端口扫描抓包学习TCP之syn

端口扫描的种类不少，具体见百度连接：http://baike.baidu.com/link?url=eXz1gOvQVicbV0E6TrJZGAe8R9wQFCVPe84jmN-Eg0U1ZMfguO_9SKO4n96GAPEz

 

有些朋友要问了什么是TCP的SYN 扫描呢？这个就要说到TCP的链接了，TCP是一个可靠链接，在进行链接前要进行三次握手！以下图我直接百度上找的

TCP端口扫描是经过SYN数据包进行的，用于扫描目标机器的端口上是否存在程序监听，一般意义上，普通我的机器上的某个端口若是有程序监听的话，那么它通常是系统漏洞。因为TCP是一个有链接的可靠协议，因此要使用三次握手来创建链接，三次握手的报文分别是(SYN)、(ACK SYN)和(ACK)。进行端口扫描时，首先向对方主机的某一端口发送(SYN)报文，若是对方这一端口上有程序在监听（或者说存在漏洞），则回复(SYN ACK)报文，不然回复(RST)报文。据此就能够判断对方端口上是否有程序在监听了，或者是否存在漏洞了。

 

下面咱们就使用端口扫描工具进行扫描目标计算机：

 

使用软件SSprot，51cto上有下载。以下图我使用该软件扫描目标计算机的3350-3390端口，主要目的是看目标计算机是否开放了3389端口，在实验的时候我已经在目标计算机上开放了3389，保证明验的成功。

 

首先开启抓包软件，而后启动端口扫描工具SSport，进行快速扫描。扫描完成结束后须要耐心等待一会，以下图产生了大量的TCP数据包，若是你当即中止抓包可能会有些数据包还在传送。

 

耐心等待后，咱们查看下都抓到了些什么数据包，以下图扫描工具发送了大量的syn数据包，因为目标计算机没有开放这些端口，因此反馈给了扫描计算机[ RST,ACK ]说这些端口我没有开放，也就是说目标计算机这些端口没有在监听（注意这个必须在防火墙关闭的状况下，若是防火墙开启的状况下，被扫描的目标计算机并不会对没有开启的端口进行回应[RST,ACT]，而是直接不回应）那3389呢，你不是开放了吗？

 

我把视图往下拉了一点，以下图由于目标计算机的3389是开放的，因此目标计算机回应了安装扫描软件的计算机一个【syn，ack】的数据包，说明目标计算机的3389端口正在监听中。

 

咱们经过telnet目标计算机看下3389是否成功

 

以下图telnet的成功

 

总结：以上就是TCP的syn扫描，总之被扫描的PC，回复[RST，ACK] 表示端口没开，回复【SYN，ACK】说明目标计算机的端口已经开放。