/24, 是花花公子芝加哥办公室的 防火牆nmap图形版最后还会报告IP地址的总数。列表扫描可以很好的确保您拥有正确的目标IP 如果主机的域名出乎您的意料,那么就值得进一步检查以防错误地扫描其它组织的网络
既然只是打印目标主机的列表,像其它一些高级功能如端口扫描操作系统探测或者Ping扫描 的选项就没囿了。如果您希望关闭ping扫描而仍然执行这样的高级功能请继续阅读关于 -P0选项的介绍。
该选项告诉nmap图形版仅仅 进行ping扫描 (主机发现)然后打茚出对扫描做出响应的那些主机。 没有进一步的测试 (如端口扫描或者操作系统探测) 这比列表扫描更积极,常常用于
和列表扫描相同的目嘚它可以得到些许目标网络的信息而不被特别注意到。 对于攻击者来说了解多少主机正在运行比列表扫描提供的一列IP和主机名往往更囿价值。
系统管理员往往也很喜欢这个选项 它可以很方便地得出 网络上有多少机器正在运行或者监视服务器是否正常运行。常常有人称咜为 地毯式ping它比ping广播地址更可靠,因为许多主机对广播请求不响应
-sP选项在默认情况下, 发送一个ICMP回声请求和一个TCP报文到80端口如果非特权用户执行,就发送一个SYN报文
(用connect()系统调用)到目标机的80端口 当特权用户扫描局域网上的目标机时,会发送ARP请求(-PR)
,除非使用了--send-ip选项 -sP选項可以和除-P0)之外的任何发现探测类型-P* 选项结合使用以达到更大的灵活性。
一旦使用了任何探测类型和端口选项默认的探测(ACK和回应请求)就被覆盖了。 当防守严密的防火墙位于运行nmap图形版的源主机和目标网络之间时 推荐使用那些高级选项。否则当防火墙捕获并丢弃探测包戓者响应包时,一些主机就不能被探测到
该选项完全跳过nmap图形版发现阶段。 通常nmap图形版在进行高强度的扫描时用它确定正在运行的机器 默认情况下,nmap图形版只对正在运行的主机进行高强度的探测如 端口扫描版本探测,或者操作系统探测用-P0禁止
主机发现会使nmap图形版对烸一个指定的目标IP地址 进行所要求的扫描。所以如果在命令行指定一个B类目标地址空间(/16) 所有 65,536 个IP地址都会被扫描。
-P0的第二个字符是数字0而鈈是字母O 和列表扫描一样,跳过正常的主机发现但不是打印一个目标列表, 而是继续执行所要求的功能就好像每个IP都是活动的。
该選项发送一个设置了SYN标志位的空TCP报文 默认目的端口为80 (可以通过改变nmap图形版.h)
文件中的DEFAULT-TCP-PROBE-PORT值进行配置,但不同的端口也可以作为选项指定 甚臸可以指定一个以逗号分隔的端口列表(如
-PS22,2325,80113,105035000), 在这种情况下每个端口会被并发地扫描。
SYN标志位告诉对方您正试图建立一个连接 通常目标端口是关闭的,一个RST (复位) 包会发回来 如果碰巧端口是开放的,目标会进行TCP三步握手的第二步回应 一个SYN/ACK
TCP报文。然后运行nmap图形版的机器则会扼杀这个正在建立的连接 发送一个RST而非ACK报文,否则一个完全的连接将会建立。 RST报文是运行nmap图形版的机器而不是nmap图形版夲身响应的因为它对收到
nmap图形版并不关心端口开放还是关闭。 无论RST还是SYN/ACK响应都告诉nmap图形版该主机正在运行
在UNIX机器上,通常只有特权用戶 root 能否发送和接收 原始的TCP报文因此作为一个变通的方法,对于非特权用户
nmap图形版会为每个目标主机进行系统调用connect(),它也会发送一个SYN 报攵来尝试建立连接如果connect()迅速返回成功或者一个ECONNREFUSED
失败,下面的TCP堆栈一定已经收到了一个SYN/ACK或者RST该主机将被 标志位为在运行。 如果连接超时叻该主机就标志位为down掉了。这种方法也用于IPv6
连接因为nmap图形版目前还不支持原始的IPv6报文。
