Nmap扫描器使用和分析资料报告

《Nmap扫描器使用和分析资料报告》由会员分享，可在线阅读，更多相关《Nmap扫描器使用和分析资料报告（53页珍藏版）》请在金锄头文库上搜索。

1、word华中科技大学计算机学院计算机网络安全实验报告实验名称 Nmap扫描器使用和分析团队成员：姓 名班 级学 号贡献百分比得 分王凤伟IS0703U200714945100%注：团队成员贡献百分比之和为1Email：visual_110qq.教师评语：一 环境（详细说明运行的操作系统，网络平台，机器的IP地址）操作系统 :Microsoft Windows XP Professional Service Package 3 。网络平台：TCP/IP网络二 实验目的l 掌握主机、端口扫描的原理l 掌握Nmap扫描器的使用l 掌握Nmap进行远程OS检测的原理三. 实验步骤及结果（包括主要流程和

2、说明）1 安装Nmapa) 安装界面单击“IAgree”b) 选择组件 默认安装，单击“Next”c) 进入安装单击“Install”后面一路默认设置，最后安装成功。2 利用Nmap扫描d) -sS (TCP SYN scan)参数扫描如图2-1所示从扫描结果可以看出211.69.207.72开通了11个端口，而且这些端口都是tcp端口，因为syn扫描是基于tcp的。e)从中可以看出，-sT扫描比-sS扫描多扫出了一个21号端口，对此我用wireshark截了一些包，发现21号端口只回应了一个rst|ack包，而其余的端口回应了至少三个rst|ack或reset之类的包，因此我判断有可能-sS

3、与-sT判断端口打开的标准不同，-sT对回复一个rst|syn包就认为对方的端口是开着的，而-sS要对方回复多个rst|syn才认为对方的端口是开放的。f) -sU (UDP scans)参数扫描如图2-3图2-3 由于-sU扫描的是UDP端口，而且扫描的目标ip为学校的DNS服务器，因此一定能扫描到对方的53号端口。g) -sY (SCTP INIT scan)扫描如图2-4图2-4 由于流控制传输协议（SCTP）是IETF新定义的一个传输层transport layer协议（2000）所以到目前支持的不是很好，所以什么都没有扫描出来。h) -sN; -sF; -sX (TCP NULL,

4、FIN, and Xmas scans)-sN参数扫描如图2-5-a所示图2-5-a 由于对方是windows系列的操作系统所以检测到端口都是关闭的，但用syn扫描却发现对方11个tcp端口。下面我们扫描一个不是windows系列的操作系统，-sF参数扫描如图2-5-b所示图2-5-b sF参数扫描.lib.hust.edu.对方的主机是IBM AIX 5.3 - 6.1，所以像443/tcp等关闭的端口操作系统会返回一个rst|ack，可以被nmap侦测到。其它的966都是open或者filtered。-sX参数扫描如图2-5-c所示图2-5-c sX参数扫描.lib.hust.edu.这里

5、的扫描结果与-sF的扫描结果一致，原理也基本一致，这里就不再解释了。i) -sA(TCP ack scan)参数扫描如图2-6图2-6 由于对方对每个ack报文都回复了rst，所以nmap判断所有的端口都没有过滤。j) sW(TCP window scan)参数扫描如图2-7图2-7 由于对方的所有回复报文均为rst故nmap判断对方所有端口关闭。k) sM(TCP Maimon scan)参数扫描如图2-8图2-8 -sM扫描实际是将sck和fin置位，对方以rst应答，nmap判断对方的所有端口都是开放或者被过滤的。l) sO(IP protocol scan)参数扫描如图2-9图2-9

6、-sO扫描了IP协议相关的配置，如对方开放了ICMP协议、tcp协议以及UDP协议，而igmp、ip、ipv6、esp以及ah协议被检测为open|filtered。m) scanflags(Custom TCPscan)参数扫描如图2-10图2-10 -scanflags 2 其实就是syn扫描机-sS所以扫描的结果与-sS（图2-1）应该基本相同。3 深入了解Nmap OS指纹库的结构和含义a)图3-A-1 图3-B-2 由于使用了-d 参数，所以nmap会打印出匹配的指纹信息，下面我们就讨论一下，这些指纹信息是如何计算出来的，以及nmap是如何通过指纹库判断操作系统的。b) Scan行此

7、行反映了扫描的环境信息，如V=5.21说明nmap的版本是5.21，P=i686-pc-windows-windows说明扫描者的平台是i686，操作系统是windows系列的。还有一些选项，不知道其具体是什么意思，但这对判断操作系统应该影响不大，所以就没有深入研究。c) SEQ行首先，我们看看nmap-os-db中对应于Fingerprint Microsoft Windows XP SP2，的SEQ行：SEQ(SP=FA-108%GCD=1-6%ISR=106-110%TI=I%II=I%SS=S%TS=0)。下面我们先计算GCD： 由nmap的官方文档nmap.org/book/osde

