《Nmap使用指南1.0个人精心整理》由会员分享,可在线阅读,更多相关《Nmap使用指南1.0个人精心整理(36页珍藏版)》请在金锄头文库上搜索。
1、editor: kylin.zhangNMAP/ZENMAP使用指南NMAP70RG2011-1017VERSION L0目 录Nmap/Zenmap 使用指南1一、Nmap/Zenmap 简介3二、端口扫描技术 31、端口扫描基础 32、Nmap指令语法 53、端口扫描技术74、端口说明和扫描顺序 11三、Nmap的拓展功能121、服务版本探测 122、操作系统探测143、其他选项14四、CLI模式(命令行界面)151、Windows 下安装配置验证 152、Unix/Linux下安装验证 153、Nmap 的使用。 16五、GUI模式(图形用户界面)/Zenmap 161、Windows平
2、台下的安装配置和验证 172、Unix/Linux平台下的安装验证 173、Zenmap的常用使用方法17六、应用实例30七、附录32-# -editor: kylin.zhang一、Nmap/Zenmap 简介重点是功能介绍Nmap (“ Network Map per (网络映射器)” 是一款开放源代码的网络探测 和安全审核的工具,支持在 Windows、Unix/Linux以及MAC OS平台下运行。它 的设计目标是快速地扫描大型网络,当然用它扫描单个主机也没有问题。Nmap以新颖的方式使用原始IP报文来发现网络上有哪些主机,那些主机提供什么服 务(应用程序名和版本),那些服务运行在什么
3、操作系统(包括版本信息),它们 使用什么类型的报文过滤器/防火墙,以及一堆其它功能。虽然 Nmap通常用于 安全审核,许多系统管理员和网络管理员也用它来做一些日常的工作,比如查看整个网络的信息,管理服务升级计划,以及监视主机和服务的运行。Zenmap是官方推出的一款基于nmap的安全扫描GUI (图形用户界面),它 是一款多平台(Windows、Unix/Linux、MAC OS等)免费开源的应用程序,它的 推出使得Nmap对于新手来说更容易上手同事也对有经验的用户提供了更高级 的特性。经常被用到的扫描被保存成了预配置项,这使得重复利用变得极其容易。 当然也允许互动的创建命令行。扫描的结果能够
4、被保存下来供后续分析, 可以将 不同的保存下来的扫描结果进行对比以找出差异。 最近的扫描结果会被保存在一 个可搜索的数据库中。有了这款工具就让我们可以更直观的使用 Nmap的强大功 能。二、端口扫描技术基础及进阶1、端口扫描基础虽然Nmap这些年来功能越来越多,它也是从一个高效的端口扫描器开始的,并且那仍然是它的核心功能。nmap target这个简单的命令扫描目标主机上的超 过1660个TCP端 口。许多传统的端口扫描器只列出所有端口是开放还是关闭的, Nmap的信息粒度比它们要细得多。它把端口分成六个状态:open (开放的),closed (关闭的),filtered (被过滤的),un
5、filtered (未被过滤的),openfiltered (开放或者被过滤的),或者closed|filtered (关闭或者未被过滤的)。当然这些 状态并非端口本身的性质,而是描述 Nmap怎样看待它们。例如:对于同样的目 标机器的135/tcp端口,从同网络扫描显示它是开放的,而跨网络作完全相同的 扫描则可能显示它是filtered (被过滤的)。Nmap所识别的六个端口状态:Open (开放的):应用程序正在该端口接收TCP连接或者UDP报文。发现这一 点常常是端口扫描的主要目标。安全意识强的人们知道每个开放的端口都是攻击 的入口。攻击者或者入侵测试者想要发现开放的端口。而管理员则试图
6、关闭它们或者用防火墙保护它们以免妨碍了合法用户。 非安全扫描可能对开放的端口也感 兴趣,因为它们显示了网络上哪些服务可供使用。Closed (关闭的):关闭的端口对于Nmap也是可访问的(它接受 Nmap的探测 报文并作出响应),但没有应用程序在其上监听。它们可以显示出该IP地址上(主 机发现,或者ping扫描)的主机正在运行,也对部分操作系统探测有所帮助。 因为关闭的关口是可访问的,也许过会儿值得再扫描一下,可能一些又开放了。 系统管理员可能会考虑用防火墙封锁这样的端口。那样他们就会被显示为被过滤的状态,下面讨论。Filtered (被过滤的):由于包过滤阻止探测报文到达端口,Nmap无法确
7、定该端口是否开放。过滤可能来自专业的防火墙设备,路由器规则或者主机上的软件防 火墙。这样的端口让攻击者感觉很挫折,因为它们几乎不提供任何信息。 有时候它们响应ICMP错误消息如类型3代码13(无法到达目标:通信被管理员禁止), 但更普遍的是过滤器只是丢弃探测帧,不做任何响应。这迫使 Nmap重试,这使 得扫描速度明显变慢。Unfiltered (未被过滤的):未被过滤状态意味着端口可访问,但 Nmap不能确定 它是开放还是关闭。只有用于映射防火墙规则集的 ACK扫描才会把端口分类到 这种状态。用其它类型的扫描如窗口扫描,SYN扫描,或者FIN扫描来扫描未被 过滤的端口可以帮助确定端口是否开放。
8、Open|Filtered(开放或者被过滤的):当无法确定端口是开放还是被过滤的,Namp 就把该端口划分成这种状态。开放的端口不响应就是一个例子。没有响应也可能意味着报文过滤器丢弃了探测报文或者它引发的任何响应。因此Nmap无法确定该端口是开放的还是被过滤的。UDP, IP协议,FIN, Null,和Xmas扫描可能把 端口归入此类。Closed|Filtered(关闭或者被过滤的):该状态用于Nmap不能确定端口是关闭的 还是被过滤的。它只可能出现在IPID Idle扫描中。2、Nmap指令语法nmap 扫描类型 选项 扫描目标说明 其中扫描类型和选项参考后边的端口扫描技术部分,此处将详细
