Nmap常见扫描方式流量分析

最新推荐文章于 2025-04-09 02:58:17 发布
最新推荐文章于 2025-04-09 02:58:17 发布
阅读量3.3k 收藏 14
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OpenSkill/article/details/107218845
版权

Nmap常见扫描方式流量分析

环境说明

扫描者:manjaro linux, IP地址:192.168.31.160

被扫描者:centos 7,IP地址:192.168.31.175

分析工具:wireshark

nmap 版本:version 7.80

TCP 知识回顾

这里对TCP的三次握手知识进行简单的回顾,方便后面理解Nmap的扫描流量

关于TCP协议相关内容看:http://networksorcery.com/enp/default.htm


「Source Port」:源端口

「Destination Port」:目的端口

「Sequence Number」:序列号。

「Acknowledgment Number」:确认号

「Control Bits」:包含一下几种(这几个字段这里要有印象,后续关于nmap的扫描都和这里会有关系):

字段含义
URG紧急指针是否有效。如果设置1,用于通知接收数据方在处理所有数据包之前处理紧急数据包
ACK确认号是否有效。用于确认主机成功接收数据包。如果「Acknowledgment Number」包含有效的确认号码,则设置ACK标志为。例如tcp三次握手的第二步,发送ACK=1和SYN=1 ,就是告知对方它已经收到初始包
PSH强制将数据压入缓冲区
RST连接重置
SYN表示建立连接
FIN表示关闭连接

下图是TCP三次握手的过程:


SYN 扫描

Nmap 的默认扫描方式就是SYN扫描,在192.168.31.160 执行如下命令进行扫描:

➜ sudo nmap -p22 192.168.31.175
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-04 11:45 CST
Nmap scan report for 192.168.31.175
Host is up (0.00044s latency).

PORT   STATE SERVICE
22/tcp open  ssh
MAC Address: 4C:1D:96:FC:4D:E2 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.38 seconds

192.168.31.175 进行tcpdump 命令进行抓包:tcpdump -i any -w syn_scan.pcap,  下面是通过wiresharkfen分析数据包分析截图:


从获取的流量可以很容易看到,这种扫描的的方式是在三次握手的最后一步没有回复正常的ACK,而是发送了RST

nmap 利用客户端回SYN,ACK 的这个数据包其实就已经知道22这个端口是开放的,如果我们扫描一个没有开放的端口:

➜  sudo nmap -p999 192.168.31.175 
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-06 22:08 CST
Nmap scan report for 192.168.31.175
Host is up (0.00034s latency).

PORT   STATE  SERVICE
999/tcp closed http
MAC Address: 4C:1D:96:FC:4D:E2 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.34 seconds

同样我们看一下在192.168.31.175 上抓的数据包的情况,被扫描主机直接回复RST,ACK断开连接,namp从而知道被扫描端口是关闭的,数据包如下:

全连接扫描

nmap也可以进行全连接扫描,也就是完成完整的三次握手,当然这种扫描方式的效率是不如SYN扫描的

nmap -sT -p端口 目标主机

NULL扫描

是将一个没有设置任何标志位的数据包发送给TCP端口,在正常的通信中至少要设置一个标志位。

根据FRC 793的要求,「在端口关闭的情况」下,若收到一个没有设置标志位的数据字段,那么主机应该舍弃这个分段,并发送一个RST数据包,否则不会响应发起扫描的客户端计算机。

也就是说,如果TCP端口处于关闭则响应一个RST数据包,若处于开放则无相应。但是应该知道理由NULL扫描要求所有的主机都符合RFC 793规定,但是windows系统主机不遵从RFC 793标准,且只要收到没有设置任何标志位的数据包时,不管端口是处于开放还是关闭都响应一个RST数据包。但是基于Unix(nix,如Linux)遵从RFC 793标准,所以可以用NULL扫描。经过上面的分析,我们知道NULL可以辨别某台主机运行的操作系统是什么操作系统,是为windows呢?还是unix/linux?

