信息与通信安全课程设计_Nmap的使用

信息与通信安全课程设计 网络扫描软件Nmap的使用一、实验原理1Nmap简介Nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪服务运行在那些连接端，并且推断哪个操作系统计算机运行。它是网络管理员必用的软件之一，以及用以评估网络系统保安。正如大多数工具被用于网络安全的工具，nmap也是不少黑客及骇客（又称脚本小孩）爱用的工具。系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器，但是黑客会利用nmap来搜集目标电脑的网络设定，从而计划攻击的方法。Nmap常被跟评估系统漏洞软件Nessus 混为一谈。Nmap以隐秘的手法，避开闯入检测系统的监视，并尽可能不影响目标系统的日常操作。nmap运行通常会得到被扫描主机端口的列表。nmap总会给出well known端口的服务名(如果可能)、端口号、状态和协议等信息。每个端口的状态有：open、filtered、unfiltered。open状态意味着目标主机能够在这个端口使用accept()系统调用接受连接。filtered状态表示：防火墙、包过滤和其它的网络安全软件掩盖了这个端口，禁止nmap探测其是否打开。unfiltered表示：这个端口关闭，并且没有防火墙/包过滤软件来隔离nmap的探测企图。通常情况下，端口的状态基本都是unfiltered状态，只有在大多数被扫描的端口处于filtered状态下，才会显示处于unfiltered状态的端口。根据使用的功能选项，nmap也可以报告远程主机的下列特征：使用的操作系统、TCP序列、运行绑定到每个端口上的应用程序的用户名、DNS名、主机地址是否是欺骗地址、以及其它一些东西。2Nmap识别的6个端口状态（1）open(开放的)应用程序正在该端口接收TCP 连接或者UDP报文。发现这一点常常是端口扫描的主要目标。安全意识强的人们知道每个开放的端口都是攻击的入口。攻击者或者入侵测试者想要发现开放的端口。而管理员则试图关闭它们或者用防火墙保护它们以免妨碍了合法用户。非安全扫描可能对开放的端口也感兴趣，因为它们显示了网络上那些服务可供使用。（2）closed(关闭的)关闭的端口对于Nmap也是可访问的(它接受Nmap的探测报文并作出响应)，但没有应用程序在其上监听。它们可以显示该IP地址上(主机发现，或者ping扫描)的主机正在运行up 也对部分操作系统探测有所帮助。（3）filtered(被过滤的)由于包过滤阻止探测报文到达端口，Nmap无法确定该端口是否开放。过滤可能来自专业的防火墙设备，路由器规则或者主机上的软件防火墙。（4）unfiltered(未被过滤的)未被过滤状态意味着端口可访问，但Nmap不能确定它是开放还是关闭。只有用于映射防火墙规则集的ACK扫描才会把端口分类到这种状态。用其它类型的扫描如窗口扫描，SYN扫描，或者FIN扫描来扫描未被过滤的端口可以帮助确定端口是否开放。（5）open|filtered(开放或者被过滤的)当无法确定端口是开放还是被过滤的，Namp就把该端口划分成这种状态。开放的端口不响应就是一个例子。没有响应也可能意味着报文过滤器丢弃了探测报文或者它引发的任何响应。因此Nmap无法确定该端口是开放的还是被过滤的。UDP，IP协议，FIN，Null和Xmas扫描可能把端口归入此类。（6）closed|filtered(关闭或者被过滤的)该状态用于Nmap不能确定端口是关闭的还是被过滤的。它只可能出现在IPID Idle扫描中。3Nmap语法Nmap的语法相当简单，一般语法格式：nmap -Scan Type(s) -Options destination。（1）基本扫描类型（a）-sTTCP connect()扫描：这是最基本的TCP扫描方式。connect()是一种系统调用，由操作系统提供，用来打开一个连接。如果目标端口有程序监听，connect()就会成功返回，否则这个端口是不可达的。这项技术勿需root权限。任何用户都可以自由使用这个系统调用。这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息。（b）-sSTCP同步扫描(TCP SYN)：因为不必全部打开一个TCP连接，所以这项技术通常称为半开扫描(half-open)。我们可以发出一个TCP同步包(SYN)，然后等待回应。如果对方返回SYN|ACK(响应)包就表示目标端口正在监听；如果返回RST数据包，就表示目标端口没有监听程序；如果收到一个SYN|ACK包，源主机就会马上发出一个RST(复位)数据包断开和目标主机的连接，这实际上有我们的操作系统内核自动完成的。这项技术最大的好处是，很少有系统能够把这记入系统日志。不过，我们需要root权限来定制SYN数据包。（c）-sF -sX -sN秘密FIN数据包扫描、圣诞树(Xmas Tree)、空(Null)扫描模式：即使SYN扫描都无法确定的情况下使用。一些防火墙和包过滤软件能够对发送到被限制端口的SYN数据包进行监视，而且有些程序比如synlogger和courtney能够检测那些扫描。这些高级的扫描方式可以逃过这些干扰。（d）-sPping扫描：有时你只是想知道此时网络上哪些主机正在运行。通过向你指定的网络内的每个IP地址发送ICMP echo请求数据包，nmap就可以完成这项任务。如果主机正在运行就会作出响应。不幸的是，一些站点例如：阻塞ICMP echo请求数据包。然而，在默认的情况下nmap也能够向80端口发送TCP ack包，如果你收到一个RST包，就表示主机正在运行。（e）-sUUDP扫描：如果你想知道在某台主机上提供哪些UDP(用户数据报协议,RFC768)服务，可以使用这种扫描方法。nmap首先向目标主机的每个端口发出一个0字节的UDP包，如果我们收到端口不可达的ICMP消息，端口就是关闭的，否则我们就假设它是打开的。（2）选项（a）-PO在扫描之前，不必ping主机。有些网络的防火墙不允许ICMP echo请求穿过，使用这个选项可以对这些网络进行扫描。（b）-PT扫描之前，使用TCP ping确定哪些主机正在运行。（c）-O这个选项激活对TCP/IP指纹特征(fingerprinting)的扫描，获得远程主机的标志。换句话说，nmap使用一些技术检测目标主机操作系统网络协议栈的特征。nmap使用这些信息建立远程主机的指纹特征，把它和已知的操作系统指纹特征数据库做比较，就可以知道目标主机操作系统的类型。（d）-v冗余模式。它会给出扫描过程中的详细信息。使用这个选项，可以得到事半功倍的效果。使用-d选项可以得到更加详细的信息。（e）-h快速参考选项。（f）-p选择要进行扫描的端口号的范围。例如，-p 23表示：只扫描目标主机的23号端口。-p 20-30,139,60000-表示：扫描20到30号端口，139号端口以及所有大于60000的端口。在默认情况下，nmap扫描从1到1024号以及nmap-services文件中定义的端口列表。（g）-D使用诱饵扫描方法对目标网络/主机进行扫描。如果nmap使用这种方法对目标网络进行扫描，那么从目标主机/网络的角度来看，扫描就象从其它主机发出的。从而，即使目标主机的IDS对端口扫描发出报警，它们也不可能知道哪个是真正发起扫描的地址，哪个是无辜的。这种扫描方法可以有效地对付例如路由跟踪、response-dropping等积极的防御机制，能够很好地隐藏你的IP地址。（3）目标设定在nmap的所有参数中，只有目标参数是必须给出的。其最简单的形式是在命令行直接输入一个主机名或者一个IP地址。如果你希望扫描某个IP地址的一个子网，你可以在主机名或者IP地址的后面加上/掩码。掩码在0(扫描整个网络)到32(只扫描这个主机)。使用/24扫描C类地址，/16扫描B 类地址。除此之外，nmap还有更加强大的表示方式让你更加灵活地指定IP地址。例如，如果要扫描这个B类网络128.210.*.*，你可以使用下面三种方式来指定这些地址:128.210.*.*、128.21-.0-255.0-255或者/16这三种形式是等价的。二、实验环境装有Nmap6.25的PC机。下载Nmap6.25并安装，安装过程略。三、实验步骤及结果使用不同扫描指令扫描在线主机，并记录端口信息；扫描目标主机的支持协议状况与防火墙状态；设置不同的指令参数进行扫描；扫描目标主机的操作系统类型。(A)使用不同扫描指令1. -sT: TCP connect()扫描 connect()是一种系统调用，由操作系统提供，用来打开一个连接。如果目标端口有程序监听，connect()就会成功返回，否则这个端口是不可达的。由扫描结果可知，目标IP共有5个开放端口，995个过滤端口，也可以知道开放的5个端口的协议类型以及提供的服务。只扫描一个主机就扫描用掉了9分钟，这是因为TCP connect scan是调用connect()函数来打开一个链接，效率较低。2. sS：TCP同步扫描(TCP SYN) TCP SYN scan与TCP connect()扫描相同，而TCP SYN scan不必全部打开一个tcp连接，只是发出一个TCP同步包(SYN)，然后等待回应。如果对方返回SYN|ACK(响应)包就表示目标端口正在监听；如果返回RST数据包，就表示目标端口没有监听程序；如果收到一个SYN|ACK包，源主机就会马上发出一个RST(复位)数据包断开和目标主机的连接。扫描10个主机共用时10分钟，明显比TCP connect()快。3ping扫描Ping扫描并没有进行端口扫描，因此不能得到端口信息和系统信息，只知道有在IP地址段：09之间有10台主机并且是都处于开机状态。4.UDP扫描nmap首先向目标主机的每个端口发出一个0字节的UDP包，如果我们收到端口不可达的ICMP消息，端口就是关闭的，否则我们就假设它是打开的。从图中可以看到，共扫描了0-69共10台主机，每台主机的1000个udp端口，都是处于open|filtered 状态。5.TCP ACK扫描 这种ACK扫描是向特定的端口发送ACK包(使用随机的应答/序列号)。如果返回一个RST包，这个端口就标记为unfiltered状态。如果什么都没有返回，或者返回一个不可达ICMP消息，这个端口就归入filtered类。6. IP协议扫描IP协议扫描允许你判断目标主机支持哪些IP协议，从结果可以看到有11个端口支持IP协议，为上层提供7种服务，其中只有3个端口处于open状态。(B)使用不同参数扫描1.-F（快速扫描）可以看到只用了7秒就完成了扫描，速度很快。2. -v（提高输出信息详细度） 可以看到输出信息更加详细。3. -P指定端口扫描对指定端口80,21,23扫描，可以得到相应信息4.路由跟踪显示了本机到目标主机所经过的一系列路由器。5.扫描主机操作系统类型可以看到目标主机的操作系统为linux 2.6.32四、思考题1. 请问有哪些方法可以防御黑客的Nmap扫描？步骤一，Guest帐号禁用。有很多入侵都是通过这个帐号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，选择“高级”选项卡。单击“高级”按钮，弹出本地用户和组窗口。在Guest帐号上面点击右键，选择属性，在“常规”页中选中“帐户已停用”。步骤二，停止共享。Windows 2000安装好之后，系统会创建一些隐藏的共享。点击开始运行cmd，然后在命令行方式下键入命令“net share”就可以查看它们。网上有很多关于IPC入侵的文章，都利用了默认共享连接。要禁止这些共享，打开管理工具计算机管理共享文件夹共享，在相应的共享文件夹上按右键，点“停止共享”就行了。步骤三，尽量关闭不必要的服务，如Terminal Services、IIS（如果你没有用自己的机器作Web服务器的话）、RAS（远程访问服务）等。还有一个挺烦人的Messenger服务也要关掉，否则总有人用消息服务发来网络广告。打开管理工具计算机管理服务和应用程序服务，看见没用的就关掉。步骤四，禁止建立空连接。在默认的情况下，任何用户都可以通过空连接连上服务器，枚举帐号并猜测密码。我们必须禁止建立空连接，方法有以下两种：(1)修改注册表： HKEY_Local_MachineSystemCurrent-ControlSetControlLSA下，将DWORD值RestrictAnonymous的键值改成1。(2)修改Windows 2000的本地安全策略：设置“本地安全策略本地策略选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。步骤五，如果开放了Web服务，还需要对IIS服务进行安全配置：(1)更改Web服务主目录。右键单击“默认Web站点属性主目录本地路径”，将“本地路径”指向其他目录。(2)删除原默认安装的Inetpub目录。(3)删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。(4)删除不必要的IIS扩展名映射。方法是：右键单击“默认Web站点属性主目录