环境说明

扫描者:manjaro linux , IP地址:192.168.31.160

被扫描者:centos 7,IP地址:192.168.31.175

分析工具:wireshark

nmap 版本:version 7.80

TCP 知识回顾

这里对TCP的三次握手知识进行简单的回顾,方便后面理解Nmap的扫描流量

关于TCP协议相关内容看:http://networksorcery.com/enp/default.htm

Source Port:源端口

Destination Port:目的端口

Sequence Number:序列号。

Acknowledgment Number:确认号

Control Bits: 包含一下几种(这几个字段这里要有印象,后续关于nmap的扫描都和这里会有关系):

字段 含义
URG 紧急指针是否有效。如果设置1,用于通知接收数据方在处理所有数据包之前处理紧急数据包
ACK 确认号是否有效。用于确认主机成功接收数据包。如果Acknowledgment Number包含有效的确认号码,则设置ACK标志为。例如tcp三次握手的第二步,发送ACK=1和SYN=1 ,就是告知对方它已经收到初始包
PSH 强制将数据压入缓冲区
RST 连接重置
SYN 表示建立连接
FIN 表示关闭连接

下图是TCP三次握手的过程:

SYN 扫描

Nmap 的默认扫描方式就是SYN扫描,在192.168.31.160 执行如下命令进行扫描:

  1.  sudo nmap -p22 192.168.31.175
  2. Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-04 11:45 CST
  3. Nmap scan report for 192.168.31.175
  4. Host is up (0.00044s latency).
  6. PORT   STATE SERVICE
  7. 22/tcp open  ssh
  8. MAC Address: 4C:1D:96:FC:4D:E2 (Unknown)
  10. Nmap done: 1 IP address (1 host up) scanned in 0.38 seconds

192.168.31.175 进行tcpdump 命令进行抓包:tcpdump -i any -w syn_scan.pcap, 下面是通过wireshare分数据包分析截图:

从获取的流量可以很容易看到,这种扫描的的方式是在三次握手的最后一步没有回复正常的ACK,而是发送了RST

nmap 利用客户端回SYN,ACK 的这个数据包其实就已经知道22这个端口是开放的,如果我们扫描一个没有开放的端口:

  1.   sudo nmap -p80 192.168.31.175
  2. Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-06 22:08 CST
  3. Nmap scan report for 192.168.31.175
  4. Host is up (0.00034s latency).
  6. PORT   STATE  SERVICE
  7. 80/tcp closed http
  8. MAC Address: 4C:1D:96:FC:4D:E2 (Unknown)
  10. Nmap done: 1 IP address (1 host up) scanned in 0.34 seconds

同样我们看一下在192.168.31.175 上抓的数据包的情况,被扫描主机直接恢复RST,ACK断开连接,namp从而知道被扫描端口是关闭的,数据包如下:

全连接扫描

nmap也可以进行全连接扫描,也就是完成完整的三次握手,当然这种扫描方式的效率是不如SYN扫描的

nmap -sT -p端口 目标主机

NULL扫描

是将一个没有设置任何标志位的数据包发送给TCP端口,在正常的通信中至少要设置一个标志位。

根据FRC 793的要求,在端口关闭的情况下,若收到一个没有设置标志位的数据字段,那么主机应该舍弃这个分段,并发送一个RST数据包,否则不会响应发起扫描的客户端计算机。

也就是说,如果TCP端口处于关闭则响应一个RST数据包,若处于开放则无相应。但是应该知道理由NULL扫描要求所有的主机都符合RFC 793规定,但是windows系统主机不遵从RFC 793标准,且只要收到没有设置任何标志位的数据包时,不管端口是处于开放还是关闭都响应一个RST数据包。但是基于Unix(nix,如Linux)遵从RFC 793标准,所以可以用NULL扫描。 经过上面的分析,我们知道NULL可以辨别某台主机运行的操作系统是什么操作系统,是为windows呢?还是unix/linux?

