什麼是 UDP 連接埠的 NMAP 掃描？

掃描網路是否有開放的連接埠和服務，是評估攻擊面和識別漏洞的關鍵部分。NMAP （網路映射器） 連接埠掃描可尋找網路上的主機，並識別開放式 TCP 和 UDP 連接埠、在這些連接埠上執行的服務，以及在目標主機上執行的作業系統。

什麼是連接埠掃描？

隨著網路不斷成長，裝置也越來越多，系統管理員可能想要收集一份在網路上執行的裝置與服務清單。NMAP 是 Linux 指令，可掃描網路並尋找連線到環境的開放連接埠和服務。NMAP 連接埠掃描的主要目的是稽核網路，但它也有助於找出對潛在入侵開放的弱點。

執行 NMAP 指令並掃描主機後，輸出會在目標電腦上顯示開放連接埠。下圖是顯示開放連接埠的 NMAP 輸出範例：

什麼是 UDP vs TCP /IP？

標準網路上有兩種通訊協定是常見的：UDP 和 TCP 。使用者資料包協定 （UDP） 是一種無連接協定，意即電腦在不知情接收方是否可用或接收的情況下傳送訊息給接收方。基本線上簡訊軟體使用 UDP，因為不必知道對方是否在線上接收訊息。

Transmission Control Protocol (TCP) 是一種以連線為基礎的協定，資料傳輸前會發生交握。UDP 比 TCP 更輕量，但 TCP 能確保另一方上線，並可透過稱為交握的程序使用。TCP 交握在使用者從伺服器下載內容之前發生交握的網路應用程式中很常見。

TCP /IP 中的 IP（網際網路通訊協定）元件是指派給每台連接機器的位址，包括伺服器、行動裝置、桌上型電腦、IoT 裝置，以及任何其他需要傳送和接收資料的機器。大多數應用程式使用 TCP/IP 進行連線式資料傳輸，但 UDP 也適用於輕量型通知和聊天應用程式。

NMAP 工具掃描連接裝置上的開放 TCP 和 UDP 連接埠。執行 NMAP 指令後，請檢視輸出，列出的開放連接埠也會顯示協定。NMAP 也告訴您狀態是開啟還是關閉，以及服務是否在連接埠上執行。

什麼是網路映射 （NMAP）？

NMAP 工具是一種具有圖形化使用者介面（GUI） 或標準命令列介面的掃描應用程式。該工具可在網路上找到電腦，並掃描是否有開放的連接埠。NMAP 掃描的不只是電腦。它掃描任何連接到網路的裝置，包括桌上型電腦、行動裝置、路由器和 IoT 裝置。

NMAP 是一種開源工具，可在開發人員網站免費取得。它在 Linux、Mac 和 Windows 作業系統上執行。該公用程式多年來一直是大多數網路管理員和道德駭客工具的一部分，它有助於在網路上尋找裝置，並確定它們是否有易受攻擊的服務。

如何進行 NMAP UDP 掃描

在執行 NMAP 掃描之前，請開啟 NMAP GUI 或開啟命令列公用程式。大多數管理員在命令列中使用 NMAP，因為它能快速、輕鬆地與基本輸出搭配使用以供檢閱。輸入指令後，NMAP 工具會在子網路上搜尋裝置。每個子網路都有確定數量的主機，因此 NMAP 會掃描主機回應的所有可能性。透過主機回應，NMAP 工具接著會識別開放的 UDP 和 TCP 連接埠。

您也可以掃描 NMAP 上的特定連接埠，而不必掃描所有開放連接埠的所有 IP 位址。連接埠的數值介於 1 到 65，535 之間，因此您應該在執行掃描前，先查詢在特定連接埠上執行的服務。選擇連接埠後，即可執行以下指令：

nmap -p 22 192.168.1.100

上述 NMAP 掃描會搜尋在 IP 位址為 192.168.1.100 的裝置上執行的開放連接埠 22 （SSH 服務）。如果服務在目標主機上執行，NMAP 輸出會顯示為開啟狀態。如果沒有，NMAP 輸出會將狀態顯示為關閉。

UDP 掃描速度比 TCP 掃描慢，因此在工具顯示輸出之前，您可能會經歷極度延遲或長時間延遲。如果您未優化 NMAP 流程，有些主機可能需要一個小時進行掃描。您可以根據使用案例加快 UDP 掃描速度。例如，使用以下 NMAP 指令來消除回應速度過慢的主機，並在主機在 1 分鐘內沒有回應時放棄掃描：

nmap 192.168.1.100 --host-timeout 1m

無需指定 TCP 或 UDP，NMAP 將嘗試所有開放的連接埠。最佳化掃描的另一種方式是將掃描限制在 UDP 連接埠，並設定版本強度。將版本強度設定為 0 時，只會顯示目標主機上執行的常見服務。版本強度介於 0 到 9 之間。強度越高，傳送至目標主機的探查就越多。NMAP 預設為 7。執行下列命令時，主機上只會找到常見的連接埠：

nmap 192.168.1.100 -sU -sV –version-intensity 0

為什麼要使用 NMAP 進行 UDP 掃描？

管理員使用 NMAP 執行 UDP 掃描有幾個原因。只需稽核網路是否有開放不必要的連接埠即可。基於網路安全原因，應該停用不必要的服務，NMAP 掃描會告訴管理員哪些電腦正在執行可以關閉的服務。

UDP 掃描的另一個原因是找出網路上的弱點。如果攻擊者可以在網路上安裝惡意軟體，遭入侵的主機可能會在 UDP 連接埠上執行惡意服務。管理員可以使用 NMAP 掃描找到開放連接埠，並在主機上執行額外的掃描和分析。 

NMAP 也可用於探索網路上的主機。Shadow IT 一詞是提供給網路上未授權裝置使用。管理員可以找到未經授權的裝置，並了解誰擁有它，以及它如何安裝在環境中。

結論

對於任何負責網路安全的管理員而言，NMAP 工具是非常好的稽核和弱點掃描工具。NMAP 可以發現不應在環境中運行的機器、作業系統和服務。發現未經授權的裝置和開放連接埠對於保護主機和保護公司資料至關重要。連接埠掃描只是您為了維護資料中心安全所需監控的一種面向。Pure Storage 提供高效能、可擴充且簡易的資料基礎架構解決方案，為您的安全分析提供支援。