專家技巧:Linux黑客必備工具之nmap
nmap是一個網絡探測和安全掃描程序,系統管理者和個人可以使用這個軟件掃描大型的網絡,獲取被掃描主機正在運行以及提供什么服務等信息。nmap支持很多掃描技術,例如:UDP、TCP connect()、TCP SYN(半開掃描)、ftp代理(bounce攻擊)、反向標志、ICMP、FIN、ACK掃描、圣誕樹(Xmas Tree)、SYN掃描和null掃描。從掃描類型一節可以得到細節。nmap還提供了一些高級的特征,例如:通過TCP/IP協議棧特征探測操作系統類 型,秘密掃描,動態延時和重傳計算,并行掃描,通過并行ping掃描探測關閉的主機,誘餌掃描,避開端口過濾檢測,直接RPC掃描(無須端口影射),碎片 掃描,以及靈活的目標和端口設定。本文詳細介紹了NMap的詳細使用選項,并給出了幾個實用實例,nmap是入侵和網絡安全檢測的必備工具。
(一)選擇程序安裝包
首先到官方網站上去下載nmap,下載地址為http://nmap.org/download.html,下載相關操作系統下的nmap軟件,比如我的是FC10_64的操作系統,我就下載如圖1所示的軟件包.
圖1選擇所需要安裝的包
(二)安裝Gcc編譯器
當然,我們也可以選擇源碼安裝,源碼安裝的前提是首先安裝了Gcc編譯器,我們可以使用 yum -y install Gcc來網絡安裝Gcc編譯器.
在確保安裝了Gcc的情況下,進入源碼存放的文件夾,解壓縮源碼文件如圖2所示.
圖2解壓縮相關源碼文件
(三)測試運行環境和安裝nmap
解壓完畢后,進入解壓縮后的文件夾,使用./confgure 、 make來測試運行環境。如圖3
圖3 ./configure和make測試環境
之后以管理員身份登錄安裝nmap,并測試可用性,如圖4所示。
圖4 安裝nmap 并測試其可用性
nmap的安裝到此結束,下面將著重介紹一下nmap的使用方法。
(四)Nmap的用法
可以使用 man nmap 來查看一下nmap是使用方法。為了提高nmap在non-root狀態下的性能,軟件的設計者付出了很大的努力。很不幸,一些內核界面(例如raw socket)需要在root狀態下使用。所以應該盡可能在root使用nmap。
nmap運行通常會得到被掃描主機端口的列表。nmap總會給出well known(知名)端口的服務名(如果可能)、端口號、狀態和協議等信息。每個端口的狀態有:open、filtered、unfiltered。open狀態意味著目標主機能夠在這個端口使用accept()系統調用接受連接。filtered狀態表示:防火墻、包過濾和其它的網絡安全軟件掩蓋了這個端口,禁止 nmap探測其是否打開。unfiltered表示:這個端口關閉,并且沒有防火墻/包過濾軟件來隔離nmap的探測企圖。通常情況下,端口的狀態基本都 是unfiltered狀態,只有在大多數被掃描的端口處于filtered狀態下,才會顯示處于unfiltered狀態的端口。根據使用的功能選項,nmap也可以報告遠程主機的下列特征:使用的操作系統、TCP序列、運行綁定到每個端口上的應用程序的用戶名、DNS名、主機地址是否是欺騙地址、以及其它一些東西。
1.功能選項
功能選項可以組合使用。一些功能選項只能夠在某種掃描模式下使用。nmap會自動識別無效或者不支持的功能選項組合,并向用戶發出警告信息。
如果你是有經驗的用戶,可以略過結尾的示例一節。可以使用nmap -h快速列出功能選項列表如圖5。
圖5 快速列出功能選項
#p#2.掃描類型
-sT
TCP connect()掃描:這是最基本的TCP掃描方式。connect()是一種系統調用,由操作系統提供,用來打開一個連接。如果目標端口有程序監聽, connect()就會成功返回,否則這個端口是不可達的。這項技術最大的優點是,你勿需root權限。任何UNIX用戶都可以自由使用這個系統調用。這 種掃描很容易被檢測到,在目標主機的日志中會記錄大批的連接請求以及錯誤信息。
