NMAP端口扫描原理详解

把NMAP比作网络世界的听诊器，其实并不完全准确。听诊器是被动接收信号，而NMAP更像一位主动的“敲门人”。它的核心任务，就是向目标主机的65535个“门”（端口）逐一发出信号，并根据对方的回应，判断哪些门是敞开的、关闭的，或是半掩着的。这看似简单的“敲门”动作，背后却是一套精密的网络协议交互逻辑。

TCP握手：最礼貌的敲门方式

最经典、最符合协议规范的扫描方式，就是TCP全连接扫描（-sT）。它的原理完全复刻了TCP/IP协议建立连接的三次握手过程。NMAP会向目标端口发送一个SYN包，这相当于说：“你好，我想和你建立连接。”如果端口是开放的，目标主机会回复一个SYN/ACK包，意思是：“收到，我准备好了。”NMAP接着会发送一个ACK包完成握手，但随即发送一个RST包来中断这次连接。整个过程规规矩矩，但问题也在于此——目标系统的连接日志会完整记录下这次“来访”，毫无隐蔽性可言。

SYN半开扫描：点到为止的试探

为了更隐蔽，半开扫描（-sS）应运而生，这也是NMAP默认的扫描方式。它只完成三次握手的前两步。NMAP发送SYN包后，一旦收到目标的SYN/ACK回应，就立刻判定端口开放，并发送一个RST包重置连接，而不再发送最终的ACK确认。这样一来，许多服务日志只会记录下一个未完成的连接尝试，降低了被发现的风险。不过，这种“鬼鬼祟祟”的行为很容易被部署了入侵检测系统（IDS）的网络察觉。

非常规敲门法：FIN、NULL与Xmas

如果说前两种方法还在“敲门”，那么接下来这几种方式，则更像是用各种奇怪的姿势去“推”门，以试探门的反应。它们都利用了TCP协议栈对不同异常数据包的响应差异。

• FIN扫描（-sF）：不发送SYN，直接发送一个FIN包（通常用于结束连接）。根据RFC 793，关闭的端口应当以RST包回应，而开放的端口则会忽略这个“无厘头”的FIN包。观察是否有RST返回，就能判断端口状态。
• NULL扫描（-sN）：发送一个没有任何标志位（flag）的“裸”TCP包。同样，关闭的端口会发回RST，开放的端口则置之不理。
• Xmas扫描（-sX）：发送一个标志位全被置为1的“圣诞树”包（FIN, PSH, URG）。其逻辑与FIN、NULL扫描如出一辙。

这些扫描的妙处在于，它们避开了SYN这种明显的连接请求，能绕过一些简单的包过滤器和审计工具。但它们的“软肋”也很明显：并非所有操作系统都严格遵守RFC。比如Windows系统，无论端口开放与否，一律用RST回应这些“怪包”，导致扫描失效。

不只是TCP：UDP的“喊话”与ACK的“投石问路”

网络服务不都基于TCP。像DNS、SNMP、DHCP这些服务，使用的是无连接的UDP协议。UDP扫描（-sU）的原理是“喊话”：向目标UDP端口发送一个空的数据报。如果端口关闭，大多数主机会返回一个ICMP端口不可达的错误消息；如果端口开放，服务可能不回应，或者回应一个UDP包。扫描速度慢且结果模糊，是UDP扫描的痛点。

而ACK扫描（-sA）的目的则完全不同。它不用于发现开放端口，而是用于绘制目标网络的防火墙规则集。它发送一个ACK包，观察返回的RST包的TTL值或窗口大小。通过分析这些细微差异，可以推断出端口是被有状态的防火墙过滤了，还是根本就没被过滤。这是一种纯粹的信息搜集，为后续更精准的渗透打开思路。

说到底，NMAP的扫描艺术，本质是一场精心设计的协议对话。它利用协议标准与实现之间的缝隙，用不同的“语法”和“语气”去提问，从目标的反应中拼凑出网络防线的真实地图。每一次扫描参数的调整，都像是在切换不同的侦察策略。