這是我們的第二期NMAP備忘單（第一期在此）?；旧?我們將討論一些高級NMAP掃描的技術(shù)，我們將進行一個中間人攻擊(MITM)。現(xiàn)在，游戲開始了。

TCP SYN掃描

SYN掃描是默認的且最流行的掃描選項是有一定原因的。它可以在不受防火墻限制的高速網(wǎng)絡(luò)每秒掃描數(shù)千個端口 。同時也是相對不顯眼的和隱蔽的，因為它永遠不會完成TCP連接。

命令：NMAP-sS目標

當SYN掃描不可用的時候，TCP連接掃描是默認的TCP掃描類型。這是在用戶不具有發(fā)送RAW數(shù)據(jù)包的特權(quán)的情況下。不是像大多數(shù)其他掃描器那樣寫原始數(shù)據(jù)包，NMAP要求底層的操作系統(tǒng)通過發(fā)出連接系統(tǒng)調(diào)用來建立與目標機和端口的連接。

命令：NMAP-sT目標

雖然互聯(lián)網(wǎng)上最流行的服務運行在TCP協(xié)議，但UDP服務也是廣泛部署的。DNS，SNMP和DHCP（注冊端口53，161/162，和67/68）這三種最常見的UDP服務。因為UDP掃描通常比TCP慢和更加困難，一些安全審計員忽略這些端口。這是一個錯誤，因為UDP服務是相當普遍，攻擊者也不會忽略整個協(xié)議。

命令：NMAP-sU目標

選項-data-length可以用來固定長度的隨機有效載荷發(fā)送到每一個端口或（如果指定0值）來禁用有效載荷。如果返回一個ICMP端口不可達錯誤（類型3，代碼3），那么端口是關(guān)閉的。其他ICMP不可達錯誤（類型3，編碼1，2，9，10或13）標記端口過濾。有時服務會返回一個UDP包響應以證明它是開放的。如果重發(fā)后沒有收到回應，端口被列為開放或者過濾。

命令：NMAP-sU–data-length=value目標

SCTP是對TCP和UDP協(xié)議的相對較新的替代方案，結(jié)合TCP和UDP最具特色的部分，同時也增加了新的功能，如多宿主和多流。它主要被用于SS7/SIGTRAN相關(guān)的服務，但有可能被用于其他用途。SCTPINIT掃描SCTP相當于TCPSYN掃描。它可以在不受防火墻限制的高速網(wǎng)絡(luò)每秒掃描數(shù)千個端口。像SYN掃描，掃描INIT相對不顯眼的和隱蔽的，因為它永遠不會完成SCTP連接。

命令：NMAP-sY目標

· NULL掃描（-sN）

不設(shè)置任何位（TCP標志標頭是0）。

·FIN掃描（-sF）

設(shè)置只是TCPFIN位。

·Xmas掃描（-sX）

設(shè)置FIN，PSH，URG和標志。

這種掃描跟其他方式不同的地方是因為它沒有判斷端口的開放情況。它是用來繪制出防火墻規(guī)則，對哪些端口進行了保護。

命令：NMAP-scanflags=value-sAtarget

該ACK掃描探測報文只具有ACK標志設(shè)置（除非您使用-scanflags）。當掃描未經(jīng)過系統(tǒng)過濾，打開和關(guān)閉的端口都將返回一個RST包。NMAP然后把它們標記為未過濾的，這意味著它們是ACK包可達的。

窗口掃描跟ACK掃描是幾乎一樣的，除了它利用某些系統(tǒng)的實現(xiàn)細節(jié)來區(qū)分端口的，而不是當返回一個RST時總是認為端口未經(jīng)過濾。

命令：NMAP-sW目標

Maimon掃描的名字來源于它的發(fā)現(xiàn)者，UrielMaimon。他在Phrack雜志問題＃49（1996年11月）中描述的技術(shù)。這種技術(shù)與NULL，F(xiàn)IN和Xmas掃描類似，唯一的不同之處在于探針是FIN/ACK。

命令：NMAP-sM目標

對于滲透測試，一個滲透測試人員不會使用一般的TCP掃描比如ACK、FIN等，因為這些東西可以被IDS/IPS阻斷。因此他們將通過指定“-scanflag”選項使用一些不同的技術(shù)。這也可以用于繞過防火墻。

該-scanflags的參數(shù)可以是一個數(shù)字標記值如9（PSH和FIN），但使用符號名稱更容易。只是URG，ACK，PSH，RST，SYN和FIN的任意組合。例如，-scanflagsURGACKPSHRSTSYNFIN所有設(shè)置，雖然掃描時不是非常有用的。

