Nmap抓包分析与绕过Windows防火墙技术详解

Nmap抓包分析与绕过Windows防火墙技术详解 一、Nmap抓包分析 1. 主机发现(Ping)技术分析 1.1 TCP SYN Ping (-PS) 原理 ：发送单个TCP SYN包到指定端口检测主机存活，默认80端口 命令 ： nmap -sn -PS135 172.16.1.128 -vvv -n --disable-arp-ping 响应分析 ： 端口开启：收到SYN/ACK 端口关闭：收到RST/ACK或无响应 注意事项 ： NAT网络可能导致RST包异常 局域网扫描默认会先进行ARP扫描 1.2 TCP ACK Ping (-PA) 原理 ：发送TCP ACK包，无论端口状态都会用RST包回应 命令 ： nmap -sn -PA135 172.16.1.128 -vvv -n --disable-arp-ping 防御绕过 ：部分防御策略会丢弃无效包 1.3 UDP Ping (-PU) 原理 ：发送UDP包到指定端口(默认40125) 响应分析 ： 端口关闭：返回ICMP端口不可达→主机存活 其他ICMP错误→主机停机 无响应→主机停机 冷门端口选择 ：避免服务占用导致误判 1.4 SCTP INIT Ping (-PY) 原理 ：发送包含最小INIT块的SCTP包 响应 ：返回协议不可达判断主机存活 1.5 ARP Ping (-PR) 内网最佳实践 ：Nmap扫内网最常用方式 命令 ： nmap -sn -PR 172.16.1.128 -vvv -n 1.6 ICMP Ping (-PE/PP/PM) 类型 ： -PE：标准Ping请求 -PP：时间戳请求 -PM：地址掩码请求 限制 ：防火墙禁用ICMP回显时失效 2. 端口扫描技术分析 2.1 TCP SYN扫描 (-sS) 特点 ：经典的半开放扫描 命令 ： nmap -Pn -sS -p 135 -vvv 172.16.1.128 -n 2.2 TCP连接扫描 (-sT) 过程 ：完成三次握手后直接RST结束 与-sS区别 ：收到SYN/ACK后的应答方式不同 2.3 UDP扫描 (-sU) 结果判断 ： 无回显：open|filtered状态 ICMP端口不可达：closed状态 命令 ： nmap -Pn -sU -p 135 172.16.1.128 -vvv -n --disable-arp-ping 二、绕过Windows防火墙技术 1. Windows防火墙特性 隐身模式 ： 不响应ICMP不可达(UDP查询) 不响应RST(TCP查询) 默认开启 ：阻止常见扫描技术 2. 有效绕过方法 2.1 ARP扫描 原理 ：不经过防火墙，以广播形式进行 命令 ： nmap -sn -PR 172.16.1.128 -vvv -n 或直接使用 arp -a 2.2 WINRM服务探测 原理 ：利用Windows自带服务(默认开放5985/5986端口) 检测命令 ： test-wsman -computername "172.16.1.128" 响应分析 ： 主机存活：返回服务信息 主机离线：报错提示 3. 其他尝试失败的方法 常规TCP/UDP扫描(-PS/-PA/-PU) Nbt扫描/SMB扫描 其他Nmap参数组合 三、实战应用建议 内网扫描首选ARP ：最可靠且不受防火墙影响 WINRM服务探测 ：作为ARP的补充方案 网络模式选择 ：避免NAT模式导致的异常，优先使用桥接模式 组合使用 ： arp -a 快速扫描配合WINRM验证关键主机 四、技术总结 | 技术类型 | 有效方法 | 适用场景 | 限制条件 | |---------|---------|---------|---------| | 主机发现 | ARP扫描 | 内网环境 | 仅限二层网络 | | | WINRM探测 | 开启WINRM服务的主机 | 需要服务已启用 | | 端口扫描 | 暂无可靠方法 | - | Windows防火墙严格限制 | 关键结论 ：在Windows防火墙严格配置下，传统端口扫描技术难以奏效，存活主机探测可依赖ARP和WINRM两种方法。