我們之前在前面的文章里寫了篇

nmap命令安裝,command not found,讓我們找到他

今天來說明下nmap下的六種狀態(tài)

Nmap是一種用來發(fā)現(xiàn)網(wǎng)絡中主機和服務的安全掃描工具，從而能夠產(chǎn)生一個網(wǎng)絡“地圖”，為了完成這個功能，nmap會向每個目標主機發(fā)送特定的報文，從而從目標主機返回報文（或者無返回報文）來判斷目標主機的屬性（如：開放的端口，所使用的操作系統(tǒng)，操作系統(tǒng)的類型等信息）

本文主要討論nmap對端口進行掃描中，當nmap向目標主機發(fā)送報文并根據(jù)返回報文從而認定端口的6種狀態(tài)的含義（注意：這六種狀態(tài)只是namp認為的端口狀態(tài)，例如：有些主機或者防火墻會返回一些不可靠的報文從而妨礙nmap對端口開放問題的確認）。

Open：端口處于開放狀態(tài)，例如：當nmap使用TCP SYN對目標主機某一范圍的端口進行掃描時，我們知道 TCP SYN報文是TCP建立連接的第一步，所以，如果目標主機返回SYN+ACK的報文，我們就認為此端口開放了并且使用了TCP服務。

Closed：端口處于關(guān)閉狀態(tài)。例如：TCP SYN類型的掃描，如果返回RST類型的報文，則端口處于管理狀態(tài)。這里我們值得注意的是關(guān)閉的端口也是可訪問的，只是沒有上層的服務在監(jiān)聽這個端口，而且，只是在我們掃描的這個時刻為關(guān)閉，當我們在另一個時間段進行掃描的時候，這些關(guān)閉的端口可能會處于open的狀態(tài)。

Filtered（過濾的）：由于報文無法到達指定的端口，nmap不能夠決定端口的開放狀態(tài)，這主要是由于網(wǎng)絡或者主機安裝了一些防火墻所導致的。當nmap收到icmp報文主機不可達報文（例如：type為3，code為13（communication administratively prohibit）報文）或者目標主機無應答，常常會將目標主機的狀態(tài)設置為filtered。

Unfiltered（未被過濾的），當nmap不能確定端口是否開放的時候所打上的狀態(tài)，這種狀態(tài)和filtered的區(qū)別在于：unfiltered的端口能被nmap訪問，但是nmap根據(jù)返回的報文無法確定端口的開放狀態(tài)，而filtered的端口直接就沒就沒能夠被nmap訪問。端口被定義為Unfilterd只會發(fā)生在TCP ack掃描類型時當返回RST的報文。而端口被定義為filtered 狀態(tài)的原因是是報文被防火墻設備，路由器規(guī)則，或者防火墻軟件攔截，無法送達到端口，這通常表現(xiàn)為發(fā)送NMAP的主機收到ICMP報錯報文，如：TYPE為3，code為13的報文（通信被認為的禁止 communication administratively prohibited），或者主機通過多次重復發(fā)送沒有收到任何回應）。

 Open|filtered狀態(tài)，這種狀態(tài)主要是nmap無法區(qū)別端口處于open狀態(tài)還是filtered狀態(tài)。這種狀態(tài)只會出現(xiàn)在open端口對報文不做回應的掃描類型中，如：udp，ip protocol ，TCP null，fin，和xmas掃描類型。

  Closed|filtered狀態(tài)，這種狀態(tài)主要出現(xiàn)在nmap無法區(qū)分端口處于closed還是filtered時。此狀態(tài)只會出現(xiàn)在IP ID idle scan（這個類型我現(xiàn)在也不太理解，過段時間進行總結(jié)一些）中。