前言
在开发过程中,经常需要确认系统中端口的占用情况,本文将常用的手段做一整理。
主要调试手段
nmap
- Nmap把端口划分为六个状态:
| 状态 | 参数说明 |
|---|---|
| Open | 端口开启,数据有到达主机,有程序在端口上监控 |
| Closed | 端口关闭,数据有到达主机,没有程序在端口上监控 |
| Filtered | 数据没有到达主机,返回的结果为空,数据被防火墙或者是IDS过滤 |
| UnFiltered | 数据有到达主机,但是不能识别端口的当前状态 |
| Open/Filtered | 端口没有返回值,主要发生在UDP、IP、FIN、NULL和Xmas扫描中 |
| Closed/Filtered | 只发生在IP ID idle扫描11 |
- nmap扫描端口举例
nmap -F -n -sTU -v 192.168.0.xx #快速扫描一台主机的著名端口
nmap -F -n -sTU -v 192.168.0.130-168 #快速扫描多台主机的著名端口
nmap -n -sTU -v -p 20-200 192.168.0.xx #扫描20-200段的端口
Zenmap
官方出品的nmap的图形界面版本。
lsof
lsof选项非常多,几乎可替代netstat和ps的全部工作:
usage: [-?abhKlnNoOPRtUvVX] [+|-c c] [+|-d s] [+D D] [+|-f[gG]] [+|-e s]
[-F [f]] [-g [s]] [-i [i]] [+|-L [l]] [+m [m]] [+|-M] [-o [o]] [-p s]
[+|-r [t]] [-s [p:s]] [-S [t]] [-T [t]] [-u s] [+|-w] [-x [fl]] [--] [names]
- 根据端口查看进程:
lsof -i:port
- 根据进程ID查看端口:
lsof -i | grep pid
netstat
- 根据端口查看进程:
netstat -nap | grep port
- 根据进程ID查看端口 方式一:
netstat -nap | grep pid
ss
- ss是Socket Statistics的缩写,可以用来获取socket统计信息,它可以显示和netstat类似的内容
- 其优势在于它能够显示更多更详细的有关TCP和连接状态的信息,而且比netstat更快速更高效,因为它利用到了TCP协议栈中tcp_diag这个分析统计的模块,可获得Linux内核中第一手的信息,确保了ss的快捷高效。
ss
ss -l 显示本地打开的所有端口
ss -pl 显示每个进程具体打开的socket
ss -t -a 显示所有tcp socket
ss -u -a 显示所有的UDP Socekt
ss -o state established '( dport = :smtp or sport = :smtp )' 显示所有已建立的SMTP连接
ss -o state established '( dport = :http or sport = :http )' 显示所有已建立的HTTP连接
ss -x src /tmp/.X11-unix/* 找出所有连接X服务器的进程
ss -s 列出当前socket详细信息:
查看本地打开的端口情况:
[qxhgd@promote ~]$ ss -l
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port
nl UNCONN 0 0 rtnl:evolution-calen/2865 *
nl UNCONN 0 0 rtnl:packagekitd/2102 *
nl UNCONN 0 0 rtnl:1612 *
nc(netcat)
nc与netcat是一回事
nc -nvz 1.1.1.1 1-65535 #所有端口扫描一遍,默认扫描tcp端口
nc -nvzu 1.1.1.1 1-65535 #所有端口扫描一遍,u表示扫描udp端口
ncat
ncat 实际上是 nmap 套件的一部分,号称自己是 nc 的增强版。
一个端口扫描的例子:
nc -v -w 1 192.168.2.10 -z 1-65535 | grep succeeded
sockat
socat是一个多功能的网络工具,名字来由是” Socket CAT”,也号称自己是netcat的加强版。
一个对1.1.1.1的1-65535进行端口扫描的例子:
for PORT in {1..65535};
do echo “aaa” | socat - UDP-DATAGRAM:1.1.1.1:$PORT;
sleep .1; done
Dmitry
Dmitry是一个由C语言编写的UNIX/(GNU)Linux命令行工具,它可用于收集主机相关信息,比如子域名、Email地址、系统运行时间信息,也可以进行TCP端口扫描和whois查询等等。
dmitry -p host #对host主机进行tcp端口扫描
masscan
- 号称最快的互联网端口扫描器,一个例子 :
masscan --ports 1-10000 192.168.1.131 --adapter-ip 192.168.1.1
AutoRecon
- AutoRecon是一款信息收集工具,使用方法比较简单,只需要autoreon ip就可以自动联动nmap, gobuster, nikto,如果有smb服务的话也会顺便联动smbclient之类的工具。
- 可同时多目标扫描、支持IP地址、IP范围、主机名等,支持多处理器;
- 可灵活配置端口扫描参数;
fuser
- fuser是一个用于查找并显示使用指定文件或套接字的进程的工具。与lsof相比,fuser的输出更为简洁,通常只显示进程ID。
- 查找使用特定文件的进程:
fuser /path/to/file
- 查找使用特定套接字的进程:
fuser -n tcp 8080
- 强制杀死使用文件的进程:
fuser -k /path/to/file
- 杀掉使用/path/to/file的进程:
lsof /path/to/file | grep -o 'PID' | xargs fuser -k
其他手段
通过linux系统命令组合查看
- 查看tcp连接情况情况:
[qxhgd@localhost ~]$ cat /proc/net/tcp
6: 017AA8C0:0035 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 25145 1 ffff9e8a58cc6e80 100 0 0 10 0
- 以53端口为例,查找端口占用的fd
[qxhgd@localhost]$ for file in /proc/*/fd;do r=$(ls -l $file|grep 53);if [ "$r" != "" ];
> then echo $file && break;fi;done
/proc/1288/fd
- 配合ps,可查看到具体占用端口的进程了:
ps -aef | grep 1288
root 1288 1 0 21:18 ? 00:00:00 /usr/sbin/smbd --foreground --no-process-group
编码尝试socket连接
如下面的python代码段,用于判断tcp端口占用情况
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import socket
socket.setdefaulttimeout(3) #设置默认超时时间
def socket_port(ip, port):
"""
输入IP和端口号,扫描判断端口是否占用
"""
try:
if port >=65535:
print u'端口扫描结束'
return
s=socket.socket(socket.AF_INET, socket.SOCK_STREAM)
result=s.connect_ex((ip, port))
if result==0:
lock.acquire()
print ip,u':',port,u'端口已占用'
lock.release()
except:
print u'端口扫描异常'
相关参考资料
如本文对你有些许帮助,欢迎打赏:
支付宝打赏链接
扫一扫
793
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
