網(wǎng)絡(luò)端口掃描實(shí)驗(yàn)指導(dǎo)

1、網(wǎng)絡(luò)端口掃描實(shí)驗(yàn)指導(dǎo)一、實(shí)驗(yàn)?zāi)康?、學(xué)習(xí)端口掃描技術(shù)的基本原理，理解端口掃描技術(shù)在網(wǎng)絡(luò)攻防中的應(yīng)用；2、通過上機(jī)實(shí)驗(yàn)，熟練掌握目前最為常用的網(wǎng)絡(luò)掃描工具Nmap的使用，并能利用工具掃描漏洞，更好地彌補(bǔ)安全不足。二、實(shí)驗(yàn)預(yù)習(xí)提示1、網(wǎng)絡(luò)掃描概述掃描是通過向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)報(bào)文，然后根據(jù)響應(yīng)獲得目標(biāo)主機(jī)的情況。根據(jù)掃描對(duì)象的不同，可以分為基于主機(jī)的掃描和基于網(wǎng)絡(luò)的掃描2種，其中基于主機(jī)的掃描器又稱本地掃描器，它與待檢查系統(tǒng)運(yùn)行于同一節(jié)點(diǎn)，執(zhí)行對(duì)自身的檢查。通常在目標(biāo)系統(tǒng)上安裝了一個(gè)代理（Agent）或者是服務(wù)（Services），以便能夠訪問所有的文件與進(jìn)程，它的主要功能為分析各種系統(tǒng)文件內(nèi)容，查

2、找可能存在的對(duì)系統(tǒng)安全造成威脅的漏洞或配置錯(cuò)誤；而基于網(wǎng)絡(luò)的掃描器又稱遠(yuǎn)程掃描器，一般它和待檢查系統(tǒng)運(yùn)行于不同的節(jié)點(diǎn)上，通過網(wǎng)絡(luò)來掃描遠(yuǎn)程計(jì)算機(jī)。根據(jù)掃描方式的不同，主要分為地址掃描、漏洞掃描和端口掃描3類。（1）地址掃描地址掃描是最簡(jiǎn)單、最常見的一種掃描方式，最簡(jiǎn)單的方法是利用Ping程序來判斷某個(gè)IP地址是否有活動(dòng)的主機(jī)，或者某個(gè)主機(jī)是否在線。其原理是向目標(biāo)系統(tǒng)發(fā)送ICMP回顯請(qǐng)求報(bào)文，并等待返回的ICMP回顯應(yīng)答。傳統(tǒng)的Ping掃描工具一次只能對(duì)一臺(tái)主機(jī)進(jìn)行測(cè)試，效率較低，現(xiàn)在如Fping（Fast ping）等工具能以并發(fā)的形式向大量的地址發(fā)出Ping請(qǐng)求，從而很快獲得一個(gè)網(wǎng)絡(luò)中所有在

3、線主機(jī)地址的列表。但隨著安全防范意識(shí)的提供，很多路由器和防火墻都會(huì)進(jìn)行限制，只要加入丟棄ICMP回顯請(qǐng)求信息的相關(guān)規(guī)則，或者在主機(jī)中通過一定的設(shè)置禁止對(duì)這樣的請(qǐng)求信息應(yīng)答，即可對(duì)ICMP回顯請(qǐng)求不予響應(yīng)，（2）漏洞掃描漏洞掃描是使用漏洞掃描器對(duì)目標(biāo)系統(tǒng)進(jìn)行信息查詢，檢查目標(biāo)系統(tǒng)中可能包含的已知漏洞，從而發(fā)現(xiàn)系統(tǒng)中存在的不安全地方。其原理是采用基于規(guī)則的匹配技術(shù)，即根據(jù)安全專家對(duì)網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)安全配置的實(shí)際經(jīng)驗(yàn)，形成一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)漏洞庫，然后在此基礎(chǔ)上構(gòu)成相應(yīng)的匹配規(guī)則，通過漏洞庫匹配的方法來檢查目標(biāo)設(shè)備是否存在漏洞。在端口掃描后，即可知道目標(biāo)主機(jī)

