在我們之前的 NMAP 安裝一文中，列出了 10 種不同的 ZeNMAP 掃描模式，大多數(shù)的模式使用了不同的參數(shù)。各種不同參數(shù)代表執(zhí)行不同的掃描模式。之前我們介紹過兩種掃描類型 PING 掃描 和 UDP 掃描，這篇文章將介紹最后剩下的兩種常用掃描類型。

創(chuàng)新互聯(lián)建站是一家專業(yè)提供烏蘭企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站設(shè)計、成都網(wǎng)站制作、H5頁面制作、小程序制作等業(yè)務(wù)。10年已為烏蘭眾多企業(yè)、政府機構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)絡(luò)公司優(yōu)惠進行中。

四種通用掃描類型

下面列出了最常用的四種掃描類型：

1. PING 掃描（-sP）
2. TCP SYN 掃描（-sS）
3. TCP Connect() 掃描（-sT）
4. UDP 掃描（-sU）

當我們利用 NMAP 來執(zhí)行掃描的時候，這四種掃描類型是我們需要熟練掌握的。更重要的是需要知道這些命令做了什么，并且需要知道這些命令是怎么做的。在這篇文章中將介紹兩種 TCP 掃描 — TCP SYN 掃描和 TCP Connect() 掃描。

TCP SYN 掃描 （-sS）

TCP SYN 掃描是默認的 NMAP 掃描方式。為了運行 TCP SYN 掃描，你需要有 Root 權(quán)限。

TCP SYN 掃描的目的是找到被掃描系統(tǒng)上的已開啟端口。使用 NMAP 掃描可以掃描在防火墻另一側(cè)的系統(tǒng)。當掃描通過防火墻時，掃描時間會延長，因為數(shù)據(jù)包會變慢。

TCP SYN 掃描的工作方式是啟動一個“三次握手”。正如在另一篇文章中所述，“三次握手”發(fā)生在兩個系統(tǒng)之間。首先，源系統(tǒng)發(fā)送一個包到目標系統(tǒng)，這是一個同步（SYN）請求。然后，目標系統(tǒng)將通過同步/應答（SYN/ACK）響應。接下來，源系統(tǒng)將通過應答（ACK）來響應，從而建立起一個通信連接，然后，可以在兩個系統(tǒng)之間傳輸數(shù)據(jù)。

TCP SYN 掃描通過執(zhí)行下面的步驟來進行工作：

1. 源系統(tǒng)向目標系統(tǒng)發(fā)送一個同步請求，該請求中包含一個端口號。
2. 如果添加在上一步中的所請求的端口號是開啟的，那么目標系統(tǒng)將通過同步/應答（SYN/ACK）來響應源系統(tǒng)。
3. 源系統(tǒng)通過重置（RST）來響應目標系統(tǒng)，從而斷開連接。
4. 目標系統(tǒng)可以通過重置/應答（RST/ACK）來響應源系統(tǒng)。

這種連接已經(jīng)開始建立，所以這被認為是半開放連接。因為連接狀態(tài)是由 NMAP 來管理的，所以你需要有 Root 權(quán)限。

如果被掃描的端口是關(guān)閉的，那么將執(zhí)行下面的步驟：

1. 源系統(tǒng)發(fā)送一個同步（SYN）請求到目標系統(tǒng)，該請求中包含一個端口號。
2. 目標系統(tǒng)通過重置（RST）響應源系統(tǒng)，因為該端口是關(guān)閉的。

如果目標系統(tǒng)處于防火墻之后，那么 ICMP 傳輸或響應會被防火墻禁止，此時，會執(zhí)行下面的步驟：

1. 源系統(tǒng)發(fā)送一個同步（SYN）請求到目標系統(tǒng)，該請求中包含一個端口號。
2. 沒有任何響應，因為請求被防火墻過濾了。

在這種情況下，端口可能是被過濾、或者可能打開、或者可能沒打開。防火墻可以設(shè)置禁止指定端口所有包的傳出。防火墻可以禁止所有傳入某個指定端口的包，因此目標系統(tǒng)不會接收到請求。

注：無響應可能發(fā)生在一個啟用了防火墻的系統(tǒng)上。即使在本地網(wǎng)絡(luò)，你也可能會發(fā)現(xiàn)被過濾的端口。

我將向 圖片１那樣執(zhí)行對單一系統(tǒng)（10.0.0.2）的 TCP SYN 掃描。使用命令 sudo nmap -sS 來執(zhí)行掃描。可以改為一個單一 IP 地址，像圖片１那樣，也可以使用一組 IP 地址。