TCP ACK ping和刚才讨论的SYN ping相当类似 也许您已经猜到了,區别就是设置TCP的ACK标志位而不是SYN标志位 ACK报文表示确认一个建立连接的尝试,但该连接尚未完全建立
所以远程主机应该总是回应一个RST报文, 因为它们并没有发出过连接请求到运行nmap图形版的机器如果它们正在运行的话。
-PA选项使用和SYN探测相同的默认端口(80)也可以 用相同的格式指定目标端口列表。如果非特权用户尝试该功能 或者指定的是IPv6目标,前面说过的connect()方法将被使用
这个方法并不完美,因为它实际上发送嘚是SYN报文而不是ACK报文。
提供SYN和ACK两种ping探测的原因是使通过防火墙的机会尽可能大 许多管理员会配置他们的路由器或者其它简单的防火墙來封锁SYN报文,除非 连接目标是那些公开的服务器像公司网站或者邮件服务器 这可以阻止其它进入组织的连接,同时也允许用户访问互联網
这种无状态的方法几乎不占用防火墙/路由器的资源,因而被硬件和软件过滤器 广泛支持Linux Netfilter/iptables 防火墙软件提供方便的 --syn选项来实现这种无状態的方法。 当这样的无状态防火墙规则存在时发送到关闭目标端口的SYN
ping探测 (-PS) 很可能被封锁。这种情况下ACK探测格外有闪光点,因为它正好利用了 这样的规则
另外一种常用的防火墙用有状态的规则来封锁非预期的报文。 这一特性已开始只存在于高端防火墙但是这些年类它樾来越普遍了。 Linux Netfilter/iptables 通过 --state选项支持这一特性它根据连接状态把报文
进行分类。SYN探测更有可能用于这样的系统由于没头没脑的ACK报文 通常会被識别成伪造的而丢弃。解决这个两难的方法是通过即指定 -PS又指定-PA来即发送SYN又发送ACK
还有一个主机发现的选项是UDP ping,它发送一个空的(除非指定叻--data-length
UDP报文到给定的端口端口列表的格式和前面讨论过的-PS和-PA选项还是一样。
如果不指定端口默认是31338。该默认值可以通过在编译时改变nmap图形蝂.h文件中的 DEFAULT-UDP-PROBE-PORT值进行配置默认使用这样一个奇怪的端口是因为对开放端口 进行这种扫描一般都不受欢迎。
如果目标机器的端口是关闭的UDP探测应该马上得到一个ICMP端口无法到达的回应报文。 这对于nmap图形版意味着该机器正在运行
许多其它类型的ICMP错误,像主机/网络无法到达或者TTL超时则表示down掉的或者不可到达的主机 没有回应也被这样解释。如果到达一个开放的端口大部分服务仅仅忽略这个 空报文而不做任何回應。这就是为什么默认探测端口是31338这样一个
极不可能被使用的端口少数服务如chargen会响应一个空的UDP报文, 从而向nmap图形版表明该机器正在运行
该扫描类型的主要优势是它可以穿越只过滤TCP的防火墙和过滤器。 例如我曾经有过一个Linksys BEFW11S4无线宽带路由器。默认情况下 该设备对外的网鉲过滤所有TCP端口,但UDP探测仍然会引发一个端口不可到达 的消息从而暴露了它自己。
除了前面讨论的这些不常见的TCP和UDP主机发现类型 nmap图形蝂也能发送世人皆知的ping 程序所发送的报文。nmap图形版发送一个ICMP type 8
(回声请求)报文到目标IP地址 期待从运行的主机得到一个type 0 (回声响应)报文。 对于网絡探索者而言不幸的是,许多主机和 防火墙现在封锁这些报文而不是按期望的那样响应,
参见因此,仅仅ICMP扫描对于互联网上的目标通常是不够的 但对于系统管理员监视一个内部网络,它们可能是实际有效的途径 使用-PE选项打开该回声请求功能。
虽然回声请求是标准嘚ICMP ping查询 nmap图形版并不止于此。ICMP标准 ()还规范了时间戳请求信息请求
request,和地址掩码请求它们的代码分别是13,15和17 虽然这些查询的表面目的昰获取信息如地址掩码和当前时间, 它们也可以很容易地用于主机发现 很简单,回应的系统就是在运行的系统nmap图形版目前没有实现信息请求报文,
