nmapWord文档格式.docx

1、。在确定了目标主机和网络之后，即可进行扫描。如果以root来运行Nmap，Nmap的功能会大大的增强，因为超级用户可以创建便于Nmap利用的定制数据包。在目标机上，Nmap运行灵活。使用Nmap进行单机扫描或是整个网络的扫描很简单，只要将带有/mask的目标地址指定给Nmap即可。地址是victim/24，则目标是c类网络，地址是victim/16，则目标是B类网络。另外,Nmap允许你使用各类指定的网络地址，比如192.168.7.*,是指192.168.7.0/24,或192.168.7.1,4,8-12，对所选子网下的主机进行扫描。Ping扫描（PingSweeping）入侵者使用Nma

2、p扫描整个网络寻找目标。通过使用-sP命令，进行ping扫描。缺省情况下，Nmap给每个扫描到的主机发送一个ICMPecho和一个TCPACK,主机对任何一种的响应都会被Nmap得到。举例：扫描192.168.7.0网络：#nmap-sP192.168.7.0/24StartingnmapV.2.12byFyodor（fyodor,www.insecure.org/nmap/）Host（192.168.7.11）appearstobeup.Host（192.168.7.12）appearstobeup.Host（192.168.7.76）appearstobeup.Nmapruncomplet

3、ed-256IPaddresses（3hostsup）scannedin1second如果不发送ICMPecho请求，但要检查系统的可用性，这种扫描可能得不到一些站点的响应。在这种情况下，一个TCPping就可用于扫描目标网络。一个TCP将发送一个ACK到目标网络上的每个主机。网络上的主机如果在线，则会返回一个TCPRST响应。使用带有ping扫描的TCPping选项，也就是PT选项可以对网络上指定端口进行扫描（本文例子中指的缺省端口是80（http）号端口），它将可能通过目标边界路由器甚至是防火墙。注意，被探测的主机上的目标端口无须打开，关键取决于是否在网络上。#nmap-sP-PT8019

4、2.168.7.0/24TCPprobeportis80当潜在入侵者发现了在目标网络上运行的主机，下一步是进行端口扫描。Nmap支持不同类别的端口扫描TCP连接,TCPSYN,StealthFIN,XmasTree,Null和UDP扫描。端口扫描（PortScanning）一个攻击者使用TCP连接扫描很容易被发现，因为Nmap将使用connect（）系统调用打开目标机上相关端口的连接，并完成三次TCP握手。黑客登录到主机将显示开放的端口。一个tcp连接扫描使用-sT命令如下。#nmap-sT192.168.7.12Interestingportson（192.168.7.12）:PortSta

5、teProtocolService7opentcpecho9opentcpdiscard13opentcpdaytime19opentcpchargen21opentcpftp.Nmapruncompleted-1IPaddress（1hostup）scannedin3seconds隐蔽扫描（StealthScanning）如果一个攻击者不愿在扫描时使其信息被记录在目标系统日志上，TCPSYN扫描可帮你的忙，它很少会在目标机上留下记录，三次握手的过程从来都不会完全实现。通过发送一个SYN包（是TCP协议中的第一个包）开始一次SYN的扫描。任何开放的端口都将有一个SYN|ACK响应。然而，攻击者

6、发送一个RST替代ACK，连接中止。三次握手得不到实现，也就很少有站点能记录这样的探测。如果是关闭的端口，对最初的SYN信号的响应也会是RST，让NMAP知道该端口不在监听。-sS命令将发送一个SYN扫描探测主机或网络：#nmap-sS192.168.7.7Interestingportson（192.168.7.7）:25opentcpsmtp53opentcpdomain80opentcphttpNmapruncompleted-1IPaddress（1hostup）scannedin1second虽然SYN扫描可能不被注意，但他们仍会被一些入侵检测系统捕捉。StealthFIN，Xmas

