端口扫描技术_端口扫描动态的探测协议

什么是TCP/UDP扫描？

一、高级ICMP扫描技术

Ping就是利用ICMP协议走的，高级的ICMP扫描技术主要是利用ICMP协议最基本的用途：报错。根据网络协议，如果按照协议出现了错误，那么接收端将产生一个ICMP的错误报文。这些错误报文并不是主动发送的，而是由于错误，根据协议自动产生。

当IP数据报出现checksum和版本的错误的时候，目标主机将抛弃这个数据报，如果是checksum出现错误，那么路由器就直接丢弃这个数据报了。有些主机比如AIX、HP-UX等，是不会发送ICMP的Unreachable数据报的。

我们利用下面这些特性：

1、向目标主机发送一个只有IP头的IP数据包，目标将返回Destination Unreachable的ICMP错误报文。

2、向目标主机发送一个坏IP数据报，比如，不正确的IP头长度，目标主机将返回Parameter Problem的ICMP错误报文。

3、当数据包分片但是，却没有给接收端足够的分片，接收端分片组装超时会发送分片组装超时的ICMP数据报。

向目标主机发送一个IP数据报，但是协议项是错误的，比如协议项不可用，那么目标将返回Destination Unreachable的ICMP报文，但是如果是在目标主机前有一个防火墙或者一个其他的过滤装置，可能过滤掉提出的要求，从而接收不到任何回应。可以使用一个非常大的协议数字来作为IP头部的协议内容，而且这个协议数字至少在今天还没有被使用，应该主机一定会返回Unreachable，如果没有Unreachable的ICMP数据报返回错误提示，那么就说明被防火墙或者其他设备过滤了，我们也可以用这个办法来探测是否有防火墙或者其他过滤设备存在。

利用IP的协议项来探测主机正在使用哪些协议，我们可以把IP头的协议项改变，因为是8位的，有256种可能。通过目标返回的ICMP错误报文，来作判断哪些协议在使用。如果返回Destination Unreachable，那么主机是没有使用这个协议的，相反，如果什么都没有返回的话，主机可能使用这个协议，但是也可能是防火墙等过滤掉了。NMAP的IP Protocol scan也就是利用这个原理。

利用IP分片造成组装超时ICMP错误消息，同样可以来达到我们的探测目的。当主机接收到丢失分片的数据报，并且在一定时间内没有接收到丢失的数据报，就会丢弃整个包，并且发送ICMP分片组装超时错误给原发送端。我们可以利用这个特性制造分片的数据包，然后等待ICMP组装超时错误消息。可以对UDP分片，也可以对TCP甚至ICMP数据包进行分片，只要不让目标主机获得完整的数据包就行了，当然，对于UDP这种非连接的不可靠协议来说，如果我们没有接收到超时错误的ICMP返回报，也有可能时由于线路或者其他问题在传输过程中丢失了。

我们能够利用上面这些特性来得到防火墙的ACL（access list），甚至用这些特性来获得整个网络拓扑结构。如果我们不能从目标得到Unreachable报文或者分片组装超时错误报文，可以作下面的判断：

1、防火墙过滤了我们发送的协议类型

2、防火墙过滤了我们指定的端口

3、防火墙阻塞ICMP的Destination Unreachable或者Protocol Unreachable错误消息。

4、防火墙对我们指定的主机进行了ICMP错误报文的阻塞。

二、高级TCP扫描技术

最基本的利用TCP扫描就是使用connect()，这个很容易实现，如果目标主机能够connect，就说明一个相应的端口打开。不过，这也是最原始和最先被防护工具拒绝的一种。

在高级的TCP扫描技术中主要利用TCP连接的三次握手特性和TCP数据头中的标志位来进行，也就是所谓的半开扫描。

先认识一下TCP数据报头的这六个标志位。

URG：（Urgent Pointer field significant）紧急指针。用到的时候值为1，用来处理避免TCP数据流中断

ACK：（Acknowledgment field significant）置1时表示确认号（Acknowledgment Number）为合法，为0的时候表示数据段不包含确认信息，确认号被忽略。

