nmap是一個網(wǎng)絡(luò)探測和安全掃描程序

1、摘要nmap是一個網(wǎng)絡(luò)探測和安全掃描程序，系統(tǒng)管理者和個人可以使用這個軟件掃描大型的網(wǎng)絡(luò)，獲取那臺主機正在運行以及提供什么服務(wù)等信息。nmap支持很多掃描技術(shù)，例如：UDP、TCP connect()、TCP SYN(半開掃描)、ftp代理(bounce攻擊)、反向標志、ICMP、FIN、ACK掃描、圣誕樹(Xmas Tree)、SYN掃描和null掃描。從掃描類型一節(jié)可以得到細節(jié)。nmap還提供了一些高級的特征，例如：通過TCP/IP協(xié)議棧特征探測操作系統(tǒng)類型，秘密掃描，動態(tài)延時和重傳計算，并行掃描，通過并行ping掃描探測關(guān)閉的主機，誘餌掃描，避開端口過濾檢測，直接RPC掃描(無須端口影射

2、)，碎片掃描，以及靈活的目標和端口設(shè)定.-1.名稱nmap-網(wǎng)絡(luò)探測和安全掃描工具2.語法nmap Scan Type(s) Options3.描述nmap是一個網(wǎng)絡(luò)探測和安全掃描程序，系統(tǒng)管理者和個人可以使用這個軟件掃描大型的網(wǎng)絡(luò)，獲取那臺主機正在運行以及提供什么服務(wù)等信息。nmap支持很多掃描技術(shù)，例如：UDP、TCP connect()、TCP SYN(半開掃描)、ftp代理(bounce攻擊)、反向標志、ICMP、FIN、ACK掃描、圣誕樹(Xmas Tree)、SYN掃描和null掃描。從掃描類型一節(jié)可以得到細節(jié)。nmap還提供了一些高級的特征，例如：通過TCP/IP協(xié)議棧特征探測操

3、作系統(tǒng)類型，秘密掃描，動態(tài)延時和重傳計算，并行掃描，通過并行ping掃描探測關(guān)閉的主機，誘餌掃描，避開端口過濾檢測，直接RPC掃描(無須端口影射)，碎片掃描，以及靈活的目標和端口設(shè)定。為了提高nmap在non-root狀態(tài)下的性能，軟件的設(shè)計者付出了很大的努力。很不幸，一些內(nèi)核界面(例如raw socket)需要在root狀態(tài)下使用。所以應(yīng)該盡可能在root使用nmap。nmap運行通常會得到被掃描主機端口的列表。nmap總會給出well known端口的服務(wù)名(如果可能)、端口號、狀態(tài)和協(xié)議等信息。每個端口的狀態(tài)有：open、filtered、unfiltered。open狀態(tài)意味著目標主機

4、能夠在這個端口使用accept()系統(tǒng)調(diào)用接受連接。filtered狀態(tài)表示：防火墻、包過濾和其它的網(wǎng)絡(luò)安全軟件掩蓋了這個端口，禁止 nmap探測其是否打開。unfiltered表示：這個端口關(guān)閉，并且沒有防火墻/包過濾軟件來隔離nmap的探測企圖。通常情況下，端口的狀態(tài)基本都是unfiltered狀態(tài)，只有在大多數(shù)被掃描的端口處于filtered狀態(tài)下，才會顯示處于unfiltered狀態(tài)的端口。根據(jù)使用的功能選項，nmap也可以報告遠程主機的下列特征：使用的操作系統(tǒng)、TCP序列、運行綁定到每個端口上的應(yīng)用程序的用戶名、DNS名、主機地址是否是欺騙地址、以及其它一些東西。4.功能選項功能選項

5、可以組合使用。一些功能選項只能夠在某種掃描模式下使用。nmap會自動識別無效或者不支持的功能選項組合，并向用戶發(fā)出警告信息。如果你是有經(jīng)驗的用戶，可以略過結(jié)尾的示例一節(jié)?？梢允褂胣map -h快速列出功能選項的列表。4.1 掃描類型4.2 通用選項這些內(nèi)容不是必需的，但是很有用。-P0在掃描之前，不必ping主機。有些網(wǎng)絡(luò)的防火墻不允許ICMP echo請求穿過，使用這個選項可以對這些網(wǎng)絡(luò)進行掃描。就是一個例子，因此在掃描這個站點時，你應(yīng)該一直使用-P0或者-PT 80選項。-PT掃描之前，使用TCP ping確定哪些主機正在運行。nmap不是通過發(fā)送ICMP echo請求包然后等待響應(yīng)來實現(xiàn)

