diff --git a/docs/download/4-2-scan.md b/docs/download/4-2-scan.md
new file mode 100644
index 0000000..1c7b566
--- /dev/null
+++ b/docs/download/4-2-scan.md
@@ -0,0 +1,46 @@
+### 扫描感知功能介绍
+
+![image-20210730154355445](http://img.threatbook.cn/hfish/20210730154357.png)
+
+> 扫描感知可以感知到针对蜜罐节点的扫描行为
+
+扫描感知通过对网卡抓包，可以感知到针对该节点全端口的扫描行为。支持TCP、UDP和ICMP扫描类型。
+
+
+
+- 目前扫描感知列表内能够展示的信息如下：
+  1. 扫描IP
+  2. 威胁情报
+  3. 被扫描节点
+  4. 被扫描IP
+  5. 扫描类型
+  6. 被扫描端口
+  7. 节点位置
+  8. 扫描开始时间
+  9. 扫描持续时间
+  
+  
+
+> **注意！Windows节点的扫描感知依赖WinPcap，需要手动进行下载安装！**
+
+WinPcap官方链接：https://www.winpcap.org/install/bin/WinPcap_4_1_3.exe
+
+
+
+
+
+### 扫描感知数据异常
+
+当前，Hfish的节点定义为“蜜罐机器”，即在常理上，**部署节点的机器是不运行任何正常业务的空机器**。
+
+但在我们跟很多用户的访谈和交流中，用户往往会将自己**正常业务使用的笔记本，虚拟机作为节点机器**。
+
+在这种情况下，因此您会在数据中发现您的软件信息被记录了，比如在很多windows的用户中，我们检测到了445端口的使用，该端口是由于用户有真实的软件占用了445端口。
+
+
+
+在之后，我们会友好的帮您区分业务机器和蜜罐机器，做不同的监听手段。在当前，我们建议您采用业务机器部署的情况下，可以暂时关闭扫描感知功能。
+
+如果您的扫描感知出现了其他问题，可以加入官方交流微信群，我们将会为您的问题提供详尽解答。
+
+<img src="http://img.threatbook.cn/hfish/20210728203437-20210824100822201.png" alt="20210728203437" style="zoom:50%;" />