网络安全实验---NMAP扫描

一、实验目的和要求

了解信息搜集的一般步骤

学会熟练使用ping命令

学会利用Nmap等工具进行信息搜集

二、实验内容和原理

1．信息搜集的步骤

攻击者搜集目标信息一般采用七个基本的步骤：

（1）找到初始信息，比如一个IP地址或者一个域名；

（2）找到网络地址范围，或者子网掩码；

（3）找到活动机器；

（4）找到开放端口和入口点；

（5）弄清操作系统；

（6）弄清每个端口运行的是哪种服务；

（7）画出网络结构图。

2．ping命令探测技巧

使用ping可以测试目标主机名称和IP地址，验证与远程主机的连通性，通过将ICMP 回显请求数据包发送到目标主机，并监听来自目标主机的回显应答数据包来验证与一台或多台远程主机的连通性，该命令只有在安装了TCP/IP协议后才可以使用。

ping命令格式：ping [选项] 目标主机。常用选项见表19-1-1。

表19-1-1 ping命令常用选项

生存时间（TTL）：指定数据报被路由器丢弃之前允许通过的网段数量。TTL是由发送主机设置的，以防止数据包在网络中循环路由。转发IP数据包时，要求路由器至少将TTL 减小1。

TTL字段值可以帮助我们猜测操作系统类型，如表19-1-2所示。

表19-1-2 各操作系统ICMP回显应答TTL对照

3．Nmap介绍

nmap是一个网络探测和安全扫描程序，系统管理者和个人可以使用这个软件扫描大型的网络，获取哪台主机正在运行以及提供什么服务等信息。nmap支持很多扫描技术，例如：UDP、TCP connect()、TCP SYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、圣诞树(Xmas Tree)、SYN扫描和null扫描。nmap还提供了一些高级的特征，例如：通过TCP/IP协议栈特征探测操作系统类型，秘密扫描，动态延时和重传计算，并行扫描，通过并行ping扫描探测关闭的主机，诱饵扫描，避开端口过滤检测，直接RPC扫描(无须端口映射)，碎片扫描，以及灵活的目标和端口设定。

nmap运行通常会得到被扫描主机端口的列表。nmap总会给出well known端口的服务名(如果可能)、端口号、状态和协议等信息。每个端口的状态有：open、filtered、unfiltered。open状态意味着目标主机能够在这个端口使用accept()系统调用接受连接。filtered状态表示：防火墙、包过滤和其它的网络安全软件掩盖了这个端口，禁止nmap探测其是否打开。unfiltered表示：这个端口关闭，并且没有防火墙/包过滤软件来隔离nmap的探测企图。通常情况下，端口的状态基本都是unfiltered状态，只有在大多数被扫描的端口处于filtered状态下，才会显示处于unfiltered状态的端口。

根据使用的功能选项，nmap也可以报告远程主机的下列特征：使用的操作系统、TCP

序列、运行绑定到每个端口上的应用程序的用户名、DNS名、主机地址是否是欺骗地址、以及其它一些东西。

4．Nmap常用命令选项

执行命令：nmap［扫描类型］［扫描选项］。常用命令选项见表19-1-3。

表19-1-3 nmap命令常用选项

三、主要仪器设备

Windows操作系统，企业网络结构，Nmap 和网络协议分析器。

四、操作方法与实验步骤

本练习主机A、B为一组，C、D为一组，E、F为一组。实验角色说明如下：

下面以主机A、B为例，说明实验步骤。首先使用“快照X”恢复Windows系统环境。此实验主机A可与B同时相互搜集对方信息，下面的步骤以主机A为例讲解。

1. ping探测

主机A开启命令行，对主机B进行ping探测，根据主机B的回复，可以确定主机A 和主机B之间的连通情况，还可以根据回复数据包的TTL值对操作系统进行猜测。

回复数据包的TTL值：64 ，主机B操作系统可能为：Linux Kernel 2.6.x 。

2. Nmap扫描

（1）对活动主机进行端口扫描

主机A使用Nmap工具对主机B进行TCP端口同步扫描（范围1-150）：

Nmap命令nmap –sS –p 1-150 172.16.0.127 ；

主机B开放的TCP端口21 22 23 25 80 88 139 。

对主机B进行UDP端口扫描（范围是110-140）：

Nmap命令nmap –sU –p 110-140 172.16.0.127 ；

主机B开放的UDP端口115.117.123.132.134.139 。

（2）对活动主机操作系统进行探测

主机A对主机B进行TCP/IP指纹特征扫描：（-O）

Nmap命令nmap –O 172.16.0.127 ；

查看扫描结果:

Interesting ports on 172.16.0.127:

(The 1658 ports scanned but not shown below are in state: filtered)

PORT STATE SERVICE

21/tcp open ftp

22/tcp closed ssh

23/tcp open telnet

25/tcp closed smtp

80/tcp open http

88/tcp closed kerberos-sec

139/tcp closed netbios-ssn

443/tcp open https

445/tcp closed microsoft-ds

631/tcp closed ipp

749/tcp closed kerberos-adm

754/tcp closed krb_prop

8080/tcp closed http-proxy

8443/tcp closed https-alt

MAC Address: 00:0C:29:30:45:02 (VMware)

Device type: general purpose

Running: Linux 2.4.X|2.6.X

OS details: Linux 2.4.18 - 2.4.27, Linux 2.4.21 (Suse, X86), Linux 2.4.22, Linux

2.4.6 - 2.4.26 or 2.6.9, Linux 2.6.10, Linux 2.6.5 - 2.6.11, Linux 2.6.7, Linux

2.6.8 (Debian)

Nmap finished: 1 IP address (1 host up) scanned in 1688.376 seconds

（3）对活动主机运行服务进行探测

主机A单击平台工具栏“协议分析器”按钮，启动协议分析器进行数据包捕获。打开IE在地址栏中输入http://主机B的IP，访问主机B的web服务，停止协议分析器，查看捕获结果。图2-1可做为参考。