NULL的扫描命令参数:nmap -sN

➜  sudo nmap -sN -p22 192.168.31.175  
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-06 22:30 CST
Nmap scan report for 192.168.31.175
Host is up (0.00022s latency).

PORT   STATE         SERVICE
22/tcp open|filtered ssh
MAC Address: 4C:1D:96:FC:4D:E2 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.67 seconds
➜ sudo nmap -sN -p999 192.168.31.175
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-06 22:30 CST
Nmap scan report for 192.168.31.175
Host is up (0.00042s latency).

PORT    STATE  SERVICE
999/tcp closed garcon
MAC Address: 4C:1D:96:FC:4D:E2 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.34 seconds
➜  share scp root@192.168.31.175:/root/null.pcap ./     
root@192.168.31.175's password: 
null.pcap                             100% 5188    10.4MB/s   00:00 

分别扫描了一个开放的端口22 和未开放的端口999,下面的数据包中,可以看到,发送的第一个TCP包中「Control Bits」的所有Flags都没有设置,而开发的22端口没有收到任何回复,而关闭的端口,收到了一个RST数据包,nmap也是通过这种方式来判断端口是否开放。当然这种判断对于windows是不准确的了。

null的扫描流量特征还是非常明显的,很容易通过流量分析知道正在被进行null扫描。

FIN扫描

FIN 原理:

与NULL有点类似,只是FIN为指示TCP会话结束,在FIN扫描中一个设置了FIN位的数据包被发送后,若响应RST数据包,则表示端口关闭,没有响应则表示开放。此类扫描同样不能准确判断windows系统上端口开放情况。

FIN扫描命令参数:nmap -sF

➜ sudo nmap -sF -p22 192.168.31.175       
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-06 22:46 CST
Nmap scan report for 192.168.31.175
Host is up (0.00014s latency).

PORT   STATE         SERVICE
22/tcp open|filtered ssh
MAC Address: 4C:1D:96:FC:4D:E2 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.61 seconds
➜ sudo nmap -sF -p999 192.168.31.175
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-06 22:46 CST
Nmap scan report for 192.168.31.175
Host is up (0.00028s latency).

PORT    STATE  SERVICE
999/tcp closed garcon
MAC Address: 4C:1D:96:FC:4D:E2 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.36 seconds

对比null扫描,就可以看出来,FIN扫描是发送一个设置FIN的数据包,同样的如果是linux系统,收到这个如果没有收到RST则认为端口是开放的,收到RST则表示端口没有开发,windows依然无法判断。

XMAS-TREE扫描

扫描原理:

XMAS扫描原理和NULL扫描的类似,将TCP数据包中的URG、PSH、FIN标志位置1后发送给目标主机。在目标端口开放的情况下,目标主机将不返回任何信息

和NULL扫描正好相反,XMAS扫描会把所有的标志为都设置

XMAS-TREE扫描命令参数:nmap -sX

➜ sudo nmap -sX -p22 192.168.31.175
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-06 22:53 CST
Nmap scan report for 192.168.31.175
Host is up (0.00028s latency).

PORT   STATE         SERVICE
22/tcp open|filtered ssh
MAC Address: 4C:1D:96:FC:4D:E2 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.55 seconds
➜ sudo nmap -sX -p999 192.168.31.175
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-06 22:54 CST
Nmap scan report for 192.168.31.175
Host is up (0.00021s latency).

PORT    STATE  SERVICE
999/tcp closed garcon
MAC Address: 4C:1D:96:FC:4D:E2 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.34 seconds

还是扫描开放的22端口和未开放的999端口,可以看到Xmas扫描会发送一个FIN,PSH,URG被设置的数据包,同样如果是linux系统可以根据是否收到RST包进行判断端口是否开放,windows无法进行判断

