端口掃描這個(gè)詞，大家并不陌生，無論是在邊界資產(chǎn)探測，還是在內(nèi)網(wǎng)服務(wù)掃描，都離不開端口掃描這個(gè)技術(shù)，當(dāng)然，不可能手工來做，必須依賴工具進(jìn)行，那么有哪些端口掃描工具可以用呢？它們又有那些特點(diǎn)呢？

一個(gè)優(yōu)秀的端口掃描工具，最核心功能就是可以百分之百將開放的端口識別出來，無論是通過 TCP SYN 掃描還是通過全連接掃描。接下來就總結(jié)一下有哪些開源工具可用。

1. 業(yè)界冠軍：Nmap

nmap 是最古老的端口掃描工具，也是如今使用最多最為廣泛的工具，無論是安全從業(yè)者還是運(yùn)維、研發(fā)人員，都知道它并且在實(shí)際的工作中使用它來驗(yàn)證遠(yuǎn)程服務(wù)是否正常，端口是否開放等。

經(jīng)歷了多年的發(fā)展，它不僅僅驗(yàn)證端口是否開放，而且還可以根據(jù)不同的端口發(fā)送特定 payload 來抓取端口返回信息，從而識別端口指紋，判斷其運(yùn)行的服務(wù)類型，除此之外還集成了腳本引擎，可以做一些漏洞探測的工作，直接實(shí)現(xiàn)從端口掃描到漏洞檢測的完整流程。

nmap 官方網(wǎng)站：https://nmap.org/

2. 業(yè)界新秀：masscan

masscan 是以互聯(lián)網(wǎng)全端口掃描而誕生，掃描速度極快，它的核心思想是異步掃描，與 Nmap 的同步掃描相反，異步掃描可以同時(shí)發(fā)送和處理多個(gè)網(wǎng)絡(luò)連接。

理論上一次最多可以處理 1000 萬個(gè)數(shù)據(jù)包，限制在于 TCP/IP 的堆棧處理能力，以及運(yùn)行掃描工作的主機(jī)系統(tǒng)能力。

其優(yōu)點(diǎn)是掃描速度快以及獨(dú)特的探針隨機(jī)化功能，其缺點(diǎn)是只能掃描 IP 或者 IP 段，無法指定域名目標(biāo)。

項(xiàng)目地址：https://github.com/robertdavidgraham/masscan ?

3. Naabu

Naabu 是一款比較新的掃描器，是由一家開源軟件公司開發(fā)，其專注于 web 應(yīng)用程序安全和漏洞狩獵。Naabu 是用 GO 語言編寫，畢竟 Go 工具往往擁有運(yùn)行速度快和出色的穩(wěn)定性。

該工具的特點(diǎn)是其設(shè)計(jì)考慮到了功能，他的目標(biāo)在于與 Project Discovery 庫中的其他工具以及 Nmap 等常用工具結(jié)合使用，所以輸出的結(jié)果非常靈活。

除此之外，它還可以通過端口掃描自動(dòng)將 IP 的重復(fù)數(shù)據(jù)刪除來減少掃描資源的浪費(fèi)，這對于 web 滲透來說是非常有用的，而且還集成了 nmap 的端口服務(wù)指紋識別能力。

項(xiàng)目地址：https://github.com/projectdiscovery/naabu

4. Rustscan

Rustscan 被稱為現(xiàn)代端口掃描器，使用 Rust 語言編寫，速度極快，能夠在三秒內(nèi)將一個(gè) IP 的全端口（65535）掃描完成。

雖然只是簡單的 SYN 和 Connect 掃描，但是它擁有完整的腳本引擎支持結(jié)果導(dǎo)出到 nmap 來進(jìn)行詳細(xì)的掃描。其還有個(gè)特點(diǎn)是在不改變參數(shù)的情況下，可以根據(jù)系統(tǒng)的性能來自動(dòng)調(diào)整掃描速度，從而達(dá)到一個(gè)最佳掃描狀態(tài)。

其掃描原理是通過對內(nèi)部線程的管理，為了實(shí)現(xiàn)異步掃描的功能，在掃描過程中，每個(gè)端口掃描創(chuàng)建一個(gè)線程，每次可以創(chuàng)建數(shù)千個(gè)線程，而線程的多少取決于系統(tǒng)允許打開的最大文件數(shù)。