7、树和Nullscans可用于躲避包过滤和可检测进入受限制端口的SYN包。这三个扫描器对关闭的端口返回RST，对开放的端口将吸收包。一个FIN-sF扫描将发送一个FIN包到每个端口。然而Xmas扫描-sX打开FIN,URG和PUSH的标志位，一个Nullscans-sN关闭所有的标志位。因为微软不支持TCP标准，所以FIN,XmasTree和Nullscans在非微软公司的操作系统下才有效。UDP扫描（UDPScanning）如果一个攻击者寻找一个流行的UDP漏洞，比如rpcbind漏洞或cDcBackOrifice。为了查出哪些端口在监听，则进行UDP扫描，即可知哪些端口对UDP是开放的。Nm

8、ap将发送一个O字节的UDP包到每个端口。如果主机返回端口不可达，则表示端口是关闭的。但这种方法受到时间的限制，因为大多数的UNIX主机限制ICMP错误速率。幸运的是，Nmap本身检测这种速率并自身减速，也就不会产生溢出主机的情况。#nmap-sU192.168.7.7WARNING:-sUisnowUDPscan-forTCPFINscanuse-sFStartingnmapV.2.12byFyodor（fyodor,www.insecure.org/nmap/）53openudpdomain111openudpsunrpc123openudpntp137openudpnetbios-ns1

9、38openudpnetbios-dgm177openudpxdmcp1024openudpunknownNmapruncompleted-1IPaddress（1hostup）scannedin2seconds操作系统识别（OSFingerprinting）通常一个入侵者可能对某个操作系统的漏洞很熟悉，能很轻易地进入此操作系统的机器。一个常见的选项是TCP/IP上的指纹，带有-O选项决定远程操作系统的类型。这可以和一个端口扫描结合使用，但不能和ping扫描结合使用。Nmap通过向主机发送不同类型的探测信号，缩小查找的操作系统系统的范围。指纹验证TCP包括使用FIN探测技术发现目标机的响应类型

10、。BOGUS的标志探测，发现远程主机对发送的带有SYN包的不明标志的反应，TCP初始序列号（ISN）取样发现ISN数值的样式，也可以用另外的方式决定远程操作系统。有一篇权威的关于指纹（fingertprinting）的文章,作者：Fyodor，也是namp的作者，参见地址：http:/www.insecure.org/nmap/nmap-fingerprinting-article.htmlNmaps操作系统的检测是很准确也是很有效的，举例：使用系统Solaris2.7带有SYN扫描的指纹验证堆栈。#nmap-sS-O192.168.7.12Interestingportsoncomet（19

11、2.168.7.12）:TCPSequencePrediction:Class=randompositiveincrementsDifficulty=17818（Worthychallenge）Remoteoperatingsystemguess:Solaris2.6-2.7Nmapruncompleted-1IPaddress（1hostup）scannedin5secondsIdent扫描（IdentScanning）一个攻击者常常寻找一台对于某些进程存在漏洞的电脑。比如,一个以root运行的WEB服务器。如果目标机运行了identd,一个攻击者使用Nmap通过-I选项的TCP连接,就可以

12、发现哪个用户拥有http守护进程。我们将扫描一个LinuxWEB服务器为例：#nmap-sT-p80-I-OInterestingportson（xxx.xxx.xxx.xxx）:PortStateProtocolServiceOwner80opentcphttprootDifficulty=1140492（Goodluck!）Linux2.1.122-2.1.132;2.2.0-pre1-2.2.2如果你的WEB服务器是错误的配置并以root来运行，象上例一样，它将是黎明前的黑暗。Apache运行在root下，是不安全的实践，你可以通过把/etc/indeed.conf中的auth服务注销来

13、阻止ident请求，并重新启动ident。另外也可用使用ipchains或你的最常用的防火墙，在网络边界上执行防火墙规则来终止ident请求，这可以阻止来路不明的人探测你的网站用户拥有哪些进程.另一个选项是-P0在缺省设置下试图扫描一个端口之前，Nmap将用TCPping和ICMPecho命令ping一个目标机，如果ICMP和TCP的探测扫描得不到响应，目标主机或网络就不会被扫描，即使他们是运行着的。而选项允许在扫描之前不进行ping，即可进行扫描。你应该习惯使用-v命令，它详细列出所有信息，能和所有的扫描选项一起使用。你能反复地使用这个选项，获得有关目标机的更多信息。使用-p选项，可以指定扫

