取证流量包分析——Nmap 流量包分析

最新推荐文章于 2024-04-29 09:53:13 发布
最新推荐文章于 2024-04-29 09:53:13 发布
阅读量1.2k 收藏 25
点赞数 18
文章标签: 网络 tcp/ip 网络协议 网络安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxxl666/article/details/135117433
版权

取证流量包分析——Nmap 流量包分析

通过tcp contains "nmap"可以发现流量中发现很多Nmap关键字,确定是Nmap流量分析题。

image-20231220192845962

常用的Nmap扫描端口的命令示例:

  1. TCP SYN 扫描(也称为半开放扫描):这是Nmap默认的扫描方式,发送TCP SYN包来探测端口是否开放。

    nmap -sS target_ip

  2. TCP Connect 扫描:这种扫描方式通过建立完整的TCP连接来检测端口是否开放,速度较慢但更可靠。

    nmap -sT target_ip

  3. UDP 扫描:用于扫描UDP端口,因为UDP协议不像TCP那样有建立连接的握手过程,所以扫描更具挑战性。

    nmap -sU target_ip

  4. ICMP扫描:用执行“Ping扫描”

    nmap -sn target_ip_range

  5. NULL扫描:利用 TCP 包的空标志位来扫描

    nmap -sN target_ip

  6. FIN扫描:发送一个没有设置 SYN、ACK、RST 标志位,只有 FIN(结束)标志位的 TCP 包进行扫描

    nmap -sF target_ip

  7. Xmas 扫描:发送设置了 SYN、FIN 和 URG 标志位的 TCP 数据包进行扫描

    nmap -sX target_ip

  8. 指定端口范围:你可以使用 -p 参数指定要扫描的端口范围。

    nmap -p 1-100 target_ip

  9. 服务版本检测:通过 -sV 参数可以尝试探测目标主机上运行的服务及其版本信息。

    nmap -sV target_ip

  10. 操作系统检测:通过 -O 参数可以尝试猜测目标主机的操作系统类型。

    nmap -O target_ip

TCP 扫描(-sT)

传输控制协议(TCP,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流传输层通信协议

TCP 扫描的原理是和目标端口执行三次握手,通过收到的响应来确定服务是否打开

29381f30e924b899cb32f6316e061d950a7bf6a9

如果 nmap 发送了 SYN 请求,目标服务器使用 SYN/ACK 进行响应,那么就判定端口打开

1702550107631

如果 nmap 发送了 SYN 请求但是目标服务器使用 RST(reset)进行响应,那么就判定端口关闭

v2-04f55e4f654b4c9081670b144b8dc5f3_r

如果 nmap 发送了 SYN 请求但是目标服务器没有响应,那么就判定端口有防火墙保护

image-20231220194528536

SYN 扫描(-sS)

又称半连接扫描

TCP 是完整的三次握手,SYN 扫描是从目标服务器收到 SYN/ACK 后发回 RST 包,防止服务器重复尝试发出请求

通过命令可以查询SYN成功连接的返回包

tcp.flags.syn == 1 && tcp.flags.ack == 1

image-20231220195621001

追踪TCP流查看详情

image-20231220195326544

如果端口关闭,目标服务器会使用 RST 响应

通过命令查看reset包

image-20231220195809717

追踪TCP流查看详情

image-20231220195849252

如果端口被防火墙过滤了,SYN 包会被丢弃

UDP 扫描(-sU)

UDP通信需要两端事先约定好通信的方式。这种约定可以是对称的,也可以是不对称的。

最基本的情况是,服务器端根据数据包的源IP和端口信息原路将数据包发送回去。这要求客户端不仅在指定的端口上发送数据,还需要同时监听来自服务器端的响应。

然而,在实际应用中,客户端可以选择另外监听一个端口,当服务器端回复数据包时,将数据包发送到客户端指定的另一个端口上。这些约定完全取决于通信双方的规定。

UDP是无连接的,不需要通过握手来建立连接。因此,它通常速度更快,但也更不可靠。

在使用nmap等工具进行UDP端口扫描时,如果向一个开放的端口发送数据包,通常不会收到响应。这种情况下,端口被标记为"open|filtered",表示nmap怀疑这个端口是开放的,但可能被防火墙阻止。

偶尔会收到UDP响应(尽管罕见),这时端口会被标记为开放的端口。

最常见的情况是没有收到响应。在这种情况下,nmap会进行双重检查,如果仍然没有收到响应,则将端口标记为开放的端口。

当数据包发送到关闭的UDP端口时,目标服务器会使用ICMP包进行响应,其中包含端口不可访问的信息,这时端口会被标记为关闭的端口。

image-20231220202026002

UDP包基本没有回复响应

image-20231220202911907

ICMP 扫描(-sn)

众所周知的ping/traceroute 命令都是基于ICMP 协议来实现的

这个选项告诉nmap仅进行主机发现,不执行端口扫描。它实际上发送ICMP Echo请求(ping请求)到目标主机,根据返回的响应来判断目标主机的存活状态。

image-20231220202807202

20190429211712332

指路大佬:Wireshark抓包——ICMP协议分析_wiresharkicmp抓包分析-CSDN博客

NULL 扫描(-sN)

