端口掃描在百度百科上的定義是：
端口掃描是指某些別有用心的人發送一組端口掃描消息，試圖以此侵入某臺計算機，并了解其提供的計算機網絡服務類型(這些網絡服務均與端口號相關)，但是端口掃描不但可以為黑客所利用，同時端口掃描還是網絡安全工作者的必備的利器，通過對端口的掃描，了解網站中出現的漏洞以及端口的開放情況，對網站安全方面有著不可或缺的貢獻，是你學習網絡安全的第一門課程的首選

目前在市面上主要的端口掃描工具是X_Scan、SuperScan、nmap，其中在這里主推的是nmap，因為nmap具有以下的這一些優點：
1、多種多樣的參數，豐富的腳本庫，滿足用戶的個人定制需求，其中腳本庫還提供了很多強大的功能任你選擇
2、強大的可移植性，基本上能在所有的主流系統上運行，而且代碼是開源的
3、詳細的文檔說明，和強大的社區團隊進行支持，方面新人上手

Nmap是一款開源免費的網絡發現（Network Discovery）和安全審計（Security Auditing）工具，但是nmap也是有一些缺點的，比如說上手較難，但是難上手是相對的，與其他達到這種功能性的軟件產品相比，還是比較容易上手的，但是這也不妨礙nmap成為世界千萬安全專家列為必備的工具之一，在其中的一些影視作品中《黑客帝國2》、《特警判官》中都有亮相。

nmap的安裝：可以直接yum install nmap

Nmap包含四項基本功能：
主機發現（Host Discovery）
端口掃描（Port Scanning）
版本偵測（Version Detection）
操作系統偵測（Operating System Detection）

下面就從主機發現一步一步進行探討
主機發現顧名思義就是發現所要掃描的主機是否是正在運行的狀態，接下來就來一個簡單例子
例子要求：獲取http://nmap.org 的主機是否開啟
輸入命令：nmap -F -sT -v nmap.org
-F：掃描100個最有可能開放的端口 -v 獲取掃描的信息 -sT：采用的是TCP掃描 不寫也是可以的，默認采用的就是TCP掃描
運行如下：

 Open    端口開啟，數據有到達主機，有程序在端口上監控
 Closed  端口關閉，數據有到達主機，沒有程序在端口上監控
 Filtered    數據沒有到達主機，返回的結果為空，數據被防火墻或者是IDS過濾
 UnFiltered  數據有到達主機，但是不能識別端口的當前狀態
 Open|Filtered   端口沒有返回值，主要發生在UDP、IP、FIN、NULL和Xmas掃描中
 Closed|Filtered 只發生在IP ID idle掃描

圖中的4是本次返回的關鍵信息，其中我們要主要關注的是端口號，端口狀態，端口上的服務
那你可能就會要問為什么要關注這些端口呢？那這個問題就要轉到探討為什么要進行掃描？
掃描對于黑客和安全人員來說，主要的流程是這樣的

上面的圖中的IP寫錯了，應該改為FTP
從這個圖中我們不難發現，我們主要關注的區域就是這些內容
接下來就來討論下面上面提出來的問題？怎樣對URL解析的時間進行優化，在Nmap重提供了不進行解析的參數(-n),這樣就不會對域名進行解析了
其中關于域名解析的相關參數還有：
-R 為所有的目標主機進行解析
--system-dns 使用系統域名解析器進行解析，這個解析起來會比較慢
--dns-server 服務器選擇DNS解析
說到-R注釋的意思你會有所體會，其實nmap的掃描解析不止是對一個目標主機進行解析，還可以對一定范圍內的目標主機群進行解析
例如：查找45.33.49.119-120的主機的狀態以及端口狀態

分析：
1、雖然查找的主機的數量不多，但是這樣查找起來也是很浪費時間的， 所有我們可以通過使用快速查找的方法來節約時間
快速查找端口方法的原理如下：
默認的情況下，我們的查找是查找最有可能開放的1000端口，但是使用快速端口查找(參數 -F )會查找最有可能開放的100個端口，這樣也就節約了10倍的時間

2、這里我們需要獲取端口的狀態，所以就不能使用參數(-sn)，這個參數是可以跳過端口掃描，直接進行主機發現的
輸入命令：nmap -F -sT -v -n 45.33.49.119-120 45.33.49.119:nmap.org的IP地址
PS:1、-sn參數只能掃描的主機，不能掃描端口，另一個參數也要特別注意的是（-PE）通過ICMP echo判定主機是否存活