4、開啟的端口以及端口上提供的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與漏洞庫進(jìn)行匹配，即可查看是否有滿足匹配條件的漏洞存在。漏洞掃描大體包括CGI、POP3、FTP、HTTP和SSH漏洞掃描等。漏洞掃描的關(guān)鍵是所使用的漏洞庫，漏洞庫信息的完整性和有效性決定了漏洞掃描器的性能，漏洞庫的修訂和更新的性能也會(huì)影響漏洞掃描器運(yùn)行的時(shí)間。（3）端口掃描端口是網(wǎng)絡(luò)連接的附著點(diǎn)，不同的應(yīng)用進(jìn)程使用不同的端口，如果一個(gè)應(yīng)用程序希望提供某種服務(wù)，它將自己附著在端口上等待客戶請(qǐng)求的到來（即對(duì)端口進(jìn)行監(jiān)聽），希望使用此服務(wù)的客戶則在本地主機(jī)分配一個(gè)端口，與遠(yuǎn)程主機(jī)的服務(wù)端口連接，客戶通過聯(lián)系這些特殊的端口來獲取特殊的服務(wù)。在網(wǎng)絡(luò)連接

5、中，服務(wù)器端的進(jìn)程需要一直處于監(jiān)聽狀態(tài)，并且持續(xù)使用相同端口；而客戶端的進(jìn)程則只需要在和服務(wù)器建立連接時(shí)動(dòng)態(tài)地創(chuàng)建一個(gè)端口，并在連接結(jié)束后立即釋放。一般來說，端口掃描的對(duì)象是前者，即作為網(wǎng)絡(luò)服務(wù)開放的端口。由于網(wǎng)絡(luò)端口是計(jì)算機(jī)和外界相連的通道，因此疏于管理可能留下嚴(yán)重的安全隱患。端口掃描是利用網(wǎng)絡(luò)協(xié)議的安全漏洞，通過非常規(guī)的方法來確定連接在網(wǎng)絡(luò)上目標(biāo)主機(jī)的哪些端口是開放的技術(shù)。其原理是通過向目標(biāo)系統(tǒng)的TCPhuoUDP端口發(fā)送一定數(shù)量、帶有各種特殊標(biāo)識(shí)的報(bào)文，然后記錄目標(biāo)系統(tǒng)反饋的報(bào)文信息，再分析判斷其上端口的狀態(tài)。2、端口掃描的用途一般來說，端口掃描有以下三種用途：（1）獲取目標(biāo)系統(tǒng)上的端口

6、信息，用于識(shí)別其上具有的TCP和UDP服務(wù)；（2）獲得目標(biāo)系統(tǒng)返回報(bào)文的某些特殊標(biāo)識(shí)，識(shí)別目標(biāo)系統(tǒng)的操作系統(tǒng)類型；（3）進(jìn)一步結(jié)合其他技術(shù)得到具體端口的詳細(xì)信息，從而識(shí)別某個(gè)特定服務(wù)的版本號(hào)。3、端口掃描的方法（1）基于連接的掃描1）TCP全連接掃描TCP全連接掃描是端口掃描的基本形式，掃描主機(jī)通過TCP/IP協(xié)議的三次握手與目標(biāo)主機(jī)的指定端口建立一次完整的連接。建立連接成功時(shí)，目標(biāo)主機(jī)回應(yīng)一個(gè)SYN/ACK數(shù)據(jù)包，表明目標(biāo)主機(jī)的目標(biāo)端口處于監(jiān)聽（打開）狀態(tài)；建立連接失敗時(shí)，目標(biāo)主機(jī)會(huì)向掃描主機(jī)發(fā)送RST響應(yīng)，表明該目標(biāo)端口處于關(guān)閉狀態(tài)。TCP全連接掃描的優(yōu)點(diǎn)是易于實(shí)現(xiàn)，系統(tǒng)中任何用戶都有權(quán)限