-sS
TCP同步掃描(TCP SYN):因為不必全部打開一個TCP連接,所以這項技術通常稱為半開掃描(half-open)。你可以發出一個TCP同步包(SYN),然后等待回 應。如果對方返回SYN|ACK(響應)包就表示目標端口正在監聽;如果返回RST數據包,就表示目標端口沒有監聽程序;如果收到一個SYN|ACK包, 源主機就會馬上發出一個RST(復位)數據包斷開和目標主機的連接,這實際上有我們的操作系統內核自動完成的。這項技術最大的好處是,很少有系統能夠把這 記入系統日志。不過,你需要root權限來定制SYN數據包。
-sF -sF -sN
秘密FIN數據包掃描、圣誕樹(Xmas Tree)、空(Null)掃描模式:即使SYN掃描都無法確定的情況下使用。一些防火墻和包過濾軟件能夠對發送到被限制端口的SYN數據包進行監視,而 且有些程序比如synlogger和courtney能夠檢測那些掃描。這些高級的掃描方式可以逃過這些干擾。這些掃描方式的理論依據是:關閉的端口需要 對你的探測包回應RST包,而打開的端口必需忽略有問題的包(參考RFC 793第64頁)。FIN掃描使用暴露的FIN數據包來探測,而圣誕樹掃描打開數據包的FIN、URG和PUSH標志。不幸的是,微軟決定完全忽略這個標 準,另起爐灶。所以這種掃描方式對Windows95/NT無效。不過,從另外的角度講,可以使用這種方式來分別兩種不同的平臺。如果使用這種掃描方式可 以發現打開的端口,你就可以確定目標注意運行的不是Windows系統。如果使用-sF、-sX或者-sN掃描顯示所有的端口都是關閉的,而使用SYN掃 描顯示有打開的端口,你可以確定目標主機可能運行的是Windwos系統。現在這種方式沒有什么太大的用處,因為nmap有內嵌的操作系統檢測功能。還有 其它幾個系統使用和windows同樣的處理方式,包括Cisco、BSDI、HP/UX、MYS、IRIX。在應該拋棄數據包時,以上這些系統都會從打 開的端口發出復位數據包。
-sP
ping掃描:有時你只是想知道此時網絡上哪些主機正在運行。通過向你指定的網絡內的每個IP地 址發送ICMP echo請求數據包,nmap就可以完成這項任務。如果主機正在運行就會作出響應。不幸的是,一些站點例如:microsoft.com阻塞ICMP echo請求數據包。然而,在默認的情況下nmap也能夠向80端口發送TCP ack包,如果你收到一個RST包,就表示主機正在運行。nmap使用的第三種技術是:發送一個SYN包,然后等待一個RST或者SYN/ACK包。對于 非root用戶,nmap使用connect()方法。
在默認的情況下(root用戶),nmap并行使用ICMP和ACK技術。
注意,nmap在任何情況下都會進行ping掃描,只有目標主機處于運行狀態,才會進行后續的掃描。如果你只是想知道目標主機是否運行,而不想進行其它掃描,才會用到這個選項。
-sU
UDP掃描:如果你想知道在某臺主機上提供哪些UDP(用戶數據報協議,RFC768)服務,可以使用這種掃描方法。nmap首先向目標主機的每個端口發出一個0字節的UDP包,如果我們收到端口不可達的ICMP消息,端口就是關閉的,否則我們就假設它是打開的。
有些人可能會想UDP掃描是沒有什么意思的。但是,我經常會想到以前出現的solaris rpcbind缺陷。rpcbind隱藏在一個未公開的UDP端口上,這個端口號大于32770。所以即使端口111(portmap的眾所周知端口號) 被防火墻阻塞有關系。但是你能發現大于30000的哪個端口上有程序正在監聽嗎?使用UDP掃描就能!cDc Back Orifice的后門程序就隱藏在Windows主機的一個可配置的UDP端口中。不考慮一些通常的安全缺陷,一些服務例如:snmp、tftp、NFS 使用UDP協議。不幸的是,UDP掃描有時非常緩慢,因為大多數主機限制ICMP錯誤信息的比例(在RFC1812中的建議)。例如,在Linux內核中 (在net/ipv4/icmp.h文件中)限制每4秒鐘只能出現80條目標不可達的ICMP消息,如果超過這個比例,就會給1/4秒鐘的處罰。 solaris的限制更加嚴格,每秒鐘只允許出現大約2條ICMP不可達消息,這樣,使掃描更加緩慢。nmap會檢測這個限制的比例,減緩發送速度,而不 是發送大量的將被目標主機丟棄的無用數據包。
