最近在做渗透测试时，用nmap扫描目标网站的端口情况，发现某些端口的状态是"filtered"，猜测是被防火墙过滤了，那怎么确定端口是否开启或者怎么绕过防火墙进行探测呢？研究了下nmap的高级用法。

1、nmap常用扫描参数

1.1  -sT 扫描

nmap -Pn -sT -v -p 445  xx.xx.xx.xx

        3次握手方式的TCP扫描，握手成功后会调用系统的connect函数。由于要完成TCP的3次握手，速度较慢，且这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息。nmap默认的扫描方式是这种，如图，

 以上可以看到445端口显示的状态是filtered，被防火墙过滤了。

1.2 -sS 又称半开放扫描

        扫描器向目标主机的一个端口发送请求连接的SYN包，扫描器在收到SYN/ACK后，不是发送的ACK应答而是发送RST包请求断开连接。这样，三次握手就没有完成，无法建立正常的TCP连接，因此，这次扫描就不会被记录到系统日志中。这种扫描技术一般不会在目标主机上留下扫描痕迹。但是，这种扫描需要有root权限。

 如图，

1.3 -sF 

        FIN 为 TCP会话结束标志，在FIN扫描中一个设置了FIN位的数据包被发送后，若响应RST数据包，则表示端口关闭，没有响应则表示开放。此类扫描同样不能准确判断windows系统上端口开发情况，适合探测Linux系统上的端口开放情况

1.4 -sA

        扫描主机向目标主机发送ACK数据包。根据返回的RST数据包有两种方法可以得到端口的信息。方法一是： 若返回的RST数据包的TTL值小于或等于64，则端口开放，反之端口关闭，如图所示。 

访问如图 

        在端口显示被filtered的情况下，要想确定一个端口是否是开放的，通常可结合-sT和-sS、-sF等联合判断，如上图445端口在sT扫描的情况下，显示被过滤，在sF的扫描中显示open|filtered，则表明端口是开发的。