首页 > 代码库 > Nmap原理-01选项介绍

Nmap原理-01选项介绍

Nmap原理-01选项介绍

1.Nmap原理图

技术分享

  Nmap包含四项基本功能:主机发现/端口扫描/版本探测/操作系统探测。这四项功能之间存在大致的依赖关系,比如图片中的先后关系,除此之外,Nmap还提供规避防火墙的技巧以及NSE库。下面对这四类Nmap选项进行介绍,主要介绍每个选项有什么作用,如想了解原理,可以阅读本文附录的参考文献。

2. 主机发现

例子:
  nmap –sn –PE –PS80,135 –PU53 scanme.nmap.org
    使用wireshark可以查看,nmap在运行上述语句的时候到底发送了哪些包。
  n
map –sn 192.168.1.100-120
    通过ARP包询问ip地址上的主机是否在线。
相关选项:
  -sn: Ping Scan
只进行主机发现,不进行端口扫描。

  -Pn: 将所有指定的主机视作开启的,跳过主机发现的过程。
  -PS/PA/PU/PY[portlist]: 使用TCPSYN/ACK或SCTP INIT/ECHO方式进行发现。
  -PE/PP/PM: 使用ICMP echo, timestamp, and netmask 请求包发现主机。
  -PO[protocollist]: 使用IP协议包探测对方主机是否开启。
  -n/-R: -n表示不进行DNS解析;-R表示总是进行DNS解析。
  --dns-servers <serv1[,serv2],...>: 指定DNS服务器。
  --system-dns: 指定使用系统的DNS服务器。
  --traceroute: 追踪每个路由节点。

3.端口扫描

例子:
  nmap –sS –sU –T4 --top-ports 300 192.168.1.100
    
参数-sS表示使用TCP SYN方式扫描TCP端口;

    -sU表示扫描UDP端口;
    -T4表示时间级别配置4级,总共6个级别,级别越高扫描速度越快,但也容易被WAF和IDS检测,推荐使用T4级别;
    --top-ports 300表示扫描最有可能开放的300个端口(TCP和UDP分别有300个端口)
相关选项:
  -sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫描。
  -sU: 指定使用UDP扫描方式确定目标主机的UDP端口状况。
  -sN/sF/sX: 指定使用TCP Null, FIN, and Xmas scans秘密扫描方式来协助探测对方的TCP端口状态。
  --scanflags <flags>: 定制TCP包的flags
  -sI <zombiehost[:probeport]>: 指定使用idle scan方式来扫描目标主机(前提需要找到合适的zombie host)
  -sY/sZ: 使用SCTP INIT/COOKIE-ECHO来扫描SCTP协议端口的开放的情况
  -sO: 使用IP protocol 扫描确定目标机支持的协议类型
  -b <FTP relay host>: 使用FTP bounce scan扫描方式
  -p <port ranges>: 扫描指定的端口
    实例: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9(其中T代表TCP协议、U代表UDP协议、S代表SCTP协议)
  -F: 快速模式,仅扫描TOP 100的端口
  --top-ports <number>:扫描开放概率最高的number个端口;具体可以参见文件:nmap-services。默认情况下,nmap会扫描最有可能的1000个TCP端口
  --port-ratio <ratio>: 扫描指定频率以上的端口。

4.版本探测

版本探测选项较少,但是有很大的用处,下面的文章将会介绍版本探测的具体内容,包括nmap-services-probe文件等。

-sV: 指定让Nmap进行版本侦测  --version-intensity <level>: 指定版本侦测强度(0-9),默认为7。数值越高,探测出的服务越准确,但是运行时间会比较长。  --version-light: 指定使用轻量侦测方式 (intensity 2)  --version-all: 尝试使用所有的probes进行侦测 (intensity 9)  --version-trace: 显示出详细的版本侦测过程信息。

5.操作系统探测

-O: 指定Nmap进行OS侦测。  --osscan-limit: 限制Nmap只对确定的主机的进行OS探测(至少需确知该主机分别有一个open和closed的端口)。  --osscan-guess: 大胆猜测对方的主机的系统类型。由此准确性会下降不少,但会尽可能多为用户提供潜在的操作系统。