不過Microsoft忽略了RFC1812的這個建議,不對這個比例做任何的限制。所以我們可以能夠快速掃描運行Win95/NT的主機上的所有65K個端口。
-sA
ACK掃描:這項高級的掃描方法通常用來穿過防火墻的規則集。通常情況下,這有助于確定一個防火墻是功能比較完善的或者是一個簡單的包過濾程序,只是阻塞進入的SYN包。
這種掃描是向特定的端口發送ACK包(使用隨機的應答/序列號)。如果返回一個RST包,這個端口就標記為unfiltered狀態。如果什么都沒有返 回,或者返回一個不可達ICMP消息,這個端口就歸入filtered類。注意,nmap通常不輸出unfiltered的端口,所以在輸出中通常不顯示 所有被探測的端口。顯然,這種掃描方式不能找出處于打開狀態的端口。
-sW
對滑動窗口的掃描:這項高級掃描技術非常類似于ACK 掃描,除了它有時可以檢測到處于打開狀態的端口,因為滑動窗口的大小是不規則的,有些操作系統可以報告其大小。這些系統至少包括:某些版本的AIX、 Amiga、BeOS、BSDI、Cray、Tru64 UNIX、DG/UX、OpenVMS、Digital UNIX、OpenBSD、OpenStep、QNX、Rhapsody、SunOS 4.x、Ultrix、VAX、VXWORKS。從nmap-hackers郵件3列表的文檔中可以得到完整的列表。
-sR
RPC掃描。這種方法和nmap的其它不同的端口掃描方法結合使用。選擇所有處于打開狀態的端口向它們發出SunRPC程序的NULL命令,以確定它們是 否是RPC端口,如果是,就確定是哪種軟件及其版本號。因此你能夠獲得防火墻的一些信息。誘餌掃描現在還不能和RPC掃描結合使用。
-b
FTP反彈攻擊(bounce attack):FTP協議(RFC 959)有一個很有意思的特征,它支持代理FTP連接。也就是說,我能夠從evil.com連接到FTP服務器target.com,并且可以要求這臺 FTP服務器為自己發送Internet上任何地方的文件!1985年,RFC959完成時,這個特征就能很好地工作了。然而,在今天的Internet 中,我們不能讓人們劫持FTP服務器,讓它向Internet上的任意節點發送數據。如同Hobbit在1995年寫的文章中所說的,這個協議"能夠用來 做投遞虛擬的不可達郵件和新聞,進入各種站點的服務器,填滿硬盤,跳過防火墻,以及其它的騷擾活動,而且很難進行追蹤"。我們可以使用這個特征,在一臺代 理FTP服務器掃描TCP端口。因此,你需要連接到防火墻后面的一臺FTP服務器,接著進行端口掃描。如果在這臺FTP服務器中有可讀寫的目錄,你還可以 向目標端口任意發送數據(不過nmap不能為你做這些)。
傳遞給-b功能選項的參數是你要作為代理的FTP服務器。語法格式為:
-b username:password@server:port。
2 通用選項
這些內容不是必需的,但是很有用。
-P0
在掃描之前,不必ping主機。有些網絡的防火墻不允許ICMP echo請求穿過,使用這個選項可以對這些網絡進行掃描。microsoft.com就是一個例子,因此在掃描這個站點時,你應該一直使用-P0或者-PT 80選項。
-PT
