端口扫描程序的设计与实现.docx

端口扫描程序的设计与实现.docx

《端口扫描程序的设计与实现.docx》由会员分享，可在线阅读，更多相关《端口扫描程序的设计与实现.docx（19页珍藏版）》请在冰豆网上搜索。

端口扫描程序的设计与实现

端口扫描程序的设计与实现

摘要

计算机信息网络的发展加速了信息化时代的进程，但是随着社会网络化程度的增加，对计算机网络的依赖也越来越大，网络安全问题也日益明显。

端口扫描技术是发现安全问题的重要手段之一。

本程序是在Windows系统中使用C语言用MFC完成的一个端口扫描程序。

此程序主要完成了TCPconnect（）扫描和UDP扫描功能。

TCP扫描支持多线程，能对单个指定的主机进行扫描或对指定网段内的主机进行逐个扫描。

能扫描特定的部分端口号或对指定的端口段内的端口进行逐个扫描。

此端口扫描程序能快速地进行TCP扫描，准确地检测出对TCP协议开放的端口。

而对于UDP扫描只支持单线程，速度较慢。

扫描结果以列表的形式直观地展现出来。

关键词：

端口扫描、TCP扫描、UDP扫描、TCP多线程扫描

引言

课题的背景及意义

网络中每台计算机犹如一座城堡，这些城堡中，有些是对外完全开放的，有些却是大门紧闭的。

入侵者们是如何找到，并打开它们的城门呢？

这些城门究竟通向何处？

在网络中，把这些城堡的“城门”称之为计算机的“端口”。

端口扫描是入侵者搜索信息的几种常用方法之一，也正是这一种方法最容易暴露入侵者的身份和意图。

一般说来，扫描端口有以下目的：

判断目标主机上开放了哪些服务

判断目标主机的操作系统

如果入侵者掌握了目标主机开放了哪些服务，运行何种操作系统，他们就能使用相应的手段实现入侵。

而如果管理员先掌握了这些端口服务的安全漏洞，就能采取有效的安全措施，防范相应的入侵。

端口扫描现状

计算机信息网络的发展加速了信息化时代的进程，但是随着社会网络化程度的增加，对计算机网络的依赖也越来越大，网络安全问题也日益明显。

端口扫描技术是发现安全问题的重要手段之一。

一个端口就是一个潜在的通信通道，也就是一个入侵通道。

对目标计算机进行端口扫描，能得到许多有用的信息。

扫描器通过选用远程TCP/IP不同的端口的服务，并记录目标给予的回答，通过这种方法，可以搜集到很多关于目标主机的各种有用的信息，从而发现目标机的某些内在的弱点。

系统设计

系统主要目标

本程序主要实现了：

简易的TCPconnect（）扫描，支持多线程；

UDP扫描功能；

能对单个指定的主机进行扫描或扫描指定网段内的主机；

能扫描特定的部分端口号或对指定的端口段内的端口进行逐个扫描；

开发环境及工具

测试平台：

WindowsXPProfessional

使用软件：

VisualC++6.0

开发语言：

C语言

功能模块与系统结构

作为端口扫描程序，首先需要完成的功能就是对于系统操作系统的服务端口进行扫描，返回扫描结果。

对于端口的扫描，包括对于本机系统服务端口，局域网内目标机系统，以及远程IP的系统服务端口进行扫描。

有些时候，用户并不需要去扫描整个系统的所有端口，因为这样的话不仅会浪费大量的时间，而且可能导致难以找到自己需要了解的端口的扫描结果。

所以，对于选择性地对端口进行扫描也非常重要。

这当然也是扫描程序需要实现的功能之一。

用户在等待扫描的时候，往往希望知道它的工作进度。

这样用户可以更好地控制自己的操作。

站在用户的角度思考，设置进度是程序需要完成的，这样就能知道程序扫描的进度。

系统必须提供的服务是功能需求的基本，本着站在用户角度思考的原则，做出如上叙述需求，从简列举如下：

扫描功能；

地址选择功能；

端口选择功能；

进度显示功能；

端口扫描程序功能模块如下图所示：

程序运行流程图：

系统功能程序设计

本程序主要实现了简易的TCPconnect（）扫描和UDP扫描功能，对TCP扫描支持多线程扫描，UDP扫描仅支持单线程。

获取本机IP

首先使用winsock中的gethostname（）函数获取本地主机的标准主机名，再使用函数gethostbyname（）主机名字和地址信息的hostent结构指针，最后通过inet_ntoa（）函数将地址转化为字符形式返回给主调函数。

if（gethostname（szHostName,128）==0）

{

pHost=gethostbyname（szHostName）;

for（i=0;pHost!

=NULL&&pHost->h_addr_list[i]!