一般在使用是会结合-O -V。
使用这两个选项可以造成下面的输出:
  Device type:设备类型
所有的指纹被分为高层的设备类型,router, printer, firewall、general purpose
“Device Type: router|firewall”
  Running:运行的什么系统
它显示操作系统家族以及操作系统型号,多个操作系统用逗号分隔,型号用‘|’分隔
  OS CPE
以cpe:/o:开头
  OS details
如果不确切,名字会变成Aggressive OS guesses
  Uptime guess:
  Network Distance:
  TCP Sequence Prediction:
  IP ID Sequence Generation:
-sV和-O同时使用,如果输出的操作系统信息一致,那么可信度更高;如果不一致还要进一步调查。
使用-A选项可以将二者结合起来。


6.其他选项

1.规避防火墙
例子:
  
nmap -v -F -Pn -D192.168.1.100,192.168.1.102,ME -e eth0 -g 3355 192.168.1.1
    
-F表示快速扫描100个端口;-Pn表示不进行Ping扫描;-D表示使用IP诱骗方式掩盖自己真实IP(其中ME表示自己IP);
    -e eth0表示使用eth0网卡发送该数据包;
    -g 3355表示自己的源端口使用3355;
    192.168.1.1是被扫描的目标IP地址。
    更好的方式-D选项中嵌入RND随机数,这样更具有迷惑性。
    可以从Wireshark中看到数据包的流动情况:对于每个探测包,Nmap都使用-D选项指定的IP地址发送不同的数据包,
    从而达到扰乱对方防火墙/IDS检查的目的(更好的方式-D选项中嵌入RND随机数,这样更具有迷惑性)。
    
当探测到80端口时候,目标主机向我们回复了SYN/ACK包回来(当然也向其他诱骗的IP回复SYN/ACK包,我们无法接收到),证明80端口是开放的。
相关选项:  
-f:--mtu <val>: 指定使用分片、指定数据包的MTU.   -D <decoy1,decoy2[,ME],...>: 用一组IP地址掩盖真实地址,其中ME填入自己的IP地址。   -S <IP_Address>: 伪装成其他IP地址   -e <iface>: 使用特定的网络接口   -g/--source-port <portnum>: 使用指定源端口   --data-length <num>: 填充随机数据让数据包长度达到Num。   --ip-options <options>: 使用指定的IP选项来发送数据包。   --ttl <val>: 设置time-to-live时间。   --spoof-mac <mac address/prefix/vendor name>: 伪装MAC地址
  --badsum: 使用错误的checksum来发送数据包(正常情况下,该类数据包被抛弃,如果收到回复,说明回复来自防火墙或IDS/IPS)
2.使用NSE脚本
例子:
  Nmap –sV –p 80 –v –script default,http* 192.168.1.1
相关选项:
  -sC: 等价于 --script=default,使用默认类别的脚本进行扫描。
  --script=<Lua scripts>: <Lua scripts>使用某个或某类脚本进行扫描,支持通配符描述
  --script-args=<n1=v1,[n2=v2,...]>: 为脚本提供默认参数
  --script-args-file=filename: 使用文件来为脚本提供参数
  --script-trace: 显示脚本执行过程中发送与接收的数据
  --script-updatedb: 更新脚本数据库 
  --script-help=<Lua scripts>: 显示脚本的帮助信息,其中<Luascripts>部分可以逗号分隔的文件或脚本类别。
3.检测防火墙
  nmap -p 80,443 --script=http-waf-detect 192.168.150.143
  nmap -p 80,443 --script=http-waf-detect www.jianshu.com
  nmap -p 80,443 --script=http-waf-fingerprint idea.lanyus.com
  正常与不正常的输出样式:    
      PORT   STATE SERVICE
      80/tcp  open  http

      443/tcp open  https
      PORT   STATE SERVICE
      80/tcp  open  http

        | http-waf-detect: IDS/IPS/WAF detected:
        |_www.jianshu.com:80/?p4yl04d3=<script>alert(document.cookie)</script>
      443/tcp open  https
  除了Nmap有检测防火墙功能之外,wafw00f工具也可以实现防火墙检测。
4.文件读入列表
  -iL <inputfilename> (从列表中输入)
  -iR <hostnum> (随机选择目标)
  --exclude <host1[,host2][,host3],...> (排除主机/网络)
  --excludefile <excludefile> (排除文件中的列表) 

 

7.参考资料

  官网:www.nmap.org

  安全工具排名:http://sectools.org/

  https://github.com/erasin/notes/blob/master/linux/safe/nmap.md

  https://nmap.org/man/zh/man-host-discovery.html

Nmap原理-01选项介绍