掃描之前,使用TCP ping確定哪些主機正在運行。nmap不是通過發送ICMP echo請求包然后等待響應來實現這種功能,而是向目標網絡(或者單一主機)發出TCP ACK包然后等待回應。如果主機正在運行就會返回RST包。只有在目標網絡/主機阻塞了ping包,而仍舊允許你對其進行掃描時,這個選項才有效。對于非 root用戶,我們使用connect()系統調用來實現這項功能。使用-PT <端口號>來設定目標端口。默認的端口號是80,因為這個端口通常不會被過濾。
-PS
對于root用戶,這個選項讓nmap使用SYN包而不是ACK包來對目標主機進行掃描。如果主機正在運行就返回一個RST包(或者一個SYN/ACK包)。
-PI
設置這個選項,讓nmap使用真正的ping(ICMP echo請求)來掃描目標主機是否正在運行。使用這個選項讓nmap發現正在運行的主機的同時,nmap也會對你的直接子網廣播地址進行觀察。直接子網廣 播地址一些外部可達的IP地址,把外部的包轉換為一個內向的IP廣播包,向一個計算機子網發送。這些IP廣播包應該刪除,因為會造成拒絕服務攻擊(例如 smurf)。
-PB
這是默認的ping掃描選項。它使用ACK(-PT)和ICMP(-PI)兩種掃描類型并行掃描。如果防火墻能夠過濾其中一種包,使用這種方法,你就能夠穿過防火墻。
-O
這個選項激活對TCP/IP指紋特征(fingerprinting)的掃描,獲得遠程主機的標志。換句話說,nmap使用一些技術檢測目標主機操作系 統網絡協議棧的特征。nmap使用這些信息建立遠程主機的指紋特征,把它和已知的操作系統指紋特征數據庫做比較,就可以知道目標主機操作系統的類型。
-I
這個選項打開nmap的反向標志掃描功能。Dave Goldsmith 1996年向bugtap發出的郵件注意到這個協議,ident協議(rfc 1413)允許使用TCP連接給出任何進程擁有者的用戶名,即使這個進程并沒有初始化連接。例如,你可以連接到HTTP端口,接著使用identd確定這 個服務器是否由root用戶運行。這種掃描只能在同目標端口建立完全的TCP連接時(例如:-sT掃描選項)才能成功。使用-I選項是,遠程主機的 identd精靈進程就會查詢在每個打開的端口上監聽的進程的擁有者。顯然,如果遠程主機沒有運行identd程序,這種掃描方法無效。
-f
這個選項使nmap使用碎片IP數據包發送SYN、FIN、XMAS、NULL。使用碎片數據包增加包過濾、入侵檢測系統的難度,使其無法知道你的企 圖。不過,要慎重使用這個選項!有些程序在處理這些碎片包時會有麻煩,我最喜歡的嗅探器在接受到碎片包的頭36個字節時,就會發生 segmentation faulted。因此,在nmap中使用了24個字節的碎片數據包。雖然包過濾器和防火墻不能防這種方法,但是有很多網絡出于性能上的考慮,禁止數據包的 分片。
注意這個選項不能在所有的平臺上使用。它在Linux、FreeBSD、OpenBSD以及其它一些UNIX系統能夠很好工作。
-v
冗余模式。強烈推薦使用這個選項,它會給出掃描過程中的詳細信息。使用這個選項,你可以得到事半功倍的效果。使用-d選項可以得到更加詳細的信息。
-h
快速參考選項。
-oN
把掃描結果重定向到一個可讀的文件logfilename中。
-oM
把掃描結果重定向到logfilename文件中,這個文件使用主機可以解析的語法。你可以使用-oM -來代替logfilename,這樣輸出就被重定向到標準輸出stdout。在這種情況下,正常的輸出將被覆蓋,錯誤信息荏苒可以輸出到標準錯誤 stderr。要注意,如果同時使用了-v選項,在屏幕上會打印出其它的信息。
-resume
某個網絡掃描可能由于control-C或者網絡損失等原因被中斷,使用這個選項可以使掃描接著以前的掃描進行。logfilename是被取消掃描的 日志文件,它必須是可讀形式或者機器可以解析的形式。而且接著進行的掃描不能增加新的選項,只能使用與被中斷的掃描相同的選項。nmap會接著日志文件中 的最后一次成功掃描進行新的掃描。
-iL
