SuperScan使用详解.doc

对一个网络管理员或者网络攻击者而言，一款好的扫描软件是必不可少的。随着互联网的逐步普及，各种各样的扫描软件也就传播开来，随便去一个软件下载站点看一看，扫描软件至少有几百个，但是，这么多软件我们可以用到多少？这些软件到底功能如何？对一般的使用者而言，太多的软件反而是一个麻烦，因为不知道怎样选择！一款好的扫描软件应该具备一下功能：1）功能强大；这里指的功能强大不是指功能很多，而是指软件提供的功能都可以取得很好的效果；2）尽量在一个相同的领域做到全面；比如，扫描系统漏洞的软件最好兼顾该系统的所有版本和大部分常见漏洞；3）负责的编写者；软件推出以后，万事大吉的编写者大有人在，看看软件的升级历史就可以知道编写者是不是负责的。根据这个标准，我们可以选择一些比较好的扫描软件，这里，我专门介绍一款IP和端口扫描软件：大名鼎鼎的SuperScan。对于SuperScan，可能我们一直有一个误会，以为它只是一个端口扫描软件，其实，除了端口扫描，它还有很多其他功能，现在我们来具体看看。一、SuperScan功能介绍SuperScan具有以下功能：1） 通过Ping来检验IP是否在线；2） IP和域名相互转换；3） 检验目标计算机提供的服务类别；4） 检验一定范围目标计算机的是否在线和端口情况；5） 工具自定义列表检验目标计算机是否在线和端口情况；6） 自定义要检验的端口，并可以保存为端口列表文件；7） 软件自带一个木马端口列表trojans.lst，通过这个列表我们可以检测目标计算机是否有木马；同时，我们也可以自己定义修改这个木马端口列表，更多的木马列表可以参考以下网址：/20011017/201151.shtml我们可以看出，这款软件几乎将与IP扫描有关的所有功能全部做到了，而且，每一个功能都很专业。二、下载安装SuperScan的最新版本可以在以下网址下载：/home2/efocus/aqgj-index.htm直接解压就可以使用，没有安装程序，是一款绿色软件。三、软件具体使用在使用软件之前，我们先来看看软件的全貌（图一）图一 界面比较复杂，我们根据共享功能来介绍使用。一）域名（主机名）和IP相互转换这个功能的作用就是取得域名比如：163.com的IP；或者根据IP：7取得域名。在SuperScan里面，有两种方法来实现此功能：（1）通过Hostname Lookup来实现（如图二）图二 在Hostname Lookup的输入框输入需要转换的域名或者IP，按【LookUp】就可以取得结果。如果需要取得自己计算机的IP，可以点击【Me】按钮来取得；同时，也可以取得自己计算机的IP设置情况，点击【InterFaces】取得本地IP设置情况（图三）。图三 （2）通过Extract From File实现这个功能通过一个域名列表来转换为相应IP地址。选择【Extract from file】，点击【-】按钮，选择域名列表，进行转换，出现以下界面（图四）：图四 二）Ping功能的使用Ping主要目的在于检测目标计算机是否在线和通过反应时间判断网络状况。如图五，在【IP】的【Start】填入起始IP，在【Stop】填入结束IP，然后，在【Scan Type】选择【Ping only】，按【Start】就可以检测了。图五 在以上的设置中，我们可以使用以下按钮达到快捷设置目的：选择【Ignore IP zreo】可以屏蔽所有以0结尾的IP；选择【Ignore IP 255】可以屏蔽所有以255结尾的IP；点击【PrevC】可以直接转到前一个C网段；选择【NextC】可以直接转到后一个C网段；选择【1.254】直接选择整个网段。同样，也可以在【Extract From File】通过域名列表取得IP列表。在Ping的时候，可以工具网络情况在【Timeout】设置相应的反应时间。一般采用默认就可以了，而且，SuperScan速度非常快，结果也很准确，一般没有必要改变反应时间设置。三）端口检测端口检测可以取得目标计算机提供的服务，同时，也可以检测目标计算机是否有木马。现在，我们来看看端口检测的具体使用。（1）检测目标计算机的所有端口如果检测的时候没有特定的目的，只是为了了解目标计算机的一些情况，可以对目标计算机的所有端口进行检测。一般不提倡这种检测，因为：1）它会对目标计算机的正常运行造成一定影响，同时，也会引起目标计算机的警觉；2）扫描时间很长；3）浪费带宽资源，对网络正常运行造成影响。在【IP】输入起始IP和结束IP，在【Scan Type】选择最后一项【All Ports From 1 to 65535】，如果需要返回计算机的主机名，可以选择【Resolve Hostnem】，按【Start】开始检测。（图六）图六 上图是对一台目标计算机所有端口进行扫描的结果，扫描完成以后，按【Expand all】展开，可以看到扫描的结果。我们来解释一下以上结果：第一行是目标计算机的IP和主机名；从第二行开始的小圆点是扫描的计算机的活动端口号和对该端口的解释，此行的下一行有一个方框的部分是提供该服务的系统软件。【Active hosts】显示扫描到的活动主机数量，这里只扫描了一台，为1；【Open ports】显示目标计算机打开的端口数，这里是10。（2）扫描目标计算机的特定端口（自定义端口）其实，大多数时候我们不需要检测所有端口，我们只要检测有限的几个端口就可以了，因为我们的目的只是为了得到目标计算机提供的服务和使用的软件。所以，我们可以工具个人目的的不同来检测不同的端口，大部分时候，我们只要检测80（web服务）、21（FTP服务）、23（Telnet服务）就可以了，即使是攻击，也不会有太多的端口检测。点击【Port list setup】，出现端口设置界面（图七）：图七 以上的界面中，在【Select ports】双击选择需要扫描的端口，端口前面会有一个的标志；选择的时候，注意左边的【Change/Add/Delete port info】和【Helper apps in right-click menu】，这里有关于此端口的详细说明和所使用的程序。我们选择21、23、80、三个端口，然后，点击【save】按钮保存选择的端口为端口列表。【ok】回到主界面。在【Scan Type】选择【All selected port in list】，按【Start】开始检测。使用自定义端口的方式有以下有点：1） 选择端口时可以详细了解端口信息；2） 选择的端口可以自己取名保存，有利于再次使用；3） 可以工具要求有的放矢的检测目标端口，节省时间和资源；4） 根据一些特定端口，我们可以检测目标计算机是否被攻击者利用，种植木马或者打开不应该打开的服务；（3）检测目标计算机是否被种植木马自从BO出现以后，国内最有影响的是冰河木马，然后，出现很多功能类似的木马，比如：网络神偷、NetBull等。针对木马，现在有很多清除工具，除了一般的杀毒软件以外，还可以使用专门清除木马的TheCleaner（下载：/home2/efocus/aqgj-index.htm）等软件。如果只是对木马的检测，我们完全用SuperScan来实现，因为所有木马都必须打开一定的端口，我们只要检测这些特定的端口就可以知道计算机是否被种植木马。在主界面选择【Port list setup】，出现端口设置界面，点击【Port list files】的下拉框选择一个叫trojans.lst的端口列表文件（图八），这个文件是软件自带的，提供了常见的木马端口，我们可以使用