延伸阅读

  • http://www.ruanyifeng.com/blog/2017/06/tcp-protocol.html

  • http://networksorcery.com/enp/default.htm

后场技术
关注
Nmap源码分析(服务与版本扫描
墨痕诉清风的博客
06-24 2482
在进行端口扫描后,Nmap可以进一步探测出运行在端口上的服务类型及应用程序的版本。目前Nmap可以识别几千种服务程序的签名(Signature),覆盖了180种应用协议。比如,端口扫描检测到80端口是开放的,可以通过服务与版本扫描来确定其实际运行的协议(正常情况下是HTTP)及Web服务器名称及版本(比如是Apache xxx.xxx或者Microsoft IIS等)。
Nmap流量分析和入侵检测绕过
江湖
01-22 4106
最近产品提了个新需求,需要检测端口扫描行为,提到端口扫描必须绕不开端口扫描之王——Nmap。所以除了基于流量五元组统计建立统计模型的检测方案之外,识别Nmap流量特征就成了关键了。 Nmap是网络安全人员常用的信息收集工具,主要用来探测主机、扫描端口和服务,内置了扫描方式。每种方式的工作原理不同,其数据包和通讯特征也不尽相同。 端口扫描,通常是指在信息收集阶段利用TCP、UDP等方式,去检测操作系统类型及开放的服务,为进一步的攻击做好准备。通常蠕虫病毒、网络攻击等常见的影响网络安全的行为,都是从扫
Nmap扫描工具流量特征
m0_62207482的博客
03-28 1216
但是User-Agent可以被修改,如果被修改的话,我们可以通过告警的次数进行判断(同一源IP),看是否是量的扫描告警,来进行进一步判断。如果Nmap扫描探测服务过程中如有HTTP协议,则User-Agent也会有明显的特征。例如会出现nmap关键字。
Nmap完整使用教程(超详细)
最新发布
wrjhs的博客
04-09 3462
Nmap是网络安全的“瑞士军刀”,从基础的端口扫描到高级的漏洞利用,其功能覆盖渗透测试全流程。掌握本文内容后,可尝试结合MetasploitWireshark等工具构建完整攻防实验环境。如需完整脚本代码或更案例,请访问Nmap官方文档或参考文末扩展阅读。要注意的是,在未经他人允许的情况下,扫描他人网络可能违法,本文章只用于教学目的,不可用于违法活动,否则后果自负。
Nmap报文流量分析详解
weixin_43472459的博客
09-02 1859
这6种状态的定义只存在于namp中,不能保证一定是准确的。为什么介绍nmap因为它对端口划分的粒度可以说是最细的,对渗透和安全审计人员来说具有较高的参考价值。Open(端口处于开放状态)这种状态可以理解为该端口上有服务正在进行监听,所以它需要开放这个端口用来建立连接或是数据传输。对黑客和系统管理员来说这样的端口都是重点关注的对象。Closed(端口处于关闭状态)这种状态只能证明该端口上没有服务在监听,但这个端口我们其实是可以访问到的,并且它随时有可能进入到开放的状态。
nmap流量分析
m0_43406494的博客
10-15 4197
################ nmap流量分析.md #################### 1.-sA -sA参数启动TCP ACK Scan,向目标各个端口发送设置了ACK位的TCP包。 若是目标回复RST包,则说明目标端口没有被防火墙屏蔽掉, 若是目标回复ICMP不可达报文或者没有回复则说明被防火墙屏蔽了。 -sA.pcap文件中有量的ACK包,而且端口号不同,验证了Nmap的ACK Scan的工作原理。 2.-sS -sS参数启...
取证流量包分析——Nmap 流量包分析
lxxl666的博客
12-20 1748
通过可以发现流量中发现很Nmap关键字,确定是Nmap流量分析题。
Nmap常见安全扫描技巧与方法
# 1. Nmap安全扫描简介 ## 1.1 Nmap工具概述 Nmap(Network Mapper)是一款网络扫描和安全评估工具,能够帮助管理员识别目标网络中的主机、服务和...Nmap通过发送精心构造的数据包到目标主机,并分析返回的响应来获取
用mimiktz和nmap进行网络扫描
06-15
结合wireshark抓包工具,我们可以更深入地理解nmap各种扫描选项的工作原理,观察网络流量,识别扫描过程中产生的不同封包类型和响应,这对于理解和优化扫描策略至关重要。 总的来说,mimiktz和nmap在网络扫描中发挥...
