CentOS7.5下nmap-7.91测试主机在线原理与wireshark抓包验证
在不考虑防火墙的情况下进行测试,否则防火墙会过滤报文影响测试,关闭windows防火墙与CentOS防火墙
nmap官方参考资料:https://nmap.org/book/toc.html
一、ICMP方式(只选择PING方式,其他类型原理相同)
主机在线原理:nmap发送ping请求报文,目标主机在线会返回响应报文
测试示例:./nmap -sn -PE -n --packet-trace 192.168.10.108
wireshark抓包结果
二、TCP方式(只选择SYN报文测试,其他类型原理相同)
Windows主机端口状态如下
TCP SYN扫描原理官方参考资料:https://nmap.org/book/synscan.html
2.1 端口关闭
主机在线原理:nmap发送SYN报文,目标主机端口关闭的情况下会返回RST报文,从而知道目标主机在线
测试示例:./nmap -sn -PS100 -n --packet-trace 192.168.10.108
wireshark抓包结果
2.2 端口开放
主机在线原理:nmap发送SYN报文,目标主机端口开放会返回SYN/ACK报文(TCP三次握手),从而知道目标主机在线,nmap在收到SYN/ACK报文后会发送RST报文
测试示例,选择135在线端口:./nmap -sn -PS135 -n --packet-trace 192.168.10.108
wireshark抓包结果
三、UDP方式(windows10测试并未收到ICMP端口不可达报文)
主机在线原理:nmap向目标主机发送UDP请求报文,如果目标主机端口关闭会发送ICMP端口不可达报文,从而知道目标主机在线
测试示例: ./nmap -sn -PU -n --packet-trace 192.168.10.108
wireshark抓包结果
期望结果:
四、ARP方式(同一网段内测试主机是否在线)
主机在线原理:nmap向同一网段的主机发送ARP请求报文(向网络广播请求目标主机的MAC地址),如果目标主机在线会发送ARP响应报文
测试示例:./nmap -sn -n --packet-trace 192.168.109.110
wireshark抓包结果