NULL的扫描命令参数:nmap -sN

  1.   sudo nmap -sN -p22 192.168.31.175
  2. Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-06 22:30 CST
  3. Nmap scan report for 192.168.31.175
  4. Host is up (0.00022s latency).
  6. PORT   STATE         SERVICE
  7. 22/tcp open|filtered ssh
  8. MAC Address: 4C:1D:96:FC:4D:E2 (Unknown)
  10. Nmap done: 1 IP address (1 host up) scanned in 0.67 seconds
  11.  sudo nmap -sN -p999 192.168.31.175
  12. Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-06 22:30 CST
  13. Nmap scan report for 192.168.31.175
  14. Host is up (0.00042s latency).
  16. PORT    STATE  SERVICE
  17. 999/tcp closed garcon
  18. MAC Address: 4C:1D:96:FC:4D:E2 (Unknown)
  20. Nmap done: 1 IP address (1 host up) scanned in 0.34 seconds
  21.   share scp root@192.168.31.175:/root/null.pcap ./
  22. root@192.168.31.175's password:
  23. null.pcap                             100% 5188    10.4MB/s   00:00

​ 分别扫描了一个开放的端口22 和未开放的端口999,下面的数据包中,可以看到,发送的第一个TCP包中Control Bits的所有Flags都没有设置,而开发的22端口没有收到任何回复,而关闭的端口,收到了一个RST数据包,nmap也是通过这种方式来判断端口是否开放。当然这种判断对于windows是不准确的了。

​ null的扫描流量特征还是非常明显的,很容易通过流量分析知道正在被进行null扫描。

FIN扫描

FIN 原理:

与NULL有点类似,只是FIN为指示TCP会话结束,在FIN扫描中一个设置了FIN位的数据包被发送后,若响应RST数据包,则表示端口关闭,没有响应则表示开放。此类扫描同样不能准确判断windows系统上端口开放情况。

FIN扫描命令参数:nmap -sF

  1.  sudo nmap -sF -p22 192.168.31.175
  2. Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-06 22:46 CST
  3. Nmap scan report for 192.168.31.175
  4. Host is up (0.00014s latency).
  6. PORT   STATE         SERVICE
  7. 22/tcp open|filtered ssh
  8. MAC Address: 4C:1D:96:FC:4D:E2 (Unknown)
  10. Nmap done: 1 IP address (1 host up) scanned in 0.61 seconds
  11.  sudo nmap -sF -p999 192.168.31.175
  12. Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-06 22:46 CST
  13. Nmap scan report for 192.168.31.175
  14. Host is up (0.00028s latency).
  16. PORT    STATE  SERVICE
  17. 999/tcp closed garcon
  18. MAC Address: 4C:1D:96:FC:4D:E2 (Unknown)
  20. Nmap done: 1 IP address (1 host up) scanned in 0.36 seconds

对比null扫描,就可以看出来,FIN扫描是发送一个设置FIN的数据包,同样的如果是linux系统,收到这个如果没有收到RST则认为端口是开放的,收到RST则表示端口没有开发,windows依然无法判断。

XMAS-TREE扫描

扫描原理:

XMAS扫描原理和NULL扫描的类似,将TCP数据包中的URG、PSH、FIN标志位置1后发送给目标主机。在目标端口开放的情况下,目标主机将不返回任何信息

和NULL扫描正好相反,XMAS扫描会把所有的标志为都设置

XMAS-TREE扫描命令参数:nmap -sX

  1.  sudo nmap -sX -p22 192.168.31.175
  2. Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-06 22:53 CST
  3. Nmap scan report for 192.168.31.175
  4. Host is up (0.00028s latency).
  6. PORT   STATE         SERVICE
  7. 22/tcp open|filtered ssh
  8. MAC Address: 4C:1D:96:FC:4D:E2 (Unknown)
  10. Nmap done: 1 IP address (1 host up) scanned in 0.55 seconds
  11.  sudo nmap -sX -p999 192.168.31.175
  12. Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-06 22:54 CST
  13. Nmap scan report for 192.168.31.175
  14. Host is up (0.00021s latency).
  16. PORT    STATE  SERVICE
  17. 999/tcp closed garcon
  18. MAC Address: 4C:1D:96:FC:4D:E2 (Unknown)
  20. Nmap done: 1 IP address (1 host up) scanned in 0.34 seconds

还是扫描开放的22端口和未开放的999端口,可以看到Xmas扫描会发送一个FIN,PSH,URG被设置的数据包,同样如果是linux系统可以根据是否收到RST包进行判断端口是否开放,windows无法进行判断

延伸阅读

Nmap常见扫描方式流量分析的更多相关文章

  1. nmap 高级扫描用法

    nmap提供了四项基本功能(主机发现.端口扫描.服务与版本侦测.OS侦测)及丰富的脚本库.Nmap既能应用于简单的网络信息扫描,也能用在高级.复杂.特定的环境中:例如扫描互联网上大量的主机:绕开防火墙 ...