=NULL;i++）

{/*对每一个IP地址进行处理*/

pszAddr=inet_ntoa（*（structin_addr*）pHost->h_addr_list[i]）;

break;

}

}

分割字符串函数的实现

由于扫描结果是使用静态字符串保存的，所以最后显示的时候，需要用到分割字符串函数，来将字符串中扫描出的端口号分离出来显示。

本函数主要是通过Find（）函数来查找用作分隔符的字符串在待查找的字符串中的位置，然后通过Add（）函数将分隔符之间的字符保存进数组中，来达到分割字符的目的。

while（-1!

=pos）{

if（-1==pre_pos）

pos=source.Find（division,pos）;

else

pos=source.Find（division,（pos+1））;

if（-1==pre_pos）{

iFirst=0;

if（-1==pos）

nCount=source.GetLength（）;

else

nCount=pos;

}else{

iFirst=pre_pos+len;

if（-1!

=pos）

nCount=pos-pre_pos-len;

else

nCount=source.GetLength（）-pre_pos-len;

}

dest.Add（source.Mid（iFirst,nCount））;

pre_pos=pos;

}

获取待扫描的IP地址

通过判断选择的哪个RadioButton的值，来选择从对应的IPAddress控件中读入用户输入的值，若是单个的IP则将开始地址StartAddr和结束地址EndAddr都赋值为IPAddress控件的值；若是IP范围，则第一个IP地址赋值给StartAddr，最后一个IP地址赋值给EndAddr。

voidCPortScanDlg:

:

setAddr（DWORD&StartAddr,DWORD&EndAddr）

{

switch（m_conf_IP.m_IP）

{

case0:

m_conf_IP.m_IP_Self.GetAddress（StartAddr）;

m_conf_IP.m_IP_Self.GetAddress（EndAddr）;

break;

case1:

m_conf_IP.m_IP_Design.GetAddress（StartAddr）;

m_conf_IP.m_IP_Design.GetAddress（EndAddr）;

break;

case2:

m_conf_IP.m_IP_Start.GetAddress（StartAddr）;

m_conf_IP.m_IP_End.GetAddress（EndAddr）;

break;

default:

break;

}

}

获取待扫描的端口号

首先读入用户设置的允许的最大线程数。

再通过判断选择的哪个RadioButton的值，来选择从对应的EditBox控件中读入用户输入的值。

若是指定的端口号，则循环读入EditBox中的端口号（一个端口号占用一行，一次读入一行），每行的字符不超过9字符，再在读入的每行字符的末尾添加字符串结束标记’\0’，再通过atoi（）函数把字符型转换为整型，存放在定义的数组结构中，并保存端口号的总个数。

若是端口范围，则第一个端口号的值和最后一个端口号的值分别读入存放在定义的结构体中。

voidCPortScanDlg:

:

setPort（tag_PORTS*pScanParam,int&ThreadNum）

{

ThreadNum=m_conf_Port.m_ThreadNum;

switch（m_conf_Port.m_Port）

{

case0:

{

shortnCount=0;

charbuff[10];

for（inti=0;i

{

intlen=m_conf_Port.m_DesignPort.GetLine（i,buff,9）;

if（len!

=0）

{

buff[len]='\0';

pScanParam->nArrOfPorts[nCount++]=atoi（buff）;

}

}

pScanParam->nCount=nCount;

pScanParam->bSepecifiedPort=0;

break;

}

case1:

pScanParam->bSepecifiedPort=1;

pScanParam->iStartPort=m_conf_Port.m_StartPort;

pScanParam->iEndPort=m_conf_Port.m_EndPort;

break;

default:

break;

}

3.4.1指定端口号的初始化

首先试着读取DefaultPorts.txt文件中保存的端口号，若读入成功，则显示该文本文档中保存的值；若该文件不存在或读入异常，则显示默认设置的值。

voidconf_Port:

:

ReadDefaultPorts（）

{

try

{

CStdioFilef（"DefaultPorts.txt",CFile:

:

modeRead|CFile:

:

typeText）;

CStrings,ss;

while（f.ReadString（ss））

{

s+=ss;

s+="\r\n";

}

GetDlgItem（IDC_EDIT_DesignPort）->SetWindowText（s）;

f.Close（）;

}

catch（...）

{

CStrings="13\r\n37\r\n123\r\n135\r\n139\r\n489\r\n1002";

GetDlgItem（IDC_EDIT_DesignPort）->SetWindowText（s）;

}

}

3.4.2指定端口号的保存

在运行端口扫描时会将指定端口保存进文本文档DefaultPorts.txt中，若此文件不存在，则创建此文件。

voidconf_Port:

:

SaveDefaultPorts（）

{

CStdioFilef（"DefaultPorts.txt",CFile:

:

modeCreate|CFile:

:

modeWrite|CFile:

:

typeText）;

charbuff[10];

for（inti=0;i

{

intlen=m_DesignPort.GetLine（i,buff,9）;

if（len!

