Nmap的中文使用指南

Nmap的中文使用指南一、描述......................................................................................................................1二、目标说明（TARGETSPECIFICATION）........................................................1三、主机发现（HOSTDISCOVERY）....................................................................4四、端口扫描..............................................................................................................8五、Nmap所识别的6个端口状态...........................................................................8六、端口扫描技术（SCANTECHNIQUES）.........................................................9七、端口说明和扫描顺序（PORTSPECIFICATIONANDSCANORDER）....14八、服务和版本探测（SERVICE/VERSIONDETECTION）.............................16九、操作系统探测（OSDETECTION）...............................................................20十、时间和性能（TIMINGANDPERFORMANCE）.........................................21十一、防火墙/IDS躲避和欺骗（FIREWALL/IDSEVASIONANDSPOOFING）......................................................................................................................................24十二、输出（OUTPUT）........................................................................................27十三、其它选项（MISC）......................................................................................35十四、分布式Nmap扫描—DNmap.........................................................................37十五、补充（实验环境）..........................................................................................371一、描述Nmap(“NetworkMapper(网络映射器)”)是一款开放源代码的网络探测和安全审核的工具。其基本功能有三个，一是探测一组主机是否在线；其次是扫描主机端口，嗅探所提供的网络服务；还可以推断主机所用的操作系统。Nmap可用于扫描仅有两个节点的LAN，直至500个节点以上的网络。Nmap还允许用户定制扫描技巧。通常，一个简单的使用ICMP协议的ping操作可以满足一般需求；也可以深入探测UDP或者TCP端口，直至主机所使用的操作系统；还可以将所有探测结果记录到各种格式的日志中，供进一步分析操作。虽然Nmap通常用于安全审核，许多系统管理员和网络管理员也用它来做一些日常的工作，比如查看整个网络的信息，管理服务升级计划，以及监视主机和服务的运行。Nmap最初是Linux下的一款网络扫描器，但是由于其支持丰富、灵活的命令行参数，功能的强大而且使用的方便性，让这款开源软件不仅仅只是在Linux上一展身手，如今Nmap6.0已经支持多个操作平台，如MicrosoftWindows，MacOSX，FreeBSD,OpenBSD,andNetBSD，SunSolaris,Amiga,HP-UX,等等操作平台。Nmap输出的是扫描目标的列表，以及每个目标的补充信息，至于是哪些信息则依赖于所使用的选项。“所感兴趣的端口表格”是其中的关键。那张表列出端口号，协议，服务名称和状态。状态可能是open(开放的)，filtered(被过滤的)，closed(关闭的)，或者unfiltered(未被过滤的)。Open(开放的)意味着目标机器上的应用程序正在该端口监听连接/报文。filtered(被过滤的)意味着防火墙，过滤器或者其它网络障碍阻止了该端口被访问，Nmap无法得知它是open(开放的)还是closed(关闭的)。closed(关闭的)端口没有应用程序在它上面监听，但是他们随时可能开放。当端口对Nmap的探测做出响应，但是Nmap无法确定它们是关闭还是开放时，这些端口就被认为是unfiltered(未被过滤的)如果Nmap报告状态组合open|filtered和closed|filtered时，那说明Nmap无法确定该端口处于两个状态中的哪一个状态。当要求进行版本探测时，端口表也可以包含软件的版本信息。当要求进行IP协议扫描时(-sO)，Nmap提供关于所支持的IP协议而不是正在监听的端口的信息。