nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如UDP,TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和Null扫描。
nmap还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的 PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。
对非ROOT的用户来说,nmap的正式版可以做很多重要的东西了。不幸的是部份关键的核心功能(比如raw sockets)需要root权限。所以尽量以root的身份运行nmap。
运 行nmap后通常会得到一个关于你扫描的机器的一个实用的端口列表。nmap总是显示该服务的服务名称,端口号,状态以及协议。状态有 ''open'',''filtered''和''unfiltered''三种。''open''指的是目标机器将会在该端口接受你的连接请求。 ''filtered''指的是有防火墙、过滤装置或者其它的网络障碍物在这个端口阻挡了nmap 进一步查明端口是否开放的动作。至于''unfiltered''则只有在大多数的扫描端口都处在''filtered''状态下才会出现的。
根据选项的使用,nmap还可以报告远程主机下面的特性:使用的操作系统、TCP连续性、在各端口上绑定的应用程序用户的用户名、DNS名、主机是否是个smurf地址以及一些其它功能。
选项----*
这些选项通常都是可组合使用的。使用参数可以精确地定义一个扫描模式。nmap将会尽力捕捉并对不规范的参数组合作出提示。如果你急于开始,你可以跳过本文未尾的示例节——那儿有最基本的使用方法的示范。你也可以使用nmap -h来打开关于nmap选项参数的简介。
扫描类型--------*
-sT TCP connect()扫描:这是对TCP的最基本形式的侦测。在该操作下,该connect()对目标主机上你感兴趣的端口进行试探,如果该端口被监听,则 连接成功——否则代表这个端口无法到达。这个技术的很大好处就是你无须任何特殊权限,在大多数的UNIX系统下这个命令可以被任何人自由地使用。
但是这种形式的探测很容易被目标主机察觉并记录下来。因为服务器接受了一个连接但它却马上断开,于是其记录会显示出一连串的连接及错误信息。
-sS TCP SYN 扫描:这类技术通常涉及一种“半开”式的扫描——因为你不打开完整的TCP连接,你发送一个SYN信息包就象你要打开一个真正的连接而且你在等待对方的回 应。一个SYN│ACK(应答)会表明该端口是开放监听的。一个RST(空闲?)则代表该端口未被监听。如果SYN│ACK的回应返回,则会马上发送一个 RST包来中断这个连接(事实上是我们的系统核心在干这事)。这种扫描的最大好处是只有极少的站点会对它作出记录,但是——你需要有root权限来定制这 些SYN包。
-sF -sX -sN
Stealth FIN,Xmas Tree 或者Null扫描模式:有时甚至SYN扫描都不够隐蔽——一些防火墙及信息包过滤装置会在重要端口守护,SYN包在此时会被截获,一些应用软件如 Synlogger以及Courtney对侦测这类型的扫描都是行家。所以呢,在另一方面要有更进一步的扫描能在不遇到麻烦的情况下通过它们……
这 个主意是关闭的端口会对你发送的探测信息包返回一个RST,而打开的端口则对其忽略不理(你可以参阅RFC 973 PP64)。所以FIN扫描使用空的FIN信息包作为探针、Xmas tree使用FIN,URG,PUSH标记、Null扫描则不用任何标记。但是不幸的是微软以他们一贯的风格不理睬这一标准……所以这一扫描在 WINDOWS9X以及NT下不能工作。
从积极方面来讲,这其实也是一个很好的区分两种平台的办法——如果这次扫描发现了打开的端口,那你就能明 白这台机器不是运行WINDOWS。如果-sF,-sX,-sN的扫描显示所有端口都是关闭的但一个SYN(-sS)扫描却显示有打开端口,那你就能大致 推断它是WINDOWS平台。这只是一个简单应用,因为现在nmap已经有了更彻底的操作系统判别方法——当然它的原理类似上面所提到的.