7、使用此調(diào)用；缺點(diǎn)是很容易被發(fā)覺并被過濾掉，目標(biāo)計(jì)算機(jī)的日志文件會(huì)顯示一連串的成功連接和連接出錯(cuò)的服務(wù)信息。2）TCP SYN掃描TCP SYN掃描也稱半開放掃描，掃描程序向目標(biāo)主機(jī)端口發(fā)送一個(gè)SYN數(shù)據(jù)包，若收到RST響應(yīng)則表明目標(biāo)端口關(guān)閉，若收到SYN/ACK響應(yīng)則表明目標(biāo)端口開放，處于偵聽狀態(tài)，此時(shí)掃描程序再發(fā)送一個(gè)RST信號(hào)給目標(biāo)主機(jī)，終止建立連接。由于并未建立全連接，故常將此掃描方式稱為半開放掃描。TCP SYN掃描的優(yōu)點(diǎn)是一般不會(huì)在目標(biāo)主機(jī)上留下記錄，但缺點(diǎn)是需要有管理員權(quán)限才能建立自己的SYN數(shù)據(jù)包。（2）隱蔽掃描隱蔽掃描技術(shù)不含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何一部分，比SYN掃描更

8、隱蔽，很難被記錄追蹤。隱蔽掃描采用包含F(xiàn)IN標(biāo)志的TCP包來探測(cè)端口，如果探測(cè)的端口處于關(guān)閉狀態(tài)，則目標(biāo)主機(jī)返回一個(gè)RST信號(hào)；如果探測(cè)的端口處于偵聽狀態(tài)，則目標(biāo)主機(jī)會(huì)忽略對(duì)FIN數(shù)據(jù)包的回復(fù)，即目標(biāo)主機(jī)不會(huì)返回RST信號(hào)。Xmas Tree和Null掃描方式是基于以上原理的變形和發(fā)展。Xmas Tree掃描打開FIN、URG和PSH標(biāo)志，而Null掃描則關(guān)閉所有標(biāo)志，這些組合的目的都是為了通過所謂的FIN標(biāo)記監(jiān)測(cè)器的過濾。隱蔽掃描的優(yōu)點(diǎn)是比較隱蔽，不易被記錄追蹤，但通常用于UNIX系統(tǒng)及其他少數(shù)系統(tǒng)，對(duì)Windows系統(tǒng)不適用，同時(shí)與SYN掃描類似，也需要自己構(gòu)造IP數(shù)據(jù)包。（3）輔助掃描手

9、段1）分段掃描分段掃描一般結(jié)合其他方法來提供更為隱蔽的掃描，它并不是直接發(fā)送TCP探測(cè)數(shù)據(jù)包，而是將原來封裝在一個(gè)報(bào)文的探測(cè)信息（往往在TCP報(bào)頭中）拆分至兩個(gè)或多個(gè)較小的報(bào)文中，算好各自的偏移，并都置系統(tǒng)的標(biāo)識(shí)，然后發(fā)送，使其難以被過濾。掃描器從IP分片中劈開TCP頭，由于包過濾防火墻看不到一個(gè)完整的TCP頭，無法對(duì)應(yīng)相應(yīng)的過濾規(guī)則，從而可繞過包過濾防火墻。2）ACK掃描ACK掃描并不能識(shí)別端口是否打開，但可以判斷目標(biāo)主機(jī)是否受到防火墻的保護(hù)，以及防火墻的類型。因?yàn)镽FC文檔規(guī)定對(duì)于來訪的ACK報(bào)文，物理端口打開與否，均返回RST報(bào)文。因此如果發(fā)送方通過這種方式得到RST報(bào)文，就可以判斷目標(biāo)

