Опубликован: 20.02.2007 | Доступ: свободный | Студентов: 3507 / 793 | Оценка: 4.42 / 4.03 | Длительность: 40:03:00
Лекция 6:

Сканеры портов

NetScanTools

NetScanTools - утилита сканирования с графическим интерфейсом (см. рис. 6.2). Представляет собой коммерческий продукт, но вы можете загрузить 30-дневную пробную версию по адресу http://www.netscantools.com/. Загружаемый файл для версии 4.22 составляет 1.5Мб. Профессиональную версию программы надо покупать.

Окно NetScanTools

Рис. 6.2. Окно NetScanTools
Реализация

NetScanTools представляет собой приятный графический интерфейс к большому количеству свободно-доступных утилит командной строки, которые были описаны в лекции "Системные средства с открытым программным кодом: основы" : Ping, Traceroute, Finger, whois/fwhois и другие им подобные. Он также взаимодействует с несколькими вышедшими из употребления службами типа echo, daytime, quote и chargen, которые не слишком широко распространены в сети Internet. Многие из экранных закладок интерфейса NetScanTools, такие как TimeSync, Database Tests, WinSock Info, NetBios Info и IDENT Server, используются для просмотра информации или управления сервисами на хосте, где выполняется программа. Вдобавок, программа может запускать telnet-, FTP- и HTTP -приложения. Программа представляет собой централизованное средство для получения информации о сети и управления сканированием.

Три наиболее используемые возможности сосредоточены на закладках NetScanner, Port Probe и TCP Term. Закладка NetScanner (см. рис. 6.3) может использоваться для сканирования интервала IP-адресов работающих хостов, аналогично запуску nmap -sP. Введите начальное и конечное значения IP-адресов и нажмите кнопку Start. NetScan проведет тестирование заданных вами хостов с использованием Ping, DNS-запросов и некоторых дополнительных whois-запросов. NetScan дает возможность сохранить полученную информацию в текстовый файл или обновить HOSTS-файл на вашей машине с использованием полученной информации.

Закладка NetScan

Рис. 6.3. Закладка NetScan

Закладка Port Probe (см. рис. 6.4) представляет собой раздел NetScan для сканирования портов. Вы можете определить один хост или интервал хостов для сканирования, а также интервал портов и время сканирования. Результаты сканирования отображаются в виде дерева. Реагирующие порты помечены зеленым цветом, а зеленый символ "d" обозначает, что в процессе сканирования от порта удалось получить некоторые данные. Дважды щелкнув мышью на помеченном зеленым символом "d" порте, вы можете увидеть полученные данные. Эта информация получена с использованием перехвата заголовков и может быть использована для определения типа и версии сервисов, прослушивающих данный порт.

У NetScanTools нет широких возможностей сокрытия сканирования, но он позволяет сканировать интервалы IP-адресов и портов и управлять временными параметрами сканирования. Тем не менее, если мы посмотрим в системный журнал машины 192.168.1.100, то обнаружим, что эта программа куда более болтлива, чем nmap. Поскольку NetScan закрывает свои соединения с использованием запроса FIN вместо RST, в системном журнале можно зафиксировать IP-адрес сканера.

Закладка Port Probe

Рис. 6.4. Закладка Port Probe
Mar 15 21:31:18 originix in.ftpd[1794]: connect from 192.168.1.101
Mar 15 21:31:19 originix in.telnetd[1796]: connect from 192.168.1.101
Mar 15 21:31:23 originix sshd[1795]: Did not receive ident string from 192.168.1.101
Mar 15 21:31:24 originix telnetd[1796]: ttloop: peer died: Invalid or incomplete multibyte or 
   wide character
Mar 15 21:31:24 originix ftpd[1794]: FTP session closed
Mar 15 21:32:27 originix in.rexecd[1797]: connect from 192.168.1.101
Mar 15 21:32:27 originix in.rexecd[1797]: connect from badman
Mar 15 21:32:27 originix in.rlogind[1798]: connect from 192.168.1.101
Mar 15 21:32:27 originix in.rshd[1799]: connect from 192.168.1.101
Mar 15 21:32:27 originix rshd[1799]: Connection from 192.168.1.101 on illegal port
Mar 15 21:32:34 originix rlogind[1798]: Connection from 192.168.1.101 on illegal port
Mar 15 21:32:34 originix rlogind[1798]: PAM pam_end: NULL pam handle passed
6.4.

Закладка TCP Term (см. рис. 6.5) позволяет осуществить прямое соединение с заданным портом на заданном хосте и взаимодействовать с программой, прослушивающей этот порт. В предыдущих попытках сканирования от многих портов удалось получить данные (зеленый символ "d"), которые представляют нам информацию о сервисах, работающих на этих портах. Некоторые сервисы, такие как httpd (Web-сервер), могут вернуть данные только в ответ на посланный запрос. Функции, сосредоточенные на закладке, позволяют это сделать. Здесь мы посылаем Web-серверу, расположенному по адресу 192.168.1.100, команду GET / HTTP, сопровождаемую двумя последовательными нажатиями клавиши ENTER, для получения от него некоторой информации. Мы можем определить тип Web-сервера ( Apache ), его версию (1.3.14 для Unix ) и операционную систему, под управлением которой он работает ( RedHat Linux ).

Закладка TCP Term

Рис. 6.5. Закладка TCP Term