運行情況如下：

圖片中的1處指的是，采用sT的掃描方法，這種掃描方法準確，速度快，但是這樣的掃描容易被防火墻和IDS發現并記錄，所以這種方法，實際中并不多用
由圖中的3處我們可以知道在不進行解析的情況下掃描用時為26.92秒，比解析的時候用的時間節約了不少
圖中的4說明了掃描了2個主機，然后只有一個主機為開啟

提示：
在nmap運行的時候，如果我們可以像其他編程一樣打“斷點”，直接按鍵盤的d鍵就行了，如果想知道運行的進度可以按下X鍵

好了，示例也講完了，下面我們就來分析一下掃描的各種方法：

1、TCP掃描（-sT）

這是一種最為普通的掃描方法，這種掃描方法的特點是：掃描的速度快，準確性高，對操作者沒有權限上的要求，但是容易被防火墻和IDS(防入侵系統)發現

運行的原理：通過建立TCP的三次握手連接來進行信息的傳遞

① Client端發送SYN；
② Server端返回SYN/ACK，表明端口開放；
③ Client端返回ACK，表明連接已建立；
④ Client端主動斷開連接。

2、SYN掃描（-sS）

這是一種秘密的掃描方式之一，因為在SYN掃描中Client端和Server端沒有形成3次握手，所以沒有建立一個正常的TCP連接，因此不被防火墻和日志所記錄，一般不會再目標主機上留下任何的痕跡，但是這種掃描是需要root權限（對于windows用戶來說，是沒有root權限這個概念的，root權限是linux的最高權限，對應windows的管理員權限）

運行的原理圖如下：

3、NULL掃描

NULL掃描是一種反向的掃描方法，通過發送一個沒有任何標志位的數據包給服務器，然后等待服務器的返回內容。這種掃描的方法比前面提及的掃描方法要隱蔽很多，但是這種方法的準確度也是較低的， 主要的用途是用來判斷操作系統是否為windows，因為windows不遵守RFC 793標準，不論端口是開啟還是關閉的都返回RST包

但是雖然NULL具有這樣的一些用處，但是本人卻認為不宜使用NULL

1、NULL方法的精確度不高，端口的狀態返回的不是很準確
2、要獲取目標主機的運行系統，可以使用參數(-O),來獲取對于一些操作系統無法準確判斷的，可以加上參數(-osscan-guess)
3、NULL掃描易被過濾

4、FIN掃描

FIN掃描的原理與NULL掃描的原理基本上是一樣的在這里就不重復了

5、ACK掃描

ACK掃描的原理是發送一個ACK包給目標主機，不論目標主機的端口是否開啟，都會返回相應的RST包，通過判斷RST包中的TTL來判斷端口是否開啟

運行原理圖：

TTL值小于64端口開啟，大于64端口關閉

大致上主要的掃描方法就是這些，除了我們可以按照這樣些參數去執行掃描外，還可以自己定義一個TCP掃描包

6、自定義TCP掃描包的參數為（--scanflags）

例如：定制一個包含ACK掃描和SYN掃描的安裝包
命令：nmap --scanflags ACKSYN nmap.org

好了，接下來還有各種掃描方法的端口列表參數

-PS 端口列表用,隔開[tcp80 syn 掃描]
-PA 端口列表用,隔開[ack掃描](PS+PA測試狀態包過濾防火墻【非狀態的PA可以過】)【默認掃描端口1-1024】
-PU 端口列表用,隔開[udp高端口掃描 穿越只過濾tcp的防火墻]

其他的常見命令

輸出命令

-oN 文件名 輸出普通文件
-oX 文件名 輸出xml文件

錯誤調試：

--log-errors 輸出錯誤日志
--packet-trace 獲取從當前主機到目標主機的所有節點

時間優化(0-5)

時間優化的參數是(-T0~5)，最快的掃描速度為-T5,最慢的掃描速度為-T0,實現的原理：通過設置各個端口的掃描周期，從而來控制整個掃描的時間，比如說T0各個端口的掃描周期大約為5分鐘，而T5各個端口的掃描周期為5ms，但是過快的掃描也是有缺點的，掃描的周期過快，會很容易被防火墻和IDS發現并記錄，因為防火墻大多數會將端口周期過段識別為掃描從而屏蔽掉，如果不對其進行設置的話，默認值為T4

--min-hostgroup/--max-hostgroup size 設置組的大小
--min-parallelism/--max-parellelism time指定時間內的探針數

