原理
向远端指定服务器的某一个端口提出建立一个连接的请求,如果对方有此项服务,就会应答,如果对方没有此项服务时,对方就无应答。利用这个原理,我们可以指定一些端口,然后针对这些接口分别建立连接,并获取对方是否应答,便可知道对方哪些端口是开放的。
调用socket.connect_ex((ip, port)函数对指定ip和端口发出连接请求,如果返回0则证明该端口是开放的,返回错误代码说明该接口是不开放的。
socket概念
套接字(Socket),就是对网络中不同主机上的应用进程之间进行双向通信的端点的抽象。一个套接字就是网络上进程通信的一端,提供了应用层进程利用网络协议交换数据的机制。从所处的地位来讲,套接字上联应用进程,下联网络协议栈,是应用程序通过网络协议进行通信的接口,是应用程序与网络协议栈进行交互的接口。
socket基本用法
在Python中,我们导入socket包,使用socket()函数来创建套接字
import socket
socket.socket(family, type)
函数socket.socket()创建一个socket套接字,该函数带有两个参数:
- family(地址簇),可供选择的有socket.AF_INET(默认) 为IPv4,socket.AF_INET6,为IPv6,还有socket.AF_UNIX,为UNIX域协议族,只能够⽤于单⼀的Unix系统进程间通信。
- type(socket类型),如socket.SOCK_STREAM为TCP(默认),SOCK_DGRAM为UDP。
socket内建方法如下:
- 服务器端套接字
函数 | 描述 |
---|---|
s.bind() | 绑定地址(host, port)到套接字, 在AF_INET下,以元组(host, port)的形式表示地址。 |
s.listen() | 开始TCP监听。backlog指定在拒绝连接之前,操作系统可以挂起的最大连接数量,该值⾄少为1。 |
s.accept() | 被动接受TCP客户端连接,(阻塞式)等待连接的到来。 |
- 客户端套接字
函数 | 描述 |
---|---|
s.connect() | 主动初始化TCP服务器连接,。⼀般address的格式为元组(hostname,port),如果连接出错,返回socket.error错误。 |
s.connect_ex() | connect()函数的扩展版本,出错时返回出错码,⽽不是抛出异常。 |
- 公共⽤途的套接字函数
函数 | 描述 |
---|---|
s.recv() | 接收TCP数据,数据以字符串形式返回,bufsize指定要接收的最⼤数据 量。flag提供有关消息的其他信息,通常可以忽略。 |
s.send() | 发送TCP数据,将string中的数据发送到连接的套接字。返回值是要发送 的字节数量,该数量可能⼩于string的字节⼤⼩。 |
s.sendall() | 完整发送TCP数据,完整发送TCP数据。将string中的数据发送到连接的 套接字,但在返回之前会尝试发送所有数据。成功返回None,失败则抛出异常。 |
s.recvfrom() | 接收UDP数据,与recv()类似,但返回值是(data,address)。其中data 是包含接收数据的字符串,address是发送数据的套接字地址。 |
s.sendto() | 发送UDP数据,将数据发送到套接字,address是形式为(ipaddr, port)的元组,指定远程地址。返回值是发送的字节数。 |
s.close() | 关闭套接字 |
s.getpeername() | 返回连接套接字的远程地址。返回值通常是元组(ipaddr,port)。 |
s.getsockname() | 返回套接字⾃⼰的地址。通常是⼀个元组(ipaddr,port) 。 |
s.setsockopt(level,optname,value) | 设置给定套接字选项的值。 |
s.getsockopt(level,optname,buflen) | 返回套接字选项的值。 |
s.settimeout(timeout) | 设置套接字操作的超时期,timeout是⼀个浮点数,单位是秒。值为 None表示没有超时期。⼀般,超时期应该在刚创建套接字时设置,因为 它们可能⽤于连接的操作(如connect()) |
s.gettimeout() | 返回当前超时期的值,单位是秒,如果没有设置超时期,则返回None。 s.fileno() |
s.setblocking(flag) | 如果flag为0,则将套接字设为⾮阻塞模式,否则将套接字设为阻塞模式 (默认值)。⾮阻塞模式下,如果调⽤recv()没有发现任何数据,或 send()调⽤⽆法⽴即发送数据,那么将引起socket.error异常。 |
s.makefile() | 创建⼀个与该套接字相关连的⽂件。 |
实现端口扫描
端口扫描是渗透测试中很重要的一步,可以根据开放的端口进行攻击。
现在我们写一个端口扫描程序,为其指定一个要扫描的主机和端口,判断此端口是否开放
import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
ip = '192.168.32.180'
port = 80
res = s.connect_ex((ip, port))
if res == 0: # return is 0, so port open
print('Ip: {} Port: {} IS OPEN'.format(ip, port))
else: # else port is closed
print('Ip: {} Port: {} IS NOT OPEN'.format(ip, port))
这里扫描的主机IP为 192.168.32.180, 端口为80, 运行结果如下:
下面我们将其加上异常捕获,并封装到函数中
import socket
def scan_port(ip, port):
try:
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
# ip = '192.168.32.180'
# port = 80
res = s.connect_ex((ip, port))
if res == 0:
print('Ip: {} Port: {} IS OPEN'.format(ip, port))
else:
print('Ip: {} Port: {} IS NOT OPEN'.format(ip, port))
except Exception as e:
print(e)
finally:
s.close()
ip = '192.168.32.180'
port = 53
scan_port(ip, port)
运行结果如下
下面我们对其进一步优化,将其封装到类中,代码如下
import socket
from datetime import datetime
from multiprocessing.dummy import Pool as ThreadPool
class ScanPort:
def __init__(self):
self.ip = None
def scan_port(self, port):
try:
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
# ip = '192.168.32.180'
# port = 80
res = s.connect_ex((self.ip, port))
if res == 0:
print('Ip: {} Port: {} IS OPEN'.format(self.ip, port))
else:
pass
# print('Ip: {} Port: {} IS NOT OPEN'.format(self.ip, port))
except Exception as e:
print(e)
finally:
s.close()
def start(self):
host = input("please input the host want to scan: ")
# self.ip = host
# print(type(host))
self.ip = socket.gethostbyname(host)
# print(self.ip)
ports = [i for i in range(1, 1025)]
socket.setdefaulttimeout(0.5)
startime = datetime.now()
threads = []
pool = ThreadPool(processes=8)
pool.map(self.scan_port, ports)
pool.close()
pool.join()
print("port scan has done, use time:", datetime.now() - startime)
ScanPort().start()
上面的程序中,将端口扫描封装到类中,可以自定义要扫描的主机域名,迭代扫描1到1025端口号,并引入了线程,加快了运行速度并能计算出具体扫描所用时间。运行结果如下: