如何使用Linux系統(tǒng)中nmap網(wǎng)絡(luò)掃描工具命令

這篇文章主要講解了“如何使用Linux系統(tǒng)中nmap網(wǎng)絡(luò)掃描工具命令”，文中的講解內(nèi)容簡單清晰，易于學(xué)習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學(xué)習“如何使用Linux系統(tǒng)中nmap網(wǎng)絡(luò)掃描工具命令”吧！

創(chuàng)新互聯(lián)公司成立于2013年，先為泰安等服務(wù)建站，泰安等地企業(yè)，進行企業(yè)商務(wù)咨詢服務(wù)。為泰安企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

1.名稱

nmap-網(wǎng)絡(luò)探測和安全掃描工具

2.語法

nmap

3.描述

nmap是一個網(wǎng)絡(luò)探測和安全掃描程序，系統(tǒng)管理者和個人可以使用這個軟件掃描大型的網(wǎng)絡(luò)，獲取那臺主機正在運行以及提供什么服務(wù)等信息。nmap支持很多掃描技術(shù)，例如：UDP、TCP connect()、TCP SYN(半開掃描)、ftp代理(bounce攻擊)、反向標志、ICMP、FIN、ACK掃描、圣誕樹(Xmas Tree)、SYN掃描和null掃描。從掃描類型一節(jié)可以得到細節(jié)。nmap還提供了一些高級的特征，例如：通過TCP/IP協(xié)議棧特征探測操作系統(tǒng)類型，秘密掃描，動態(tài)延時和重傳計算，并行掃描，通過并行ping掃描探測關(guān)閉的主機，誘餌掃描，避開端口過濾檢測，直接RPC掃描(無須端口影射)，碎片掃描，以及靈活的目標和端口設(shè)定。

為了提高nmap在non-root狀態(tài)下的性能，軟件的設(shè)計者付出了很大的努力。很不幸，一些內(nèi)核界面(例如raw socket)需要在root狀態(tài)下使用。所以應(yīng)該盡可能在root使用nmap。

nmap運行通常會得到被掃描主機端口的列表。nmap總會給出well known端口的服務(wù)名(如果可能)、端口號、狀態(tài)和協(xié)議等信息。每個端口的狀態(tài)有：open、filtered、unfiltered。open狀態(tài)意味著目標主機能夠在這個端口使用accept()系統(tǒng)調(diào)用接受連接。filtered狀態(tài)表示：防火墻、包過濾和其它的網(wǎng)絡(luò)安全軟件掩蓋了這個端口，禁止nmap探測其是否打開。unfiltered表示：這個端口關(guān)閉，并且沒有防火墻/包過濾軟件來隔離nmap的探測企圖。通常情況下，端口的狀態(tài)基本都是unfiltered狀態(tài)，只有在大多數(shù)被掃描的端口處于filtered狀態(tài)下，才會顯示處于unfiltered狀態(tài)的端口。

根據(jù)使用的功能選項，nmap也可以報告遠程主機的下列特征：使用的操作系統(tǒng)、TCP序列、運行綁定到每個端口上的應(yīng)用程序的用戶名、DNS名、主機地址是否是欺騙地址、以及其它一些東西。

4.功能選項

功能選項可以組合使用。一些功能選項只能夠在某種掃描模式下使用。nmap會自動識別無效或者不支持的功能選項組合，并向用戶發(fā)出警告信息。

如果你是有經(jīng)驗的用戶，可以略過結(jié)尾的示例一節(jié)?？梢允褂胣map -h快速列出功能選項的列表。

4.1 掃描類型

-sT

TCP connect()掃描：這是最基本的TCP掃描方式。connect()是一種系統(tǒng)調(diào)用，由操作系統(tǒng)提供，用來打開一個連接。如果目標端口有程序監(jiān)聽，connect()就會成功返回，否則這個端口是不可達的。這項技術(shù)最大的優(yōu)點是，你勿需root權(quán)限。任何UNIX用戶都可以自由使用這個系統(tǒng)調(diào)用。這種掃描很容易被檢測到，在目標主機的日志中會記錄大批的連接請求以及錯誤信息。

-sS

TCP同步掃描(TCP SYN)：因為不必全部打開一個TCP連接，所以這項技術(shù)通常稱為半開掃描(half-open)。你可以發(fā)出一個TCP同步包(SYN)，然后等待回應(yīng)。如果對方返回SYN|ACK(響應(yīng))包就表示目標端口正在監(jiān)聽；如果返回RST數(shù)據(jù)包，就表示目標端口沒有監(jiān)聽程序；如果收到一個SYN|ACK包，源主機就會馬上發(fā)出一個RST(復(fù)位)數(shù)據(jù)包斷開和目標主機的連接，這實際上有我們的操作系統(tǒng)內(nèi)核自動完成的。這項技術(shù)最大的好處是，很少有系統(tǒng)能夠把這記入系統(tǒng)日志。不過，你需要root權(quán)限來定制SYN數(shù)據(jù)包。

-sF -sF -sN

秘密FIN數(shù)據(jù)包掃描、圣誕樹(Xmas Tree)、空(Null)掃描模式：即使SYN掃描都無法確定的情況下使用。一些防火墻和包過濾軟件能夠?qū)Πl(fā)送到被限制端口的SYN數(shù)據(jù)包進行監(jiān)視，而且有些程序比如synlogger和courtney能夠檢測那些掃描。這些高級的掃描方式可以逃過這些干擾。
這些掃描方式的理論依據(jù)是：關(guān)閉的端口需要對你的探測包回應(yīng)RST包，而打開的端口必需忽略有問題的包(參考RFC 793第64頁)。FIN掃描使用暴露的FIN數(shù)據(jù)包來探測，而圣誕樹掃描打開數(shù)據(jù)包的FIN、URG和PUSH標志。不幸的是，微軟決定完全忽略這個標準，另起爐灶。所以這種掃描方式對Windows95/NT無效。不過，從另外的角度講，可以使用這種方式來分別兩種不同的平臺。如果使用這種掃描方式可以發(fā)現(xiàn)打開的端口，你就可以確定目標注意運行的不是Windows系統(tǒng)。如果使用-sF、-sX或者-sN掃描顯示所有的端口都是關(guān)閉的，而使用SYN掃描顯示有打開的端口，你可以確定目標主機可能運行的是Windwos系統(tǒng)?，F(xiàn)在這種方式?jīng)]有什么太大的用處，因為nmap有內(nèi)嵌的操作系統(tǒng)檢測功能。還有其它幾個系統(tǒng)使用和windows同樣的處理方式，包括Cisco、BSDI、HP/UX、MYS、IRIX。在應(yīng)該拋棄數(shù)據(jù)包時，以上這些系統(tǒng)都會從打開的端口發(fā)出復(fù)位數(shù)據(jù)包?！?/p>

-sP 　

ping掃描：有時你只是想知道此時網(wǎng)絡(luò)上哪些主機正在運行。通過向你指定的網(wǎng)絡(luò)內(nèi)的每個IP地址發(fā)送ICMP echo請求數(shù)據(jù)包，nmap就可以完成這項任務(wù)。如果主機正在運行就會作出響應(yīng)。不幸的是，一些站點例如：microsoft.com阻塞ICMP echo請求數(shù)據(jù)包。然而，在默認的情況下nmap也能夠向80端口發(fā)送TCP ack包，如果你收到一個RST包，就表示主機正在運行。nmap使用的第三種技術(shù)是：發(fā)送一個SYN包，然后等待一個RST或者SYN/ACK包。對于非root用戶，nmap使用connect()方法。

在默認的情況下(root用戶)，nmap并行使用ICMP和ACK技術(shù)。

注意，nmap在任何情況下都會進行ping掃描，只有目標主機處于運行狀態(tài)，才會進行后續(xù)的掃描。如果你只是想知道目標主機是否運行，而不想進行其它掃描，才會用到這個選項。

-sU

UDP掃描：如果你想知道在某臺主機上提供哪些UDP(用戶數(shù)據(jù)報協(xié)議,RFC768)服務(wù)，可以使用這種掃描方法。nmap首先向目標主機的每個端口發(fā)出一個0字節(jié)的UDP包，如果我們收到端口不可達的ICMP消息，端口就是關(guān)閉的，否則我們就假設(shè)它是打開的。

