【个人总结系列-56】Nmap总结.docxVIP

3.1 Nmap学习总结Nmap是一款开放源代码的网络探测和安全审核的工具，支持在Windows、Unix/Linux以及MAC OS平台下运行。它的设计目标是快速地扫描大型网络，当然用它扫描单个主机也没有问题。Nmap以新颖的方式使用原始IP报文来发现网络上有哪些主机、那些主机提供什么服务（应用程序名和版本）、那些服务运行在什么操作系统（包括版本信息）、它们使用什么类型的报文过滤器/防火墙，以及一堆其它功能。Nmap基本语法如下所示，主要包括扫描类型、选项及扫描目标几个部分组成，Nmap支持的扫描类型有十几种，主要包括TCP SYN扫描、TCP connect()扫描、UDP扫描等；扫描目标说明为扫描目标如主机、网络等提供了灵活的表示方法，因此在Nmap命令中，可以使用CIDR、文件等表示扫描目标；选项部分丰富了扫描命令的功能，使得使用人员可以灵活定制扫描的各种特性。nmap [ 扫描类型 ...] [ 选项 ] { 扫描目标说明 }3.1.1 扫描类型Nmap支持的扫描类型大概有十几种，一般一次只使用一种，端口扫描类型的选项格式是-sC，C通常是扫描类型的首字符。默认情况下，Nmap 执行一个 SYN 扫描。-sS（TCP SYN扫描/半开扫描））SYN扫描作为默认的也是最受欢迎的扫描选项，是有充分理由的。它执行得很快，在一个没有入侵防火墙的快速网络上，每秒钟可以扫描数千个端口。SYN扫描相对来说不张扬，不易被注意到，因为它从来不完成 TCP 连接。它不依赖于任何的特定平台，可以应对任何兼容的TCP协议栈。它之所以被称为“半开扫描”是因为它从来不打开一个完整的 TCP连接。它的方式就是先发送一个SYN报文（就像真是要建立一个TCP连接一样），然后等待响应。-sT（TCP connect()扫描）当 SYN 扫描不能用时，TCP connect()扫描就是默认的TCP 扫描。当用户没有权限发送原始报文或者扫描 IPv6 网络时，就是这种情况。Nmap通过创建connect()系统调用要求操作系统和目标机以及端口建立连接，而不像其它扫描类型直接发送原始报文。这就和一般的网络应用程序（如Web浏览器、P2P客户端）建立的连接一样属于高层系统调用。它是Berkeley Sockets API编程接口的一部分，Nmap 就是使用此 API 获得每个连接尝试的状态信息，而不是读 取响应的原始报文。-sU（UDP扫描）虽然互联网上很多流行的服务都是基于TCP连接的，但是基于UDP的服务也不少（如 DNS、SNMP、DHCP，注册端口对应为 53、161/162、67/68）。不过由于UDP扫描一般来说比较慢，比TCP要困难，所以一般的安全审核人员都容易忽略这些端口。其实这是一个错误的想法，因为可探测的UDP服务相当普遍，攻击者不会忽略整个协议，所幸的是Nmap可以帮助记录并报告UDP端口。UDP 扫描通过-sU 激活，它可以与各种 TCP 扫描结合使用而同时检查两种协议。UDP扫描发送空的（没有数据）UDP报头到每个目标端口。如果返回ICMP端口不可到达错误（类型 3，代码 3），则该端口是closed（关闭的）。其它ICMP 不可到达错误（类型 3，代码 1，2，9，10，或者 13）表明该端口是 filtered（被过滤的）。偶尔地，某服务会响应一个 UDP 报文，证明该端口是 open（开放的）。如果几次重试后还没有响应，该端口就被认为是open|filtered（开放|被过滤的）。这意味着该端口可能是开放的，也可能包过滤器正在封锁通信。-sN、-sF、-sX（TCP Null、FIN、Xmas 扫描））这三种扫描方法其实是利用了TCP RFC中发掘出的一个微妙的方法来区分Open（开放的）和Closed（关闭的）端口，如果扫描系统遵循该 RFC 则当端口关闭时，任何不包含 SYN、RST、ACK 位 的报文都会导致一个 RST 返回，而当端口开放时，应该没有任何响应。Null 扫描（-sN）不设置任何标志位（TCP 标志头是 0）；FIN 扫描（-sF）只设置 TCP FIN 标志位；Xmas 扫描（-sX）设置FIN、PSH、URG标志位。-sA（TCP ACK 扫描））ACK 扫描探测报文只设置 ACK 标志位，当扫描未被过滤的系统时，Open 和 Closed 端口都会返回 RST报文，Nmap，把它们标记为 Unfiltered（未被过滤的））， 意思是 ACK 报文不能到达，但是他们是 Open 还是 Closed 无法确定。不响应的端 口或者发送特定的 ICMP 错误消息（类型 3，代号 1、2、3、9、10 或者 13）的端口，标记为 Filtered。3.1.2 扫描目标说明有时候希望扫描整个网络的相邻主机，为此