利用Nmap实现快速的网络发现与管理剖析.docx

利用 Nmap 实现快速的网络发现与管理 快速并准确掌握网络中主机、网络设备及运行的网络服务信息是管理大型网络的基础，传统基于预定义端口的扫描或者基于 SLP 协议的发现机制，很少考虑到实际的网络环境，网络发现的效率和可侦测的主机或服务类型都非常有限。Nmap 软件可以有效地克服这些问题，帮助网络管理员实现高效率的日常工作，如查看整个网络的库存信息、管理服务升级计划，以及监视主机和服务的运行情况。 值得注意的是，在使用 Nmap 软件之前，需要确认该软件符合公司网络安全管理规定，且用于合法的用途；否则，请不要使用。 本文主要从六个方面介绍 Nmap 在网络发现中的应用： Nmap 实现网络发现的基本原理 主机发现 服务与相关端口的侦测 操作系统的侦测 Nmap 脚本引擎 库存信息的输出与图形化工具 Zenmap Nmap 实现网络发现的基本原理 Nmap 使用 TCP/IP 协议栈指纹来准确???判断出目标主机的操作类型。首先，Nmap 通过对目标主机进行端口扫描，找出正在目标主机上监听的端口；然后，Nmap 对目标主机进行一系列的测试，利用响应结果建立相应目标主机的 Nmap 指纹；最后，将此指纹与指纹库中的指纹进行查找匹配，从而得出目标主机类型、操作系统类型、版本以及运行服务等相关信息。 由 Nmap 精心构造并发送到主机的探测包是实现网络发现的关键，Nmap 根据不同的探测包将测试分为以下几种类型。 (1) Sequence generation (SEQ, OPS, WIN, and T1) 该测试由六个 TCP 包的序列组成，包之间的时间间隔是 100 毫秒。每次探测会发送一个 TCP SYN 数据包到远程主机开放的 TCP 端口上。这些测试的结果将会包含四行类型行，第一行是 SEQ，包含探测包的序列分析结果；第二行是 OPS，包含每个探测包的 TCP 选项；第三行是 WIN，包含探测响应的 TCP window size；最后一行是 T1，包含序列中第一个包的测试值。 (2) ICMP echo (IE) 该测试将会连续发送两个 ICMP echo 请求包给目标主机，两次探测的结果将被合并一起，以便后续响应测试处理。 (3) TCP explicit congestion notification (ECN) 该测试主要探测目标 TCP 栈对显式拥塞通知（ECN）的支持。ECN 是一种允许路由器提前告知数据包丢失问题从而提升网络性能的方法。Nmap 通过发送一个 TCP SYN 包并设置其 ECN CWR 和 ECE 拥塞控制标签来达到检测目的的。 (4) TCP (T2 – T7) T2 到 T7 这六个测试都是发送一个 TCP 探测包，其具体描述如下： T2 发送一个空的 TCP 数据包（无 Flag 设置）到一个开放的端口上； T3 发送一个 TCP 数据包（Flag=SYN，FIN，URG，PSH）到一个开放的端口上； T4 发送一个 TCP ACK 数据包到一个开放的端口上； T5 发送一个 TCP SYN 数据包到一个关闭的端口上； T6 发送一个 TCP ACK 数据包到一个关闭的端口上； T7 发送一个 TCP 数据包（Flag=FIN，PSH，URG）到一个关闭的端口上。 (5) UDP (U1) 该测试是发送一个 UDP 数据包到一个关闭的端口上，如果端口确实关闭且没有防火墙阻拦的情况下，Nmap 将会收到一个 ICMP 端口不可到达的消息。 Nmap 通过以上这些探测的组合，获取响应结果并做一系列标准的测试，从而实现网络发现的系列功能。 主机发现 主机发现（Host Discovery）指确定一个 IP 地址范围内存在的主机，它是进行网络管理的第一步。Nmap 为此提供了一系列的选项来满足各种需求，它的功能远远超越了 Ping 命令发送简单 ICMP 请求来探测主机是否在线。用户可以通过列表扫描选项 -sL 或者禁用 Ping 选项 -Pn 跳过 Ping 的步骤，也可以使用多个端口把 TCP SYN/ACK, UDP, SCTP INIT and ICMP 探测组合起来扫描，用以确定某个 IP 地址是否活动以及对应的主机或网络设备的情况。Nmap 命令的格式如下： nmap [Scan Type(s)] [Options] {target specification}? 命令参数分为三个部分，Scan Types 指探测类型，如 -PS 指 TCP SYN Ping，-PA 指 TCP ACK Ping，-PU 指 UDP Ping 等等；Options 指探测选项，如 -n 指不对活动的 IP 地址进行反向域名解析，用以提高扫描速度，-R 指对活动的 IP 进行反向域名解析；ta