10、主機(jī)上未安裝防火墻或者只有簡(jiǎn)單的包過濾防火墻（它無法判斷此ACK報(bào)文是否合法）；如果發(fā)送方?jīng)]有收到RST報(bào)文，則要么目標(biāo)主機(jī)關(guān)機(jī)，要么受基于狀態(tài)檢測(cè)的防火墻保護(hù)，因?yàn)榛跔顟B(tài)監(jiān)測(cè)的防火墻會(huì)將突然來訪的ACK報(bào)文全部丟棄，不作應(yīng)答。（4）非TCP掃描1）UDP掃描端口掃描一般是掃描TCP端口，因?yàn)門CP是面向連接的協(xié)議，目標(biāo)系統(tǒng)通常會(huì)返回一些有用的信息；而UDP為不可靠的無連接協(xié)議，為了發(fā)現(xiàn)正在服務(wù)的UDP端口，通常產(chǎn)生一個(gè)內(nèi)容為空的UDP數(shù)據(jù)包發(fā)往目標(biāo)端口，若目標(biāo)端口上有服務(wù)正在等待，則目標(biāo)端口將返回表示錯(cuò)誤的消息；如果目標(biāo)端口處于關(guān)閉狀態(tài)，則目標(biāo)操作系統(tǒng)會(huì)發(fā)現(xiàn)一個(gè)ICMP Unreachab

11、le消息。2）ICMP掃描Ping命令發(fā)送ICMP請(qǐng)求包給目標(biāo)IP地址，如果有應(yīng)答則表示主機(jī)開機(jī)。如果要探測(cè)目標(biāo)網(wǎng)絡(luò)內(nèi)主機(jī)的情況，可以構(gòu)造ICMP廣播報(bào)文，如果有機(jī)器響應(yīng)，則可判斷其開機(jī)。ICMP掃描方法也可用來探測(cè)局域網(wǎng)的地址分配結(jié)構(gòu)（如果有一個(gè)以上的主機(jī)響應(yīng)廣播報(bào)文，則表示此廣播地址就是目標(biāo)網(wǎng)絡(luò)的廣播地址）。如果已設(shè)置了目標(biāo)網(wǎng)絡(luò)的網(wǎng)關(guān)默認(rèn)將外來的IP廣播地址轉(zhuǎn)換成第二層的物理廣播地址，則可以結(jié)合IP欺騙技術(shù)，通過發(fā)送Ping的廣播報(bào)文對(duì)目標(biāo)實(shí)現(xiàn)DDos分布式拒絕服務(wù)攻擊。3）操作系統(tǒng)指紋識(shí)別不同的網(wǎng)絡(luò)操作系統(tǒng)在處理網(wǎng)絡(luò)信息時(shí)是不完全相同的，有著各自不同的特點(diǎn)，這些特點(diǎn)被稱為系統(tǒng)的“指紋”。

12、通過識(shí)別這些指紋可以實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的識(shí)別。4、常見的掃描工具常見的免費(fèi)掃描工具有Nmap、Superscan、Nessus、流光、Microsoft的系統(tǒng)漏洞檢測(cè)工具M(jìn)BSA、X-Scan的那個(gè)，商業(yè)安全掃描產(chǎn)品有Symantec的NetRecon、NAI的CyberCops Scanner、Cisco的Secure Scanner、ISS的系列掃描產(chǎn)品等。Nmap是一款開放源代碼的網(wǎng)絡(luò)探測(cè)和安全審核的工具，基本上包括了所有知名的掃描方式，并且提供了許多非常實(shí)用的輔助功能以對(duì)目標(biāo)主機(jī)作進(jìn)一步的偵測(cè)，如操作系統(tǒng)指紋識(shí)別、進(jìn)程用戶分析以及眾多可選的方式來逃避目標(biāo)系統(tǒng)的監(jiān)測(cè)等。Nmap可任意指定主機(jī)、