項(xiàng)目地址：https://github.com/RustScan/RustScan

5. 其他小工具

(1) Scanrand ，最早的異步掃描工具之一，其開發(fā)了兩個(gè)獨(dú)立的進(jìn)程，一個(gè)用于發(fā)送探測包，一個(gè)用于接受探測包，不幸的是這個(gè)工具很久沒有更新了。

(2) Knocker，寫于 2002 年，通過引入多線程處理的端口掃描器，同樣是很長時(shí)間不更新。

https://github.com/gabgio/knocker

(3) PNScan，與 Knocker 類似，它的特點(diǎn)是可以根據(jù)系統(tǒng)性能動(dòng)態(tài)調(diào)整線程的數(shù)量來獲得最佳掃描狀態(tài)。

https://github.com/ptrrkssn/pnscan

(4) Unicornscan，相對較新的端口掃描器，理論上，通過將端口掃描相關(guān)的網(wǎng)絡(luò)連接處理從內(nèi)核轉(zhuǎn)移到用戶分配的處理資源，從而獲得更好的性能，其擁有可以 Nmap 相媲美的功能，但是該工具已不再維護(hù)。

6. 特殊場景的掃描器

(1) Zmap，專門為了全網(wǎng)端口掃描而設(shè)計(jì)的工具，Zmap 工具本身可用于短時(shí)間內(nèi)對大量網(wǎng)絡(luò)地址進(jìn)行特定端口的掃描，而且可以與 Zgrab2 結(jié)合使用，后者可以獲取端口的指紋信息，缺點(diǎn)是只能針對單端口，而不像其他工具那些對多個(gè)端口。

https://github.com/zmap/zmap

(2) AngryIP Scanner，該工具一審計(jì)為重點(diǎn)，無需安裝就可以使用，因?yàn)橛写罅亢诳褪褂茫瑥亩鴮?dǎo)致它出現(xiàn)在大量設(shè)備的黑名單中，它也是少數(shù)具有 GUI 界面的端口掃描工具，能夠輸出優(yōu)質(zhì)的掃描報(bào)告。

https://angryip.org/

(3) Scantron，集成 nmap 和 masscan 的分布式掃描器，利用 SSH 隧道來實(shí)現(xiàn)分布式控制掃描節(jié)點(diǎn)

https://github.com/opsdisk/scantron

(4) Scanless，一個(gè)命令行工具，調(diào)用第三方端口掃描服務(wù)的 API 來實(shí)現(xiàn)間接端口掃描

https://github.com/vesche/scanless

(5) Unimap，針對大量子域進(jìn)行端口掃描時(shí)，有非常多的域名指向相同的 IP，那么就會(huì)出現(xiàn)重復(fù)掃描的情況，使用這個(gè)工具可以先通過解析獲取 IP，去重之后再發(fā)送給 Nmap 進(jìn)行掃描，從而提高掃描的速度。

https://github.com/Edu4rdSHL/unimap

(6) Advanced Port Scanner，windows 下的一款 GUI 版端口掃描器。

https://www.advanced-port-scanner.com/

7. 總結(jié)

其實(shí)做端口掃描，使用 nmap 可以解決大部分場景的工作，而其他的一些工具會(huì)有一些特殊場景使用，比如單個(gè)目標(biāo)，使用 nmap 用不了多久就可以掃描完成，而如果你要掃描的是幾千，幾萬甚至百萬級目標(biāo)，還能只使用 nmap 嗎，一定是要先使用類似 zmap、masscan 等快速掃描工具，確定端口開放，然后再使用 namp 做進(jìn)一步的驗(yàn)證以及指紋識別，從而提升掃描速度。

以上不是所有端口掃描工具的合集，還有非常多其他優(yōu)秀的掃描工具，比如 goby 等，還有一些自定的腳本，當(dāng)然自己也可以編寫屬于自己的腳本和工具，集成到自己的自動(dòng)化系統(tǒng)中。更多有意思的功能，還需大家在使用的時(shí)候進(jìn)行挖掘。

參考網(wǎng)站：https://s0cm0nkey.gitbook.io/port-scanner-shootout/port-scanner-shootout-part-2-the-contenders