一、扫描思路
二、常见用法
1、使用nslookup 解析出域名的IP地址
2、使用 nmap -sL 查询该IP网段中包含的ip地址(不检测存活状态,仅列表)
3、使用nmap -sn 查询网段中关注主机或者整个网段的IP存活状态
nmap -sn
nmap针对局域网和广域网(会根据源目的是否在同一网段进行判断)有两种不同的扫描方式
当目标主机与源主机不在同一网段时:
Nmap会发送四种不同类型的数据包来探测目标主机是否在线。
1) ICMP echo request
2) a TCP SYN packet to port 443
3) a TCP ACK packet to port 80
4) an ICMP timestamp request
举例:以扫描某个公网IP为例
nmap -sn IP
当目标主机与源主机在同一网段时
nmap -sn 192.168.1.103
Nmap 将通过发送arp请求,来检查ip是否在线
4、扫描感兴趣主机的端口
需要注意,nmap在端口扫描前,首先会自动对ip的存活状态扫描,如果发现目标ip不存活,将不再进行端口扫描。在进行ip存活扫描时(同-sn时的扫描,不过是nmap自动的),会发送2次扫描,以判断ip的存活。
下面是对未存活ip的扫描抓包,使用的nmap -sS -p 80 [ip] 来扫描80端口,但实际nmap先进行了ip存活的扫描
nmap -sS -p 80 [ip] #扫描TCP 80端口
这是返回的结果,针对这种未存活的ip,nmap建议 使用 -Pn ,即不进行主机存活判断,直接扫描端口。
下图是使用-Pn 选项来扫描80端口
nmap -Pn -sS -p 80 113.11.*.*
从nmap的扫描结果看,该端口被过滤,即不确定是否存活,但该主机是存活的。
但从抓包来看,该主机没有任何回包,说明该端口被过滤或未开启,同时,也无该ip的其他回包信息,所以,判断nmap的主机存活结论是错误的(个人认为)。从抓包来看,nmap当未受到数据包时,默认都发送2次请求包。当未收到回复包时,说明发送过去的数据包被防火墙等设备过滤掉了,如果没有被过滤,应该回复rest包,nmap显示的端口则是关闭。
nmap端口扫描结果的说明:
Nmap通过探测将端口划分为6个状态: open: 端口是开放的。 closed: 端口是关闭的。 filtered: 端口被防火墙IDS/IPS屏蔽,无法确定其状态。 unfiltered: 端口没有被屏蔽,但是否开放需要进一步确定。 open|filtered: 端口是开放的或被屏蔽。 closed|filtered : 端口是关闭的或被屏蔽。
nmap常见的端口扫描方式有以下几种:
-P 指定端口号,如果不指定端口,默认是扫描1000个常用的tcp或udp端口(根据扫描项) -F 快速模式,当不指定端口时,仅扫描TOP 100的端口 -sS TCP端口扫描,使用SYN 方式扫描,不建立TCP连接 -sT TCP端口扫描,tcp connect 通过3次握手,建立tcp连接 -sU UDP端口扫描 其他端口扫描方式: -sA/sW/sM:指定使用 ACK/Window/Maimon scans的方式来对目标主机进行扫描。 -sN/sF/sX: 指定使用TCP Null, FIN, and Xmas scans秘密扫描方式来协助探测对方的TCP端口状态。 --scanflags <flags>: 定制TCP包的flags。 -sI <zombiehost[:probeport]>: 指定使用idle scan方式来扫描目标主机(前提需要找到合适的zombie host) -sY/sZ: 使用SCTP INIT/COOKIE-ECHO来扫描SCTP协议端口的开放的情况。 -sO: 使用IP protocol 扫描确定目标机支持的协议类型。 -b <FTP relay host>: 使用FTP bounce scan扫描方式
端口扫描原理
TCP SYN scanning
这是Nmap默认的扫描方式,通常被称作半开放扫描(Half-open scanning)。该方式发送SYN到目标端口,如果收到SYN/ACK回复,那么判断端口是开放的;如果收到RST包,说明该端口是关闭的。如果没有收到回复,那么判断该端口被屏蔽(Filtered)。因为该方式仅发送SYN包对目标主机的特定端口,但不建立的完整的TCP连接,所以相对比较隐蔽,而且效率比较高,适用范围广。
TCP SYN探测到端口关闭:
TCP SYN探测到端口开放:
TCP connect scanning
TCP connect方式使用系统网络API connect向目标主机的端口发起连接,如果无法连接,说明该端口关闭。该方式扫描速度比较慢,而且由于建立完整的TCP连接会在目标机上留下记录信息,不够隐蔽。所以,TCP connect是TCP SYN无法使用才考虑选择的方式。
TCP connect探测到端口关闭:
TCP connect探测到端口开放:
TCP ACK scanning
向目标主机的端口发送ACK包,如果收到RST包,说明该端口没有被防火墙屏蔽;没有收到RST包,说明被屏蔽。该方式只能用于确定防火墙是否屏蔽某个端口,可以辅助TCP SYN的方式来判断目标主机防火墙的状况。
TCP ACK探测到端口被屏蔽:
TCP ACK探测到端口未被屏蔽:
TCP FIN/Xmas/NULL scanning
这三种扫描方式被称为秘密扫描(Stealthy Scan),因为相对比较隐蔽。FIN扫描向目标主机的端口发送的TCP FIN包或Xmas tree包/Null包,如果收到对方RST回复包,那么说明该端口是关闭的;没有收到RST包说明端口可能是开放的或被屏蔽的(open|filtered)。
其中Xmas tree包是指flags中FIN URG PUSH被置为1的TCP包;NULL包是指所有flags都为0的TCP包。
TCP FIN探测到主机端口是关闭的:
TCP FIN探测到主机端口是开放或屏蔽的:
UDP scanning
UDP扫描方式用于判断UDP端口的情况。向目标主机的UDP端口发送探测包,如果收到回复“ICMP port unreachable”就说明该端口是关闭的;如果没有收到回复,那说明UDP端口可能是开放的或屏蔽的。因此,通过反向排除法的方式来断定哪些UDP端口是可能出于开放状态。
UDP端口关闭:
UDP端口开放或被屏蔽:
隐藏自身IP的扫描
使用idle scan方式借助僵尸主机(zombie host,也被称为idle host,该主机处于空闲状态并且它的IPID方式为递增。详细实现原理参见:http://nmap.org/book/idlescan.html)来扫描目标在主机,达到隐蔽自己的目的;
或者使用FTP bounce scan,借助FTP允许的代理服务扫描其他的主机,同样达到隐藏自己的身份的目的。
5、版本侦测
版本侦测,用于确定目标主机开放端口上运行的具体的应用程序及版本信息。
Nmap提供的版本侦测具有如下的优点:
高速。并行地进行套接字操作,实现一组高效的探测匹配定义语法。
尽可能地确定应用名字与版本名字。
支持TCP/UDP协议,支持文本格式与二进制格式。
支持多种平台服务的侦测,包括Linux/Windows/Mac OS/FreeBSD等系统。
如果检测到SSL,会调用openSSL继续侦测运行在SSL上的具体协议(如HTTPS/POP3S/IMAPS)。
如果检测到SunRPC服务,那么会调用brute-force RPC grinder进一步确定RPC程序编号、名字、版本号。
支持完整的IPv6功能,包括TCP/UDP,基于TCP的SSL。
通用平台枚举功能(CPE)
广泛的应用程序数据库(nmap-services-probes)。目前Nmap可以识别几千种服务的签名,包含了180多种不同的协议。
5.1 版本侦测原理
简要的介绍版本的侦测原理。
版本侦测主要分为以下几个步骤:
首先检查open与open|filtered状态的端口是否在排除端口列表内。如果在排除列表,将该端口剔除。
如果是TCP端口,尝试建立TCP连接。尝试等待片刻(通常6秒或更多,具体时间可以查询文件nmap-services-probes中Probe TCP NULL q||对应的totalwaitms)。通常在等待时间内,会接收到目标机发送的“WelcomeBanner”信息。nmap将接收到的Banner与nmap-services-probes中NULL probe中的签名进行对比。查找对应应用程序的名字与版本信息。
