网络扫描技术

1.ICMP扫描
1.1标准ICMP扫描
ping //发送icmp echo request数据包
fping //可对多个IP扫描
nmap -PE //icmp echo、时间戳、netmask请求
1.2时间戳查询扫描
nmap -PP //icmp时间戳扫描
nmap -PM //地址掩码扫描可绕过防火墙配置的封锁标准echo请求的策略

2.TCP扫描
2.1.TCP SYN扫描-隐蔽扫描、半打开扫描。源主机（扫描主机）向目标主机指定端口发送SYN数据包，如果源主机收到了RST数据包，表面目标主机端口关闭，如果收到SYN+ACK数据包，说明目标主机端口处于监听状态，接着发送一个RST数据包给目标主机。这种扫描不会被防火墙和日志所记录。扫描者需要有ROOT权限。
nmap -PS //TCP SYN Ping扫描
nmap -sS //TCP SYN扫描

2.2.TCP ACK扫描-向目标主机的一个端口发送一个只有ACK标志TCP数据包，不论目标主机端口是否开启，都会返回RST数据包，但内容不同，通过RST包中的TTL来判断端口是否开启。TTL<64表示端口开启，大于64表示关闭。
nmap -PA //TCP ACK Ping扫描。可以探测到阻止SYN包或ICMP Echo请求的主机，但这种扫描会被防火墙阻止。
nmap -sA //TCP ACK扫描

2.3.TCP全连接扫描-是端口扫描组基础和最稳定的，完成三次握手，通过友好的方式断开连接。扫描速度慢、精确度高，对扫描者没有权限要求。
namp -sT //TCP全连接扫描

2.4.TCP窗口扫描-和ACK扫描完全一样。通过检查返回的RST报文的TCP窗口域，判断目标端口是否开启。窗口扫描并不总把端口标记为unfiltered，而是根据TCP窗口值是正数还是0，分别把端口标记为open或closed。
nmap -sW //TCP窗口扫描

端口状态
使用Nmap进行端口扫描时，可以识别6个端口状态：
open 开放的
closed 关闭的
filtered 被过滤的
unfiltered 未被过滤的
open|filtered 开放或被过滤的
closed|filtered 关闭或者被过滤的

每个开放的端口都是攻击的入口。攻击者或入侵测试者想要发现开放的端口，管理员则试图关闭它们或者用防火墙保护它们以免妨碍合法用户。非安全扫描可能对开放的端口也感兴趣，这显示了网络上哪些服务可以使用。
关闭的端口对于Nmap也是可访问的（它接受Nmap的探测报文并作出回应），但没有应用程序在其上监听。管理员可能用防火墙封锁这样的端口，此时它们就会显示为被过滤的状态。
由于包过滤阻止探测报文到达端口，Nmap无法确定该端口是否开放。过滤可能是来自专业的防火墙设备、路由器规则或主机上的软甲防火墙。有时它们响应ICMP错误详细，如类型3或13，但更普遍的时过滤器只是丢弃探测帧而不做任何响应。Nmap会重试若干次，检测探测包是否是由于网络阻塞而被丢弃。这会导致扫描速度明显变慢。
未被过滤的状态意味着端口可访问，但Nmap不能确定是开放还是关闭。用户只有通过映射防火墙规则集的ACK扫描，才会把端口分类到这种状态，使用其他类型的扫描（如窗口扫描、SYN扫描或FIN扫描）来扫描未被过滤的端口可以帮助确定端口是否开放。
当无法确定端口是开放还是被过滤的时候，Nmap会把该端口分为这种状态。开放的端口不响应就是这种情况，没有响应也可能意味着报文过滤器丢弃了探测报文和探测报文引起的任何响应。因此Nmap无法确定该端口是开放的还是被过滤的。UDP、IP、FIN、Null和Xmas扫描可能把端口归入此类。
该状态用于Nmap不能确定端口是关闭的还是被过滤的，它只可能出现在IPID Idle扫描中。

TCP FIN扫描-如果目标主机有防火墙，会阻止SYN数据包，可以考虑使用TCP FIN扫描。TCP FIN标志数据包也不需要完成TCP握手。TCP FIN扫描就是向目标端口发送一个FIN包。如果收到响应的RST包，则说明端口是关闭的，如果没收到RST包，则说明端口可能是开放的或被屏蔽的。
nmap -sF //-sF表示发送了一个设置了FIN标志的数据包

TCP Xmas树扫描-也成为圣诞树扫描，它发送带有URG、PSH和FIN标志的TCP数据包。如果目标主机响应一个RST标志数据包，则说明目标主机端口是关闭的。
nmap -sX //TCP Xmas扫描

TCP Null扫描-TCP Null（空）扫描和TCP Xmas树扫描一样，也是通过发送非常规的TCP通信数据包对目标计算机进行探测。根据RFC793规定，如果目标主机收到没有任何标记的数据包，如果端口关闭，就响应一个RST数据包，如果端口开启，则不会响应任何信息。
nmap -sN //TCP Null扫描

UDP扫描-发送UDP数据包并等待响应。如果返回ICMP不可达（3，3）则说明端口是关闭的，如果得到正确响应，则说明端口开放。
nmap -PU [prtlist] //UDP Ping扫描。向目标主机发送一个空的UDP包到指定端口。portlist指定扫描端口，默认是40125

UDP扫描
nmap -sU //UDP扫描

IP扫描
nmap -sO //使用IP协议扫描确定目标主机支持的协议类型