ip端口扫描器_iptable防端口扫描

杀毒软件电脑防护里防端口扫描什么意思?我用的是瑞星

黑客入侵一台计算机时，他首先是不知道对方有什么缺点和漏洞的，而是通过扫描你的端口，能发现你的计算机系统是否有漏洞，这样他就能通过漏洞攻击你的计算机。防端口扫描就是指瑞星防火墙关闭掉或隐藏你的某些很危险，但对你日常使用无影响的端口，这样黑客就不能了解到你系统的具体情况，也就不能攻击你了。

iptable防火墙，怎样使用参数

之一步：屏蔽最常见的攻击

缺省情况下，CentOS的iptables的设置是允许任何数据通过的。

首先要清空iptables中的所有的规则：

复制代码代码如下:

iptables-F

然后我们加上阻止简单扫描和攻击的规则

复制代码代码如下:

iptables-AINPUT-ptcp--tcp-flagsALLNONE-jDROP#NONE包(所有标识bit都没有设置)主要是扫描类的数据包

iptables-AINPUT-ptcp!--syn-mstate--stateNEW-jDROP#防止sync-flood攻击

iptables-AINPUT-ptcp--tcp-flagsALLALL-jDROP#ALL包（所有的标注bit都被设置了）也是 *** 扫描的数据包

关于sync-flood,请参照 *** 的解释。

第二步：为相应的服务开放对应的端口

首先我们应该接受本机localhost的任何请求，否则，数据库连接等将无法工作

1：

iptables-AINPUT-ilo-jACCEPT

对于不同的服务需要开放不同的端口

复制代码代码如下:

iptables-AINPUT-ptcp--dport22-jACCEPT#SSH

iptables-AINPUT-ptcp--dport80-jACCEPT#HTTP

iptables-AINPUT-ptcp--dport443-jACCEPT#HTTPS

iptables-AINPUT-ptcp--dport25-jACCEPT# *** TP

iptables-AINPUT-ptcp--dport465-jACCEPT#Secure *** TP

iptables-AINPUT-ptcp--dport110-jACCEPT#POP3

iptables-AINPUT-ptcp--dport995-jACCEPT#SecurePOP3

iptables-AINPUT-ptcp--dport143-jACCEPT#IMAP

iptables-AINPUT-ptcp--dport993-jACCEPT#SecureIMAP

第三步：加上通用的规则

首先要允许所有从服务器端发起的连接，由此返回的响应数据应该是允许的！比如VPS发起的yumupdate,必须要允许外部的update数据进来

复制代码代码如下:

iptables-IINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT

最后，设置缺省的策略：屏蔽任何进入的数据请求，允许所有从Server发出的请求

复制代码代码如下:

iptables-POUTPUTACCEPT/p

piptables-PINPUTDROP

至此，规则设置完毕

第四步：保存设置

首先通过下面的命令查看一下我们的设置是否正确！

复制代码如下:

iptable-L-n

确认没有问题后，执行下面的命令

复制代码代码如下:

serviceiptablessave

执行上述命令后，相应的规则会写入/etc/sysconfig/iptables这个文件，你可以检查一下看看。

最后执行

复制代码代码如下:

serviceiptablesrestart.

重新启动iptables防火墙，以使上述设置生效。

更佳的 *** ：

为了更方便的修改和维护自己的iptables的设置，我一般是把所有的iptables的设置先写到一个单独文件中，测试没有问题后。然后再保存到iptable的配置文件中。

下面是我自己的iptables文件~/script/firewall.sh

复制代码代码如下:

