主页 / server / 问题 / 693093
Accepted
Matka
Asked: 2015-05-20 09:36:36 +0800 CST

为什么 nmap 发送两个数据包以测试单个端口

  • 772

我使用 sudo 以 root 权限运行 nmap,所以我假设它可以完全访问创建原始套接字。当我使用该命令时,Wireshark 显示用于测试单个端口的两个数据包

sudo nmap 192.168.110.153 -p21

这是正常的行为吗?为什么?

在此处输入图像描述

sudo nmap 192.168.110.153 -p21 --packet-trace

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-19 19:18 BST
SENT (0.0447s) ARP who-has 192.168.110.153 tell 192.168.110.155
RCVD (0.0450s) ARP reply 192.168.110.153 is-at 00:0C:29:F4:05:E0
NSOCK INFO [0.2450s] nsi_new2(): nsi_new (IOD #1)
NSOCK INFO [0.2450s] nsock_connect_udp(): UDP connection requested to 127.0.1.1:53 (IOD #1) EID 8
NSOCK INFO [0.2460s] nsock_read(): Read request from IOD #1 [127.0.1.1:53] (timeout: -1ms) EID 18
NSOCK INFO [0.2460s] nsock_trace_handler_callback(): Callback: CONNECT SUCCESS for EID 8 [127.0.1.1:53]
NSOCK INFO [0.2460s] nsock_trace_handler_callback(): Callback: WRITE SUCCESS for EID 27 [127.0.1.1:53]
NSOCK INFO [0.2740s] nsock_trace_handler_callback(): Callback: READ SUCCESS for EID 18 [127.0.1.1:53] (46 bytes): *%...........153.110.168.192.in-addr.arpa.....
NSOCK INFO [0.2740s] nsock_read(): Read request from IOD #1 [127.0.1.1:53] (timeout: -1ms) EID 34
NSOCK INFO [0.2740s] nsi_delete(): nsi_delete (IOD #1)
NSOCK INFO [0.2740s] msevent_cancel(): msevent_cancel on event #34 (type READ)
SENT (0.2751s) TCP 192.168.110.155:45170 > 192.168.110.153:21 S ttl=39 id=28633 iplen=44  seq=3053138125 win=1024 <mss 1460>
SENT (0.3754s) TCP 192.168.110.155:45171 > 192.168.110.153:21 S ttl=46 id=8796 iplen=44  seq=3053072588 win=1024 <mss 1460>
RCVD (0.2759s) TCP 192.168.110.153:21 > 192.168.110.155:45170 RA ttl=64 id=14442 iplen=40  seq=0 win=0 
RCVD (0.3756s) TCP 192.168.110.153:21 > 192.168.110.155:45171 RA ttl=64 id=14443 iplen=40  seq=0 win=0 
Nmap scan report for 192.168.110.153
Host is up (0.00047s latency).
PORT   STATE  SERVICE
21/tcp closed ftp
MAC Address: 00:0C:29:F4:05:E0 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 0.50 seconds
nmap

3 个回答

  1. Best Answer

    libpcap在将数据包传递给 Nmap 之前排队数据包似乎存在问题。注意 Wireshark 和 Nmap 在数据包排序上的区别;即使时间戳相同,打印行的顺序显示数据包是在发送第二个 SYN 数据包之后传送到 Nmap 的。我们最近在与数据包环/TPACKET 接口相关的较新 Linux 内核上遇到了 libpcap 1.5.3(可能还有 1.6 分支,尚未测试)的问题,在数据包到达时没有传送数据包。的输出是nmap --version什么?

    根本问题是 Linux 中的一个错误,该错误已经修复但未向后移植。我们通过将 libpcap 升级到版本 1.7.3 解决了这个问题,该版本有一些变通方法。

    • 2

  2. 鉴于您的屏幕截图,似乎[R.]数据包在到达您正在扫描的机器之前已被过滤,并且 nmap 使用了它的重新传输功能,因为第一个[S]数据包没有收到任何答案。

    您可以使用禁用此功能--max-retries 0

    • 1

  3. 为什么 nmap 发送两个数据包以测试单个端口?

    正常情况下:因为建立 TCP 连接需要三次握手...发送 SYN -> 接收 SYN-ACK -> 发送 ACK

    在这种情况下:因为来自 192.168.110.153 的响应是RST, ACK 或者换句话说:与端口 21 的连接被拒绝。可能 nmap 有点持久性,并尝试了两次,然后才以“否”作为答案。

    • 0

相关问题