Nmap是壹款非常強大的實用工具,可用於:檢測活在網絡上的主機(主機發現)檢測主機上開放的端口(端口發現或枚舉)檢測到相應的端口(服務發現)的軟件和版本檢測操作系統,硬件地址,以及軟件版本檢測脆弱性的漏洞(Nmap的腳本)Nmap是壹個非常普遍的工具,它有命令行界面和圖形用戶界面。本人包括以下方面的內容:介紹Nmap掃描中的重要參數操作系統檢測Nmap使用教程Nmap使用不同的技術來執行掃描,包括:TCP的connect()掃描,TCP反向的ident掃描,FTP反彈掃描等。所有這些掃描的類型有自己的優點和缺點,我們接下來將討論這些問題。 Nmap的使用取決於目標主機,因為有壹個簡單的(基本)掃描和預先掃描之間的差異。我們需要使用壹些先進的技術來繞過防火墻和入侵檢測/防禦系統,以獲得正確的結果。下面是壹些基本的命令和它們的用法的例子:掃描單壹的壹個主機,命令如下:
代碼如下:
#nmap nxadmin.com#nmap 192.168.1.2
掃描整個子網,命令如下:
代碼如下:
#nmap 192.168.1.1/24
掃描多個目標,命令如下:
代碼如下:
#nmap 192.168.1.2 192.168.1.5
掃描壹個範圍內的目標,如下:
代碼如下:
#nmap 192.168.1.1-100 (掃描IP地址為192.168.1.1-192.168.1.100內的所有主機)
如果妳有壹個ip地址列表,將這個保存為壹個txt文件,和namp在同壹目錄下,掃描這個txt內的所有主機,命令如下:
代碼如下:
#nmap -iL target.txt
如果妳想看到妳掃描的所有主機的列表,用以下命令:
代碼如下:
#nmap -sL 192.168.1.1/24
掃描除過某壹個ip外的所有子網主機,命令:
代碼如下:
#nmap192.168.1.1/24-exclude192.168.1.1
掃描除過某壹個文件中的ip外的子網主機命令
代碼如下:
#nmap192.168.1.1/24-excludefilexxx.txt(xxx.txt中的文件將會從掃描的主機中排除)
掃描特定主機上的80,21,23端口,命令如下
代碼如下:
#nmap-p80,21,23192.168.1.1
從上面我們已經了解了Nmap的基礎知識,下面我們深入的探討壹下Nmap的掃描技術
Tcp SYN Scan (sS) 這是壹個基本的掃描方式,它被稱為半開放掃描,因為這種技術使得Nmap不需要通過完整的握手,就能獲得遠程主機的信息。Nmap發送SYN包到遠程主機,但是它不會產生任何會話.因此不會在目標主機上產生任何日誌記錄,因為沒有形成會話。這個就是SYN掃描的優勢.如果Nmap命令中沒有指出掃描類型,默認的就是Tcp SYN.但是它需要root/administrator權限.
代碼如下:
#nmap -sS 192.168.1.1
Tcp connect() scan(sT)如果不選擇SYN掃描,TCP connect()掃描就是默認的掃描模式.不同於Tcp SYN掃描,Tcp connect()掃描需要完成三次握手,並且要求調用系統的connect().Tcp connect()掃描技術只適用於找出TCP和UDP端口.
代碼如下:
#nmap -sT 192.168.1.1
Udp scan(sU)顧名思義,這種掃描技術用來尋找目標主機打開的UDP端口.它不需要發送任何的SYN包,因為這種技術是針對UDP端口的。UDP掃描發送UDP數據包到目標主機,並等待響應,如果返回ICMP不可達的錯誤消息,說明端口是關閉的,如果得到正確的適當的回應,說明端口是開放的.
代碼如下:
#nmap -sU 192.168.1.1
FINscan(sF)
有時候TcpSYN掃描不是最佳的掃描模式,因為有防火墻的存在.目標主機有時候可能有IDS和IPS系統的存在,防火墻會阻止掉SYN數據包。發送壹個設置了FIN標誌的數據包並不需要完成TCP的握手.
代碼如下:
<a href="mailto:root@bt:~#nmap-sF192.168.1.8">root@bt:~#nmap-sF192.168.1.8</a></p> <p>StartingNmap5.51at2012-07-0819:21PKTNmapscanreportfor192.168.1.8Hostisup(0.000026slatency).Notshown:999closedportsPORTSTATESERVICE111/tcpopen|filteredrpcbind
FIN掃描也不會在目標主機上創建日誌(FIN掃描的優勢之壹).個類型的掃描都是具有差異性的,FIN掃描發送的包只包含FIN標識,NULL掃描不發送數據包上的任何字節,XMAS掃描發送FIN、PSH和URG標識的數據包.