PSH：（Push Function），PUSH标志的数据，置1时请求的数据段在接收方得到后就可直接送到应用程序，而不必等到缓冲区满时才传送。

RST：（Reset the connection）用于复位因某种原因引起出现的错误连接，也用来拒绝非法数据和请求。如果接收到RST位时候，通常发生了某些错误。

SYN：（Synchronize sequence numbers）用来建立连接，在连接请求中，SYN=1，ACK=0，连接响应时，SYN=1，ACK=1。即，SYN和ACK来区分Connection Request和Connection Accepted。

FIN：（No more data from sender）用来释放连接，表明发送方已经没有数据发送了。

TCP协议连接的三次握手过程是这样的：

首先客户端（请求方）在连接请求中，发送SYN=1，ACK=0的TCP数据包给服务器端（接收请求端），表示要求同服务器端建立一个连接；然后如果服务器端响应这个连接，就返回一个SYN=1，ACK=1的数据报给客户端，表示服务器端同意这个连接，并要求客户端确认；最后客户端就再发送SYN=0，ACK=1的数据包给服务器端，表示确认建立连接。

我们就利用这些标志位和TCP协议连接的三次握手特性来进行扫描探测。

SYN 扫描

这种扫描方式也被称为“半打开” 扫描，因为利用了TCP协议连接的第一步，并且没有建立一个完整的TCP连接。

实现办法是向远端主机某端口发送一个只有SYN标志位的TCP数据报，如果主机反馈一个SYN || ACK数据包，那么，这个主机正在监听该端口，如果反馈的是RST数据包，说明，主机没有监听该端口。在X-Scanner 上就有SYN的选择项。

ACK 扫描

发送一个只有ACK标志的TCP数据报给主机，如果主机反馈一个TCP RST数据报来，那么这个主机是存在的。也可以通过这种技术来确定对方防火墙是否是简单的分组过滤，还是一个基于状态的防火墙。

FIN

对某端口发送一个TCP FIN数据报给远端主机。如果主机没有任何反馈，那么这个主机是存在的，而且正在监听这个端口；主机反馈一个TCP RST回来，那么说明该主机是存在的，但是没有监听这个端口。

NULL

即发送一个没有任何标志位的TCP包，根据RFC793，如果目标主机的相应端口是关闭的话，应该发送回一个RST数据包。

FIN+URG+PUSH

向目标主机发送一个Fin、URG和PUSH分组，根据RFC793，如果目标主机的相应端口是关闭的，那么应该返回一个RST标志。

上面这些办法可以绕过一些防火墙，从而得到防火墙后面的主机信息，当然，是在不被欺骗的情况下的。这些方法还有一个好处就是比较难于被记录，有的办法即使在用netstat命令上也根本显示不出来，而且一般的安全防护设备也根本不记录这些内容，这样能够更好地隐藏自己。

三、高级UDP扫描技术

在UDP实现的扫描中，多是了利用和ICMP进行的组合进行，这在ICMP中以及提及了。还有一些特殊的就是UDP回馈，比如SQL SERVER，对其1434端口发送‘x02’或者‘x03’就能够探测得到其连接端口。

端口相关知识

（初识端口）

在网络应用方面，初学者可以把“端口”理解为计算机通信通道。可以把计算机比作一栋大楼，而端口就是通往各个方向的门，电脑内的软件和数据就是通过这些门与外界交流。服务器端口最多可以有65535个，并且用正整数来编号，而不同的服务采用不同的端口，就像大楼中不同部门的员工进入自己的办公室一样，相互独立，互不干扰。值得一提的是，根据传输数据模式的不同，端口分为两种，一种是TCP端口，另一种是UDP端口。TCP方式是指发送信息以后，可以确认信息是否到达，也就是有应答的方式；而UDP方式发送以后就不管了，不去确认信息是否到达。

（程序占用的端口）

需要访问网络的程序通常都是通过端口通信的，它们通常都占用不同的端口号，而且许多程序的端口号都是可以设定的。

（端口管理）

端口常常是黑客攻击的突破口，黑客们通常会用扫描器对目标主机的端口扫描，以确定那些端口是开放的，而从开放的端口，黑客可以推测目标主机大致提供了哪些服务，进而猜测可能存在的漏洞并进行攻击。

应该如何守住自己的端口，不让它们成为系统的后门呢？你也许认为关闭容易被攻击的端口就行了，其实这是一个误区。应该关闭所有端口，只开放常用的端口。下面以windows自带的防火墙为例，给大家说说管理端口的基本方法。

