轉自:http://www.4hou.com/web/7465.html?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io
導語:在本文中,您將學習使用Wireshark捕獲攻擊者使用NMAP掃描時的網絡數據包。這里您會注意到,Wireshark如何捕獲不同的網絡流量數據包,用於打開和關閉端口。
在本文中,您將學習使用Wireshark捕獲攻擊者使用NMAP掃描時的網絡數據包。這里您會注意到,Wireshark如何捕獲不同的網絡流量數據包,用於打開和關閉端口。
TCP掃描
Tcp掃描將像端口22.21.23.44等掃描TCP端口,並通過源端口和目的端口之間的三次握手連接確保監聽端口(打開)。如果端口打開,則使用SYN數據包發送請求,響應目的地發送SYN,ACK數據包然后發送ACK數據包,最后源再次發送RST,ACK數據包。
鍵入以下NMAP命令進行TCP掃描,然后啟動wireshark捕獲發送的數據包。
nmap -T -p 445 192.168.1.102
從給定的圖像可以觀察結果端口445是開放的。
查看通過wireshark捕獲的源和目的地之間的數據包傳輸順序。
您會注意到它已經捕獲了與上述相同的標志序列:
· 源發送SYN包到目的地
· 目的地發送SYN,ACK到源
· 源發送ACK包到目的地
· 源再次發送RST,ACK到目的地
我們來看一下關閉端口的網絡流量。根據給定的圖像,顯示掃描端口是否關閉,則源和目的地之間將無法進行3路握手連接。
源發送SYN包,如果端口關閉,接收方將通過RST,ACK發送響應。
鍵入以下NMAP命令進行TCP掃描,然后啟動Wireshark捕獲發送的數據包。
nmap -T -p 3389 192.168.1.102
從給定的圖像可以觀察結果端口3389被關閉。
查看通過wireshark捕獲的源和目的地之間的數據包傳輸順序。您會注意到它已經捕獲了與上述相同的標志序列:
源發送SYN包到目的地
目的地發送RST,ACK包到源
隱形掃描
SYN掃描是默認和最受歡迎的掃描選項,有很好的理由。它可以快速執行,在不受限制性防火牆阻礙的快速網絡上每秒掃描數千個端口。它也是相對典型和隱秘的,因為它從未完成TCP連接。如果接收到SYN數據包(沒有ACK標志),端口也被視為打開。
這種技術通常被稱為半開放掃描,因為您沒有打開完整的TCP連接。您發送一個SYN數據包,就好像要打開一個真實的連接,然后等待響應。SYN,ACK表示端口正在偵聽(打開)
鍵入以下NMAP命令進行TCP掃描,然后啟動wireshark捕獲發送的數據包。
nmap -sS -p 22 192.168.1.102
從給定的圖像可以觀察結果端口22是開放的。
查看通過wireshark捕獲的源和目的地之間的數據包傳輸順序
源發送SYN數據包到目的地
目的地發送SYN,ACK數據包到源
源發送RST報文到目的地
鍵入以下NMAP命令進行TCP掃描,然后啟動wireshark捕獲發送的數據包。
nmap -sS -p 3389 192.168.1.102
從給定的圖像可以觀察結果端口3389被關閉。
查看通過wireshark捕獲的源和目的地之間的數據包傳輸順序
源發送SYN數據包到目的地
目的地發送RST,ACK包到目的地
碎片掃描
通常在數據傳輸完成后,FIN數據包終止源端和目標端口之間的TCP連接。代替SYN數據包,Nmap通過使用FIN數據包開始FIN掃描。如果端口打開,則通過源端口發送FIN數據包時,目的端口不會響應。
鍵入以下NMAP命令進行TCP掃描,然后啟動wireshark捕獲發送的數據包。
nmap -F -p 22 192.168.1.102
從給定的圖像可以觀察結果端口22是開放的。
· 源發送FIN包到目的地
· 目的地不發送回復來源
鍵入以下NMAP命令進行TCP掃描,然后啟動wireshark捕獲發送的數據包。
nmap -F -p 3389 192.168.1.102
從給定的圖像可以觀察結果端口3389是接近。
查看通過wireshark捕獲的源和目的地之間的數據包傳輸順序
· 源發送SYN數據包到目的地
· 目的地發送RST報文到目的地
空掃
空掃描是一系列TCP數據包,保存序列號為“0”(0000000),並且由於沒有設置任何標志,目的地將不知道如何回復請求。它將丟棄數據包,並且不會發送回復,這表示端口是打開的。
鍵入以下NMAP命令進行TCP掃描,然后啟動wireshark捕獲發送的數據包。
nmap -sN -p 22 192.168.1.102
從給定的圖像可以觀察結果端口22是開放的。
查看通過wireshark捕獲的源和目的地之間的數據包傳輸順序
· 源發送Null數據包到目的地
· 目的地不發送回復來源
如果端口關閉,則當源在特定端口發送空數據包時,目的地將發送RST,ACK數據包
鍵入以下NMAP命令進行TCP掃描,然后啟動wireshark捕獲發送的數據包。
nmap -F -p 3389 192.168.1.102
從給定的圖像可以觀察結果端口3389是接近。
· 源發送Null(無)數據包到目的地
· 目的地發送RST,ACK到源
UDP掃描
UDP掃描通過向每個目的端口發送UDP數據包來工作; 它是一個連接少協議。對於一些常見的端口如53和161,發送協議特定的有效載荷以增加響應速率,服務將使用UDP數據包進行響應,證明它是開放的。如果在重傳后沒有收到響應,則端口被分類為打開|過濾。這意味着端口可能是打開的,或者可能包過濾器阻塞通信。
鍵入以下NMAP命令進行TCP掃描,然后啟動wireshark捕獲發送的數據包。
nmap -sU -p 161 192.168.1.119
從給定的圖像可以觀察結果端口161是開放的。
查看通過Wireshark捕獲的源和目標之間的數據包傳輸順序
· 源UDP發送到目的地址
· 目的地向源發送一些數據的UDP數據包
鍵入以下NMAP命令進行TCP掃描,然后啟動Wireshark捕獲發送的數據包。
nmap -sU -p 53 192.168.1.119
從給定的圖像可以觀察結果端口53是接近。
查看通過wireshark捕獲的源和目的地之間的數據包傳輸順序
· 源UDP發送到目的地址
· 目的地發送ICMP報文端口不可達源
聖誕掃描
鍵入以下NMAP命令進行TCP掃描,然后啟動wireshark捕獲發送的數據包。
nmap -sX -p 22 192.168.1.102
從給定的圖像可以觀察結果端口22是開放的。
查看通過wireshark捕獲的源和目的地之間的數據包傳輸順序
· 來源將FIN,PUSH和URG數據包發送到目的地
· 目的地不發送回復來源
鍵入以下NMAP命令進行TCP掃描,然后啟動Wireshark捕獲發送的數據包。
nmap -sX -p 3389 192.168.1.102
從給定的圖像可以觀察結果端口3389是接近。
查看通過wireshark捕獲的源和目的地之間的數據包傳輸順序
· 來源將FIN,PUSH和URG數據包發送到目的地
· 目的RST,ACK包到源