13、網(wǎng)段甚至整個(gè)網(wǎng)絡(luò)作為掃描目標(biāo)，掃描方式也可通過添加合適的選項(xiàng)按需組合。Nmap運(yùn)行通常會(huì)得到被掃描主機(jī)端口的列表、周知端口的服務(wù)名（如果可能）、端口號(hào)、狀態(tài)和協(xié)議等信息。每個(gè)端口由Open、Filtered和Unfiltered三種狀態(tài)，其中Open狀態(tài)表明目標(biāo)主機(jī)能夠在此端口使用accept（）系統(tǒng)調(diào)用接受路徑；Filtered狀態(tài)表明防火墻、包過濾和其他網(wǎng)絡(luò)安全軟件掩蓋了此端口，禁止Nmap探測(cè)是否打開；Unfiltered狀態(tài)表明此端口關(guān)閉，且無防火墻/包過濾軟件來隔離Nmap的探測(cè)企圖。5、反掃描技術(shù)（1）禁止不必要的服務(wù)系統(tǒng)上開放的某一個(gè)端口，運(yùn)行的每一個(gè)服務(wù)都可能為入侵者提供信息，

14、成為入侵者攻擊的目標(biāo)。因此，對(duì)抗網(wǎng)絡(luò)掃描的基本措施是將系統(tǒng)不必要的服務(wù)全部禁止。（2）屏蔽敏感信息系統(tǒng)中一些看起來無用的信息往往對(duì)入侵者來說比較重要，例如FTP服務(wù)的Banner等，入侵者通過這些信息，能夠判斷出操作系統(tǒng)的類型、服務(wù)軟件的版本等。（3）合理配置防火墻和入侵檢測(cè)系統(tǒng)IDS。一臺(tái)配置合理的防火墻能夠過濾掉大多數(shù)的掃描；同樣，配置合理的入侵檢測(cè)系統(tǒng)IDS，也能發(fā)現(xiàn)和記錄大部分的掃描行為。（4）陷阱/蜜罐技術(shù)。將攻擊者引導(dǎo)到一個(gè)蜜罐上，能夠幫助用戶收集最新的掃描，并判斷有什么樣的掃描能穿過防火墻。本實(shí)驗(yàn)通過實(shí)際操作，了解掃描技術(shù)的工作原理，加深對(duì)網(wǎng)絡(luò)底層的理解，掌握常用掃描工具的基本用

15、法。三、實(shí)驗(yàn)過程和指導(dǎo)（一）實(shí)驗(yàn)要求1、閱讀Nmap文檔，了解命令行參數(shù)。2、選擇局域網(wǎng)中的主機(jī)作為掃描對(duì)象（不可非法掃描Internet中的主機(jī)），使用Nmap提供的默認(rèn)配置文件，以及自行設(shè)定相關(guān)參數(shù)，對(duì)指定范圍的主機(jī)進(jìn)行全面TCP掃描、PING掃描、TCP connect掃描、UDP掃描、秘密掃描、操作系統(tǒng)指紋識(shí)別等，記錄并分析掃描結(jié)果。（二）實(shí)驗(yàn)準(zhǔn)備1、閱讀教材有關(guān)章節(jié)，理解TCP/IP協(xié)議等掃描技術(shù)的相關(guān)工作原理。2、閱讀相關(guān)資料，熟悉Nmap的相關(guān)操作步驟和命令行參數(shù)的含義。（三）上機(jī)實(shí)驗(yàn)Nmap有命令行和GUI兩種運(yùn)行方式，這里以GUI的Zenmap 5.51為例。運(yùn)行Zenmap

