• 本片介绍的是Namp的Linux Kali操作系统下的使用,Nmap在Windows操作系统下的使用,点击文章===>​​​

一、工具介绍

  • 功能概述:​Nmap是​主动扫描​工具,用于对​指定的​主机进行扫描
  • 历史背景:​Nmap是由Gordon Lyon设计并实现的,与1997开始发布,最初设计的目的是希望打造一款强大的端口扫描工具,但是随着发展,Nmap已经变为全方面的安全工具
  • “NSE”脚本引擎:​Nmap中的该引擎提供了可以向Nmap添加新的功能模块
  • nmap是一个强大的工具,如果想要深入了解,可以参考书籍《诸神之眼——Nmap网络安全审计技术揭秘》


Nmap可以实现的功能

如果你对一台计算机进行审计(扫描)的话,可以获取以下信息:

  • 目标主机是否在线
  • 目标主机所在网络的拓扑
  • 目标主机开发的端口
  • 目标主机所使用的操作系统
  • 目标主机所运行的服务以及版本,例如Apache hpptd 2.2.14、OpenSSH 5.3pl、Debian 3ubuntu4
  • 目标主机所存在的漏洞,例如弱口令、ms08_067、ms10_054等



Nmap的打开使用

  • nmap的使用是不需要进入某个进程的,而是直接在命令行输入namp+选项来进行操作

Kali扫描工具Nmap_扫描工具NmapKali扫描工具Nmap_端口扫描_02

Kali扫描工具Nmap_扫描工具Nmap_03


二、对主机地址进行扫描


①对单个主机进行扫描

  • 命令格式:nmap 主机IP

例如下面我们对IP为192.168.43.137的主机进行扫描,显示的内容如下

  • 第1行:Nmap的版本以及扫描开始的时间
  • 第2行:是一个标题,生成的是关于192.168.43.137主机的报告
  • 第3行:给出了目标主机的当前状态,“up”意味着该主机处于联网状态
  • 第4行:在进行的1000个端口中,有998个端口时关闭的(不加任何选项,nmap默认扫描1000个端口)
  • 第5、6、7:代表当前主机开发的端口以及端口对应的服务
  • 第8行:该主机的MAC地址,以及网卡的类型
  • 最后一行:总结信息(扫描了一台主机,共耗时10.34秒)

Kali扫描工具Nmap_数据库_04

-sn选项(主机在线检查)

  • nmap不加任何选项时,会扫描目标主机的在线状态、以及端口扫描。使用-sn选项:可以只检测目标主机是否在线

例如:可以看到目标主机192.168.43.54处于在线状态

Kali扫描工具Nmap_数据库_05



②对多个不连续的主机进行扫描

  • 格式:nmap [目标1  目标2  目标3.....]

例如下面我们对192.168.43.137、192.168.43.54、192.168.43.88三个主机进行扫描,扫描之后,各个主机信息分开看到只有2个主机处于在线状态

Kali扫描工具Nmap_子网_06



③对连续范围内的主机进行扫描

  • 格式:nmap [IP地址范围]

例如:下面我们检测192.168.43.1-255范围内的主机有多少处于联网状态,可以看到有3个主机处于联网状态

Kali扫描工具Nmap_扫描工具Nmap_07



④对整个子网进行扫描

nmap还支持使用CIDR的方式来扫描整个子网

  • 格式:nmap [IP地址/掩码位数]

例如:我们检查192.168.43.1子网下的所有主机有多少在线,可以看到与刚才扫描连续范围内的主机结果是一样的

Kali扫描工具Nmap_扫描工具Nmap_08


三、使用协议对主机进行扫描


①屏蔽ping协议扫描(-PN选项)

概念:​通过nmap再进行其他扫描之前,都会对目标进行一个ping扫描,如果对目标没有ping,那么就会结束整个扫描过程。有些主机就利用了这种特性,其实目标在线,但是采取了某种手段屏蔽了ping扫描,那么我们的nmap就扫描不到这个主机了。屏蔽ping扫描的功能就是:在nmap扫描的过程中,不论目标主机能不能ping通,都要将整个扫描过程完成

  • 格式:nmap  -PN  [目标]

Kali扫描工具Nmap_子网_09



②仅适用ping协议进行扫描(-sP选项)

概念:​与-PN选项相反,适用此选项则只对目标采取ping协议,因为只采用ping协议扫描,所以扫描速度较快

  • 格式:nmap  -sP  [目标]

Kali扫描工具Nmap_端口扫描_10



③使用ARP协议对主机进行扫描(-PR选项)

概念:​如果目标主机与自己处于同一网段下,那么就可以使用ARP协议进行扫描,这个扫描速度最快,且最为精准

  • 格式:nmap  -PR  [目标]

Kali扫描工具Nmap_扫描工具Nmap_11



④使用TCP协议对主机进行扫描(-sT、-sS选项)

三次握手过程:​主动端先发送SYN报文,被动端回应SYN+ACK报文,然后主动端再回应ACK

概念:​利用三次握手原理,namp向目标先发送SYN报文,如果对方回应SYN+ACK,说明目标在线

  • 全开扫描(-sT选项):​完成了3次握手的扫描称为“全开扫描”
  • 半开扫描(-sS选项):​由于3次握手中,最后一步的意义不大,所以扫描的时候,第三步没有进行的扫描称为“半开扫描”

