Saravanan-Patrick/Lab-01-Nmap-Reconnaisance

# Lab-01-Nmap-侦察 ## 实验室 01 — 使用 Nmap 进行网络侦察 ## 目标 模拟攻击者如何对 Windows 目标执行网络侦察，并像 SOC 分析师那样记录发现的结果——识别开放端口、暴露的服务以及潜在的攻击向量。 ## 使用的工具 • Nmap 7.95 — 网络扫描器和端口发现工具 • Wireshark — 数据包捕获与流量分析 • Kali Linux 终端 — 攻击者平台 ## 攻击模拟 — 攻击者端 (Kali Linux) ## 步骤 1 — 验证连通性 在扫描之前，确认攻击机器可以到达目标： ping 192.168.20.10 结果：成功的 ICMP 回复确认目标在隔离网络上可达。 ## 步骤 2 — 服务版本扫描 使用 Nmap 进行服务版本检测，以识别开放端口和运行中的服务： nmap -sV 192.168.20.10 ## 步骤 3 — 将结果保存到文件 导出扫描输出以用于文档记录和 GitHub 上传： nmap -sV 192.168.20.10 -oN nmap-scan-results.txt ## Nmap 发现 | 端口 | 状态 | 服务 | 版本 / 信息 | | ---- | ----- | ------- | ------------ | | 135/tcp | OPEN | msrpc | Microsoft Windows RPC | | 139/tcp | OPEN | netbios-ssn | Microsoft Windows NetBIOS-SSN | | 445/tcp | OPEN | microsoft-ds | SMB — Windows 文件共享 | | 997 个端口 | CLOSED | — | 接收到 TCP RST 响应 | ## 操作系统检测结果： Windows — CPE: cpe:/o:microsoft:windows ⚠️ 注意：首次扫描显示所有 1000 个端口均为 FILTERED，因为 Windows 防火墙处于活动状态。禁用防火墙后，上述 3 个端口变为可见。这证明了基于主机的防火墙的有效性。 ## 检测 — 防御者端 (Wireshark 分析) 在 Nmap 扫描期间，Kali 机器上运行着 Wireshark，实时捕获 eth0 接口上的所有流量。 | 指标 | 值 | | ------ | ----- | | 捕获的数据包总数 | 2,248 个数据包 | | 丢弃的数据包 | 0 (0.0%) | | 捕获接口 | eth0 | | 捕获文件 | wireshark_eth05WIAM3.pcapng | | 源 IP (攻击者) | 192.168.20.11 | | 目标 IP (目标) | 192.168.20.10 | ## 关键协议观察 | 协议 | 观察结果 | 意义 | | ------- | ----------- | ------------- | | TCP SYN | Kali 按顺序向所有 1000 个端口发送 SYN 数据包 | 经典的端口扫描模式 — 会触发 IDS 告警 | | TCP RST/ACK | Windows 响应关闭的端口 | 确认端口状态 | | SMB | 端口 445 上的服务器消息块流量 | 文件共享协议 — 高价值目标 | | NBSS | NetBIOS 会话服务活动 | Windows 网络发现流量 | | MS Browser | Microsoft Windows 浏览器协议 | Windows 网上邻居流量 | ## 妥协指标 (IOCs) | IOC | 详情 | | ---- | ------- | | 源 IP | 192.168.20.11 (Kali Linux — 攻击者) | | 目标 IP | 192.168.20.10 (Windows 10 — 防御者) | | 扫描类型 | TCP SYN 服务版本检测 (-sV) | | 目标端口 | 前 1000 个 TCP 端口 | | 日期 / 时间 | 2026-03-14 06:48 EDT | | 扫描持续时间 | ~22 秒 | | 识别出的工具 | Nmap 7.95 (在数据包包头中可见) | | 生成的数据包 | 捕获了 2,248 个数据包 | ## 安全观察 ## 端口 445 (SMB) — 高风险 端口 445 运行用于 Windows 文件共享的 SMB (服务器消息块) 协议。这正是 2017 年 WannaCry 勒索软件利用的端口，该软件在全球感染了超过 200,000 台系统。在生产环境中，应在外围防火墙处阻止此端口，或通过 SIEM 规则进行密切监控。 ## 端口 135 (RPC) — 横向移动风险 端口 135 运行 Microsoft RPC (远程过程调用)，攻击者通常利用它在企业网络内进行横向移动。应将其限制为仅受信任的主机访问。 ## Windows 防火墙有效性 当启用 Windows 防火墙时，所有 1000 个被扫描的端口都显示为 FILTERED——这意味着防火墙成功阻止了 Nmap 对系统进行指纹识别。这有力地证明了基于主机的防火墙是有效的第一道防线。 ## 扫描速度作为检测信号 对 1000 个端口的完整扫描在大约 22 秒内完成。在真实的 SIEM 环境（例如 Splunk、Microsoft Sentinel）中，这种快速的顺序连接模式将立即触发端口扫描告警规则。 ## 我学到了什么 • 如何使用带有服务检测的 Nmap 执行网络侦察 • 如何解释 Nmap 结果并了解开放端口揭示了目标的哪些信息 • 如何使用 Wireshark 捕获和分析实时网络流量 • 如何从数据包捕获中的 TCP SYN/RST 数据包识别端口扫描模式 • SMB (端口 445) 和 RPC (端口 135) 的安全意义 • Windows 防火墙如何影响扫描结果 — FILTERED 与 OPEN 与 CLOSED • 如何将发现记录为妥协指标 (IOCs) • 用于安全安全测试的隔离实验室环境的重要性 ## 关于我 我是 Saravanan —— 正从食品技术背景转型进入网络安全领域，专注于安全运营中心 (SOC) 分析和蓝队运营。 我在食品技术领域的背景教会了我质量控制、过程监控和系统化文档记录 —— 这些技能可以直接转化为 SOC 工作，在这些工作中，对细节的关注和结构化的调查至关重要。 本实验室记录了我的实践学习之旅，我正在其中建立威胁检测、日志分析、网络取证和事件响应方面的实用技能。 ## “学习网络安全最好的方法是在安全的环境中破坏东西，并理解它们为什么会被破坏。” ⭐ 如果这个实验室对您有帮助，请给仓库一个 Star！

标签：135端口, 139端口, 445端口, AES-256, AMSI绕过, Capture The Flag, CTI, ICMP, Lab, NetBIOS, Nmap, PB级数据处理, Qt框架, RPC, SMB, SOC分析, Windows 10, Windows防火墙, Wireshark, 协议分析, 句柄查看, 威胁检测, 安全实验, 安全运维, 实验报告, 并发处理, 插件系统, 攻击模拟, 数据展示, 数据统计, 无线安全, 服务识别, 权限提升, 漏洞评估, 端口扫描, 红队, 网络安全, 网络隔离, 虚拟驱动器, 错误配置检测, 防御绕过, 防火墙绕过, 隐私保护, 驱动签名利用