#!/bin/bash

#Asimpleiptablesfirewallconfiguration/p

pPATH=/ *** in:/bin:/usr/ *** in:/usr/bin;exportPATH/p

p#flush/eraseoriginalrules

iptables-F#清除所有已制定的rule

iptables-X#清除用户自定义的chain/table

iptables-Z#将所有的chain的计数和流量统计归零/p

p#Acceptlocalhostconnetting,nomatterwhatitis

iptables-AINPUT-ilo-jACCEPT/p

p#Acceptanyresponsepackagewhichisinitiatedfrominside

iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT/p

p#blockmostcommonnetworkattacks(reconpacketsandsyn-floodattack)

iptables-AINPUT-ptcp--tcp-flagsALLNONE-jDROP

iptables-AINPUT-ptcp!--syn-mstate--stateNEW-jDROP

iptables-AINPUT-ptcp--tcp-flagsALLALL-jDROP/p

p#openportsfordifferentservices

iptables-AINPUT-ptcp--dport22-jACCEPT#SSH

iptables-AINPUT-ptcp--dport80-jACCEPT#HTTP

#iptables-AINPUT-ptcp--dport443-jACCEPT#HTTPS

#iptables-AINPUT-ptcp--dport25-jACCEPT# *** TP

#iptables-AINPUT-ptcp--dport465-jACCEPT#Secure *** TP

#iptables-AINPUT-ptcp--dport110-jACCEPT#POP3

#iptables-AINPUT-ptcp--dport995-jACCEPT#SecurePOP/p

p#ICMPconfiguration

#TopreventICMPDDOS,wedonotallowICMPtype8(echo-request)orlimitthisrequestwith1/second

#someICMPrequestsareallowed.

icmp_type="0341112141618"

forticmpin$icmp_type

do

iptables-AINPUT-picmp--icmp-type$ticmp-jACCEPT

done

#iptables-AINPUT-picmp--icmp-type8-mlimit--limit1/second-jACCEPT/p

p#defaultpolicies

iptables-POUTPUTACCEPT

iptables-PINPUTDROP/p

p#saveto/etc/sysconfig/iptables

/etc/init.d/iptablessave

你可以根据你的需要进行相应的修改。

如何防止被人扫描IP地址?用什么工具?

别人一般扫描对方IP都是从相应的端口入手。也就是说对方是扫描你的端口。

一般的公网IP扫描工具都是扫描一定范围内的IP.某个IP的某个端口是开着的。然后调出这些被选中的IP地址。所以说只要你关闭相应的端口就不会被别人扫描到。相应的端口你可以在网上搜索到相关的信息，我就不列出来了。

Kali Linux *** 扫描秘籍 第三章 端口扫描（二）

执行 TCP 端口扫描的一种方式就是执行一部分。目标端口上的 TCP 三次握手用于识别端口是否接受连接。这一类型的扫描指代隐秘扫描， SYN 扫描，或者半开放扫描。这个秘籍演示了如何使用 Scapy 执行 TCP 隐秘扫描。

为了使用 Scapy 执行 TCP 隐秘 扫描，你需要一个运行 TCP *** 服务的远程服务器。这个例子中我们使用 Metasploitable2 实例来执行任务。配置 Metasploitable2 的更多信息请参考之一章中的“安装 Metasploitable2”秘籍。

此外，这一节也需要编写脚本的更多信息，请参考之一章中的“使用文本编辑器*VIM 和 Nano）。

为了展示如何执行 SYN 扫描，我们需要使用 Scapy 构造 TCP SYN 请求，并识别和开放端口、关闭端口以及无响应系统有关的响应。为了向给定端口发送 TCP SYN 请求，我们首先需要构建请求的各个层面。我们需要构建的之一层就是 IP 层：

为了构建请求的 IP 层，我们需要将 IP 对象赋给变量 i 。通过调用 display 函数，我们可以确定对象的属性配置。通常，发送和接受地址都设为回送地址， 127.0.0.1 。这些值可以通过修改目标地址来修改，也就是设置 i.dst 为想要扫描的地址的字符串值。通过再次调用 dislay 函数，我们看到不仅仅更新的目标地址，也自动更新了和默认接口相关的源 IP 地址。现在我们构建了请求的 IP 层，我们可以构建 TCP 层了。

为了构建请求的 TCP 层，我们使用和 IP 层相同的技巧。在这个立即中， TCP 对象赋给了 t 变量。像之前提到的那样，默认的配置可以通过调用 display 函数来确定。这里我们可以看到目标端口的默认值为 HTTP 端口 80。对于我们的首次扫描，我们将 TCP 设置保留默认。现在我们创建了 TCP 和 IP 层，我们需要将它们叠放来构造请求。

