1.Nmap介绍
Nmap用于列举网络主机清单、管理服务升级调度、监控主机或服务运行状况。Nmap可以检测目标机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。
1.1 Zenmap
Zenmap是Nmap官方提供的图形界面,通常随Nmap的安装包发布。Zenmap是用Python语言编写而成的开源免费的图形界面,能够运行在不同操作系统平台上(Windows/Linux/Unix/Mac OS等)。Zenmap旨在为nmap提供更加简单的操作方式。
以百度(www.baidu.com或61.135.169.125)为例,使用Zenmap
- 显示主界面,填写目标地址
- 显示扫描目标主机的端口号(80和443)
- 拓扑
- 目标主机的情况
对比Zenmap和命令模式下的不同:(使用nmap www.baidu.com或namp 61.135.121)
扫描得到的端口号都是一样的,命令行模式简单明了,时间短。以下都使用命令模式操作。
2.Nmap扫描的基本方法
Nmap主要包括四个方面的扫描功能,主机发现、端口扫描、应用与版本侦测、操作系统侦测。这里先介绍端口扫描。
红框内的内容是重要的
绿色内容表示有998个端口被屏蔽了,也就是说明了网站的防火墙是开启的,因为没有开启防火墙是不会对端口进行屏蔽的。
蓝色部分表示开放的端口号,状态,以及服务
2.1常见服务对应端口号:
| 服务 | 端口号 |
|---|---|
| HTTP | 80 |
| HTTPS | 443 |
| Telnet | 23 |
| FTP | 21 |
| SSH(安全登录)、SCP(文件传输)、端口重定向 | 22 |
| SMTP | 25 |
| POP3 | 110 |
| WebLogic | 7001 |
| TOMCAT | 8080 |
| WIN2003远程登录 | 3389 |
| Oracle数据库 | 1521 |
| MS SQL* SEVER数据库sever | 1433 |
| MySQL 数据库sever | 3306 |
2.2端口的状态有以下几种:
| 状态 | 详细的参数说明 |
| Open | 端口开启,数据有到达主机,有程序在端口上监控 |
| Closed | 端口关闭,数据有到达主机,没有程序在端口上监控 |
| Filtered | 数据没有到达主机,返回的结果为空,数据被防火墙或者是IDS过滤 |
| UnFiltered | 数据有到达主机,但是不能识别端口的当前状态 |
| Open|Filtered | 端口没有返回值,主要发生在UDP、IP、FIN、NULL和Xmas扫描中 |
| Closed|Filtered | 只发生在IP ID idle扫描 |
为什么要关注这些端口
2.3 使用的命令
nmap -F -sT -v www.baidu.com
-F:扫描100个最有可能开放的端口 -v 获取扫描的信息 -sT:采用的是TCP扫描 不写也是可以的,默认采用的就是TCP扫描
2.4 扫描方式
全连接扫描,三次握手防火墙能有效拦截,故很少使用 (产生大量日志,很少使用)
半链接扫描,三次握手前两次,源SYN 目标SYN/ACK 端口开放;源SYN 目标RST/ACK 端口关闭 (不记日志,隐蔽性好)
秘密扫描,发送FIN,返回RST (端口关闭,回复RST包;端口开放,不回复)
半链接扫描与叫做间接扫描
FIN扫描、Xmas扫描、Null扫描对Windows无效
nmap 类型 选项 目标
nmap -sT TCP扫描 全链接扫描
nmap -sS SYN扫描 半链接扫描
nmap -sF FIN扫描 秘密扫描 除SYN、ACK其它位置1
nmap -sX Xmas扫描 秘密扫描 FIN、URG、PUSH位置1
nmap -sN Null扫描 秘密扫描 标志位全为0,发送TCP分组
nmap -sP ping扫描 同时使用ICMP和TCP ACK 80,返回RST说明主机运行(外网)
nmap -sU UDP扫描 发送0字节UDP包,快速扫描Windows的UDP端口
nmap -sA ACK扫描 TCP ACK扫描,当防火墙开启时,查看防火墙有未过虑某端口
nmap -sW 滑动窗口扫描
nmap -sR RPC扫描
nmap -b FTP反弹攻击(FTP Bounce attack) 外网用户通过FTP渗透内网
nmap -P0 Nmap扫描前不Ping目标主机
nmap -PT Nmap扫描前使用TCP ACK包确定主机是否在运行(-PT默认80)
nmap -PS Nmap使用TCP SYN包进行扫描
nmap -PI Nmap进行Ping扫描
nmap -PB 结合-PT和-PI功能
nmap -O Nmap扫描TCP/IP指纹特征,确定目标主机系统类型
nmap -I 反向标志扫描,扫描监听端口的用户
nmap -f 分片发送SYN、FIN、Xmas、和Null扫描的数据包
nmap -v 冗余模式扫描,可以得到扫描详细信息
nmap -oN 扫描结果重定向到文件
nmap -resume 使被中断的扫描可以继续
nmap -iL -iL,扫描目录文件列表
nmap -p -p扫描端口列表,默认扫描1-1024端口和/usr/share/nmap/nmap-services文件中指定端口;
-p例:23;20-30,139,60000-
nmap -F 快速扫描模式,只扫描nmap-services文件中的端口
nmap -D 欺骗扫描,可有效隐藏扫描者IP地址
nmap -S 在欺骗扫描时,用来指定源主机IP
nmap -e 指定从哪个网卡发送和接收数据包
nmap -g 指定扫描源端口
nmap -r 按顺序扫描端口
2.5 端口扫描
2.5.1 Tcp扫描(-sT)
这是一种全连接扫描方式之一,这种扫描方法的特点是:扫描的速度快,准确性高,对操作者没有权限上的要求,但是容易被防火墙和IDS(防入侵系统)发现
运行的原理:通过建立TCP的三次握手连接来进行信息的传递
① Client端发送SYN;
② Server端返回SYN/ACK,表明端口开放;
③ Client端返回ACK,表明连接已建立;
④ Client端主动断开连接。
用wireshark对扫描过程进行抓包分析:(使用命令nmap -F -sT -v 61.135.169.121)
2.5.2 SYN扫描(-sS)
这是一种半链接的扫描方式之一,因为在SYN扫描中Client端和Server端没有形成3次握手,所以没有建立一个正常的TCP连接,因此不被防火墙和日志所记录,一般不会再目标主机上留下任何的痕迹,但是这种扫描是需要root权限(对于windows用户来说,是没有root权限这个概念的,root权限是linux的最高权限,对应windows的管理员权限)
运行的原理图如下:
对RST包的讲解请看:
https://my.oschina.net/costaxu/blog/127394
用wireshark对扫描过程进行抓包分析:(使用命令nmap -F -sS -v 61.135.169.121)
等了很长时间一直没抓到RST包。
2.5.3 ACK扫描(-sA)
ACK扫描的原理是发送一个ACK包给目标主机,不论目标主机的端口是否开启,都会返回相应的RST包,通过判断RST包中的TTL来判断端口是否开启
运行原理图:
TTL值小于64端口开启,大于64端口关闭
用wireshark对扫描过程进行抓包分析:(使用命令nmap -F -sA -v 61.135.169.121)
也没有抓到RST包。
