1.名稱
nmap-網絡探測和安全掃描工具
2.語法
nmap [Scan Type(s)] [Options]
3.描述
nmap是一個網絡探測和安全掃描程序,系統管理者和個人可以使用這個軟件掃描大型的網絡,獲取那臺主機正在運行以及提供什麼服務等信息。 nmap支持很多掃描技術,例如:UDP、TCP connect()、TCP SYN(半開掃描)、ftp代理(bounce攻擊)、反向標誌、ICMP、FIN、ACK掃描、聖誕樹(Xmas Tree)、SYN掃描和null掃描。從掃描類型一節可以得到細節。nmap還提供了一些高級的特徵,例如:通過TCP/IP協議棧特徵探測操作系統類 型,祕密掃描,動態延時和重傳計算,並行掃描,通過並行ping掃描探測關閉的主機,誘餌掃描,避開端口過濾檢測,直接RPC掃描(無須端口影射),碎片 掃描,以及靈活的目標和端口設定。
爲了提高nmap在non-root狀態下的性能,軟件的設計者付出了很大的努力。很不幸,一些內核界面(例如raw socket)需要在root狀態下使用。所以應該儘可能在root使用nmap。
nmap運行通常會得到被掃描主機端口的列表。nmap總會給出well known端口的服務名(如果可能)、端口號、狀態和協議等信息。每個端口的狀態有:open、filtered、unfiltered。open狀態意 味着目標主機能夠在這個端口使用accept()系統調用接受連接。filtered狀態表示:防火牆、包過濾和其它的網絡安全軟件掩蓋了這個端口,禁止 nmap探測其是否打開。unfiltered表示:這個端口關閉,並且沒有防火牆/包過濾軟件來隔離nmap的探測企圖。通常情況下,端口的狀態基本都 是unfiltered狀態,只有在大多數被掃描的端口處於filtered狀態下,纔會顯示處於unfiltered狀態的端口。
根據使用的功能選項,nmap也可以報告遠程主機的下列特徵:使用的操作系統、TCP序列、運行綁定到每個端口上的應用程序的用戶名、DNS名、主機地址是否是欺騙地址、以及其它一些東西。
4.功能選項
功能選項可以組合使用。一些功能選項只能夠在某種掃描模式下使用。nmap會自動識別無效或者不支持的功能選項組合,並向用戶發出警告信息。
如果你是有經驗的用戶,可以略過結尾的示例一節。可以使用nmap -h快速列出功能選項的列表。
4.1 掃描類型
-sTTCP connect()掃描:這是最基本的TCP掃描方式。connect()是一種系統調用,由操作系統提供,用來打開一個連接。如果目標端口有程序監聽, connect()就會成功返回,否則這個端口是不可達的。這項技術最大的優點是,你勿需root權限。任何UNIX用戶都可以自由使用這個系統調用。這 種掃描很容易被檢測到,在目標主機的日誌中會記錄大批的連接請求以及錯誤信息。
-sS
TCP同步掃描(TCP SYN):因爲不必全部打開一個TCP連接,所以這項技術通常稱爲半開掃描(half-open)。你可以發出一個TCP同步包(SYN),然後等待回 應。如果對方返回SYN|ACK(響應)包就表示目標端口正在監聽;如果返回RST數據包,就表示目標端口沒有監聽程序;如果收到一個SYN|ACK包, 源主機就會馬上發出一個RST(復位)數據包斷開和目標主機的連接,這實際上有我們的操作系統內核自動完成的。這項技術最大的好處是,很少有系統能夠把這 記入系統日誌。不過,你需要root權限來定製SYN數據包。
-sF -sF -sN