这些平台包括Cisco, BSDI, HP/UX, MVS, 和IRIX。
-sP Ping扫描:有时你仅希望了解网络上有哪些主机是开放的,nmap可以通过对你指定的IP地址发送ICMP的echo request信息包来做到这一点,有回应的主机就是开放的啦。但令人讨厌的是一些站点比如microsoft.com对echo request包设置了障碍。这样的话nmap还能发送一个TCP ack包到80端口(默认),如果获得了RST返回,机器是开放的。
第三个方法是发送一个SYN信息包并等待RST 或SYN/ACK响应了。作为非root的用户可以使用的,常用connect()模式。对root来说,默认的nmap同时使用ICMP和ACK的方法 扫描,当然你也可以改变-P选项。注意你最好先ping一下用户,只有有回应的主机才有必要扫描,只有你不想探测任何的实际端口扫描只想大面积地搜索一下 活动的主机,你可以使用此选项。
-sU UDP扫描:这一方法是用来确定哪个UDP(User Datagram Protocol,RFC 768)端口在主机端开放。这一技术是以发送零字节的UDP信息包到目标机器的各个端口,如果我们收到一个ICMP端口无法到达的回应,那么该端口是关闭 的,否则我们可以认为它是敞开大门的。
有些人或许会认为UDP扫描是无意义的,我通常会以最近的Solaris rcpbind漏洞来提醒他们。Rpcbind会隐藏在一个非正式的UDP端口于32770口以上,因此对111进行防火墙过滤是无关紧要的.但你是否查 找过在30000以上的端口是否处在监听状态中……,用UDP扫描你就能轻松地做到这一点!或者大家还可以想想cDc出品的Back Orifice木马(BO),它可以在Windows的机器中配置一个UDP端口,更不用说如此众多可以利用UDP的、易受攻击的服务如snmp, tftp,NFS等了。
但有一点不得不提及的是UDP扫描在目标主机按照RFC 1812(4.3.2.8节)建议的那样限制ICMP错误信息的传送速率时会令人痛苦的缓慢。举例来说吧,Linux 的核心配置(在net/ipv4/icmp.h)限制了每4秒产生80次的无法到达信息——每次产生1/4秒的延迟。Solaris有着更严格的限制(大 约每秒两次就会延迟),所以这要耗费相当长的时间。
nmap会侦测到这种限制并自动减缓速度——这也胜过用无意义的会被目标主机忽略的大量信息包来填充这 个网络。如以往一样,微软还是不在乎RFC所建议的事而且没有任何限制性措施实行于WINDOWS或NT上,这样我们可以把多达65K的端口以极高的速度 扫描完毕,欢呼吧!
-sR RPC扫描:这一方法是结合nmap多种扫描的一种模式,它取得所有的TCP/UDP开放端口并且用SunRPC程序NULL命令来试图确定是否是RPC 端口并且——如果是的话,其上运行什么程序,何种版本。这样你可以在目标主机躲在防火墙后或者由TCP wrappers防护着,它都能取得效果近似于''rpcinfo -p''的信息。但Decoys现在还不能正常工作在RPC扫描下,在以后我会在UDP RPC扫描中加入Decoy支持的。
-b(ftp relay host)
FTP 跳跃攻击:FTP协议的一个有趣的特点是它支持代理FTP连接(RFC 959),用另一句话说,我可以从evil.com连接到一个FTP服务器target.com并且要求目标主机发送文件到因特网的*任何地方*!在 1985年这一RFC被写下来后这一特性便渐渐施行,但在现在的网络上我们不允许人们能够随意地“抢劫”一个FTP SERVER并请求数据到任何地方。所以在Hobbit于1995年写下的有关这一协议缺陷时说到“它可以用来从许多站台上发出事实上难以追查的信件、新 闻以及攻击性行为——填充你的硬盘,试图使防火墙失效或者更多是烦人而无意义的骚扰。
我开发出它来是为了通过一个代理FTP服务器察看TCP端口,这样你 可以连上一个在防火墙后的FTP服务器然后扫描它看来仿佛堵塞的端口(139是很好的例子)。如果FTP服务器允许你读甚至写进某些目录(比如 /incoming),你可以发送任意信息到你发现打开了的端口(当然nmap不干这事)。对于你要通过''b''选项来使主机成为你的代理时,标准的 URL格式形式是:username:password@server:port。要确定一个服务器是否易受这样的攻击,你可以看看我在Phrack 51期上的文章。它的更新版本在http://www.insecure.org/nmap。
常规选项
--------*
这些选项并非必需的,但有些会非常实用。
-P0 在扫描前不尝试或者PING主机,这是用来扫描那些不允许ICMP echo 请求(或应答)的主机。microsoft.com就是这其中的一个例子,我们就必须使用-P0或者-PT80来察看microsoft.com的端口。
