Nmap是一款非常強(qiáng)大的實(shí)用工具,可用于：

檢測(cè)活在網(wǎng)絡(luò)上的主機(jī)（主機(jī)發(fā)現(xiàn)）
檢測(cè)主機(jī)上開放的端口（端口發(fā)現(xiàn)或枚舉）
檢測(cè)到相應(yīng)的端口（服務(wù)發(fā)現(xiàn)）的軟件和版本
檢測(cè)操作系統(tǒng)，硬件地址，以及軟件版本
檢測(cè)脆弱性的漏洞（Nmap的腳本）
Nmap是一個(gè)非常普遍的工具，它有命令行界面和圖形用戶界面。本人包括以下方面的內(nèi)容:

介紹Nmap

掃描中的重要參數(shù)

操作系統(tǒng)檢測(cè)

Nmap使用教程

Nmap使用不同的技術(shù)來執(zhí)行掃描，包括：TCP的connect（）掃描，TCP反向的ident掃描，F(xiàn)TP反彈掃描等。所有這些掃描的類型有自己的優(yōu)點(diǎn)和缺點(diǎn)，我們接下來將討論這些問題。
Nmap的使用取決于目標(biāo)主機(jī),因?yàn)橛幸粋€(gè)簡(jiǎn)單的（基本）掃描和預(yù)先掃描之間的差異。我們需要使用一些先進(jìn)的技術(shù)來繞過防火墻和入侵檢測(cè)/防御系統(tǒng)，以獲得正確的結(jié)果。下面是一些基本的命令和它們的用法的例子：

掃描單一的一個(gè)主機(jī)，命令如下：

掃描整個(gè)子網(wǎng),命令如下:


掃描多個(gè)目標(biāo),命令如下：


掃描一個(gè)范圍內(nèi)的目標(biāo),如下：

如果你有一個(gè)ip地址列表，將這個(gè)保存為一個(gè)txt文件，和namp在同一目錄下,掃描這個(gè)txt內(nèi)的所有主機(jī)，命令如下：

如果你想看到你掃描的所有主機(jī)的列表，用以下命令:


掃描除過某一個(gè)ip外的所有子網(wǎng)主機(jī),命令：


掃描除過某一個(gè)文件中的ip外的子網(wǎng)主機(jī)命令


掃描特定主機(jī)上的80,21,23端口,命令如下

從上面我們已經(jīng)了解了Nmap的基礎(chǔ)知識(shí)，下面我們深入的探討一下Nmap的掃描技術(shù)

Tcp SYN Scan (sS)

這是一個(gè)基本的掃描方式,它被稱為半開放掃描，因?yàn)檫@種技術(shù)使得Nmap不需要通過完整的握手，就能獲得遠(yuǎn)程主機(jī)的信息。Nmap發(fā)送SYN包到遠(yuǎn)程主機(jī)，但是它不會(huì)產(chǎn)生任何會(huì)話.因此不會(huì)在目標(biāo)主機(jī)上產(chǎn)生任何日志記錄,因?yàn)闆]有形成會(huì)話。這個(gè)就是SYN掃描的優(yōu)勢(shì).
如果Nmap命令中沒有指出掃描類型,默認(rèn)的就是Tcp SYN.但是它需要root/administrator權(quán)限.

Tcp connect() scan(sT)

如果不選擇SYN掃描,TCP connect()掃描就是默認(rèn)的掃描模式.不同于Tcp SYN掃描,Tcp connect()掃描需要完成三次握手,并且要求調(diào)用系統(tǒng)的connect().Tcp connect()掃描技術(shù)只適用于找出TCP和UDP端口.



Udp scan(sU)

顧名思義,這種掃描技術(shù)用來尋找目標(biāo)主機(jī)打開的UDP端口.它不需要發(fā)送任何的SYN包，因?yàn)檫@種技術(shù)是針對(duì)UDP端口的。UDP掃描發(fā)送UDP數(shù)據(jù)包到目標(biāo)主機(jī)，并等待響應(yīng),如果返回ICMP不可達(dá)的錯(cuò)誤消息，說明端口是關(guān)閉的，如果得到正確的適當(dāng)?shù)幕貞?yīng)，說明端口是開放的.