如果有些端口和程序只对内网用户或者特定用户开放，该如何操作呢？选中相关程序，点击编辑按钮，打开编辑对话框，点击“编辑范围”，打开“更改范围对话框”，在此我们可以把访问限制在子网，也可以通过设定IP，向指定的用户开放端口。除此以外，还能通过“添加端口”按钮开放相关的端口。

端口可分为3大类：

1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服 务的协议。例如：80端口实际上总是HTTP通讯。

2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住：并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。0通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试 图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为 0.0.0.0，设置ACK位并在以太网层广播。 1 tcpmux 这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。 7Echo你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见Chargen） 另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDPecho：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

11 sysstat这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍：ICMP没有端口，ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击伪造两 个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632 （十六进制的0x1600）位交换后是0x0016（使进制的22）。

23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术，入侵者会找到密码。

25 smtp攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。

53 DNSHacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

67和68 Bootp和DHCPUDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件

79 finger Hacker

98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。 此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等）109 POP2并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。

110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有：pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供 服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

113 Ident auth .这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回T，着将回停止这一缓慢的连接。

119 NNTP news新闻组传输协议，承载USENET通讯。当你链接到诸如：news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用 机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运 行Exchange Server吗？是什么版本？ 这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻 击直接针对这个端口。

137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息，请仔细阅读文章后面的NetBIOS一节 139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasicScripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。

143 IMAP和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2，但并不流行。 已有一些报道发现有些0到143端口的攻击源于脚本。

161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播（cable modem, DSL）查询sysName和其它信息。

用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。

162 SNMP trap 可能是由于错误配置

177 xdmcp 许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。

513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供 了很有趣的信息

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procedure call）系统。Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP 的mountd有所增加（mountd同时运行于两个端口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个新端口。

1025 参见1024

1026 参见1024

1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。 WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。

1243 Sub-7木马（TCP）参见Subseven部分。

1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口（尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本，如statd,ttdbserver和cmsd）。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。

2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。

3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口： 000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户（或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。

5632 pcAnywere你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。

6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。）6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载： 机器会不断试图解析DNS名—ads.conducent.com，即IP地址216.33.210.40 ； 216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不知NetAnts使用的Radiate是否也有这种现象）

27374 Sub-7木马(TCP) 参见Subseven部分。

30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。即 3=E, 1=L, 7=T）。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的 木马程序越来越流行。

31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马（RAT,Remote Access Trojan）。这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连 接意味着已经有这种入侵。（31789端口是控制连接，317890端口是文件传输连接）

32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（2.5.1之前）将 portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。

33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。参见traceroute分。

41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见

端口1~1024是保留端口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。

1-5/tcp 动态 FTP 1-5端口意味着sscan脚本

20/tcp 动态 FTP FTP服务器传送文件的端口

53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。

123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送到这个端口的广播。

27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器（IP asquerade）

使用Nmap进行端口扫描

    在未经授权的情况下夺取计算机系统控制权的行为是 违法行为， 此篇文章仅作为学习交流和探讨，若要测试成果，请在自己虚拟机上测试，或者被允许渗透的计算机系统上演练， 请勿做出违法之骚操作，操作者做出的一切违法操作均与本人和此文无关

    本文使用Nmap进行扫描，其他扫描手段本文不进行探讨

    Nmap是端口扫描方面的业内标准，网上的资料让人眼花缭乱，时至今日，各式各样的防火墙已经普遍采用了入侵检测和入侵防御技术，他们能够有效地拦截常见的端口扫描，所以，即使使用Nmap程序扫描结果一无所获也不是什么意外的事。换句话说， 如果你在公网上对指定网段进行主机扫描时没检测出一台在线主机，那么就应当认为扫描行动多半是被防火墙系统拦截下来了，反之则是另一种极端情况：每台主机都在线，每个端口都处于开放状态

SYN扫描

    所谓的SYN扫苗实际上是一种模拟TCP握手的端口扫描技术。TCP握手分为3个阶段：SYN、SYN-ACK、ACK。在进行SYN扫描时，Nmap程序向远程主机发送SYN数据包并等待对方的SYN-ACK数据。 如果在最初发送SYN数据包之后没有收到SYN-ACK响应，那么既定端口就不会是开放端口，在此情况下，既定端口不是关闭就是被过滤了