-PT 用TCP的ping来确定主机是否打开。作为替代发送ICMP echo请求包并等待回应的方式,我们可以大量发送TCP ACK包往目标网络(或者单机)并一点点地等待它的回应,打开的主机会返回一个RST。这一参数可以让你在ping信息包阻塞时仍能高效率地扫描一个网络 /主机。对非root的用户,我们用connect(),以如下格式设置目标探针-PT,默认的端口是80,因为这相端口往往未被过滤。
-PS 这一选项是root用户使用的,能用SYN(连接请求)包替代ACK包,打开的主机会有一个RST(或者SYN│ACK——但比较少见)应答。
-PI 这一选项是使用一个真正的ping(ICMP echo request)包。它找到开放的主机并且将该子网中的广播地址全数搜寻——该广播地址是能够到达并能正确解析IP包的。如果其会被大量的DoS (denial of service)攻击时,我们就能找到它。
-PB 默认的ping形式,它用于ACK(-PT)与ICMP(-PI)并行攻击,以这一形式可以通过防火墙或包过滤。
-O 经由TCP/IP获取‘指纹’来判别主机的OS类型,用另一说法,就是用一连串的信息包探测出你所扫描的主机位于操作系统有关堆栈信息并区分其精细差别, 以此判别操作系统。它用搜集到的信息建立一个“指纹”用来同已知的操作系统的指印相比较(the nmap-os-fingerprints file)
——这样判定操作系统就有了依据。
如 果你发现一台机器开了至少一个端口并得到错误的诊断信息,那么你可以写信告诉我相关细节比如操作系统版本或侦测到的操作系统版本图,如果他有端口开放但 nmap返回''不可识别的操作系统'',这可能也是有用的,你可以将它的IP告诉我或者另一个办法是用nmap的-d参数并告诉我它返回的“指印”—— 操作系统和版本号,这样做,也算是对nmap在判定操作系统的进一步开发中做了些事情,以便后续版本中它能更精确地判别系统类型。
-I 这是用ident扫描方式的参数,如Dave Goldsmith于1996年在Bugtraq中所说的,这个ident协议(rfc 1413)允许通过TCP连接得到拥有进程的用户名——即使这个连接不是由该进程发起的。所以呢,举个例吧,你可以通过ident连接到一个http端口 并找出该进程是否由root运行,但这只能在“全开”的对目标端口的TCP连接中使用(象-sT扫描参数)。当你用-I参数时,远程主机的identd在 开放的端口接受连接质询——很明显的,如果主机不运行identd的话,那它就无法正常工作。
-f 这个参数配置以细小的IP碎片包实现SYN,FIN,XMAS或NULL扫描请求。这个想法是把TCP包头分别放在几个不同的信息包中,使包过滤器难于运 作,而后你就可以闯入系统做你想做的事了。但要注意,部份程序可能会对这些小信息包处理错误。比方说我最喜欢的sniffer segmentation在接收第一个36字节的信息碎片时就出现麻烦,之后又来了个24字节的!当包过滤器和能将IP碎片排列的防火墙没有获得此顺序时 (就象linux内核中的CON-FIG_IP_ALWAYS_DEFRAG选项),一些网络系统就不能反映出找到目标,并且放弃。
记住这个参数不一定能很好地工作在任何系统上,它在我的Linux,FreeBSD以及OpenBSD下是正常的,当然也有一些人说它能在部份不同的*NIX环境下工作。
-v 详细模式。这是被强烈推荐的选项,因为它能带来你想要的更多信息。你可以重复使用它以获得更大效果。如果你需要大量翻动屏幕请使用 -d 命令两次
-h 这是一个快捷的帮助选项,可以在屏幕上显示nmap的参数使用方法——象你注意到的那样,这个man page实在不是一个“快速入门参考”:)
-o
这是用来指定一个放置扫描结果的文件的参数——这个结果是易于阅读的。
-m
这也是存放扫描结果的参数,但它是存放机器可解析(machine parseable)结果的,你可以用-m 带''-''(引号不用)将其输出到标准输出里(用shell的管道符……)。在这种形式下,正常的输出被禁止了,你需要察看一些错误信息来了解情况。
-i
从指定文件而不是从命令行读取数据。该文件可以存放一个主机或网络的列表,中间用空格、TAB键或者换行来分隔。如果希望从标准输入设备(文件)读取——比如在管道符的末端,你要将连字号(-)用于文件名。你可以从目标规格里找到更多关于写这一文件的资料。
-p
这一参数可以指定你希望扫描的端口,举例来说吧''-p 23''则只会对主机的23端口进行探测,默认扫描的是从1到1024端口,或者也可以用nmap里带的services file里的端口列表。