NULL 扫描是 nmap 中的一种扫描类型,它尝试利用 TCP 包的空标志位(SYN、ACK、FIN)来探测目标主机上的端口状态。这种扫描利用了 TCP 协议的一个特性,即发送一个没有设置任何标志位的 TCP 包,然后根据返回的响应判断端口是否开放。

  • NULL 扫描发送的 TCP 数据包没有设置 SYN、ACK、FIN 标志位。
  • 如果端口是开放的,目标主机应该不会对这种无效的 TCP 数据包做出响应。
  • 如果端口是关闭的,目标主机可能会响应 RST(复位)包,表明该端口处于关闭状态。

20210109225949247

FIN 扫描(-sF)

它发送一个没有设置 SYN、ACK、RST 标志位,只有 FIN(结束)标志位的 TCP 包,然后根据目标主机的响应来判断端口是否开放。

  • 如果端口是开放的,目标主机可能会忽略这个没有建立连接的结束包,并不做出响应。
  • 如果端口是关闭的,目标主机可能会响应 RST(复位)包,表示拒绝连接。

Xmas 扫描(-sX)

  • Xmas 扫描发送的 TCP 数据包设置了 SYN、FIN 和 URG 标志位。
  • 如果端口是开放的,目标主机可能会忽略这个没有建立连接的 Xmas 包,并不做出响应。
  • 如果端口是关闭的,目标主机可能会响应 RST(复位)包,表示拒绝连接。

参考文章(指路大佬😘):

