-sT
TCP connect()掃描:這是最基本的TCP掃描方式。connect()是壹種系統調用,由操作系統提供,用來打開壹個連接。如果目標端口有程序監聽,connect()就會成功返回,否則這個端口是不可達的。這項技術最大的優點是,妳勿需root權限。任何UNIX用戶都可以自由使用這個系統調用。這種掃描很容易被檢測到,在目標主機的日誌中會記錄大批的連接請求以及錯誤信息。
-sS
TCP同步掃描(TCP SYN):因為不必全部打開壹個TCP連接,所以這項技術通常稱為半開掃描(half-open)。妳可以發出壹個TCP同步包(SYN),然後等待回應。如果對方返回SYN|ACK(響應)包就表示目標端口正在監聽;如果返回RST數據包,就表示目標端口沒有監聽程序;如果收到壹個SYN|ACK包,源主機就會馬上發出壹個RST(復位)數據包斷開和目標主機的連接,這實際上有我們的操作系統內核自動完成的。這項技術最大的好處是,很少有系統能夠把這記入系統日誌。不過,妳需要root權限來定制SYN數據包。
-sF -sF -sN
秘密FIN數據包掃描、聖誕樹(Xmas Tree)、空(Null)掃描模式:即使SYN掃描都無法確定的情況下使用。壹些防火墻和包過濾軟件能夠對發送到被限制端口的SYN數據包進行監視,而且有些程序比如synlogger和courtney能夠檢測那些掃描。這些高級的掃描方式可以逃過這些幹擾。這些掃描方式的理論依據是:關閉的端口需要對妳的探測包回應RST包,而打開的端口必需忽略有問題的包(參考RFC 793第64頁)。FIN掃描使用暴露的FIN數據包來探測,而聖誕樹掃描打開數據包的FIN、URG和PUSH標誌。不幸的是,微軟決定完全忽略這個標準,另起爐竈。所以這種掃描方式對Windows95/NT無效。不過,從另外的角度講,可以使用這種方式來分別兩種不同的平臺。如果使用這種掃描方式可以發現打開的端口,妳就可以確定目標註意運行的不是Windows系統。如果使用-sF、-sX或者-sN掃描顯示所有的端口都是關閉的,而使用SYN掃描顯示有打開的端口,妳可以確定目標主機可能運行的是Windwos系統。現在這種方式沒有什麽太大的用處,因為nmap有內嵌的操作系統檢測功能。還有其它幾個系統使用和windows同樣的處理方式,包括Cisco、BSDI、HP/UX、MYS、IRIX。在應該拋棄數據包時,以上這些系統都會從打開的端口發出復位數據包。
-sP
ping掃描:有時妳只是想知道此時網絡上哪些主機正在運行。通過向妳指定的網絡內的每個IP地址發送ICMP echo請求數據包,nmap就可以完成這項任務。如果主機正在運行就會作出響應。不幸的是,壹些站點例如:microsoft.com阻塞ICMP echo請求數據包。然而,在默認的情況下nmap也能夠向80端口發送TCP ack包,如果妳收到壹個RST包,就表示主機正在運行。nmap使用的第三種技術是:發送壹個SYN包,然後等待壹個RST或者SYN/ACK包。對於非root用戶,nmap使用connect()方法。
在默認的情況下(root用戶),nmap並行使用ICMP和ACK技術。
註意,nmap在任何情況下都會進行ping掃描,只有目標主機處於運行狀態,才會進行後續的掃描。如果妳只是想知道目標主機是否運行,而不想進行其它掃描,才會用到這個選項。
-sU
UDP掃描:如果妳想知道在某臺主機上提供哪些UDP(用戶數據報協議,RFC768)服務,可以使用這種掃描方法。nmap首先向目標主機的每個端口發出壹個0字節的UDP包,如果我們收到端口不可達的ICMP消息,端口就是關閉的,否則我們就假設它是打開的。
有些人可能會想UDP掃描是沒有什麽意思的。但是,我經常會想到最近出現的solaris rpcbind缺陷。rpcbind隱藏在壹個未公開的UDP端口上,這個端口號大於32770。所以即使端口111(portmap的眾所周知端口號)被防火墻阻塞有關系。但是妳能發現大於30000的哪個端口上有程序正在監聽嗎?使用UDP掃描就能!cDc Back Orifice的後門程序就隱藏在Windows主機的壹個可配置的UDP端口中。不考慮壹些通常的安全缺陷,壹些服務例如:snmp、tftp、NFS使用UDP協議。不幸的是,UDP掃描有時非常緩慢,因為大多數主機限制ICMP錯誤信息的比例(在RFC1812中的建議)。例如,在Linux內核中(在net/ipv4/icmp.h文件中)限制每4秒鐘只能出現80條目標不可達的ICMP消息,如果超過這個比例,就會給1/4秒鐘的處罰。solaris的限制更加嚴格,每秒鐘只允許出現大約2條ICMP不可達消息,這樣,使掃描更加緩慢。nmap會檢測這個限制的比例,減緩發送速度,而不是發送大量的將被目標主機丟棄的無用數據包。
不過Micro$oft忽略了RFC1812的這個建議,不對這個比例做任何的限制。所以我們可以能夠快速掃描運行Win95/NT的主機上的所有65K個端口。
-sA
ACK掃描:這項高級的掃描方法通常用來穿過防火墻的規則集。通常情況下,這有助於確定壹個防火墻是功能比較完善的或者是壹個簡單的包過濾程序,只是阻塞進入的SYN包。
這種掃描是向特定的端口發送ACK包(使用隨機的應答/序列號)。如果返回壹個RST包,這個端口就標記為unfiltered狀態。如果什麽都沒有返回,或者返回壹個不可達ICMP消息,這個端口就歸入filtered類。註意,nmap通常不輸出unfiltered的端口,所以在輸出中通常不顯示所有被探測的端口。顯然,這種掃描方式不能找出處於打開狀態的端口。
-sW
對滑動窗口的掃描:這項高級掃描技術非常類似於ACK掃描,除了它有時可以檢測到處於打開狀態的端口,因為滑動窗口的大小是不規則的,有些操作系統可以報告其大小。這些系統至少包括:某些版本的AIX、Amiga、BeOS、BSDI、Cray、Tru64 UNIX、DG/UX、OpenVMS、Digital UNIX、OpenBSD、OpenStep、QNX、Rhapsody、SunOS 4.x、Ultrix、VAX、VXWORKS。從nmap-hackers郵件3列表的文檔中可以得到完整的列表。
-sR
RPC掃描。這種方法和nmap的其它不同的端口掃描方法結合使用。選擇所有處於打開狀態的端口向它們發出SunRPC程序的NULL命令,以確定它們是否是RPC端口,如果是,就確定是哪種軟件及其版本號。因此妳能夠獲得防火墻的壹些信息。誘餌掃描現在還不能和RPC掃描結合使用。
-b
FTP反彈攻擊(bounce attack):FTP協議(RFC 959)有壹個很有意思的特征,它支持代理FTP連接。也就是說,我能夠從evil.com連接到FTP服務器target.com,並且可以要求這臺FTP服務器為自己發送Internet上任何地方的文件!1985年,RFC959完成時,這個特征就能很好地工作了。然而,在今天的Internet中,我們不能讓人們劫持FTP服務器,讓它向Internet上的任意節點發送數據。如同Hobbit在1995年寫的文章中所說的,這個協議"能夠用來做投遞虛擬的不可達郵件和新聞,進入各種站點的服務器,填滿硬盤,跳過防火墻,以及其它的騷擾活動,而且很難進行追蹤"。我們可以使用這個特征,在壹臺代理FTP服務器掃描TCP端口。因此,妳需要連接到防火墻後面的壹臺FTP服務器,接著進行端口掃描。如果在這臺FTP服務器中有可讀寫的目錄,妳還可以向目標端口任意發送數據(不過nmap不能為妳做這些)。
傳遞給-b功能選項的參數是妳要作為代理的FTP服務器。語法格式為:
-b username:password@server:port。
除了server以外,其余都是可選的。如果妳想知道什麽服務器有這種缺陷,可以參考我在Phrack 51發表的文章。還可以在nmap的站點得到這篇文章的最新版本。
4.2 通用選項
這些內容不是必需的,但是很有用。
-P0
在掃描之前,不必ping主機。有些網絡的防火墻不允許ICMP echo請求穿過,使用這個選項可以對這些網絡進行掃描。microsoft.com就是壹個例子,因此在掃描這個站點時,妳應該壹直使用-P0或者-PT 80選項。
-PT
掃描之前,使用TCP ping確定哪些主機正在運行。nmap不是通過發送ICMP echo請求包然後等待響應來實現這種功能,而是向目標網絡(或者單壹主機)發出TCP ACK包然後等待回應。如果主機正在運行就會返回RST包。只有在目標網絡/主機阻塞了ping包,而仍舊允許妳對其進行掃描時,這個選項才有效。對於非root用戶,我們使用connect()系統調用來實現這項功能。使用-PT 來設定目標端口。默認的端口號是80,因為這個端口通常不會被過濾。
-PS
對於root用戶,這個選項讓nmap使用SYN包而不是ACK包來對目標主機進行掃描。如果主機正在運行就返回壹個RST包(或者壹個SYN/ACK包)。
-PI
設置這個選項,讓nmap使用真正的ping(ICMP echo請求)來掃描目標主機是否正在運行。使用這個選項讓nmap發現正在運行的主機的同時,nmap也會對妳的直接子網廣播地址進行觀察。直接子網廣播地址壹些外部可達的IP地址,把外部的包轉換為壹個內向的IP廣播包,向壹個計算機子網發送。這些IP廣播包應該刪除,因為會造成拒絕服務攻擊(例如smurf)。
-PB
這是默認的ping掃描選項。它使用ACK(-PT)和ICMP(-PI)兩種掃描類型並行掃描。如果防火墻能夠過濾其中壹種包,使用這種方法,妳就能夠穿過防火墻。
-O
這個選項激活對TCP/IP指紋特征(fingerprinting)的掃描,獲得遠程主機的標誌。換句話說,nmap使用壹些技術檢測目標主機操作系統網絡協議棧的特征。nmap使用這些信息建立遠程主機的指紋特征,把它和已知的操作系統指紋特征數據庫做比較,就可以知道目標主機操作系統的類型。
-I
這個選項打開nmap的反向標誌掃描功能。Dave Goldsmith 1996年向bugtap發出的郵件註意到這個協議,ident協議(rfc 1413)允許使用TCP連接給出任何進程擁有者的用戶名,即使這個進程並沒有初始化連接。例如,妳可以連接到HTTP端口,接著使用identd確定這個服務器是否由root用戶運行。這種掃描只能在同目標端口建立完全的TCP連接時(例如:-sT掃描選項)才能成功。使用-I選項是,遠程主機的identd精靈進程就會查詢在每個打開的端口上監聽的進程的擁有者。顯然,如果遠程主機沒有運行identd程序,這種掃描方法無效。
-f
這個選項使nmap使用碎片IP數據包發送SYN、FIN、XMAS、NULL。使用碎片數據包增加包過濾、入侵檢測系統的難度,使其無法知道妳的企圖。不過,要慎重使用這個選項!有些程序在處理這些碎片包時會有麻煩,我最喜歡的嗅探器在接受到碎片包的頭36個字節時,就會發生segmentation faulted。因此,在nmap中使用了24個字節的碎片數據包。雖然包過濾器和防火墻不能防這種方法,但是有很多網絡出於性能上的考慮,禁止數據包的分片。
註意這個選項不能在所有的平臺上使用。它在Linux、FreeBSD、OpenBSD以及其它壹些UNIX系統能夠很好工作。
-v
冗余模式。強烈推薦使用這個選項,它會給出掃描過程中的詳細信息。使用這個選項,妳可以得到事半功倍的效果。使用-d選項可以得到更加詳細的信息。
-h
快速參考選項。
-oN
把掃描結果重定向到壹個可讀的文件logfilename中。
-oM
把掃描結果重定向到logfilename文件中,這個文件使用主機可以解析的語法。妳可以使用-oM -來代替logfilename,這樣輸出就被重定向到標準輸出stdout。在這種情況下,正常的輸出將被覆蓋,錯誤信息荏苒可以輸出到標準錯誤stderr。要註意,如果同時使用了-v選項,在屏幕上會打印出其它的信息。
-oS thIs l0gz th3 r3suLtS of YouR ScanZ iN a s| THe fiL3 U sPecfy 4s an arGuMEnT! U kAn gIv3 the 4rgument -
(wItHOUt qUOteZ) to sh00t output iNT0 stDouT!@!! 莫名其妙,下面是我猜著翻譯的,相形字?
把掃描結果重定向到壹個文件logfilename中,這個文件使用壹種"黑客方言"的語法形式(作者開的玩笑?)。同樣,使用-oS -就會把結果重定向到標準輸出上。
-resume
某個網絡掃描可能由於control-C或者網絡損失等原因被中斷,使用這個選項可以使掃描接著以前的掃描進行。logfilename是被取消掃描的日誌文件,它必須是可讀形式或者機器可以解析的形式。而且接著進行的掃描不能增加新的選項,只能使用與被中斷的掃描相同的選項。nmap會接著日誌文件中的最後壹次成功掃描進行新的掃描。
-iL
從inputfilename文件中讀取掃描的目標。在這個文件中要有壹個主機或者網絡的列表,由空格鍵、制表鍵或者回車鍵作為分割符。如果使用-iL -,nmap就會從標準輸入stdin讀取主機名字。妳可以從指定目標壹節得到更加詳細的信息。
-iR
讓nmap自己隨機挑選主機進行掃描。
-p
這個選項讓妳選擇要進行掃描的端口號的範圍。例如,-p 23表示:只掃描目標主機的23號端口。-p 20-30,139,60000-表示:掃描20到30號端口,139號端口以及所有大於60000的端口。在默認情況下,nmap掃描從1到1024號以及nmap-services文件(如果使用RPM軟件包,壹般在/usr/share/nmap/目錄中)中定義的端口列表。
-F
快速掃描模式,只掃描在nmap-services文件中列出的端口。顯然比掃描所有65535個端口要快。
-D
使用誘餌掃描方法對目標網絡/主機進行掃描。如果nmap使用這種方法對目標網絡進行掃描,那麽從目標主機/網絡的角度來看,掃描就象從其它主機(decoy1,等)發出的。從而,即使目標主機的IDS(入侵檢測系統)對端口掃描發出報警,它們也不可能知道哪個是真正發起掃描的地址,哪個是無辜的。這種掃描方法可以有效地對付例如路由跟蹤、response-dropping等積極的防禦機制,能夠很好地隱藏妳的IP地址。
每個誘餌主機名使用逗號分割開,妳也可以使用ME選項,它代表妳自己的主機,和誘餌主機名混雜在壹起。如果妳把ME放在第六或者更靠後的位置,壹些端口掃描檢測軟件幾乎根本不會顯示妳的IP地址。如果妳不使用ME選項,nmap會把妳的IP地址隨機夾雜在誘餌主機之中。
註意:妳用來作為誘餌的主機應該正在運行或者妳只是偶爾向目標發送SYN數據包。很顯然,如果在網絡上只有壹臺主機運行,目標將很輕松就會確定是哪臺主機進行的掃描。或許,妳還要直接使用誘餌的IP地址而不是其域名,這樣誘餌網絡的域名服務器的日誌上就不會留下關於妳的記錄。
還要註意:壹些愚蠢的端口掃描檢測軟件會拒絕路由試圖進行端口掃描的主機。因而,妳需要讓目標主機和壹些誘餌斷開連接。如果誘餌是目標主機的網關或者就是其自己時,會給目標主機造成很大問題。所以妳需要慎重使用這個選項。
誘餌掃描既可以在起始的ping掃描也可以在真正的掃描狀態下使用。它也可以和-O選項組合使用。
使用太多的誘餌掃描能夠減緩妳的掃描速度甚至可能造成掃描結果不正確。同時,有些ISP會把妳的欺騙包過濾掉。雖然現在大多數的ISP不會對此進行限制。
-S
在壹些情況下,nmap可能無法確定妳的源地址(nmap會告訴妳)。在這種情況下,可以使用這個選項給出妳的IP地址。
在欺騙掃描時,也使用這個選項。使用這個選項可以讓目標認為是其它的主機對自己進行掃描。
-e
告訴nmap使用哪個接口發送和接受數據包。nmap能夠自動對此接口進行檢測,如果無效就會告訴妳。
-g
設置掃描的源端口。壹些天真的防火墻和包過濾器的規則集允許源端口為DNS(53)或者FTP-DATA(20)的包通過和實現連接。顯然,如果攻擊者把源端口修改為20或者53,就可以摧毀防火墻的防護。在使用UDP掃描時,先使用53號端口;使用TCP掃描時,先使用20號端口。註意只有在能夠使用這個端口進行掃描時,nmap才會使用這個端口。例如,如果妳無法進行TCP掃描,nmap會自動改變源端口,即使妳使用了-g選項。
對於壹些掃描,使用這個選項會造成性能上的微小損失,因為我有時會保存關於特定源端口的壹些有用的信息。
-r
告訴nmap不要打亂被掃描端口的順序。
--randomize_hosts
使nmap在掃描之前,打亂每組掃描中的主機順序,nmap每組可以掃描最多2048臺主機。這樣,可以使掃描更不容易被網絡監視器發現,尤其和--scan_delay 選項組合使用,更能有效避免被發現。
-M
設置進行TCP connect()掃描時,最多使用多少個套接字進行並行的掃描。使用這個選項可以降低掃描速度,避免遠程目標宕機。