Nmap使用方法

1、Nmap使用方法Ping 扫描(Ping Sweeping)端 口扫描(Port Scanning)隐蔽扫描(Stealth Scanning)UDP 扫描(UDP Scanning)操作系统识别(OS Fingerprinting)Ident 扫描(Ident Scanning)选项(Options)小结简介：最近媒体报道了许多关于入侵网络的新闻，使人们总以为入侵者只需通过简单 工具就可获得电脑的访问权限.但实际上，事情并不是想象中的这么简单.黑客想 要入侵一台电脑，首先要有一套完整的计划.在入侵系统之前，黑客必须先找到一 台目标主机，并查出哪些端口在监听之后才能进行入侵.找出网络上的主机，

2、测试哪些端口在监听，这些工作通常是由扫描来实现的.扫描 网络是黑客进行入侵的第一步.通过使用扫描器(如Nmap)扫描网络，寻找存在漏 洞的目标主机.一旦发现了有漏洞的目标，接下来就是对监听端口的扫描.Nmap 通过使用TCP协议栈指纹准确地判断出被扫主机的操作系统类型 .本文全方位地介绍Nmap的使用方法，可以让安全管理员了解在黑客眼中的站点 并通过使用它，安全管理员可以发现自己网站的漏洞，并逐步完善自己的系统.Nmap是在免费软件基金会的 GNU General Public License (GPL) 下发布的， 可从/ nmap站点上免费下载.下载格式可以

3、是tgz格式的源码或RPM格式.目前较稳定的版 本是2.12.带有图形终端，本文集中讨论Nmap命令的使用.Nmap的语法相当简 单.Nmap的不同选项和-s标志组成了不同的扫描类型，比如:一个Ping-scan命 令就是"-sP”.在确定了目标主机和网络之后，即可进行扫描.如果以root来运行 Nmap,Nmap的功能会大大的增强，因为超级用户可以创建便于 Nmap利用的定 制数据包.在目标机上,Nmap运行灵活.使用Nmap进行单机扫描或是整个网络的扫描很简 单，只要将带有"/mask"的目标地址指定给 Nmap即可地址是"victim/24&quo

4、t;,则目标 是c类网络，地址是"victim/16",则目标是B类网络.另外,Nmap允许你使用各类指定的网络地址，比如1Array2.168.7.*,是指 1Array/24,或 1Array,4,8-12,对所选子网下的主机进行扫描. Ping 扫描(Ping Sweeping)入侵者使用Nmap扫描整个网络寻找目标.通过使用"-sP”命令，进行ping扫描. 缺省情况下,Nmap给每个扫描到的主机发送一个ICMP echo和一个TCP ACK, 主机对任何一种的响应都会被 Nmap得到.举例:扫描1Array2.168.

5、7.0网络：# nmap -sP 1Array/24Starting nmap V. 2.12 by Fyodor (fyodor, /nmap/)Host (1Array1) appears to be up.Host (1Array2) appears to be up.Host(1Array6)appears to be up.Nmap run completed - 256 IP addresses (3 hosts up) scanned in 1 second如果不发送ICMP

6、echo请求，但要检查系统的可用性，这种扫描可能得不到一些 站点的响应.在这种情况下，一个TCP”ping”就可用于扫描目标网络.一个TCP”ping”将发送一个ACK到目标网络上的每个主机.网络上的主机如果 在线,则会返回一个TCP RST响应.使用带有ping扫描的TCP ping选项,也就是 “PT”选项可以对网络上指定端口进行扫描(本文例子中指的缺省端口是80(http) 号端口)，它将可能通过目标边界路由器甚至是防火墙.注意，被探测的主机上的目 标端口无须打开，关键取决于是否在网络上.# nmap -sP -PT80 1Array/24TCP probe port

7、is 80Starting nmap V. 2.12 by Fyodor (fyodor, /nmap/)Host (1Array1) appears to be up.Host (1Array2) appears to be up.Host (1Array6) appears to be up.Nmap run completed - 256 IP addresses (3 hosts up) scanned in 1 second 当潜在入侵者发现了在目标网络上运行的主机，下一步是进行端口扫描.Nmap支

8、持不同类别的端口扫描 TCP连接，TCP SYN, Stealth FIN, Xmas Tree,Null 和 UDP 扫描.端 口扫描(Port Scanning)一个攻击者使用TCP连接扫描很容易被发现，因为Nmap将使用connect()系 统调用打开目标机上相关端口的连接，并完成三次TCP握手.黑客登录到主机将 显示开放的端口 .一个tcp连接扫描使用“-sT”命令如下.# nmap -sT 1Array2Starting nmap V. 2.12 by Fyodor (fyodor, /nmap/) Interesting ports

9、 on (1Array2):Port State Protocol Service7 open tcp echo Array open tcp discard 13 open tcp daytime 1Array open tcp chargen 21 open tcp ftp Nmap run completed - 1 IP address (1 host up) scanned in 3 seconds 隐蔽扫描(Stealth Scanning)如果一个攻击者不愿在扫描时使其信息被记录在目标系统日志上,TCP SYN扫描可帮你的忙，它很少会在目标机上留下记录，三次握手