FINscan(sF)

有時(shí)候TcpSYN掃描不是最佳的掃描模式,因?yàn)橛蟹阑饓Φ拇嬖?目標(biāo)主機(jī)有時(shí)候可能有IDS和IPS系統(tǒng)的存在,防火墻會(huì)阻止掉SYN數(shù)據(jù)包。發(fā)送一個(gè)設(shè)置了FIN標(biāo)志的數(shù)據(jù)包并不需要完成TCP的握手.

FIN掃描也不會(huì)在目標(biāo)主機(jī)上創(chuàng)建日志(FIN掃描的優(yōu)勢(shì)之一).個(gè)類型的掃描都是具有差異性的,FIN掃描發(fā)送的包只包含F(xiàn)IN標(biāo)識(shí),NULL掃描不發(fā)送數(shù)據(jù)包上的任何字節(jié),XMAS掃描發(fā)送FIN、PSH和URG標(biāo)識(shí)的數(shù)據(jù)包.

PINGScan(sP)

PING掃描不同于其它的掃描方式，因?yàn)樗挥糜谡页鲋鳈C(jī)是否是存在在網(wǎng)絡(luò)中的.它不是用來發(fā)現(xiàn)是否開放端口的.PING掃描需要ROOT權(quán)限，如果用戶沒有ROOT權(quán)限,PING掃描將會(huì)使用connect()調(diào)用.

版本檢測(cè)(sV)

版本檢測(cè)是用來掃描目標(biāo)主機(jī)和端口上運(yùn)行的軟件的版本.它不同于其它的掃描技術(shù)，它不是用來掃描目標(biāo)主機(jī)上開放的端口，不過它需要從開放的端口獲取信息來判斷軟件的版本.使用版本檢測(cè)掃描之前需要先用TCPSYN掃描開放了哪些端口.

Idlescan(sL)

Idlescan是一種先進(jìn)的掃描技術(shù)，它不是用你真實(shí)的主機(jī)Ip發(fā)送數(shù)據(jù)包，而是使用另外一個(gè)目標(biāo)網(wǎng)絡(luò)的主機(jī)發(fā)送數(shù)據(jù)包.

Idlescan是一種理想的匿名掃描技術(shù),通過目標(biāo)網(wǎng)絡(luò)中的192.168.1.6向主機(jī)192.168.1.1發(fā)送數(shù)據(jù)，來獲取192.168.1.1開放的端口

有需要其它的掃描技術(shù)，如FTPbounce（FTP反彈）,fragmentationscan（碎片掃描）,IPprotocolscan（IP協(xié)議掃描）,以上討論的是幾種最主要的掃描方式.

Nmap的OS檢測(cè)（O）

Nmap最重要的特點(diǎn)之一是能夠遠(yuǎn)程檢測(cè)操作系統(tǒng)和軟件，Nmap的OS檢測(cè)技術(shù)在滲透測(cè)試中用來了解遠(yuǎn)程主機(jī)的操作系統(tǒng)和軟件是非常有用的，通過獲取的信息你可以知道已知的漏洞。Nmap有一個(gè)名為的nmap-OS-DB數(shù)據(jù)庫，該數(shù)據(jù)庫包含超過2600操作系統(tǒng)的信息。Nmap把TCP和UDP數(shù)據(jù)包發(fā)送到目標(biāo)機(jī)器上，然后檢查結(jié)果和數(shù)據(jù)庫對(duì)照。

上面的例子清楚地表明，Nmap的首次發(fā)現(xiàn)開放的端口，然后發(fā)送數(shù)據(jù)包發(fā)現(xiàn)遠(yuǎn)程操作系統(tǒng)。操作系統(tǒng)檢測(cè)參數(shù)是O（大寫O）

Nmap的操作系統(tǒng)指紋識(shí)別技術(shù)：

設(shè)備類型（路由器，工作組等）
運(yùn)行（運(yùn)行的操作系統(tǒng)）
操作系統(tǒng)的詳細(xì)信息（操作系統(tǒng)的名稱和版本）
網(wǎng)絡(luò)距離（目標(biāo)和攻擊者之間的距離跳）

