我使用命令nmap -sT localhost 扫描我的计算机上的端口,并使用Wireshark 查看在扫描运行期间我的计算机和其他网络设备之间交换的数据包的日志文件。但是,我在 Wireshark 日志中没有看到任何与 nmap 扫描相关的信息。
例如:
nmap 扫描显示 localhost 上的端口 993 已打开,但日志文件未显示与我机器上的端口 993 的任何交互。
有人能解释一下这是为什么吗?
另外,我是使用 nmap 和 Wireshark 的新手,所以如果您认为有任何信息可以帮助我更好地了解端口扫描过程,请分享。
【问题讨论】:
标签: wireshark packet packet-sniffers nmap
您似乎只尝试查找 ACK 段。不妨试试 Wireshark 中的过滤器,例如 tcp.flags.ack==1。或者,你可以更广泛,而不仅仅是做-sT。 -sT 非常具体,可能不会被采纳。 -sS 实际上是一样的;它的SYN。但似乎您只想找到打开的端口。你可以试试nmap -A localhost 更好。但是,如果您只想要 ACK,在我看来,Wireshark 中的过滤将是可行的方法。您也可以尝试tcp.flags.ack==1 && tcp.flags.syn==0 也不要获取 SYN 数据包,仅获取 ACK。希望对您有所帮助。
【讨论】:
nmap 扫描显示 localhost 上的端口 993 已打开,但日志文件没有显示与我机器上的端口 993 的任何交互。
谁能解释一下这是为什么?
我的猜测是,这与您正在监控的界面有关。在Wireshark-->Options中可以选择一个捕获接口。
另外,我是使用 nmap 和 Wireshark 的新手,所以如果您认为有任何信息可以帮助我更好地了解端口扫描过程,请分享。
您使用的端口扫描方法 (-sT) 称为 TCP 连接扫描。这是 nmap 对其的描述:https://nmap.org/book/scan-methods-connect-scan.html
【讨论】: