UDP扫描通过向目标主机发送UDP包，根据目标主机的响应情况来判断目标是否在线。由于UDP协议是非面向连接的，对UDP端口的探测也就不像TCP端口的探测那样依赖于连接建立过程，这使得UDP端口扫描的可靠性并不高。所以，虽然UDP协议较之TCP协议更简单，但是对UDP端口的扫描却是相当困难的。本文介绍UDP扫描的工作机制及扫描方法。

1. UDP工作机制

UDP（User Datagram Protocol，用户数据报协议）是与TCP响应的协议。它是面向非连接的协议，它不与对方建立连接，而是直接就把数据包发送过来。UDP适用于一次只传少量数据，对可靠性要求不高的应用环境。其中，Ping命令的原理就是向对方主机发送UDP数据包，然后对方主机确认是否收到数据包。如果数据包是否到达的消息及反馈回来，那么网络就是通的。

2. 实施UDP扫描

UDP扫描是通过发送UDP数据包到目标主机并等待响应，来判断目标端口是否开放。如果目标返回ICMP不可达的错误（类型3，代码3），则说明端口是关闭的；如果得到正确的或适当的响应，则说明端口是开放的。下面介绍使用Nmap实施UDP扫描的方法。

（1）UDP Ping扫描

UDP Ping扫描就是通过向目标主机发送一个空的UDP包到指定端口，然后根据目标主机的响应情况来判断目标是否在线。尽管一些服务器会配置防火墙阻止连接，但有些情况下用户可能仅配置了过滤TCP连接，而忘记配置UDP过滤规则。所以，使用UDP Ping扫描也是发现主机的一种方法。其语法格式如下：

nmap -PU [portlist] [目标]

以上语法中的选项及含义如下：

-PU：扫描只会对目标进行UDP Ping扫描。这种类型的扫描会发送UDP包来获得一个响应。

portlist：指定扫描的端口，默认是40125。

对目标主机的53号端口实施UDP Ping扫描。执行命令如下：

root@daxueba:~# nmap -PU 53 61.135.169.121Starting Nmap 7.70 ( https://nmap.org ) at 2021-06-29 10:45 CSTNote: Host seems down. If it is really up, but blocking our ping probes,try -PnNmap done: 1 IP address (0 hosts up) scanned in 2.12 seconds

从输出的信息中可以看到，目标主机上的53号端口没有开放，进而推断出目标主机不在线。

注意：使用UDP Ping扫描方式，NAT网络中会影响扫描结果。

（2）UDP扫描

实施UDP扫描的语法格式如下：

nmap -sU

其中，-sU表示这种扫描技术是用来寻址目标主机打开的UDP端口。它不需要发送任何的SYN包，因为这种技术是针对UDP端口的。UDP扫描发送UDP数据包到目标主机，并等待响应。如果返回ICMP不可达的错误消息，说明端口是关闭的；如果得到正确的或适当的回应，则说明端口是开放的。

实施UDP扫描。执行命令如下：

root@daxueba:~# nmap -sU 192.168.33.147Starting Nmap 7.70 ( https://nmap.org ) at2021-06-2911:15 CSTNmap scan report for 192.168.33.147 (192.168.33.147)Host is up (0.00046s latency).Not shown: 990 closed portsPORT STATE SERVICE9/udp open|filtered discard53/udp open domain68/udp open|filtered dhcpc69/udp open|filtered tftp111/udp open rpcbind137/udp open netbios-ns138/udp open|filtered netbios-dgm2049/udp open nfs3401/udp open|filtered squid-snmp16420/udp open|filtered unknownMAC Address: 00:0C:29:3E:84:91 (VMware)Nmap done: 1 IP address (1 host up) scanned in 1107.22 seconds

从输出的信息中可以看到目标主机上开放的UDP端口及对应服务。例如，开放的UDP端口有53、111和137等。