如果通过“Welcome Banner”无法确定应用程序版本,那么nmap再尝试发送其他的探测包(即从nmap-services-probes中挑选合适的probe),将probe得到回复包与数据库中的签名进行对比。如果反复探测都无法得出具体应用,那么打印出应用返回报文,让用户自行进一步判定。
如果是UDP端口,那么直接使用nmap-services-probes中探测包进行探测匹配。根据结果对比分析出UDP应用服务类型。
如果探测到应用程序是SSL,那么调用openSSL进一步的侦查运行在SSL之上的具体的应用类型。
如果探测到应用程序是SunRPC,那么调用brute-force RPC grinder进一步探测具体服务。
5.2 版本侦测的用法
版本侦测方面的命令行选项比较简单
-sV: 指定让Nmap进行版本侦测 --version-intensity <level>: 指定版本侦测强度(0-9),默认为7。数值越高,探测出的服务越准确,但是运行时间会比较长。 --version-light: 指定使用轻量侦测方式 (intensity 2) --version-all: 尝试使用所有的probes进行侦测 (intensity 9) --version-trace: 显示出详细的版本侦测过程信息。
下面以扫描80端口的版本为例,显示snmp的扫描结果和抓包结果
snmp -sV -p 80 113.11.*.* #指定扫描80端口
从抓包可以看出,在未指定 -Pn 参数时,默认限制性的ip存活性检测,只有当确认主机存活后才进行版本检测。
使用snmp -sV 113.11.*.* 时,默认检查存活状态,根据存活状态再扫描TCP常见的1000端口,根据端口状态再扫描版本(在http版本确认中,首先建立了tcp连接,然后关闭tcp连接,再建立连接3次握手,并发出get请求后进行4次挥手)
6、OS侦测
命令nmap -O 113.11.*.*
nmap首先检测主机存活状态,然后扫描常见的1000端口,最后判断OS系统,下图是运行后的结果。根据结果,里面的端口都能够扫描出是开启或是关闭,说明未架设防火墙等安全防护设备。
7、Nmap 高级用法
防火墙与IDS规避为用于绕开防火墙与IDS(入侵检测系统)的检测与屏蔽,以便能够更加详细地发现目标主机的状况。
Nmap提供了多种规避技巧,通常可以从两个方面考虑规避方式:数据包的变换(Packet Change)与时序变换(Timing Change)。
7.1 分片(Fragmentation)
将可疑的探测包进行分片处理(例如将TCP包拆分成多个IP包发送过去),某些简单的防火墙为了加快处理速度可能不会进行重组检查,以此避开其检查。
-f; --mtu <val>: 指定使用分片、指定数据包的MTU.
nmap -sn -f --mtu 16 113.11.*.* #注意 mtu后的数值必须是8的倍数,如下图提示
下图中,首先是正常命令时的抓包,然后是采用分片后的抓包:
nmap -sn 113.11.*.* nmap -sn -f --mtu 16 113.11.*.*
从抓包中,可以看出data的数据包为16byte,与分片设定的字节是一致的,同时抓包中也有提示分片包"Reassembled in #878"
7.2 IP诱骗(IP decoys)
在进行扫描时,将真实IP地址和其他主机的IP地址(其他主机需要在线,否则目标主机将回复大量数据包到不存在的主机,从而实质构成了拒绝服务攻击)混合使用,以此让目标主机的防火墙或IDS追踪检查大量的不同IP地址的数据包,降低其追查到自身的概率。注意,某些高级的IDS系统通过统计分析仍然可以追踪出扫描者真实IP地址。
-D <decoy1,decoy2[,ME],...>: 用一组IP地址掩盖真实地址,其中ME填入自己的IP地址。 nmap -sn -D 1.1.1.1 113.11.*.* #这里如果不添加[ME]自己的地址也会使用自己的地址,同时也会发送诱骗的地址,即2个地址都将作为源地址
下图是抓包截图,可以看出源地址有两个,一个是诱骗的地址,另一个是自己的真实地址,利用伪装地址可以发动反射形dos攻击