    在使用Nmap扫描之前，可以先使用maltego之类的信息搜集工具分析出有用的信息。我使用一个非法网站的IP来作为演示

需要注意的是，某个端口是开放端口不代表这个端口背后的程序存在安全缺陷，我们仅能够通过开放端口初步了解计算机运行的应用程序，进而判断这个程序是否存在安全缺陷

    版本扫描

    虽然SYN扫描具有某种隐蔽性，但它不能告诉我们打开这些端口的程序到底是什么版本，如果说我们想要知道这台主机的某个端口在运行着什么程序以及它运行的版本，这在我们后期威胁建模阶段有极大的用处， 使用-sT或者-sV 即可查看

    运气很好，看来这个网站运行的程序有安全漏洞，这个名为OpenSSH 5.3的软件存在着一个CVE-2016-10009漏洞，攻击者可以通过远程攻击openssh来获得服务器权限。我们在这里不做攻击操作，毕竟这是别人的网站，虽然是个违法网站。如果有机会后期笔者将会根据情况写一些关于漏洞利用的文章

UPD扫描

    Nmap的SYN扫描和完整的TCP扫描都不能扫描UDP，因为UDP的程序采用无连接的方式传输。在进行UDP扫描时，Nmap将向既定端口发送UPD数据包，不过UDP协议的应用程序有着各自不同的数据传输协议，因此在远程主机正常回复该数据的情况下，能够确定既定端口处于开放状态。 如果既定端口处于关闭状态，那么Nmap程序应当收到ICMP协议的端口不可达信息。 如果没有从远程主机收到任何数据那么情况就比较复杂了，比如说：端口可能处于发放状态，但是响应的应用程序没有回复Nmap发送的查询数据，或者远程主机的回复信息被过滤了，由此可见 在开放端口和被防火墙过滤的端口方面，Nmap存在相应的短板

扫描指定端口

    指定端口的扫描可能造成服务器崩溃，最好还是踏踏实实的彻底扫描全部端口 。就不拿别人的服务器来测试了，毕竟我也怕被报复，在这里我把渗透目标设置为我自己的xp靶机，步骤跟前面一样，扫描出端口查看是否有可利用程序，然后对想扫描的端口进行扫描

在渗透测试中，我们都不希望致使任何服务器崩溃，但是我们的确可能会遇到那些无法正确受理非预期输入的应用程序，在这种情况下，Nmap的扫描数据就可能引发程序崩溃

关于电脑的端口的安全问题

TCP端口：作用,漏洞,操作详析

在上网的时候，我们经常会看到“端口”这个词，也会经常用到端口号，比如在FTP地址后面增加的“�21”，21就表示端口号。那么端口到底是什么意思呢？怎样查看端口号呢？一个端口是否成为网络恶意攻击的大门呢？，我们应该如何面对形形色色的端口呢？下面就将介绍这方面的内容,以供大家参考。�

21端口：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务。

端口说明：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务，FTP服务主要是为了在两台计算机之间实现文件的上传与下载，一台计算机作为FTP客户端，另一台计算机作为FTP服务器，可以采用匿名（anonymous）登录和授权用户名与密码登录两种方式登录FTP服务器。目前，通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的方法。另外，还有一个20端口是用于FTP数据传输的默认端口号。

在Windows中可以通过Internet信息服务（IIS）来提供FTP连接和管理，也可以单独安装FTP服务器软件来实现FTP功能，比如常见的FTP Serv-U。

操作建议：因为有的FTP服务器可以通过匿名登录，所以常常会被黑客利用。另外，21端口还会被一些木马利用，比如Blade Runner、 FTP Trojan、Doly Trojan、WebEx等等。如果不架设FTP服务器，建议关闭21端口。 23端口：23端口主要用于Telnet （远程登录）服务，是Internet上普遍采用的登录和仿真程序。

端口说明：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端，开启Telnet服务的客户端就可以登录远程Telnet服务器，采用授权用户名和密码登录。登录之后，允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中，键入“Telnet”命令来使用Telnet远程登录。

操作建议：利用Telnet服务，黑客可以搜索远程登录Unix的服务，扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。Telnet服务的23端口也是 TTS（Tiny Telnet Server）木马的缺省端口。所以，建议关闭23端口。