命令：NMAP–scanflags目標

SCTPCOOKIEECHO掃描是一種更先進的SCTP掃描。SCTP會默認丟棄開放端口返回的包含COOKIEECHO數(shù)據(jù)包塊，但如果端口關(guān)閉則發(fā)送中止。這種掃描方式優(yōu)點是，它并不像INIT掃描一樣明顯。除此之外，無狀態(tài)防火墻會阻斷INIT塊而不是COOKIEECHO塊。但一個優(yōu)秀的IDS仍能夠探測到SCTPCOOKIEECHO掃描SCTPCOOKIEECHO掃描的缺點是無法區(qū)分開放和過濾的端口。

命令：NMAP-sZ目標

這種先進的掃描方法允許對目標進行一個真正的盲目TCP端口掃描（即沒有數(shù)據(jù)包從你的真實IP地址發(fā)送到目標）。相反獨特的側(cè)信道攻擊利用僵尸主機上可預測的IP分段ID序列生成來收集關(guān)于目標的開放端口的信息。IDS系統(tǒng)只會顯示掃描是從您指定的僵尸機發(fā)起。這在進行MITM（中間人攻擊）非常有用的。

命令：NMAP-sIzombie目標

這里簡單介紹下空閑的原理：

1、向僵尸主機發(fā)送SYN/ACK數(shù)據(jù)包，獲得帶有分片ID（IPID）的RST報文。

2、發(fā)送使用僵尸主機IP地址的偽數(shù)據(jù)包給目標主機。如果目標主機端口關(guān)閉，就會向僵尸主機響應RST報文。如果目標端口開放，目標主機向僵尸主機響應SYN/ACK報文，僵尸主機發(fā)現(xiàn)這個非法連接響應，并向目標主機發(fā)送RST報文，此時IPID號開始增長。

3、通過向僵尸主機發(fā)送另一個SYN/ACK報文以退出上述循環(huán)并檢查僵尸主機RST報文中的IPID是否每次增長2，同時目標主機的RST每次增長1。重復上述步驟直到檢測完所有的端口。

接下來是進行空閑掃描的步驟：

一個常見的方法就是在NMAP下執(zhí)行Ping掃描一些網(wǎng)絡(luò)。你可以選擇NMAP提供的隨機IP選項（-iR），但是這很有可能造成與Zombie主機之間的大量延遲。

在Zombie主機候選列表中執(zhí)行一個端口掃描以及操作系統(tǒng)識別（-o）比簡單的使用Ping命令篩選更容易找尋到合適的。只要啟動了詳細模式（-v），操作系統(tǒng)檢測通常會確定IPID增長方法，然后返回“IPIDSequenceGeneration:Incremental”。如果這個類型被作為增長或是破損的低字節(jié)序增長量，那么該機是不錯的僵尸主機備選。

還有一種方法是對運行ipidseqNSE腳本。該腳本探測一臺主機的IPID生成方法并進行分類，然后就像操作系統(tǒng)檢測一樣輸出IPID分級。

命令：NMAP--scriptipidseq[ --script-argsprobeport=port]目標

我們也可以使用hping用于發(fā)現(xiàn)僵尸主機。

首先選擇使用Hping3發(fā)送數(shù)據(jù)包，并觀察ID號是不是逐一增加，那么該主機就是空閑的。如果ID號隨意增加，那么主機實際上不是空閑的，或者主機的操作系統(tǒng)沒有可預測的IPID。

發(fā)送偽造SYN包到你指定的目標主機上的端口。

正如你所看到的，沒有任何反應，這表明數(shù)據(jù)包100％的丟失。這意味著我們并沒有發(fā)現(xiàn)僵尸主機。同時我們將檢查確認以下的步驟。

檢查PID值是否逐一增加：

hping3-S目標

命令:NMAP-Pn-p--sI僵尸主機目標

首先我們用NMAP掃描僵尸主機的端口：

發(fā)現(xiàn)僵尸主機22端口是關(guān)閉著的。

我們指定利用僵尸主機的22端口進行空閑掃描，結(jié)果顯而易見，無法攻擊目標。

默認情況下，NMAP的偽造探針使用僵尸主機的80端口作為源端口。您可以通過附加一個冒號和端口號僵尸名選擇一個不同的端口（例如www.baidu.com:90）。所選擇的端口必須不能被攻擊者或目標過濾。僵尸主機的SYN掃描會顯示端口的開放狀態(tài)。