我们可以通过以斜杠分离变量来叠放 IP 和 TCP 层。这些层面之后赋给了新的变量，它代表整个请求。我们之后可以调用 dispaly 函数来查看请求的配置。一旦构建了请求，可以将其传递给 sr1 函数来分析响应：

相同的请求可以不通过构建和堆叠每一层来执行。反之，我们使用单独的一条命令，通过直接调用函数并传递合适的参数：

要注意当 SYN 封包发往目标 Web 服务器的 TCP 端口 80，并且该端口上运行了 HTTP 服务时，响应中会带有 TCP 标识 SA 的值，这表明 SYN 和 ACK 标识都被激活。这个响应表明特定的目标端口是开放的，并接受连接。如果相同类型的封包发往不接受连接的端口，会收到不同的请求。

当 SYN 请求发送给关闭的端口时，返回的响应中带有 TCP 标识 RA，这表明 RST 和 ACK 标识为都被激活。ACK 为仅仅用于承认请求被接受，RST 为用于断开连接，因为端口不接受连接。作为替代，如果 SYN 封包发往崩溃的系统，或者防火墙过滤了这个请求，就可能接受不到任何信息。由于这个原因，在 sr1 函数在脚本中使用时，应该始终使用 timeout 选项，来确保脚本不会在无响应的主机上挂起。

如果函数对无响应的主机使用时， timeout 值没有指定，函数会无限继续下去。这个演示中， timout 值为 1秒，用于使这个函数更加完备，响应的值可以用于判断是否收到了响应：

Python 的使用使其更易于测试变量来识别 sr1 函数是否对其复制。这可以用作初步检验，来判断是否接收到了任何响应。对于接收到的响应，可以执行一系列后续检查来判断响应表明端口开放还是关闭。这些东西可以轻易使用 Python 脚本来完成，像这样：

在这个 Python 脚本中，用于被提示来输入 IP 地址，脚本之后会对定义好的端口序列执行 SYN 扫描。脚本之后会得到每个连接的响应，并尝试判断响应的 SYN 和 ACK 标识是否激活。如果响应中出现并仅仅出现了这些标识，那么会输出相应的端口号码。

运行这个脚本之后，输出会显示所提供的 IP 地址的系统上，前 100 个端口中的开放端口。

这一类型的扫描由发送初始 SYN 封包给远程系统的目标 TCP 端口，并且通过返回的响应类型来判断端口状态来完成。如果远程系统返回了 SYN+ACK 响应，那么它正在准备建立连接，我们可以假设这个端口开放。如果服务返回了 RST 封包，这就表明端口关闭并且不接收连接。此外，如果没有返回响应，扫描系统和远程系统之间可能存在防火墙，它丢弃了请求。这也可能表明主机崩溃或者目标 IP 上没有关联任何系统。

Nmap 拥有可以执行远程系统 SYN 扫描的扫描模式。这个秘籍展示了如何使用 Namp 执行 TCP 隐秘扫描。

为了使用 Nmap 执行 TCP 隐秘扫描，你需要一个运行 TCP *** 服务的远程服务器。这个例子中我们使用 Metasploitable2 实例来执行任务。配置 Metasploitable2 的更多信息请参考之一章中的“安装 Metasploitable2”秘籍。

就像多数扫描需求那样，Nmap 拥有简化 TCP 隐秘扫描执行过程的选项。为了使用 Nmap 执行 TCP 隐秘扫描，应使用 -sS 选项，并附带被扫描主机的 IP 地址。

在提供的例子中，特定的 IP 地址的 TCP 80 端口上执行了 TCP 隐秘扫描。和 Scapy 中的技巧相似，Nmap 监听响应并通过分析响应中所激活的 TCP 标识来识别开放端口。我们也可以使用 Namp 执行多个特定端口的扫描，通过传递逗号分隔的端口号列表。

在这个例子中，目标 IP 地址的端口 21、80 和 443 上执行了 SYN 扫描。我们也可以使用 Namp 来扫描主机序列，通过标明要扫描的之一个和最后一个端口号，以破折号分隔：