-F 快速扫描模式。指定只希望扫描nmap里提供的services file中列出的端口列表里的端口。这明显会比扫描所有65535个端口来得快。
-D
这 是一种带有诱骗模式的扫描,在远程主机的连接记录里会记下所有你所指定的诱骗性的地址。这样的话他们的数据存储器会显示有一些端口扫描从某个IP发起,然 而他们无法辩别哪个是真正的IP而哪个是用来作为掩护的,这可以击败一些通过路由进行跟踪的行为,所以它是一项隐藏你的IP的很实用的技术。
用逗号分隔各 个欺骗地址,你可以随意地将''me''放进任意一个你希望显示真实IP的地方,如果你将''ME''放在第六位甚至最后,有些端口扫描记录器(比如 Solar Designer''s excellent scanlogd)可能根本就不会显示你的IP,如果你不用''ME''的话,nmap将会将它随机放置。记住你用来诱骗的主机必须是开放的或者你可以半 开扫描一下你的目标。因为要从一堆实际上没有用的IP地址里判别出哪个是真正的入侵者是相当容易的。你还可能要用IP地址来代替名字,这样诱骗主机的 nameserver logs里才不会记录下你来。还要记得有些(愚蠢的)"端口扫描探测器"会拒绝到达主机的端口扫描尝试。这样你无意中就会导致你扫描的主机与“诱骗主机” 连接的丢失,这样可能会带来一个很大的问题是——如果这个“诱骗主机”是一个网上的网关或者甚至就是其本地的机子,其连接一样会断开!
所以大家最好小心使 用这个参数——从道德上的原因——这仅仅是一个诱骗,不是么?这种诱骗可以用在最初的ping扫描(用ICMP,SYN,ACK或其它)与实际的端口状态 扫描中,它还可以用于远程OS的判别(-O)。当然如果你写入太多的诱骗地址也是没什么用处的,那只能减缓扫描速度以及降低一些精确度。而且一些指令处理 系统还可能会过滤掉你的欺骗包,虽然多数(几乎是全部了)不会对欺骗包作出任何限制。
-S
在某些环境下nmap可能无法 确定你的源地址——这种情况下nmap会有提示,这时你就要用-S带IP地址来标注。另一种使用的可能性是用来欺骗目标使它认为某人在扫描它。设想一下, 某个公司发现被竞争者持续不断的扫描:),这是一个不被支持的用法,或者说,不是主要目的。我只是用它来提醒人们在发现一个端口扫描者时别光顾责难,可能 他是无辜的呢。-e能够说明这个参数的一般用法。
-e
告诉nmap哪个界面要发送或接收。nmap能够自动探测它,如果无法做到,亦会有提示信息。
-g
在 扫描中设定源端口号。许多“天真”的防火墙或包过滤器除了它们建立的允许DNS(53)或FTP-DATA(20)的包进来建立连接之外,其余一概过滤, 显然这是很轻率的做法,因为入侵者能够轻易地编辑一个来自FTP或DNS的源端口。比如说,你如果无法从一个主机的host: port通过TCP ISN取得信息,那么通过用-g 命令,nmap会改变源端口再次尝试。需要了解的是,使用这个选项可能会有小小的延迟,因为我有时需要在源端口号中存储有用信息.
-M
设定用来并行进行TCP connect()扫描的最大的sockets数目(默认)。这对将扫描适度减缓是相当有效的,它可以避免把远程主机crashing。另一个途径是用-sS。
定时选项
--------*
虽然nmap在一般情况下都能够很好地在运行时间里尽可能迅速地完成扫描任务,但偶尔还是会有一些主机/端口无法侦测,这可能是nmap默认的时间策略和你的目标不太一致(相当于timeout的设定),下面就是一些选项能对扫描的时间进行控制:
-T
这 是一个可以用来便利地表达nmap时间策略优先权的参数设置。Paranoid模式用极慢的速度来扫描以避免被数字记录系统记录。它使扫描连续而不是并发 而且通常等待至少五分钟才发送一个信息包。Sneaky也是类似的,只是它是每15秒发送一个信息包。Polite模式是用来减轻网络负载以减少当机的可 能性,它是连续发送探针并在两个包的间隙等待0.4秒。Normal是nmap的常规用法,是尽其所能地快速扫描——除非主机或端口连接丢失。 Aggressive模式是对每台主机设定了五分钟的timeout,并且等待每个探针应答不超过1.25秒。Insane模式是适应非常快的网络或者你 不在乎丢失一些信息——因为太快!它的timeout设定于75秒并且只等待回应0.3秒,它允许对一个很快的网络系统进行“扫荡”:),你也可以用数字 (0-5)来代表参数,比如''-t 0''表示Paranoid而''-t 5''代表Insane模式。注意,这些时间设定无法在底层的控制中联合使用。(NOT be used in combination with the lower level controls given below.)
