Nmap常见扫描方式流量分析

最新推荐文章于 2025-09-08 10:50:41 发布
原创 最新推荐文章于 2025-09-08 10:50:41 发布 · 3.5k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了Nmap工具的各种扫描方式,包括SYN扫描、全连接扫描、NULL扫描、FIN扫描、XMAS-TREE扫描等,详细分析了每种扫描方式的工作原理及流量特征,特别强调了不同操作系统对这些扫描的反应差异。

Nmap常见扫描方式流量分析

环境说明

扫描者:manjaro linux, IP地址:192.168.31.160

被扫描者:centos 7,IP地址:192.168.31.175

分析工具:wireshark

nmap 版本:version 7.80

TCP 知识回顾

这里对TCP的三次握手知识进行简单的回顾,方便后面理解Nmap的扫描流量

关于TCP协议相关内容看:http://networksorcery.com/enp/default.htm


「Source Port」:源端口

「Destination Port」:目的端口

「Sequence Number」:序列号。

「Acknowledgment Number」:确认号

「Control Bits」:包含一下几种(这几个字段这里要有印象,后续关于nmap的扫描都和这里会有关系):

字段 含义
URG 紧急指针是否有效。如果设置1,用于通知接收数据方在处理所有数据包之前处理紧急数据包
ACK 确认号是否有效。用于确认主机成功接收数据包。如果「Acknowledgment Number」包含有效的确认号码,则设置ACK标志为。例如tcp三次握手的第二步,发送ACK=1和SYN=1 ,就是告知对方它已经收到初始包
PSH 强制将数据压入缓冲区
RST 连接重置
SYN 表示建立连接
FIN 表示关闭连接

下图是TCP三次握手的过程:


SYN 扫描

Nmap 的默认扫描方式就是SYN扫描,在192.168.31.160 执行如下命令进行扫描:

➜ sudo nmap -p22 192.168.31.175
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-04 11:45 CST
Nmap scan report&nbs
最低0.47元/天 解锁文章
后场技术
关注
Nmap --- 渗透测试中的实用工作命令指南与高级技巧 从SYN扫描到FIN扫描 WAF绕过的全面指南
盾悟
04-02 5935
权限:隐蔽扫描(如-sF、-sU)需root权限。系统差异:Windows对FIN/NULL/Xmas响应不标准。检测风险:高级IDS(如Snort)可能识别异常流量。合法性:仅在授权范围内使用。Nmap的隐蔽性依赖扫描类型、速度控制和伪装技术,结合工作常用命令(如-sS、-sV)和WAF/防火墙规避策略,可实现高效隐秘扫描
Nmap流量特征修改(NTA、IDS、IPS、流量审计)
墨痕诉清风的博客
03-29 1995
0x01 前言 nmap是渗透中尝尝用到的工具之一,在信息收集阶段经常用到,现在主流的流量分析设备也将其流量加入了特征库, 为了防止在探测阶段IP就被封掉,对其的流量特征做一些简单的修改有点用的。 由于没有厂商设备检测,故以下只是学习记录一下思路。具体效果还待验证。 参考链接 如何修改nmap, 重新编译,bypass emergingthreats 的公开ids规则: https://xz.aliyun.com/t/6002 nmap端口扫描技术: https://nmap.org/man
Nmap报文流量分析详解
weixin_43472459的博客
09-02 2186
这6种状态的定义只存在于namp中,不能保证一定是准确的。为什么介绍nmap因为它对端口划分的粒度可以说是最细的,对渗透和安全审计人员来说具有较高的参考价值。Open(端口处于开放状态)这种状态可以理解为该端口上有服务正在进行监听,所以它需要开放这个端口用来建立连接或是数据传输。对黑客和系统管理员来说这样的端口都是重点关注的对象。Closed(端口处于关闭状态)这种状态只能证明该端口上没有服务在监听,但这个端口我们其实是可以访问到的,并且它随时有可能进入到开放的状态。
nmap流量分析
m0_43406494的博客
10-15 4540
################ nmap流量分析.md #################### 1.-sA -sA参数启动TCP ACK Scan,向目标各个端口发送设置了ACK位的TCP包。 若是目标回复RST包,则说明目标端口没有被防火墙屏蔽掉, 若是目标回复ICMP不可达报文或者没有回复则说明被防火墙屏蔽了。 -sA.pcap文件中有量的ACK包,而且端口号不同,验证了Nmap的ACK Scan的工作原理。 2.-sS -sS参数启...
主动扫描技术nmap详解
热门推荐
angleoldhen的专栏
07-26 1万+
详细介绍了nmap的主机发现、端口扫描、服务扫描、操作系统扫描、漏洞扫描等方面的主要参数及其应用
Nmap扫描工具流量特征
m0_62207482的博客
03-28 1503
但是User-Agent可以被修改,如果被修改的话,我们可以通过告警的次数进行判断(同一源IP),看是否是量的扫描告警,来进行进一步判断。如果Nmap扫描探测服务过程中如有HTTP协议,则User-Agent也会有明显的特征。例如会出现nmap关键字。
取证流量包分析——Nmap 流量包分析
lxxl666的博客
12-20 1964
通过可以发现流量中发现很Nmap关键字,确定是Nmap流量分析题。
Nmap流量分析和入侵检测绕过
江湖
01-22 4242
最近产品提了个新需求,需要检测端口扫描行为,提到端口扫描必须绕不开端口扫描之王——Nmap。所以除了基于流量五元组统计建立统计模型的检测方案之外,识别Nmap流量特征就成了关键了。 Nmap是网络安全人员常用的信息收集工具,主要用来探测主机、扫描端口和服务,内置了扫描方式。每种方式的工作原理不同,其数据包和通讯特征也不尽相同。 端口扫描,通常是指在信息收集阶段利用TCP、UDP等方式,去检测操作系统类型及开放的服务,为进一步的攻击做好准备。通常蠕虫病毒、网络攻击等常见的影响网络安全的行为,都是从扫
Nmap常见安全扫描技巧与方法
# 1. Nmap安全扫描简介 ## 1.1 Nmap工具概述 Nmap(Network Mapper)是一款网络扫描和安全评估工具,能够帮助管理员识别目标网络中的主机、服务和...Nmap通过发送精心构造的数据包到目标主机,并分析返回的响应来获取
【黑客工具】之Nmap详细使用教程——扫描器主机、端口、版本、OS、漏洞扫描
最新发布
weixin_57514792的博客
09-08 870
【黑客工具】之Nmap详细使用教程——扫描器主机、端口、版本、OS、漏洞扫描
Nmap流量分析
weixin_72667582的博客
12-14 1251
当发包到关闭的UDP端口时,目标服务器会使用ICMP包进行响应,其中包含端口无法访问的信息,标记为closed。TCP是完整的三次握手,SYN扫描是从目标服务器收到SYN/ACK后发回RST包,防止服务器重复尝试发出请求。Xmas扫描时发送TCP请求时带上错误的PSH,URG,FIN标志,如果端口关闭,目标服务器响应RST。如果nmap发送了SYN请求,目标服务器使用SYN/ACK进行响应,那么就判定端口打开。FIN扫描时发送TCP请求时带上FIN标志,如果端口关闭,目标服务器响应RST。
nmap流量分析文章中被分析的流量
10-15
nmap流量分析文章中被分析的流量
目录扫描端口扫描流量特征
m0_51171450的博客
05-28 2208
参加护网面试时被问到了这个问题。之前没有研究过,回答得不太全面,在这里总结一下。
nmap 扫描端口 + iftop 实时监控流量
weixin_30902251的博客
07-13 403
sleep 1|telnet 127.0.0.1 223 nmap 127.0.0.1 -p 223 -PN (对禁ping IP) iftop -P -n -B -B 按字节显示 -N 切换 端口或者服务 右下方显示的时间:过去2秒,10秒,40秒的数据 一般重点关注本地服务端口,这有利于查找对应服务,按D,或者S 切换 参考:http://www.3mu.me/lin...
网络扫描工具nmap
weixin_30802171的博客
06-22 528
nmap一般就用来扫描主机是否在线(特别是扫描局域网内存活的机器)、开放了哪些端口。其他的功能用的比较少,做渗透的人可能要了解的些。 1.1 选项说明 nmap需要自行安装。 shell> yum -y install nmap 使用nmap -h可以查看选项和用法。选项非常,这是功能强的工具带来的必然结果,但简单使用并用不到几个选项。 Usage: nmap [...
Nmap到Fscan:端口扫描工具的流量指纹揭秘,零基础入门到精通,收藏这一篇就够了
Javachichi的博客
09-11 2827
通过对常见安全工具扫描特征的深入分析,我们不仅加深了对攻击技术的理解,也为防御方提供了一系列实用的对抗手段。但需要注意的是,攻防技术始终在不断演进,今天有效的检测规则明天可能就会失效。因此,我们要保持持续学习和更新的态度,不断完善我们的防御体系。安全永远是一场没有终点的马拉松,让我们携手并进,共同维护网络空间的安全!希望本文能为家在安全建设中提供一些思路和启发。如果你有任何问题或见解,欢迎在评论区留言交流。让我们一起在这个充满挑战和机遇的领域中不断成长!黑客&网络安全如何学习1.学习路线图。
Linux网络命令:nmap扫描主机(详细查看远程主机的信息)
weixin_70208651的博客
04-30 6228
nmap即Network Mapper,是一个开源的网络探测和安全审核的工具。它用于扫描网络上开放的网络端口,从而帮助管理员发现网络服务,并且可以用于安全审计,以识别网络上的安全风险。nmap工具可以提供关于目标主机操作系统、运行服务、网络配置以及其他相关信息。通过nmap可以获取主机的开放的端口和服务,“-A”选项会启用操作系统检测、版本检测、脚本扫描和traceroute等。
Nmap 主机发现
看着博客敲代码
01-22 1743
前言 在网络收集中最重要的发现主机,也就是筛选出活跃的主机或主机列表。举个例子 : 主机发现就像是去别人家拜访一样,总是要敲门询问家中主任是否在家,如果得到回应则说明家中有人,如果经过一段时间没有回应,则表示 关于Nmap 简介与安装 就不说了 可以看此篇文章。 ......
Nmap 防火墙逃逸检测
看着博客敲代码
01-22 1967
简介 IDS(Intrusion Detection Systems)入侵检测系统,就是按照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各中攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性,并且出现异常情况会发出警告。Nmap意识到这一点,提供了很防火墙逃逸检测技术。(仅供学习) 一、报文分段 报文分段会将TCP头分段在几个包中,使得包过滤器、IDS以及其他工具检测更加困难。使用“-f”选项进行报文分段逃逸防火墙。 [root@localhost ~]#
nmap主机探测,nmap端口扫描方法
07-18
- **RPC Scan (-sR)**:专门针对远程过程调用(RPC)服务设计的一种扫描方式,能够自动识别出运行中的 RPC 服务及其对应的端口号。 ```bash nmap -sR 192.168.1.1 ``` 此外,还可以结合操作系统检测(-O)、服务版本...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值