建议:​建议使用半开扫描,因为这种扫描速度最快,并且不容易被目标的日志记录

Kali扫描工具Nmap_端口扫描_12

Kali扫描工具Nmap_数据库_13



⑤使用UDP协议对主机进行扫描(-sU选项)

UDP协议比TCP协议简单,但是不如TCP协议方便,并且耗时很长

  • 格式:nmap  -sU  [目标]

Kali扫描工具Nmap_扫描工具Nmap_14


四、端口扫描

  • nmap对端口的扫描一般采用TCP协议,并且不给出其它参数选项时,只默认扫描1000个端口

对目标端口扫描时,扫描到的端口状态有以下5种:

  • open:​应用程序在该端口接受TCP连接/UDP报文
  • closed:​关闭的端口对于nmap也是可访问的,它接受nmap探测报文并作出响应,但是没有应用程序在其上监听
  • filtered:​由于包过滤阻止探测报文达到端口,nmap无法确定端口是否开放。过滤可能来自专业的防火墙设备,路由规则或者主机上的软件防火墙
  • unfiltered:​未被过滤状态意味着端口可访问,但是nmap无法确定它是开发还是关闭。只有映射防火墙规则集的ACK扫描才会把端口分类到这个状态
  • open|filtered:​无法确定端口是开放还是过滤,开放的端口不响应就是一个例子


①扫描全部端口

  • 格式:nmap  -p  "*"  [目标]

Kali扫描工具Nmap_子网_15



②扫描指定端口

  • 格式:nmap  -p  端口号  [目标]

Kali扫描工具Nmap_扫描工具Nmap_16



③扫描使用频率最高的n个端口

该方法是扫描使用频率最高的n个端口,而不是扫描前n个端口

  • 格式:nmap  --top-ports  端口数量  [目标]

Kali扫描工具Nmap_数据库_17


五、扫描操作系统类型

  • 功能:​nmap可以扫描目标主机,并且猜测目标主机属于哪种操作系统。例如我们知道了目标系统为Windows XP,那么就不必再使用针对Linux系统的渗透测试的方法了等等。越老旧的操作系统意味着越容易被渗透,所以我们在进行渗透的时候往往希望找到目标网络​中那些比较老的系统
  • 原理:​nmap通过向目标主机发送探针,然后根据目标主机的回应猜测系统。这种探针大都以TCP和UDP数据包的形式,检查的细节包括初始序列号(ISN)、TCO选项、IP标识符(ID)数字时间戳、显示拥塞通知(ECN)、窗口大小等,每个操作系统对于探针都会做出不同的相应,nmap将这些响应特征​提取并记录在一个数据库​中,每回nmap扫描时都与这个文件对比。探针和响应特征的对应关系存放在nmap安装目录的​namp-os-db文件中
  • 注意:​因为nmap只是将响应特征与数据文件对比,然后对目标主机进行猜测,所以结果可能有多种,猜测结果也不一定为真
  • 命令格式:​nmap  -O [目标]

每回nmap扫描时,回去验证如下参数:

  • ①操作系统的供应商名字,例如微软或者sun
  • ②操作系统的名字,例如Windows、MaX OS X、Linux
  • ③操作系统的版本,例如XP、2000、2003、2008
  • ④当前设备的类型,例如通用计算机、打印服务器、媒体播放器、路由器、WAP或者电力装置等


演示案例

  • 例如我们扫描的主机可能为Linux 3.x或者4.x版本

Kali扫描工具Nmap_扫描工具Nmap_18


六、 目标服务类型扫描

  • 概念:​之前使用nmap对主机进行扫描,已经显示了一些端口与端口对应的服务,但是这些信息只是从数据库文件中读取的,事实上端口所运行的真实服务并非你所看到的服务,因此就需要使用nmap的某些选项来进行扫描
  • 命令格式:nmap  -sV  [目标]


扫描过程

  • 首先进行端口扫描,默认情况下使用SYN扫描
  • 进行服务识别,发送探针报文,得到返回确认值,确认服务
  • 进行版本识别,发送探针报文,得到返回的报文信息,分析得出服务的版本



nmap-services数据库:

  • 当你用nmap对目标进行扫描时,namp会告诉你哪些端口分别对应着什么服务和进行,但是该数据库记录的知识标准化的“端口与服务对应”概念,例如http是80、ftp是21。但是某些主机可能在这些端口上运行着别的服务,因此不使用-sV选项,nmap扫描到的也不一定是正确的结果



nmap-service-probes数据库:

  • 使用了-sV选项后,nmap扫描目标主机之后,版本探针会询问这些端口,到底是什么服务在运行。nmap-service-probes数据库包含查询不同服务的探针报文和解析识别相应的匹配表达式
  • 数据库完成:​当nmap从某个服务收到相应,但不能在数据库中找到匹配时,它就打印一个特殊的fingerprint和一个URL给使用者提交。如果此时使用者确实知道什么服务运行在端口,那么就可以花费几分钟提交这份报告,然后记录在数据库文件中,从而让nmap完善


  • 演示案例:扫描一个主机所运行的服务以及服务对应的版本号(VERSION)

Kali扫描工具Nmap_端口扫描_19

七、将扫描结果保存为记录文件

  • 概念:​如果想记录一次扫描的结果,并且保存在文件中,可以使用以下命令。文件默认保存在当前目录下
  • 命令格式:nmap  -oX  文件名  [目标]

例如:将此次扫描结果保存为.xml文件

Kali扫描工具Nmap_子网_20