nmap

网络攻防技术
TCP SYN scanning
网络攻防技术
TCP connect scanning
网络攻防技术
TCP connect scanning
网络攻防技术
TCP ACK scanning
网络攻防技术
UDP scanning
网络攻防技术
端口扫描用法
扫描方式选项 -sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans 的方式来对目标主机进行扫描。 -sU: 指定使用UDP 扫描方式确定目标主机的 UDP 端口状况。 -sN/sF/sX: 指定使用TCP Null, FIN, and Xmas scans 秘密扫描方式来协助探测对方的TCP 端 口状态。
网络攻防技术
探测局域网内活动主机
扫描局域网172.16.28.1-172.16.28.100范围内 哪些IP 的主机是活动的。 命令如下： nmap –sn 172.16.28.1-100

网络攻防技术
网络攻防技术
在局域网内，Nmap 是通过ARP 包来询问IP 地址上的主机 是否活动的，如果收到ARP回复包，那么说明主机在线。 例如，某条ARP 回复的报文详细信息如下：
网络攻防技术


--scanflags <flags>: 定制TCP 包的flags。 -sI <zombie host[:probeport]>: 指定使用idle scan 方式来扫描目标主机（前提需要找到合适 的zombie host） -sY/sZ: 使用SCTP INIT/COOKIE-ECHO 来扫 描SCTP 协议端口的开放的情况。 -sO: 使用IP protocol 扫描确定目标机支持的协 议类型。 -b <FTP relay host>: 使用FTP bounce scan 扫 描方式。

界面
其中Profile 栏位， 用于选择 “Zenmap 默认 提供的Profile”或 “用户创建的 Profile”； Command 栏位， 用于显示选择 Profile 对应的命 令或者用户自行 指定的命令； Topology 选项卡， 用于显示扫描到 的目标机与本机 之间的拓扑结构。
网络攻防技术
网络攻防技术
主机发现基本原理：（以ICMP echo 方式为例）
网络攻防技术

默认情况下，Nmap 会发送四种不同类型的数据 包来探测目标主机是否在线。 1. ICMP echo request 2. a TCP SYN packet to port 443(网页浏览端口) 3. a TCP ACK packet to port 80 4. an ICMP timestamp request 依次发送四个报文探测目标机是否开启。只要收 到其中一个包的回复，那就证明目标机开启。使 用四种不同类型的数据包可以避免因防火墙或丢 包造成的判断错误。
下面以探测www.baidu.com 的主机为例，简单 演示主机发现的用法。
命令如下： nmap –sn –PE –PS80,135 –PU53 www.baidu.com
网络攻防技术
网络攻防技术

使用Wireshark 抓包，我们看到， www.baidu.com 的IP 地址 220.181.112.143 发送了四个探测包： ICMP Echo，80 和135端口的TCP SYN 包，53 端口的UDP包（DNS domain） 。而收到ICMP Echo 的回复与80 端口的 回复。从而确定了www.baidu.com 主机 正常在线。
Nmap扫描原理与用法
Nmap介绍

Nmap，也就是Network Mapper。
一般情况下，Nmap 用于列举网络主机清 单、管理服务升级调度、监控主机或服务 运行状况。Nmap 可以检测目标机是否在 线、端口开放情况、侦测运行的服务类型 及版本信息、侦测操作系统与设备类型等 信息。
网络攻防技术
网络攻防技术
主机发现原理
主机发现发现的原理与Ping 命令类似，发送 探测包到目标主机，如果收到回复，那么说明目 标主机是开启的。Nmap 支持十多种不同的主机 探测方式，比如发送 ICMP ECHO/TIMESTAMP/NETMASK 报文、发 送TCP SYN/ACK 包、发送SCTPINIT/COOKIEECHO 包，用户可以在不同的条件下灵活选用不 同的方式来探测目标机。
网络攻防技术
端口参数与扫描顺序
-p <port ranges>: 扫描指定的端口 实例: -p22; -p1-65535; -p U:53,111,137,T:2125,80,139,8080,S:9（其中T 代表TCP协议、U 代表 UDP 协议、S 代表SCTP 协议） -F: Fast mode – 快速模式，仅扫描TOP 100 的端 口 -r: 不进行端口随机打乱的操作（如无该参数， nmap 会将要扫描的端口以随机顺序方式扫描， 以让nmap 的扫描不易被对方防火墙检测到）。
网络攻防技术
端口扫描原理
Nmap 在端口扫描方面非常强大，提供了十多种 探测方式。
1.TCP SYN(synchronize) scanning(默认) 2.TCP connect scanning 3. TCP ACK (Acknowledgement） scanning 4.UDP scanning ……
网络攻防技术
Nmap 四项基本功能
1主机发现（Host Discovery） 2 端口扫描（Port Scanning） 3)版本侦测（Version Detection） 4 操作系统侦测（Operating System Detection）

网络攻防技术
主机发现

主机发现（Host Discovery），即用于发现目标 主机是否在线（Alive，处于开启状态）。
其中-A 选项用于使用进攻性（Aggressive）方式扫描；-T4 指定扫 描过程使用的时序（Timing），总有6 个级别（0-5），级别越高，扫描 速度越快，但也容易被防火墙或IDS 检测并屏蔽掉，在网络通讯状况良好 的情况推荐使用T4；-v 表示显示冗余（verbosity）信息，在扫描过程中 显示扫描的细节，从而让用户了解当前的扫描状态。
网络攻防技术
端口扫描
端口扫描是Nmap 最基本最核心的功能， 用于确定目标主机的TCP/UDP 端口的开 放情况。 默认情况下，Nmap 会扫描1000 个最有 可能开放的TCP 端口。