PINGScan(sP)
PING掃描不同於其它的掃描方式,因為它只用於找出主機是否是存在在網絡中的.它不是用來發現是否開放端口的.PING掃描需要ROOT權限,如果用戶沒有ROOT權限,PING掃描將會使用connect()調用.
代碼如下:
#nmap-sP192.168.1.1
版本檢測(sV)
版本檢測是用來掃描目標主機和端口上運行的軟件的版本.它不同於其它的掃描技術,它不是用來掃描目標主機上開放的端口,不過它需要從開放的端口獲取信息來判斷軟件的版本.使用版本檢測掃描之前需要先用TCPSYN掃描開放了哪些端口.
代碼如下:
#nmap-sV192.168.1.1
Idlescan(sL)
Idlescan是壹種先進的掃描技術,它不是用妳真實的主機Ip發送數據包,而是使用另外壹個目標網絡的主機發送數據包.
代碼如下:
#nmap-sL192.168.1.6192.168.1.1
Idlescan是壹種理想的匿名掃描技術,通過目標網絡中的192.168.1.6向主機192.168.1.1發送數據,來獲取192.168.1.1開放的端口
有需要其它的掃描技術,如FTPbounce(FTP反彈),fragmentationscan(碎片掃描),IPprotocolscan(IP協議掃描),以上討論的是幾種最主要的掃描方式.
Nmap的OS檢測(O)
Nmap最重要的特點之壹是能夠遠程檢測操作系統和軟件,Nmap的OS檢測技術在滲透測試中用來了解遠程主機的操作系統和軟件是非常有用的,通過獲取的信息妳可以知道已知的漏洞。Nmap有壹個名為的nmap-OS-DB數據庫,該數據庫包含超過2600操作系統的信息。Nmap把TCP和UDP數據包發送到目標機器上,然後檢查結果和數據庫對照。
代碼如下:
InitiatingSYNStealthScanat10:21Scanninglocalhost(127.0.0.1)[1000ports]Discoveredopenport111/tcpon127.0.0.1CompletedSYNStealthScanat10:21,0.08selapsed(1000totalports)InitiatingOSdetection(try#1)againstlocalhost(127.0.0.1)RetryingOSdetection(try#2)againstlocalhost(127.0.0.1)
上面的例子清楚地表明,Nmap的首次發現開放的端口,然後發送數據包發現遠程操作系統。操作系統檢測參數是O(大寫O)
Nmap的操作系統指紋識別技術:
設備類型(路由器,工作組等)運行(運行的操作系統)操作系統的詳細信息(操作系統的名稱和版本)網絡距離(目標和攻擊者之間的距離跳)
如果遠程主機有防火墻,IDS和IPS系統,妳可以使用-PN命令來確保不ping遠程主機,因為有時候防火墻會組織掉ping請求.-PN命令告訴Nmap不用ping遠程主機。
代碼如下:
#nmap-O-PN192.168.1.1/24
以上命令告訴發信主機遠程主機是存活在網絡上的,所以沒有必要發送ping請求,使用-PN參數可以繞過PING命令,但是不影響主機的系統的發現.
Nmap的操作系統檢測的基礎是有開放和關閉的端口,如果OSscan無法檢測到至少壹個開放或者關閉的端口,會返回以下錯誤:
代碼如下:
Warning:OSScanresultsmaybeunreliablebecausewecouldnotfindatleast1openand1closedport
OSScan的結果是不可靠的,因為沒有發現至少壹個開放或者關閉的端口
這種情況是非常不理想的,應該是遠程主機做了針對操作系統檢測的防範。如果Nmap不能檢測到遠程操作系統類型,那麽就沒有必要使用-osscan_limit檢測。
想好通過Nmap準確的檢測到遠程操作系統是比較困難的,需要使用到Nmap的猜測功能選項,–osscan-guess猜測認為最接近目標的匹配操作系統類型。
代碼如下:
#nmap-O--osscan-guess192.168.1.1
下面是掃描類型說明
-sTTCPconnect()掃描:這是最基本的TCP掃描方式。connect()是壹種系統調用,由操作系統提供,用來打開壹個連接。如果目標端口有程序監聽,connect()就會成功返回,否則這個端口是不可達的。這項技術最大的優點是,妳勿需root權限。任何UNIX用戶都可以自由使用這個系統調用。這種掃描很容易被檢測到,在目標主機的日誌中會記錄大批的連接請求以及錯誤信息。
