Nmap:Network Mapper,网络扫描和嗅探的工具包
基本功能有3个:
1.扫描主机端口,嗅探所提供的网络服务
2.探测一组主机是否在线
3.推断主机所用的操作系统,到达主机经过的路由,系统已开放端口的软件版本
首先需要温习一下tcp包头的相关基础知识
TCP Header:
Source port:源端口 占16位 2个字节,计算机一共65536个端口。0端口保留,1-1024为系统服务端口,如果扫描时不指定端口范围,nmap默认扫描1-1024端口。
Destination port :目的端口 16位 2个字节
Sequence number:序列号 4个字节,用来标识从TCP源端向TCP目的端
Acknowledgment number:确认号
Data offset:数据偏移
Reserved:保留位
TCP标志位:
1.ACK Acknowledgment 确认标志
2.RST Reset 复位标志
3.URG Urgent 紧急标志
4.SYN Synchronize 建立连接标志
5.PSH Push 推标志
6.FIN Finish 结束标志
Window Size:TCP窗口,用于流量控制,滑动窗口控制机制。每次只能接受一定量的数据
Checksum:校验和
三次握手,一般先发送SYN请求,再发RST重设就断开
ICMP协议属于IP协议的一部分,主要诊断网络的问题
ping 用的是 -0类型 Echo Reply
-3 目标不可达,或者到了那回不来,路由过不去
下面是一个ping的包,可以看到code参数和 Echo replay
下面是常见端口对应的服务,Telnet主要用于路由器交换机远程调试,在设备上开启Telnet服务,可以远程登录进行调试。Telnet是明文协议,可以用抓包抓到密码,很多现在用ssh,可以用xshell登录。但是Telnet登录需要有这个命令,现在win10基本没有了telnet命令。如果想在win10使用telnet需要自己设置。
SMTP邮件服务器。
DNS发送请求的时候用udp协议
SNMP:网络管理协议
HTTPS:会在链路中对数据加密 443或者8433
RDP:远程桌面协议
1.如果用wireshark抓包分析,会发现几乎所有的情况都是在使用UDP,使用TCP的情况非常罕见,神秘兮兮。其实当解析器发出一个request后,返回的response中的tcp删节标志比特位被置1时,说明反馈报文因为超长而有删节。这是因为UDP的报文最大长度为512字节。解析器发现后,将使用TCP重发request,TCP允许报文长度超过512字节。既然TCP能将data stream分成多个segment,它就能用更多的segment来传送任意长度的数据。
2. 另外一种情况是,当一个域的辅助域名服务器启动时,将从该域的主域名服务器primary DNS server执行区域传送。除此之外,辅域名服务器也会定时(一般时3小时)向PDS进行查询以便了解SOA的数据是否有变动。如有变动,也会执行一次区域传送。区域传送将使用TCP而不是UDP,因为传送的数据量比一个request或response多得多。
发现主机是否存活,有些时候防火墙存在我们扫描不到主机是否存活,-p0或者-pn参数可以跳过发现主机直接扫描端口。局域网扫描时会经常抓到ARP的包,默认先发送ARP请求,如果有ARP的包说明这个主机就已经存在了。
Nmap端口扫描常用命令:
1.进行ping扫描,打印出对扫描做出响应的主机,不做进一步测试(如端口扫描或者操作系统探测):
nmap -sP 192.168.1.0/24
2.仅列出指定网络上的每台主机,不发送任何报文到目标主机:
nmap -sL 192.168.1.0/24
3.探测目标主机开放的端口,可以指定一个以逗号分隔的端口列表(如-PS22,23,25,80):
nmap -PS 192.168.1.234
4.使用UDP ping探测主机:
nmap -PU 192.168.1.0/24
5.使用频率最高的扫描选项:SYN扫描,又称为半开放扫描,它不打开一个完全的TCP连接,执行得很快:
nmap -sS 192.168.1.0/24
6.当SYN扫描不能用时,TCP Connect()扫描就是默认的TCP扫描:
nmap -sT 192.168.1.0/24
7.UDP扫描用-sU选项,UDP扫描发送空的(没有数据)UDP报头到每个目标端口:
nmap -sU 192.168.1.0/24
8.确定目标机支持哪些IP协议 (TCP,ICMP,IGMP等):
nmap -sO 192.168.1.19
9.探测目标主机的操作系统:
nmap -O 192.168.1.19
nmap -A 192.168.1.19
另外,nmap官方文档中的例子:
1.nmap -v scanme.
这个选项扫描主机scanme中 所有的保留TCP端口。选项-v启用细节模式。
2.nmap -sS -O scanme./24
进行秘密SYN扫描,对象为主机Scanme所在的“C类”网段 的255台主机。同时尝试确定每台工作主机的操作系统类型。因为进行SYN扫描 和操作系统检测,这个扫描需要有根权限。
3.nmap -sV -p 22,53,110,143,4564 188.116.0-255.1-127
进行主机列举和TCP扫描,对象为B类188.116网段中255个8位子网。这 个测试用于确定系统是否运行了sshd、DNS、imapd或4564端口。如果这些端口 打开,将使用版本检测来确定哪种应用在运行。
其他选项:
-p (只扫描指定的端口)
单个端口和用连字符表示的端口范 围(如 1-1023)都可以。当既扫描TCP端口又扫描UDP端口时,可以通过在端口号前加上T: 或者U:指定协议。 协议限定符一直有效直到指定另一个。 例如,参数 -p U:53,111,137,T:21-25,80,139,8080 将扫描UDP 端口53,111,和137,同时扫描列出的TCP端口。
-F (快速 (有限的端口) 扫描)
其他
比如探测操作系统,利用ping命令,去观察TTL的值 Linux和windows对应的TTL值是不同的,可依此判断操作系统类型。
防火墙/IDS躲避和哄骗
Nmap保存和输出
漏洞扫描:根据版本信息可以上网查询已知的其存在的漏洞并进行渗透测试。
