主動資訊收集

• 直接與目標系統互動通訊
• 無法避免留下訪問的痕跡
• 使用受控的第三方電腦進行探測：
• 使用代理或已經被控制的主機
• 做好被封殺的準備
• 使用噪聲迷惑目標，淹沒還真實的探測流量
• 掃描：傳送不同的探測，根據返回結果判斷目標狀態

二層發現

• ARP協議，在OSI七層模型上屬於二層鏈路層協議，但在tcp/ip模型上屬於三層協議
• 優點：掃描速度快，可靠
• 缺點：不可路由

nmap 192.168.31.1 -sn 不進行埠掃描

三層發現

• 優點：可路由
• 缺點：經常被邊界防火牆過濾
• IP，ICMP 協議

四層發現

• 優點：可路由且結果可靠；不太可能被防火牆過濾，甚至可以發現所有埠都被過濾的主機
• 缺點：基於狀態過濾的防火牆過濾掃描，全埠掃描慢

TCP

• 未經請求的ACK-RST
• SYN-SYN/ACK,RST

nmap 1.1.1.1-254 -PA80 –sn

UDP

• ICMP 不可達，一去不復返

nmap 1.1.1.1-254 -PU53 -sn

埠掃描

• 埠對應網路服務及應用端程式
• 服務端的漏洞通過埠攻入
• 發現開放的埠
• 更具體的攻擊面

UDP 埠掃描

• 假設 ICMP port-unreachable 響應代表埠關閉；如果沒有回包則代表埠開放
• 完整的 UDP 應用層請求：準確性高，耗時性大

nmap -sU
 
 1.1.1.1 -P 53

TCP 埠掃描

• 基於連線的協議
• 三次握手
• 隱蔽掃描
• 殭屍掃描
• 全連線掃描
• 所有的TCP掃描方式，都是基於三次握手的變化，來判斷目標埠的狀態

隱蔽掃描

• 不建立完整連線-SYN
• 應用層日誌不記錄掃描行為-隱蔽

nmap -sS 1.1.1.1 -p- --open

殭屍掃描

• 極度隱蔽
• 實施條件苛刻
• 可偽造源地址
• 選擇殭屍機：閒置系統，系統使用遞增的 IPID

nmap -p 445 1.1.1.1 --script=ipidseq.nse   發現殭屍機
nmap 1.1.1.1 sl 2.2.2.2 -Pn -P- --open  掃描目標
 

全連線埠掃描

nmap -sT 1.1.1.1 -p- --open

服務掃描

• 識別開放埠上的應用
• 識別目標作業系統
• 提高攻擊效率

服務掃描-BANNER

nmap -sT 1.1.1.1 -p 22 --script=banner

服務掃描-服務識別

nmap 1.1.1.1 -p 22 -sV

服務掃描-作業系統識別

TTL起始值

nmap 使用多種技術識別作業系統：

nmap 1.1.1.1 -O

服務掃描-SMB掃描

Server Message Block 協議

• 微軟歷史上出現安全問題最多的協議
• 實現複雜
• 預設開放
• 檔案共享
• 空會話未認證身份訪問

nmap 1.1.1.1 -p139,445 --script=smb-os-discovery.nse
nmap -v -p139,445 --script=smb-check-vulns --script-args=unsafe=1 1.1.1.1

服務掃描-WAF識別

nmap www.microsoft.com --script=http-waf-detect.nse