  2. Nessus漏洞扫描教程之使用Nmap工具扫描识别指纹

    Nessus漏洞扫描教程之使用Nmap工具扫描识别指纹 Nmap工具的准备工作 当用户对Nessus工具有清晰的认识后,即可使用该工具实施扫描.但是,在扫描之前需要做一些准备工作,如探测网络中活动的主 ...

  3. nmap参数原理抓包分析

    nmap参数原理抓包分析 实验环境: Nmap7.70 实验步骤: 1.主机发现 2.端口扫描 3.服务版本探测 一.主机发现 主机发现,如果主机活跃,扫描1000个常用的tcp端口 1.Nmap i ...

  4. 开源流量分析系统 Apache Spot 概述(转)

    原文地址http://blog.nsfocus.net/apache-spot/ Apache Spot 是一个基于网络流量和数据包分析,通过独特的机器学习方法,发现潜在安全威胁和未知网络攻击能力的开 ...

  5. 网络流量分析——NPMD关注IT运维、识别宕机和运行不佳进行性能优化。智能化分析是关键-主动发现业务运行异常。科来做APT相关的安全分析

    科来 做流量分析,同时也做了一些安全分析(偏APT)——参考其官网:http://www.colasoft.com.cn/cases-and-application/network-security- ...

  6. Weevely使用方法以及通信流量分析

    Weevely简介 weevely项目地址:点击查看 weevely是一款针对PHP的webshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏 ...

  7. CTF流量分析题大全(掘安攻防平台)

    突然想做一下流量分析题,记得掘安攻防实验室上面有很多的流量分析题目,故做之 流量分析题一般使用的都是wireshark,(流量分析工具中的王牌 夺取阿富汗 说了分析http头,所以直接过滤http协议 ...

  8. dns隧道攻击原理及常用工具流量分析

    DNS协议是一种请求应答协议,也是一种可用于应用层的隧道技术.虽然DNS流量的异常变化可能会被发现,但是在基于传统socket隧道已经濒临淘汰,TCP.UDP通信大量被安全设备拦截的大背景下,DNS. ...

  9. Oracle索引梳理系列(八)- 索引扫描类型及分析(高效索引必备知识)

    版权声明:本文发布于http://www.cnblogs.com/yumiko/,版权由Yumiko_sunny所有,欢迎转载.转载时,请在文章明显位置注明原文链接.若在未经作者同意的情况下,将本文内 ...

随机推荐

  1. k8s学习-安全

    4.8.安全 4.8.1.概念 一些内容可参考4.6.2.Secret的内容 说明 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务.API Server 是集群 ...

  2. javascript 面向对象学习(二)——原型与继承

    什么是原型? 首先我们创建一个简单的空对象,再把它打印出来 var example = {} console.log(example) 结果如下: { __proto__: { constructor ...

  3. 关于thinkphp5下URL附加参数,无法获取到(?参数)

    nginx 配置问题: 修改配置后:

  4. <VCC笔记> Assumption

    接下来是第二种注释语句类型Assumption.语法_(Assume E), 这个表达式是让VCC在接下来的额推理中,无视表达式E, 直接认可表达式E. 例: int x, y; _(assume x ...

  5. sed中使用shell变量

    假设希望在 file_to_modified 文件最后新增一行以下信息:传入 shell 脚本文件的第一个参数,以及当前时间(YYYY-MM-DD HH:MMS) date "+%Y-%m- ...

  6. Charles抓包1-Charles安装汉化(附正版注册码)

    目录 1.下载&&安装 2.汉化 1.下载&&安装 charles官网 charles下载 下载后直接安装即可. 2.汉化 下载提供的汉化包charles.jar(加群 ...

  7. .NETCore微服务探寻(一) - 网关

    前言 一直以来对于.NETCore微服务相关的技术栈都处于一个浅尝辄止的了解阶段,在现实工作中也对于微服务也一直没有使用的业务环境,所以一直也没有整合过一个完整的基于.NETCore技术栈的微服务项目 ...

  8. 【JMeter_18】JMeter逻辑控制器__吞吐量控制器<Throughput Controller>

    吞吐量控制器<Throughput Controller> 业务逻辑: 他的实际作用似乎跟吞吐量扯不上什么关系.就是单纯的控制控制器下的子节点被执行的次数或被执行比列,该控制器默认为多线程 ...

  9. django 注册后台管理 在debug=true能行,在debug=false不能显示出管理标签

    debug=true 下,如下图:

  10. opencv c++访问某一区域

    int main(){ cv::Mat m1(,, CV_8UC1); for(int i=;i<m1.rows;++i) for(int j=;j<m1.cols;++j) m1.at& ...