如果遠(yuǎn)程主機(jī)有防火墻，IDS和IPS系統(tǒng)，你可以使用-PN命令來確保不ping遠(yuǎn)程主機(jī)，因?yàn)橛袝r(shí)候防火墻會(huì)組織掉ping請(qǐng)求.-PN命令告訴Nmap不用ping遠(yuǎn)程主機(jī)。

以上命令告訴發(fā)信主機(jī)遠(yuǎn)程主機(jī)是存活在網(wǎng)絡(luò)上的，所以沒有必要發(fā)送ping請(qǐng)求,使用-PN參數(shù)可以繞過PING命令,但是不影響主機(jī)的系統(tǒng)的發(fā)現(xiàn).

Nmap的操作系統(tǒng)檢測(cè)的基礎(chǔ)是有開放和關(guān)閉的端口，如果OSscan無法檢測(cè)到至少一個(gè)開放或者關(guān)閉的端口，會(huì)返回以下錯(cuò)誤：

OSScan的結(jié)果是不可靠的，因?yàn)闆]有發(fā)現(xiàn)至少一個(gè)開放或者關(guān)閉的端口

這種情況是非常不理想的，應(yīng)該是遠(yuǎn)程主機(jī)做了針對(duì)操作系統(tǒng)檢測(cè)的防范。如果Nmap不能檢測(cè)到遠(yuǎn)程操作系統(tǒng)類型，那么就沒有必要使用-osscan_limit檢測(cè)。

想好通過Nmap準(zhǔn)確的檢測(cè)到遠(yuǎn)程操作系統(tǒng)是比較困難的，需要使用到Nmap的猜測(cè)功能選項(xiàng),–osscan-guess猜測(cè)認(rèn)為最接近目標(biāo)的匹配操作系統(tǒng)類型。

下面是掃描類型說明

-sT
TCPconnect()掃描：這是最基本的TCP掃描方式。connect()是一種系統(tǒng)調(diào)用，由操作系統(tǒng)提供，用來打開一個(gè)連接。如果目標(biāo)端口有程序監(jiān)聽，connect()就會(huì)成功返回，否則這個(gè)端口是不可達(dá)的。這項(xiàng)技術(shù)最大的優(yōu)點(diǎn)是，你勿需root權(quán)限。任何UNIX用戶都可以自由使用這個(gè)系統(tǒng)調(diào)用。這種掃描很容易被檢測(cè)到，在目標(biāo)主機(jī)的日志中會(huì)記錄大批的連接請(qǐng)求以及錯(cuò)誤信息。

-sS
TCP同步掃描(TCPSYN)：因?yàn)椴槐厝看蜷_一個(gè)TCP連接，所以這項(xiàng)技術(shù)通常稱為半開掃描(half-open)。你可以發(fā)出一個(gè)TCP同步包(SYN)，然后等待回應(yīng)。如果對(duì)方返回SYN|ACK(響應(yīng))包就表示目標(biāo)端口正在監(jiān)聽；如果返回RST數(shù)據(jù)包，就表示目標(biāo)端口沒有監(jiān)聽程序；如果收到一個(gè)SYN|ACK包，源主機(jī)就會(huì)馬上發(fā)出一個(gè)RST(復(fù)位)數(shù)據(jù)包斷開和目標(biāo)主機(jī)的連接，這實(shí)際上有我們的操作系統(tǒng)內(nèi)核自動(dòng)完成的。這項(xiàng)技術(shù)最大的好處是，很少有系統(tǒng)能夠把這記入系統(tǒng)日志。不過，你需要root權(quán)限來定制SYN數(shù)據(jù)包。

