端口扫描工具nmap使用介绍

1、端口扫描工具nmap使用介绍nmap使用介绍nmap是目前为止最广为使用的国外端口扫描工具之一。我们可以从/进行下载，可以很容易的安装到Windows和unix操作系统中,包括 mac os x （通过con figure、make、make in stall等命令）也可以直接从 http ://下载 windows二进制（包括所需要的winpcap ）也可以从 http :// 获得 nmap的图形 windows。扫描主机$ nmap -sT 8Start ing

2、 nmap3.48(/nmap/)at 2007-10-1018:13 EDTInteresting ports on gamebase(8)portstateserverice22/tcpope nssh111/tcpope nsunrpc$ nmap -sR 8Start ingnmap3.48(/nmap/)at 2007-10-10 18:13 EDTInteresting ports on gamebase(8)portstates

3、erverice22/tcpope nssh111/tcpope nsunrpc我们可以使用ping扫描的方法（-sP ），与fping的工作方式比较相似，它发送icmp回送请求到指定范围的ip地址并等待响应。现在很多主机在扫描的时候都做了处理，阻塞icmp请求，这种情况下。nmap将尝试与主机的端口80进行连接，如果可以接收到响应（可以是syn/ack，也可以是rst ），那么证明主机正在运行，反之，则无法判断主机是否开机或者 是否在网络上互连。扫描tcp端口这里-sR是怎样在打开的端口上利用RPC命令来判断它们是否运行了RPC服务。nmap可以在进行端口扫描的 tcp报文来做一些秘密的事情

4、。 首先，要有一个SYN扫描(-sS), 它只做建立TCP连接的前面一些工作，只发送一个设置SYN标志的TCP报文，一个RESET报文，那么nmap假设这个端口是关闭的，那么就不做任何事情了。如果接收到一个响应， 它并不象正常的连接一样对这个报文进行确认，而是发送一个RET报文，TCP的三次握手还没有完成，许多服务将不会记录这次连接。有的时候，nmap会告诉我们端口被过滤，这意味着有防火墙或端口过滤器干扰了nmap使其不能准确的判断端口是打开还是关闭的，有的防火墙只能过滤掉进入的连接。扫描协议如果试图访问另一端无程序使用的UDP端口，主机将发回一个 icmp “端口不可达”的提示消息，IP协议

5、也是一样。每个传输层的IP协议都有一个相关联的编号，使用最多的是ICMP(1)、TCP(6)和UDP(17)。所有的IP报文都有一个“协议”域用于指出其中的传输层报 文头所使用的协议。如果我们发送一个没有传输层报文头的原始IP报文并把其协议域编号为130该编号是指类似IPSEC协议的被称为安全报文外壳或SPS协议,就可以判断这个协议是否在主机上实现了。如果我们得到的是ICMP协议不可达的消息，意味着该协议没有被实现，否则就是已经实现了，用法为-sO.隐蔽扫描行为nmap给出了几个不同的扫描选项，其中一些可以配套着隐藏扫描行为，使得不被系统日志、防火墙和IDS检测到。提供了一些随机的和欺骗的特性

6、。具体例子如下：FTP反弹，在设计上，FTP自身存在一个很大的漏洞，当使用FTP客户机连接到FTP服务器时，你的客户机在 TCP端口 21上与FTP服务器对话，这个 TCP连接称为控制连接。FTP服 务器现在需要另一条与客户机连接，该连接称为数据连接， 在这条连接上将传送实际的文件数据，客户机将开始监听另一个 TCP端口上从服务器发挥的数据连接，接下来执行一个 PORT命令到服务器，告诉它建立一条数据连接到客户机的IP地址和一个新打开的端口，这种操作方法称为主动传输。许多客户机使用网络地址转换或通过防火墙与外界连接，所以主动传输FTP就不能正常工作，因为由服务器建立的客户机的连接通常不允许通过

7、。被动传输是大多数 FTP客户机和服务器所使用的方法，因为客户机既建立控制连接又建立数据连接，这样可以通过防火墙或NAT 了。FTP的PORT命令，用来告诉 FTP连接的服务器，使得与刚刚打开的用于数据连接的端口之 间建立一个连接。由于我们不仅指定端口而且指定连接所用的IP地址，所以客户端也可以通过PORT命令让服务器连接到任何地方。所以我们一样可以让 nmap用这个方法进行防火墙 穿透。n map做的所有工作是与一台服务器建立一个主动模式的FTP连接，并发送一个包含它试图扫描的主机IP地址和端口号的 PORT命令。nmap -b aaa -p 6000 26nmap与f

