互联网设备的开放信息查询网站：

• https://fofa.info/

• https://www.zoomeye.org/

• https://quake.360.net/quake/#/index

• https://x.threatbook.com/v5/mapping

• https://hunter.qianxin.com/

目录

一、网络探测与扫描

traceroute

whatweb

ping

fping

nc

nmap

netdiscover

二、域名与WHOIS查询

whois

三、流量抓包与分析

tcpdump

hping3

SYN洪水攻击

四、连接与端口管理

netstat

ss 

五、ARP 相关操作

arp

arping

arpspoof

一、网络探测与扫描

traceroute

        traceroute（在 Windows 系统中为 tracert）是一个网络诊断工具，用于追踪数据包从源设备到目标设备的路径

示例：

traceroute www.baidu.com

whatweb

whatweb 是一个 网站技术指纹识别工具，用于快速检测目标网站使用的技术栈，包括：

• Web 服务器（如 Apache、Nginx、IIS）
• 编程语言（如 PHP、Python、Ruby）
• 前端框架（如 React、Vue.js）
• CMS 系统（如 WordPress、Joomla）
• 数据库（如 MySQL、PostgreSQL）
• 第三方组件（如 Google Analytics、jQuery 版本）

示例：

whatweb www.baidu.com

ping

• 测试与目标主机（域名或 IP）的网络连通性。

• 测量往返时间（RTT，Round-Trip Time），即数据包从发送到接收的延迟（单位：ms）。

• 检测丢包率（Packet Loss）。

示例：

• 关键指标：time（延迟）、ttl（生存时间）、packet loss（丢包率）。

常用参数

fping

        fping是一个比传统 ping 更高效的批量主机存活检测工具，支持并行发送 ICMP 请求。

示例：

fping -ag 192.168.1.0/24 > /dev/null

-a 参数

• 作用：仅显示存活（alive）的主机（即能响应 ping 的设备）。

• 示例：如果不加 -a，fping 会显示所有主机的状态（包括无响应的），而 -a 只过滤出在线的设备。

-g 参数

• 作用：指定扫描的目标范围（支持 IP 段或 CIDR 格式）。

• 示例：192.168.1.0/24 表示扫描整个 192.168.1.1 ~ 192.168.1.254 的 IP 段。

>/dev/null

• 作用：将命令的标准输出（stdout）重定向到 /dev/null（即丢弃所有正常输出）。

• 为什么用？：用户可能只关心命令的执行（如触发扫描），而不需要看到具体结果。

-u 仅显示不可达主机

可结合 grep 过滤结果

示例：

fping -ag 192.168.43.1/24 | grep "192.168.43" > active_ips.txt

作用：提取所有在线的 192.168.1.x IP 并保存到文件。

nc

功能：端口扫描、数据传输、端口监听、代理转发等。
别名：TCP/IP 瑞士军刀、黑客的管道工具。

• -z：扫描模式（不发送数据）。

• -v：显示详细信息。

• -l：监听模式。

• -p：指定端口。

• -e：执行命令（反向 Shell）。

nmap

功能：主机发现、端口扫描、服务识别、漏洞探测、操作系统检测等。
定位：网络审计、渗透测试、运维排查。

• -sS：SYN 半开放扫描（隐蔽）。

• -sT：TCP 全连接扫描（稳定）。

• -A：全面扫描（含 OS、服务、脚本）。

• -T4：加速扫描（可能丢包）。

• --script：调用 NSE 脚本（如 vuln、brute）。

netdiscover

        netdiscover是一款基于 ARP（地址解析协议） 的主动/被动网络扫描工具，用于 发现局域网内的活动主机（IP 和 MAC 地址）。它不依赖 ICMP（Ping），因此在某些禁用 Ping 的网络中仍能有效工作。

