼完了就赶紧说说怎么整吧，一个大老爷们磨磨唧唧的。

：话说前面写的端口扫描器只有一种扫描方式 -- TCP全连接扫描，在无防火墙/IPS/IDS ，且网络顺畅的情况下，是为最精准的扫描方式，毕竟是经过了三次握手，但是在当今这错综复杂且危机四伏的网络时代，网络链路中怎能 "无墙" 之说，为了应对这种情况，如 Nmap 端口扫描神器的扫描方式也是衍生出了十几种之多(详情可参考下方链接)，在实际的渗透测试过程中，多种扫描方式相结合方能起到较为准确的扫描结果。

https://nmap.org/man/zh/man-port-scanning-techniques.html

Nmap常用的扫描方式

：下面我们参考 nmap 的端口扫描原理，共采用8种端口扫描方式：TCP 全连接扫描，TCP SYN扫描，TCP ACK扫描，TCP Null扫描，TCP Window扫描，TCP Fin扫描，TCP Xmas扫描和UDP扫描。

?：哟哟哟~你看这个面它又长又宽，再看这个碗它又大又圆~

声明

以下内容参考自玄魂大佬的端口扫描器笔记，如有侵权，请联系删除！！！

前置知识

前置知识可以看前一篇文章《TCP三次握手/四次挥手》，主要理解TCP三次握手建立连接的过程即可。

利用 argparse 模块接收命令行参数，关于该模块的简介可参考前面的文章。

import argparse# 打印窗口的状态def print_ports(port, state):    print("%s | %s" % (port, state))# TCP全连接扫描def tcpScan(target, ports):    print("TCP全连接扫描")# TCP SYN扫描def synScan(target, ports):    print("TCP SYN扫描")# TCP ACK扫描def ackScan(target, ports):    print("TCP ACK扫描")# TCP window扫描def windowScan(target, ports):    print("TCP window扫描")# TCP Null扫描def nullScan(target, ports):    print("TCP Null扫描")# TCP FIN扫描def finScan(target, ports):    print("TCP FIN扫描")# TCP XMAX扫描def xmaxScan(target, ports):    print("TCP XMAX扫描")# UDP 扫描def udpScan(target, ports):    print("UDP 扫描")if __name__ == '__main__':    parser = argparse.ArgumentParser("")    parser.add_argument("-t", "--target", dest="target",                        help="目标IP", required=True)    parser.add_argument("-p", "--ports", dest="ports",                        type=int, nargs="+", help="指定端口列表(21 23 80 ...)")    parser.add_argument("-s", "--scantype", dest="scantype", help="""        "T":全连接扫描        "S":syn扫描        "A":ack扫描        "W":TCPwindows扫描        "N":NULL扫描        "F":FIN扫描        "X":Xmas扫描        "U":UDP扫描        """, required=True)    args = parser.parse_args()    target = args.target    scantype = args.scantype    if args.ports:        ports = args.ports    else:        ports = range(1, 65535)    print("扫描主机{}，端口：{}".format(target, ports))    if scantype == "T":        tcpScan(target, ports)    elif scantype == "S":        synScan(target, ports)    elif scantype == "A":        ackScan(target, ports)    elif scantype == "W":        windowScan(target, ports)    elif scantype == "N":        nullScan(target, ports)    elif scantype == "F":        finScan(target, ports)    elif scantype == "X":        xmaxScan(target, ports)    elif scantype == "U":        udpScan(target, ports)    else:        print("不支持当前模式。")

TCP Connect扫描

TCP Connect扫描又叫做全连接扫描，客户端与服务器建立 TCP 连接要进行一次三次握手，如果进行了一次成功的三次握手，则说明端口开放。

假设客户端想与服务端的80端口进行通信，首先客户端会发送一个带有SYN标识和端口号的TCP数据包给服务器，如果服务器这个端口是开放的，则会接受这个连接并返回一个带有SYN和ACK标识的数据包给客户端，随后客户端会发送带有ACK和RST标识的数据包给服务点，此时客户端与服务器建立了连接。如果端口不开放则会返回一个RST标识的数据包给客户端。