祕密FIN數據包掃描、聖誕 樹(Xmas Tree)、空(Null)掃描模式:即使SYN掃描都無法確定的情況下使用。一些防火牆和包過濾軟件能夠對發送到被限制端口的SYN數據包進行監視,而 且有些程序比如synlogger和courtney能夠檢測那些掃描。這些高級的掃描方式可以逃過這些干擾。這些掃描方式的理論依據是:關閉的端口需要 對你的探測包迴應RST包,而打開的端口必需忽略有問題的包(參考RFC 793第64頁)。FIN掃描使用暴露的FIN數據包來探測,而聖誕樹掃描打開數據包的FIN、URG和PUSH標誌。不幸的是,微軟決定完全忽略這個標 準,另起爐竈。所以這種掃描方式對Windows95/NT無效。不過,從另外的角度講,可以使用這種方式來分別兩種不同的平臺。如果使用這種掃描方式可 以發現打開的端口,你就可以確定目標註意運行的不是Windows系統。如果使用-sF、-sX或者-sN掃描顯示所有的端口都是關閉的,而使用SYN掃 描顯示有打開的端口,你可以確定目標主機可能運行的是Windwos系統。現在這種方式沒有什麼太大的用處,因爲nmap有內嵌的操作系統檢測功能。還有 其它幾個系統使用和windows同樣的處理方式,包括Cisco、BSDI、HP/UX、MYS、IRIX。在應該拋棄數據包時,以上這些系統都會從打 開的端口發出復位數據包。
-sP
ping掃描:有時你只是想知道此時網絡上哪些主機正在運行。通過向你指定的網絡 內的每個IP地址發送ICMP echo請求數據包,nmap就可以完成這項任務。如果主機正在運行就會作出響應。不幸的是,一些站點例如:microsoft.com阻塞ICMP echo請求數據包。然而,在默認的情況下nmap也能夠向80端口發送TCP ack包,如果你收到一個RST包,就表示主機正在運行。nmap使用的第三種技術是:發送一個SYN包,然後等待一個RST或者SYN/ACK包。對於 非root用戶,nmap使用connect()方法。
在默認的情況下(root用戶),nmap並行使用ICMP和ACK技術。
注意,nmap在任何情況下都會進行ping掃描,只有目標主機處於運行狀態,纔會進行後續的掃描。如果你只是想知道目標主機是否運行,而不想進行其它掃描,纔會用到這個選項。
-sU
UDP掃描:如果你想知道在某臺主機上提供哪些UDP(用戶數據報協議,RFC768)服務,可以使用這種掃描方法。nmap首先向目標主機的每個端口發出一個0字節的UDP包,如果我們收到端口不可達的ICMP消息,端口就是關閉的,否則我們就假設它是打開的。
有些人可能會想UDP掃描是沒有什麼意思的。但是,我經常會想到最近出現的solaris rpcbind缺陷。rpcbind隱藏在一個未公開的UDP端口上,這個端口號大於32770。所以即使端口111(portmap的衆所周知端口號) 被防火牆阻塞有關係。但是你能發現大於30000的哪個端口上有程序正在監聽嗎?使用UDP掃描就能!cDc Back Orifice的後門程序就隱藏在Windows主機的一個可配置的UDP端口中。不考慮一些通常的安全缺陷,一些服務例如:snmp、tftp、NFS 使用UDP協議。不幸的是,UDP掃描有時非常緩慢,因爲大多數主機限制ICMP錯誤信息的比例(在RFC1812中的建議)。例如,在Linux內核中 (在net/ipv4/icmp.h文件中)限制每4秒鐘只能出現80條目標不可達的ICMP消息,如果超過這個比例,就會給1/4秒鐘的處罰。 solaris的限制更加嚴格,每秒鐘只允許出現大約2條ICMP不可達消息,這樣,使掃描更加緩慢。nmap會檢測這個限制的比例,減緩發送速度,而不 是發送大量的將被目標主機丟棄的無用數據包。
不過Micro$oft忽略了RFC1812的這個建議,不對這個比例做任何的限制。所以我們可以能夠快速掃描運行Win95/NT的主機上的所有65K個端口。
-sA
ACK掃描:這項高級的掃描方法通常用來穿過防火牆的規則集。通常情況下,這有助於確定一個防火牆是功能比較完善的或者是一個簡單的包過濾程序,只是阻塞進入的SYN包。
這種掃描是向特定的端口發送ACK包(使用隨機的應答/序列號)。如果返回一個RST包,這個端口就標記爲unfiltered狀態。如果什麼都沒有返 回,或者返回一個不可達ICMP消息,這個端口就歸入filtered類。注意,nmap通常不輸出unfiltered的端口,所以在輸出中通常不顯示 所有被探測的端口。顯然,這種掃描方式不能找出處於打開狀態的端口。
-sW
對滑動窗口的掃描:這項高級掃描技術非 常類似於ACK掃描,除了它有時可以檢測到處於打開狀態的端口,因爲滑動窗口的大小是不規則的,有些操作系統可以報告其大小。這些系統至少包括:某些版本 的AIX、Amiga、BeOS、BSDI、Cray、Tru64 UNIX、DG/UX、OpenVMS、Digital UNIX、OpenBSD、OpenStep、QNX、Rhapsody、SunOS 4.x、Ultrix、VAX、VXWORKS。從nmap-hackers郵件3列表的文檔中可以得到完整的列表。
-sR
RPC掃描。這種方法和nmap的其它不同的端口掃描方法結合使用。選擇所有處於打開狀態的端口向它們發出SunRPC程序的NULL命令,以確定它們 是否是RPC端口,如果是,就確定是哪種軟件及其版本號。因此你能夠獲得防火牆的一些信息。誘餌掃描現在還不能和RPC掃描結合使用。
-b
FTP反彈攻擊(bounce attack):FTP協議(RFC 959)有一個很有意思的特徵,它支持代理FTP連接。也就是說,我能夠從evil.com連接到FTP服務器target.com,並且可以要求這臺 FTP服務器爲自己發送Internet上任何地方的文件!1985年,RFC959完成時,這個特徵就能很好地工作了。然而,在今天的Internet 中,我們不能讓人們劫持FTP服務器,讓它向Internet上的任意節點發送數據。如同Hobbit在1995年寫的文章中所說的,這個協議"能夠用來 做投遞虛擬的不可達郵件和新聞,進入各種站點的服務器,填滿硬盤,跳過防火牆,以及其它的騷擾活動,而且很難進行追蹤"。我們可以使用這個特徵,在一臺代 理FTP服務器掃描TCP端口。因此,你需要連接到防火牆後面的一臺FTP服務器,接着進行端口掃描。如果在這臺FTP服務器中有可讀寫的目錄,你還可以 向目標端口任意發送數據(不過nmap不能爲你做這些)。
傳遞給-b功能選項的參數是你要作爲代理的FTP服務器。語法格式爲:
-b username:password@server:port。
除了server以外,其餘都是可選的。如果你想知道什麼服務器有這種缺陷,可以參考我在Phrack 51發表的文章。還可以在nmap的站點得到這篇文章的最新版本。
4.2 通用選項
這些內容不是必需的,但是很有用。
-P0在掃描之前,不必ping主機。有些網絡的防火牆不允許ICMP echo請求穿過,使用這個選項可以對這些網絡進行掃描。microsoft.com就是一個例子,因此在掃描這個站點時,你應該一直使用-P0或者-PT 80選項。
-PT
掃描之前,使用TCP ping確定哪些主機正在運行。nmap不是通過發送ICMP echo請求包然後等待響應來實現這種功能,而是向目標網絡(或者單一主機)發出TCP ACK包然後等待迴應。如果主機正在運行就會返回RST包。只有在目標網絡/主機阻塞了ping包,而仍舊允許你對其進行掃描時,這個選項纔有效。對於非 root用戶,我們使用connect()系統調用來實現這項功能。使用-PT <端口號>來設定目標端口。默認的端口號是80,因爲這個端口通常不會被過濾。
-PS
對於root用戶,這個選項讓nmap使用SYN包而不是ACK包來對目標主機進行掃描。如果主機正在運行就返回一個RST包(或者一個SYN/ACK包)。
-PI
設置這個選項,讓nmap使用真正的ping(ICMP echo請求)來掃描目標主機是否正在運行。使用這個選項讓nmap發現正在運行的主機的同時,nmap也會對你的直接子網廣播地址進行觀察。直接子網廣 播地址一些外部可達的IP地址,把外部的包轉換爲一個內向的IP廣播包,向一個計算機子網發送。這些IP廣播包應該刪除,因爲會造成拒絕服務攻擊(例如 smurf)。
-PB
這是默認的ping掃描選項。它使用ACK(-PT)和ICMP(-PI)兩種掃描類型並行掃描。如果防火牆能夠過濾其中一種包,使用這種方法,你就能夠穿過防火牆。
-O
