Nmap網(wǎng)絡安全掃描器說明(Linux )信息來源：蘇櫻作者：Fyodor 譯者：quack名稱: nmap - 網(wǎng)絡勘察工具和安全掃描器摘要nmap [掃描類型] [選項] <主機或網(wǎng)絡 #1 ... [#N]>描述nmap被開發(fā)用于允許系統(tǒng)管理員察看一個大的網(wǎng)絡系統(tǒng)有哪些主機以及其上運行何種服務。它支持多種協(xié)議的掃描如UDP，TCP connect(),TCP SYN (half open), ftpproxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACKsweep,Xmas Tree, SYN sweep, 和Null掃描。你可以從SCAN TYPES一節(jié)中察看相關細節(jié)。nmap還提供一些實用功能如通過tcp/ip來甄別操作系統(tǒng)類型、秘密掃描、動態(tài)延遲和重發(fā)、平行掃描、通過并行的PING偵測下屬的主機、欺騙掃描、端口過濾探測、直接的RPC掃描、分布掃描、靈活的目標選擇以及端口的描述。對非ROOT的用戶來說，nmap的正式版可以做很多重要的東西了。不幸的是部份關鍵的核心功能（比如raw sockets）需要root權限。所以盡量以root的身份運行nmap。運行nmap后通常會得到一個關于你掃描的機器的一個實用的端口列表。nmap總是顯示該服務的服務名稱,端口號，狀態(tài)以及協(xié)議。狀態(tài)有‘open‘,‘filtered‘和‘unfiltered‘三種?！畂pen‘指的是目標機器將會在該端口接受你的連接請求?！甪iltered‘指的是有防火墻、過濾裝置或者其它的網(wǎng)絡障礙物在這個端口阻擋了nmap 進一步查明端口是否開放的動作。至于‘unfiltered‘則只有在大多數(shù)的掃描端口都處在‘filtered‘狀態(tài)下才會出現(xiàn)的。根據(jù)選項的使用，nmap還可以報告遠程主機下面的特性：使用的操作系統(tǒng)、TCP連續(xù)性、在各端口上綁定的應用程序用戶的用戶名、DNS名、主機是否是個smurf地址以及一些其它功能。選項這些選項通常都是可組合使用的。使用參數(shù)可以精確地定義一個掃描模式。nmap將會盡力捕捉并對不規(guī)范的參數(shù)組合作出提示。如果你急于開始，你可以跳過本文未尾的示例節(jié)——那兒有最基本的使用方法的示范。你也可以使用nmap -h來打開關于nmap選項參數(shù)的簡介。掃描類型-sT TCP connect()掃描：這是對TCP的最基本形式的偵測。在該操作下，該connect()對目標主機上你感興趣的端口進行試探，如果該端口被監(jiān)聽，則連接成功——否則代表這個端口無法到達。這個技術的很大好處就是你無須任何特殊權限，在大多數(shù)的UNIX系統(tǒng)下這個命令可以被任何人自由地使用。但是這種形式的探測很容易被目標主機察覺并記錄下來。因為服務器接受了一個連接但它卻馬上斷開，于是其記錄會顯示出一連串的連接及錯誤信息。-sS TCP SYN 掃描：這類技術通常涉及一種“半開”式的掃描——因為你不打開完整的TCP連接，你發(fā)送一個SYN信息包就象你要打開一個真正的連接而且你在等待對方的回應。一個SYN|ACK(應答)會表明該端口是開放監(jiān)聽的。一個RST（空閑?）則代表該端口未被監(jiān)聽。如果SYN|ACK的回應返回，則會馬上發(fā)送一個RST包來中斷這個連接（事實上是我們的系統(tǒng)核心在干這事）。這種掃描的最大好處是只有極少的站點會對它作出記錄，但是——你需要有root權限來定制這些SYN包。-sF -sX -sNStealth FIN,Xmas Tree 或者Null掃描模式：有時甚至SYN掃描都不夠隱蔽——一些防火墻及信息包過濾裝置會在重要端口守護，SYN包在此時會被截獲，一些應用軟件如Synlogger以及Courtney對偵測這類型的掃描都是行家。所以呢，在另一方面要有更進一步的掃描能在不遇到麻煩的情況下通過它們……這個主意是關閉的端口會對你發(fā)送的探測信息包返回一個RST，而打開的端口則對其忽略不理（你可以參閱RFC 973 PP64）。所以FIN掃描使用空的FIN信息包作為探針、Xmas tree使用FIN，URG，PUSH標記、Null掃描則不用任何標記。但是不幸的是微軟以他們一貫的風格不理睬這一標準……所以這一掃描在WINDOWS9X以及NT下不能工作。從積極方面來講，這其實也是一個很好的區(qū)分兩種平臺的辦法——如果這次掃描發(fā)現(xiàn)了打開的端口，那你就能明白這臺機器不是運行WINDOWS。如果-sF,-sX,-sN的掃描顯示所有端口都是關閉的但一個SYN(-sS)掃描卻顯示有打開端口，那你就能大致推斷它是WINDOWS平臺。這只是一個簡單應用，因為現(xiàn)在nmap已經(jīng)有了更徹底的操作系統(tǒng)判別方法——當然它的原理類似上面所提到的.