前言
在开发过程中,经常需要确认系统中端口的占用情况,本文将常用的手段做一整理。
主要调试手段
nmap
- Nmap把端口划分为六个状态:
| 状态 | 参数说明 |
| Open | 端口开启,数据有到达主机,有程序在端口上监控 |
| Closed | 端口关闭,数据有到达主机,没有程序在端口上监控 |
| Filtered | 数据没有到达主机,返回的结果为空,数据被防火墙或者是IDS过滤 |
| UnFiltered | 数据有到达主机,但是不能识别端口的当前状态 |
| Open/Filtered | 端口没有返回值,主要发生在UDP、IP、FIN、NULL和Xmas扫描中 |
| Closed/Filtered | 只发生在IP ID idle扫描11 |
- nmap扫描端口举例
nmap -F -n -sTU -v 192.168.0.xx #快速扫描一台主机的著名端口 nmap -F -n -sTU -v 192.168.0.130-168 #快速扫描多台主机的著名端口 nmap -n -sTU -v -p 20-200 192.168.0.xx #扫描20-200段的端口
Zenmap
官方出品的nmap的图形界面版本。
lsof
lsof选项非常多,几乎可替代netstat和ps的全部工作:
usage: [-?abhKlnNoOPRtUvVX] [+|-c c] [+|-d s] [+D D] [+|-f[gG]] [+|-e s] [-F [f]] [-g [s]] [-i [i]] [+|-L [l]] [+m [m]] [+|-M] [-o [o]] [-p s] [+|-r [t]] [-s [p:s]] [-S [t]] [-T [t]] [-u s] [+|-w] [-x [fl]] [--] [names]
- 根据端口查看进程:
lsof -i:port
- 根据进程ID查看端口:
lsof -i | grep pid
netstat
- 根据端口查看进程:
netstat -nap | grep port
- 根据进程ID查看端口 方式一:
netstat -nap | grep pid
ss
- ss是Socket Statistics的缩写,可以用来获取socket统计信息,它可以显示和netstat类似的内容
- 其优势在于它能够显示更多更详细的有关TCP和连接状态的信息,而且比netstat更快速更高效,因为它利用到了TCP协议栈中tcp_diag这个分析统计的模块,可获得Linux内核中第一手的信息,确保了ss的快捷高效。
ss ss -l 显示本地打开的所有端口 ss -pl 显示每个进程具体打开的socket ss -t -a 显示所有tcp socket ss -u -a 显示所有的UDP Socekt ss -o state established '( dport = :smtp or sport = :smtp )' 显示所有已建立的SMTP连接 ss -o state established '( dport = :http or sport = :http )' 显示所有已建立的HTTP连接 ss -x src /tmp/.X11-unix/* 找出所有连接X服务器的进程 ss -s 列出当前socket详细信息:
查看本地打开的端口情况:
[qxhgd@promote ~]$ ss -l Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port nl UNCONN 0 0 rtnl:evolution-calen/2865 * nl UNCONN 0 0 rtnl:packagekitd/2102 * nl UNCONN 0 0 rtnl:1612 *
nc(netcat)
nc与netcat是一回事
nc -nvz 1.1.1.1 1-65535 #所有端口扫描一遍,默认扫描tcp端口 nc -nvzu 1.1.1.1 1-65535 #所有端口扫描一遍,u表示扫描udp端口
ncat
ncat 实际上是 nmap 套件的一部分,号称自己是 nc 的增强版。
一个端口扫描的例子:
nc -v -w 1 192.168.2.10 -z 1-65535 | grep succeeded
sockat
socat是一个多功能的网络工具,名字来由是” Socket CAT”,也号称自己是netcat的加强版。
一个对1.1.1.1的1-65535进行端口扫描的例子:
for PORT in {1..65535}; do echo “aaa” | socat - UDP-DATAGRAM:1.1.1.1:$PORT; sleep .1; done
Dmitry
Dmitry是一个由C语言编写的UNIX/(GNU)Linux命令行工具,它可用于收集主机相关信息,比如子域名、Email地址、系统运行时间信息,也可以进行TCP端口扫描和whois查询等等。
dmitry -p host #对host主机进行tcp端口扫描
masscan
- 号称最快的互联网端口扫描器,一个例子 :
masscan --ports 1-10000 192.168.1.131 --adapter-ip 192.168.1.1
AutoRecon
- AutoRecon是一款信息收集工具,使用方法比较简单,只需要autoreon ip就可以自动联动nmap, gobuster, nikto,如果有smb服务的话也会顺便联动smbclient之类的工具。
- 可同时多目标扫描、支持IP地址、IP范围、主机名等,支持多处理器;
- 可灵活配置端口扫描参数;
其他手段
通过linux系统命令组合查看
- 查看tcp连接情况情况:
[qxhgd@localhost ~]$ cat /proc/net/tcp 6: 017AA8C0:0035 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 25145 1 ffff9e8a58cc6e80 100 0 0 10 0
- 以53端口为例,查找端口占用的fd
[qxhgd@localhost]$ for file in /proc/*/fd;do r=$(ls -l $file|grep 53);if [ "$r" != "" ]; > then echo $file && break;fi;done /proc/1288/fd
- 配合ps,可查看到具体占用端口的进程了:
ps -aef | grep 1288 root 1288 1 0 21:18 ? 00:00:00 /usr/sbin/smbd --foreground --no-process-group
编码尝试socket连接
如下面的python代码段,用于判断tcp端口占用情况
#!/usr/bin/env python # -*- coding:utf-8 -*- import socket socket.setdefaulttimeout(3) #设置默认超时时间 def socket_port(ip, port): """ 输入IP和端口号,扫描判断端口是否占用 """ try: if port >=65535: print u'端口扫描结束' return s=socket.socket(socket.AF_INET, socket.SOCK_STREAM) result=s.connect_ex((ip, port)) if result==0: lock.acquire() print ip,u':',port,u'端口已占用' lock.release() except: print u'端口扫描异常'
