1. 端口扫描工具的基础认知
端口扫描就像网络世界的"敲门测试"。想象你住在一栋公寓楼里,想知道哪些邻居在家,可以轻轻敲每户的门,根据回应判断是否有人。网络扫描工具也是类似原理,通过向目标设备的各个端口发送特定数据包,根据响应判断端口状态。
常见的端口扫描工具可以分为两大类:主动扫描型和被动探测型。Nmap、Masscan这类属于主动扫描,会直接向目标发送探测包;而像Zmap这样的工具则采用更隐蔽的被动探测方式。在实际攻防对抗中,约75%的网络入侵都是从端口扫描开始的,这也是为什么理解扫描特征如此重要。
我第一次接触端口扫描是在一次内部安全演练中。当时作为防守方,我们需要在日志中发现攻击者的扫描行为。那会儿看到满屏的SYN请求完全摸不着头脑,直到师傅指着Wireshark抓包说:"看这个TCP窗口大小和选项,典型的Nmap扫描特征"。这个经历让我明白,识别扫描工具就像辨认指纹,每个工具都有独特的"作案手法"。
2. 主流扫描工具的流量特征详解
2.1 Nmap的经典指纹
作为端口扫描的"瑞士军刀",Nmap的扫描特征已经成为行业标准。它的SYN扫描(-sS参数)会产生三个显著特征:
- 固定TCP窗口大小1024:普通应用的TCP窗口会根据网络状况动态调整,但Nmap为了简化实现,固定使用1024字节窗口
- 特定TCP选项02 04 05 b4:这个十六进制序列代表TCP选项中的最大段大小(MSS)和时间戳
- 精确的44字节SYN包:包含20字节IP头+20字节TCP头+4字节选项
在Wireshark中抓包观察,你会看到这样的典型报文:
No. Time Source Destination Protocol Length Info
1 0.000000 192.168.1.100 10.

4632

被折叠的 条评论
为什么被折叠?



