Nmap即Network Mapper,它是在免費軟體基金會的GNU General Public License (GPL)下發布的。其準系統有:探測一組主機是否線上;掃描主機連接埠,嗅探提供的網路服務;判斷主機的作業系統。軟體下載後,執行configure、make和make install三個命令,將nmap二進位碼安裝到系統上,就可以執行nmap了。
官網下載:http://nmap.org/download.html
或下載包
rpm -vhU http://nmap.org/dist/nmap-5.21-1.i386.rpm
rpm -vhU http://nmap.org/dist/zenmap-5.21-1.noarch.rpm
測試系統:CentOS5.3
Nmap的文法很簡單,但功能十分強大。比如:Ping-scan命令就是“-sP”,在確定了目標主機和網路之後,即可進行掃描。如果以root來運行Nmap,Nmap的功能會更加增強,因為超級使用者可以建立便於Nmap利用的定製資料包。使用Nmap進行單機掃描或是整個網路的掃描很簡單,只要將帶有“/mask”的目標地址指定給Nmap即可。另外,Nmap允許使用各類指定的網路地址,比如192.168.1.*,是對所選子網下的主機進行掃描。
nmap的使用方法
下面是Nmap支援的四種最基本的掃描方式:
* TCP connect()連接埠掃描(-sT參數)。
* TCP同步(SYN)連接埠掃描(-sS參數)。
* UDP連接埠掃描(-sU參數)。
* Ping掃描(-sP參數)
如果要勾畫一個網路的整體情況,Ping掃描和TCP SYN掃描最為實用。
* Ping掃描通過發送ICMP(Internet Control Message Protocol,Internet控制訊息協議)回應請求資料包和TCP應答(Acknowledge,簡寫ACK)資料包,確定主機的狀態,非常適合於檢測指定網段內正在啟動並執行主機數量。
* TCP SYN掃描一下子不太好理解,但如果將它與TCP connect()掃描比較,就很容易看出這種掃描方式的特點。在TCP connect()掃描中,掃描器利用作業系統本身的系統調用開啟一個完整的TCP串連也就是說,掃描器開啟了兩個主機之間的完整握手過程(SYN, SYN-ACK,和ACK)。一次完整執行的握手過程表明遠程主機連接埠是開啟的。
* TCP SYN掃描建立的是半開啟的串連,它與TCP connect()掃描的不同之處在於,TCP SYN掃描發送的是複位(RST)標記而不是結束ACK標記(即,SYN,SYN-ACK,或RST):如果遠程主機正在監聽且連接埠是開啟的,遠程主機用 SYN-ACK應答,Nmap發送一個RST;如果遠程主機的連接埠是關閉的,它的應答將是RST,此時Nmap轉入下一個連接埠。
-sS 使用SYN+ACK的方法,使用TCP SYN,
-sT 使用TCP的方法, 3次握手全做
-sU 使用UDP的方法
-sP ICMP ECHO Request 送信,有反應的連接埠進行調查
-sF FIN SCAN
-sX
-sN 全部FLAG OFF的無效的TCP包送信,根據錯誤碼判斷連接埠情況
-P0 無視ICMP ECHO request的結果,SCAN
-p scan port range 指定SCAN的目連接埠的範圍
1-100, 或者使用25,100的方式
-O 偵測OS的種類
-oN 檔案名稱 通常格式檔案輸出
-oX 檔案名稱 通過DTD,使用XML格式輸出結果
-oG 檔案名稱,grep容易的格式輸出
-sV 服務的程式名和版本SCAN
Ping掃描:入侵者使用Nmap掃描整個網路尋找目標。通過使用“-sP”命令,預設情況下,Nmap給每個掃描到的主機發送一個ICMP echo和一個TCP ACK,主機對任何一種的響應都會被Nmap得到。如下所示。
[root@coremail ~]# nmap -sP 192.168.1.60
Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:46 CST
Nmap scan report for 192.168.1.60
Host is up (0.00085s latency).
