Nmap常见扫描方式流量分析

最新推荐文章于 2025-09-08 10:50:41 发布
原创 最新推荐文章于 2025-09-08 10:50:41 发布 · 3.5k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了Nmap工具的各种扫描方式,包括SYN扫描、全连接扫描、NULL扫描、FIN扫描、XMAS-TREE扫描等,详细分析了每种扫描方式的工作原理及流量特征,特别强调了不同操作系统对这些扫描的反应差异。

Nmap常见扫描方式流量分析

环境说明

扫描者:manjaro linux, IP地址:192.168.31.160

被扫描者:centos 7,IP地址:192.168.31.175

分析工具:wireshark

nmap 版本:version 7.80

TCP 知识回顾

这里对TCP的三次握手知识进行简单的回顾,方便后面理解Nmap的扫描流量

关于TCP协议相关内容看:http://networksorcery.com/enp/default.htm


「Source Port」:源端口

「Destination Port」:目的端口

「Sequence Number」:序列号。

「Acknowledgment Number」:确认号

「Control Bits」:包含一下几种(这几个字段这里要有印象,后续关于nmap的扫描都和这里会有关系):

字段 含义
URG 紧急指针是否有效。如果设置1,用于通知接收数据方在处理所有数据包之前处理紧急数据包
ACK 确认号是否有效。用于确认主机成功接收数据包。如果「Acknowledgment Number」包含有效的确认号码,则设置ACK标志为。例如tcp三次握手的第二步,发送ACK=1和SYN=1 ,就是告知对方它已经收到初始包
PSH 强制将数据压入缓冲区
RST 连接重置
SYN 表示建立连接
FIN 表示关闭连接

下图是TCP三次握手的过程:


SYN 扫描

Nmap 的默认扫描方式就是SYN扫描,在192.168.31.160 执行如下命令进行扫描:

➜ sudo nmap -p22 192.168.31.175
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-04 11:45 CST
Nmap scan report&nbs
最低0.47元/天 解锁文章
后场技术
关注
Nmap --- 渗透测试中的实用工作命令指南与高级技巧 从SYN扫描到FIN扫描 WAF绕过的全面指南
盾悟
04-02 5935
权限:隐蔽扫描(如-sF、-sU)需root权限。系统差异:Windows对FIN/NULL/Xmas响应不标准。检测风险:高级IDS(如Snort)可能识别异常流量。合法性:仅在授权范围内使用。Nmap的隐蔽性依赖扫描类型、速度控制和伪装技术,结合工作常用命令(如-sS、-sV)和WAF/防火墙规避策略,可实现高效隐秘扫描
Nmap流量特征修改(NTA、IDS、IPS、流量审计)
墨痕诉清风的博客
03-29 1995
0x01 前言 nmap是渗透中尝尝用到的工具之一,在信息收集阶段经常用到,现在主流的流量分析设备也将其流量加入了特征库, 为了防止在探测阶段IP就被封掉,对其的流量特征做一些简单的修改有点用的。 由于没有厂商设备检测,故以下只是学习记录一下思路。具体效果还待验证。 参考链接 如何修改nmap, 重新编译,bypass emergingthreats 的公开ids规则: https://xz.aliyun.com/t/6002 nmap端口扫描技术: https://nmap.org/man
Nmap报文流量分析详解
weixin_43472459的博客
09-02 2186
这6种状态的定义只存在于namp中,不能保证一定是准确的。为什么介绍nmap因为它对端口划分的粒度可以说是最细的,对渗透和安全审计人员来说具有较高的参考价值。Open(端口处于开放状态)这种状态可以理解为该端口上有服务正在进行监听,所以它需要开放这个端口用来建立连接或是数据传输。对黑客和系统管理员来说这样的端口都是重点关注的对象。Closed(端口处于关闭状态)这种状态只能证明该端口上没有服务在监听,但这个端口我们其实是可以访问到的,并且它随时有可能进入到开放的状态。
nmap流量分析
m0_43406494的博客
10-15 4540
################ nmap流量分析.md #################### 1.-sA -sA参数启动TCP ACK Scan,向目标各个端口发送设置了ACK位的TCP包。 若是目标回复RST包,则说明目标端口没有被防火墙屏蔽掉, 若是目标回复ICMP不可达报文或者没有回复则说明被防火墙屏蔽了。 -sA.pcap文件中有量的ACK包,而且端口号不同,验证了Nmap的ACK Scan的工作原理。 2.-sS -sS参数启...
主动扫描技术nmap详解
热门推荐
angleoldhen的专栏
07-26 1万+
详细介绍了nmap的主机发现、端口扫描、服务扫描、操作系统扫描、漏洞扫描等方面的主要参数及其应用
Nmap扫描工具流量特征
m0_62207482的博客
03-28 1503
但是User-Agent可以被修改,如果被修改的话,我们可以通过告警的次数进行判断(同一源IP),看是否是量的扫描告警,来进行进一步判断。如果Nmap扫描探测服务过程中如有HTTP协议,则User-Agent也会有明显的特征。例如会出现nmap关键字。
取证流量包分析——Nmap 流量包分析
lxxl666的博客
12-20 1964
通过可以发现流量中发现很Nmap关键字,确定是Nmap流量分析题。
Nmap流量分析和入侵检测绕过
江湖
01-22 4242
最近产品提了个新需求,需要检测端口扫描行为,提到端口扫描必须绕不开端口扫描之王——Nmap。所以除了基于流量五元组统计建立统计模型的检测方案之外,识别Nmap流量特征就成了关键了。 Nmap是网络安全人员常用的信息收集工具,主要用来探测主机、扫描端口和服务,内置了扫描方式。每种方式的工作原理不同,其数据包和通讯特征也不尽相同。 端口扫描,通常是指在信息收集阶段利用TCP、UDP等方式,去检测操作系统类型及开放的服务,为进一步的攻击做好准备。通常蠕虫病毒、网络攻击等常见的影响网络安全的行为,都是从扫
Nmap常见安全扫描技巧与方法
# 1. Nmap安全扫描简介 ## 1.1 Nmap工具概述 Nmap(Network Mapper)是一款网络扫描和安全评估工具,能够帮助管理员识别目标网络中的主机、服务和...Nmap通过发送精心构造的数据包到目标主机,并分析返回的响应来获取
【黑客工具】之Nmap详细使用教程——扫描器主机、端口、版本、OS、漏洞扫描
最新发布
weixin_57514792的博客
09-08 870
【黑客工具】之Nmap详细使用教程——扫描器主机、端口、版本、OS、漏洞扫描
Nmap流量分析
weixin_72667582的博客
12-14 1251
当发包到关闭的UDP端口时,目标服务器会使用ICMP包进行响应,其中包含端口无法访问的信息,标记为closed。TCP是完整的三次握手,SYN扫描是从目标服务器收到SYN/ACK后发回RST包,防止服务器重复尝试发出请求。Xmas扫描时发送TCP请求时带上错误的PSH,URG,FIN标志,如果端口关闭,目标服务器响应RST。如果nmap发送了SYN请求,目标服务器使用SYN/ACK进行响应,那么就判定端口打开。FIN扫描时发送TCP请求时带上FIN标志,如果端口关闭,目标服务器响应RST。
nmap流量分析文章中被分析的流量
10-15
nmap流量分析文章中被分析的流量
目录扫描端口扫描流量特征
m0_51171450的博客
05-28 2208
参加护网面试时被问到了这个问题。之前没有研究过,回答得不太全面,在这里总结一下。
nmap 扫描端口 + iftop 实时监控流量
weixin_30902251的博客
07-13 403
sleep 1|telnet 127.0.0.1 223 nmap 127.0.0.1 -p 223 -PN (对禁ping IP) iftop -P -n -B -B 按字节显示 -N 切换 端口或者服务 右下方显示的时间:过去2秒,10秒,40秒的数据 一般重点关注本地服务端口,这有利于查找对应服务,按D,或者S 切换 参考:http://www.3mu.me/lin...
网络扫描工具nmap
weixin_30802171的博客
06-22 528