從inputfilename文件中讀取掃描的目標。在這個文件中要有一個主機或者網絡的列表,由空格鍵、制表鍵或者回車鍵作為分割符。如果使用-iL -,nmap就會從標準輸入stdin讀取主機名字。你可以從指定目標一節得到更加詳細的信息。
-iR
讓nmap自己隨機挑選主機進行掃描。
-p <端口范圍>
這個選項讓你選擇要進行掃描的端口號的范圍。例如,-p 23表示:只掃描目標主機的23號端口。-p 20-30,139,60000-表示:掃描20到30號端口,139號端口以及所有大于60000的端口。在默認情況下,nmap掃描從1到1024號 以及nmap-services文件(如果使用RPM軟件包,一般在/usr/share/nmap/目錄中)中定義的端口列表。
-F
快速掃描模式,只掃描在nmap-services文件中列出的端口。顯然比掃描所有65535個端口要快。
-D
使用誘餌掃描方法對目標網絡/主機進行掃描。如果nmap使用這種方法對目標網絡進行掃描,那么從目標主機/網絡的角度來看,掃描就象從其它主機 (decoy1,等)發出的。從而,即使目標主機的IDS(入侵檢測系統)對端口掃描發出報警,它們也不可能知道哪個是真正發起掃描的地址,哪個是無辜 的。這種掃描方法可以有效地對付例如路由跟蹤、response-dropping等積極的防御機制,能夠很好地隱藏你的IP地址。
每個誘餌 主機名使用逗號分割開,你也可以使用ME選項,它代表你自己的主機,和誘餌主機名混雜在一起。如果你把ME放在第六或者更靠后的位置,一些端口掃描檢測軟 件幾乎根本不會顯示你的IP地址。如果你不使用ME選項,nmap會把你的IP地址隨機夾雜在誘餌主機之中。
注意:你用來作為誘餌的主機應該 正在運行或者你只是偶爾向目標發送SYN數據包。很顯然,如果在網絡上只有一臺主機運行,目標將很輕松就會確定是哪臺主機進行的掃描。或許,你還要直接使 用誘餌的IP地址而不是其域名,這樣誘餌網絡的域名服務器的日志上就不會留下關于你的記錄。
還要注意:一些愚蠢的端口掃描檢測軟件會拒絕路由試圖進行端口掃描的主機。因而,你需要讓目標主機和一些誘餌斷開連接。如果誘餌是目標主機的網關或者就是其自己時,會給目標主機造成很大問題。所以你需要慎重使用這個選項。
誘餌掃描既可以在起始的ping掃描也可以在真正的掃描狀態下使用。它也可以和-O選項組合使用。
使用太多的誘餌掃描能夠減緩你的掃描速度甚至可能造成掃描結果不正確。同時,有些ISP會把你的欺騙包過濾掉。雖然現在大多數的ISP不會對此進行限制。
-S
在一些情況下,nmap可能無法確定你的源地址(nmap會告訴你)。在這種情況下,可以使用這個選項給出你的IP地址。
在欺騙掃描時,也使用這個選項。使用這個選項可以讓目標認為是其它的主機對自己進行掃描。
-e
告訴nmap使用哪個接口發送和接受數據包。nmap能夠自動對此接口進行檢測,如果無效就會告訴你。
-g
設置掃描的源端口。一些天真的防火墻和包過濾器的規則集允許源端口為DNS(53)或者FTP-DATA(20)的包通過和實現連接。顯然,如果攻擊者 把源端口修改為20或者53,就可以摧毀防火墻的防護。在使用UDP掃描時,先使用53號端口;使用TCP掃描時,先使用20號端口。注意只有在能夠使用 這個端口進行掃描時,nmap才會使用這個端口。例如,如果你無法進行TCP掃描,nmap會自動改變源端口,即使你使用了-g選項。
對于一些掃描,使用這個選項會造成性能上的微小損失,因為我有時會保存關于特定源端口的一些有用的信息。
-r
告訴nmap不要打亂被掃描端口的順序。
--randomize_hosts
使nmap在掃描之前,打亂每組掃描中的主機順序,nmap每組可以掃描最多2048臺主機。這樣,可以使掃描更不容易被網絡監視器發現,尤其和--scan_delay 選項組合使用,更能有效避免被發現。
-M
設置進行TCP connect()掃描時,最多使用多少個套接字進行并行的掃描。使用這個選項可以降低掃描速度,避免遠程目標宕機。