-sF-sX-sN
秘密FIN數(shù)據(jù)包掃描、圣誕樹(XmasTree)、空(Null)掃描模式：即使SYN掃描都無法確定的情況下使用。一些防火墻和包過濾軟件能夠?qū)Πl(fā)送到被限制端口的SYN數(shù)據(jù)包進(jìn)行監(jiān)視，而且有些程序比如synlogger和courtney能夠檢測(cè)那些掃描。這些高級(jí)的掃描方式可以逃過這些干擾。
些掃描方式的理論依據(jù)是：關(guān)閉的端口需要對(duì)你的探測(cè)包回應(yīng)RST包，而打開的端口必需忽略有問題的包(參考RFC793第64頁)。FIN掃描使用暴露的FIN數(shù)據(jù)包來探測(cè)，而圣誕樹掃描打開數(shù)據(jù)包的FIN、URG和PUSH標(biāo)志。不幸的是，微軟決定完全忽略這個(gè)標(biāo)準(zhǔn)，另起爐灶。所以這種掃描方式對(duì)Windows95/NT無效。不過，從另外的角度講，可以使用這種方式來分別兩種不同的平臺(tái)。如果使用這種掃描方式可以發(fā)現(xiàn)打開的端口，你就可以確定目標(biāo)注意運(yùn)行的不是Windows系統(tǒng)。如果使用-sF、-sX或者-sN掃描顯示所有的端口都是關(guān)閉的，而使用SYN掃描顯示有打開的端口，你可以確定目標(biāo)主機(jī)可能運(yùn)行的是Windwos系統(tǒng)?，F(xiàn)在這種方式?jīng)]有什么太大的用處，因?yàn)閚map有內(nèi)嵌的操作系統(tǒng)檢測(cè)功能。還有其它幾個(gè)系統(tǒng)使用和windows同樣的處理方式，包括Cisco、BSDI、HP/UX、MYS、IRIX。在應(yīng)該拋棄數(shù)據(jù)包時(shí)，以上這些系統(tǒng)都會(huì)從打開的端口發(fā)出復(fù)位數(shù)據(jù)包?！?/p>

-sP
ping掃描：有時(shí)你只是想知道此時(shí)網(wǎng)絡(luò)上哪些主機(jī)正在運(yùn)行。通過向你指定的網(wǎng)絡(luò)內(nèi)的每個(gè)IP地址發(fā)送ICMPecho請(qǐng)求數(shù)據(jù)包，nmap就可以完成這項(xiàng)任務(wù)。如果主機(jī)正在運(yùn)行就會(huì)作出響應(yīng)。不幸的是，一些站點(diǎn)例如：microsoft.com阻塞ICMPecho請(qǐng)求數(shù)據(jù)包。然而，在默認(rèn)的情況下nmap也能夠向80端口發(fā)送TCPack包，如果你收到一個(gè)RST包，就表示主機(jī)正在運(yùn)行。nmap使用的第三種技術(shù)是：發(fā)送一個(gè)SYN包，然后等待一個(gè)RST或者SYN/ACK包。對(duì)于非root用戶，nmap使用connect()方法。
在默認(rèn)的情況下(root用戶)，nmap并行使用ICMP和ACK技術(shù)。
注意，nmap在任何情況下都會(huì)進(jìn)行ping掃描，只有目標(biāo)主機(jī)處于運(yùn)行狀態(tài)，才會(huì)進(jìn)行后續(xù)的掃描。如果你只是想知道目標(biāo)主機(jī)是否運(yùn)行，而不想進(jìn)行其它掃描，才會(huì)用到這個(gè)選項(xiàng)。