因为它们还没有被广泛支持RFC 1122 坚持 “主机不应该实现这些消息”。 时间戳和地址掩码查询可以分别用-PP和-PM选项发送
时间戳响應(ICMP代码14)或者地址掩码响应(代码18)表示主机在运行。 当管理员特别封锁了回声请求报文而忘了其它ICMP查询可能用于 相同目的时这两个查询可能佷有价值。
最常见的nmap图形版使用场景之一是扫描一个以太局域网 在大部分局域网上,特别是那些使用基于 RFC1918私有地址范围的网络在一个給定的时间绝大部分 IP地址都是不使用的。 当nmap图形版试图发送一个原始IP报文如ICMP回声请求时
操作系统必须确定对应于目标IP的硬件 地址(ARP),这样咜才能把以太帧送往正确的地址 这一般比较慢而且会有些问题,因为操作系统设计者认为一般不会在短时间内 对没有运行的机器作几百萬次的ARP请求
当进行ARP扫描时,nmap图形版用它优化的算法管理ARP请求 当它收到响应时, nmap图形版甚至不需要担心基于IP的ping报文既然它已经知道该主机正在运行了。
这使得ARP扫描比基于IP的扫描更快更可靠 所以默认情况下,如果nmap图形版发现目标主机就在它所在的局域网上它会进行ARP扫描。 即使指定了不同的ping类型(如 -PI或者
-PS) nmap图形版也会对任何相同局域网上的目标机使用ARP。 如果您真的不想要ARP扫描指定
-n (不用域名解析)
告诉nmap图形蝂 永不对它发现的活动IP地址进行反向域名解析。 既然DNS一般比较慢这可以让事情更快些。
-R (为所有目标解析域名)
告诉nmap图形版 永远 对目标IP地址莋反向域名解析 一般只有当发现机器正在运行时才进行这项操作。
默认情况下nmap图形版通过直接发送查询到您的主机上配置的域名服务器 来解析域名。为了提高性能许多请求 (一般几十个 ) 并发执行。如果您希望使用系统自带的解析器就指定该选项
(通过getnameinfo()调用一次解析一个IP)。除非nmap图形版的DNS代码有bug--如果是这样请联系我们。 一般不使用该选项因为它慢多了。系统解析器总是用于IPv6扫描
虽然nmap图形版这些年来功能越来越多, 它也是从一个高效的端口扫描器开始的并且那仍然是它的核心功能。 nmap图形版 <target>这个简单的命令扫描主机<target>上的超过
1660个TCP端口 。許多传统的端口扫描器只列出所有端口是开放还是关闭的 nmap图形版的信息粒度比它们要细得多。
这些状态并非端口本身的性质而是描述nmap圖形版怎样看待它们。例如 对于同样的目标机器的135/tcp端口,从同网络扫描显示它是开放的而跨网络作完全相同的扫描则可能显示它是 filtered(被過滤的)。
nmap图形版所识别的6个端口状态
应用程序正在该端口接收TCP 连接或者UDP报文。发现这一点常常是端口扫描 的主要目标安全意识强的人們知道每个开放的端口 都是攻击的入口。攻击者或者入侵测试者想要发现开放的端口 而管理员则试图关闭它们或者用防火墙保护它们以免妨碍了合法用户。
非安全扫描可能对开放的端口也感兴趣因为它们显示了网络上那些服务可供使用。
关闭的端口对于nmap图形版也是可访問的(它接受nmap图形版的探测报文并作出响应) 但没有应用程序在其上监听。
它们可以显示该IP地址上(主机发现或者ping扫描)的主机正在运行up 也对蔀分操作系统探测有所帮助。 因为关闭的关口是可访问的也许过会儿值得再扫描一下,可能一些又开放了 系统管理员可能会考虑用防吙墙封锁这样的端口。
那样他们就会被显示为被过滤的状态下面讨论。
由于包过滤阻止探测报文到达端口 nmap图形版无法确定该端口是否開放。过滤可能来自专业的防火墙设备路由器规则 或者主机上的软件防火墙。这样的端口让攻击者感觉很挫折因为它们几乎不提供 任哬信息。有时候它们响应ICMP错误消息如类型3代码13
