Nmap UDP扫描缓慢问题探究（无结果）

一、说明

在网络原理中我们经常说TCP是面向连接的要进行三次握手和四次挥手所以速度比较慢，UDP是无连接的直接发送和接收所以速度快（说到这个快慢我总想起多年前有篇分析MSN为什么被QQ淘汰的一篇文章其中有一条就是说MSN用的TCP速度慢QQ用的UDP速度快，时至今日我也不确定在聊天软件中用TCP和用UDP是否会表现出明显的速度差异甚至我不确定是不是MSN用TCP、QQ用UDP）。

今天同事整理端口矩阵时反映说Nmap进行UDP端口扫描没有结果，让帮看一下命令有没有问题。形如下：

nmap -sU -p - 192.168.220.128

看了一下没什么问题，在自己Windows上用Zenmap跑了一下发现扫描比较慢但没有很在意，直到下午看到还没完成就需要探究一番了。

对以往UDP扫描的速度没什么特别换印像，也就是说应该没有这么慢才对。

二、问题探究

2.1 排除服务端配置问题

首先使用Wireshark截包，发现每秒也就三五个探测及端口不可达ICMP包。

直觉上没认为自己机器的问题，再结合百度、谷歌的结果及官网的如下说法，觉得应该就是服务端通过icmp_ratelimit参数限制了ICMP端口不可达响应速率

但到服务器查看/proc/sys/net/ipv4/icmp_ratelimit发现配置的是1000，如下图

这是越想越不能令人信服的，实际扫描中的每秒三五次和每秒限制1000次差距过于明显，瓶颈不应该在服务器限制响应速率上（而且测试中将icmp_ratelimit配置为不进行限速的0也并没有快很多）。

2.2 排除操作系统问题

向另一同事询问后，他提出有没有可能是操作系统问题，建议使用Linux试一下。

思索之下是有道理的，一是Windows和Linux在发包这种东西上素来就有区别，二是之前用nmap大多在Linux里用UDP扫描感觉没有很慢。

打开Kali虚拟机使用Nmap进行扫描发现确实快很多，如下图所示：

唯一的问题是不管扫哪个机器、怎么扫，所有端口都报open|filtered。这最终只能认为是服务器端口的返回不足以让Nmap区分出其状态。

正准备收工，把UDP扫描慢归为操作系统问题，同时UDP扫描判断端口状态效果一般时，看到Wireshark抓取的数据包如下图所示：

这问题很大，如上截图中只有从虚拟机发往目标机的数据包，并没有从目标机返回的端口不可达ICMP包（这应该也就是所有端口都被认为open|filtered的原因）。

这与前面在物理机中的扫描不一致，此时就存在操作系统类型和有无响应数据包两个变量，不能直接下结论说是哪个的问题。

又用一台Linux物理机使用Nmap进行扫描，发现扫描速度与Windows物理机差不多。

也就是说当前的结论是：虚拟机中的快只是因为收不到响应、Nmap的UDP扫描缓慢和服务端限制回复ICMP不可达速度无关、和Nmap所用操作系统也无关，瓶颈到底是哪还是不太清楚。

参考：

https://nmap.org/book/scan-methods-udp-scan.html#scan-methods-ex-udpscan-scanme2