這個選項激活對TCP/IP指紋特徵(fingerprinting)的掃描,獲得遠程主機的標誌。換句話說,nmap使用一些技術檢測目標主機操作系 統網絡協議棧的特徵。nmap使用這些信息建立遠程主機的指紋特徵,把它和已知的操作系統指紋特徵數據庫做比較,就可以知道目標主機操作系統的類型。
-I
這個選項打開nmap的反向標誌掃描功能。Dave Goldsmith 1996年向bugtap發出的郵件注意到這個協議,ident協議(rfc 1413)允許使用TCP連接給出任何進程擁有者的用戶名,即使這個進程並沒有初始化連接。例如,你可以連接到HTTP端口,接着使用identd確定這 個服務器是否由root用戶運行。這種掃描只能在同目標端口建立完全的TCP連接時(例如:-sT掃描選項)才能成功。使用-I選項是,遠程主機的 identd精靈進程就會查詢在每個打開的端口上監聽的進程的擁有者。顯然,如果遠程主機沒有運行identd程序,這種掃描方法無效。
-f
這個選項使nmap使用碎片IP數據包發送SYN、FIN、XMAS、NULL。使用碎片數據包增加包過濾、入侵檢測系統的難度,使其無法知道你的企 圖。不過,要慎重使用這個選項!有些程序在處理這些碎片包時會有麻煩,我最喜歡的嗅探器在接受到碎片包的頭36個字節時,就會發生 segmentation faulted。因此,在nmap中使用了24個字節的碎片數據包。雖然包過濾器和防火牆不能防這種方法,但是有很多網絡出於性能上的考慮,禁止數據包的 分片。
注意這個選項不能在所有的平臺上使用。它在Linux、FreeBSD、OpenBSD以及其它一些UNIX系統能夠很好工作。
-v
冗餘模式。強烈推薦使用這個選項,它會給出掃描過程中的詳細信息。使用這個選項,你可以得到事半功倍的效果。使用-d選項可以得到更加詳細的信息。
-h
快速參考選項。
-oN
把掃描結果重定向到一個可讀的文件logfilename中。
-oM
把掃描結果重定向到logfilename文件中,這個文件使用主機可以解析的語法。你可以使用-oM -來代替logfilename,這樣輸出就被重定向到標準輸出stdout。在這種情況下,正常的輸出將被覆蓋,錯誤信息荏苒可以輸出到標準錯誤 stderr。要注意,如果同時使用了-v選項,在屏幕上會打印出其它的信息。
-oS thIs l0gz th3 r3suLtS of YouR ScanZ iN a s|
THe fiL3 U sPecfy 4s an arGuMEnT! U kAn gIv3 the 4rgument '-'
(wItHOUt qUOteZ) to sh00t output iNT0 stDouT!@!! 莫名其妙,下面是我猜着翻譯的,相形字?:)
把掃描結果重定向到一個文件logfilename中,這個文件使用一種"黑客方言"的語法形式(作者開的玩笑?)。同樣,使用-oS -就會把結果重定向到標準輸出上。
-resume
某個網絡掃描可能由於control-C或者網絡損失等原因被中斷,使用這個選項可以使掃描接着以前的掃描進行。logfilename是被取消掃描的 日誌文件,它必須是可讀形式或者機器可以解析的形式。而且接着進行的掃描不能增加新的選項,只能使用與被中斷的掃描相同的選項。nmap會接着日誌文件中 的最後一次成功掃描進行新的掃描。
-iL
從inputfilename文件中讀取掃描的目標。在這個文件中要有一個主機或者網絡的列表,由空格鍵、製表鍵或者回車鍵作爲分割符。如果使用-iL -,nmap就會從標準輸入stdin讀取主機名字。你可以從指定目標一節得到更加詳細的信息。
-iR
讓nmap自己隨機挑選主機進行掃描。
-p <端口範圍>
這個選項讓你選擇要進行掃描的端口號的範圍。例如,-p 23表示:只掃描目標主機的23號端口。-p 20-30,139,60000-表示:掃描20到30號端口,139號端口以及所有大於60000的端口。在默認情況下,nmap掃描從1到1024號 以及nmap-services文件(如果使用RPM軟件包,一般在/usr/share/nmap/目錄中)中定義的端口列表。
