New on NodeSeek? Please read our Community Rules.
聊聊端口扫描
各位,我是小白,最近有一个想法。能探讨探讨吗?
混论坛有一阵子,有见过"dd成window要改3389端口防止被扫被封"也有见过"大量机子使用xui默认端口账号密码",想问问关于扫描的技术。
1.端口扫描是带着特征的吗?扫到了是公开的就知道这是什么端口?换句话说,举个例子如果是rdp的端口,能扫到就知道了是rdp还是说必须用协议去链接成功了才知道?
2.批量扫描是谁都能扫的吗?有没有小白都能乱扫的工具?还是大佬自己用专门写的针对性扫描?还是单纯的http请求postget符合返回值就?
3.如果把一个电脑rdp端口转发到Linux公网3389,这样扫到3389出来的端口,是普通端口还是rdp端口?感觉应该是rdp端口,那这样服务器会不会误判成像dd成window要改3389端口防止被扫被封一样的Linux dd成window?
还有一些问题想不起来了,上周有一个很完整的思路,好久没上论坛给忘了。。
来源想法是把安卓adb端口转发到公网上没加密,突然想到如果别人扫到知道是adb协议那手机不就相当于被控制了。。但是一般人也不会去用adb链接扫出来的端口吧。所以想到这个被扫不知道会不会带着一些特征
想看大佬们聊天,可以不回答我的问题,扩展讨论。
Comments
我也是小白不太会,但我曾经扫过,用工具一点一点来就行……我感觉扫描就是tcp握手,先筛选出来tcp开着的,然后用python request库去获取每一个页面的标题,筛选出自己想要的,最后用自己写的脚本去试默认密码。我的目的不是爆破,只是想看看某一段主机到底有多少用默认密码的小白😂如果要爆破的话那我不会……不过ssh这种不配置fail2ban的就可以无限轮直到试出来诶?
最后一个问题,得看你怎么转发的吧,要是直接iptables这种,肯定是rdp啊,但要是v2前置代理,就不是rdp特征了
@Misaka233 #1
那你这种可以请求到应该是对于web端口,那种一个http就能知道是什么了。不管标题怎么样他都是web
但是对tcp这种就不知道怎么分辨了,我还没用过这种工具不晓得是不是这么方便
暴露在公网的端口肯定逃不过扫描,端口扫描的脚本github很多
特征有,但是得先连接才知道是什么,打得就是默认端口的注意,一般默认占用3389的就是远程桌面,54321是xui,默认端口不改的,用弱口令的概率一定高于改端口的,所以哪怕改成3390或者54322都能过滤50%的扫描者,很少有全段端口扫描的。
https://gist.github.com/hfutxqd/a5b2969c485dabd512e543768a35a046
你的5037在别人http刷子看来大概率是个手搓的tcp乱码服务器,当然也不排除闲的没事专门在公网扫adb的,以及国内那几家做漏洞大数据的
分清两个概念,开放端口和端口后的服务。
你问的是一个服务(如rdp)通过一个端口(如3389)暴露到公网,别人能不能扫出来3389端口开放,并且对应着rdp服务。
1.端口扫描是带着特征的吗?
大部分在TCP建立连接后会返回特征,少部分建立连接后发送一些探测数据会返回特征,也有发送错误的数据不返回特征的。
2.批量扫描是谁都能扫的吗?
工具,多的是
3.如果把一个电脑rdp端口转发到公网3389,这样扫到3389出来的端口,是普通端口还是rdp端口?
理论上可以探测出3389端口后开放的是rdp服务。
@Just纱世里 #5
也就是说一般不是对一个ip进行全端口扫描,是对很多ip段有目的性的批量扫描指定端口,是这样吧?
那确实换一个端口就挺安全了,(排除被同行针对扫你ip的可能性)
@reta2333 #7
感谢 明白了。说到底还是需要链接上才知道特征才能被识别,只需要开放端口的时候做好防火墙就好了。