在所提供的例子中，SYN 扫描在 TCP 20 到 25 端口上执行。除了拥有指定被扫描端口的能力之外。Nmap 同时拥有配置好的 1000 和常用端口的列表。我们可以执行这些端口上的扫描，通过不带任何端口指定信息来运行 Nmap：

在上面的例子中，扫描了 Nmap 定义的 1000 个常用端口，用于识别 Metasploitable2 系统上的大量开放端口。虽然这个技巧在是被多数设备上很高效，但是也可能无法识别模糊的服务或者不常见的端口组合。如果扫描在所有可能的 TCP 端口上执行，所有可能的端口地址值都需要被扫描。定义了源端口和目标端口地址的 TCP 头部部分是 16 位长。并且，每一位可以为 1 或者 0。因此，共有 2 ** 16 或者 65536 个可能的 TCP 端口地址。对于要扫描的全部可能的地址空间，需要提供 0 到 65535 的端口范围，像这样：

这个例子中，Metasploitable2 系统上所有可能的 65536 和 TCP 地址都扫描了一遍。要注意该扫描中识别的多数服务都在标准的 Nmap 1000 扫描中识别过了。这就表明在尝试识别目标的所有可能的攻击面的时候，完整扫描是个更佳实践。Nmap 可以使用破折号记法，扫描主机列表上的 TCP 端口：

这个例子中，TCP 80 端口的 SYN 扫描在指定地址范围内的所有主机上执行。虽然这个特定的扫描仅仅执行在单个端口上，Nmap 也能够同时扫描多个系统上的多个端口和端口范围。此外，Nmap 也能够进行配置，基于 IP 地址的输入列表来扫描主机。这可以通过 -iL 选项并指定文件名，如果文件存放于执行目录中，或者文件路径来完成。Nmap 之后会遍历输入列表中的每个地址，并对地址执行特定的扫描。

Nmap SYN 扫描背后的底层机制已经讨论过了。但是，Nmap 拥有多线程功能，是用于执行这类扫描的快速高效的方式。

除了其它已经讨论过的工具之外，Metasploit 拥有用于 SYN 扫描的辅助模块。这个秘籍展示了如何使用 Metasploit 来执行 TCP 隐秘扫描。

为了使用 Metasploit 执行 TCP 隐秘扫描，你需要一个运行 TCP *** 服务的远程服务器。这个例子中我们使用 Metasploitable2 实例来执行任务。配置 Metasploitable2 的更多信息请参考之一章中的“安装 Metasploitable2”秘籍。

Metasploit 拥有可以对特定 TCP 端口执行 SYN 扫描的辅助模块。为了在 Kali 中启动 Metasploit，我们在终端中执行 msfconsole 命令。

为了在 Metasploit 中执行 SYN 扫描，以辅助模块的相对路径调用 use 命令。一旦模块被选中，可以执行 show options 命令来确认或修改扫描配置。这个命令会展示四列的表格，包括 name 、 current settings 、 required 和 description 。 name 列标出了每个可配置变量的名称。 current settings 列列出了任何给定变量的现有配置。 required 列标出对于任何给定变量，值是否是必须的。 description 列描述了每个变量的功能。任何给定变量的值可以使用 set 命令，并且将新的值作为参数来修改。

在上面的例子中， RHOSTS 值修改为我们打算扫描的远程系统的 IP 地址。地外，线程数量修改为 20。 THREADS 的值定义了在后台执行的当前任务数量。确定线程数量涉及到寻找一个平衡，既能提升任务速度，又不会过度消耗系统资源。对于多数系统，20 个线程可以足够快，并且相当合理。 PORTS 值设为 TCP 端口 80（HTTP）。修改了必要的变量之后，可以再次使用 show options 命令来验证。一旦所需配置验证完毕，就可以执行扫描了。

上面的例子中，所指定的远程主机的钱 100 个 TCP 端口上执行了 TCP SYN 扫描。虽然这个扫描识别了目标系统的多个设备，我们不能确认所有设备都识别出来，除非所有可能的端口地址都扫描到。定义来源和目标端口地址的TCP 头部部分是 16 位长。并且，每一位可以为 1 或者 0。因此，共有 2 ** 16 或 65536 个可能的 TCP 端口地址。对于要扫描的整个地址空间，需要提供 0 到 65535 的 端口范围，像这样：

