信息搜集 - 四层发现 Nmap

0x00：简介

四层发现主要利用 tcp 和 udp，而除了 scapy 外，nmap 无疑也是一个很强大的工具。

0x01：nmap 四层发现

首先，来看一下主要用到的参数，如下图：

红框中的参数分别是 PS、PA、PU、PY，扫描类型代表是 syn、ack、udp、sctp。

nmap 在四层使用 udp 做发现命令格式是：namp 1.1.1.0/24 -PU22222 -sn，扫描段可以使用 0/24，也可以使用 1-254，PU 参数后跟目标机器的端口，加 sn 是指只做主机发现，而不做端口扫描。

发现原理是 nmap 根据上一层的 icmp 来判断的，具体的包内容可以参考上一篇的 scapy 四层发现。不管端口是否开放，只要主机在线应答包都会有一个 icmp 包头，如果不在线，则不存在此包头。udp 层面做发现，基本都是利用 icmp 来判断。

这里要注意的是，之前二层发现和三层发现有记录，nmap 的 sn 参数发现时是利用的二层 arp 协议还是三层的 icmp 协议，取决于扫描的地址是否是自己所在的网段。如果扫描的地址是局域网的话，通过 wireshark 抓包会发现都是 arp 协议，而没有 udp 的。当扫描的地址和自己不在同一网段时，抓的包就是 udp 类型。

PA 参数代表的是三次握手中的 ACK 类型，nmap 在四层利用 tcp 去进行主机发现时格式为：nmap 1.1.1.0/24 -PA80 -sn，其发现原理是看主机返回的包中 flags 是否是 RST，如果是则可以判定为在线。

这个扫描结果是 0，前面 udp 是有结果的。有时候会因为各种原因，自己的网或者目标的网络防火墙各种检测设备等，扫描结果不是特别准确，所以结果只做参考，为了提高准确性，可以多个方式一起尝试。tcp 通过 wireshark 抓包如下。

以上就是 nmap 利用 udp 和 tcp 在四层做发现的示例。如果已经有了一个目标列表，则放 txt 文件中可以直接使用 iL 参数进行发现提高效率，格式如下：nmap -iL testlist.txt -PA80 -sn.

0x02：总结

nmap 在四层发现可以使用参数 PU 和 PA，结果往往只做参考，可以结合其他方式一起来提高准确性。

公众号回复数字“8”领取CIS加固全套手册。

微　信：fageweiketang，朋友圈不定期干货分享，欢迎讨论。

公众号：发哥微课堂，专注于代码审计、WEB渗透、网络安全。