-F
快速掃描模式,只掃描在nmap-services文件中列出的端口。顯然比掃描所有65535個端口要快。
-D
使用誘餌掃描方法對目標網絡/主機進行掃描。如果nmap使用這種方法對目標網絡進行掃描,那麼從目標主機/網絡的角度來看,掃描就象從其它主機 (decoy1,等)發出的。從而,即使目標主機的IDS(入侵檢測系統)對端口掃描發出報警,它們也不可能知道哪個是真正發起掃描的地址,哪個是無辜 的。這種掃描方法可以有效地對付例如路由跟蹤、response-dropping等積極的防禦機制,能夠很好地隱藏你的IP地址。
每個誘餌 主機名使用逗號分割開,你也可以使用ME選項,它代表你自己的主機,和誘餌主機名混雜在一起。如果你把ME放在第六或者更靠後的位置,一些端口掃描檢測軟 件幾乎根本不會顯示你的IP地址。如果你不使用ME選項,nmap會把你的IP地址隨機夾雜在誘餌主機之中。
注意:你用來作爲誘餌的主機應該 正在運行或者你只是偶爾向目標發送SYN數據包。很顯然,如果在網絡上只有一臺主機運行,目標將很輕鬆就會確定是哪臺主機進行的掃描。或許,你還要直接使 用誘餌的IP地址而不是其域名,這樣誘餌網絡的域名服務器的日誌上就不會留下關於你的記錄。
還要注意:一些愚蠢的端口掃描檢測軟件會拒絕路由試圖進行端口掃描的主機。因而,你需要讓目標主機和一些誘餌斷開連接。如果誘餌是目標主機的網關或者就是其自己時,會給目標主機造成很大問題。所以你需要慎重使用這個選項。
誘餌掃描既可以在起始的ping掃描也可以在真正的掃描狀態下使用。它也可以和-O選項組合使用。
使用太多的誘餌掃描能夠減緩你的掃描速度甚至可能造成掃描結果不正確。同時,有些ISP會把你的欺騙包過濾掉。雖然現在大多數的ISP不會對此進行限制。
-S <IP_Address>
在一些情況下,nmap可能無法確定你的源地址(nmap會告訴你)。在這種情況下,可以使用這個選項給出你的IP地址。
在欺騙掃描時,也使用這個選項。使用這個選項可以讓目標認爲是其它的主機對自己進行掃描。
-e
告訴nmap使用哪個接口發送和接受數據包。nmap能夠自動對此接口進行檢測,如果無效就會告訴你。
-g
設置掃描的源端口。一些天真的防火牆和包過濾器的規則集允許源端口爲DNS(53)或者FTP-DATA(20)的包通過和實現連接。顯然,如果攻擊者 把源端口修改爲20或者53,就可以摧毀防火牆的防護。在使用UDP掃描時,先使用53號端口;使用TCP掃描時,先使用20號端口。注意只有在能夠使用 這個端口進行掃描時,nmap纔會使用這個端口。例如,如果你無法進行TCP掃描,nmap會自動改變源端口,即使你使用了-g選項。
對於一些掃描,使用這個選項會造成性能上的微小損失,因爲我有時會保存關於特定源端口的一些有用的信息。
-r
告訴nmap不要打亂被掃描端口的順序。
--randomize_hosts
使nmap在掃描之前,打亂每組掃描中的主機順序,nmap每組可以掃描最多2048臺主機。這樣,可以使掃描更不容易被網絡監視器發現,尤其和--scan_delay 選項組合使用,更能有效避免被發現。
-M
設置進行TCP connect()掃描時,最多使用多少個套接字進行並行的掃描。使用這個選項可以降低掃描速度,避免遠程目標宕機。
4.3 適時選項
通常,nmap在運行時,能夠很好地根據網絡特點進行調整。掃描時,nmap會盡量減少被目標檢測到的機會,同時儘可能加快掃描速度。然而,nmap默認的適時策略有時候不太適合你的目標。使用下面這些選項,可以控制nmap的掃描timing:
-T設置nmap的適時策略。Paranoid:爲了避開IDS的檢測使掃描速度極慢,nmap串行所有的掃描,每隔至少5分鐘發送一個包;Sneaky: 也差不多,只是數據包的發送間隔是15秒;Polite:不增加太大的網絡負載,避免宕掉目標主機,串行每個探測,並且使每個探測有0.4秒種的間隔; Normal:nmap默認的選項,在不是網絡過載或者主機/端口丟失的情況下儘可能快速地掃描;Aggressive:設置5分鐘的超時限制,使對每臺 主機的掃描時間不超過5分鐘,並且使對每次探測迴應的等待時間不超過1.5秒鐘;b>Insane:只適合快速的網絡或者你不在意丟失某些信息,每 臺主機的超時限制是75秒,對每次探測只等待0.3秒鐘。你也可是使用數字來代替這些模式,例如:-T 0等於-T Paranoid,-T 5等於-T Insane。
這些適時模式不能下面的適時選項組合使用。
--host_timeout
設置掃描一臺主機的時間,以毫秒爲單位。默認的情況下,沒有超時限制。
--max_rtt_timeout
設置對每次探測的等待時間,以毫秒爲單位。如果超過這個時間限制就重傳或者超時。默認值是大約9000毫秒。
--min_rtt_timeout
當目標主機的響應很快時,nmap就縮短每次探測的超時時間。這樣會提高掃描的速度,但是可能丟失某些響應時間比較長的包。使用這個選項,可以讓nmap對每次探測至少等待你指定的時間,以毫秒爲單位。
--initial_rtt_timeout
設置初始探測的超時值。一般這個選項只在使用-P0選項掃描有防火牆保護的主機纔有用。默認值是6000毫秒。
--max_parallelism
設置最大的並行掃描數量。--max_parallelism 1表示同時只掃描一個端口。這個選項對其它的並行掃描也有效,例如ping sweep, RPC scan。
--scan_delay
設置在兩次探測之間,nmap必須等待的時間。這個選項主要用於降低網絡的負載。
4.4 目標設定
在nmap的所有參數中,只有目標參數是必須給出的。其最簡單的形式是在命令行直接輸入一個主機名或者一個IP地址。如果你希望掃描某個IP地 址的一個子網,你可以在主機名或者IP地址的後面加上/掩碼。掩碼在0(掃描整個網絡)到32(只掃描這個主機)。使用/24掃描C類地址,/16掃描B 類地址。
除此之外,nmap還有更加強大的表示方式讓你更加靈活地指定IP地址。例如,如果要掃描這個B類網絡128.210.*.*,你可以使用下面 三種方式來指定這些地址:128.210.*.*、128.21-.0-255.0-255或者128.210.0.0/16這三種形式是等價的。
5.例子
本節將由淺入深地舉例說明如何使用nmap。
- nmap -v target.example.com
掃描主機target.example.com的所有TCP端口。-v打開冗餘模式。
- nmap -sS -O target.example.com/24
發起對target.example.com所在網絡上的所有255個IP地址的祕密SYN掃描。同時還探測每臺主機操作系統的指紋特徵。需要root權限。
- nmap -sX -p 22,53,110,143,4564 128.210.*.1-127
對B類IP地址128.210中255個可能的8位子網的前半部分發起聖誕樹掃描。確定這些系統是否打開了sshd、DNS、pop3d、imapd和4564端口。注意聖誕樹掃描對Micro$oft的系統無效,因爲其協議棧的TCP層有缺陷。
- nmap -v --randomize_hosts -p 80 '*.*.2.3-5'
只掃描指定的IP範圍,有時用於對這個Internet進行取樣分析。nmap將尋找Internet上所有後兩個字節是.2.3、.2.4、. 2.5的IP地址上的WEB服務器。如果你想發現更多有意思的主機,你可以使用'127-222',因爲在這個範圍內有意思的主機密度更大。
- host -l company.com | cut '-d ' -f 4 | ./nmap -v -iL -
列出company.com網絡的所有主機,讓nmap進行掃描。注意:這項命令在GNU/Linux下使用。如果在其它平臺,你可能要使用 其它的命令/選項。