当前位置: 代码迷 >> 综合 >> 1-1 nmap
  详细解决方案

1-1 nmap

热度:58   发布时间:2024-02-20 01:48:07.0

1-1 nmap

建议使用真实机的nmap进行扫描,如果使用虚拟机中的nmap进行扫描时,网络模式建议使用桥接(如kali虚拟机中自带的nmap),不然会发生一些错误,如在虚拟机NAT模式下跨网段扫描时,发现对方网段主机全部在线,但实际没有。

1. nmap原理

nmap有各种扫描方式,但原理都是通过构造并发送不同的网络探测包来实现的。

nmap工具执行我们的扫描命令的执行顺序:

  1. 先对目标进行主机扫描

  2. 再对目标进行端口扫描

  3. 最后对目标进行其他扫描

如:nmap -p 1-80 -sS -O 192.168.1.200,先执行-sS,再执行-p 1-80,最后执行-O。

因此有时候可以通过-Pn命令跳过主机发现,直接进入端口扫描阶段。

1.1 主机发现技术原理

主机发现是为了发现网段内的活跃主机(活跃主机是指这台主机是运行的),主机发现原理如下表所示。

扫描方式 发送报文 活跃响应 不活跃响应 被过滤响应 备注
ARP扫描 ARP请求报文 ARP响应报文 超时 不会被过滤 精准
ICMP扫描 ICMPtype=8 code=0type=13 code=0type=17 code=0 ICMPtype=0 code=0type=14 code=0type=18 code=0 超时 超时 可能会被防火墙过滤
端口扫描 TCP SYN TCP SYN+ACK 超时 超时或ICMP type=3 code=3或13 可能会被过滤

由表可知:

  1. ARP扫描是最精准的扫描方式,并且不会被过滤,因此会被强制有限使用。

  2. ICMP扫描是最常见的扫描方式,和ping命令原理一致,但现有很多防火墙和IPS设备会禁用ICMP扫描,使得ICMP主机发现失败。

  3. 端口扫描技术是另一种发现主机的方式,准确且不容易被防火墙过滤,这种方式被经常使用,端口扫描原理见以下。

1.2 端口扫描技术原理

端口扫描可以分为TCP端口扫描和UDP端口扫描,由于TCP能够提供更多的协议字段,因此TCP端口扫描更准确,如今的端口扫描技术主要是指TCP端口扫描。

在TCP端口扫描中,探测报文组合不同flags位,不同的flags在端口开放、端口关闭、防火墙过滤时的响应是不一样的,通过区分不同的响应来检测端口的状态,具体如下所示。(tcp flags有syn、ack、rst、fin、psh、urg共6种置位)

扫描方式 置为1的TCP Flag 开放时响应 关闭时响应 过滤时响应 特征
-sT,TCP全连接扫描 报文1:syn报文2:ack syn+ack,完成3次握手 rst+ack 一般不会被过滤 精准、费时、可能会被日志记录
-sS,TCP半连接扫描 syn syn+ack rst+ack ICMP type=3 code=3、13或超时 精准、快速、无日志记录,最常见且默认的扫描方式
-sA,TCP ack扫描 ack rst rst 不准确、只能判断是否加防火墙,即端口状态filtered或unfiltered 判断防火墙
-sW,TCP window扫描 ack rst,window不为0 rst,window为0 不准确、有的情况下window都为0 判断防火墙
-sM fin+ack 未收到rst rst 不准确
-sN 无置位 无响应 rst ICMP type=3 code=3或13或超时无响应 不准确,只能判断closed和open|filtered
-sF fin 无响应 rst
-sX fin+psh+urg 无响应 rst
-sU,UDP端口扫描 不相关 有UDP响应或无响应 icmp type=3 code=3 ICMP type=3 code=1,2,9,10,13 不准确,通常只能判断closed和open|filtered

由表可知:

  1. -sS扫描最常用,快速、精准,且无日志;-

  2. -sT方式最精准,但有日志记录;

  3. -sA/-sW能够识别是否有防火墙,对于识别windows防火墙非常有效。

1.3 其他技术原理

Nmap还包括操作系统指纹识别技术、服务识别技术、防火墙绕过技术以及NSE(Nmap Scripting Engine)脚本引擎。

其原理大致是通过一些签名比对匹配之类的来识别。

2. 常用参数与命令

一条Nmap命令主要由以下几个部分组成:

nmap 主机发现参数 端口扫描参数 其他参数 目标主机(/网段)