当客户端发送一个带有 SYN 标识和端口号的 TCP 数据包给服务器后，如果服务器端返回一个带 RST 标识的数据包，则说明端口处于关闭状态。

代码实现如下：

def tcpScan(target,ports):    print("tcp全连接扫描 %s with ports %s" % (target, ports))    for port in ports:        send=sr1(IP(dst=target)/TCP(dport=port,flags="S"),timeout=2,verbose=0) #sr1()工作在第三层，用来发送数据包和返回一个应答数据包，verbose=0 是不显示数据收发过程        if (send is None):            print_ports(port,"closed")        elif send.haslayer("TCP"): #返回的数据包有 TCP 部分            if send["TCP"].flags == "SA": #TCP部分SYN和ACK都置位，说明对方主机响应连接                send_1 = sr1(IP(dst=target) / TCP(dport=port, flags="AR"), timeout=2, verbose=0) #将 TCP 部分的 ACK和RST 都置位，断开连接                print_ports(port,"open")            elif send["TCP"].flags == "RA": #TCP部分的RST和ACK置位，说明对方主机拒绝连接                print_ports(port,"close")            else:                print_ports(port,"unknown")        else:            print_ports(port,"unknown")

上面的代码，组合IP和TCP报文，依据三次握手的流程对端口状态做判断。主义TCP标志位的设置和判断。使用scapy发送tcp数据包的时候TCP的标志位使用如下简写形式：

• F : FIN - 结束; 结束会话

• S : SYN - 同步; 表示开始会话请求

• R : RST - 复位;中断一个连接

• P : PUSH - 推送; 数据包立即发送

• A : ACK - 应答

• U : URG - 紧急

• E : ECE - 显式拥塞提醒回应

• W : CWR - 拥塞窗口减少

TCP SYN扫描

TCP SYN扫描又称半开式扫描，该过程不会和服务端建立完整的连接，首先客户端会发送一个带有SYN标识和端口号的TCP数据包给服务器，如果服务器这个端口是开放的，则会接受这个连接并返回一个带有SYN和ACK标识的数据包给客户端，随后客户端会返回带有RST标识的数据包而不是返回一个带有ACK和RST标识的数据包。

如果目标端口处于关闭状态，则服务端会返回一个RST标识的数据包。

代码实现如下：

def synScan(target, ports):    print("tcp半开放扫描 %s with ports %s" % (target, ports))    for port in ports:        send = sr1(IP(dst=target) / TCP(dport=port,flags="S"), timeout=2, verbose=0)        if send is None:            print_ports(port, "close")        elif send.haslayer("TCP"):            # print(send["TCP"].flags)            if send["TCP"].flags == "SA":                send_1 = sr1(IP(dst=target) / TCP(dport=port,flags="R"), timeout=2, verbose=0)                print_ports(port, "open")            elif send["TCP"].flags == "RA":                print_ports(port, "close")            else:                print_ports(port, "unkonwn")        else:            print_ports(port, "unkonwn")

注：SYN扫描和TCP全连接扫描的区别在于结束与服务端连接的数据包：SYN扫描是直接发RST，而TCP全连接扫描是发ACK和RST

TCP ACK扫描

ACK扫描只返回两种状态：unfiltered/filtered

发送一个flags为ACK报文，open(开放的)和closed(关闭的) 端口 都会返回RST报文，至于他们是open还是closed状态我们无法确定。不响应的端口，或者发送特定的ICMP错误消息(类型3，代号1，2，3，9，10， 或者13)的端口，标记为 filtered(被过滤的)。大致的流程如下图：

上面那种情况下是服务器REJECT掉数据包，所以客户端会有个ICMP包返回，如果是直接DROP掉的话，就会什么也不会返回，所以我们要判断该主机是否存在，因为如果一个主机存在的话，向它发送一个flags为ACK包的话，无论端口是否关闭都会有返回一个flags为RST包，如果是DROP是话就会一个数据包都不会返回，所以我们可以利用这一点去判断端口是否被过滤了，大致流程如下：