14、描端口。比如，攻击者想探测你的web服务器的ftp（port21），telnet（port23）,dns（port53）,http（port80）,想知道你所使用的操作系统，它将使用SYN扫描。#nmap-sS-p21,23,53,80-O-v小结：使用什么样的方法来抵制一个黑客使用Nmap，这样的工具是有的，比如Scanlogd,Courtney,andShadow;，然而使用这样的工具并不能代替网络安全管理员。因为扫描只是攻击的前期准备，站点使用它只可以进行严密的监视。使用Nmap监视自己的站点，系统和网络管理员能发现潜在入侵者对你的系统的探测。Nmap 4.00 （http:/www.i

15、nsecure.org/nmap）Usage: nmap Scan Type（s） Options target specificationTARGET SPECIFICATION:Can pass hostnames, IP addresses, networks, etc.Ex: scanme.nmap.org, 192.168.0.1; 10.0.0-255.1-254-iL : Input from list of hosts/networks-iR Choose random targets-exclude Exclude hosts/networks-excludefile Exc

16、lude list from fileHOST DISCOVERY:-sL: List Scan - simply list targets to scan-sP: Ping Scan - go no further than determining if host is online-P0: Treat all hosts as online - skip host discovery-PS/PA/PU portlist: TCP SYN/ACK or UDP discovery to given ports-PE/PP/PM: ICMP echo, timestamp, and netma

17、sk request discovery probes-n/-R: Never do DNS resolution/Always resolve default: sometimes-dns-servers Specify custom DNS servers-system-dns: Use OSs DNS resolverSCAN TECHNIQUES:-sS/sT/sA/sW/sM: TCP SYN/Connect（）/ACK/Window/Maimon scans-sN/sF/sX: TCP Null, FIN, and Xmas scans-scanflags Customize TC

18、P scan flags-sI Idlescan-sO: IP protocol scan-b FTP bounce scanPORT SPECIFICATION AND SCAN ORDER:-p Only scan specified ports -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080-F: Fast - Scan only the ports listed in the nmap-services file）-r: Scan ports consecutively - dont randomizeSERVICE/VERSI

19、ON DETECTION:-sV: Probe open ports to determine service/version info-version-intensity Set from 0 （light） to 9 （try all probes）-version-light: Limit to most likely probes （intensity 2）-version-all: Try every single probe （intensity 9）-version-trace: Show detailed version scan activity （for debugging

20、）OS DETECTION:-O: Enable OS detection-osscan-limit: Limit OS detection to promising targets-osscan-guess: Guess OS more aggressivelyTIMING AND PERFORMANCE:-T0-5: Set timing template （higher is faster）-min-hostgroup/max-hostgroup Parallel host scan group sizes-min-parallelism/max-parallelism Probe pa

21、rallelization-min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout Specifiesprobe round trip time.-max-retries Caps number of port scan probe retransmissions.-host-timeout Give up on target after this long-scan-delay/-max-scan-delay Adjust delay between probesFIREWALL/IDS EVASION AND SPOOFING:-f; -mt

22、u fragment packets （optionally w/given MTU）-D Cloak a scan with decoys-S Spoof source address-e Use specified interface-g/-source-port Use given port number-data-length Append random data to sent packets-ttl Set IP time-to-live field-spoof-mac Spoof your MAC address-badsum: Send packets with a bogus

23、 TCP/UDP checksumOUTPUT:-oN/-oX/-oS/-oG Output scan in normal, XML, s|rIpt kIddi3, and Grepable format, respectively, to the given filename.-oA Output in the three major formats at once-v: Increase verbosity level （use twice for more effect）-dlevel: Set or increase debugging level （Up to 9 is meaningful）-packet-trace: Show all packets sent and received-