nmap扫描原理.docx

Nmap是在免费软件基金会的GNU General Public License (GPL)下发布的，可从/nmap站点上免费下载。下载格式可以是tgz格式的源码或RPM格式。目前较稳定的版本是2.12。带有图形终端，本文集中讨论Nmap命令的使用。 Nmap的语法相当简单。Nmap的不同选项和-s标志组成了不同的扫描类型，比如：一个Ping-scan命令就是-sP。在确定了目标主机和网络之后，即可进行扫描。如果以root来运行Nmap，Nmap的功能会大大的增强，因为超级用户可以创建便于Nmap利用的定制数据包。　　在目标机上，Nmap运行灵活。使用Nmap进行单机扫描或是整个网络的扫描很简单，只要将带有/mask的目标地址指定给Nmap即可。地址是victim/24， 则目标是c类网络，地址是victim/16， 则目标是B类网络。　　另外,Nmap允许你使用各类指定的网络地址，比如 192.168.7.*,是指/24, 或 ,4,8-12，对所选子网下的主机进行扫描。　　Ping扫描(Ping Sweeping)　　入侵者使用Nmap扫描整个网络寻找目标。通过使用 -sP命令，进行ping扫描。缺省情况下，Nmap给每个扫描到的主机发送一个ICMP echo和一个TCP ACK, 主机对任何一种的响应都会被Nmap得到。　举例：扫描网络：　　# nmap -sP /24　　Starting nmap V. 2.12 by Fyodor (fyodor@, /nmap/)?　Host (1) appears to be up.　Host (2) appears to be up.　Host (6) appears to be up.　Nmap run completed -- 256 IP addresses (3 hosts up) scanned in 1 second　　如果不发送ICMP echo请求，但要检查系统的可用性，这种扫描可能得不到一些站点的响应。在这种情况下，一个TCPping就可用于扫描目标网络。　　一个TCPping将发送一个ACK到目标网络上的每个主机。网络上的主机如果在线，则会返回一个TCP RST响应。使用带有ping扫描的TCP ping选项，也就是PT选项可以对网络上指定端口进行扫描(本文例子中指的缺省端口是80（http）号端口)，它将可能通过目标边界路由器甚至是防火墙。注意，被探测的主机上的目标端口无须打开，关键取决于是否在网络上。　# nmap -sP -PT80 /24　TCP probe port is 80　　Starting nmap V. 2.12 by Fyodor (fyodor@, /nmap/)?　Host (1) appears to be up.　Host (2) appears to be up.　Host (6) appears to be up.　Nmap run completed -- 256 IP addresses (3 hosts up) scanned in 1 second　　当潜在入侵者发现了在目标网络上运行的主机，下一步是进行端口扫描。　Nmap支持不同类别的端口扫描TCP连接, TCP SYN, Stealth FIN, Xmas Tree,Null和UDP扫描。　　　端口扫描(Port Scanning)　　一个攻击者使用TCP连接扫描很容易被发现，因为Nmap将使用connect()系统调用打开目标机上相关端口的连接，并完成三次TCP握手。黑客登录到主机将显示开放的端口。一个tcp连接扫描使用-sT命令如下。　# nmap -sT 2　Starting nmap V. 2.12 by Fyodor (fyodor@, /nmap/)?　Interesting ports on (2):　Port State Protocol Service　7 open tcp echo　9 open tcp discard　13 open tcp daytime　19 open tcp chargen　21 open tcp ftp　...　Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds　　隐蔽扫描(Stealth Scanning)　　如果一个攻击者不愿在扫描时使其信息被记录在目标系统日志上，TCP SYN扫描可帮你的忙，它很少会在目标机上留下记录，三次握手的过程从来都不会完全实现。通过发送一个SYN包（是TCP协议中的第一个包）开始一次SYN的扫描。任何开放的端口都将有一个SYN|ACK响应。然而，攻击者发送一个RST替代ACK，连接中止。三次握手得不到实