低速扫描实验记录

主要参考&＃xff1a;

https://blog.csdn.net/zhaowei1945/article/details/78466785

https://www.cnblogs.com/LuckWJL/p/7692005.html

https://www.freebuf.com/sectool/119340.html

https://www.cnblogs.com/wiessharling/p/4070826.html

实验记录如下:

• 概述

使用三种最常见的扫描工具&＃xff1a;zmap、nmap、netcat&＃xff0c;对内网IP进行低速扫描实验。统计实验中数据的特性&＃xff0c;包括packets&＃xff0c;bytes&＃xff0c;timeout_state_num&＃xff0c;retransmit等。

• 实验内容

2.1 nmap工具

Nmap的功能非常强大&＃xff0c;其基本功能有主机发现、开放端口扫描、支持多端口、多网段、可对目标域名进行扫描&＃xff1b;同时具备识别功能&＃xff1a;识别端口服务类型及版本、操作系统、设备类型等&＃xff1b;而且还有多种扫描模式&＃xff1a;TCP SYN scan、TCP connectscan、UDP scan、No Ping scan等。

本次实验中&＃xff0c;采用了TCP半开扫描(TCP SYN scan)、TCP全扫描(TCP connect scan)以及Fin扫描(Fin scan)三种形式。可选项 -Tn&＃xff0c;其中n取值0-5&＃xff0c;表示不同的速度&＃xff0c;T5最快(间隔0s)&＃xff0c;T0最慢(间隔5min)。实验选择T1&＃xff0c;两次扫描间隔15s。

2.2 zmap工具

Zmap采用了无状态的扫描技术&＃xff0c;没有进行完整的TCP三次握手&＃xff0c;因此扫描速度极大提升。Zmap的基本功能是扫描发现主机的开放端口。

在实验中是对172.23.2.0/24段的22端口进行慢扫描&＃xff0c;zmap对未开机的机器也会发送扫描包。可选项-r用于设置扫描的发包速率packets/sec&＃xff08;包每秒&＃xff09;。

2.3 netcat工具

nc是netcat的简写&＃xff0c;有着网络界的瑞士军刀美誉。因为它短小精悍、功能实用&＃xff0c;被设计为一个简单、可靠的网络工具&＃xff0c;其有Windows和Linux的版本&＃xff0c;可通过TCP或UDP协议传输读写数据。同时&＃xff0c;它还是一个网络应用Debug分析器&＃xff0c;因为它可以根据需要创建各种不同类型的网络连接。

实验过程中&＃xff0c;netcat进行TCP全扫描&＃xff0c;使用如下命令对某台机器的22-53号端口进行扫描&＃xff0c;每次扫描间隔30s&＃xff1a;nc -z -v -r -i 30 172.23.2.199 22-53

• 实验结果

将实验结果进行统计后&＃xff0c;如下面三个表格。表格头in、out表示两个方向&＃xff0c;对应值为n(&＃43;m)[x]&＃xff0c;n表示packets&＃xff0c;m表示重传数&＃xff0c;x表示bytes。

附录

1.TCP SYN Scan&＃xff08;TCP同步序列号扫描&＃xff09;

若端口扫描没有完成一个完整的 TCP连接&＃xff0c;即在扫描主机和目标主机的一指定端口建立连接的时候&＃xff0c;只完成前两次握手&＃xff0c;在第三步时&＃xff0c;扫描主机中断了本次连接&＃xff0c; 使连接没有完全建立起来&＃xff0c;所以这种端口扫描又称为“半连接扫描”&＃xff0c;也称为“间接扫描”或“半开式扫描”&＃xff08;Half Open Scan&＃xff09;。

SYN 扫描&＃xff0c;通过本机的一个端口向对方指定的端口&＃xff0c;发送一个TCP的SYN连接建立请求数据报&＃xff0c;然后开始等待对方的应答。如果应答数据报中设置了SYN位 和ACK位&＃xff0c;那么这个端口是开放的&＃xff1b;如果应答数据报是一个RST连接复位数据报&＃xff0c;则对方的端口是关闭的。

2. TCP FIN Scan&＃xff08;TCP结束标志扫描&＃xff09;

这种扫描方式不依赖于TCP的3次握 手过程&＃xff0c;而是TCP连接的“FIN”&＃xff08;结束&＃xff09;位标志。原理在于TCP连接结束时&＃xff0c;会向TCP端口发送一个设置了FIN 位的连接终止数据报&＃xff0c;关闭的端口会回应一个设置了RST的连接复位数据报&＃xff1b;而开放的端口则会对这种可疑的数据报不加理睬&＃xff0c;将它丢弃。可以根据是否收到 RST数据报来判断对方的端口是否开放。

此扫描方式的优点比前两种都要隐秘&＃xff0c;不容易被发现。该方案有两个缺点&＃xff1a;首先&＃xff0c; 要判断对方端口是否开放必须等待超时&＃xff0c;增加了探测时间&＃xff0c;而且容易得出错误的结 论&＃xff1b;其次&＃xff0c;一些系统并没有遵循规定&＃xff0c;最典型的就是Microsoft公司所开发的操作系统。这些系统一旦收到这样的数据报&＃xff0c;无论端口是否开放都会回应一个 RST连接复位数据报&＃xff0c;这样一来&＃xff0c;这种扫描方案对于这类操作系统是无效的。

3. TCP connect Scan&＃xff08;TCP连接扫描&＃xff09;

这 种方法也称之为“TCP全连接扫描”。它是最简单的一种扫描技术&＃xff0c;所利用的是TCP协议的3次握手过程。它直接连到目标端口并完成一个完整的3次握手过 程&＃xff08;SYN、SYN/ACK和ACK&＃xff09;。操作系统提供的“connect()”函数完成系统调用&＃xff0c;用来与目标计算机的端口进行连接。如果端口处于侦听状态&＃xff0c;那么“connect()”函数就能成功。否则&＃xff0c;这个端口是不能用的&＃xff0c;即没有提供服务&＃xff0c;得到RST连接复位数据报。

TCP连接扫描技术的一个 最大的优点是不需要任何权限&＃xff0c;系统中的任何用户都有权利使用这个调用。另一个好处是速度快。如果对每个目标端口以线性的方式&＃xff0c;使 用单独的“connect()”函数调用&＃xff0c;那么将会花费相当长的时间&＃xff0c;用户可以同时打开多个套接字&＃xff0c;从而加速扫描。使用非阻塞I/O允许用户设置一个低的 时间以用尽周期&＃xff0c;并同时观察多个套接字。但这种方法的缺点是很容易被发觉&＃xff0c;并且很容易被过滤掉。目标计算机的日志文件会显示一连串的连接和连接出错的服务 消息&＃xff0c;目标计算机用户发现后就能很快使它关闭。