2.1 主机发现参数

参数 描述 是否常用
-sL 列表扫描。仅列出指定目标有哪些IP,不进行主机发现 一般
-sn 默认的主机发现方式。组合ARP扫描,ICMP扫描,端口扫描3种技术(表1原理)进行主机发现 常用
-Pn 不进行主机发现,直接进入端口扫描阶段。能绕过ICMP过滤,老版本为-P0。 常用
-PS/-PA/-PU/-PY 分别用TCP SYN/TCP ACK/UDP/SCTP技术进行主机发现。 常用
-PE/-PP/-PM 分别用ICMP ECHO/ICMP TIMESTAMP/ICMP MASK技术进行主机发现。 一般
-PO 使用参数指定的协议(如TCP)对主机进行扫描。 不常用

2.2 端口扫描参数

参数 描述 是否常用
-p 指定端口扫描。格式:-p 21,22,80,3389、-p 1-80等
-sT/-sS TCP全连接扫描(不隐蔽)/ TCP半连接扫描(隐蔽)。 常用
-sA/-sW TCP ACK/TCP WINDOW扫描,用于确定目标主机是否有开启防火墙。 一般
-sM FIN、ACK同时置位1的扫描。 一般
-sN/-sF/-sX NULL/FIN/XMAS扫描。 一般
-sU UDP扫描。 常用
-sI 盲扫描。 不常用
-sO 协议扫描,用于确定目标主机支持哪些协议。 一般
-sY/-sZ SCTP/COOKIE-ECHO扫描。 不常用
-b FTP代理扫描。 不常用

2.3 其他参数

参数 描述 是否常用
-O OS(操作系统)指纹识别扫描 常用
-A OS指纹识别、服务版本扫描、脚本扫描、traceroute(相当于全面扫描) 常用
-sA/-sW 探测主机是否开启防火墙 常用
-f 使用分片报文扫描目标主机 常用
-sC 使用脚本对目标主机进行安全扫描 一般
-sV 探测主机端口上运行的服务的版本信息 常用
-oN/-oX/-oS/-oG 将扫描结果导出为txt、Xml、Script kIddi3、Grepable格式 一般
-v 显示扫描过程的详情
-T0~-T5 设置扫描时序

2.4 常用命令

Nmap的一些常见扫描语句如下:

  1. nmap –sn 192.168.1.200/24 //扫描目标网段中有哪些主机是活跃的,可以快速收集到活跃主机。

  2. nmap –Pn –p 80,443,8080 192.168.1.200/24 //快速定位目标网段中的WEB服务器。

  3. nmap –sS –sU –A –v –T4 192.168.1.200 //对目标主机进行完整扫描,包括知名端口的TCP、UDP扫描,操作系统探测,服务探测,常见漏洞探测。

  4. nmap –sS –p 1-65535 –v –T4 192.168.1.200 //对目标主机所有端口进行TCP端口扫描。

  5. nmap –sA/-sW 192.168.1.200 //识别目标主机是否在防火墙之后。

3. 注意事项

1.宏观细节:

  • 如果在同一网段,则无论主机发现参数如何指定,Nmap都使用ARP扫描完成主机发现。

  • 如果没有指定任何参数(如:nmap 192.168.1.1),默认扫描目标主机的1-1000端口。

  • 如果未指定主机发现方式,则使用-sn参数进行主机发现。

  • 如果未指定端口扫描方式,则使用-sS参数进行端口扫描。

2. 微观细节:

  • -sW,TCP window扫描。是指发送一个构造好的TCP探测包,看对方TCP响应包里window字段(窗口字段)的内容来判断端口状态,而不是说和Windows系统有关。

  • -T0~-T5 设置的扫描时序详情

    -T0(偏执的) 非常慢的扫描,用于IDS逃避(IDS,入侵检测系统)

    -T1(鬼祟的) 较慢的扫描,用于IDS逃避

    -T2(文雅的) 降低速度以降低对宽带的消耗,一般不常用

    -T3(普通的) 默认,根据目标的反应自动调整时间

    -T4(野蛮的) 快速扫描,常用的扫描方式,网络条件好时用,请求可能会淹没目标

    -T5(疯狂的) 极速扫描,以牺牲准确度来提升扫描速度

3. Nmap通过探测将端口划分为6个状态

  1. open:端口是开放的。
  2. closed:端口是关闭的。
  3. filtered:端口有防火墙IDS/IPS过滤,无法确定其状态。
  4. unfiltered:端口没有过滤,但是否开放需要进一步确定。
  5. open|filtered:端口是开放的或有过滤。
  6. closed|filtered :端口是关闭的或有过滤。