代码实现如下：

def ackScan(target, ports):    print("tcp ack扫描 %s with ports %s" % (target, ports))    for port in ports:        ack_flag_scan_resp = sr1(            IP(dst=target) / TCP(dport=port, flags="A"), timeout=5, verbose=0)        # print(str(type(ack_flag_scan_resp)))        if str(type(ack_flag_scan_resp)) == "":            print_ports(port, "filtered")        elif ack_flag_scan_resp.haslayer(TCP):            if ack_flag_scan_resp.getlayer(TCP).flags == "R":                print_ports(port, "unfiltered")            else:                print_ports(port, "unkonwn")        elif ack_flag_scan_resp.haslayer(ICMP):            if int(ack_flag_scan_resp.getlayer(ICMP).type) == 3 and int(ack_flag_scan_resp.getlayer(ICMP).code) in [1, 2, 3, 9, 10, 13]:                print_ports(port, "filtered")            else:                print_ports(port, "filtered")        else:            print_ports(port, "unkonwn")

TCP Window扫描

TCP 窗口扫描的流程同 ACK 扫描类似，同样是客户端向服务器发送一个带有 ACK 标识和端口号的 TCP 数据包，但是这种扫描能够用于发现目标服务器端口的状态。在 ACK 扫描中返回 RST 表明没有被过滤，但在窗口扫描中，当收到返回的 RST 数据包后，它会检查窗口大小的值。如果窗口大小的值是个非零值，则说明目标端口是开放的。

如果返回的 RST 数据包中的窗口大小为0，则说明目标端口是关闭的。

注：TCP窗口扫描和ACK扫描类似，区别在于TCP窗口扫描在接收到RST包时会检查窗口大小，如果窗口是一个非零值，就说明端口是开放的。

代码实现：

def windowScan(target, ports):    print("tcp window扫描 %s with ports %s " % (target, ports))    for port in ports:        window_scan_resp = sr1(            IP(dst=target) / TCP(dport=port, flags="A"), timeout=5, verbose=0)        # print(str(type(window_scan_resp)))        if str(type(window_scan_resp)) == "":            print_ports(port, "close")        elif window_scan_resp.haslayer(TCP):            if window_scan_resp.getlayer(TCP).window == 0:                print_ports(port, "close")            elif window_scan_resp.getlayer(TCP).window > 0:                print_ports(port, "open")            else:                print_ports(port, "unkonwn")        else:            print_ports(port, "close")

TCP Null扫描

在空扫描中，客户端发出的 TCP 数据包仅仅只会包含端口号而不会有其他任何的标识信息。如果目标端口是开放的则不会回复任何信息。

如果服务器返回了一个 RST(或者RST+ACK) 数据包，则说明目标端口是关闭的。

如果返回 ICMP 错误类型3且代码为1，2，3，9，10或13的数据包，则说明端口被服务器过滤了。

代码实现：

def nullScan(target, ports):    print("tcp null 扫描 %s with ports %s" % (target, ports))    for port in ports:        null_scan_resp = sr1(            IP(dst=target) / TCP(dport=port, flags=""), timeout=5, verbose=0)        if str(type(null_scan_resp)) == "":            print_ports(port, "open|filtered")        elif null_scan_resp.haslayer(TCP):            if null_scan_resp.getlayer(TCP).flags == "R" or null_scan_resp.getlayer(TCP).flags == "RA":                print_ports(port, "close")            else:                print_ports(port, "unkonwn")        elif null_scan_resp.haslayer(ICMP):            if int(null_scan_resp.getlayer(ICMP).type) == 3 and int(null_scan_resp.getlayer(ICMP).code) in [1, 2, 3, 9, 10, 13]:                print_ports(port, "filtered")            else:                print_ports(port, "unkonwn")        else:            print_ports(port, "unkonwn")

TCP FIN扫描

FIN 扫描会向服务器发送带有 FIN 标识和端口号的 TCP 数据包。如果没有服务器端回应则说明端口开放。

如果服务器返回一个 RST 数据包，则说明目标端口是关闭的。

如果服务器返回了一个 ICMP 数据包，其中包含 ICMP 目标不可达错误类型3以及 ICMP 代码为1，2，3，9，10或13，则说明目标端口被过滤了无法确定端口状态。