Nmap端口扫描指南之Idle Scan
热门推荐
Coisini的博客
06-17 2万+
TCP Idle Scan (-sI) 1998年,安全研究员Antirez(曾参与编辑nmap中有关hping2工具的相关文章)在Bugtraq邮件列表中发布了一篇关于新的端口扫描技术的文章。Idle Scan,也就慢慢的为众人所了解,它允许进行完全盲目的端口扫描。事实上,攻击者可以不用向目标发送数据包就完成扫描工作!相反,用猥琐的边信道攻击是能够让扫描映射到一个Zombie主机上的。除了极...
Nmap流量分析
weixin_72667582的博客
12-14 1105
当发包到关闭的UDP端口时,目标服务器会使用ICMP包进行响应,其中包含端口无法访问的信息,标记为closed。TCP是完整的三次握手,SYN扫描是从目标服务器收到SYN/ACK后发回RST包,防止服务器重复尝试发出请求。Xmas扫描时发送TCP请求时带上错误的PSH,URG,FIN标志,如果端口关闭,目标服务器响应RST。如果nmap发送了SYN请求,目标服务器使用SYN/ACK进行响应,那么就判定端口打开。FIN扫描时发送TCP请求时带上FIN标志,如果端口关闭,目标服务器响应RST。
nmap流量分析文章中被分析的流量
10-15
nmap流量分析文章中被分析的流量
nmap 扫描端口 + iftop 实时监控流量
weixin_30902251的博客
07-13 383
sleep 1|telnet 127.0.0.1 223 nmap 127.0.0.1 -p 223 -PN (对禁ping IP) iftop -P -n -B -B 按字节显示 -N 切换 端口或者服务 右下方显示的时间:过去2秒,10秒,40秒的数据 一般重点关注本地服务端口,这有利于查找对应服务,按D,或者S 切换 参考:http://www.3mu.me/lin...
目录扫描端口扫描流量特征
m0_51171450的博客
05-28 1832
参加护网面试时被问到了这个问题。之前没有研究过,回答得不太全面,在这里总结一下。
网络扫描工具nmap
weixin_30802171的博客
06-22 502
nmap一般就用来扫描主机是否在线(特别是扫描局域网内存活的机器)、开放了哪些端口。其他的功能用的比较少,做渗透的人可能要了解的些。 1.1 选项说明 nmap需要自行安装。 shell> yum -y install nmap 使用nmap -h可以查看选项和用法。选项非常,这是功能强的工具带来的必然结果,但简单使用并用不到几个选项。 Usage: nmap [...
Nmap流量特征修改(NTA、IDS、IPS、流量审计)
墨痕诉清风的博客
03-29 1826
0x01 前言 nmap是渗透中尝尝用到的工具之一,在信息收集阶段经常用到,现在主流的流量分析设备也将其流量加入了特征库, 为了防止在探测阶段IP就被封掉,对其的流量特征做一些简单的修改有点用的。 由于没有厂商设备检测,故以下只是学习记录一下思路。具体效果还待验证。 参考链接 如何修改nmap, 重新编译,bypass emergingthreats 的公开ids规则: https://xz.aliyun.com/t/6002 nmap端口扫描技术: https://nmap.org/man
Nmap到Fscan:端口扫描工具的流量指纹揭秘,零基础入门到精通,收藏这一篇就够了
Javachichi的博客
09-11 2146
通过对常见安全工具扫描特征的深入分析,我们不仅加深了对攻击技术的理解,也为防御方提供了一系列实用的对抗手段。但需要注意的是,攻防技术始终在不断演进,今天有效的检测规则明天可能就会失效。因此,我们要保持持续学习和更新的态度,不断完善我们的防御体系。安全永远是一场没有终点的马拉松,让我们携手并进,共同维护网络空间的安全!希望本文能为家在安全建设中提供一些思路和启发。如果你有任何问题或见解,欢迎在评论区留言交流。让我们一起在这个充满挑战和机遇的领域中不断成长!黑客&网络安全如何学习1.学习路线图。
Linux网络命令:nmap扫描主机(详细查看远程主机的信息)
weixin_70208651的博客
04-30 5152