=0）

{

buff[len]='\0';

f.WriteString（buff）;

f.WriteString（"\r\n"）;

}

}

f.Close（）;

}

TCPconnect（）扫描

这是最基本的TCP扫描。

操作系统提供的connect（）系统调用，用来与每一个感兴趣的目标计算机的端口进行连接。

如果端口处于侦听状态，那么connect（）就能成功。

否则，这个端口是不能用的，即没有提供服务。

这个技术的一个最大的优点是，你不需要任何权限。

系统中的任何用户都有权利使用这个调用。

另一个好处就是速度。

如果对每个目标端口以线性的方式，使用单独的connect（）调用，那么将会花费相当长的时间，你可以通过同时打开多个套接字，从而加速扫描。

使用非阻塞I/O允许你设置一个低的时间用尽周期，同时观察多个套接字。

但这种方法的缺点是很容易被发觉，并且被过滤掉。

目标计算机的logs文件会显示一连串的连接和连接是出错的服务消息，并且能很快的使它关闭。

3.5.1基本原理

调用connect（）函数，根据返回值来判断端口是否打开的，connect（）函数返回0说明建立连接成功，说明该端口是打开的，就将该端口保存进静态字符串变量中，然后关闭连接，则线程数减一。

RunThreadNum是用来控制最大线程数量的。

UINTCPortScanDlg:

:

DoScanPort_TCP（LPVOIDlp）

{

………………………

ret=connect（sock,（structsockaddr*）&sin,sizeof（sin））;

if（ret==0）

{

str.Format（"%d",ntohs（sin.sin_port））;

showout_tcp+=str+"|";

}

closesocket（sock）;

RunThreadNum--;

………………………

}

3.5.2扫描多个主机多端口多线程的实现

扫描多个主机是使用for循环来实现逐个扫描的，多端口也是使用for循环来实现逐个扫描的。

最大线程数量是通过变量RunThreadNum的值来控制的，当其值大于允许的最大线程数maxthread时，便Sleep等待，直到存活的线程数小于maxthread，经过测试最大线程数maxthread设置为150效果较好，不宜大于200。

多线程的创建是通过调用AfxBeginThread（）函数来实现的。

for（nowAddr=StartAddr;nowAddr<=EndAddr;nowAddr++）

{

…………………

for（inti=0;i

{

…………………

while（RunThreadNum>maxthread）

{Sleep（20）;}

…………………………hThreadTcp=AfxBeginThread（DoScanPort_TCP,&inforabout,0,0,0,NULL）;

CloseHandle（hThreadTcp）;

Sleep（10）;

}

………………………….

}

3.5.3扫描结果的显示

首先判断静态字符串变量showout_tcp是否为空，若为空说明没有端口是打开的。

若存在打开的端口，则调用分割字符串函数将打开的端口号提取出来存放到Array数组中，再分别显示出来。

if（showout_tcp!

=""）

{

………………………

ArrayNum=Split_CString（showout_tcp,Array,"|"）;

temp=0;

while（temp

{

…………………………m_result.InsertItems（intRow,strId,strIp,strPort,ProtocolTCP,strOpen）;

temp++;

intRow++;

}

}

UDP扫描

这种方法由于使用的是UDP协议。

由于这个协议很简单，所以扫描变得相对比较困难。

这是由于打开的端口对扫描探测并不发送一个确认，关闭的端口也并不需要发送一个错误数据包。

幸运的是，许多主机在你向一个未打开的UDP端口发送一个数据包时，会返回一个ICMP_PORT_UNREACH错误。

这样就能发现哪个端口是关闭的。

UDP和ICMP错误都不保证能到达，因此这种扫描就不那么可靠。

而且这种扫描方法是很慢的，因为RFC对ICMP错误消息的产生速率做了规定，而且本程序的UDP扫描只支持单线程。

3.6.1基本原理

首先使用socket（）函数创建套接字，再用bind（）函数绑定套接字，然后向扫描的目的主机的目的端口发送UDP数据包，再等待目的主机的目的端口是否返回ICMP_PORT_UNREACH错误数据报，若收到返回的错误数据包，则说明该端口是关闭着的，否则该端口是打开的，再将打开的端口保存进静态数组中，以方便显示结果。

UINTCPortScanDlg:

:

DoScanPort_UDP（LPVOIDlp）//UDPporttoscan

{

…………………………

sockfd=socket（AF_INET,SOCK_RAW,IPPROTO_ICMP）;