(无法到达目标: 通信被管理员禁止)但更普遍的是过滤器只是丢弃探测帧, 不做任何响应 这迫使nmap图形版重试若干次以访万一探测包是由于网络阻塞丢弃的。 这使得扫描速度明显变慢
未被过滤状态意味着端口可访问,但nmap图形版不能确定它是开放还是关闭 只有用于映射防火墙规则集的ACK扫描才会把端口分类到这种状态。 用其它类型的扫描如窗口扫描SYN扫描,或者FIN扫描来扫描未被过滤的端口可以帮助确定
当无法确定端口是开放还是被过滤的Namp就把该端口划分成 这种状态。开放的端口不响应就是一个例孓没有响应也可能意味着报文过滤器丢弃 了探测报文或者它引发的任何响应。因此nmap图形版无法确定该端口是开放的还是被过滤的
UDP,IP协議 FIN,Null和Xmas扫描可能把端口归入此类。
该状态用于nmap图形版不能确定端口是关闭的还是被过滤的 它只可能出现在IPID Idle扫描中。
作为一个修车新掱我可能折腾几个小时来摸索怎样把基本工具(锤子,胶带扳子等) 用于手头的任务。当我惨痛地失败把我的老爷车拖到一个真正的技師那儿的时候 ,他总是在他的工具箱里翻来翻去直到拽出一个完美的工具然后似乎不费吹灰之力搞定它。 端口扫描的艺术和这个类似專家理解成打的扫描技术,选择最适合的一种
(或者组合)来完成给定的 任务 另一方面,没有经验的用户和刚入门者总是用默认的SYN扫描解决烸个问题 既然nmap图形版是免费的,掌握端口扫描的唯一障碍就是知识这当然是汽车世界所不能比的, 在那里可能需要高超的技巧才能確定您需要一个压杆弹簧压缩机,接着您还得为它付数千美金
大部分扫描类型只对特权用户可用。 这是因为他们发送接收原始报文这茬Unix系统需要root权限。 在Windows上推荐使用administrator账户但是当WinPcap已经被加载到操作系统时,
非特权用户也可以正常使用nmap图形版当Namp在1997年发布时,需要root权限是┅个严重的 局限因为很多用户只有共享的shell账户。现在世界变了,计算机便宜了更多人拥有互联网连接 ,桌面UNIX系统
(包括Linux和MAC OS X)很普遍了Windows蝂本的nmap图形版现在也有了,这使它可以运行在更多的桌面上 由于所有这些原因,用户不再需要用有限的共享shell账户运行nmap图形版
这是很幸運的,因为特权选项让nmap图形版强大得多也灵活得多
虽然nmap图形版努力产生正确的结果,但请记住所有结果都是基于目标机器(或者它们前面嘚防火墙)返回的报文的 。这些主机也许是不值得信任的它们可能响应以迷惑或误导nmap图形版的报文。
更普遍的是非RFC兼容的主机以不正确嘚方式响应nmap图形版探测FIN,Null和Xmas扫描 特别容易遇到这个问题这些是特定扫描类型的问题,因此我们在个别扫描类型里讨论它们
这一节讨論nmap图形版支持的大约十几种扫描技术。 一般一次只用一种方法 除了UDP扫描(-sU)可能和任何一种TCP扫描类型结合使用。
友情提示一下端口扫描类型的选项格式是-s<C>, 其中<C> 是个显眼的字符通常是第一个字符。 一个例外是deprecated FTP
SYN扫描但是如果用户没有权限发送原始报文(在UNIX上需要root权限)或者如果指定的是IPv6目标,nmap图形版调用connect()
本节列出的扫描中,非特权用户只能执行connect()和ftp bounce扫描
SYN扫描作为默认的也是最受欢迎的扫描选项,是有充分理甴的 它执行得很快,在一个没有入侵防火墙的快速网络上每秒钟可以扫描数千个 端口。 SYN扫描相对来说不张扬不易被注意到,因为它從来不完成TCP连接
它也不像Fin/Null/Xmas,Maimon和Idle扫描依赖于特定平台而可以应对任何兼容的 TCP协议栈。 它还可以明确可靠地区分open(开放的)
它常常被称为半開放扫描, 因为它不打开一个完全的TCP连接它发送一个SYN报文, 就像您真的要打开一个连接然后等待响应。 SYN/ACK表示端口在监听 (开放)而 RST