有些人可能會想UDP掃描是沒有什么意思的。但是，我經(jīng)常會想到最近出現(xiàn)的solaris rpcbind缺陷。rpcbind隱藏在一個未公開的UDP端口上，這個端口號大于32770。所以即使端口111(portmap的眾所周知端口號)被防火墻阻塞有關(guān)系。但是你能發(fā)現(xiàn)大于30000的哪個端口上有程序正在監(jiān)聽嗎?使用UDP掃描就能！cDc Back Orifice的后門程序就隱藏在Windows主機的一個可配置的UDP端口中。不考慮一些通常的安全缺陷，一些服務(wù)例如:snmp、tftp、NFS使用UDP協(xié)議。不幸的是，UDP掃描有時非常緩慢，因為大多數(shù)主機限制ICMP錯誤信息的比例(在RFC1812中的建議)。例如，在Linux內(nèi)核中(在net/ipv4/icmp.h文件中)限制每4秒鐘只能出現(xiàn)80條目標豢紗锏腎CMP消息，如果超過這個比例，就會給1/4秒鐘的處罰。solaris的限制更加嚴格，每秒鐘只允許出現(xiàn)大約2條ICMP不可達消息，這樣，使掃描更加緩慢。nmap會檢測這個限制的比例，減緩發(fā)送速度，而不是發(fā)送大量的將被目標主機丟棄的無用數(shù)據(jù)包。

不過Micro$oft忽略了RFC1812的這個建議，不對這個比例做任何的限制。所以我們可以能夠快速掃描運行Win95/NT的主機上的所有65K個端口。

-sA 　

ACK掃描：這項高級的掃描方法通常用來穿過防火墻的規(guī)則集。通常情況下，這有助于確定一個防火墻是功能比較完善的或者是一個簡單的包過濾程序，只是阻塞進入的SYN包。

這種掃描是向特定的端口發(fā)送ACK包(使用隨機的應(yīng)答/序列號)。如果返回一個RST包，這個端口就標記為unfiltered狀態(tài)。如果什么都沒有返回，或者返回一個不可達ICMP消息，這個端口就歸入filtered類。注意，nmap通常不輸出unfiltered的端口，所以在輸出中通常不顯示所有被探測的端口。顯然，這種掃描方式不能找出處于打開狀態(tài)的端口。　

-sW 　

對滑動窗口的掃描：這項高級掃描技術(shù)非常類似于ACK掃描，除了它有時可以檢測到處于打開狀態(tài)的端口，因為滑動窗口的大小是不規(guī)則的，有些操作系統(tǒng)可以報告其大小。這些系統(tǒng)至少包括：某些版本的AIX、Amiga、BeOS、BSDI、Cray、Tru64 UNIX、DG/UX、OpenVMS、Digital UNIX、OpenBSD、OpenStep、QNX、Rhapsody、SunOS 4.x、Ultrix、VAX、VXWORKS。從nmap-hackers郵件3列表的文檔中可以得到完整的列表?！?/p>

-sR 　

RPC掃描。這種方法和nmap的其它不同的端口掃描方法結(jié)合使用。選擇所有處于打開狀態(tài)的端口向它們發(fā)出SunRPC程序的NULL命令，以確定它們是否是RPC端口，如果是，就確定是哪種軟件及其版本號。
因此你能夠獲得防火墻的一些信息。誘餌掃描現(xiàn)在還不能和RPC掃描結(jié)合使用。

-b 　

FTP反彈攻擊(bounce attack):FTP協(xié)議(RFC 959)有一個很有意思的特征，它支持代理FTP連接。也就是說，我能夠從evil.com連接到FTP

傳遞給-b功能選項的參數(shù)是你要作為代理的FTP服務(wù)器。語法格式為：

-b username:password@server:port。

除了server以外，其余都是可選的。如果你想知道什么服務(wù)器有這種缺陷，可以參考我在Phrack 51發(fā)表的文章。還可以在nmap的站點得到這篇文章的最新版本。

4.2 通用選項

這些內(nèi)容不是必需的，但是很有用。

-P0

在掃描之前，不必ping主機。有些網(wǎng)絡(luò)的防火墻不允許ICMP echo請求穿過，使用這個選項可以對這些網(wǎng)絡(luò)進行掃描。microsoft.com就是一個例子，因此在掃描這個站點時，你應(yīng)該一直使用-P0或者-PT 80選項?！?/p>

-PT

掃描之前，使用TCP ping確定哪些主機正在運行。nmap不是通過發(fā)送ICMP echo請求包然后等待響應(yīng)來實現(xiàn)這種功能，而是向目標網(wǎng)絡(luò)(或者單一主機)發(fā)出TCP ACK包然后等待回應(yīng)。如果主機正在運行就會返回RST包。只有在目標網(wǎng)絡(luò)/主機阻塞了ping包，而仍舊允許你對其進行掃描時，這個選項才有效。對于非root用戶，我們使用connect()系統(tǒng)調(diào)用來實現(xiàn)這項功能。使用-PT 來設(shè)定目標端口。默認的端口號是80，因為這個端口通常不會被過濾。

-PS 　