25端口：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。

端口说明：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候，在创建账户时会要求输入SMTP服务器地址，该服务器地址默认情况下使用的就是25端口。

端口漏洞：

1. 利用25端口，黑客可以寻找SMTP服务器，用来转发垃圾邮件。

2. 25端口被很多木马程序所开放，比如Ajan、Antigen、Email Password Sender、ProMail、trojan、 Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy来说，通过开放25端口，可以监视计算机正在运行的所有窗口和模块。

操作建议：如果不是要架设SMTP邮件服务器，可以将该端口关闭。

53端口：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。

端口说明：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换，只要记住域名就可以快速访问网站。

端口漏洞：如果开放DNS服务，黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址，再利用53端口突破某些不稳定的防火墙，从而实施攻击。近日，美国一家公司也公布了10个最易遭黑客攻击的漏洞，其中第一位的就是DNS服务器的BIND漏洞。

操作建议：如果当前的计算机不是用于提供域名解析服务，建议关闭该端口。

67、68端口：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。

端口说明：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和 Bootstrap Protocol Client（引导程序协议客户端）开放的端口。Bootp服务是一种产生于早期Unix的远程启动协议，我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。通过Bootp服务可以为局域网中的计算机动态分配IP地址，而不需要每个用户去设置静态IP 地址。

端口漏洞：如果开放Bootp服务，常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”（man-in-middle）方式进行攻击。

操作建议：建议关闭该端口。

69端口：TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。

端口说明：69端口是为TFTP（Trival File Tranfer Protocol，次要文件传输协议）服务开放的，TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。不过与FTP相比，TFTP不具有复杂的交互存取接口和认证控制，该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。

端口漏洞：很多服务器和Bootp服务一起提供TFTP服务，主要用于从系统下载启动代码。可是，因为TFTP服务可以在系统中写入文件，而且黑客还可以利用TFTP的错误配置来从系统获取任何文件。

操作建议：建议关闭该端口。

79端口：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。

端口说明：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机上的user01用户的信息，可以在命令行中键入“finger user01@”即可。

端口漏洞：一般黑客要攻击对方的计算机，都是通过相应的端口扫描工具来获得相关信息，比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本，获得用户信息，还能探测已知的缓冲区溢出错误。这样，就容易遭遇到黑客的攻击。而且，79端口还被Firehotcker木马作为默认的端口。

操作建议：建议关闭该端口。

80端口：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。

端口说明：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。我们可以通过HTTP地址加“:80”（即常说的“网址”）来访问网站的，比如，因为浏览网页服务默认的端口号是80，所以只要输入网址，不用输入“:80”。

端口漏洞：有些木马程序可以利用80端口来攻击计算机的，比如Executor、RingZero等。

操作建议：为了能正常上网冲浪，我们必须开启80端口。

99端口：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。

端口说明：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。

端口漏洞：虽然“Metagram Relay”服务不常用，可是Hidden Port、NCx99等木马程序会利用该端口，比如在 Windows 2000中，NCx99可以把cmd．exe程序绑定到99端口，这样用Telnet就可以连接到服务器，随意添加用户、更改权限。

作建议：建议关闭该端口。

109、110端口：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的。

端口说明：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3 （邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的，目前POP3使用的比较多，许多服务器都同时支持POP2和POP3。客户端可以使用POP3协议来访问服务端的邮件服务，如今ISP的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候，会要求输入POP3服务器地址，默认情况下使用的就是110端口。

端口漏洞：POP2、POP3在提供邮件接收服务的同时，也出现了不少的漏洞。单单 POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个，比如WebEasyMail POP3 Server合法用户名信息泄露漏洞，通过该漏洞远程攻击者可以验证用户账户的存在。另外，110端口也被ProMail trojan等木马程序所利用，通过110端口可以窃取POP账号用户名和密码。

操作建议：如果是执行邮件服务器，可以打开该端口。

111端口：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。

端口说明：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。常见的RPC服务有rpc．mountd、NFS、rpc．statd、rpc． csmd、rpc．ttybd、amd等等。在Microsoft的Windows中，同样也有RPC服务。

