Nmap实验报告

网络扫描软件Nmap的应用

在网络攻击时，攻击者往往会使用网络和端口扫描软件对目标主机进行扫描，发现漏洞，为后续攻击做准备。本实验使用网络扫描软件Nmap对北邮官网（IP地址：１０.３.９.２５４）进行多类型的主机和端口扫描并进行分析。

1.隐藏扫描(Stealth Scanning)

－ｓＳ为TCP同步扫描，原理是源主机发送一个TCP同步包（SYN），然后等待目的主机的回应。如果对方返回SYN｜ACK包，就表示该目标端口打开。Wireshark抓包可以看出

在扫描过程中，源主机（１０.８.７０.２２４）向目标主机（１０.３.９.２５４）最可能打开的１０００个端口发送了TCP同步包，其中只有８０端口和３３０６端口返回了SYN｜ACK包，说明目标主机开放了这两个端口。从Nmap扫描结果可以看出８０端口提供的是http服务，３３０６提供的是mysql服务。

2.端口扫描(port scanning)

－ｓＴ扫描是调用系统函数connect()用来打开一个链接，所以耗时要比－ｓＳ要多。RTTVAR（往返延时变量）很大，应该网络拥塞引起的。从wireshark抓包看出

源主机与目的主机之间建立了完全的TCP链接，探测到端口开放后立即发送RST 断开链接。

UDP扫描是向目标主机的每个端口发送一个0字节的UDP包，如果收到端口不可到达的ICMP消息，端口就是关闭的。如wireshark抓包所示

源主机向目标机的1031端口发送了一个0字节的UDP包。

端口1031收到了ICMP消息，说明端口是关闭的。

端口123开启的是ntp服务。值得注意的是，此时发送的并不是0字节的UDP 包，而是内容为ntp的总长为224bit的UDP包。

对源主机所在网段（10.8.64.0/19）的主机进行Ping扫描。在局域网内，Nmap是通过发送ARP包来询问IP地址上的主机是否活动的，如果收到ARP 回复包，那么说明该主机在线。如wireshark抓包所示

源主机广播所扫描网段的ARP请求，没有回复的主机均视为没有在线。

10.8.64.1回复了ARP请求，说明10.8.64.1在线。

、

5.TCP ACK扫描

TCP ACK扫描是向目标机的端口发送ACK包，如果返回一个RST包，则这个端口就视为unfiltered状态。如wireshark抓包所示

如９０端口收到了RET包，说明这个端口处于unfiltered状态。

6.操作系统类型扫描

从扫描结果可以得到目标主机的详细信息。目标主机的操作系统为AVM FRITZ！Box WLAN７２４０WAP。

7.Traceroute路由跟踪扫描

使用－traceroute可以得到本机到目标主机之间的拓扑结构和路由信息。从Nmap结果可以看出，本地主机到１０.３.９.２５４一共要经过４跳才能到达。拓扑图如下

再对校内的图书馆，教务处，论坛进行扫描后可以得到学校的网络拓扑图对百度进行扫描后得到校园网到外网的拓扑图