-sU
UDP掃描：如果你想知道在某臺(tái)主機(jī)上提供哪些UDP(用戶數(shù)據(jù)報(bào)協(xié)議,RFC768)服務(wù)，可以使用這種掃描方法。nmap首先向目標(biāo)主機(jī)的每個(gè)端口發(fā)出一個(gè)0字節(jié)的UDP包，如果我們收到端口不可達(dá)的ICMP消息，端口就是關(guān)閉的，否則我們就假設(shè)它是打開的。
有些人可能會(huì)想U(xiǎn)DP掃描是沒有什么意思的。但是，我經(jīng)常會(huì)想到最近出現(xiàn)的solarisrpcbind缺陷。rpcbind隱藏在一個(gè)未公開的UDP端口上，這個(gè)端口號(hào)大于32770。所以即使端口111(portmap的眾所周知端口號(hào))被防火墻阻塞有關(guān)系。但是你能發(fā)現(xiàn)大于30000的哪個(gè)端口上有程序正在監(jiān)聽嗎?使用UDP掃描就能！cDcBackOrifice的后門程序就隱藏在Windows主機(jī)的一個(gè)可配置的UDP端口中。不考慮一些通常的安全缺陷，一些服務(wù)例如:snmp、tftp、NFS使用UDP協(xié)議。不幸的是，UDP掃描有時(shí)非常緩慢，因?yàn)榇蠖鄶?shù)主機(jī)限制ICMP錯(cuò)誤信息的比例(在RFC1812中的建議)。例如，在Linux內(nèi)核中(在net/ipv4/icmp.h文件中)限制每4秒鐘只能出現(xiàn)80條目標(biāo)豢紗锏腎CMP消息，如果超過這個(gè)比例，就會(huì)給1/4秒鐘的處罰。solaris的限制更加嚴(yán)格，每秒鐘只允許出現(xiàn)大約2條ICMP不可達(dá)消息，這樣，使掃描更加緩慢。nmap會(huì)檢測(cè)這個(gè)限制的比例，減緩發(fā)送速度，而不是發(fā)送大量的將被目標(biāo)主機(jī)丟棄的無用數(shù)據(jù)包。
不過Micro$oft忽略了RFC1812的這個(gè)建議，不對(duì)這個(gè)比例做任何的限制。所以我們可以能夠快速掃描運(yùn)行Win95/NT的主機(jī)上的所有65K個(gè)端口。

-sA
ACK掃描：這項(xiàng)高級(jí)的掃描方法通常用來穿過防火墻的規(guī)則集。通常情況下，這有助于確定一個(gè)防火墻是功能比較完善的或者是一個(gè)簡(jiǎn)單的包過濾程序，只是阻塞進(jìn)入的SYN包。
這種掃描是向特定的端口發(fā)送ACK包(使用隨機(jī)的應(yīng)答/序列號(hào))。如果返回一個(gè)RST包，這個(gè)端口就標(biāo)記為unfiltered狀態(tài)。如果什么都沒有返回，或者返回一個(gè)不可達(dá)ICMP消息，這個(gè)端口就歸入filtered類。注意，nmap通常不輸出unfiltered的端口，所以在輸出中通常不顯示所有被探測(cè)的端口。顯然，這種掃描方式不能找出處于打開狀態(tài)的端口。

-sW
對(duì)滑動(dòng)窗口的掃描：這項(xiàng)高級(jí)掃描技術(shù)非常類似于ACK掃描，除了它有時(shí)可以檢測(cè)到處于打開狀態(tài)的端口，因?yàn)榛瑒?dòng)窗口的大小是不規(guī)則的，有些操作系統(tǒng)可以報(bào)告其大小。這些系統(tǒng)至少包括：某些版本的AIX、Amiga、BeOS、BSDI、Cray、Tru64UNIX、DG/UX、OpenVMS、DigitalUNIX、OpenBSD、OpenStep、QNX、Rhapsody、SunOS4.x、Ultrix、VAX、VXWORKS。從nmap-hackers郵件3列表的文檔中可以得到完整的列表。

-sR
RPC掃描。這種方法和nmap的其它不同的端口掃描方法結(jié)合使用。選擇所有處于打開狀態(tài)的端口向它們發(fā)出SunRPC程序的NULL命令，以確定它們是否是RPC端口，如果是，就確定是哪種軟件及其版本號(hào)。
因此你能夠獲得防火墻的一些信息。誘餌掃描現(xiàn)在還不能和RPC掃描結(jié)合使用。