8、tect-methods.html#osdetect-gcd 可知，GCD是由Packet #1-Packet #6 这六个报文的响应报文推到而来的，下面我们找到这些报文，我们首先找到 Packet #1，可以通过如下的过滤参数得到：ip.addr=211.69.207.234&tcp.options.wscale_val=10&tcp.window_size=1，结果如图3-C-1：图3-C-1 Packet#1报文由图3-C-1可知Packet#1报文的序号为2054，那么我们就可以通过此序号找到其它的五个报文，如图3-C-2： 图3-C-2 Packet#X以及它们的响应报文下面我们计算

9、各个响应报文之间的差值，以及差值的最大公约数。我们用数组diff1保存各个差值，并只给出计算diff10的详细过程，以及相关数据包的截图。第一个响应报文为2055号报文，报文容如图3-C-3：图3-C-3 2055号报文wireshark截图wireshark用相对值反映tcp的ISN，我们必须用实际的ISN，那么ISN=0X54f7491f。第二个响应报文为2057号报文，报文的容如图3-C-4：图3-C-4 2057号报文的wireshark截图ISN=0Xee7f5d13，所以diff10= 0Xee7f5d13-0X54f7491f=0X998813F4由于响应报文的ISN依次为：0X

10、54f7491f、0Xee7f5d13、0X34447a3c、0Xf9b8bea0、0Xc0c45029、0X7f375ad7同理可得（具体报文请参考os_detect.pcap文件）：diff10= 0Xee7f5d13-0X54f7491f=0X998813F4（已得到）Diff21= 0X34447a3c-0Xee7f5d13+0Xffffffff=0X45C51D28Diff32=0Xf9b8bea0-0X34447a3c=0XC5744464Diff43= 0Xf9b8bea0-0Xc0c45029=0X38F46E77Diff54= 0Xc0c45029-0X7f375ad7=0X

11、418CF552由此可得：GCD=（0X998813F4，0X45C51D28，0XC5744464，0X38F46E77，0X418CF552）=1，也就是GCD在1和6之间。与nmap的打印结果不同。下面计算ISR：我们用数组seq_rates表示各个响应报文之间的初始序列号增长率，那么通过图3-C-2和diff1数组可以计算seq_rates：Seq_rates0= 0X998813F4/(4.965939-4.856578)=.78Seq_rates1=4.965939)=.72Seq_rates2= 0XC5744464/(5.184631-5.075279)= .68Seq_rat

12、es4= 0X418CF552/(5.403459-5.294036)= .19AVG(seq_rates)=( .78+.72+.68+8733998985.42+8733998985.42+.19)/5=.758ISR=8*log.758=0X10F,但不知为什么与nmap打印的0X106有一定的偏差。说明：log的底默认为2下面计算SP：SP=8*logStandardDivision（seq_rates）=8*log 9687277259.89=0X109，但nmap打印的0X105，计算的结果还是与nmap的有些偏差。下面计算TI:探测SEQ响应报文（图3-C-2中有响应的序列号）的

13、IP_ID分别为：16538、16541、16542、16543、16544、16545，显然，IP_ID的增量小于10，所以TI=I，与nmap的打印结果一致。下面计算CI：由于CI要由T5、T6、T7的响应报文计算出来，下面我们就找到T2-T7，在wireshark中输入过滤参数：ip.addr=211.69.207.234&tcp.options.mss_val=265得到过滤结果如图3-C-5图3-C-5找到T2报文由图3-C-5可知T2的报文序列号为2074，下面我们可以找到T2-T7如图3-C-6所示图3-C-6 T2-T7以及它们的响应报文下面我们看看T5、T6、T7的响应报文的

14、IP_ID，请看图3-C-7、图3-C-8和图3-C-9，图3-C-7 T5的响应报文图3-C-8 T6的响应报文图3-C-9 T7的响应报文从以上3个图可以看出，T5、T6、T7响应报文的IP_ID分别为：16553、16554、16555，显然它们的差值小于10所以CI=I，这与nmap的打印结果一致。下面计算II：由于II需要IE探测包的响应报文，那么我们就先找到两个IE探测包，使用如下wireshark过滤参数：ip.addr=211.69.207.234&icmp得到如图3-C-10的结果图3-C-10 IE探测包及其响应报文下面我们得到两个IE探测包响应报文的截图，如图3-C-11和图3-C-12图3-C-11 第一个IE探测包响应报文图3-C-12第二个IE探测包响应报文由以上两个图可以看出IP_ID分别为，16546、16547，所以它们的差值为1，小于10，所以II=I，这与nmap的打印结果一致。下面计算SS：探测SEQ响应报文（图3-C-2中有响应的序列号）的IP_ID分别为：16538、16541、16542、16543、16544、16545，那么有：Agv=（16545-16538）/（6-1）=1.4；又由于第一个icmp响应报文IP_ID