端口漏洞：SUN RPC有一个比较大漏洞，就是在多个RPC服务时xdr＿array函数存在远程缓冲溢出漏洞，通过该漏洞允许攻击者传递超。

113端口：113端口主要用于Windows的“Authentication Service”（验证服务）。

端口说明：113端口主要用于Windows的“Authentication Service”（验证服务），一般与网络连接的计算机都运行该服务，主要用于验证TCP连接的用户，通过该服务可以获得连接计算机的信息。在Windows 2000/2003 Server中，还有专门的IAS组件，通过该组件可以方便远程访问中进行身份验证以及策略管理。

端口漏洞：113端口虽然可以方便身份验证，但是也常常被作为FTP、 POP、SMTP、IMAP以及IRC等网络服务的记录器，这样会被相应的木马程序所利用，比如基于IRC聊天室控制的木马。另外，113端口还是 Invisible Identd Deamon、Kazimas等木马默认开放的端口。

操作建议：建议关闭该端口。

119端口：119端口是为“Network News Transfer Protocol”（网络新闻组传输协议，简称NNTP）开放的。

端口说明：119端口是为“Network News Transfer Protocol”（网络新闻组传输协议，简称NNTP）开放的，主要用于新闻组的传输，当查找USENET服务器的时候会使用该端口。

端口漏洞：著名的Happy99蠕虫病毒默认开放的就是119端口，如果中了该病毒会不断发送电子邮件进行传播，并造成网络的堵塞。

操作建议：如果是经常使用USENET新闻组，就要注意不定期关闭该端口。 135端口：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。

端口说明：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。

端口漏洞：相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒，该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞，该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口，该接口侦听的端口就是135。

操作建议：为了避免“冲击波”病毒的攻击，建议关闭该端口。

137端口：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务）。

端口说明：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务），属于UDP端口，使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求，就可以获取该计算机的名称、注册用户名，以及是否安装主域控制器、IIS是否正在运行等信息。

端口漏洞：因为是UDP端口，对于攻击者来说，通过发送请求很容易就获取目标计算机的相关信息，有些信息是直接可以被利用，并分析漏洞的，比如IIS服务。另外，通过捕获正在利用137端口进行通信的信息包，还可能得到目标计算机的启动和关闭的时间，这样就可以利用专门的工具来攻击。

操作建议：建议关闭该端口。

139端口：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。

端口说明：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的 Samba服务。在Windows中要在局域网中进行文件的共享，必须使用该服务。比如在Windows 98中，可以打开“控制面板”，双击“网络”图标，在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务；在Windows 2000/XP中，可以打开“控制面板”，双击“网络连接”图标，打开本地连接属性；接着，在属性窗口的“常规”选项卡中选择“Internet协议（TCP/IP）”，单击“属性”按钮；然后在打开的窗口中，单击“高级”按钮；在“高级TCP/IP设置”窗口中选择“WINS”选项卡，在“NetBIOS设置”区域中启用TCP/IP上的 NetBIOS。

端口漏洞：开启139端口虽然可以提供共享服务，但是常常被攻击者所利用进行攻击，比如使用流光、SuperScan等端口扫描工具，可以扫描目标计算机的139端口，如果发现有漏洞，可以试图获取用户名和密码，这是非常危险的。

操作建议：如果不需要提供文件和打印机共享，建议关闭该端口。

143端口：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息访问协议，简称IMAP）。

端口说明：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息访问协议，简称 IMAP），和POP3一样，是用于电子邮件的接收的协议。通过IMAP协议我们可以在不接收邮件的情况下，知道信件的内容，方便管理服务器中的电子邮件。不过，相对于POP3协议要负责一些。如今，大部分主流的电子邮件客户端软件都支持该协议。

端口漏洞：同POP3协议的110端口一样，IMAP使用的143端口也存在缓冲区溢出漏洞，通过该漏洞可以获取用户名和密码。另外，还有一种名为“admv0rm”的Linux蠕虫病毒会利用该端口进行繁殖。

操作建议：如果不是使用IMAP服务器操作，应该将该端口关闭。

161端口：161端口是用于“Simple Network Management Protocol”（简单网络管理协议，简称SNMP）。

端口说明：161端口是用于“Simple Network Management Protocol”（简单网络管理协议，简称SNMP），该协议主要用于管理TCP/IP网络中的网络协议，在Windows中通过SNMP服务可以提供关于TCP/IP网络上主机以及各种网络设备的状态信息。目前，几乎所有的网络设备厂商都实现对SNMP的支持。�

在Windows 2000/XP中要安装SNMP服务，我们首先可以打开“Windows组件向导”，在“组件”中选择“管理和监视工具”，单击“详细信息”按钮就可以看到“简单网络管理协议（SNMP）”，选中该组件；然后，单击“下一步”就可以进行安装。

端口漏洞：因为通过SNMP可以获得网络中各种设备的状态信息，还能用于对网络设备的控制，所以黑客可以通过SNMP漏洞来完全控制网络。

操作建议：建议关闭该端口443端口：443端口即网页浏览端口，主要是用于HTTPS服务，是提供加密和通过安全端口传输的另一种HTTP。

端口说明：443端口即网页浏览端口，主要是用于HTTPS服务，是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站，比如银行、证券、购物等，都采用HTTPS服务，这样在这些网站上的交换信息其他人都无法看到，保证了交易的安全性。网页的地址以https://开始，而不是常见的http://。

端口漏洞：HTTPS服务一般是通过SSL（安全套接字层）来保证安全性的，但是SSL漏洞可能会受到黑客的攻击，比如可以黑掉在线银行系统，盗取信用卡账号等。

操作建议：建议开启该端口，用于安全性网页的访问。另外，为了防止黑客的攻击，应该及时安装微软针对SSL漏洞发布的最新安全补丁。

554端口：554端口默认情况下用于“Real Time Streaming Protocol”（实时流协议，简称RTSP）。

端口说明：554端口默认情况下用于“Real Time Streaming Protocol”（实时流协议，简称RTSP），该协议是由 RealNetworks和Netscape共同提出的，通过RTSP协议可以借助于Internet将流媒体文件传送到RealPlayer中播放，并能有效地、最大限度地利用有限的网络带宽，传输的流媒体文件一般是Real服务器发布的，包括有.rm、.ram。如今，很多的下载软件都支持RTSP协议，比如FlashGet、影音传送带等等。�

端口漏洞：目前，RTSP协议所发现的漏洞主要就是RealNetworks早期发布的Helix Universal Server存在缓冲区溢出漏洞，相对来说，使用的554端口是安全的。

操作建议：为了能欣赏并下载到RTSP协议的流媒体文件，建议开启554端口。

1024端口：1024端口一般不固定分配给某个服务，在英文中的解释是“Reserved”（保留）。

端口说明：1024端口一般不固定分配给某个服务，在英文中的解释是“Reserved”（保留）。之前，我们曾经提到过动态端口的范围是从 1024～65535，而1024正是动态端口的开始。该端口一般分配给第一个向系统发出申请的服务，在关闭服务的时候，就会释放1024端口，等待其他服务的调用。

端口漏洞：著名的YAI木马病毒默认使用的就是1024端口，通过该木马可以远程控制目标计算机，获取计算机的屏幕图像、记录键盘事件、获取密码等，后果是比较严重的。

操作建议：一般的杀毒软件都可以方便地进行YAI病毒的查杀，所以在确认无YAI病毒的情况下建议开启该端口。

【traceroute】关于traceroute（路由追踪）的原理分析

traceroute 主要利用 IP 数据包的 TTL 字段值 + ICMP 来实现，它发送的用于探测网络路径的数据包的 IP 之上的协议可以是 UDP、TCP或ICMP。

协议表示该数据报文所携带的数据所使用的协议类型，占 8 位。

该字段可以方便目的主机的 IP 层知道按照什么协议来处理数据部分。不同的协议有专门不同的协议号。

例如，TCP 的协议号为 6，UDP 的协议号为 17，ICMP 的协议号为 1。

不同模式下，探测过程中设计的数据包如下：

UDP 探测数据包（目标端口大于 30000） + 中间网关发回 ICMP TTL 超时数据包 + 目标主机发回 ICMP Destination Unreachable 数据包

TCP [SYN] 探测数据包（默认目标端口为 80） + 中间网关发回 ICMP TTL 超时数据包 + 目标主机发回 TCP [SYN ACK] 数据包

ICMP Echo (ping) Request 探测数据包 + 中间网关发回 ICMP TTL 超时数据包 + 目标主机发回 ICMP Echo (ping) reply 数据包