16、程序后，在Target列表框中輸入掃描的目標(biāo)，在Command文本框中設(shè)置所需的掃描參數(shù)，單擊Scan按鈕，系統(tǒng)就開始進(jìn)行掃描，結(jié)束后會(huì)顯示掃描結(jié)果。1、全面TCP掃描這是一種基本的掃描模式，不需要任何命令選項(xiàng)開關(guān)，即可對(duì)目標(biāo)主機(jī)進(jìn)行全面TCP掃描，顯示監(jiān)聽端口的服務(wù)情況。命令行格式為：nmap IP地址，如nmap ，則可對(duì)目標(biāo)主機(jī)進(jìn)行全面TCP掃描，輸出結(jié)果如圖3.1.1所示。這種掃描模式的缺點(diǎn)是允許了日志服務(wù)的主機(jī)可以很容易地監(jiān)測(cè)到這類掃描。要達(dá)到隱蔽功能，必須設(shè)置一些命令選項(xiàng)開關(guān)，從而實(shí)現(xiàn)較高級(jí)的功能。2、PING掃描如果想知道網(wǎng)絡(luò)上有哪些主

17、機(jī)是開放的，可以使用Ping掃描方式探測(cè)主機(jī)，nmap通過對(duì)指定的ip地址發(fā)送icmp的echo request信息包來做到這一點(diǎn)，有回應(yīng)的主機(jī)就是開放的。命令行格式為：nmap sn IP地址，如nmap sn ，則可對(duì)目標(biāo)主機(jī)進(jìn)行探測(cè)，輸出結(jié)果包括開放主機(jī)的IP地址和MAC地址，如圖3.1.2所示。3、TCP connect掃描這是對(duì)TCP的最基本形式的偵測(cè)，也是nmap的默認(rèn)掃描方式。操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用可以用來對(duì)目標(biāo)主機(jī)上感興趣的端口進(jìn)行連接試探，如果該端口處于監(jiān)聽狀態(tài)，則連接成功，否則代表這個(gè)端口無法到達(dá)。該方式的優(yōu)點(diǎn)是

18、不需要任何權(quán)限，系統(tǒng)中任何用戶都有權(quán)利使用此調(diào)用；使用非阻塞I/O允許設(shè)置一個(gè)低的時(shí)間用盡周期，通過同時(shí)打開多個(gè)套接字可以加速掃描。其缺點(diǎn)是很容易被察覺，并且被防火墻將掃描信息包過濾掉；目標(biāo)主機(jī)的log文件會(huì)顯示一連串的連接和連接出錯(cuò)信息，并且能很快使它關(guān)閉。命令行格式為：nmap sT IP地址，如nmap sT ，則可對(duì)目標(biāo)主機(jī)進(jìn)行TCP連接掃描，輸出結(jié)果如圖3.1.3所示。圖3.1.1 全面TCP掃描圖3.1.2 使用Ping掃描方式探測(cè)主機(jī)圖3.1.3 TCP連接掃描4、UDP掃描Nmap默認(rèn)監(jiān)聽的是目標(biāo)主機(jī)的TCP端口，由于現(xiàn)在防火墻設(shè)備的

19、流行，TCP端口的管理狀態(tài)越來越嚴(yán)格，不會(huì)輕易開放，并且通信監(jiān)視嚴(yán)格。UDP掃描可以用來確定主機(jī)上哪些UDP端口處于開放狀態(tài)，其原理是通過發(fā)送零字節(jié)的UDP信息包到目標(biāo)機(jī)器的各個(gè)端口，如果收到一個(gè)ICMP端口無法到達(dá)的回應(yīng)，那么該端口是關(guān)閉的，否則可以認(rèn)為它是開放的。該方式的優(yōu)點(diǎn)是利用UDP端口關(guān)閉時(shí)返回的ICMP信息，不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分，因此隱蔽性好。其缺點(diǎn)是由于UDP是不面向連接的，這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡(luò)時(shí)容易被丟棄從而產(chǎn)生錯(cuò)誤的探測(cè)信息，所以整個(gè)精度會(huì)比較低；同時(shí)，由于不同操作系統(tǒng)在實(shí)現(xiàn)ICMP協(xié)議的時(shí)候?yàn)榱吮苊鈴V播風(fēng)暴都會(huì)有峰值速率的限制，因此掃描速度比較