这是源地址为内网地址,当源地址为公网地址时,不填写源地址是否可行,需要验证。
7.3 指定源端口
某些目标主机只允许来自特定端口的数据包通过防火墙。例如FTP服务器配置为:允许源端口为21号的TCP包通过防火墙与FTP服务端通信,但是源端口为其他端口的数据包被屏蔽。所以,在此类情况下,可以指定Nmap将发送的数据包的源端口都设置特定的端口。
-g/--source-port <portnum>: 使用指定源端口 nmap -sn -g 11111 113.11.*.* #指定源端口为11111,向外发送
下图是抓包,从中可以看出tcp的源端口都是51111,这个可以通过指定源端口来符合防火墙的ACL访问列表,从而躲避防火墙的检测。
7.4 扫描延时
某些防火墙针对发送过于频繁的数据包会进行严格的侦查,而且某些系统限制错误报文产生的频率(例如,Solaris 系统通常会限制每秒钟只能产生一个ICMP消息回复给UDP扫描),所以,定制该情况下发包的频率和发包延时可以降低目标主机的审查强度、节省网络带宽。
<待补实例>
7.5 IP伪装(IP Spoofing)
顾名思义,IP伪装即将自己发送的数据包中的IP地址伪装成其他主机的地址,从而目标机认为是其他主机在与之通信。需要注意,如果希望接收到目标主机的回复包,那么伪装的IP需要位于统一局域网内。另外,如果既希望隐蔽自己的IP地址,又希望收到目标主机的回复包,那么可以尝试使用idle scan或匿名代理(如TOR)等网络技术。
-S <IP_Address>: 伪装成其他IP地址 nmap -sn -S 1.1.1.1 113.11.*.* #当源地址伪装成其他ip时,目标机认为是其他主机在与之通信。
提示如果是伪装的源ip地址,必须要使用-Pn 和 -e 选项
当使用了-Pn 和 -e 选项后,依然提示报错,不能够分配地址。
nmap -sn -Pn -e wlan0 -S 1.1.1.1 113.11.*.* nmap -sn -Pn -e eth0 -S 1.1.1.1 113.11.*.*
7.6 其他技术
Nmap还提供多种规避技巧,比如指定使用某个网络接口来发送数据包、指定发送包的最小长度、指定发包的MTU、指定TTL、指定伪装的MAC地址、使用错误检查和(badchecksum)。
更多信息http://nmap.org/book/man-bypass-firewalls-ids.html
-f; --mtu <val>: 指定使用分片、指定数据包的MTU. -D <decoy1,decoy2[,ME],...>: 用一组IP地址掩盖真实地址,其中ME填入自己的IP地址。 -S <IP_Address>: 伪装成其他IP地址 -e <iface>: 使用特定的网络接口 -g/--source-port <portnum>: 使用指定源端口 --data-length <num>: 填充随机数据让数据包长度达到Num。 --ip-options <options>: 使用指定的IP选项来发送数据包。 --ttl <val>: 设置time-to-live时间。 --spoof-mac <mac address/prefix/vendor name>: 伪装MAC地址 --badsum: 使用错误的checksum来发送数据包(正常情况下,该类数据包被抛弃,如果收到回复,说明回复来自防火墙或IDS/IPS)。
8 NSE脚本引擎
<待补充>
NSE脚本引擎(Nmap Scripting Engine)是Nmap最强大最灵活的功能之一,允许用户自己编写脚本来执行自动化的操作或者扩展Nmap的功能。
NSE使用Lua脚本语言,并且默认提供了丰富的脚本库,目前已经包含14个类别的350多个脚本。
NSE的设计初衷主要考虑以下几个方面:
网络发现(Network Discovery)
更加复杂的版本侦测(例如skype软件)
漏洞侦测(Vulnerability Detection)
后门侦测(Backdoor Detection)
漏洞利用(Vulnerability Exploitation)
ref:
http://blog.csdn.net/aspirationflow/article/details/7694274