端口扫描-国家定义

Question

我目前正在阅读戈登·费奥多·里昂的"NMAP网络扫描“一书。第77页描述了NMAP如何根据主机的响应(或不响应)对端口进行分类。

帮助我更好地理解它们的是对主人返回的旗帜的清晰联想。因此，我创建了下面的列表，希望你们能加倍检查：

 State             Response

 Open              SYN/ACK (SYN probe)
 Closed            RST (SYN probe)
 Filtered          No Answer or ICMP Type 3 and 13 (SYN probe)
 Unfiltered        No Answer or ICMP Type 3 and 13 (ACK probe)
 Open/Filtered     No Answer (UDP, FIN, NULL, XMAS probes)
 Closed/Filtered   No Answer or RST (Idle Scan)

Answer 1

1. 开放：
   • 攻击者向他想要测试的端口发送一个SYN探针
   • 端口返回一个带有SYN和ACK标志的数据包。

2. 封闭：
   • 攻击者向他想要测试的端口发送一个SYN探针
   • 端口直接返回RST/ACK数据包。

3. 过滤：
   • 攻击者向他想要测试的端口发送一个SYN探针
   • 两种场景：
     • 端口响应ICMP错误消息，例如类型3代码13 (目标不可达:禁止通信)。
     • 对于攻击者来说，更令人沮丧的情况是: SYN探测被删除(根本没有回答)

4. 未过滤：
   • 攻击者将ACK探测器发送到他要测试的端口。
   • 端口用RST数据包进行响应。

5. 打开/过滤：
   • 攻击者将UDP、IP、FIN、NULL或Xmas探测发送到他想要测试的端口。
   • 未收到任何答复

6. 封闭/过滤：
   • 攻击者执行空闲扫描(-sI)。
   • 僵尸机器从目标机器接收RST数据包，或者什么也不接收(这意味着攻击者将从僵尸接收IPID=1 )。