端口扫描 - 状态定义

信息安全 网络扫描仪
2021-09-03 08:37:23

我目前正在阅读 Gordon Fyodor Lyon 的“NMAP 网络扫描”一书。在第 77 页上,有关于 NMAP 如何根据主机的响应(或不响应)对端口进行分类的描述。

有助于我更好地理解它们的是与主机返回的标志的明确关联。因此,我创建了下面的列表,并希望你们能将其加倍检查:

 State             Response

 Open              SYN/ACK (SYN probe)
 Closed            RST (SYN probe)
 Filtered          No Answer or ICMP Type 3 and 13 (SYN probe)
 Unfiltered        No Answer or ICMP Type 3 and 13 (ACK probe)
 Open/Filtered     No Answer (UDP, FIN, NULL, XMAS probes)
 Closed/Filtered   No Answer or RST (Idle Scan)
1个回答

  1. 打开:

    • 攻击者向他想要测试的端口发送一个 SYN 探测
    • 端口发回带有 SYN 和 ACK 标志的数据包

  2. 关闭:

    • 攻击者向他想要测试的端口发送一个 SYN 探测
    • 端口直接发回RST/ACK包

  3. 过滤:

    • 攻击者向他想要测试的端口发送一个 SYN 探测
    • 两种情况:
      • 端口返回 ICMP 错误消息,例如类型 3 代码 13(目标不可达:通信被管理禁止)
      • 对攻击者来说更令人沮丧的场景:SYN 探测被丢弃(根本没有答案)
  4. 未过滤:
    • 攻击者向他要测试的端口发送 ACK 探测
    • 端口响应 RST 数据包
  5. 打开/过滤:
    • 攻击者向他想要测试的端口发送 UDP、IP、FIN、NULL 或 Xmas 探测
    • 没有收到答复
  6. 关闭/过滤:
    • 攻击者执行空闲扫描 ( -sI)
    • 僵尸机接收在所有从RST分组,或者没有目标机器(这意味着攻击者将接收IPID=1从僵尸)
其它你可能感兴趣的问题
上一篇来自我的机器的 UDP 泛滥,还是误报? 下一篇破解来自secureserver.net的尝试