8、tp服务器的对话的例子：server : 220 target ftp server vers ion 4 readyclie nt:user anonym ousserver: 331 Guest log in ok ,se nd e-mail as passwordclie nt:passserver :230 log in successfulclie nt:PORT 192,168,1.226,23,112server:200 PORT comma nd successfulclie nt:LISTserver:150 Opening ASCII connection for '

9、;/bin/ls'server:226 Tran sfer completePORT命令起作用，可以制造是别人进行端口扫描，扫描任何FTP服务器所能访问的主机，绕过防火墙和端口过滤器，但还是存在一些危险的，如果对方登陆到了你的这个匿名FTP服务器上，从日志查找到相应的匿名 FTP连接，从而知道你的IP地址，这样就直接暴露了。nmap -sI空闲扫描，主要是欺骗端口扫描的源地址。nmap -f可以把TCP头分片的IP报文进行一些隐蔽的扫描。不完整的TCP报文不被防火墙阻塞也不被IDS检测到。nm ap-D选择几台肉鸡，并使用-D标志在命令行中指定它们。namp通过诱骗的IP地址来进行欺骗

10、式 端口扫描，而系统管理员可以同时看到不同的端口扫描，而只有一个是真实的， 很好的保护了自己。os指纹识别这个是nmap最有用的功能之一，就是可以鉴别远程主机。通过简单的执行网络扫描，nmap通常可以告诉你远程主机所运行的 OS甚至详细到版本号。当你指定 -Q标志时，nmap将用 几种不同的技术从主机返回 IP报文中寻找这些鉴别信息。通过发送特别设计的TCP和 UDP头，nmap可以得到远程主机对TCP/IP协议栈的处理方法。它将分析结果与保存在文件中的已知特征信息进行比较。OS鉴别选项也可以让 nmap对TCP报文进行分析以决定另外一些信息，如系统的启动时间， TCP序列号，预测的序列号使我

11、们更容易截获报文并猜测序列号从而伪造TCP连接。nmap命令使用详细解释-P0 -PT -PS -PU -PE -PP -PM -PB 当nmap进行某种类型的端口或协议扫描时，通常都会 尝试先ping主机，这种尝试可使 nmap不会浪费时间在那些未开机的主机上，但是许多主 机与防火墙会阻塞ICMP报文，我们希望能通过控制使用。-P0 告诉nmap不 ping主机，只进行扫描-PT 告诉nmap使用TCP的pi ng-PS 发送SYN报文。-PU 发送一个 udp ping-PE 强制执行直接的ICMP ping-PB 这是默认类型，可以使用ICMP ping也可以使用TCP ping .-6

12、该标志允许IPv6支持-v -d 使用-v选项可得到更详细的输出，而-d选项则增加调试输出。-oN 按照人们阅读的格式记录屏幕上的输出，如果是在扫描多台机器，则该选项很有用。-oX 以xml格式向指定的文件记录信息Os-oG 以一种易于检索的格式记录信息，即每台主机都以单独的行来记录所有的端口和 信息。-oA 使用为基本文件名，以普通格式（-oN）、XML格式（-oX）和易于检索的格式（-oG）jilu xi nxi -oM把输出格式化为机器可阅读的文件-oS 把输出进行傻瓜型排版-resume如果你取消了扫描，但生成了供人或者供机器阅读的文件，那么可以把该文件提 供给nmap继续让它扫描。-

13、iR-iL 可以不在命令行中指定目标主机， 而是使用-iR选项随即产生待扫描的主机， 或者使 用-iL选项从一个包含主机名或 IP地址列表的文件中读取目标主机， 这些主机名或IP地址 使用空格、制表符或换行隔开。-F nmap只扫描在nmap内建的服务文件中已知的端口，如果不指定该选项，nmap将扫描端口 1-1024及包含在nmap-services文件中的所有其他端口。 如果用-sO选项扫描协议，nmap 将用它内建的协议文件（nmap-protocols文件）而不是默认地扫描所有 256个协议。-A nmap使用所有的高级扫描选项-p参数可以是一个单独的端口、 一个用逗号隔开的端口列表、 一个使用“-”表示的端口范 围或者上述格式的任意组合。如果没有指定该选项，nmap将对包含前1024个端口的所有端口进行一次快速扫描。-e在多穴主机中，可以指定你用来进行网络通信的网络接口。-g可以选择一个源端口，从该端口执行所有的扫描。-ttl nmap 其发送的任何报文在到中间路由器的跳后会失效。-packet-trace可以显示扫描期间 nmap发送和接收的各个报文的详