nmap一般就用来扫描主机是否在线(特别是扫描局域网内存活的机器)、开放了哪些端口。其他的功能用的比较少,做渗透的人可能要了解的些。 1.1 选项说明 nmap需要自行安装。 shell> yum -y install nmap 使用nmap -h可以查看选项和用法。选项非常,这是功能强的工具带来的必然结果,但简单使用并用不到几个选项。 Usage: nmap [...
Nmap到Fscan:端口扫描工具的流量指纹揭秘,零基础入门到精通,收藏这一篇就够了
Javachichi的博客
09-11 2827
通过对常见安全工具扫描特征的深入分析,我们不仅加深了对攻击技术的理解,也为防御方提供了一系列实用的对抗手段。但需要注意的是,攻防技术始终在不断演进,今天有效的检测规则明天可能就会失效。因此,我们要保持持续学习和更新的态度,不断完善我们的防御体系。安全永远是一场没有终点的马拉松,让我们携手并进,共同维护网络空间的安全!希望本文能为家在安全建设中提供一些思路和启发。如果你有任何问题或见解,欢迎在评论区留言交流。让我们一起在这个充满挑战和机遇的领域中不断成长!黑客&网络安全如何学习1.学习路线图。
Linux网络命令:nmap扫描主机(详细查看远程主机的信息)
weixin_70208651的博客
04-30 6228
nmap即Network Mapper,是一个开源的网络探测和安全审核的工具。它用于扫描网络上开放的网络端口,从而帮助管理员发现网络服务,并且可以用于安全审计,以识别网络上的安全风险。nmap工具可以提供关于目标主机操作系统、运行服务、网络配置以及其他相关信息。通过nmap可以获取主机的开放的端口和服务,“-A”选项会启用操作系统检测、版本检测、脚本扫描和traceroute等。
Nmap 主机发现
看着博客敲代码
01-22 1743
前言 在网络收集中最重要的发现主机,也就是筛选出活跃的主机或主机列表。举个例子 : 主机发现就像是去别人家拜访一样,总是要敲门询问家中主任是否在家,如果得到回应则说明家中有人,如果经过一段时间没有回应,则表示 关于Nmap 简介与安装 就不说了 可以看此篇文章。 ......
Nmap 防火墙逃逸检测
看着博客敲代码
01-22 1967
简介 IDS(Intrusion Detection Systems)入侵检测系统,就是按照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各中攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性,并且出现异常情况会发出警告。Nmap意识到这一点,提供了很防火墙逃逸检测技术。(仅供学习) 一、报文分段 报文分段会将TCP头分段在几个包中,使得包过滤器、IDS以及其他工具检测更加困难。使用“-f”选项进行报文分段逃逸防火墙。 [root@localhost ~]#
nmap主机探测,nmap端口扫描方法
07-18
### 主机探测方法 Nmap 提供了种主机探测技术,用于确定目标网络上的活跃主机。常见的主机探测方法包括: - **Ping 扫描(-sn)**:通过发送 ICMP Echo 请求来检测目标主机是否在线。此方法适用于没有防火墙阻挡 ICMP 流量的网络环境。 ```bash nmap -sn 192.168.1.0/24 ``` - **ARP 扫描(-sn -PR)**:在本地网络中使用 ARP 协议探测其他主机的状态。这种方法可以绕过某些阻止 ICMP 的防火墙[^1]。 ```bash nmap -sn -PR 192.168.1.0/24 ``` - **TCP SYN Ping(-PS)**:发送 TCP SYN 包到指定端口以检查主机是否响应。这种方式对于那些过滤 ICMP 的网络特别有用[^1]。 ```bash nmap -sn -PS80,443 192.168.1.0/24 ``` - **UDP Ping(-PU)**:向特定 UDP 端口发送空数据包并等待响应。由于许服务对 UDP 的处理方式不同,这可能帮助发现更存活的主机[^1]。 ```bash nmap -sn -PU53 192.168.1.0/24 ``` ### 端口扫描方法 Nmap 支持丰富的端口扫描技术,每种都有其适用场景: - **TCP Connect() Scan (-sT)**:这是最基本的 TCP 扫描形式,它尝试与每个目标端口建立完整的三次握手连接。如果连接成功,则认为该端口开放。 ```bash nmap -sT 192.168.1.1 ``` - **SYN Scan (-sS)**:也称为半开扫描,因为它不会完成完整的 TCP 三次握手;只发送一个 SYN 数据包然后监听响应。这种类型的扫描更隐蔽且难以被日志记录或 IDS 捕获。 ```bash nmap -sS 192.168.1.1 ``` - **UDP Scan (-sU)**:用于识别哪些 UDP 端口是开放的。因为 UDP 是无连接协议,所以这类扫描可能会得到不可靠的结果,并且执行速度较慢。 ```bash nmap -sU 192.168.1.1 ``` - **FIN Scan (-sF), NULL Scan (-sN), Xmas Tree Scan (-sX)**:这些高级扫描类型利用不同的 TCP 标志位组合来探测端口状态,通常用来规避简单的包过滤器。 ```bash nmap -sF 192.168.1.1 nmap -sN 192.168.1.1 nmap -sX 192.168.1.1 ``` - **ACK Scan (-sA)**:主要用于映射出系统间的过滤规则,而不是直接找出开放端口。通过观察 RST 响应判断端口是否被过滤。 ```bash nmap -sA 192.168.1.1 ``` - **Window Scan (-sW)**:类似于 ACK 扫描,但基于窗口小信息进行分析,同样有助于了解防火墙配置情况。 - **RPC Scan (-sR)**:专门针对远程过程调用(RPC)服务设计的一种扫描方式,能够自动识别出运行中的 RPC 服务及其对应的端口号。 ```bash nmap -sR 192.168.1.1 ``` 此外,还可以结合操作系统检测(-O)、服务版本探测(-sV)等功能进一步深入分析目标主机的信息。例如: ```bash nmap -v -A 192.168.1.1 # 启用详细输出模式并启用所有自动检测功能 ``` 以上命令示例展示了如何使用 Nmap 进行基本的主机发现和端口扫描操作。根据实际需求选择合适的参数组合可以帮助用户更加高效准确地获取所需网络信息[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值