Nmap在實戰中的高級用法

Nmap提供了四項基本功能(主機發現、端口掃描、服務與版本偵測、OS偵測)及豐富的腳本庫。Nmap既能應用於簡單的網絡信息掃描,也能用在高級、複雜、特定的環境中:例如掃描互聯網上大量的主機;繞開防火牆/IDS/IPS;掃描Web站點;掃描路由器等等。ios

簡要回顧Nmap簡單的掃描方式:web

  • view source
    1 全面掃描:nmap-T4 -A targetip    sql

  • 2 主機發現:nmap-T4 -sn targetip    數據庫

  • 3 端口掃描:nmap-T4 targetip    安全

  • 4 服務掃描:nmap-T4 -sV targetip    服務器

  • 5 操做系統掃描:nmap-T4 -O targetip 
    上述的掃描方式能知足通常的信息蒐集需求。而若想利用Nmap探索出特定的場景中更詳細的信息,則需仔細地設計Nmap命令行參數,以便精確地控制Nmap的掃描行爲。網絡

下面列舉比較實用的高級應用場景和技巧。dom

1     Nmap高級選項
1.1  查看本地路由與接口
Nmap中提供了–iflist選項來查看本地主機的接口信息與路由信息。當遇到沒法達到目標主機或想選擇從多塊網卡中某一特定網卡訪問目標主機時,能夠查看nmap –iflist中提供的網絡接口信息。ssh

nmap –iflisttcp

 

1.2  指定網口與IP地址
在Nmap可指定用哪一個網口發送數據,-e <interface>選項。接口的詳細信息能夠參考–iflist選項輸出結果。

示例:

nmap -e eth0 targetip

Nmap也能夠顯式地指定發送的源端IP地址。使用-S <spoofip>選項,nmap將用指定的spoofip做爲源端IP來發送探測包。

另外可使用Decoy(誘騙)方式來掩蓋真實的掃描地址,例如-D ip1,ip2,ip3,ip4,ME,這樣就會產生多個虛假的ip同時對目標機進行探測,其中ME表明本機的真實地址,這樣對方的防火牆不容易識別出是掃描者的身份。

nmap -T4 -F -n -Pn -D192.168.1.100,192.168.1.101,192.168.1.102,ME 192.168.1.1

1.3  定製探測包
Nmap提供–scanflags選項,用戶能夠對須要發送的TCP探測包的標誌位進行徹底的控制。可使用數字或符號指定TCP標誌位:URG, ACK, PSH,RST, SYN,and FIN。

例如,

nmap -sX -T4 –scanflags URGACKPSHRSTSYNFINtargetip

此命令設置所有的TCP標誌位爲1,能夠用於某些特殊場景的探測。

另外使用–ip-options能夠定製IP包的options字段。

使用-S指定虛假的IP地址,-D指定一組誘騙IP地址(ME表明真實地址)。-e指定發送探測包的網絡接口,-g(–source- port)指定源端口,-f指定使用IP分片方式發送探測包,–spoof-mac指定使用欺騙的MAC地址。–ttl指定生存時間。

2     掃描防火牆
防火牆在今天網絡安全中扮演着重要的角色,若是能對防火牆系統進行詳細的探測,那麼繞開防火牆或滲透防火牆就更加容易。因此,此處講解利用Nmap獲取防火牆基本信息典型的用法。

爲了獲取防火牆全面的信息,需儘量多地結合不一樣掃描方式來探測其狀態。在設計命令行參數時,能夠綜合網絡環境來微調時序參數,以便加快掃描速度。

SYN掃描

首先能夠利用基本的SYN掃描方式探測其端口開放狀態。

nmap -sS -T4 www.91ri.org

掃描輸出爲:

  • view source
    1 All 997 ports are filtered    

  • 2 PORT    STATE  SERVICE    

  • 3 80/tcp  open   http    

  • 4 113/tcp closed auth    

  • 5 507/tcp open   crs 
    咱們能夠看到SYN方式探測到3個端口開放,而有997個端口被過濾。Nmap默認掃描只掃描1000個最可能開放的端口,若是想掃描所有的端口.

使用命令nmap -sS -T4-p- www.91ri.org

FIN掃描

而後能夠利用FIN掃描方式探測防火牆狀態。FIN掃描方式用於識別端口是否關閉,收到RST回覆說明該端口關閉,不然說明是open或filtered狀態。

nmap -sF -T4 www.91ri.org

  • view source
    01 PORT      STATE         SERVICE    

  • 02 7/tcp     open|filtered echo    

  • 03 9/tcp     open|filtered discard    

  • 04 11/tcp    open|filtered systat    

  • 05 13/tcp    open|filtered daytime    

  • 06 23/tcp    open|filtered telnet    

  • 07 25/tcp    open|filtered smtp    

  • 08 37/tcp    open|filtered time    

  • 09 79/tcp    open|filtered finger    

  • 10 80/tcp    open|filtered http    

11 更多端口,此處省略 
ACK掃描

而後利用ACK掃描判斷端口是否被過濾。針對ACK探測包,未被過濾的端口(不管打開、關閉)會回覆RST包。

nmap -sA -T4 www.91ri.org

掃描輸出爲:

  • view source
    1 Not shown: 997 unfiltered ports    

  • 2 PORT      STATE    SERVICE    

  • 3 135/tcp   filtered msrpc    

  • 4 1434/tcp  filtered ms-sql-m    

  • 5 32777/tcp filtered sometimes-rpc17 
    從結果能夠997個端口是未被過濾的(unfiltered),而3個(135/1434/32777)被過濾了。因此,將ACK與FIN掃描 的結果結合分析,咱們能夠找到不少開放的端口。例如7號端口,FIN中得出的狀態是:open或filtered,從ACK中得出的狀態是 unfiltered,那麼該端口只能是open的。

Window掃描

固然也能夠利用Window掃描方式,得出一些端口信息,能夠與以前掃描分析的結果相互補充。Window掃描方式只對某些TCPIP協議棧纔有效。

window掃描原理與ACK相似,發送ACK包探測目標端口,對回覆的RST包中的Window size進行解析。在某些TCPIP協議棧實現中,關閉的端口在RST中會將Window size設置爲0;而開放的端口將Window size設置成非0的值。

nmap -sW -p- -T4 www.91ri.org

輸出結果:

  • view source
    1 PORT      STATE    SERVICE    

  • 2 7/tcp     open     echo    

  • 3 9/tcp     open     discard    

  • 4 11/tcp    open     systat    

  • 5 13/tcp    open     daytime    

  • 6 更多端口,此處省略 
    在採用多種方式獲取出防火牆狀態後,能夠進一步進行應用程序與版本偵測及OS偵測。

此處再也不贅述!91ri.org:小編這裏份關於使用nmap突破防火牆的文章 推薦一下《Nmap繞過防火牆&腳本的使用》

3     掃描路由器
Nmap內部維護了一份系統與設備的數據庫(nmap-os-db),可以識別數千種不一樣系統與設備。因此,能夠用來掃描主流的路由器設備。

3.1  掃描思科路由器
nmap -p1-25,80,512-515,2001,4001,6001,9001 10.20.0.1/16

思科路由器會在上述端口中運行了常見的服務。列舉出上述端口開放的主機,能夠定位到路由器設備可能的IP地址及端口狀態。

3.2  掃描路由器TFTP
nmap –sU –p69 –nvv target

大多數的路由器都支持TFTP協議(簡單文件傳輸協議),該協議經常使用於備份和恢復路由器的配置文件,運行在UDP 69端口上。使用上述命令能夠探測出路由器是否開放TFTP。

3.3  掃描路由器操做系統
與通用PC掃描方式相似,使用-O選項掃描路由器的操做系統。-F用於快速掃描最可能開放的100個端口,並根據端口掃描結果進一步作OS的指紋分析。

nmap -O -F -n 192.168.1.1

4     掃描互聯網
Nmap內部的設計很是強大靈活,既能掃描單個主機、小型的局域網,也能夠掃描成千上萬臺主機從中發掘用戶關注的信息。掃描大量主機,須要對掃描時序等參數進行仔細的優化。

4.1  發現互聯網上web服務器
nmap -iR 100000 -sS -PS80 -p 80 -oG nmap.txt

隨機地產生10萬個IP地址,對其80端口進行掃描。將掃描結果以greppable(可用grep命令提取)格式輸出到nmap.txt文件。

可使用grep命令從輸出文件提取關心的細節信息。

4.2  統計互聯網主機基本數據
  Nmap的創始人Fyodor在2008年的Black Hat大會發表一篇演講,講的是如何使用Nmap來掃描互聯網(Nmap: Scanning the Internet),資料地址:http://nmap.org/presentations/BHDC08/

  Fyodor進行互聯網掃描的初衷是統計出網絡經驗數據並用之優化Nmap的性能。例如,根據統計出每一個端口開放的機率,優先掃描常見端口,以節省用戶的時間。

產生隨機IP地址

  產生100萬個隨機的IP地址,並將之保存到文件中,方便後續掃描時做爲參數輸入。

nmap -iR 1200000 -sL -n | grep 」not scanned」 | awk ’{print $2}’ | sort -n | uniq >! tp; head -25000000 tp >! tcp-allports-1M-IPs; rm tp

上述命令含義:隨機生成1200000個IP地址(-iR 120000),並進行列表掃描(-sL,列舉出IP地址,不進行真正的掃描),不進行dns解析操做(-n),這樣將產生Nmap列表掃描的結果。在此 結果中搜出未掃描的行(grep 「not scanned」),打印出每一行的第二列內容(awk ‘{print $2}’,也就是IP地址),而後對獲取到的IP地址進行排序(sort -n),而後剔除重複IP地址,將結果保存到臨時文件tp,再取出前1000000個IP地址保存到tcp-allports-1M-IPs文件中,刪除 臨時文件。