6、這種功能，而是向目標網(wǎng)絡(luò)(或者單一主機)發(fā)出TCP ACK包然后等待回應(yīng)。如果主機正在運行就會返回RST包。只有在目標網(wǎng)絡(luò)/主機阻塞了ping包，而仍舊允許你對其進行掃描時，這個選項才有效。對于非 root用戶，我們使用connect()系統(tǒng)調(diào)用來實現(xiàn)這項功能。使用-PT <端口號>來設(shè)定目標端口。默認的端口號是80，因為這個端口通常不會被過濾。-PS對于root用戶，這個選項讓nmap使用SYN包而不是ACK包來對目標主機進行掃描。如果主機正在運行就返回一個RST包(或者一個SYN/ACK包)。-PI設(shè)置這個選項，讓nmap使用真正的ping(ICMP echo請求)來掃描目標主

7、機是否正在運行。使用這個選項讓nmap發(fā)現(xiàn)正在運行的主機的同時，nmap也會對你的直接子網(wǎng)廣播地址進行觀察。直接子網(wǎng)廣播地址一些外部可達的IP地址，把外部的包轉(zhuǎn)換為一個內(nèi)向的IP廣播包，向一個計算機子網(wǎng)發(fā)送。這些IP廣播包應(yīng)該刪除，因為會造成拒絕服務(wù)攻擊(例如 smurf)。-PB這是默認的ping掃描選項。它使用ACK(-PT)和ICMP(-PI)兩種掃描類型并行掃描。如果防火墻能夠過濾其中一種包，使用這種方法，你就能夠穿過防火墻。-O這個選項激活對TCP/IP指紋特征(fingerprinting)的掃描，獲得遠程主機的標志。換句話說，nmap使用一些技術(shù)檢測目標主機操作系統(tǒng)網(wǎng)絡(luò)協(xié)議棧的特

8、征。nmap使用這些信息建立遠程主機的指紋特征，把它和已知的操作系統(tǒng)指紋特征數(shù)據(jù)庫做比較，就可以知道目標主機操作系統(tǒng)的類型。-I這個選項打開nmap的反向標志掃描功能。Dave Goldsmith 1996年向bugtap發(fā)出的郵件注意到這個協(xié)議，ident協(xié)議(rfc 1413)允許使用TCP連接給出任何進程擁有者的用戶名，即使這個進程并沒有初始化連接。例如，你可以連接到HTTP端口，接著使用identd確定這個服務(wù)器是否由root用戶運行。這種掃描只能在同目標端口建立完全的TCP連接時(例如：-sT掃描選項)才能成功。使用-I選項是，遠程主機的 identd精靈進程就會查詢在每個打開的端口

9、上監(jiān)聽的進程的擁有者。顯然，如果遠程主機沒有運行identd程序，這種掃描方法無效。-f這個選項使nmap使用碎片IP數(shù)據(jù)包發(fā)送SYN、FIN、XMAS、NULL。使用碎片數(shù)據(jù)包增加包過濾、入侵檢測系統(tǒng)的難度，使其無法知道你的企圖。不過，要慎重使用這個選項！有些程序在處理這些碎片包時會有麻煩，我最喜歡的嗅探器在接受到碎片包的頭36個字節(jié)時，就會發(fā)生 segmentation faulted。因此，在nmap中使用了24個字節(jié)的碎片數(shù)據(jù)包。雖然包過濾器和防火墻不能防這種方法，但是有很多網(wǎng)絡(luò)出于性能上的考慮，禁止數(shù)據(jù)包的分片。注意這個選項不能在所有的平臺上使用。它在Linux、FreeBSD、Op