-sSTCP同步掃描(TCPSYN):因為不必全部打開壹個TCP連接,所以這項技術通常稱為半開掃描(half-open)。妳可以發出壹個TCP同步包(SYN),然後等待回應。如果對方返回SYN|ACK(響應)包就表示目標端口正在監聽;如果返回RST數據包,就表示目標端口沒有監聽程序;如果收到壹個SYN|ACK包,源主機就會馬上發出壹個RST(復位)數據包斷開和目標主機的連接,這實際上有我們的操作系統內核自動完成的。這項技術最大的好處是,很少有系統能夠把這記入系統日誌。不過,妳需要root權限來定制SYN數據包。
-sF-sX-sN秘密FIN數據包掃描、聖誕樹(XmasTree)、空(Null)掃描模式:即使SYN掃描都無法確定的情況下使用。壹些防火墻和包過濾軟件能夠對發送到被限制端口的SYN數據包進行監視,而且有些程序比如synlogger和courtney能夠檢測那些掃描。這些高級的掃描方式可以逃過這些幹擾。些掃描方式的理論依據是:關閉的端口需要對妳的探測包回應RST包,而打開的端口必需忽略有問題的包(參考RFC793第64頁)。FIN掃描使用暴露的FIN數據包來探測,而聖誕樹掃描打開數據包的FIN、URG和PUSH標誌。不幸的是,微軟決定完全忽略這個標準,另起爐竈。所以這種掃描方式對Windows95/NT無效。不過,從另外的角度講,可以使用這種方式來分別兩種不同的平臺。如果使用這種掃描方式可以發現打開的端口,妳就可以確定目標註意運行的不是Windows系統。如果使用-sF、-sX或者-sN掃描顯示所有的端口都是關閉的,而使用SYN掃描顯示有打開的端口,妳可以確定目標主機可能運行的是Windwos系統。現在這種方式沒有什麽太大的用處,因為nmap有內嵌的操作系統檢測功能。還有其它幾個系統使用和windows同樣的處理方式,包括Cisco、BSDI、HP/UX、MYS、IRIX。在應該拋棄數據包時,以上這些系統都會從打開的端口發出復位數據包。
-sPping掃描:有時妳只是想知道此時網絡上哪些主機正在運行。通過向妳指定的網絡內的每個IP地址發送ICMPecho請求數據包,nmap就可以完成這項任務。如果主機正在運行就會作出響應。不幸的是,壹些站點例如:microsoft.com阻塞ICMPecho請求數據包。然而,在默認的情況下nmap也能夠向80端口發送TCPack包,如果妳收到壹個RST包,就表示主機正在運行。nmap使用的第三種技術是:發送壹個SYN包,然後等待壹個RST或者SYN/ACK包。對於非root用戶,nmap使用connect()方法。在默認的情況下(root用戶),nmap並行使用ICMP和ACK技術。註意,nmap在任何情況下都會進行ping掃描,只有目標主機處於運行狀態,才會進行後續的掃描。如果妳只是想知道目標主機是否運行,而不想進行其它掃描,才會用到這個選項。
-sUUDP掃描:如果妳想知道在某臺主機上提供哪些UDP(用戶數據報協議,RFC768)服務,可以使用這種掃描方法。nmap首先向目標主機的每個端口發出壹個0字節的UDP包,如果我們收到端口不可達的ICMP消息,端口就是關閉的,否則我們就假設它是打開的。有些人可能會想UDP掃描是沒有什麽意思的。但是,我經常會想到最近出現的solarisrpcbind缺陷。rpcbind隱藏在壹個未公開的UDP端口上,這個端口號大於32770。所以即使端口111(portmap的眾所周知端口號)被防火墻阻塞有關系。但是妳能發現大於30000的哪個端口上有程序正在監聽嗎?使用UDP掃描就能!cDcBackOrifice的後門程序就隱藏在Windows主機的壹個可配置的UDP端口中。不考慮壹些通常的安全缺陷,壹些服務例如:snmp、tftp、NFS使用UDP協議。不幸的是,UDP掃描有時非常緩慢,因為大多數主機限制ICMP錯誤信息的比例(在RFC1812中的建議)。例如,在Linux內核中(在net/ipv4/icmp.h文件中)限制每4秒鐘只能出現80條目標豢紗鐧腎CMP消息,如果超過這個比例,就會給1/4秒鐘的處罰。solaris的限制更加嚴格,每秒鐘只允許出現大約2條ICMP不可達消息,這樣,使掃描更加緩慢。nmap會檢測這個限制的比例,減緩發送速度,而不是發送大量的將被目標主機丟棄的無用數據包。不過Micro$oft忽略了RFC1812的這個建議,不對這個比例做任何的限制。所以我們可以能夠快速掃描運行Win95/NT的主機上的所有65K個端口。