總之,此處產生了1000000個隨機IP地址存放在tcp-allports-1M-IPs文件中。

優化主機發現

nmap -sP -PE -PP -PS21,22,23,25,80,113,31339-PA80,113,443,10042 –source-port 53 -T4 -iL tcp-allports-1M-IPs

上述命令進行主機發現:使用產生的IP地址(-iL tcp-allports-1M-IPs),指定發送包的源端口爲53(–source-port 53,該端口是DNS查詢端口,通常的防火牆都容許來自此端口的數據包),時序級別爲4(-T4,探測速度比較快),以TCP SYN包方式探測目標機的21,22,23,25,80,113,31339端口,以TCP ACK包方式探測對方80,113,443,10042端口,另外也發送ICMP ECHO/ICMP TIMESTAMP包探測對方主機。只要上述的探測包中獲得一個回覆,就能夠證實目標主機在線。

完整的掃描命令

在準備了必要的IP地址文件,並對主機發現參數優化後,咱們就獲得最終的掃描命令:

nmap -S [srcip] -d –max-scan-delay 10 -oAlogs/tcp-allports-%T-%D -iL tcp-allports-1M-IPs –max-retries 1–randomize-hosts -p- -PS21,22,23,25,53,80,443 -T4 –min-hostgroup 256 –min-rate175 –max-rate 300

上述命令用於掃描互聯網上100萬臺主機所有的TCP端口的開放狀況。

使用包含100萬個IP地址的文件(-iL tcp-allports-1M-IPs),源端IP地址設置爲srcip(指定一個IP地址,保證該IP地址位於統一局域網中,不然沒法收到目標機的回 復包),主機發現過程使用TCP SYN包探測目標機的21,22,23,25,53,80,443,掃描過程將隨機打亂主機順序(–randomize-hosts,由於文件中的IP 已經排序,這裏將之打亂,避免被防火牆檢查出),端口掃描過程檢查所有的TCP端口(-p-,端口1到65535),使用時序級別爲4(-T4,速度比較 快),將結果以XML/grepable/普通格式輸出到文件中(-oA logs/tcp-allports-%T-%D,其中%T表示掃描時間,%D表示掃描日期)。

-d表示打印調試出信息。

–max-scan-delay 10表示發包最多延時10秒,防止特殊情景下等待過長的時間。

–max-retries 1,表示端口掃描探測包最多被重傳一次,防止Nmap在沒有收到回覆的狀況下屢次重傳探測包,固然這樣也會下降探測的準確性。

–min-host-group 256表示進行端口掃描與版本偵測時,同時進行探測的主機的數量,這裏至少256個主機一組來進行掃描,能夠加快掃描速度。

–min-rate 175和–max-rate 300,表示發包速率介於175和300之間,保證掃描速度不會太慢,也不會由於速率太高引發目標機的警覺。

掃描結果

Fyodor組織的這次掃描得出不少重要結論,統計出了互聯網最有可能開放的10個TCP端口。

80 (http)
23 (telnet)
22 (ssh)
443 (https)
3389 (ms-term-serv)
445 (microsoft-ds)
139 (netbios-ssn)
21 (ftp)
135 (msrpc)
25 (smtp)
最有可能開放的10個UDP端口。

137 (netbios-ns)
161 (snmp)
1434 (ms-sql-m)
123 (ntp)
138 (netbios-dgm)
445 (microsoft-ds)
135 (msrpc)
67 (dhcps)
139 (netbios-ssn)
53 (domain)
5     掃描Web站點
Web是互聯網上最普遍的應用,並且愈來愈多的服務傾向於以Web形式提供出來,因此對Web安全監管也愈來愈重要。目前安全領域有不少專門的 Web掃描軟件(如AppScan、WebInspect、W3AF),可以提供端口掃描、漏洞掃描、漏洞利用、分析報表等諸多功能。而Nmap做爲一款 開源的端口掃描器,對Web掃描方面支持也愈來愈強大,能夠完成Web基本的信息探測:服務器版本、支持的Method、是否包含典型漏洞。功能已經遠遠 超過同領域的其餘開源軟件,如HTTPrint、Httsquash。

目前Nmap中對Web的支持主要經過Lua腳原本實現,NSE腳本庫中共有50多個HTTP相關的腳本。

掃描實例:

nmap -sV -p 80 -T4 –script http*,defaultscanme.nmap.org

 

  上面以掃描scanme.nmap.org的Web應用展現Nmap提供Web掃描能力,從圖中能夠看到掃描結果中提供了比較豐富的信息。

首先是應用程序及版本:Apachehttpd 2.2.14 (Ubuntu)

而後搜出了該站點的affiliate-id:該ID可用於識別同一擁有者的不一樣頁面。

而後輸出HTTP-headers信息,從中查看到基本配置信息。

從http-title中,能夠看到網頁標題。某些網頁標題可能會泄漏重要信息,因此這裏也應對其檢查。

有想深刻學習nmap的也能夠參考:《滲透測試工具Nmap從初級到高級》文章

from:http://blog.csdn.net/aspirationflow/article/details/7983368

相關文章
相關標籤/搜索