10、的过程从来都不会完全 实现.通过发送一个SYN包(是TCP协议中的第一个包)开始一次SYN的扫描. 任何开放的端口都将有一个 SYN|ACK响应.然而，攻击者发送一个RST替代 ACK,连接中止.三次握手得不到实现，也就很少有站点能记录这样的探测.如果是 关闭的端口，对最初的SYN信号的响应也会是 RST,让NMAP知道该端口不在 监听."-sS”命令将发送一个SYN扫描探测主机或网络：# nmap -sS 1ArrayStarting nmap V. 2.12 by Fyodor (fyodor, /nmap/) Interesti

11、ng ports on (1Array):Port State Protocol Service 21 open tcp ftp 25 open tcp smtp 53 open tcp domain 80 open tcp http .Nmap run completed - 1 IP address (1 host up) scanned in 1 second 虽然SYN扫描可能不被注意，但他们仍会被一些入侵检测系统捕捉.Stealth FIN,Xmas树和Null scans可用于躲避包过滤和可检测进入受限制端口的SYN包.这三个扫描器对关闭的端口返回RST,对开放的

12、端口将吸收包.一个FIN "-sF"扫描将发送一个FIN包到每个端口 .然而Xmas扫描"-sX"打开FIN, URG和PUSH的标志位，一个Null scans "- sN"关闭所有的标志位.因为微软不支持TCP标准，所以FIN, Xmas Tree和Null scans在非微软公司的操作系统下才有效.UDP 扫描(UDP Scanning)如果一个攻击者寻找一个流行的UDP漏洞，比如rpcbind漏洞或cDc BackOrifice.为了查出哪些端口在监听，则进行UDP扫描，即可知哪些端口对UDP是 开放的.Nmap将发送一个O字

13、节的UDP包到每个端口 .如果主机返回端口不可 达,则表示端口是关闭的.但这种方法受到时间的限制，因为大多数的UNIX主机 限制ICMP错误速率.幸运的是,Nmap本身检测这种速率并自身减速，也就不会 产生溢出主机的情况.# nmap -sU 1ArrayWARNING: -sU is now UDP scan - for TCP FIN scan use -sFStarting nmap V. 2.12 by Fyodor (fyodor, /nmap/) Interesting ports on (1Array):Port

14、 State Protocol Service 53 open udp domain 111 open udp sunrpc 123 open udp ntp 137 open udp netbios-ns 138 open udp netbios-dgm 177 open udp xdmcp 1024 open udp unknown Nmap run completed - 1 IP address (1 host up) scanned in 2 seconds 操作系统识别(OS Fingerprinting)通常一个入侵者可能对某个操作系统的漏洞很熟悉，能很轻易地进入此操作系 统的机

15、器.一个常见的选项是TCP/IP上的指纹，带有"-O”选项决定远程操作系统 的类型.这可以和一个端口扫描结合使用，但不能和ping扫描结合使用.Nmap通 过向主机发送不同类型的探测信号，缩小查找的操作系统系统的范围.指纹验证 TCP包括使用FIN探测技术发现目标机的响应类型.BOGUS的标志探测，发现 远程主机对发送的带有SYN包的不明标志的反应,TCP初始序列号(ISN)取样发 现ISN数值的样式，也可以用另外的方式决定远程操作系统.有一篇权威的关于 指纹(fingertprinting)的文章，作者:Fyodor,也是namp的作者，参见地 址:http:/www.insecu

16、/nmap/nmap-fingerprinting-article.htmlNmap s操作系统的检测是很准确也是很有效的，举例:使用系统Solaris 2.7带有 SYN扫描的指纹验证堆栈.# nmap -sS -O 1Array2Starting nmap V. 2.12 by Fyodor (fyodor, /nmap/) Interesting ports on comet (1Array2):Port State Protocol Service 7 open tcp echo Array open tc

17、p discard 13 open tcp daytime 1Array open tcp chargen 21 open tcp ftp .TCP Sequence Prediction: Class=random positive increments Difficulty=17818 (Worthy challenge)Remote operating system guess: Solaris 2.6 - 2.7Nmap run completed - 1 IP address (1 host up) scanned in 5 seconds Ident 扫描(Ident Scanni

18、ng)一个攻击者常常寻找一台对于某些进程存在漏洞的电脑.比如，一个以root运行的WEB服务器.如果目标机运行了 identd, 一个攻击者使用Nmap通过"-I”选项 的TCP连接，就可以发现哪个用户拥有http守护进程.我们将扫描一个Linux WEB服务器为例：# nmap -sT -p 80 -I -O Starting nmap V. 2.12 by Fyodor (fyodor, /nmap/) Interesting ports on (xxx.xxx.xxx.xxx):Port State Protocol Service Owner

19、80 open tcp http rootTCP Sequence Prediction: Class=random positive increments Difficulty=11404Array2 (Good luck!)Remote operating system guess: Linux 2.1.122 - 2.1.132; 2.2.0-pre1 - 2.2.2Nmap run completed - 1 IP address (1 host up) scanned in 1 second如果你的WEB服务器是错误的配置并以root来运行，象上例一样，它将是黎明前 的黑暗.Apache运行在root下，是不安全的实践，你可以通过把/etc/indeed.conf中的 auth服务注销来阻止ident请求，并重新启动ident.另外也可用使用ipchains或 你的最常用的防火墙，在网络边界上执行防火墙规则来终止ident请求，这可以阻 止来路不明的人探测你的网站用户拥有哪些进程.选项(Options