在这个李忠，远程系统的所有开放端口都由扫描所有可能的 TCP 端口地址来识别。我们也可以修改扫描配置使用破折号记法来扫描地址序列。

这个例子中，TCP SYN 扫描执行在由 RHOST 变量指定的所有主机地址的 80 端口上。与之相似， RHOSTS 可以使用 CIDR 记法定义 *** 范围。

Metasploit SYN 扫描辅助模块背后的底层原理和任何其它 SYN 扫描工具一样。对于每个被扫描的端口，会发送 SYN 封包。SYN+ACK 封包会用于识别活动服务。使用 MEtasploit 可能更加有吸引力，因为它拥有交互控制台，也因为它是个已经被多数渗透测试者熟知的工具。

除了我们之前学到了探索技巧，hping3 也可以用于执行端口扫描。这个秘籍展示了如何使用 hping3 来执行 TCP 隐秘扫描。

为了使用 hping3 执行 TCP 隐秘扫描，你需要一个运行 TCP *** 服务的远程服务器。这个例子中我们使用 Metasploitable2 实例来执行任务。配置 Metasploitable2 的更多信息请参考之一章中的“安装 Metasploitable2”秘籍。

除了我们之前学到了探索技巧，hping3 也可以用于执行端口扫描。为了使用 hping3 执行端口扫描，我们需要以一个整数值使用 --scan 模式来指定要扫描的端口号。

上面的例子中，SYN 扫描执行在指定 IP 地址的 TCP 端口 80 上。 -S 选项指明了发给远程系统的封包中激活的 TCP 标识。表格展示了接收到的响应封包中的属性。我们可以从输出中看到，接收到了SYN+ACK 响应，所以这表示目标主机端口 80 是开放的。此外，我们可以通过输入够好分隔的端口号列表来扫描多个端口，像这样：

在上面的扫描输出中，你可以看到，仅仅展示了接受到 SYN+ACK 标识的结果。要注意和发送到 443 端口的 SYN 请求相关的响应并没有展示。从输出中可以看出，我们可以通过使用 -v 选项增加详细读来查看所有响应。此外，可以通过传递之一个和最后一个端口地址值，来扫描端口范围，像这样：

这个例子中，100 个端口的扫描足以识别 Metasploitable2 系统上的服务。但是，为了执行 所有 TCP 端口的扫描，需要扫描所有可能的端口地址值。定义了源端口和目标端口地址的 TCP 头部部分是 16 位长。并且，每一位可以为 1 或者 0。因此，共有 2 ** 16 或者 65536 个可能的 TCP 端口地址。对于要扫描的全部可能的地址空间，需要提供 0 到 65535 的端口范围，像这样：

hping3 不用于一些已经提到的其它工具，因为它并没有 SYN 扫描模式。但是反之，它允许你指定 TCP 封包发送时的激活的 TCP 标识。在秘籍中的例子中， -S 选项让 hping3 使用 TCP 封包的 SYN 标识。

在多数扫描工具当中，TCP 连接扫描比 SYN 扫描更加容易。这是因为 TCP 连接扫描并不需要为了生成和注入 SYN 扫描中使用的原始封包而提升权限。Scapy 是它的一大例外。Scapy 实际上非常难以执行完全的 TCP 三次握手，也不实用。但是，出于更好理解这个过程的目的，我们来看看如何使用 Scapy 执行连接扫描。

为了使用 Scapy 执行全连接扫描，你需要一个运行 UDP *** 服务的远程服务器。这个例子中我们使用 Metasploitable2 实例来执行任务。配置 Metasploitable2 的更多信息请参考之一章中的“安装 Metasploitable2”秘籍。

此外，这一节也需要编写脚本的更多信息，请参考之一章中的“使用文本编辑器*VIM 和 Nano）。

Scapy 中很难执行全连接扫描，因为系统内核不知道你在 Scapy 中发送的请求，并且尝试阻止你和远程系统建立完整的三次握手。你可以在 Wireshark 或 tcpdump 中，通过发送 SYN 请求并嗅探相关流量来看到这个过程。当你接收到来自远程系统的 SYN+ACK 响应时，Linux 内核会拦截它，并将其看做来源不明的响应，因为它不知道你在 Scapy 中 发送的请求。并且系统会自动使用 TCP RST 封包来回复，因此会断开握手过程。考虑下面的例子：