-b
FTP反彈攻擊(bounceattack):FTP協(xié)議(RFC959)有一個(gè)很有意思的特征，它支持代理FTP連接。也就是說，我能夠從evil.com連接到FTP服務(wù)器target.com，并且可以要求這臺(tái)FTP服務(wù)器為自己發(fā)送Internet上任何地方的文件！1985年，RFC959完成時(shí)，這個(gè)特征就能很好地工作了。然而，在今天的Internet中，我們不能讓人們劫持FTP服務(wù)器，讓它向Internet上的任意節(jié)點(diǎn)發(fā)送數(shù)據(jù)。如同Hobbit在1995年寫的文章中所說的，這個(gè)協(xié)議"能夠用來做投遞虛擬的不可達(dá)郵件和新聞，進(jìn)入各種站點(diǎn)的服務(wù)器,填滿硬盤，跳過防火墻，以及其它的騷擾活動(dòng)，而且很難進(jìn)行追蹤"。我們可以使用這個(gè)特征，在一臺(tái)代理FTP服務(wù)器掃描TCP端口。因此，你需要連接到防火墻后面的一臺(tái)FTP服務(wù)器，接著進(jìn)行端口掃描。如果在這臺(tái)FTP服務(wù)器中有可讀寫的目錄，你還可以向目標(biāo)端口任意發(fā)送數(shù)據(jù)(不過nmap不能為你做這些)。
傳遞給-b功能選項(xiàng)的參數(shù)是你要作為代理的FTP服務(wù)器。語法格式為：
-busername:password@server:port。
除了server以外，其余都是可選的。如果你想知道什么服務(wù)器有這種缺陷，可以參考我在Phrack51發(fā)表的文章。還可以在nmap的站點(diǎn)得到這篇文章的最新版本。

通用選項(xiàng)
這些內(nèi)容不是必需的，但是很有用。

-P0
在掃描之前，不必ping主機(jī)。有些網(wǎng)絡(luò)的防火墻不允許ICMPecho請(qǐng)求穿過，使用這個(gè)選項(xiàng)可以對(duì)這些網(wǎng)絡(luò)進(jìn)行掃描。microsoft.com就是一個(gè)例子，因此在掃描這個(gè)站點(diǎn)時(shí)，你應(yīng)該一直使用-P0或者-PT80選項(xiàng)。

-PT
掃描之前，使用TCPping確定哪些主機(jī)正在運(yùn)行。nmap不是通過發(fā)送ICMPecho請(qǐng)求包然后等待響應(yīng)來實(shí)現(xiàn)這種功能，而是向目標(biāo)網(wǎng)絡(luò)(或者單一主機(jī))發(fā)出TCPACK包然后等待回應(yīng)。如果主機(jī)正在運(yùn)行就會(huì)返回RST包。只有在目標(biāo)網(wǎng)絡(luò)/主機(jī)阻塞了ping包，而仍舊允許你對(duì)其進(jìn)行掃描時(shí)，這個(gè)選項(xiàng)才有效。對(duì)于非root用戶，我們使用connect()系統(tǒng)調(diào)用來實(shí)現(xiàn)這項(xiàng)功能。使用-PT來設(shè)定目標(biāo)端口。默認(rèn)的端口號(hào)是80，因?yàn)檫@個(gè)端口通常不會(huì)被過濾。

-PS
對(duì)于root用戶，這個(gè)選項(xiàng)讓nmap使用SYN包而不是ACK包來對(duì)目標(biāo)主機(jī)進(jìn)行掃描。如果主機(jī)正在運(yùn)行就返回一個(gè)RST包(或者一個(gè)SYN/ACK包)。

-PI
設(shè)置這個(gè)選項(xiàng)，讓nmap使用真正的ping(ICMPecho請(qǐng)求)來掃描目標(biāo)主機(jī)是否正在運(yùn)行。使用這個(gè)選項(xiàng)讓nmap發(fā)現(xiàn)正在運(yùn)行的主機(jī)的同時(shí)，nmap也會(huì)對(duì)你的直接子網(wǎng)廣播地址進(jìn)行觀察。直接子網(wǎng)廣播地址一些外部可達(dá)的IP地址，把外部的包轉(zhuǎn)換為一個(gè)內(nèi)向的IP廣播包，向一個(gè)計(jì)算機(jī)子網(wǎng)發(fā)送。這些IP廣播包應(yīng)該刪除，因?yàn)闀?huì)造成拒絕服務(wù)攻擊(例如smurf)。

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。