网络攻防技术
Nmap 通过探测将端口划分为6 个状态

wenku.baidu.com

1. open：端口是开放的。 2. closed：端口是关闭的。 3. filtered：端口被防火墙IDS/IPS 屏蔽，无法确 定其状态。 4. unfiltered：端口没有被屏蔽，但是否开放需要 进一步确定。 5. open|filtered：端口是开放的或被屏蔽。 6. closed|filtered ：端口是关闭的或被屏蔽。
网络攻防技术
网络攻防技术
网络攻防技术



例如，扫描局域网内地址为172.16.28.100 的电脑。显而 易见，扫描出的信息非常丰富，在对172.16.28.100的扫 描报告部分中（以红框圈出），可以看到主机发现的结果 “Host is up”； 端口扫描出的结果，有987个关闭端口，6个开放端口（ 在未指定扫描端口时，Nmap 默认扫描1000 个最有可能 开放的端口）；而版本侦测针对扫描到的开放状况进一步 探测端口上运行的具体的应用程序和版本信息；OS 侦测 对该目标主机的设备类型与操作系统进行探测； 而蓝色框图是nmap 调用NSE 脚本进行进一步的信息挖 掘的显示结果。
网络攻防技术


80端口是为HTTP（HyperText Transport Protocol)即超文本传输协议开放的，此为上网 冲浪使用次数最多的协议，主要用于WWW （World Wide Web）即万维网传输信息的协议。 443端口即网页浏览端口，主要是用于HTTPS 服务，是提供加密和通过安全端口传输的另一 种HTTP。
网络攻防技术
常用举例

-sn：表示只单独进行主机发现过程； -Pn ：表示直接跳过主机发现而进行端口扫描 等高级操作（如果已经确知目标主机已经开启， 可用该选项）； -n：如果不想使用DNS 或reverse DNS 解析， 那么可以使用该选项。
网络攻防技术
使用演示

探测www.baidu.com
Nmap 的优点

1. 灵活。支持数十种不同的扫描方式，支持多种目标对象的扫描。 2. 强大。Nmap可以用于扫描互联网上大规模的计算机。 3. 可移植。支持主流操作系统：Windows/Linux/Unix/Mac OS 等 等；源码开放，方便移植。 4. 简单。提供默认的操作能覆盖大部分功能，基本端口扫描 nmap targetip，全面的扫描nmap –A targetip。 5. 自由。Nmap作为开源软件，在 GPL License 的范围内可以自由 的使用。 6. 文档丰富。Nmap 官网提供了详细的文档描述。Nmap 作者及其 他安全专家编写了多部Nmap 参考书籍。 7. 社区支持。Nmap 背后有强大的社区团队支持。 8. 赞誉有加。获得很多的奖励，并在很多影视作品中出现（如黑客 帝国2、Die Hard4等）。 9. 流行。目前Nmap 已经被成千上万的安全专家列为必备的工具之 一。
网络攻防技术
主机发现的用法



-sL: List Scan 列表扫描，仅将指定的目标的IP 列举出来，不进行主机发现。 -sn: Ping Scan 只进行主机发现，不进行端口扫 描。 -Pn: 将所有指定的主机视作开启的，跳过主机发 现的过程。 -PS/PA/PU/PY[portlist]: 使用TCP SYN/ACK 或 SCTP INIT/ECHO 方式进行发现。 -PE/PP/PM: 使用ICMP echo, timestamp, and netmask 请求包发现主机。
网络攻防技术

-PO[protocol list]: 使用IP 协议包探测对方主 机是否开启。 -n/-R: -n 表示不进行DNS 解析；-R 表示总是 进行DNS 解析。 --dns-servers <serv1[,serv2],...>: 指定DNS 服务器。 --system-dns: 指定使用系统的DNS 服务器 --traceroute: 追踪每个路由节点

Nmap 的典型用法
1.确定端口状况 如果直接针对某台计算的IP 地址或域名进行扫描，那 么Nmap 对该主机进行主机发现过程和端口扫描。该方式 执行迅速，可以用于确定端口的开放状况。 命令形式: nmap targethost 如：namp 172.16.28.100 可以确定目标主机在线情况及端口基本状况。
网络攻防技术


135端口就是用于远程的打开对方的telnet服务 ，用于 启动与远程计算机的 RPC （Remote Procedure Call， 远程过程调用）协议连接，很容易就可以就侵入电脑。 大名鼎鼎的“冲击波”就是利用135端口侵入的。 135 的作用就是进行远程，可以在被远程的电脑中写入恶意 代码，危险极大。 53端口,DNS （Domain Name Server）服务器所开放 的端口，入侵者可能是试图进行区域传递（TCP），欺 骗DNS（UDP）或隐藏其他的通信。因此防火墙常常 过滤或记录此端口。
网络攻防技术
网络攻防技术
2.完整全面的扫描 如果希望对某台主机进行完整全面的扫描，那么可以使 用nmap 内置的-A 选项。使用了该选项，nmap 对目标主机 进行主机发现、端口扫描、应用程序与版本侦测、操作系统 侦测及调用默认NSE 脚本扫描。 命令形式： nmap –T4 –A –v targethost 如：nmap –T4 –A –v 172.16.28.100
网络攻防技术
Nmap 四项基本功能
1主机发现（Host Discovery） 2 端口扫描（Port Scanning） 3)版本侦测（Version Detection） 4 操作系统侦测（Operating System Detection）

网络攻防技术
功能架构图
网络攻防技术
Nmap 基本扫描方法