9、解释一下扫描目标说明部分。有时候您希望扫描整个网络的相邻主机。为此,Nmap支持CIDR风格的地址。您可以附加一个/numbit在一个IP地址或主机名后面,Nmap将会扫描所 有和该参考IP地址具有 numbit相同比特的所有IP地址或主机。例如,192.168.10.0/24 将 会扫描 192.168.10.0 (二进制格式:11000000 10101000 00001010 00000000)和 192.168.10.255 (二进制格式:11000000 10101000 00001010 11111111)之间的256台主机。192.168.10.40/24将会做同样的事情。假设主
10、机 seanme.nmap.org的 IP地址是 205.217.153.62,seanme.nmap.org/16 将 扫描205.217.0.0和205.217.255.255之间的65,536个IP地址。所允许的最小值 是/1,这将会扫描半个互联网。最大值是/32,这将会扫描该主机或IP地址,因 为所有的比特都固定了。CIDR标志位很简洁但有时候不够灵活。例如,您也许想要扫描 192.168.0.0/16,但略过任何以.0或者.255结束的IP地址,因为它们通常是广播 地址。Nmap通过八位字节地址范围支持这样的扫描您可以用逗号分开的数字或 范围列表为IP地址的每个八位字节指定它的范围。
11、 例如,192.168.0-255.1-254将 略过在该范围内以.0和.255结束的地址。范围不必限于最后的8位: 0-255.0-255.13.37将在整个互联网范围内扫描所有以 13.37结束的地址。这种大 范围的扫描对互联网调查研究也许有用。IPv6地址只能用规范的IPv6地址或主机名指定。CIDR和八位字节范围不支 持IPv6,因为它们对于IPv6几乎没什么用。Nmap命令行接受多个主机说明,它们不必是相同类型。例如命令nmapscanme.nmap.org 192.168.0.0/8 10.0.Q 1, 3-7.0-255 将和您预期的一样执行。虽然目标通常在命令行指定,下列选项也
12、可用来控制目标的选择:-iL (从列表中输入)从中读取目标说明。在命令行输入 一堆主机名显得很 笨拙,然而经常需要这样。例如,您的DHCP服务器可能导出10,000个当前租约 的列表,而您希望对它们进行 扫描。如果您不是使用未授权的静态IP来定位主 机,或许您想要扫描所有IP地址。只要生成要扫描的主机的列表,用-iL把文件 名作为选项传给Nmap。列表中的项可以是Nmap在 命令行上接受的任何格式(IP 地址,主机名,CIDR IPv6,或者八位字节范围)。每一项必须以一个或多个空格, 制表符或换行符分开。如果您希望 Nmap从标准输入而不是实际文件读取列表, 您可以用一个连字符(-)作为文件
13、名。-iR 随机选择目标)对于互联网范围内的调查和研究,您也许想随机地选择目标。vhost num 选项告诉Nmap生成多少个IP。不合需要的IP如特定的私有,组播或者未分配 的地址自动 略过。选项0意味着永无休止的扫描。记住,一些网管对于未授权 的扫描可能会很感冒并加以抱怨。 使用该选项的后果自负!如果在某个雨天的下 午,您觉得实在无聊,试试这个命令nmap -sS -PS80 -iR 0 -p 8随机地找一些网站 浏览。-exclude (排除主机 /网络)如果在您指定的扫描范围有一些主机或网络不是您的目标,那就用该选项加上以逗号分隔的列表排除它们。该列表用正常的Nmap语法,因此它可以包
14、 括主机名,CIDR八位字节范围等等。当您希望扫描的网络包含执行关键任务的 服务器,已知的对端口扫描反应强烈的系统或者被其它人看管的子网时,这也许有用。-excludefile 排除文件中的列表)这和-exclude选项的功能一样,只是所排除的目标是用以换行符,空格,或者制表符分隔的供的,而不是在命令行上输入的。3、端口扫描技术既然Nmap是免费的,那么掌握端口扫描的唯一障碍就是知识。 没有经验的 用户和刚入门者总是用默认的 SYN扫描解决每个问题,而专家则总能够选择最合 适的一种扫描技术来完成给定的任务,这就是专家嘴里说的“打的扫描技术” 。虽然Nmap努力产生正确的结果,但请记住所有结果都
15、是基于目标机器(或者它们前面的防火墙)返回的报文的。这些主机也许是不值得信任的,它们可能 响应以迷惑或误导Nmap的报文。更普遍的是非RFC兼容的主机以不正确的方式 响应Nmap探测。FIN, Null和Xmas扫描特别容易遇到这个问题。不过这几种 都是特定扫描类型的问题,会在个别扫描类型中讨论到。大部分扫描类型只对特权用户可用,这是因为他们发送接收原始报文在 Unix 系统下需要root权限,在Windows上推荐使用administrator账户。但是当 WinPcap 已经被加载到操作系统时,非特权用户也可以正常使用Nmap。特权选项让Nmap 强大得多也灵活得多。Nmap支持的扫描类型大概有十几种,一般一次只使用一种,不过UDP扫描 (-sU)倒是可以和任何一种 TCP扫描类型结合使用。端口扫描类型的选项格式 是-s 通常是扫描类型的首字符(不过也有例外)。默认情况下,Nmap执行一个SYN扫描,但是如果用户没有权限发送原始报 文