這些平臺包括Cisco, BSDI, HP/UX, MVS, 和IRIX。-sP Ping掃描：有時你僅希望了解網(wǎng)絡上有哪些主機是開放的，nmap可以通過對你指定的IP地址發(fā)送ICMP的echo request信息包來做到這一點，有回應的主機就是開放的啦。但令人討厭的是一些站點比如microsoft.com對echo request包設置了障礙。這樣的話nmap還能發(fā)送一個TCP ack包到80端口（默認），如果獲得了RST返回，機器是開放的。第三個方法是發(fā)送一個SYN信息包并等待RST 或SYN/ACK響應了。作為非root的用戶可以使用的，常用connect()模式。對root來說，默認的nmap同時使用ICMP和ACK的方法掃描，當然你也可以改變-P選項。注意你最好先ping一下用戶，只有有回應的主機才有必要掃描，只有你不想探測任何的實際端口掃描只想大面積地搜索一下活動的主機，你可以使用此選項。-sU UDP掃描：這一方法是用來確定哪個UDP(User Datagram Protocol,RFC 768)端口在主機端開放。這一技術是以發(fā)送零字節(jié)的UDP信息包到目標機器的各個端口，如果我們收到一個ICMP端口無法到達的回應，那么該端口是關閉的，否則我們可以認為它是敞開大門的。有些人或許會認為UDP掃描是無意義的，我通常會以最近的Solarisrcpbind漏洞來提醒他們。Rpcbind會隱藏在一個非正式的UDP端口于32770口以上，因此對111進行防火墻過濾是無關緊要的.但你是否查找過在30000以上的端口是否處在監(jiān)聽狀態(tài)中……，用UDP掃描你就能輕松地做到這一點！或者大家還可以想想cDc出品的Back Orifice木馬（BO），它可以在Windows的機器中配置一個UDP端口，更不用說如此眾多可以利用UDP的、易受攻擊的服務如snmp,tftp,NFS等了。但有一點不得不提及的是UDP掃描在目標主機按照RFC 1812（4.3.2.8節(jié)）建議的那樣限制ICMP錯誤信息的傳送速率時會令人痛苦的緩慢。舉例來說吧，Linux 的核心配置(在net/ipv4/icmp.h)限制了每4秒產生80次的無法到達信息——每次產生1/4秒的延遲。Solaris有著更嚴格的限制（大約每秒兩次就會延遲），所以這要耗費相當長的時間。nmap會偵測到這種限制并自動減緩速度——這也勝過用無意義的會被目標主機忽略的大量信息包來填充這個網(wǎng)絡。如以往一樣，微軟還是不在乎RFC所建議的事而且沒有任何限制性措施實行于WINDOWS或NT上，這樣我們可以把多達65K的端口以極高的速度掃描完畢，歡呼吧！-sR RPC掃描：這一方法是結合nmap多種掃描的一種模式，它取得所有的TCP/UDP開放端口并且用SunRPC程序NULL命令來試圖確定是否是RPC端口并且——如果是的話，其上運行什么程序，何種版本。這樣你可以在目標主機躲在防火墻后或者由TCPwrappers防護著，它都能取得效果近似于‘rpcinfo -p‘的信息。但Decoys現(xiàn)在還不能正常工作在RPC掃描下，在以后我會在UDP RPC掃描中加入Decoy支持的。-b(ftp relay host)FTP 跳躍攻擊：FTP協(xié)議的一個有趣的特點是它支持代理FTP連接(RFC 959)，用另一句話說，我可以從evil.com連接到一個FTP服務器target.com并且要求目標主機發(fā)送文件到因特網(wǎng)的*任何地方*！在1985年這一RFC被寫下來后這一特性便漸漸施行，但在現(xiàn)在的網(wǎng)絡上我們不允許人們能夠隨意地“搶劫”一個FTP SERVER并請求數(shù)據(jù)到任何地方。所以在Hobbit于1995年寫下的有關這一協(xié)議缺陷時說到“它可以用來從許多站臺上發(fā)出事實上難以追查的信件、新聞以及攻擊性行為——填充你的硬盤，試圖使防火墻失效或者更多是煩人而無意義的騷擾。我開發(fā)出它來是為了通過一個代理FTP服務器察看TCP端口，這樣你可以連上一個在防火墻后的FTP服務器然后掃描它看來仿佛堵塞的端口（139是很好的例子）。如果FTP服務器允許你讀甚至寫進某些目錄（比如/incoming），你可以發(fā)送任意信息到你發(fā)現(xiàn)打開了的端口（當然nmap不干這事）。對于你要通過‘b‘選項來使主機成為你的代理時，標準的URL格式形式是：username:password@server:port。要確定一個服務器是否易受這樣的攻擊，你可以看看我在Phrack 51期上的文章。它的更新版本在http://www.insecure.org/nmap。常規(guī)選項這些選項并非必需的，但有些會非常實用。-P0 在掃描前不嘗試或者PING主機，這是用來掃描那些不允許ICMP echo 請求(或應答)的主機。