黑客常用扫描器Nmap的流量特征修改 如何在扫描中避免被发现

黑客常用扫描器Nmap的流量特征修改: 如何在扫描中避免被发现
Nmap是一款强大的开源扫描器，被广泛用于安全测试和网络发现。然而，Nmap所生成的网络流量特征往往会被防火墙、入侵检测系统和安全设备所探测到，从而引起不必要的风险和麻烦。本文将介绍如何修改Nmap的流量特征，从而在扫描过程中避免被发现。
1. Nmap简介
Nmap是一款著名的开源扫描器，可用于发现主机和服务、操作系统识别、服务版本探测、端口扫描、漏洞识别等安全测试任务。Nmap支持多种扫描方式，如TCP SYN、TCP Connect、UDP、SCTP，以及不同的扫描技术，如IP片段处理、指纹识别、操作系统探测、NMAP Script Engine等。
2. Nmap流量特征
Nmap所生成的流量包含很多特征，如TCP/IP首部字段、TCP标志位、TCP选项、数据发送方式、IP片段等等。这些特征能够被一些安全设备和网络设备所检测到，识别Nmap扫描行为。
3. 常见的特征检测技术
常见的特征检测技术包括基于协议分析的技术、基于行为分析的技术、基于特征库的技术等。这些技术会针对流量的某些特征进行检测，如TCP连接请求、HTTP头中的User-Agent字段、数据包大小和数据包发送延迟等。
4. Nmap流量特征修改技术
Nmap流量特征修改技术能够有效地避免特征检测技术的识别。具体地，Nmap流量特征修改技术包括TCP/IP首部字段修改、TCP选项修改、IP数据包大小和发送速率控制等。
5. TCP/IP首部字段修改
TCP/IP首部字段修改技术通过修改TCP/IP首部中的某些字段，使得流量与Nmap扫描特征不同。例如，将TCP首部中的SYN标志位置为1，ACK标志位和RST标志位均为0，从而使得TCP连接请求看起来不像是由Nmap发起的。
6. TCP选项修改
TCP选项修改技术可以修改TCP连接请求中的一些选项，如MSS选项、Window Scale选项和Timestamps选项等。通过修改这些选项，可以使得TCP连接请求与Nmap扫描特征不同。
7. IP数据包大小
IP数据包大小修改技术的原理是通过产生不同大小的数据包，从而避免被特征库所检测。例如，通过发送小于MTU的数据包或者发送大于MTU的数据包，对于网络设备来说是不同的。
8. IP片段控制
IP片段控制技术可以将数据包分成多个片段，从而使得流量包含大量的IP片段和数据段，避免特征库的匹配。但是，这种方法需要针对网络设备的不同配置进行特定的调整。
9. Nmap流量特征修改实例演示
以下演示基于Nmap版本为7.70。添加跳过特征检测参数\"-f -d\"，启用tcp connect扫描\"–sT\"启用端口范围指令\"-p\"，使用 \"-g\" 参数设置数据报大小。
10. 结论
Nmap流量特征修改技术可以帮助渗透测试人员和安全专家更好地探测目标网络，同时避免被安全设备和防火墙所检测。本文介绍了几种常见的技术，但需要注意的是这些技术应该合法使用，避免违反规定和产生法律风险。