20、慢。這一掃描方法命令行格式為：nmap sU IP地址，如nmap sU ，則可對(duì)目標(biāo)主機(jī)進(jìn)行UDP掃描，輸出結(jié)果如圖3.1.4所示。圖3.1.4 UDP掃描5、秘密掃描1）TCP SYN掃描這種方式是半開放式的TCP同步掃描，掃描程序不打開完整的TCP連接，發(fā)送一個(gè)SYN信息包并等待對(duì)方的回應(yīng)。掃描原理參見“實(shí)驗(yàn)預(yù)習(xí)提示”中的“TCP SYN掃描”。這種掃描的的最大好處是可以進(jìn)行更加隱蔽的掃描，防止被目標(biāo)主機(jī)監(jiān)測(cè)到，只有極少的站點(diǎn)會(huì)對(duì)它作出記錄，但是需要有root權(quán)限來定制這些SYN包。命令行格式為：nmap sS IP地址，如nmap sS 19

21、，則可對(duì)目標(biāo)主機(jī)進(jìn)行TCP SYN掃描，輸出結(jié)果如圖3.1.5所示。將TCP SYN掃描與前面的TCP connect掃描進(jìn)行對(duì)比，可以看出TCP SYN掃描的速度明顯比TCP connect掃描快，掃描結(jié)果略有不同。圖3.1.5 TCP SYN掃描SYN掃描在有些情況下仍不夠隱蔽，一些防火墻及信息包過濾裝置會(huì)在重要端口守護(hù)，只要安裝了過濾和日志軟件來檢測(cè)同步空閑字符SYN，則-sS的隱蔽作用就失效了，SYN包在此時(shí)便會(huì)被截獲，一些應(yīng)用軟件如Synlogger以及Courtney對(duì)偵測(cè)這種類型的掃描都是行家。所以，需要有更進(jìn)一步的隱蔽掃描方式。2）FIN

22、掃描、Xmas Tree掃描和Null掃描由于關(guān)閉的端口會(huì)對(duì)發(fā)送的探測(cè)信息返回一個(gè)RST，而打開的端口則對(duì)其忽略不理。所以，F(xiàn)IN掃描使用空的FIN信息包作為探針，Xmas Tree使用FIN、URG、PUSH標(biāo)記，Null掃描則不用任何標(biāo)記。需要注意的是此方法與系統(tǒng)的實(shí)現(xiàn)有一定的關(guān)系，由于微軟的堅(jiān)持和獨(dú)特，對(duì)于運(yùn)行Windows 95/98或NT的機(jī)器不管端口是否打開都會(huì)回復(fù)RST，因此FIN、Xmas Tree和Null掃描的結(jié)果都是端口關(guān)閉。命令行格式分別為：nmap sF IP地址，nmap sX IP地址，nmap sN IP地址，如nmap sF ，則可對(duì)目標(biāo)

23、主機(jī)進(jìn)行FIN掃描，輸出結(jié)果如圖3.1.6所示；nmap sX ，則可對(duì)目標(biāo)主機(jī)進(jìn)行Xmas Tree掃描，輸出結(jié)果如圖3.1.7所示；nmap sN ，則可對(duì)目標(biāo)主機(jī)進(jìn)行Null掃描，輸出結(jié)果如圖3.1.8所示。按照上述原理，這其實(shí)也是一個(gè)很好的區(qū)分Windows和Unix/Linux兩種平臺(tái)的方法，如果掃描發(fā)現(xiàn)了打開的端口，那就能知道目標(biāo)主機(jī)運(yùn)行的不是Windows；如果-sF、-sX、-sN的掃描顯示所有端口都是關(guān)閉的，但一個(gè)SYN掃描卻顯示有打開端口，則能大致推斷目標(biāo)主機(jī)是Wi