microsoft.com就是這其中的一個例子，我們就必須使用-P0或者-PT80來察看microsoft.com的端口。-PT 用TCP的ping來確定主機是否打開。作為替代發(fā)送ICMP echo請求包并等待回應的方式，我們可以大量發(fā)送TCP ACK包往目標網(wǎng)絡（或者單機）并一點點地等待它的回應，打開的主機會返回一個RST。這一參數(shù)可以讓你在ping信息包阻塞時仍能高效率地掃描一個網(wǎng)絡/主機。對非root的用戶，我們用connect()，以如下格式設置目標探針-PT,默認的端口是80，因為這相端口往往未被過濾。-PS 這一選項是root用戶使用的，能用SYN(連接請求)包替代ACK包,打開的主機會有一個RST(或者SYN|ACK——但比較少見)應答。-PI 這一選項是使用一個真正的ping(ICMP echo request)包。它找到開放的主機并且將該子網(wǎng)中的廣播地址全數(shù)搜尋——該廣播地址是能夠到達并能正確解析IP包的。如果其會被大量的DoS(denial of service)攻擊時，我們就能找到它。-PB 默認的ping形式，它用于ACK(-PT)與ICMP(-PI)并行攻擊，以這一形式可以通過防火墻或包過濾。-O 經(jīng)由TCP/IP獲取‘指紋’來判別主機的OS類型，用另一說法，就是用一連串的信息包探測出你所掃描的主機位于操作系統(tǒng)有關堆棧信息并區(qū)分其精細差別，以此判別操作系統(tǒng)。它用搜集到的信息建立一個“指紋”用來同已知的操作系統(tǒng)的指印相比較(the nmap-os-fingerprints file)——這樣判定操作系統(tǒng)就有了依據(jù)。如果你發(fā)現(xiàn)一臺機器開了至少一個端口并得到錯誤的診斷信息，那么你可以寫信告訴我相關細節(jié)比如操作系統(tǒng)版本或偵測到的操作系統(tǒng)版本圖，如果他有端口開放但nmap返回‘不可識別的操作系統(tǒng)‘，這可能也是有用的，你可以將它的IP告訴我或者另一個辦法是用nmap的-d參數(shù)并告訴我它返回的“指印”——操作系統(tǒng)和版本號，這樣做，也算是對nmap在判定操作系統(tǒng)的進一步開發(fā)中做了些事情，以便后續(xù)版本中它能更精確地判別系統(tǒng)類型。-I 這是用ident掃描方式的參數(shù)，如Dave Goldsmith于1996年在Bugtraq中所說的，這個ident協(xié)議(rfc 1413)允許通過TCP連接得到擁有進程的用戶名——即使這個連接不是由該進程發(fā)起的。所以呢，舉個例吧，你可以通過ident連接到一個http端口并找出該進程是否由root運行，但這只能在“全開”的對目標端口的TCP連接中使用（象-sT掃描參數(shù)）。當你用-I參數(shù)時，遠程主機的identd在開放的端口接受連接質詢——很明顯的，如果主機不運行identd的話，那它就無法正常工作。-f 這個參數(shù)配置以細小的IP碎片包實現(xiàn)SYN，F(xiàn)IN，XMAS或NULL掃描請求。這個想法是把TCP包頭分別放在幾個不同的信息包中，使包過濾器難于運作，而后你就可以闖入系統(tǒng)做你想做的事了。但要注意，部份程序可能會對這些小信息包處理錯誤。比方說我最喜歡的sniffer segmentation在接收第一個36字節(jié)的信息碎片時就出現(xiàn)麻煩，之后又來了個24字節(jié)的！當包過濾器和能將IP碎片排列的防火墻沒有獲得此順序時（就象linux內核中的CON-FIG_IP_ALWAYS_DEFRAG選項），一些網(wǎng)絡系統(tǒng)就不能反映出找到目標，并且放棄。記住這個參數(shù)不一定能很好地工作在任何系統(tǒng)上,它在我的Linux,FreeBSD以及OpenBSD下是正常的,當然也有一些人說它能在部份不同的*NIX環(huán)境下工作。-v 詳細模式。這是被強烈推薦的選項，因為它能帶來你想要的更多信息。你可以重復使用它以獲得更大效果。如果你需要大量翻動屏幕請使用 -d 命令兩次-h 這是一個快捷的幫助選項，可以在屏幕上顯示nmap的參數(shù)使用方法——象你注意到的那樣，這個man page實在不是一個“快速入門參考”-o這是用來指定一個放置掃描結果的文件的參數(shù)——這個結果是易于閱讀的。-m這也是存放掃描結果的參數(shù)，但它是存放機器可解析（machine parseable）結果的，你可以用-m 帶‘-‘(引號不用）將其輸出到標準輸出里（用shell的管道符……）。在這種形式下，正常的輸出被禁止了，你需要察看一些錯誤信息來了解情況。

版權聲明：本站文章來源標注為YINGSOO的內容版權均為本站所有，歡迎引用、轉載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學習參考，不代表本站立場，如有內容涉嫌侵權，請聯(lián)系alex-e#qq.com處理。