10、enBSD以及其它一些UNIX系統(tǒng)能夠很好工作。-v冗余模式。強烈推薦使用這個選項，它會給出掃描過程中的詳細信息。使用這個選項，你可以得到事半功倍的效果。使用-d選項可以得到更加詳細的信息。-h快速參考選項。-oN把掃描結(jié)果重定向到一個可讀的文件logfilename中。-oM把掃描結(jié)果重定向到logfilename文件中，這個文件使用主機可以解析的語法。你可以使用-oM -來代替logfilename，這樣輸出就被重定向到標準輸出stdout。在這種情況下，正常的輸出將被覆蓋，錯誤信息荏苒可以輸出到標準錯誤 stderr。要注意，如果同時使用了-v選項，在屏幕上會打印出其它的信息。-oS t

11、hIs l0gz th3 r3suLtS of YouR ScanZ iN a s| THe fiL3 U sPecfy 4s an arGuMEnT! U kAn gIv3 the 4rgument -(wItHOUt qUOteZ) to sh00t output iNT0 stDouT! 莫名其妙，下面是我猜著翻譯的，相形字？把掃描結(jié)果重定向到一個文件logfilename中，這個文件使用一種"黑客方言"的語法形式(作者開的玩笑?)。同樣，使用-oS -就會把結(jié)果重定向到標準輸出上。-resume某個網(wǎng)絡(luò)掃描可能由于control-C或者網(wǎng)絡(luò)損失等原因被中斷，使用這個

12、選項可以使掃描接著以前的掃描進行。logfilename是被取消掃描的日志文件，它必須是可讀形式或者機器可以解析的形式。而且接著進行的掃描不能增加新的選項，只能使用與被中斷的掃描相同的選項。nmap會接著日志文件中的最后一次成功掃描進行新的掃描。-iL從inputfilename文件中讀取掃描的目標。在這個文件中要有一個主機或者網(wǎng)絡(luò)的列表，由空格鍵、制表鍵或者回車鍵作為分割符。如果使用-iL -，nmap就會從標準輸入stdin讀取主機名字。你可以從指定目標一節(jié)得到更加詳細的信息。-iR讓nmap自己隨機挑選主機進行掃描。-p <端口范圍>這個選項讓你選擇要進行掃描的端口號的范圍。

13、例如，-p 23表示：只掃描目標主機的23號端口。-p 20-30,139,60000-表示：掃描20到30號端口，139號端口以及所有大于60000的端口。在默認情況下，nmap掃描從1到1024號以及nmap-services文件(如果使用RPM軟件包，一般在/usr/share/nmap/目錄中)中定義的端口列表。-F快速掃描模式，只掃描在nmap-services文件中列出的端口。顯然比掃描所有65535個端口要快。-D使用誘餌掃描方法對目標網(wǎng)絡(luò)/主機進行掃描。如果nmap使用這種方法對目標網(wǎng)絡(luò)進行掃描，那么從目標主機/網(wǎng)絡(luò)的角度來看，掃描就象從其它主機 (decoy1,等)發(fā)出的。從

14、而，即使目標主機的IDS(入侵檢測系統(tǒng))對端口掃描發(fā)出報警，它們也不可能知道哪個是真正發(fā)起掃描的地址，哪個是無辜的。這種掃描方法可以有效地對付例如路由跟蹤、response-dropping等積極的防御機制，能夠很好地隱藏你的IP地址。每個誘餌主機名使用逗號分割開，你也可以使用ME選項，它代表你自己的主機，和誘餌主機名混雜在一起。如果你把ME放在第六或者更靠后的位置，一些端口掃描檢測軟件幾乎根本不會顯示你的IP地址。如果你不使用ME選項，nmap會把你的IP地址隨機夾雜在誘餌主機之中。注意:你用來作為誘餌的主機應(yīng)該正在運行或者你只是偶爾向目標發(fā)送SYN數(shù)據(jù)包。很顯然，如果在網(wǎng)絡(luò)上只有一臺主機運