這里解釋下參數(shù)的含義：

-Pn：防止NMAP的發(fā)送初始數(shù)據(jù)包到目標機器。

-p-：將掃描所有65535個端口。

-sI：用于閑置掃描和發(fā)送數(shù)據(jù)包欺騙。

作為一個滲透測試人員，我們必須明白NMAP空閑掃描的內(nèi)部運行過程，然后用我們自己的方法來實現(xiàn)同樣的事情。為此，我們將使用NMAP的數(shù)據(jù)包跟蹤選項。

命令：NMAP-sI僵尸主機:113-Pn-p20-80,110-180-r- packet-trace-v目標

-Pn是隱身的必要，否則ping數(shù)據(jù)包會用攻擊者的真實地址發(fā)送到目標。未指定-sV選項是因為服務識別也將暴露真實地址。-r選項（關(guān)閉端口隨機化）讓這個例子運行起來更簡單。

正如我之前說的，成功的攻擊需要選擇一個合適的僵尸主機端口。

這種攻擊的過程：

NMAP首先通過發(fā)送6個SYN/ACK數(shù)據(jù)包并分析響應，測試僵尸主機的IPID序列生成。在這里R表示復位包，意味該端口不可達。有關(guān)詳細信息，請在NMAP手冊空閑掃描。

所以下面提及的C代碼是空閑掃描。編譯C代碼并運行程序。

這是一個不尋常的掃描代碼，可以允許完全的空閑掃描（例如發(fā)送到目標的數(shù)據(jù)包不是來自自己的真實IP地址），并也可用于穿透防火墻和路由器ACL范圍。

由于代碼過程打包在此：http://xiazai.jb51.net/201612/yuanma/nmap_MITM.txt

IP協(xié)議掃描

IP協(xié)議掃描可以讓您確定哪些IP協(xié)議（TCP，ICMP，IGMP等）是目標機器的支持。這不是技術(shù)上的端口掃描，因為只是IP協(xié)議號的循環(huán)而不是TCP或UDP端口號。

命令：NMAP-sO目標

這允許用戶連接到一個FTP服務器，然后文件被發(fā)送到目標主機。NMAP會發(fā)送文件到你指定的目標主機上的端口，通過錯誤消息判斷該端口的狀態(tài)。這是繞過防火墻的好方法，因為相對于Internet主機，組織的FTP服務器經(jīng)常被放置在可被內(nèi)網(wǎng)訪問的范圍中。它的格式為<username>:<password>@<server>:<port>。<server>是一個脆弱的FTP服務器的名稱或IP地址。

命令：NMAP–bftprelyhost

這將使用用戶名“username”，密碼為“password”，F(xiàn)TP服務器“FTPserver.tld”，ftp端口則是21，用于掃描的文件是服務器上的victim.tld。

如果FTP服務器支持匿名登錄，就不用填寫“username:password@”部分。如果FTP端口是默認的21，也可以省略不寫，但如果FTP端口是21之外的必須得指明。

除了所有的前面討論的掃描方法，NMAP提供選項用于指定被掃描的端口和掃描順序是隨機的或順序的。默認情況下NMAP掃描最常見的1000個端口。

-p<端口范圍>（只掃描指定的端口）

此選項指定要掃描的端口范圍，并覆蓋默認。單個端口號都行，因為是用連字符（例如1-1023）分割范圍。范圍的起始或結(jié)束可以被省略，NMAP會分別使用1和65535。所以你可以指定-p-，相當于從1到65535進行掃描。

NMAP-p1-1023目標

你可以指定用于端口掃描的協(xié)議類型，比如T代表TCP，U代表UDP，S代表SCTP，P代表IP。

NMAP-pU:53,111,137,T:21-25,80,139,8080目標

指定比默認情況下更少的端口數(shù)。通常情況下的NMAP掃描每個掃描協(xié)議中最常見的1000個端口。用-F將會減少到100個。

NMAP-F目標

-r（不要隨機端口）

默認情況下NMAP會隨機掃描端口，但您可以指定-r為順序（從最低到最高排序）端口掃描來代替。

NMAP-r目標

在接下來的部分，我將使用NMAP繞過防火墻，創(chuàng)建自定義利用程序。

引用內(nèi)容：

http://www.kyuzz.org/antirez/papers/dumbscan.html

http://www.kyuzz.org/antirez/papers/moreipid.html

http://en.wikipedia.org/wiki/Idle_scan

*參考來源：infosecinstitute，F(xiàn)B小編東二門陳冠希編譯，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM）

版權(quán)聲明：本站文章來源標注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學習參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。