我們可以使用ping掃描的方法(-sP),與fping的工作方式比較相似,它發(fā)送icmp回送請求到指定范圍的ip地址并等待響應(yīng)。現(xiàn)在很多主 機在掃描的時候都做了處理,阻塞icmp請求,這種情況下。nmap將嘗試與主機的端口80進行連接,如果可以接收到響應(yīng)(可以是syn/ack,也可以 是rst),那么證明主機正在運行,反之,則無法判斷主機是否開機或者是否在網(wǎng)絡(luò)上互連。
掃描tcp端口
這里-sR是怎樣在打開的端口上利用RPC命令來判斷它們是否運行了RPC服務(wù)。
nmap可以在進行端口掃描的tcp報文來做一些秘密的事情。首先,要有一個SYN掃描(-sS),它只做建立TCP連接的前面一些工作,只發(fā)送一 個設(shè)置SYN標(biāo)志的TCP報文,一個RESET報文,那么nmap假設(shè)這個端口是關(guān)閉的,那么就不做任何事情了。如果接收到一個響應(yīng),它并不象正常的連接 一樣對這個報文進行確認,而是發(fā)送一個RET報文,TCP的三次握手還沒有完成,許多服務(wù)將不會記錄這次連接。
有的時候,nmap會告訴我們端口被過濾,這意味著有防火墻或端口過濾器干擾了nmap,使其不能準(zhǔn)確的判斷端口是打開還是關(guān)閉的,有的防火墻只能過濾掉進入的連接。
掃描協(xié)議
如果試圖訪問另一端無程序使用的UDP端口,主機將發(fā)回一個icmp“端口不可達”的提示消息,IP協(xié)議也是一樣。每個傳輸層的IP協(xié)議都有一個相 關(guān)聯(lián)的編號,使用最多的是ICMP(1)、TCP(6)和UDP(17)。所有的IP報文都有一個“協(xié)議”域用于指出其中的傳輸層報文頭所使用的協(xié)議。如 果我們發(fā)送一個沒有傳輸層報文頭的原始IP報文并把其協(xié)議域編號為130[該編號是指類似IPSEC協(xié)議的被稱為安全報文外殼或SPS協(xié)議],就可以判斷 這個協(xié)議是否在主機上實現(xiàn)了。如果我們得到的是ICMP協(xié)議不可達的消息,意味著該協(xié)議沒有被實現(xiàn),否則就是已經(jīng)實現(xiàn)了,用法為-sO.
隱蔽掃描行為
nmap給出了幾個不同的掃描選項,其中一些可以配套著隱藏掃描行為,使得不被系統(tǒng)日志、防火墻和IDS檢測到。提供了一些隨機的和欺騙的特性。具體例子如下:
FTP反彈,在設(shè)計上,F(xiàn)TP自身存在一個很大的漏洞,當(dāng)使用FTP客戶機連接到FTP服務(wù)器時,你的客戶機在TCP端口21上與FTP服務(wù)器對 話,這個TCP連接稱為控制連接。FTP服務(wù)器現(xiàn)在需要另一條與客戶機連接,該連接稱為數(shù)據(jù)連接,在這條連接上將傳送實際的文件數(shù)據(jù),客戶機將開始監(jiān)聽另 一個TCP端口上從服務(wù)器發(fā)揮的數(shù)據(jù)連接,接下來執(zhí)行一個PORT命令到服務(wù)器,告訴它建立一條數(shù)據(jù)連接到客戶機的IP地址和一個新打開的端口,這種操作 方法稱為主動傳輸。許多客戶機使用網(wǎng)絡(luò)地址轉(zhuǎn)換或通過防火墻與外界連接,所以主動傳輸FTP就不能正常工作,因為由服務(wù)器建立的客戶機的連接通常不允許通 過。
被動傳輸是大多數(shù)FTP客戶機和服務(wù)器所使用的方法,因為客戶機既建立控制連接又建立數(shù)據(jù)連接,這樣可以通過防火墻或NAT了。
FTP的PORT命令,用來告訴FTP連接的服務(wù)器,使得與剛剛打開的用于數(shù)據(jù)連接的端口之間建立一個連接。由于我們不僅指定端口而且指定連接所用 的IP地址,所以客戶端也可以通過PORT命令讓服務(wù)器連接到任何地方。所以我們一樣可以讓nmap用這個方法進行防火墻穿透。nmap做的所有工作是與 一臺服務(wù)器建立一個主動模式的FTP連接,并發(fā)送一個包含它試圖掃描的主機IP地址和端口號的PORT命令。
nmap -b aaa@ftp.target.com -p 6000 192.168.1.226
nmap 與ftp服務(wù)器的對話的例子:
server:220 target ftp server version 4 ready
client:user anonymous
server: 331 Guest login ok ,send e-mail as password
client:pass
server :230 login successful
client:PORT 192,168,1.226,23,112
server:200 PORT command successful
client:LIST
server:150 Opening ASCII connection for '/bin/ls'