圖片１

你可以看到它表明 997 個被過濾端口沒有顯示在下面。NMAP 找到兩個開啟的端口：139 和 445 。

注：請記住，NMAP 只會掃描絕大多數(shù)熟知的 1000 多個端口。以后，我們會介紹可以掃描所有端口或者指定端口的其它掃描。

該掃描會被 WireShark 俘獲，正如圖片２所展示的那樣。在這兒，你可以看到對目標系統(tǒng)的初始地址解析協(xié)議（ARP）請求。在 ARP 請求下面的是一長列到達目標系統(tǒng)端口的 TCP 請求。第 4 行是到達 http-alt 端口（8080）。源系統(tǒng)的端口號為 47128 。正如圖片３ 展示的，許多 SYN 請求只有在做出響應以后才會發(fā)送。

圖片２

圖片３

在圖片３的第 50 行和第 51 行，你可以看到，重置（RST）包被發(fā)送給了目標系統(tǒng)。第 53 行和第 55 行顯示目標系統(tǒng)的 RST/ACK（重置/應答）。第 50 行是針對 ‘microsoft-ds’ 端口（445），第 51 行是針對 ‘netbios-ssn’ 端口（135），我們可以看到，這兩個端口都是打開的。（LCTT 譯注：在 50 行和 51 行之前，目標系統(tǒng)發(fā)回了 SYN/ACK 響應，表示端口打開。）除了這些端口，沒有其他 ACK（應答）是來自目標系統(tǒng)的。每一個請求均可發(fā)送超過 1000 次。

正如圖片４所展示的，目標系統(tǒng)是 Windows 系統(tǒng)，我關(guān)閉了系統(tǒng)防火墻，然后再次執(zhí)行掃描?，F(xiàn)在，我們看到了 997 個已關(guān)閉端口不是 997 個被過濾端口。目標系統(tǒng)上的 135 端口之前被防火墻禁止了，現(xiàn)在也是開啟的。

圖片４

TCP Connect() 掃描 （-sT）

盡管 TCP SYN 掃描需要 Root 權(quán)限，但 TCP Connect() 掃描并不需要。在這種掃描中會執(zhí)行一個完整的“三次握手”。因為不需要 Root 權(quán)限，所以在無法獲取 Root 權(quán)限的網(wǎng)絡(luò)上，這種掃描非常有用。

TCP Connect() 掃描的工作方式也是執(zhí)行“三次握手”。正如上面描述過的，“三次握手”發(fā)生在兩個系統(tǒng)之間。源系統(tǒng)發(fā)送一個同步（SYN）請求到目標系統(tǒng)。然后，目標系統(tǒng)將通過同步／應答（SYN/ACK）來響應。最后，源系統(tǒng)通過應答（ACK）來響應，從而建立起連接，然后便可在兩個系統(tǒng)之間傳輸數(shù)據(jù)。

TCP Connect 掃描通過執(zhí)行下面的步驟來工作：

1. 源系統(tǒng)發(fā)送一個同步（SYN）請求到目標系統(tǒng)，該請求中包含一個端口號。
2. 如果上一步所請求的端口是開啟的，那么目標系統(tǒng)將通過同步/應答（SYN/ACK）來響應源系統(tǒng)。
3. 源系統(tǒng)通過應答（ACK）來響應目標系統(tǒng)從而完成會話創(chuàng)建。
4. 然后，源系統(tǒng)向目標系統(tǒng)發(fā)送一個重置（RST）包來關(guān)閉會話。
5. 目標系統(tǒng)可以通過同步/應答（SYN/ACK）來響應源系統(tǒng)。

若步驟 2 執(zhí)行了，那么源系統(tǒng)就知道在步驟 1 中的指定端口是開啟的。

如果端口是關(guān)閉的，那么會發(fā)生和 TCP SYN 掃描相同的事。在步驟 2 中，目標系統(tǒng)將會通過一個重置（RST）包來響應源系統(tǒng)。

可以使用命令 nmap -sT 來執(zhí)行掃描。可以改為一個單一 IP 地址，像圖片５那樣，或者使用一組 IP 地址。

TCP Connect() 掃描的結(jié)果可以在圖片５中看到。在這兒，你可以看到，有兩個已開啟端口：139 和 445，這和 TCP SYN 掃描的發(fā)現(xiàn)一樣。端口 80 是關(guān)閉的。剩下沒有顯示的端口是被過濾了的。

圖片５

讓我們關(guān)閉防火墻以后再重新掃描一次，掃描結(jié)果展示在圖片６中。

圖片６

關(guān)閉防火墻以后，我們可以看到，更多的端口被發(fā)現(xiàn)了。就和 TCP SYN 掃描一樣，關(guān)閉防火墻以后，發(fā)現(xiàn) 139 端口和 445 端口是開啟的。我們還發(fā)現(xiàn)，端口 2869 也是開啟的。也發(fā)現(xiàn)有 996 個端口是關(guān)閉的?，F(xiàn)在，端口 80 是 996 個已關(guān)閉端口的一部分 — 不再被防火墻過濾。

在一些情況下， TCP Connect() 掃描可以在一個更短的時間內(nèi)完成。和 TCP SYN 掃描相比，TCP Connect() 掃描也可以找到更多的已開啟端口