--host_timeout
具体指定nmap对某个IP的扫描时间总量,超过则作不通处理,默认是不做设定。
--max_rtt_timeout
指定nmap对一个探针从远程端返回回应的最大时间,默认是9000。
--initial_rtt_timeout
指定最初探针的timeout时间,这通常在用-P0扫描有防火墙保护的主机时很有效,nmap会通过ping得到一个好的RTT评估以及最初少数的探针。默认值为6000。
--max_parallelism
指定nmap允许的最大并行扫描数目,设定为1表明nmap每次只扫描个端口,它同样会对其它扫描如ping sweep, RPC scan等产生影响。
--scan_delay
指定nmap必须等待的两个探针间的最小的时间。这是减少网络负载及使扫描在综合数据存储的记录下不那么显眼的办法。
目标说明
--------*
所 有不带参数的选项都会被视为是nmap的目标主机描述。最简单的实例是仅仅在命令行列出单一的主机名或IP地址。如果你希望扫描一个IP地址的子网,你可 以在主机名和IP地址中加入''/mask''。mask必需是在0(扫描整个网络)和32(特定的单一主机)。用/24则表明扫找一个C类地址,而 /16则是扫描B类
……
nmap还有一些更有用的符号说明方式可以让你用list/ranges来为每个元素指定IP地 址。比如你要扫描B类网址 128.210.*.*,则可以用''128.210.*.*''或''128.210.0-255.0-255''或者甚至是''128.210.1- 50,51-255.1,2,3,4,5-255''来表示。当然你也可以用上面提过的mask来表示:''128.210.0.0/16''。所有这些 都是等价的,当你用''*''的时候记住多数的shell都要求用定界符比如引号将其标注。
另一个有趣的是你可以用其它方法将整个网络“分割”,比如你可以用''*.*.5.6-7''来扫描所有以.5.6或 .5.7结束的IP地址。要得到更多信息,你可以看看示例节。
扫描范例
--------*
这 里是一些运用nmap的扫描范例,从最简单普通的到有一些复杂的例子都有。注意这里有真实的数字以及一些真实的域名——这样可以让扫描行为看起来更具体。 在这里你可以用自己的网络里的名称代替其中的addresses/names。虽然端口扫描的结果分析可能会使某些人容易攻击,但我不认为它是不合法的, 我曾经扫描过成百上千的机器但只收到一次抱怨。但我不是律师而一些(anal)人们对nmap探测觉得烦恼,所以最好在取得允许后扫描或者 ——冒险,后果由你自己承担。
nmap -v target.example.com
这样对target.example.com上所有的保留TCP端口做了一次扫描,-v表示用详细模式。
nmap -sS -O target.example.com/24
这将开始一次SYN的半开扫描,针对的目标是target.example.com所在的C类子网,它还试图确定在其上运行的是什么系统。这需要root权限,因为用到了半开扫描以及系统侦测。
nmap -sX -p 22,53,110,143,4564 128.210.*.1-127
发 送一个Xmas tree扫描到B类128.210所在子网的一半范围内,我们将检测系统是否运行sshd, DNS, pop3d, imapd, 或者端口4564。要注意由于微软TCP堆栈的不完善,Xmas扫描将不能在其平台上运行成功,同样的问题可能存在于CISCO, IRIX, HP/UX, 和BSDI。
nmap -v -p 80 ''*.*.2.3-5''
这是定位一个网域(将 整个网络分隔成许多小部份)再进行扫描的方式,这里扫描的是所有以.2.3,.2.4, 或.2.5结束的IP地址。如果你是ROOT的话也可以用-sS。同样的你可以从127开始搜寻更多有趣的机器,你可以用''127-222''替代前面 的星号——恕我直言,那个区域有着大量有趣的机器。
host -l company.com │ cut ''-d '' -f 4 │ ./nmap -v -i -
做 一个DNS zone transfer来寻找在company.com进而的主机并且将IP地址送至nmap(feed the IP addresses to nmap)。这个命令是在我的GNU/Linux平台下运行的,你可能需要用不同的选项参数或者不同的操作系统。