Nmap done: 1 IP address (1 host up) scanned in 0.49 seconds
Nmap支援不同類別的連接埠掃描,TCP串連掃描可以使用“-sT”命令,TCP connect()連接埠掃描(-sT參數)。具體如下所示:
[root@coremail ~]# nmap -sT 192.168.92.129
Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:51 CST
Nmap scan report for 192.168.92.129
Host is up (0.0017s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
11111/tcp open unknown
Nmap done: 1 IP address (1 host up) scanned in 0.48 seconds
隱蔽掃描(Stealth Scanning) 。在掃描時,如果攻擊者不想使其資訊被記錄在目標系統日誌上,TCP SYN掃描可幫你的忙。使用“-sS”命令,就可以發送一個SYN掃描探測主機或網路。如下所示。
[root@coremail ~]# nmap -sS www.baidu.com
Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:51 CST
Nmap scan report for www.baidu.com (220.181.6.175)
Host is up (0.0094s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 56.54 seconds
如果一個攻擊者想進行UDP掃描,即可知哪些連接埠對UDP是開放的。Nmap將發送一個O位元組的UDP包到每個連接埠。如果主機返回連接埠不可達,則表示連接埠是關閉的。UDP連接埠掃描(-sU參數)。如下所示。
[root@coremail ~]# nmap -sU 192.168.92.129
Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:53 CST
Nmap scan report for 192.168.92.129
Host is up (0.000019s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
68/udp open|filtered dhcpc
111/udp open rpcbind
123/udp open|filtered ntp
631/udp open|filtered ipp
Nmap done: 1 IP address (1 host up) scanned in 1.93 secon
作業系統識別。通過使用“-O”選項,就可以探測遠程作業系統的類型。Nmap通過向主機發送不同類型的探測訊號,縮小尋找的作業系統系統的範圍。如圖6所示。
[root@coremail ~]# nmap -sS -O 192.168.92.129
Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:56 CST
Nmap scan report for 192.168.92.129
Host is up (0.00024s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
11111/tcp open unknown
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.15 - 2.6.30
Network Distance: 0 hops
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 5.72 seconds
Ident掃描。攻擊者都喜歡尋找一台對於某些進程存在漏洞的電腦,比如一個以root啟動並執行WEB伺服器。如果目標機運行了identd,攻擊者就可以通過“-I”選項的TCP串連發現哪個使用者擁有http守護進程。我們以掃描一個Linux WEB伺服器為例,使用如下命令即可:
[root@coremail ~]# nmap -sT -p 80 -O www.baidu.com
Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:58 CST
Nmap scan report for www.baidu.com (220.181.6.175)
Host is up (0.0069s latency).
PORT STATE SERVICE
80/tcp filtered http
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|storage-misc|WAP|game console
Running (JUST GUESSING) : Apple Mac OS X 10.5.X (96%), BlueArc embedded (87%), KCorp embedded (86%), Nintendo embedded (86%)
Aggressive OS guesses: Apple Mac OS X 10.5.5 (Leopard) (96%), BlueArc Titan 2100 NAS device (87%), KCorp KLG-575 WAP (86%), Nintendo DS game console (86%)
No exact OS matches for host (test conditions non-ideal).
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 5.39 seconds
[root@coremail ~]# nmap -sT -p 80 -O 192.168.92.129
Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 13:00 CST
Nmap scan report for 192.168.92.129
Host is up (0.00014s latency).
PORT STATE SERVICE
80/tcp open http
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.15 - 2.6.30
Network Distance: 0 hops
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 2.86 seconds
隱藏掃描的源地址:
假設你的系統IP是192.168.1.20,但是你希望你的系統發出的所有NMAP包都被標註為IP地址20.20.20.20,那你可以用下面的命令來對名為sandi德系統發出資料包:
nmap -S 20.20.20.20 -e eth0 -P0 -sS -v sandi
-P0(不PING)和-sS(TCP SYN隱藏連接埠掃描)使得Nmap執行基於 TCP掃描但不首先發ping 資料包。-sS選項能協助進行的掃描通過過濾初始SYN資料包的防火牆。
要讓系統使用連接埠53來發送資料包執行和上面相似的掃描,可發出下面的命令
nmap -g 53 -S 20.20.20.20 -e eth0 -P0 -sS -v sandi
除了以上這些掃描,Nmap還提供了很多選項,這是很多Linux攻擊者的必備法寶之一,通過這個軟體,我們就可以對系統了如指掌,從而為下面的攻擊打下良好的基礎。
http://os.51cto.com/art/201401/428152.htm 29個具體範例