一,功能介绍

    Nmap是网络连接端口扫描软件,用来扫描网上电脑开放的哪些连接端口,并且确定哪些服务运行在哪些端口连接,推断是哪个操作系统,他是网络管理员必备的软件之一,以及用于评估网络系统安全。

 

二,部署指南

    * kali集成坏境

    * 单独安装

 

三,实战

Nmap<扫描选项><扫描目标>

(一)主机发现

 1)主机发现原理

    主机发现的原理和ping命令差不多,发送探测包到目标主机,如果收到回复,那表明主机是存在的。Nmap支持十多种不同的主机探测方式,如ICMP BCHO/TIMESYAMP/NETMASK报文,发送TCPSYN/AVCK包,发送SCTP INIT/COOKIE-ECHO包,用户可以在不同的条件下灵活选用不同的方式进行探测目标主机。

   2)主机发现的基本用法

  • -sL:List Scan   列表扫描,仅将扫描的主机列举出来,不进行主机发现。 
  • -sn:Ping Scan  只进行主机发现,不进行端口扫描。
  • -Pn:将指定的主机视为开启,跳过主机发现的过程。
  • -PS/PA/PU/PY:使用TCP SYN/ACK或SCTP INIT/ECHO方式进行主机发现。
  • -PE/PP/PM:使用ICMP echo,tmestamp,and netmask 请求发现主机。
  • -PO:使用IP协议包探测对方主机是否开启。
  • -n /-R:-n表示不进行DNS解析,-R表示总进行DNS解析。
  • --dns-server:指定dns服务器。
  • --system-dns:指定使用系统的DNS。
  • --traceroute:追踪每个路由节点。 

 (二)端口扫描

   1)端口扫描原理:

    端口扫描是Nmap最核心的功能,用于确定TCP/UDP端口的开放情况,默认情况下,Nmap会扫描1000个最有可能开放的TCP端口,Nmap将端口分为六个状态。

     open:端口是开放的。

     closed:端口是关闭的。

     filtered:端口被防火墙IDS/IPS屏蔽,无法确定其状态。

     unfiltered:端口没有被屏蔽,但是否开放需进一步确定。

     open/filtered:端口是开放的或被屏蔽。

     closed/unfiltered:端口是关闭的或没有被屏蔽。

    端口扫描非常强大,提供了很多的探测方式:

  • TCP  SYN scanning
  • TCP  connect scanning
  • TPC  ACK scanning
  • TCP  FIN/Xmas/NULl scanning
  • UDP scanning
  • 其他方式

   2)端口扫描用法

  •  -sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫描。 
  • -sU:指定使用UDP方式确定目标主机的UDP状况。
  • -sN/sF/sX: 指定使用TCP Null, FIN, and Xmas scans秘密扫描方式来协助探测对方的TCP端口状态。 
  • --scanflags <flags>: 定制TCP包的flags。
  •  -sI <zombiehost[:probeport]>: 指定使用idle scan方式来扫描目标主机(前提需要找到合适的zombie host)。
  • -sY/sZ: 使用SCTP INIT/COOKIE-ECHO来扫描SCTP协议端口的开放的情况。
  • -sO: 使用IP protocol 扫描确定目标机支持的协议类型。
  • -b <FTP relay host>: 使用FTP bounce scan扫描方式 。

  

  (三)版本侦测

   1)版本侦测原理

    

    简要的介绍版本的侦测原理。版本侦测主要分为以下几个步骤:

  •  首先检查open与open|filtered状态的端口是否在排除端口列表内。如果在排除列表,将该端口剔除。
  •  如果是TCP端口,尝试建立TCP连接。尝试等待片刻(通常6秒或更多,具体时间可以查询文件nmap-services-probes中Probe TCP NULL q||对应的  totalwaitms)。通常在等待时间内,会接收到目标机发送的“WelcomeBanner”信息。nmap将接收到的Banner与nmap-services-probes中NULL probe中的签名进行对比。查找对应应用程序的名字与版本信息。
  •  如果通过“Welcome Banner”无法确定应用程序版本,那么nmap再尝试发送其他的探测包(即从nmap-services-probes中挑选合适的probe),将probe得到回复包与数据库中的签名进行对比。如果反复探测都无法得出具体应用,那么打印出应用返回报文,让用户自行进一步判定。
  •  如果是UDP端口,那么直接使用nmap-services-probes中探测包进行探测匹配。根据结果对比分析出UDP应用服务类型。
  •  如果探测到应用程序是SSL,那么调用openSSL进一步的侦查运行在SSL之上的具体的应用类型。
  •  如果探测到应用程序是SunRPC,那么调用brute-force RPC grinder进一步探测具体服务。

   2)版本侦测用法: 

  •   -sV: 指定让Nmap进行版本侦测 
  •   --version-intensity <level>: 指定版本侦测强度(0-9),默认为7。数值越高,探测出的服务越准确,但是运行时间会比较长。 
  •   --version-light: 指定使用轻量侦测方式 (intensity 2) 
  •   --version-all: 尝试使用所有的probes进行侦测 (intensity 9) 
  •   --version-trace: 显示出详细的版本侦测过程信息。

  

  (四)os侦测

    1)os侦测原理

      

                   Nmap使用TCP/IP协议栈指纹来识别不同的操作系统和设备。在RFC规范中,有些地方对TCP/IP的实现并没有强制规定,

      由此不同的TCP/IP方案中可能都有自己的特定方式。Nmap主要是根据这些细节上的差异来判断操作系统的类型的。

               具体实现方式如下:
                     Nmap内部包含了2600多已知系统的指纹特征(在文件nmap-os-db文件中)。将此指纹数据库作为进行指纹对比的样本库。

                      分别挑选一个open和closed的端口,向其发送经过精心设计的TCP/UDP/ICMP数据包,根据返回的数据包生成一份系统指纹。

      将探测生成的指纹与nmap-os-db中指纹进行对比,查找匹配的系统。如果无法匹配,以概率形式列举出可能的系统。

 

    2)os侦测用法

        

  •   -O: 指定Nmap进行OS侦测。 
  •   --osscan-limit: 限制Nmap只对确定的主机的进行OS探测(至少需确知该主机分别有一个open和closed的端口)。 
  •   --osscan-guess: 大胆猜测对方的主机的系统类型。由此准确性会下降不少,但会尽可能多为用户提供潜在的操作系统。 

 

  

   (五)漏洞扫描

      扫描端口并且标记可以爆破的服务

      

目标
 --script=ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,
             ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,
             oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute

 

      判断常见的漏洞并扫描端口

 

目标
 --script=auth,vuln

  

      精确判断漏洞并扫描端口

 

 

目标
 --script=dns-zone-transfer,ftp-anon,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,
             ftp-vuln-cve2010-
,http-backup-finder,http-cisco-anyconnect,
             http-iis-short-name-brute,http-put,http-php-version,http-shellshock,http-robots.
              txt,http-svn-enum,http-webdav-scan,iis-buffer-overflow,iax2-version,memcached-
,
             mongodb-
,msrpc-enum,ms-sql-
,mysql-
,nrpe-enum,pptp-version,redis-
,
             rpcinfo,samba-vuln-cve-
-
,smb-vuln-ms08-
,smb-vuln-ms17-
,snmp-
,sshv1,
             xmpp-
,tftp-enum,teamspeak2-version

 

四,Nmap的优劣势

 

  优势:

  •   功能灵活强大,支持多种目标,大量计算机的同时扫描;
  •   开源,相关帮助文档十分详细;
  •   流行,由于其具有强大的扫描机探测功能,,已被成千上万安全专家使用。

  劣势:

  •  Nmap参数众多,难以一一记忆;