Сканеры портов

NetScanTools

NetScanTools - утилита сканирования с графическим интерфейсом (см. рис. 6.2). Представляет собой коммерческий продукт, но вы можете загрузить 30-дневную пробную версию по адресу http://www.netscantools.com/. Загружаемый файл для версии 4.22 составляет 1.5Мб. Профессиональную версию программы надо покупать.

Рис. 6.2. Окно NetScanTools

Реализация

NetScanTools представляет собой приятный графический интерфейс к большому количеству свободно-доступных утилит командной строки, которые были описаны в лекции "Системные средства с открытым программным кодом: основы" : Ping, Traceroute, Finger, whois/fwhois и другие им подобные. Он также взаимодействует с несколькими вышедшими из употребления службами типа echo, daytime, quote и chargen, которые не слишком широко распространены в сети Internet. Многие из экранных закладок интерфейса NetScanTools, такие как TimeSync, Database Tests, WinSock Info, NetBios Info и IDENT Server, используются для просмотра информации или управления сервисами на хосте, где выполняется программа. Вдобавок, программа может запускать telnet-, FTP- и HTTP -приложения. Программа представляет собой централизованное средство для получения информации о сети и управления сканированием.

Три наиболее используемые возможности сосредоточены на закладках NetScanner, Port Probe и TCP Term. Закладка NetScanner (см. рис. 6.3) может использоваться для сканирования интервала IP-адресов работающих хостов, аналогично запуску nmap -sP. Введите начальное и конечное значения IP-адресов и нажмите кнопку Start. NetScan проведет тестирование заданных вами хостов с использованием Ping, DNS-запросов и некоторых дополнительных whois-запросов. NetScan дает возможность сохранить полученную информацию в текстовый файл или обновить HOSTS-файл на вашей машине с использованием полученной информации.

Рис. 6.3. Закладка NetScan

Закладка Port Probe (см. рис. 6.4) представляет собой раздел NetScan для сканирования портов. Вы можете определить один хост или интервал хостов для сканирования, а также интервал портов и время сканирования. Результаты сканирования отображаются в виде дерева. Реагирующие порты помечены зеленым цветом, а зеленый символ "d" обозначает, что в процессе сканирования от порта удалось получить некоторые данные. Дважды щелкнув мышью на помеченном зеленым символом "d" порте, вы можете увидеть полученные данные. Эта информация получена с использованием перехвата заголовков и может быть использована для определения типа и версии сервисов, прослушивающих данный порт.

У NetScanTools нет широких возможностей сокрытия сканирования, но он позволяет сканировать интервалы IP-адресов и портов и управлять временными параметрами сканирования. Тем не менее, если мы посмотрим в системный журнал машины 192.168.1.100, то обнаружим, что эта программа куда более болтлива, чем nmap. Поскольку NetScan закрывает свои соединения с использованием запроса FIN вместо RST, в системном журнале можно зафиксировать IP-адрес сканера.

Рис. 6.4. Закладка Port Probe

Mar 15 21:31:18 originix in.ftpd[1794]: connect from 192.168.1.101
Mar 15 21:31:19 originix in.telnetd[1796]: connect from 192.168.1.101
Mar 15 21:31:23 originix sshd[1795]: Did not receive ident string from 192.168.1.101
Mar 15 21:31:24 originix telnetd[1796]: ttloop: peer died: Invalid or incomplete multibyte or 
   wide character
Mar 15 21:31:24 originix ftpd[1794]: FTP session closed
Mar 15 21:32:27 originix in.rexecd[1797]: connect from 192.168.1.101
Mar 15 21:32:27 originix in.rexecd[1797]: connect from badman
Mar 15 21:32:27 originix in.rlogind[1798]: connect from 192.168.1.101
Mar 15 21:32:27 originix in.rshd[1799]: connect from 192.168.1.101
Mar 15 21:32:27 originix rshd[1799]: Connection from 192.168.1.101 on illegal port
Mar 15 21:32:34 originix rlogind[1798]: Connection from 192.168.1.101 on illegal port
Mar 15 21:32:34 originix rlogind[1798]: PAM pam_end: NULL pam handle passed

Закладка TCP Term (см. рис. 6.5) позволяет осуществить прямое соединение с заданным портом на заданном хосте и взаимодействовать с программой, прослушивающей этот порт. В предыдущих попытках сканирования от многих портов удалось получить данные (зеленый символ "d"), которые представляют нам информацию о сервисах, работающих на этих портах. Некоторые сервисы, такие как httpd (Web-сервер), могут вернуть данные только в ответ на посланный запрос. Функции, сосредоточенные на закладке, позволяют это сделать. Здесь мы посылаем Web-серверу, расположенному по адресу 192.168.1.100, команду GET / HTTP, сопровождаемую двумя последовательными нажатиями клавиши ENTER, для получения от него некоторой информации. Мы можем определить тип Web-сервера ( Apache ), его версию (1.3.14 для Unix ) и операционную систему, под управлением которой он работает ( RedHat Linux ).

Рис. 6.5. Закладка TCP Term