在上節中還講漏了一個知識點獲取指定端口的參數（-p），這個參數的意義在于對于我們有時候只想監控某個特定的端口的狀態，這個參數是即為有用的，可以節約了不少的時間

例如：監控nmap.org的80端口的狀態

命令：nmap -p 80 nmap.org

接下來就進行這一節的主要內容，如果上節沒有了解清楚的同學，建議返回上節理解清楚再開始這一節

這一節我們就來講講怎樣規避被防火墻或IDS發現的風險以及操作的步驟

上節中我們假設的是在一個網絡安全較為薄弱的情況下就可以正常進行的，但是正常的網站或者個人都是對安全有一定的防范的，網站中基本上都會存在安全狗、防火墻等規避風險的措施，個人電腦也會安裝各種安全軟件，所以對于做掃描工作的人來說，我們不知道通過掃描獲取相關的信息，同時也要保護好自己的隱私，比如IP等信息，防止被防火墻或者是網絡日志所記錄下來

在講這節之前我們來了解一下什么事防火墻？

防火墻是通過在客戶端與服務器端之間搭建一個監控（運行的原理有點像Fiddler），通過對特定開放的端口進行屏蔽掉，從而達到網絡安全的作用，防火墻在其功能上也會有一些其他的功能，這個要看防火墻的實際情況

規避的基本思路是：

1、通過偽造訪問的IP地址
2、通過對發送信息進行處理
3、將風險進行嫁接
4、其他的技術

偽造IP地址

偽造IP地址有很多種方法，可以通過下面的這幾種方法是我認為比較常見的希望大家能喜歡

一、誘餌掃描(-D)

誘餌掃描的工作原理是：通過偽造大量的IP與自己真實的IP一起訪問網站，從而混淆管理員的判斷，其中問你們使用ME來代表自己的真實地址

例子：虛構一個IP為203.88.163.34與自己的真實地址去掃描nmap.org

命令：nmap -F -D 203.88.163.34,ME nmap.org

運行的結果如下：

但是在使用偽造的IP的同時，我們要注意要對偽造的IP進行主機發現，來判斷主機是否存在，是否開啟，因為有些防火墻策略是有這樣規定的：如果訪問的IP主機是關閉或者是為空的話，就講所有的返回內容過濾掉。試想一下，如果主機關閉或者是不存在，那么怎么可能會發送掃描的命令給目標主機呢？

要找到開啟的目標主機理論上是沒有什么要求的，但是為了節約時間，我建議是直接使用某個網站的IP地址，這樣有一下的幾個好處

1、IP地址容易獲得，一般的網站是通過ping參數就可以直接獲取該網站的IP地址，除了一些不讓進行Ping操作的網站除外
2、容易保證IP的正常開啟，因為誰家的網站會經常關閉服務器，服務器一般是總是開啟的

二、源地址欺騙(-S)

源地址欺騙的原理是：通過將自己的IP偽裝成為其他的IP去掃描目標主機從而騙過目標主機的追蹤
假設要偽裝成為1.1.1.1：參數-S 1.1.1.1 使用1.1.1.1進行掃描，讓防火墻誤以為是來自1.1.1.1的掃描行為
在使用的時候要注意與-e進行使用，因為除了制定要偽裝成為的對象IP外，還要指定返回的IP地址

三、時間優化（-T）

通過時間優化也提高通過防火墻和IDS的通過率

發送信息處理

指定使用分片(-f)

分片的工作原理是：將可疑的探測包進行分片處理（例如將TCP包拆分成多個IP包發送過去），某些簡單的防火墻為了加快處理速度可能不會進行重組檢查，以此避開其檢查。

將風險責任進行嫁接

空閑掃描（-sI）：

這里有一篇比較全面的文章http://www.2cto.com/Article/201505/396631.html 再次就不多做介紹

其他的相關技術：

有MAC偽造技術等

防火墻/IDS躲避和哄騙

-f; --mtu value                 指定使用分片、指定數據包的MTU.
-D decoy1,decoy2,ME             使用誘餌隱蔽掃描
-S IP-ADDRESS                   源地址欺騙
-e interface                    使用指定的接口
-g/ --source-port PROTNUM       使用指定源端口  
--proxies url1,[url2],...       使用HTTP或者SOCKS4的代理 

--data-length NUM               填充隨機數據讓數據包長度達到NUM
--ip-options OPTIONS            使用指定的IP選項來發送數據包
--ttl VALUE                     設置IP time-to-live域
--spoof-mac ADDR/PREFIX/VEBDOR  MAC地址偽裝
--badsum                        使用錯誤的checksum來發送數據包

其他的相關參數可以參考:
http://www.2cto.com/Article/201203/125686.html 到時候需要再進行查找

相關資料：
http://www.tuicool.com/articles/ZBvmYrN
http://www.2cto.com/Article/201203/125686.html