预计阅读本页时间:-
6.7.3 强大的命令行扫描工具Nmap
系统管理员使用Nmap查看一个大的网络系统有哪些主机,以及其上运行了何种服务。它支持多种协议的扫描,如UDP、TCP connect()、TCP SYN(half open)、ftp proxy(bounce attack)、Reverse-ident、ICMP(ping sweep)、FIN、ACK sweep、Xmas Tree、SYN sweep和Null扫描等。Nmap还提供了一些实用的功能,比如通过TCP/IP来甄别操作系统的类型、秘密扫描、动态延迟和重发、平行扫描,通过并行的ping侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择及端口的描述。它的扫描功能异常强大,以至于人们叫它扫描之王。
1.安装Nmap
广告:个人专属 VPN,独立 IP,无限流量,多机房切换,还可以屏蔽广告和恶意软件,每月最低仅 5 美元
安装Nmap要用到一个名为“Windows包捕获库”的驱动程序WinPcap——如果你经常从网上下载流媒体电影,可能已经很熟悉这个驱动程序了——某些流媒体电影的地址是加密的,侦测这些电影的真实地址就要用到WinPcap。WinPcap的作用是帮助调用程序(即这里的Nmap)捕获通过网卡传输的原始数据。WinPcap的最新版本在http://netgroup-serv.polito.it/winpcap 上可以下载到,可支持Windows全系列操作系统,下载得到的是一个执行文件,双击安装,逐步确认使用默认设置就可以了,安装好之后需要重新启动。除了命令行版本之外,www.insecure.org 还提供了一个带GUI的Nmap版本。和其他常见的Windows软件一样,GUI版本需要安装,该版本的功能基本上和命令行版本一样,鉴于许多人更喜欢用命令行版本,本文后面的说明就以命令行版本为主。而在CentOS 6.4 x86_64下安装Nmap就简单多了,直接用如下命令即可:
yum –
y intall nmap
2.常用的扫描类型
解开Nmap命令行版的压缩包之后,进入Windows的命令控制台,再转到安装Nmap的目录(如果经常要用Nmap,最好把它的路径加入到PATH环境变量中)。不带任何命令行参数运行Nmap,Nmap显示出命令语法,Linux下是nmap--help(以下命令行操作均适用于CentOS、FreeBSD和Windows系列)。
下面是Nmap支持的4种最基本的扫描方式:
·TCP connect()端口扫描(-sT参数、-sP用于扫描整个局域网段)。
·TCP同步(SYN)端口扫描(-sS参数)。
·UDP端口扫描(-sU参数)。
·TCP ACK扫描(-sA参数)。
TCP SYN扫描不太好理解,但如果将它与TCP connect()扫描进行比较,就很容易可以看出这种扫描方式的特点。在TCP connect()扫描中,扫描器利用操作系统本身的系统调用打开一个完整的TCP连接,也就是说,扫描器打开了两个主机之间的完整握手过程(SYN、SYN-ACK和ACK)。一次完整执行的握手过程表明远程主机端口是打开的。TCP SYN扫描创建的是半打开的连接,它与TCP connect()扫描的不同之处在于,TCP SYN扫描发送的是复位标记(RST)而不是结束ACK标记(即SYN、SYN-ACK或RST):如果远程主机正在监听且端口是打开的,则远程主机用SYN-ACK应答,Nmap发送一个RST;如果远程主机的端口是关闭的,则它的应答将是RST,此时Nmap转入下一个端口。TCP SYN的扫描速度要超过TCP connect()扫描。如果采用默认计时选项,在LAN环境下扫描一个主机,ping扫描耗时不到10秒,TCP SYN扫描需要大约13秒,而TCP connect()扫描耗时最多,大约需要7分钟。需要说明的是,TCP SYN扫描又叫隐蔽扫描,扫描时可隐藏自身IP,因为它很少在目标机上留下记录,三次握手的过程从来都不会完全实现。
3.命令行参数说明
Nmap支持丰富、灵活的命令行参数。例如,如果要扫描192.168.7网络,可以用192.168.7.x/24或192.168.7.0-255的形式指定IP地址的范围。指定端口范围使用-p参数,如果不指定要扫描的端口,Nmap默认扫描从1到1024再加上nmap-services列出的端口,namp-sS-O 192.168.0.1这样的命令可以对此主机进行操作系统识别。
如果要查看Nmap运行的详细过程,只需要启用verbose模式即可,加上-v参数,或者加上-vv参数可获得更加详细的信息,命令如下所示:
nmap -sS 192.168.7.1-255 -p 20,21,53-110,30000 --v
这表示执行一次TCP SYN扫描,启用verbose模式,要扫描的网络是192.168.7,检测20、21、53到110及30000以上的端口(指定端口清单时中间不要插入空格)。再举一个例子:
nmap -sS 192.168.7.1/24 -p 80
它将扫描192.168.7子网,查找在80端口监听的服务器(通常是Web服务器)。
有些网络设备,例如路由器和网络打印机,可能会禁用或过滤掉某些端口,从而禁止对该设备或跨越该设备的扫描。初步侦测网络情况时,-host_timeout<毫秒数>参数很有用,它表示超时时间,例如nmap-sS host_timeout 10000192.168.0.1命令规定的超时时间是10000毫秒。
网络设备上被过滤掉的端口一般会大大延长侦测时间,设置超时参数有时可以显著降低扫描网络所需要的时间。Nmap会显示出哪些网络设备响应超时,这时你就可以对这些设备个别处理,从而保证大范围网络扫描的整体速度。当然,host_timeout到底可以节省多少扫描时间,最终还是由网络上被过滤掉的端口数量决定的。
4.注意事项
也许你对其他端口扫描器比较熟悉,但Nmap绝对值得一试。建议先用Nmap扫描一个熟悉的系统,感觉一下Nmap的基本运行模式,待熟悉之后,再将扫描范围扩大到其他系统。首先扫描内部网络看看Nmap报告的结果,然后从一个外部IP地址开始扫描,注意防火墙、入侵检测系统(IDS)及其他工具对扫描操作的反应。通常,TCP connect()会引起IDS系统的反应,但IDS不一定会记录被称为“半连接”的TCP SYN扫描。最好将Nmap扫描网络的报告整理存档,以便随后参考。
如果你打算了解和使用Nmap,下面有几个注意事项。
(1)避免误解
不要随意选择扫描目标来测试Nmap。许多单位把端口扫描视为恶意行为,所以测试Nmap最好在内部网络中进行。如有必要,应该告诉同事你正在试验端口扫描,因为扫描可能引发IDS警报及其他网络问题。如果不是在你控制的网络、系统及站点上使用该工具,你应该首先查看许可权。记住,尊重他人的网络和系统的隐私意味着别人以后也许也会这样对你。
(2)关闭不必要的服务
根据Nmap提供的报告(同时考虑网络的安全要求),关闭不必要的服务,或者调整路由器的访问控制规则(ACL),禁用网络开放给外界的某些端口。
(3)建立安全基准
