################ nmap流量分析 ####################

被分析的流量包可以在https://download.csdn.net/download/m0_43406494/12926556

下載

1.-sA

-sA引數啟動TCP ACK Scan，向目標各個埠傳送設定了ACK位的TCP包。

若是目標回覆RST包，則說明目標埠沒有被防火牆遮蔽掉，

若是目標回覆ICMP不可達報文或者沒有回覆則說明被防火牆遮蔽了。

-sA.pcap檔案中有大量的ACK包，而且埠號不同，驗證了Nmap的ACK Scan的工作原理。

2.-sS

-sS引數啟動TCP SYN Scan，向目標各個埠傳送設定了SYN位的TCP包。

若是目標回覆RST包，則說明目標埠是關閉的，

若是回覆SYN/ACK包，則說明目標埠開放，

若是回覆ICMP不可達報文或者沒有回覆則說明目標埠被防火牆遮蔽了。

-sS.pcap檔案中有大量的SYN包，而且埠號不同，驗證了Nmap的SYN Scan的工作原理。

3.-sF -sX

-sF引數啟動TCP FIN Scan -sX引數啟動TCP Xmas Scan

雖然是兩種不同的掃描方式，但是工作原理是相同的。

RFC文件中規定了如果目標埠是關閉的，會對一個沒設定RST位的包回覆RST包。

一個開放的埠收到沒有設定RST、SYN、ACK位的包，會直接丟棄，沒有回覆。

-sF.pcap檔案中有大量的FIN包，-sX檔案中有大量的同時設定了FIN、PUSH、URG位的包

若是目標回覆RST包，則說明目標埠是關閉的，

若是目標埠沒有回覆，則說明目標埠可能是開放的或者是被防火牆遮蔽掉了。

4.-O

-O引數啟動OS探測功能。

要進行OS探測必須要先進行主機發現與埠掃描來確定目標，因此-O.pcap檔案中從No.1到No.1001號資料包都是用來探測主機及埠的SYN包（猜測使用的是SYN Scan），而且相鄰兩個資料包的傳送時間很短，大多小於0.001s，這個就是nmap先迅速探測主機以及埠狀態的過程。

緊接著，nmap開始進行OS探測。

首先，nmap進行第一步：Sequence generation (SEQ, OPS, WIN, and T1)。

從No.1002到No.1007號資料包，nmap每隔0.1秒傳送一個SYN包，這些資料包的引數都是固定的（可以用作指紋），比如說第一個SYN包的window scale是10，MSS是1460，SACK permitted等等。

Nmap官方文件的描述

Wireshark

第二步：ICMP echo(IE)

No.1008、No.1009號資料包是ICMP echo的過程，資料域為100bit的0，還有一些其他的特徵也可以作為特徵。

第三步：UDP (U1)

No.1010號資料包nmap向可能是關閉的埠傳送的UDP包，如果真的是關閉的話，會收到ICMP不可達回覆包，正是No.1011資料包。

這個包的最明顯特徵是data域有300個'C'字元

第四步：TCP explicit congestion notification (ECN)

再次傳送一個TCP包，No.1012號資料包，其引數也是都設定好的。Flags位設定了SYN、ECN、CWR。