代码实现：

def finScan(target, ports):    print("tcp FIN扫描 %s with ports %s" % (target, ports))    for port in ports:        fin_scan_resp = sr1(IP(dst=target) / TCP(dport=port,                                                 flags="F"), timeout=3, verbose=0)        if str(type(fin_scan_resp)) == "":            print_ports(port, "open|filtered")        elif fin_scan_resp.haslayer(TCP):            if fin_scan_resp.getlayer(TCP).flags == 0x14:  # 0x14就是RA                print_ports(port, 'close')            else:                print_ports(port, "unkonwn")        elif fin_scan_resp.haslayer(ICMP):            if int(fin_scan_resp.getlayer(ICMP).type) == 3 and int(fin_scan_resp.getlayer(ICMP).code) in [1, 2, 3, 9, 10, 13]:                print_ports(port, "filtered")            else:                print_ports(port, "unkonwn")        else:            print_ports(port, "unkonwn")

TCP 圣诞树(Xmas扫描)

在发送的数据包中设置PSH(PUSH推送，数据包立刻发送),FIN(结束会话),URG(紧急)标志位，如果目标端口是开放的则不会回复任何信息。

如果目标端口关闭则会返回一个RST+ACK的数据包。

但如果服务器返回了一个 ICMP 数据包，其中包含 ICMP 目标不可达错误类型3以及 ICMP 状态码为1，2，3，9，10或13，则说明目标端口被过滤了无法确定是否处于开放状态。

代码实现：

def xmaxScan(target, ports):    print("tcp xamx扫描 %s with ports %s" % (target, ports))    for port in ports:        xmax_scan_resp = sr1(            IP(dst=target) / TCP(dport=port, flags="FPU"), timeout=3, verbose=0)        if str(type(xmax_scan_resp)) == "":            print_ports(port, "open|filtered")        elif xmax_scan_resp.haslayer(TCP):            if xmax_scan_resp.getlayer(TCP).flags == "R":                print_ports(port, "close")            else:                print_ports(port, "unkonwn")        elif xmax_scan_resp.haslayer(ICMP):            if int(xmax_scan_resp.getlayer(ICMP).type) == 3 and int(xmax_scan_resp.getlayer(ICMP).code) in [1, 2, 3, 9, 10, 13]:                print_ports(port, "filtered")            else:                print_ports(port, "unkonwn")        else:            print_ports(port, "unkonwn")

UDP扫描

TCP 是面向连接的协议，而UDP则是无连接的协议。

面向连接的协议会先在客户端和服务器之间建立通信信道，然后才会开始传输数据。如果客户端和服务器之间没有建立通信信道，则不会有任何产生任何通信数据。

无连接的协议则不会事先建立客户端和服务器之间的通信信道，只要客户端到服务器存在可用信道，就会假设目标是可达的然后向对方发送数据。

客户端会向服务器发送一个带有端口号的 UDP 数据包。如果服务器回复了 UDP 数据包，则目标端口是开放的。

如果服务器返回了一个 ICMP 目标不可达的错误和代码3，则意味着目标端口处于关闭状态。

如果服务器返回一个 ICMP 错误类型3且代码为1，2，9，10或13的数据包，则说明目标端口被服务器过滤了。

但如果服务器没有任何相应客户端的 UDP 请求，则可以断定目标端口可能是开放或被过滤的，无法判断端口的最终状态。

代码实战：

def udpScan(target, ports):    print("UDP扫描 %s with ports %s" % (target, ports))    for port in ports:        udp_scan_resp = sr1(            IP(dst=target) / UDP(dport=port), timeout=5, verbose=0)        if str(type(udp_scan_resp)) == "":            print_ports(port, "open|filtered")        elif udp_scan_resp.haslayer(UDP):            if udp_scan_resp.getlayer(UDP).flags == "R":                print_ports(port, "open")            else:                print_ports(port, "unkonwn")        elif udp_scan_resp.haslayer(ICMP):            if int(udp_scan_resp.getlayer(ICMP).type) == 3 and int(udp_scan_resp.getlayer(ICMP).code) in [1, 2, 9, 10, 13]:                print_ports(port, "filtered")            elif int(udp_scan_resp.getlayer(ICMP).type) == 3 and int(udp_scan_resp.getlayer(ICMP).code) == 3:                print_ports(port, "close")            else:                print_ports(port, "unkonwn")        else:            print_ports(port, "unkonwn")

测试

尾声

我是匠心，一个在清流旁默默磨剑的匠人，期待那一天能利刃出鞘，仗剑走江湖。