Nmap流量分析-CSDN博客

Wireshark抓包——ICMP协议分析_wiresharkicmp抓包分析-CSDN博客

通过wireshark抓包对nmap一些原理分析_nmap两次握手-CSDN博客

抓包分析-CSDN博客

通过wireshark抓包对nmap一些原理分析_nmap两次握手-CSDN博客

从一道题分析Nmap SYN/半连接/半开放扫描流量_nmap tcp 全开扫描 和半开扫描-CSDN博客

lilalilalala
关注
  • 18
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nmap源码分析(端口扫描)
网络安全技术修炼
08-20 1万+
Nmap源码分析(端口扫描) 2012年8月19日   端口扫描是Nmap的核心功能,用于确定目标机的端口状态(开放、关闭、过滤等),也为Nmap的服务与版本扫描、OS扫描、脚本扫描提供基本的指引信息。所以,深入理解端口扫描的实现对分析其他的扫描方式很有帮助。 1     简单回顾   首先简要回顾一下端口扫描的原理以及命令行选项。 1.1    扫描原理   Nm
nmap流量分析
m0_43406494的博客
10-15 3431
################ nmap流量分析.md #################### 1.-sA -sA参数启动TCP ACK Scan,向目标各个端口发送设置了ACK位的TCP。 若是目标回复RST,则说明目标端口没有被防火墙屏蔽掉, 若是目标回复ICMP不可达报文或者没有回复则说明被防火墙屏蔽了。 -sA.pcap文件中有大量的ACK,而且端口号不同,验证了Nmap的ACK Scan的工作原理。 2.-sS -sS参数启...
2024精武杯复现:计算机和手机取证流量分析
最新发布
2303_77961060的博客
04-29 1092
从1开始的tcp追踪流可以看到对192.168.85.250进行了get请求,所以192.168.85.250就是被攻击方,入侵者的ip地址就是:192.168.85.130。找谢宏的信息,可以在文件里面找找,最终找到顺丰1k.zip文件,预览可以看到里面是一些人员的信息,可以导出后xlsx。爆破成功后的登录成功后是index.php网页,可以去打开自己的phpmyadmin看。在刚刚的zip文件相同的目录还有一个vc容器,挂载看看,密码在便签里。筛选关键字是phpadmin,且post传参的HTTP。
Nmap流量分析和入侵检测绕过
江湖
01-22 3630
最近产品提了个新需求,需要检测端口扫描行为,提到端口扫描必须绕不开端口扫描之王——Nmap。所以除了基于流量五元组统计建立统计模型的检测方案之外,识别Nmap流量特征就成了关键了。 Nmap网络安全人员常用的信息收集工具,主要用来探测主机、扫描端口和服务,内置了多种扫描方式。每种方式的工作原理不同,其数据和通讯特征也不尽相同。 端口扫描,通常是指在信息收集阶段利用TCP、UDP等方式,去检测操作系统类型及开放的服务,为进一步的攻击做好准备。通常蠕虫病毒、网络攻击等常见的影响网络安全的行为,都是从扫
Nmap报文流量分析详解
weixin_43472459的博客
09-02 1148
这6种状态的定义只存在于namp中,不能保证一定是准确的。为什么介绍nmap因为它对端口划分的粒度可以说是最细的,对渗透和安全审计人员来说具有较高的参考价值。Open(端口处于开放状态)这种状态可以理解为该端口上有服务正在进行监听,所以它需要开放这个端口用来建立连接或是数据传输。对黑客和系统管理员来说这样的端口都是重点关注的对象。Closed(端口处于关闭状态)这种状态只能证明该端口上没有服务在监听,但这个端口我们其实是可以访问到的,并且它随时有可能进入到开放的状态。
Nmap扫描工具流量特征
m0_62207482的博客
03-28 626
但是User-Agent可以被修改,如果被修改的话,我们可以通过告警的次数进行判断(同一源IP),看是否是大量的扫描告警,来进行进一步判断。如果Nmap扫描探测服务过程中如有HTTP协议,则User-Agent也会有明显的特征。例如会出现nmap关键字。
Nmap抓包解析以及怎样绕过Windows防火墙
kjuhfkicf154的博客
01-16 1864
本文含2块内容: 1. Nmap抓包分析 2. 内网下绕过Windows防火墙扫描存活主机
nmap流量分析文章中被分析流量
10-15
nmap流量分析文章中被分析流量
nmap 端口扫描数据
07-18
nmap 端口扫描数据
网络流量吞吐量测试工具
03-20
1、软件iperf-3.1.3-win64.zipnmap-7.91-setup.exe,ostinato-0.8.zip,PacketSenderPortable_v7.2.3.zip; 2、网络流量测试常用工具
nmap 32位系统的
06-28
nmap 32位系统的,用于centos 系统扫描系统端口的一个工具
科莱,抓包网络安全,渗透
01-04
标题中的“科莱”指的是Wireshark,一款广泛使用的网络分析软件,它在网络安全、数据捕获(抓包)以及渗透测试领域扮演着重要角色。Wireshark允许用户查看网络通信的细节,这对于故障排查、性能优化以及安全...
nmap参数原理抓包分析
浅浅的博客
04-05 2204
一、Nmap 1、定义 NMap(Network Mapper)是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全。 2、三个基本功能 一是探测一组主机是否在线; 二是扫描主机端口,嗅探所提供的网络服务; 三是推断...
Nmap流量分析
weixin_72667582的博客
12-14 896
当发到关闭的UDP端口时,目标服务器会使用ICMP进行响应,其中含端口无法访问的信息,标记为closed。TCP是完整的三次握手,SYN扫描是从目标服务器收到SYN/ACK后发回RST,防止服务器重复尝试发出请求。Xmas扫描时发送TCP请求时带上错误的PSH,URG,FIN标志,如果端口关闭,目标服务器响应RST。如果nmap发送了SYN请求,目标服务器使用SYN/ACK进行响应,那么就判定端口打开。FIN扫描时发送TCP请求时带上FIN标志,如果端口关闭,目标服务器响应RST。
Nmap抓包分析与绕过Windows防火墙
蚁景网安学院
10-13 2819
在打靶场的过程中使用Nmap时发现点小问题,借此机会详细分析下情况,于是有了这篇文章。本文含以下内容:1、Nmap抓包分析;2、内网下绕过Windows防火墙扫描存活主机。这里主要是针对Nmap进行讨论,实战中当然哪个快用哪个。不过万变不离其宗,哪怕稍微了解下其原理都受益无穷。
Linux网络抓包工具tcpdump
匠人精神,持之以恒!
07-26 3996
一、tcpdump介绍 tcpdump 是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据tcpdump 适用于大多数的类Unix系统操作系统(如linux,BSD等)。 二、安装&用法说明 2.1、安装 $ yum -y install tcpdump 2.2、用法说明 tcpdump采用命令行方式,它的命令格式为 tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interfac
【Week2_LEC1_网络协议安全_Nmap和Wireshark的基础抓包实验】
qq_48677599的博客
09-03 816
Week2_LEC1_网络协议安全_Nmap和Wireshark的基础抓包实验任务。
使用nmap和wireshark进行主动扫描与数据抓包
qq_56472016的博客
12-06 4086
nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统. Wireshark是一个网络分析软件。网络分析软件的功能是截取网络,并尽可能显示出最为详细的网络资料。 我们可以用这两个工具进行简单的渗透试验。 测试环境:kali linux系统 在此我用kali虚拟机作为攻击端,电脑主机作为被攻击端的靶机,所以虚拟机应该要进行桥接设置,进行桥接模式后两个机子要连接同一个网络,使其能和靶机处于一个...
Nmap流量特征修改(NTA、IDS、IPS、流量审计)
墨痕诉清风的博客
03-29 1597
0x01 前言 nmap是渗透中尝尝用到的工具之一,在信息收集阶段经常用到,现在主流的流量分析设备也将其流量加入了特征库, 为了防止在探测阶段IP就被封掉,对其的流量特征做一些简单的修改有点用的。 由于没有厂商设备检测,故以下只是学习记录一下思路。具体效果还待验证。 参考链接 如何修改nmap, 重新编译,bypass emergingthreats 的公开ids规则: https://xz.aliyun.com/t/6002 nmap端口扫描技术: https://nmap.org/man
用Wireshark分析nmap
07-22
当你使用Wireshark分析nmap扫描时,你可以捕获并查看nmap扫描的网络流量。下面是一些用Wireshark来分析nmap扫描的步骤: 1. 打开Wireshark并选择要捕获的网络接口。 2. 在Wireshark的过滤器中输入“tcp.port==<端口...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值