除了所感兴趣的端口表，Nmap还能提供关于目标机的进一步信息，包括反向域名，操作系统猜测，设备类型，和MAC地址。二、目标说明（TARGETSPECIFICATION）除了选项，所有出现在Nmap命令行上的都被视为对目标主机的说明。最简单的情况是指定一个目标IP地址或主机名。有时候您希望扫描整个网络的相邻主机。为此，Nmap支持CIDR风格的地址。您可以附加一个/numbit在一个IP地址或主机名后面，Nmap将会扫描所有和该参考IP地址具有numbit相同比特的所有IP地址或主机。例如，2192.168.11.0/24将会扫描192.168.11.0和192.168.11.255之间的256台主机。假设主机scanme.nmap.org的IP地址是205.217.153.62，scanme.nmap.org/16将扫描205.217.0.0和205.217.255.255之间的65536个IP地址。所允许的最小值是/1，这将会扫描半个互联网。最大值是/32，这将只扫描该IP地址或者主机。CIDR标志位很简洁但有时候不够灵活。例如，当想要扫描192.168.0.0/16时，但是略过任何以.0或者.255结束的IP地址，因为它们不是主机地址。Nmap通过八位字节地址范围支持这样的扫描您可以用逗号分开的数字或范围列表为IP地址的每个八位字节指定它的范围。例如，192.168.0-255.1-254将略过在该范围内以.0和.255结束的地址。范围不必限于最后的8位：0-255.0-255.13.37将在整个互联网范围内扫描所有以13.37结束的地址。这种地址表示法体现了Nmap强大的灵活性。IPv6地址则只能用规范的IPv6地址或主机名指定。因为CIDR和八位字节范围不支持IPv6。另外Nmap命令行还可以同时接受多个主机说明，而且它们不必是相同类型。例如命令：nmapscanme.nmap.org192.168.0.0/810.0.0,1,3-7.0-255。这个命令别对scanme.nmap.org，192.0.0.0/8，10.0.0-1,3-7.0-255的地址进行了扫描。虽然目标通常在命令行指定，但是也可以灵活的使用下列选项来控制目标的选择：-iLinputfilename(从列表中输入)从inputfilename中读取目标说明。在命令行输入一堆主机名会显得很笨拙，比如从DHCP服务器导出10,000个当前租约的列表，而希望对它们进行扫描。这时只要生成要扫描的主机的列表，用-iL把文件名作为选项传给Nmap。列表中的项可以是Nmap在命令行上接受的任何格式(IP地址，主机名，CIDR，IPv6，或者八位字节范围)。每一项必须以一个或多个空格，制表符或换行符分开。如果您希望Nmap从标准输入而不是实际文件读取列表，您可以用一个连字符(-)作为文件名。3-iRhostnum(随机选择目标)对于互联网范围内的调查和研究，随机地选择目标也许会更合适些。hostnum参数是指生成随机IP的数量。如果是0则意味着永无休止的扫描。所生成的随机IP不包括：私有地址，组播地址或者未分配的地址。--excludehost1[，host2][，host3]，...(排除主机/网络)如果指定一个扫描范围有一些主机或网络不是您的目标，那就用该选项加上以逗号分隔的列表排除它们。该列表用正常的Nmap语法，因此它可以包括主机名，CIDR，八位字节范围等等。4--excludefileexclude_file(排除文件中的主机/网络)和--exclude选项的功能一样，只是所排除的目标是excludefile提供的，而不是在命令行上输入的。三、主机发现（HOSTDISCOVERY）网络探测任务最初的步骤就是把一组IP范围缩小为一列活动的主机。扫描每个IP的每个端口很慢，通常也没必要。当然，什么样的主机令您感兴趣主要依赖于扫描的目的。网管也许只对运行特定服务的主机感兴趣，而攻击者往往对有漏洞的端口感兴趣，从事安全的人士则可能对一个主机或者网络的所有信息都感兴趣。一个系统管理员也许仅仅使用Ping来定位内网上的主机，而一个外部入侵测试人员则可能绞尽脑汁用各种方法试图突破防火墙的封锁和IDS/IPS的检测。5由于主机发现的需求五花八门，所以Nmap提供了多种的选项来定制各种需求。主机发现有时候也叫做ping扫描，但它远远超越用世人皆知的ping工具。用户完全可以通过使用列表扫描(-sL)或者通过关闭ping(-P0)跳过ping的步骤，也可以使用多个端口把TPCSYN/ACK，UDP和ICMP任意组合起来玩一玩。这些探测的目的是获得响应以显示某个IP地址是否是活动的(即正在被某主机或者网络设备使用)。在许多网络上，在给定的时间，往往只有小部分的IP地址是活动的。漫无目的的主机发现有时像是在大海捞针，但是由于扫描的速度比较快，所以还是常常能够找到零星分布于IP地址海洋上的那些活动的机器。如果没有给出主机发现的选项，Nmap则默认发送一个TCPACK报文到80端口和一个ICMP回声请求到每台目标机器。对于非特权UNIXshell用户，使用connect()系统调用会发送一个SYN报文而不是ACK，这些默认行为和使用-PA-PE选项的效果相同。扫描局域网时，这种主机发现一般够用了，但是对于安全审核，则往往需要进行更加全面的探测。-P*选项(用于选择ping的类型)可以被结合使用。通过使用不同的TCP端口/标志位和ICMP码发送许多探测报文可以增加穿透防守严密的防火墙的机会。另外要注意的是即使指定了其它-P*选项，ARP发现(-PR)对于局域网上的目标而言是默认行为，因为它总是更快更有效。下列选项控制主机发现。-sL(列表扫描)列表扫描是主机发现的退化形式，它仅仅列出指定网络上的每台主机，而不发送任何报文到目标主机。默认情况下，Nmap仍然对主机进行反向域名解析以获取它们的名字。Nmap最后还会报告IP地址的总数。列表扫描可以很好的确保您拥有正确的目标IP。如果主机的域名出