这个 Python 脚本的例子可以用做 POC 来演系统破坏三次握手的问题。这个脚本假设你将带有开放端 *** 动系统作为目标。因此，假设 SYN+ACK 回复会作为初始 SYN 请求的响应而返回。即使发送了最后的 ACK 回复，完成了握手，RST 封包也会阻止连接建立。我们可以通过观察封包发送和接受来进一步演示。

在这个 Python 脚本中，每个发送的封包都在传输之前展示，并且每个收到的封包都在到达之后展示。在检验每个封包所激活的 TCP 标识的过程中，我们可以看到，三次握手失败了。考虑由脚本生成的下列输出：

在脚本的输出中，我们看到了四个封包。之一个封包是发送的 SYN 请求，第二个封包时接收到的 SYN+ACK 回复，第三个封包时发送的 ACK 回复，之后接收到了 RST 封包，它是最后的 ACK 回复的响应。最后一个封包表明，在建立连接时出现了问题。Scapy 中可能能够建立完成的三次握手，但是它需要对本地 IP 表做一些调整。尤其是，如果你去掉发往远程系统的 TSR 封包，你就可以完成握手。通过使用 IP 表建立过滤机制，我们可以去掉 RST 封包来完成三次握手，而不会干扰到整个系统（这个配置出于功能上的原理并不推荐）。为了展示完整三次握手的成功建立，我们使用 Netcat 建立 TCP 监听服务。之后尝试使用 Scapy 连接开放的端口。

这个例子中，我们在 TCP 端口 4444 开启了监听服务。我们之后可以修改之前的脚本来尝试连接 端口 4444 上的 Netcat 监听服务。

这个脚本中，SYN 请求发送给了监听端口。收到 SYN+ACK 回复之后，会发送 ACK回复。为了验证连接尝试被系统生成的 RST 封包打断，这个脚本应该在 Wireshark 启动之后执行，来捕获请求蓄力。我们使用 Wireshark 的过滤器来隔离连接尝试序列。所使用的过滤器是 tcp (ip.src == 172.16.36.135 || ip.dst == 172.16.36.135) 。过滤器仅仅用于展示来自或发往被扫描系统的 TCP 流量。像这样：

既然我们已经精确定位了问题。我们可以建立过滤器，让我们能够去除系统生成的 RST 封包。这个过滤器可以通过修改本地 IP 表来建立：

在这个例子中，本地 IP 表的修改去除了所有发往被扫描主机的目标地址的 TCP RST 封包。 list 选项随后可以用于查看 IP 表的条目，以及验证配置已经做了修改。为了执行另一次连接尝试，我们需要确保 Natcat 仍旧监听目标的 4444 端口，像这样：

和之前相同的 Python 脚本可以再次使用，同时 WIreshark 会捕获后台的流量。使用之前讨论的显示过滤器，我们可以轻易专注于所需的流量。要注意三次握手的所有步骤现在都可以完成，而不会收到系统生成的 RST 封包的打断，像这样：

此外，如果我们看一看运行在目标系统的 Netcat 服务，我们可以注意到，已经建立了连接。这是用于确认成功建立连接的进一步的证据。这可以在下面的输出中看到：

虽然这个练习对理解和解决 TCP 连接的问题十分有帮助，恢复 IP 表的条目也十分重要。RST 封包 是 TCP 通信的重要组成部分，去除这些响应会影响正常的通信功能。洗唛按的命令可以用于刷新我们的 iptable 规则，并验证刷新成功：

就像例子中展示的那样， flush 选项应该用于清楚 IP 表的条目。我们可以多次使用 list 选项来验证 IP 表的条目已经移除了。

执行 TCP 连接扫描的同居通过执行完整的三次握手，和远程系统的所有被扫描端口建立连接。端口的状态取决于连接是否成功建立。如果连接建立，端口被认为是开放的，如果连接不能成功建立，端口被认为是关闭的。