UDP 端口扫描比较麻烦，它同TCP不一样，因为它不需要建立连接。

我们向 目标主机 的固定端口发送UDP数据包，可以得到 两种结果：

在运营商的路由器上，UDP 与 ICMP 的待遇大不相同。

为了利于 troubleshooting，ICMP ECHO Request/Reply 是不会封的，而 UDP 则不同。

UDP 常被用来做网络攻击，因为 UDP 无需连接，因而没有任何状态约束它，比较方便攻击者伪造源 IP、伪造目的端口发送任意多的 UDP 包，长度自定义。

所以运营商为安全考虑，对于 UDP 端口常常采用白名单 ACL，就是只有 ACL 允许的端口才可以通过，没有明确允许的则统统丢弃。比如允许 DNS/DHCP/SNMP 等。

当网络工程师用Ping时，Ping在偷摸做啥事儿？

ping命令是依托于 ICMP协议的， ICMP协议的存在就是为了更高效的转发 IP数据报和提高交付成功的机会。

ping命令除了依托于 ICMP，在局域网下还要借助于 ARP协议， ARP协议能根据 IP地址反查出计算机的 MAC地址。

另外 ARP是有缓存的，为了保证 ARP的准确性，计算机会更新ARP缓存。

有时我们traceroute 一台主机时，会看到有一些行是以星号表示的。

出现这样的情况，可能是防火墙封掉了ICMP的返回信息，所以我们得不到什么相关的数据包返回数据。

有些路由器会隐藏的自己的位置，不让ICMP Timeout的消息通过，结果就是在那一跳上始终会显示星号。此外服务器也可以伪造traceroute路径的，不过一般应用服务器也没有理由这么做，所以Traceroute的结果还是能够为网络分析提供一些参考的。

Linux下traceroute程序默认发送的探测包为UDP协议，windows下tracert、mtr，以及Linux下mtr默认都发送的是icmp的数据包，并不是所有网关都会如实返回 ICMP 超时报文。处于安全性考虑，大多数防火墙以及启用了防火墙功能的路由器缺省配置为不返回各种 ICMP 报文，其余路由器或交换机也可能被管理员主动修改配置变为不返回 ICMP 报文。因此 Traceroute 程序不一定能拿到所有的沿途网关地址。所以，当某个 TTL 值的数据包得不到响应时，并不能停止这一追踪过程，程序仍然会把 TTL 递增而发出下一个数据包。这个过程将一直持续到数据包发送到目标主机，或者达到默认或用参数指定的追踪限制（maximum_hops 默认最大为30）才结束追踪

如果在局域网中的不同网段之间，我们可以通过traceroute 来排查问题所在，是主机的问题还是网关的问题。

如果我们通过远程来访问某台服务器遇到问题时，我们用到traceroute 追踪数据包所经过的网关，提交IDC服务商，也有助于解决问题；但目前看来在国内解决这样的问题是比较困难的，就是我们发现问题所在，IDC服务商也不可能帮助我们解决。

动态图解traceroute（路由追踪）的原理与实现

IP数据报格式详解

解析为何traceroute探测的时候中间有些节点探测不到？

traceroute使用与实现原理分析

traceroute（路由追踪）的原理及实现

为什么目标地址ping能通，但是tracetoute不通？

只会用ping测试网络通不通？高级网工还会这么用

当网络工程师用Ping时，Ping在偷摸做啥事儿？

traceroute原理

TCP/UDP/ICMP Traceroute的原理及区别

goby的使用中如何扫描一个c段ip

1.资产收集

自动探测当前网络空间存活的 IP 及解析域名到 IP，轻量且快速的分析出端口对应的协议、Mac 地址、证书、应用产品、厂商等信息。

子域名扫描

自动爬取子域名，AXFR 监测，二级域名字典爆破，关联域名查询。同时支持连接 FOFA，扩大数据源。

网站截图

通过截图，快速判断网站系统应用，无须再一一打开。

注：该功能基于 Chrome 截图插件实现，需要预安装 Chrome 浏览器。

深度分析

发现非标准端口或非标准应用系统资产，进行深入的应用识别。在实战场景中非常有效。

代理扫描

通过 socket5 代理，快速进入内网，开启内网渗透。

注：支持 Pcap 及 socket 两种模式，请根据不同的场合动态切换。

pcap 模式：支持协议识别和漏洞扫描，不支持端口扫描；

socket 模式：支持端口扫描协议识别以及漏洞扫描，扫描速度慢。