【原理基础】
Nmap,被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如UDP,TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和Null扫描。你可以从SCAN TYPES一节中察看相关细节。nmap还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。
对非ROOT的用户来说,nmap的正式版可以做很多重要的东西了。不幸的是部份关键的核心功能(比如raw sockets)需要root权限。所以尽量以root的身份运行nmap。运行nmap后通常会得到一个关于你扫描的机器的一个实用的端口列表。nmap总是显示该服务的服务名称,端口号,状态以及协议。状态有'open','filtered'和'unfiltered'三种。'open'指的是目标机器将会在该端口接受你的连接请求。'filtered'指的是有防火墙、过滤装置或者其它的网络障碍物在这个端口阻挡了nmap 进一步查明端口是否开放的动作。至于'unfiltered'则只有在大多数的扫描端口都处在'filtered'状态下才会出现的。
根据选项的使用,nmap还可以报告远程主机下面的特性:使用的操作系统、TCP连续性、在各端口上绑定的应用程序用户的用户名、DNS名、主机是否是个smurf地址以及一些其它功能。
【扫描类型】
1.[Ping扫描 (Ping Sweeping)
a)[端口扫描 (Port Scanning)]
一个攻击者使用TCP连接扫描很容易被发现,因为nmap将使用connect()系统调用打开目标机上相关端口的连接,并完成三次TCP握手.
b)[隐蔽扫描 (Stealth Scanning)]
如果一个攻击者不愿在扫描时使其信息被记录在目标系统日志上,TCP SYN扫描可帮你的忙,它很少会在目标机上留下记录,三次握手的过程从来都不会完全实现.通过发送一个SYN包(是TCP协议中的第一个包)开始一次SYN的扫描.任何开放的端口都将有一个SYNACK响应.然而,攻击者发送一个RST替代ACK,连接中止.三次握手得不到实现,也就很少有站点能记录这样的探测.如果是关闭的端口,对最初的SYN信号的响应也会是RST,让nmap知道该端口不在监听.
c)[UDP扫描 (UDP Scanning)]
如果一个攻击者寻找一个流行的UDP漏洞,比如 rpcbind漏洞或cDc Back Orifice.为了查出哪些端口在监听,则进行UDP扫描,即可知哪些端口对UDP是开放的nmap将发送一个O字节的UDP包到每个端口.如果主机返回端口不可达,则表示端口是关闭的.但这种方法受到时间的限制,因为大多数的UNIX主机限制ICMP错误速率.幸运的是, nmap本身检测这种速率并自身减速,也就不会产生溢出主机的情况.
d)[操作系统识别 (OS Fingerprinting)]
通常一个入侵者可能对某个操作系统的漏洞很熟悉,能很轻易地进入此操作系统的机器.一个常见的选项是TCP/IP上的指纹,带有"-O"选项决定远程操作系统的类型.这可以和一个端口扫描结合使用,但不能和ping扫描结合使用. nmap通过向主机发送不同类型的探测信号,缩小查找的操作系统系统的范围.指纹验证TCP包括使用FIN探测技术发现目标机的响应类型.BOGUS的标志探测,发现远程主机对发送的带有SYN包的不明标志的反应,TCP 初始序列号(ISN)取样发现ISN数值的样式,也可以用另外的方式决定远程操作系统.
e)[Ident扫描 (Ident Scanning)]
一个攻击者常常寻找一台对于某些进程存在漏洞的电脑.比如,一个以root运行的WEB服务器.如果目标机运行了identd,一个攻击者使用nmap通过"-I"选项的TCP连接,就可以发现哪个用户拥有http守护进程.