活躍主機發現技術

Nmap網絡安全審計（二）

活躍主機發現技術

這裏涉及到的網絡協議就不細說了，主要是將Nmap的使用方法

基於ARP協議的活躍主機發現技術

當目標主機與咱們處於同一網段的時候，使用ARP協議掃描就是最好的選擇。不只掃描速度快，掃描結果也更爲準確。由於沒有任何安全措施會阻止正常的ARP請求。
使用Nmap的 -PR 參數 就能夠實現ARP協議的掃描

nmap -sn -PR 192.168.0.103

這裏咱們經過掃描結果能夠看出，host is up 就是說這臺設備是活躍主機，還給出了該設備的mac地址

基於ICMP協議的活躍主機發現技術

因爲ping工具的濫用，所以不少用於防禦主機的防火牆都隔絕ICMP數據包經過，這樣就形成了咱們原本是能夠跟這臺主機通訊的，可是ping對方卻無響應。
使用Nmap的 -PE 參數就能夠實現ICMP協議的主機發現。其實這個就是跟ping同樣。

nmap -sn -PE 192.168.0.103

掃描結果沒有太大的變化，由於咱們如今主要是探測活躍主機

經過ICMP時間戳請求和應答進行主機發現
剛纔也說了，ping方式已經被大多數的網絡所禁止，因此咱們能夠利用時間戳
使用Nmap的 -PP 參數就能夠實現ICMP的時間戳主機發現

nmap -sn -PP 192.168.126.139

這裏爲告終果更加清晰，我用虛擬機192.168.126.139開啓防火牆，而後通物理機去ping192.168.126.139，咱們發現是ping不通的（圖片上第一次ping通是虛擬機沒開防火牆），這時候咱們再用nmap的 -PP參數來進行掃描，確實是發現了活躍主機

ICMP協議中雖然包含了不少種掃描方法，可是這些基礎ICMP協議的掃描方式也每每是安全設備的防護重點，所以常常得不到準確的結果。

基於TCP協議的主機發現技術

在Nmap中經常使用的TCP協議掃描方式有兩種，分別是TCP SYN掃描和TCP ACK掃描，這兩種掃描方式都是經過TCP的三次握手實現的。

1.TCP SYN掃描

使用Nmap中的 -PS 參數來實現TCP SYN掃描,，在 -PS後也能夠跟上端口號，默認是80端口

nmap -sn -PS 192.168.0.103

2.TCP ACK掃描

使用Nmap中的 -PA 參數來實現TCP ACK掃描，這個一樣是默認80端口

nmap -sn -PA 192.168.126.139

基於UDP協議的活躍主機發現技術

使用Nmap的 -PU 參數實現UDP協議的主機發現

nmap -sn -PU 192.168.126.139

基於SCTP協議的活躍主機發現技術

這裏簡單介紹下SCTP吧，SCTP與TCP同屬於傳輸層協議，傳輸層的協議較少，通常咱們都知道的UDP TCP，其實SCTP協議與TCP協議完成的任務是相同的。可是二者之間有很大的不一樣。
首先，TCP協議通常用於單地址的鏈接，而SCTP能夠用於多地址鏈接。
其次，TCP協議是基於字節流的，SCTP是基於消息流的。TCP只支持一個流，SCTP可支持多個流。
最後，TCP鏈接的創建是經過三次握手實現的，SCTP是經過一種4次握手的機制實現的。
在SCTP中，客戶端使用一個INIT報文發起一個鏈接，服務器端使用一個INIT-ACK應答，其中包括了cookie。而後客戶端使用一個COOKIE-ECHO報文進行響應，其中包含了服務器端所發送的cookie。服務器端要爲這個鏈接分配資源，並經過客戶端發送一個COOKIE-ACK報文對齊進行應答。

使用Nmap的 -PY 參數能夠向目標主機發送一個SCTP INIT數據包

nmap -sn -PY 192.168.126.139

這一測試的掃描結果可能會有誤，由於有的主機可能不支持SCTP協議，僅供參考

使用IP協議進行主機地址發現

使用Nmap的 -PO 參數來指定要使用的協議編號，默認使用IP掃描方式（ICMP、IGMP、IP-in-IP），-PO能夠指定所要使用的協議編號
（IP協議編號，不是TCP編號）
（ICMP爲1，IGMP爲2，TCP爲6，UDP 爲7，GRE爲47，ESP爲50）

nmap -sn -PO 192.168.126.139

另外，這種狀況發出的數據包內容爲空，很容易被檢測出來，咱們可使用 --date-length 參數來發送隨機數據的數據包

nmap --data-length 25 192.168.126.139

Nmap活躍主機發現中與DNS協議相關的選項

Nmap在對目標進行掃描的時候，若是主機是一臺對外提供Web服務的服務器，那麼除了有IP地址以外，還有域名。若是有域名的話，Nmap會向域名服務器提出請求，顯示該IP對應的域名。在進行大量掃描的時候，有的主機可能處於活躍狀態，有的處於非活躍狀態，直接進行掃描的話，Nmap只會對處於活躍的主機進行DNS轉換，非活躍的不予處理。
若是但願將全部的IP地址不管是否處於活躍的主機對應的域名都列出來的話，可使用 -R參數

nmap -R ***.***.***.*

若是強制將每一個IP地址轉換爲域名會耗費大量時間，有時候可能已經知道了主機的域名，無須進行轉換，這時候就可使用Nmap中的 -n 參數來取消對域名的轉換。（這裏就不貼圖了，知道意思就好，不要隨意對網站進行掃描）

Nmap -n ***.***.**.*

若是想使用指定的DNS服務器進行查詢目標，可使用 --dns-servers參數

nmap --dns-servers 114.114.114.114

若是想用指定DNS服務器來完成掃描以下：

nmap  --packet-trace -R --dns-servers 114.114.114.114

主機發現技術的分析

Nmap中提供 --packet-trace 選項，經過它能夠觀察Nmap發出了哪些數據包，收到了哪些數據包

nmap -sn -PS --packet-trace 192.168.0.103

Nmap在進行主機發現的時候，不管你指定了哪一種方式，Nmap都會先判斷目標主機是否與本身在同一子網中，若是在直接用ARP協議掃描的方式，而不會使用你指定的方式。

常見問題

指令敲對了就沒問題，注意大小寫