nmap即Network Mapper,是一个开源的网络探测和安全审核的工具。它用于扫描网络上开放的网络端口,从而帮助管理员发现网络服务,并且可以用于安全审计,以识别网络上的安全风险。nmap工具可以提供关于目标主机操作系统、运行服务、网络配置以及其他相关信息。通过nmap可以获取主机的开放的端口和服务,“-A”选项会启用操作系统检测、版本检测、脚本扫描和traceroute等。
Nmap 主机发现
看着博客敲代码
01-22 1693
前言 在网络收集中最重要的发现主机,也就是筛选出活跃的主机或主机列表。举个例子 : 主机发现就像是去别人家拜访一样,总是要敲门询问家中主任是否在家,如果得到回应则说明家中有人,如果经过一段时间没有回应,则表示 关于Nmap 简介与安装 就不说了 可以看此篇文章。 ......
nmap端口扫描与防御
02-11
### nmap端口扫描的技术细节 #### 端口扫描的目的 为了理解为什么需要关注特定的端口,可以回顾一下网络安全实践中的基本概念。端口扫描的主要目的是识别目标机器上开放的服务和应用程序接口。这不仅有助于攻击者寻找潜在的安全漏洞,也是合法渗透测试的重要组成部分[^2]。 #### 主流的nmap端口扫描方法 ##### TCP连接扫描 (`-sT`) 这是最基础也最常见扫描方式之一。它通过建立完整的TCP三次握手来确认指定端口的状态。这种方法虽然简单有效,但由于其明显的特征容易被防火墙或入侵检测系统发现并记录。 ```bash nmap -sT target_ip_address ``` ##### SYN半开扫描 (`-sS`) SYN扫描是一种更隐蔽的方式,因为它只发送SYN包而不完成整个TCP连接过程。这种方式减少了被监测的可能性,因为没有实际的数据传输发生。然而,现代IDS仍然能够识别这种模式下的活动。 ```bash nmap -sS target_ip_address ``` ##### ACK扫描 (`-sA`) ACK扫描主要用于探测防火墙规则集。当向关闭的端口发送带有ACK标志位的数据包时,如果收到RST回复,则说明该端口处于过滤状态;反之则表示未受保护。 ```bash nmap -sA target_ip_address ``` ##### UDP扫描 (`-sU`) 不同于TCP协议,默认情况下许服务不会回应UDP请求,因此这类扫描往往耗时较长且结果不够精确。不过对于某些依赖于UDP的应用程序而言仍然是必要的检查手段。 ```bash nmap -sU target_ip_address ``` ##### 版本检测 (`-sV`) 除了简单的端口状态查询外,版本检测还可以获取运行在各个端口背后的具体应用软件及其版本号等信息。这对于评估系统的脆弱程度非常有帮助。 ```bash nmap -sV target_ip_address ``` --- ### 防御措施 针对上述提到的各种类型的端口扫描行为,可以从以下几个方面着手加强防护: #### 使用防火墙与访问控制列表(ACL) 配置合适的iptables规则可以帮助阻止恶意流量进入内部网络环境。例如拒绝那些具有不正常TCP标志组合的数据包可以有效地减少来自外部威胁的风险[^4]。 ```bash iptables -t filter -I INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j REJECT iptables -t filter -I INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j REJECT iptables -t filter -I INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j REJECT iptables -t filter -I INPUT -p tcp --tcp-flags ALL SYN -j REJECT ``` #### 实施入侵检测/预防系统(NIDS/IPDS) 部署专业的NIDS/NIPS解决方案可以在第一时间察觉可疑活动并向管理员发出警报。此类工具通常具备强的数据分析能力和实时响应机制,能够在不影响业务连续性的前提下提供有效的安全保障[^3]. #### 应用层加固 确保所有对外提供的服务都经过充分验证,并及时更新补丁以修复已知缺陷。同时考虑采用最小权限原则仅开启必需的功能模块和服务端口,从而缩小暴露面降低风险水平。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值