nmap端口扫描实验总结-nmap进行端口扫描

交换器漏扫描怎么办

1、首先，使用网络扫描工具，如Nmap，对交换机的端口进行扫描，发现开放的端口，以及端口对应的服务。

2、然后，对交换机的管理接口以及管理端口进行扫描，以确定管理接口的安全性。

3、接着，使用漏洞扫描工具，如Nessus，对交换机进行漏洞扫描，以发现潜在的安全漏洞。

4、最后，使用网络嗅探工具，如Wireshark，对交换机进行网络嗅探，以发现网络中的异常行为。

nmap扫描的几种方式

原文 the art of port scanning

这种方式最简单。直接与被扫描的端口建立tcp链接，如果成功，则说明端口开放，如果不成功则说明端口关闭的。这种扫描的特点是与被扫描端口建立完成的tcp链接，完整的tcp三次握手。优点主要是不需要root权限即可扫描端口。因为connect可以在用户态直接调用

这种扫描方式又被称为tcp半开放扫描。顾名思义，这种扫描不需要建立完整的tcp连接，即可扫描端口的状态。发送tcp syn数据包，这个也是tcp握手的第一个包。如果端口开放，则会返回 tcp syn+ack数据包。如果端口关闭，则返回 tcp rst数据包。这样我们就不用进行tcp 握手的第三步，也可以探测端口的状态。这种扫描需要构建raw socket。所以需要root权限

有些时候防火墙绘过滤tcp syn数据包，有些时候会记录syn数据包并检测时候有nmap扫描。这时候可以使用TCP FIN scanning。这种方式很简单。发送tcp FIN数据包到待测端口。如果返回RST数据包，则说明该端口关闭，如果无返回则说明该端口开放。这时tcp协议的一个BUG，所以这种扫描方式不一定百分之百可靠（例如windows），但是这种扫描方式适合大部分 *NIX 系统。

在RFC 793的第65页写到，如果目的端口的是关闭的，并且接受到的tcp数据包如果可能会导致系统错误，则返回RST。如果开放的端口接受到诸如SYN RST ACK，则丢弃或者不做任何处理。根据此RFC描述，我们可以发送不包含SYN RST或者ACK标志的数据包，如果返回RST则说明端口是关闭状态，如果什么都没有返回则说明端口是开放状态。

上面这三种扫描的结果都是一致的，如果接受到到RST，则说明端口是关闭的。如果无响应，则端口可能是开放或者filteted状态。如果返回icmp unreachable error(type 3, code 0, 1, 2, 3, 9, 10, 13)，则说明端口一定是filtered的。

这种扫描只设置tcp ack标志位。这种扫描一般来探测防火墙是否过滤被扫描的端口。如果扫描的端口未被防火墙保护，那么无论是开放或者是关闭，都会返回RST。nmap将该端口标记为未被封锁的（unfiltered），但是不能确定该端口是开放或者关闭状态。如果无响应，或者返货icmp error，则该端口一定被防火墙封锁了

tcp窗口扫描，如果接收到RST，则说明端口封锁了。在某些操作系统，开放的端口会返回一个正数的tcp窗口值，如果端口关闭，则返回tcp窗口值为0或者负数。但是这种扫描不是很靠谱

这种扫描为发送同时设置FIN/ACK的数据包。如果返回RST，则说明端口是开放的，如果无响应，则是关闭状态的。

这种是专门扫描ip协议的。扫描类似于udp扫描，如果IP协议号不存在，返回 icmp错误。具体没用过，不太好写

如果udp端口开放，则无响应。如果udp端口关闭，则会返回icmp unreachable error错误。这种扫描需要root权限，因为需要构建raw socket。

这种直接一个一个建立udp连接，如果能建立，则说明端口开放，不能建立则端口关闭呗。

nmap扫描工具的使用二 网络探测

Nmap的6种端口状态:

            Open：开放状态

            Closed：关闭状态

            Filtered: 过滤状态（可能被过滤，可能网络阻塞）

            Unfiltered:未被过滤状态（可以访问，但未知端口处于开放还是关闭状态）

            Open|Filtered：开放还是过滤的

            Closed|Filtered:不能确定端口事关闭还是被过滤的

-T 时序选项

        -p|-F|-r  常用扫描方式

        -sS   TCP SYN扫描:(需要root权限)

        -sT  TCP连接扫描:完整三次握手，最基础最稳定的扫描方式

        -sU   UDP扫描(速度非常慢，一般用-p指定端口范围以节约时间)

        -sN/sF/sX  隐蔽扫描

        -sA   TCP ACK扫描

        -sW  TCP窗口扫描

        -sM   TCP Maimon扫描

        –scanflags  自定义TCP扫描

        -sI   空闲扫描

        -sO  IP协议扫描

        -b *  FTP Bounce扫描

时序选项：

        -T0(偏执的):非常慢的扫描，用于IDS逃避

        -T1(鬼祟的):缓慢的扫描，用于IDS逃避

        -T2(文雅的):降低速度以降低对带宽的消耗，一般不同

        -T3(普通的):默认，根据目标的反应自动调整时间

        -T4(野蛮的):快速扫描，常用，需要在很好的网络环境下进行扫描，请求可能会淹没目标

        -T5(疯狂的):极速扫描，以牺牲准确度来提升扫描速度

例子：

（1）指定端口扫描：

nmap -p 80 192.168.20.16

    如图，直接输入nmap -p 80 192.168.20.16的时候提示Host seems down。我们可以通过ping命令来确定网络的连通性，此处使用的命令是ping 192.168.20.16，发现可以ping通，即网络是通的， 使用Ctrl+z停止执行ping命令。 再使用nmap -p 80 192.168.20.16命令的时候就可以出现正确的结果了。

ping 192.168.20.16（使用Ctrl+z停止执行ping命令）

nmap -p 80-1000 192.168.20.16

（2）TCP SYN扫描：

     ping 192.168.20.16（使用Ctrl+z停止执行ping命令）

     nmap -sS 192.168.20.16

     又称为半开放(需要root权限)，常见扫描方式，扫描速度较快，由于未进行TCP连接，比较隐蔽，很难背防火墙或管理员发现

（3）隐蔽扫描

     ping 192.168.20.16（使用Ctrl+z停止执行ping命令）

     nmap -sN 192.168.20.16

     -sN是Null扫描

     ping 192.168.20.16（使用Ctrl+z停止执行ping命令）

     nmap -sF 192.168.20.16

     -sF是Fin扫描(发送FIN包)

     ping 192.168.20.16（使用Ctrl+z停止执行ping命令）

     nmap -sX 192.168.20.16    

           -sX是Xmas扫描(将数据包的FIN／PSH／URG都标记为1)

（4）TCP ACK扫描

         ping 192.168.20.16（使用Ctrl+z停止执行ping命令）

         nmap -sA 192.168.20.16

致命缺点:无法确定端口是否开放还是被过滤