server:226 Transfer complete
PORT命令起作用,可以制造是別人進行端口掃描,掃描任何FTP服務(wù)器所能訪問的主機,繞過防火墻和端口過濾器,但還是存在一些危險的,如果對方登陸到了你的這個匿名FTP服務(wù)器上,從日志查找到相應(yīng)的匿名FTP連接,從而知道你的IP地址,這樣就直接暴露了。
nmap -sI 空閑掃描,主要是欺騙端口掃描的源地址。
nmap -f 可以把TCP頭分片的IP報文進行一些隱蔽的掃描。不完整的TCP報文不被防火墻阻塞也不被IDS檢測到。
nmap-D
選擇幾臺肉雞,并使用-D標(biāo)志在命令行中指定它們。namp通過誘騙的IP地址來進行欺騙式端口掃描,而系統(tǒng)管理員可以同時看到不同的端口掃描,而只有一個是真實的,很好的保護了自己。
os指紋識別
這個是nmap最有用的功能之一,就是可以鑒別遠程主機。通過簡單的執(zhí)行網(wǎng)絡(luò)掃 描,nmap通常可以告訴你遠程主機所運行的OS,甚至詳細到版本號。當(dāng)你指定-Q標(biāo)志時,nmap將用幾種不同的技術(shù)從主機返回IP報文中尋找這些鑒別 信息。通過發(fā)送特別設(shè)計的TCP和UDP頭,nmap可以得到遠程主機對TCP/IP協(xié)議棧的處理方法。它將分析結(jié)果與保存在文件中的已知特征信息進行比 較。
OS鑒別選項也可以讓nmap對TCP報文進行分析以決定另外一些信息,如系統(tǒng)的啟動時間,TCP序列號,預(yù)測的序列號使我們更容易截獲報文并猜測序列號從而偽造TCP連接。
nmap命令使用詳細解釋
-P0 -PT -PS -PU -PE -PP -PM -PB 當(dāng)nmap進行某種類型的端口或協(xié)議掃描時,通常都會嘗試先ping 主機,這種嘗試可使nmap不會浪費時間在那些未開機的主機上,但是許多主機與防火墻會阻塞ICMP報文,我們希望能通過控制使用。
-P0 告訴nmap不ping 主機,只進行掃描
-PT 告訴nmap使用TCP的ping
-PS 發(fā)送SYN報文。
-PU 發(fā)送一個udp ping
-PE 強制執(zhí)行直接的ICMP ping
-PB 這是默認類型,可以使用ICMP ping 也可以使用TCP ping .
-6 該標(biāo)志允許IPv6支持
-v -d 使用-v選項可得到更詳細的輸出,而-d選項則增加調(diào)試輸出。
-oN 按照人們閱讀的格式記錄屏幕上的輸出,如果是在掃描多臺機器,則該選項很有用。
-oX 以xml格式向指定的文件記錄信息
-oG 以一種易于檢索的格式記錄信息,即每臺主機都以單獨的行來記錄所有的端口和0s信息。
-oA 使用為基本文件名,以普通格式(-oN)、XML格式(-oX)和易于檢索的格式(-oG)jilu xinxi
-oM 把輸出格式化為機器可閱讀的文件
-oS 把輸出進行傻瓜型排版
--resume如果你取消了掃描,但生成了供人或者供機器閱讀的文件,那么可以把該文件提供給nmap繼續(xù)讓它掃描。
-iR-iL可以不在命令行中指定目標(biāo)主機,而是使用-iR選項隨即產(chǎn)生待掃描的主機,或者使用-iL選項從一個包含主機名或IP地址列表的文件中讀取目標(biāo)主機,這些主機名或IP地址使用空格、制表符或換行隔開。
-F nmap只掃描在nmap內(nèi)建的服務(wù)文件中已知的端口,如果不指定該選項,nmap將掃描端口 1-1024及包含在nmap-services文件中的所有其他端口。如果用-sO選項掃描協(xié)議,nmap將用它內(nèi)建的協(xié)議文件(nmap- protocols文件)而不是默認地掃描所有256個協(xié)議。
-A nmap使用所有的高級掃描選項
-p 參數(shù)可以是一個單獨的端口、一個用逗號隔開的端口列表、一個使用“-”表示的端口范圍或者上述格式的任意組合。如果沒有指定該選項,nmap將對包含前1024個端口的所有端口進行一次快速掃描。
-e在多穴主機中,可以指定你用來進行網(wǎng)絡(luò)通信的網(wǎng)絡(luò)接口。
-g可以選擇一個源端口,從該端口執(zhí)行所有的掃描。
--ttlnmap其發(fā)送的任何報文在到中間路由器的跳后會失效。
--packet-trace 可以顯示掃描期間nmap發(fā)送和接收的各個報文的詳細列表,這對調(diào)試非常有用。要與-o選項之一聯(lián)合使用,需要根權(quán)限,以將所有的數(shù)據(jù)記錄到文件。
--scanflags可以使用這個選項手工的指定欲在掃描報文中設(shè)置的TCP標(biāo)志。也可以指定TCP標(biāo)志的OOred值的整數(shù)形式,或者標(biāo)志的字符串表示形式。
以上介紹的就是nmap在windows下和unix中的命令介紹。