24、ndows平臺(tái)。當(dāng)然，這只是一個(gè)簡(jiǎn)單應(yīng)用，nmap有更徹底的操作系統(tǒng)辨別方法。6、操作系統(tǒng)指紋識(shí)別該方法經(jīng)由TCP/IP來獲取“指紋”，從而判別目標(biāo)主機(jī)的操作系統(tǒng)類型，其原理是用一連串的信息包探測(cè)出所掃描的主機(jī)位于操作系統(tǒng)有關(guān)堆棧的信息，并區(qū)分其精細(xì)差異，以此判別操作系統(tǒng)。它用搜集到的信息建立一個(gè)“指紋”，用來同已知的操作系統(tǒng)的指紋相比較，這樣判定操作系統(tǒng)就有了依據(jù)。命令行格式為：nmap O IP地址，如nmap O ，則可對(duì)目標(biāo)主機(jī)進(jìn)行操作系統(tǒng)類型探測(cè)，輸出結(jié)果如圖3.1.9所示。圖3.1.6 FIN掃描圖3.1.7 Xmas Tree掃描圖3.

25、1.8 Null掃描圖3.1.9 操作系統(tǒng)指紋識(shí)別注意，nmap的這種方式有時(shí)也會(huì)得到錯(cuò)誤的診斷信息，比如系統(tǒng)有端口開放。但nmap返回不可識(shí)別的操作系統(tǒng)，這也是有可能的，這時(shí)可以用nmap的-d參數(shù)來測(cè)試，詳見nmap參考文檔。7、其他應(yīng)用（1）掃描主機(jī)群除了掃描單個(gè)目標(biāo)主機(jī)，還可以同時(shí)掃描一個(gè)主機(jī)群，如：nmap sT O -10就可以同時(shí)掃描并探測(cè)IP地址在-0之間的每一臺(tái)主機(jī)。當(dāng)然這需要更多的時(shí)間，耗費(fèi)更多的系統(tǒng)資源和網(wǎng)絡(luò)帶寬，輸出結(jié)果頁可能會(huì)很長。此時(shí)可以用下面的命令將結(jié)果重定向輸送到一個(gè)文件中：nmap sT O o

26、N scan_result.txt -10，輸出結(jié)果如圖3.1.10所示。（2）其他常用參數(shù)1）-I：進(jìn)行TCP反向用戶認(rèn)證掃描，可以透露掃描用戶信息。其原理是利用了Ident協(xié)議(RFC1413)，Ident協(xié)議允許看到通過TCP連接的任何進(jìn)程的擁有者的用戶名，即使這個(gè)連接不是由該進(jìn)程發(fā)起的。例如可以連接到一個(gè)http端口，然后通過ident來發(fā)現(xiàn)服務(wù)器是否正在以root權(quán)限運(yùn)行。但這種掃描方式只能在和目標(biāo)端口建立了一個(gè)完整的TCP全連接之后才有效，并且實(shí)際上很多主機(jī)都會(huì)關(guān)閉ident服務(wù)，因此在高版本Nmap中已不再支持這種掃描方式。命令行格式為：nmap I IP地

27、址，如nmap I ，則可對(duì)目標(biāo)主機(jī)進(jìn)行TCP反向用戶認(rèn)證掃描，輸出結(jié)果如圖3.1.11所示。圖3.1.10 掃描主機(jī)群圖3.1.11 TCP反向用戶認(rèn)證掃描2）-iR：進(jìn)行隨機(jī)主機(jī)掃描。命令行格式為：nmap iR 掃描主機(jī)數(shù)，如nmap iR 3，則可對(duì)3個(gè)隨機(jī)目標(biāo)主機(jī)進(jìn)行掃描，輸出結(jié)果如圖3.1.12所示。3）-p：掃描特定的端口范圍，默認(rèn)掃描的是從1到1024端口。命令行格式為：nmap p 端口范圍IP地址，如nmap p 1025-3000 ，則可對(duì)目標(biāo)主機(jī)中1025-3000范圍內(nèi)的端口進(jìn)行掃描，輸出結(jié)果如圖3.1.13所示。圖3.1.12 隨機(jī)主機(jī)掃描圖3.1.1