1. 功能与用途

• 主动扫描：发送 ARP 请求探测存活主机。

• 被动扫描：监听网络中的 ARP 流量（隐蔽模式）。

• 适用场景：

  • 局域网设备发现（如排查未知设备）。

  • 渗透测试中的内网主机探测。

  • 监控 ARP 欺骗攻击（如中间人攻击）。

(1) 主动扫描（默认模式）

扫描指定 IP 范围：

sudo netdiscover -i eth0 -r 192.168.1.0/24

• -i eth0：指定网卡（用 ifconfig 查看可用网卡）。

• -r 192.168.1.0/24：扫描该子网。

(2) 被动扫描（隐蔽模式）

仅监听 ARP 流量，不主动发送请求：

sudo netdiscover -p -i eth0

• -p：启用被动模式（更隐蔽，但速度慢）。

4. 常用选项

二、域名与WHOIS查询

whois

whois用于查询 域名或 IP 地址的注册信息，包括：

• 域名所有者（注册人/组织）

• 域名注册商（如 GoDaddy、Namecheap）

• 注册日期、到期日期

• DNS 服务器（Name Servers）

• 联系信息（邮箱、电话等，可能被隐私保护隐藏）

• IP 地址的归属（ISP、地理位置等）

示例：

whois 12306.cn 

三、流量抓包与分析

tcpdump

        tcpdump是一个强大的命令行网络抓包工具，用于捕获和分析网络流量。它支持多种过滤规则，可以抓取特定接口、主机、端口或协议的数据包。

示例（三次握手）：

tcpdump -n -c 3 port 22 -i eth0

hping3

        hping3是一款功能强大的 网络探测和测试工具，支持 TCP/UDP/ICMP/RAW-IP 协议，常用于 端口扫描、防火墙测试、网络性能分析、DoS压力测试 等场景。它比传统 ping 更灵活，可以自定义数据包内容，适合高级网络诊断和渗透测试。

常用参数：

SYN洪水攻击

        SYN洪水攻击是一种经典的 DoS/DDoS（拒绝服务）攻击，利用 TCP协议的三次握手缺陷 耗尽目标服务器的资源，使其无法正常响应合法用户的请求。

攻击者 伪造大量SYN请求，但不完成第三次握手，导致服务器资源被耗尽：

攻击步骤

1. 伪造SYN包：

   • 攻击者发送海量 SYN 包，源IP通常是伪造的（如随机IP或僵尸网络IP），使服务器无法追踪真实来源。

2. 服务器分配资源：

   • 服务器每收到一个 SYN，都会在内存中创建 半开连接（Half-Open Connection），并发送 SYN-ACK 等待客户端确认。

3. 攻击者不回复ACK：

   • 由于源IP是伪造的，SYN-ACK 不会得到响应，服务器会 持续等待（超时时间通常为30s-2分钟）。

4. 连接队列被占满：

   • 服务器的 半开连接队列（SYN Queue） 被占满，无法处理新的合法连接，导致 拒绝服务（DoS）。

示例：

hping3 -c 100000000 -d 120 -S -p 80 --flood --rand-source 192.168.43.158

对端可以通过以下指令查看套接字状态：

netstat - antup | grep :80

 或在浏览器上按F12进行网络测速查看攻击效果。

四、连接与端口管理

netstat

功能：显示网络连接、路由表、接口统计等信息（已被 ss 取代，但部分系统仍可用）。

常用选项

常用组合：

• netstat -tulnp → 查看所有监听端口及对应进程

• netstat -rn → 查看路由表

• netstat -i → 查看网卡流量统计

ss 

功能：netstat 的现代替代工具，来自 iproute2 工具集，速度更快，支持更多高级功能。

常用选项

常用组合：

• ss -tulnp → 查看所有监听端口及进程（等效 netstat -tulnp）

• ss -ant → 显示所有 TCP 连接（不含监听）

• ss -s → 查看套接字统计摘要

• ss -o state established → 仅显示已建立的连接

3. 关键区别

五、ARP 相关操作

arp

        arp（Address Resolution Protocol）是用于查看和管理 ARP 缓存表 的命令，它记录了 IP 地址 和 MAC 地址 的对应关系。

基本语法

arp [选项] [IP地址]

常用选项：

常见用法

查看 ARP 缓存表

arp -a

arping

        arping是一个用于发送 ARP（Address Resolution Protocol）请求 的命令行工具，主要用于检测局域网内某个 IP 是否在线，或者验证 MAC 地址和 IP 的绑定关系。

基本语法

arping [选项] <目标IP> [-I <网卡>]

常见选项：

 示例：

arping 192.168.43.1

 作用：查看192.168.43.1网关的MAC地址

如果有不同的ip地址说明有人伪造网关IP地址。

arpspoof

        arpspoof是 ARP 欺骗攻击工具（属于 dsniff 工具包），用于在局域网（LAN）中发起 中间人攻击（MITM），通过伪造 ARP 响应包欺骗目标设备，使其网络流量经过你的机器。

基本语法：

arpspoof -i <网卡> -t <目标IP> <网关IP>

示例：

arpspoof -i eth0 -t 192.168.43.189 192.168.43.1

arp攻击防御：在被arp攻击之前，与网关静态绑定正确的MAC地址。