-sAACK掃描:這項高級的掃描方法通常用來穿過防火墻的規則集。通常情況下,這有助於確定壹個防火墻是功能比較完善的或者是壹個簡單的包過濾程序,只是阻塞進入的SYN包。這種掃描是向特定的端口發送ACK包(使用隨機的應答/序列號)。如果返回壹個RST包,這個端口就標記為unfiltered狀態。如果什麽都沒有返回,或者返回壹個不可達ICMP消息,這個端口就歸入filtered類。註意,nmap通常不輸出unfiltered的端口,所以在輸出中通常不顯示所有被探測的端口。顯然,這種掃描方式不能找出處於打開狀態的端口。
-sW對滑動窗口的掃描:這項高級掃描技術非常類似於ACK掃描,除了它有時可以檢測到處於打開狀態的端口,因為滑動窗口的大小是不規則的,有些操作系統可以報告其大小。這些系統至少包括:某些版本的AIX、Amiga、BeOS、BSDI、Cray、Tru64UNIX、DG/UX、OpenVMS、DigitalUNIX、OpenBSD、OpenStep、QNX、Rhapsody、SunOS4.x、Ultrix、VAX、VXWORKS。從nmap-hackers郵件3列表的文檔中可以得到完整的列表。
-sRRPC掃描。這種方法和nmap的其它不同的端口掃描方法結合使用。選擇所有處於打開狀態的端口向它們發出SunRPC程序的NULL命令,以確定它們是否是RPC端口,如果是,就確定是哪種軟件及其版本號。因此妳能夠獲得防火墻的壹些信息。誘餌掃描現在還不能和RPC掃描結合使用。
-bFTP反彈攻擊(bounceattack):FTP協議(RFC959)有壹個很有意思的特征,它支持代理FTP連接。也就是說,我能夠從evil.com連接到FTP服務器target.com,並且可以要求這臺FTP服務器為自己發送Internet上任何地方的文件!1985年,RFC959完成時,這個特征就能很好地工作了。然而,在今天的Internet中,我們不能讓人們劫持FTP服務器,讓它向Internet上的任意節點發送數據。如同Hobbit在1995年寫的文章中所說的,這個協議"能夠用來做投遞虛擬的不可達郵件和新聞,進入各種站點的服務器,填滿硬盤,跳過防火墻,以及其它的騷擾活動,而且很難進行追蹤"。我們可以使用這個特征,在壹臺代理FTP服務器掃描TCP端口。因此,妳需要連接到防火墻後面的壹臺FTP服務器,接著進行端口掃描。如果在這臺FTP服務器中有可讀寫的目錄,妳還可以向目標端口任意發送數據(不過nmap不能為妳做這些)。傳遞給-b功能選項的參數是妳要作為代理的FTP服務器。語法格式為:-busername:password@server:port。除了server以外,其余都是可選的。如果妳想知道什麽服務器有這種缺陷,可以參考我在Phrack51發表的文章。還可以在nmap的站點得到這篇文章的最新版本。
通用選項這些內容不是必需的,但是很有用。
-P0在掃描之前,不必ping主機。有些網絡的防火墻不允許ICMPecho請求穿過,使用這個選項可以對這些網絡進行掃描。microsoft.com就是壹個例子,因此在掃描這個站點時,妳應該壹直使用-P0或者-PT80選項。
-PT掃描之前,使用TCPping確定哪些主機正在運行。nmap不是通過發送ICMPecho請求包然後等待響應來實現這種功能,而是向目標網絡(或者單壹主機)發出TCPACK包然後等待回應。如果主機正在運行就會返回RST包。只有在目標網絡/主機阻塞了ping包,而仍舊允許妳對其進行掃描時,這個選項才有效。對於非root用戶,我們使用connect()系統調用來實現這項功能。使用-PT來設定目標端口。默認的端口號是80,因為這個端口通常不會被過濾。
-PS對於root用戶,這個選項讓nmap使用SYN包而不是ACK包來對目標主機進行掃描。如果主機正在運行就返回壹個RST包(或者壹個SYN/ACK包)。
-PI設置這個選項,讓nmap使用真正的ping(ICMPecho請求)來掃描目標主機是否正在運行。使用這個選項讓nmap發現正在運行的主機的同時,nmap也會對妳的直接子網廣播地址進行觀察。直接子網廣播地址壹些外部可達的IP地址,把外部的包轉換為壹個內向的IP廣播包,向壹個計算機子網發送。這些IP廣播包應該刪除,因為會造成拒絕服務攻擊(例如smurf)。