#p#3 適時選項
通常,nmap在運行時,能夠很好地根據網絡特點進行調整。掃描時,nmap會盡量減少被目標檢測到的機會,同時盡可能加快掃描速度。然而,nmap默認的適時策略有時候不太適合你的目標。使用下面這些選項,可以控制nmap的掃描timing:
-T
設置nmap的適時策略。Paranoid:為了避開IDS的檢測使掃 描速度極慢,nmap串行所有的掃描,每隔至少5分鐘發送一個包; Sneaky:也差不多,只是數據包的發送間隔是15秒;Polite:不增加太大的網絡負載,避免宕掉目標主機,串行每個探測,并且使每個探測有0.4 秒種的間隔;Normal:nmap默認的選項,在不是網絡過載或者主機/端口丟失的情況下盡可能快速地掃描;Aggressive:設置5分鐘的超時限 制,使對每臺主機的掃描時間不超過5分鐘,并且使對每次探測回應的等待時間不超過1.5秒鐘;b>Insane:只適合快速的網絡或者你不在意丟失 某些信息,每臺主機的超時限制是75秒,對每次探測只等待0.3秒鐘。你也可是使用數字來代替這些模式,例如:-T 0等于-T Paranoid,-T 5等于-T Insane。
這些適時模式不能下面的適時選項組合使用。
--host_timeout
設置掃描一臺主機的時間,以毫秒為單位。默認的情況下,沒有超時限制。
--max_rtt_timeout
設置對每次探測的等待時間,以毫秒為單位。如果超過這個時間限制就重傳或者超時。默認值是大約9000毫秒。
--min_rtt_timeout
當目標主機的響應很快時,nmap就縮短每次探測的超時時間。這樣會提高掃描的速度,但是可能丟失某些響應時間比較長的包。使用這個選項,可以讓nmap對每次探測至少等待你指定的時間,以毫秒為單位。
--initial_rtt_timeout
設置初始探測的超時值。一般這個選項只在使用-P0選項掃描有防火墻保護的主機才有用。默認值是6000毫秒。
--max_parallelism
設置最大的并行掃描數量。--max_parallelism 1表示同時只掃描一個端口。這個選項對其它的并行掃描也有效,例如ping sweep, RPC scan。
--scan_delay
設置在兩次探測之間,nmap必須等待的時間。這個選項主要用于降低網絡的負載。
4.目標設定
在nmap的所有參數中,只有目標參數是必須給出的。其最簡單的形式是在命令行直接輸入一個主機名或者一個IP地址。如果你希望掃描某個IP地址的一個子網,你可以在主機名或者IP地址的后面加上/掩碼。掩碼在0(掃描整個網絡)到 32(只掃描這個主機)。使用/24掃描C類地址,/16掃描B類地址。
除此之外,nmap還有更加強大的表示方式讓你更加靈活地指定IP地址。例如,如果 要掃描這個B類網絡128.210.*.*,你可以使用下面三種方式來指定這些地址:128.210.*.*、128.21-.0-255.0-255或 者128.210.0.0/16這三種形式是等價的。
(五)掃描實例
1.掃描主機端口。
使用“nmap -v xxx.com”掃描主機XXX.com的所有TCP端口。-v打開冗余模式。如圖6所示。
圖6 掃描XXX站點TCP開放狀況
2.掃描主機XXX.com的所有TCP端口
使用“nmap -v -A xxx.com” 命令掃描目標的操作系統、開放端口以及路由等相關信息,如圖7所示。
圖7顯示掃描目標的操作系統的開放端口以及路由等相關信息
3.掃描指定網段制定端口
使用“nmap -sX -p 22,53,80, 192.168.*.1-255”命令 掃描192.168網段是否開啟了22.53,80端口如圖7所示。
圖7掃描特定網段的制定端口開放情況
工具無所謂好壞,這正如刀無所謂善惡.而在于人,這也正是我寫這篇文章的初衷,只是簡單的介紹了一下nmap這個掃描工具的一些功能,然用它來干什么完全在乎于你!
【編輯推薦】
