Nmap源码分析（端口扫描）

Nmap源码分析（端口扫描）

2012年8月19日

　　端口扫描是Nmap的核心功能，用于确定目标机的端口状态（开放、关闭、过滤等），也为Nmap的服务与版本扫描、OS扫描、脚本扫描提供基本的指引信息。所以，深入理解端口扫描的实现对分析其他的扫描方式很有帮助。

1     简单回顾

　　首先简要回顾一下端口扫描的原理以及命令行选项。

1.1    扫描原理

　　Nmap提供的10多种类型的端口扫描方法，如TCP SYN/ACK/FIN/Xmas/NULL/ Windows/Connect,FTP Bounce, Idle scan, UDP port unreachable/ UDP recv_from, IP protocol,SCTPINIT/SCTP COOKIE ECHO等扫描方式。原理是基于网络数据包的特征或者网络编程API来判定端口的状态。例如，以TCP SYN方式（Nmap的默认的TCP扫描方式）为例来简单地回顾端口扫描原理。

TCP SYN探测到端口关闭：

TCP SYN探测到端口开放：

　　更多扫描原理的细节，请参考电子书：Secrets of NetworkCartography

1.2    端口扫描用法

扫描方式指定选项

-sS/sT/sA/sW/sM:指定使用 TCPSYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫描。

-sU: 指定使用UDP扫描方式确定目标主机的UDP端口状况。 

-sN/sF/sX: 指定使用TCP Null, FIN, and Xmas scans秘密扫描方式来协助探测对方的TCP端口状态。

--scanflags <flags>: 定制TCP包的flags。

-sI <zombiehost[:probeport]>: 指定使用idle scan方式来扫描目标主机（前提需要找到合适的zombie host）

-sY/sZ: 使用SCTP INIT/COOKIE-ECHO来扫描SCTP协议端口的开放的情况。

-sO: 使用IP protocol 扫描确定目标机支持的协议类型。

-b <FTP relay host>: 使用FTP bounce scan扫描方式

端口指定选项

-p <port ranges>: 扫描指定的端口

实例:-p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9（其中T代表TCP协议、U代表UDP协议、S代表SCTP协议）

-F: Fast mode – 快速模式，仅扫描TOP 100的端口

-r: 不进行端口随机打乱的操作（如无该参数，nmap会将要扫描的端口以随机顺序方式扫描，以让nmap的扫描不易被对方防火墙检测到）。

--top-ports <number>:扫描开放概率最高的number个端口（nmap的作者曾经做过大规模地互联网扫描，以此统计出网络上各种端口可能开放的概率。以此排列出最有可能开放端口的列表，具体可以参见文件：nmap-services。默认情况下，nmap会扫描最有可能的1000个TCP端口）

--port-ratio <ratio>: 扫描指定频率以上的端口。与上述--top-ports类似，这里以概率作为参数，让概率大于--port-ratio的端口才被扫描。显然参数必须在在0到1之间，具体范围概率情况可以查看nmap-services文件。

 

详细端口扫描用法介绍

官方手册：http://nmap.org/book/man-port-scanning-techniques.html

2     实现框架