………………………

if（bind（sockfd,（sockaddr*）&SOURCE_ADDR,sizeof（SOURCE_ADDR））==SOCKET_ERROR）{…………………}

if（retval=dlg.Send_UDPinfo（S_ADDRESS,inet_addr（D_ADDRESS）,Source_Port,PortToScan）==SEND_FAULT）{…………………………}

elseif（retval==SEND_SET_ERROR）{………………………………}

elseif（retval==SEND_OK）

{

if（（retval=dlg.Get_ICMPinfo（sockfd,&DEST_ADDR））==1）

{

str.Format（"%d",PortToScan）;

showout_udp+=str+"|";

}

}

closesocket（sockfd）;

return0;

}

3.6.2计算效验和

首先通过while循环，将各位相加求和，若为奇数个字节，则最后通过if循环将最后一个字节加完，再移位做位运算，最后取反得到效验和，再返回给调用函数。

USHORTCPortScanDlg:

:

checksum（USHORT*buffer,intsize）

{

unsignedlongcksum=0;

while（size>1）

{

cksum+=*buffer++;

size-=sizeof（USHORT）;

}

if（size）

cksum+=*（UCHAR*）buffer;

cksum=（cksum>>16）+（cksum&0xffff）;

cksum+=（cksum>>16）;

return（USHORT）（~cksum）;

}

3.6.3发送UDP数据包

先调用WSASocket（）函数创建sock套接字，再调用setsockopt（）函数设置套接字选项，再将UDP、IP头部填充好，最后调用sendto（）函数将构造的数据包发送到目的IP地址的扫描的端口。

USHORTCPortScanDlg:

:

Send_UDPinfo（UINTS_ADR,UINTD_ADR,USHORTDF_SPT,USHORTSCAN_DPT）

{……………………………………

if（（sock=WSASocket（AF_INET,SOCK_RAW,IPPROTO_IP,NULL,0,WSA_FLAG_OVERLAPPED））==INVALID_SOCKET）{……………………}

if（（Check_Ret=setsockopt（sock,IPPROTO_IP,IP_HDRINCL,（char*）&FLAG,sizeof（FLAG）））<0）{……………}

…………………填充UDP、IP头部………………

Send_info=sendto（sock,Packet_Buf,ipheader->total_len,0,（structsockaddr*）&DEST_ADDR,sizeof（DEST_ADDR））;

closesocket（sock）;

return0;

}

3.6.4接收ICMP数据包

首先定义一个套接字集合，并将其清空，再把读数据的套节字加入到套接字集合中，再通过select（）函数检查套节字是否可读：

1.如果没有则返回1给主调函数，表示没有收到返回的ICMP_PORT_UNREACH错误数据报，则说明该端口是打开的。

2.如果有可读的套接字，就再通过FD_ISSET（）函数检查需要读取的套接字是否在可读的套接字集合中：

（1）如果可读的套接字中没有需要读取的套接字，则返回1给主调函数，表示没有收到返回的ICMP_PORT_UNREACH错误数据报，则说明该端口是打开的。

（2）如果可读的套接字中有需要读取的套接字，则调用recvfrom（）函数从套接口上接收数据，如果没有数据，则说明该套接口不是用来传送数据的，则可以判断为返回的ICMP_PORT_UNREACH错误数据报，则说明该端口是关闭的。

USHORTCPortScanDlg:

:

Get_ICMPinfo（UINTICMP_SOCK,LPSOCKADDR_INSOURCE_ADDRESS）

{

……………………

FD_ZERO（&rset）;

FD_SET（ICMP_SOCK,&rset）;

if（（RECV_MSG=select（ICMP_SOCK,&rset,NULL,NULL,&tv））>0）

{

if（FD_ISSET（ICMP_SOCK,&rset））

{

RECV_MSG=recvfrom（ICMP_SOCK,（char*）&icmpheader,sizeof（I_IPDATA）,0,（LPSOCKADDR）&SOURCE_ADDRESS,&Recv_Slen）;

if（RECV_MSG<=0）

return0;

}

}

return1;

}

测试报告

TCP扫描检测

4.1.1扫描本机

1.IP设置

（1）IP设置为本地IP（10.15.66.158）：

（2）IP设置为127.0.0.1：

2.端口设置为0-1024，最大线程数设置为100，协议选择TCP

3.扫描结果

（1）IP设置为本地IP（10.15.66.158）的扫描结果：

（2）IP设置为127.0.0.1的扫描结果：

设置为扫描本地IP和设置为扫描127.0.0.1时扫描结果会有差别：

扫描127.0.0.1时扫描不出端口139，具体原因还不清楚。

4.1.2扫描网络中其他主机

1.设置IP（经过ping命令发现IP为10.15.66.44的主机能ping通）

2.端口设置为0-1024，最大线程数设置为100，协议选择TCP。

扫描结果如下：

由扫描结果可知能正常扫描，能正确扫描出能进行TCP连接的端口

4.1.3扫描IP段

1.设置IP

2.端口设置为扫