15、行，目標將很輕松就會確定是哪臺主機進行的掃描?；蛟S，你還要直接使用誘餌的IP地址而不是其域名，這樣誘餌網(wǎng)絡(luò)的域名服務(wù)器的日志上就不會留下關(guān)于你的記錄。還要注意：一些愚蠢的端口掃描檢測軟件會拒絕路由試圖進行端口掃描的主機。因而，你需要讓目標主機和一些誘餌斷開連接。如果誘餌是目標主機的網(wǎng)關(guān)或者就是其自己時，會給目標主機造成很大問題。所以你需要慎重使用這個選項。誘餌掃描既可以在起始的ping掃描也可以在真正的掃描狀態(tài)下使用。它也可以和-O選項組合使用。使用太多的誘餌掃描能夠減緩你的掃描速度甚至可能造成掃描結(jié)果不正確。同時，有些ISP會把你的欺騙包過濾掉。雖然現(xiàn)在大多數(shù)的ISP不會對此進行限制。-S

16、<IP_Address>在一些情況下，nmap可能無法確定你的源地址(nmap會告訴你)。在這種情況下，可以使用這個選項給出你的IP地址。在欺騙掃描時，也使用這個選項。使用這個選項可以讓目標認為是其它的主機對自己進行掃描。-e告訴nmap使用哪個接口發(fā)送和接受數(shù)據(jù)包。nmap能夠自動對此接口進行檢測，如果無效就會告訴你。-g設(shè)置掃描的源端口。一些天真的防火墻和包過濾器的規(guī)則集允許源端口為DNS(53)或者FTP-DATA(20)的包通過和實現(xiàn)連接。顯然，如果攻擊者把源端口修改為20或者53，就可以摧毀防火墻的防護。在使用UDP掃描時，先使用53號端口；使用TCP掃描時，先使用20號

17、端口。注意只有在能夠使用這個端口進行掃描時，nmap才會使用這個端口。例如，如果你無法進行TCP掃描，nmap會自動改變源端口，即使你使用了-g選項。對于一些掃描，使用這個選項會造成性能上的微小損失，因為我有時會保存關(guān)于特定源端口的一些有用的信息。-r告訴nmap不要打亂被掃描端口的順序。-randomize_hosts使nmap在掃描之前，打亂每組掃描中的主機順序，nmap每組可以掃描最多2048臺主機。這樣，可以使掃描更不容易被網(wǎng)絡(luò)監(jiān)視器發(fā)現(xiàn)，尤其和-scan_delay 選項組合使用，更能有效避免被發(fā)現(xiàn)。-M設(shè)置進行TCP connect()掃描時，最多使用多少個套接字進行并行的掃描。使

18、用這個選項可以降低掃描速度，避免遠程目標宕機。4.3 適時選項通常，nmap在運行時，能夠很好地根據(jù)網(wǎng)絡(luò)特點進行調(diào)整。掃描時，nmap會盡量減少被目標檢測到的機會，同時盡可能加快掃描速度。然而，nmap默認的適時策略有時候不太適合你的目標。使用下面這些選項，可以控制nmap的掃描timing：-T設(shè)置nmap的適時策略。Paranoid:為了避開IDS的檢測使掃描速度極慢，nmap串行所有的掃描，每隔至少5分鐘發(fā)送一個包； Sneaky：也差不多，只是數(shù)據(jù)包的發(fā)送間隔是15秒；Polite：不增加太大的網(wǎng)絡(luò)負載，避免宕掉目標主機，串行每個探測，并且使每個探測有0.4 秒種的間隔；Normal:

19、nmap默認的選項，在不是網(wǎng)絡(luò)過載或者主機/端口丟失的情況下盡可能快速地掃描；Aggressive:設(shè)置5分鐘的超時限制，使對每臺主機的掃描時間不超過5分鐘，并且使對每次探測回應(yīng)的等待時間不超過1.5秒鐘；b>Insane:只適合快速的網(wǎng)絡(luò)或者你不在意丟失某些信息，每臺主機的超時限制是75秒，對每次探測只等待0.3秒鐘。你也可是使用數(shù)字來代替這些模式，例如：-T 0等于-T Paranoid，-T 5等于-T Insane。這些適時模式不能下面的適時選項組合使用。-host_timeout設(shè)置掃描一臺主機的時間，以毫秒為單位。默認的情況下，沒有超時限制。-max_rtt_timeout設(shè)置對每次探測的等待時間，以毫秒為單位。如果超過這