(复位)表示没有监听者。如果数次重发后仍没响应 该端口就被标记为被过滤。如果收到ICMP不可到达错误
(类型3代码1,23,910,或者13)该端口也被標记为被过滤。
系统调用要求操作系统和目标机以及端口建立连接而不像其它扫描类型直接发送原始报文。 这是和Web浏览器P2P客户端以及夶多数其它网络应用程序用以建立连接一样的 高层系统调用。它是叫做Berkeley Sockets API编程接口的一部分nmap图形版用
该API获得每个连接尝试的状态信息,而鈈是读取响应的原始报文
当SYN扫描可用时,它通常是更好的选择因为nmap图形版对高层的 connect()调用比对原始报文控制更少, 所以前者效率较低 該系统调用完全连接到开放的目标端口而不是像SYN扫描进行
半开放的复位。这不仅花更长时间需要更多报文得到同样信息,目标机也更可能 记录下连接IDS(入侵检测系统)可以捕获两者,但大部分机器没有这样的警报系统 当nmap图形版连接,然后不发送数据又关闭连接
许多普通UNIX系统上的服务会在syslog留下记录,有时候是一条加密的错误消息 此时,有些真正可怜的服务会崩溃虽然这不常发生。如果管理员在日志里看到来自同一系统的 一堆连接尝试她应该知道她的系统被扫描了。
虽然互联网上很多流行的服务运行在TCP 协议上服务也不少。 DNSSNMP,和DHCP (注冊的端口是53161/162,和67/68)是最常见的三个
因为UDP扫描一般较慢,比TCP更困难一些安全审核人员忽略这些端口。 这是一个错误因为可探测的UDP服务楿当普遍,攻击者当然不会忽略整个协议 所幸,nmap图形版可以帮助记录并报告UDP端口
UDP扫描用-sU选项激活。它可以和TCP扫描如 SYN扫描 (-sS)结合使用来同時检查两种协议
UDP扫描发送空的(没有数据)UDP报头到每个目标端口。 如果返回ICMP端口不可到达错误(类型3代码3),
该端口是closed(关闭的) 其它ICMP不可到达錯误(类型3,
代码12,910,或者13)表明该端口是filtered(被过滤的)
偶尔地,某服务会响应一个UDP报文证明该端口是open(开放的)。 如果几次重试后还没有响應该端口就被认为是
open|filtered(开放|被过滤的)。 这意味着该端口可能是开放的也可能包过滤器正在封锁通信。 可以用版本扫描(-sV)帮助区分真正的开放端口和被过滤的端口
UDP扫描的巨大挑战是怎样使它更快速。 开放的和被过滤的端口很少响应让nmap图形版超时然后再探测,以防探测帧或鍺 响应丢失关闭的端口常常是更大的问题。
它们一般发回一个ICMP端口无法到达错误但是不像关闭的TCP端口响应SYN或者Connect 扫描所发送的RST报文,许哆主机在默认情况下限制ICMP端口不可到达消息
nmap图形版探测速率限制并相应地减慢来避免用那些目标机会丢弃的无用报文来阻塞 网络。不幸嘚是Linux式的一秒钟一个报文的限制使65,536个端口的扫描要花 18小时以上。加速UDP扫描的方法包括并发扫描更多的主机先只对主要端口进行快速
扫描,从防火墙后面扫描使用--host-timeout跳过慢速的 主机。
这三种扫描类型 (甚至用下一节描述的 --scanflags 选项的更多类型) 在 中发掘了一个微妙的方法来区分open(开放的)和
closed(关闭的)端口第65页说“如果 [目标]端口状态是关闭的....
进入的不含RST的报文导致一个RST响应。” 接下来的一页 讨论不设置SYNRST,或者ACK位的报文發送到开放端口:
“理论上这不应该发生,如果您确实收到了丢弃该报文,返回 ”
如果扫描系统遵循该RFC,当端口关闭时任何不包含SYN,RST或者ACK位的报文会导致 一个RST返回,而当端口开放时应该没有任何响应。只要不包含SYNRST,或者ACK
任何其它三种(FIN,PSHand URG)的组合都行。nmap图形版囿三种扫描类型利用这一点:
不设置任何标志位(tcp标志头是0)
设置FINPSH,和URG标志位就像点亮圣诞树上所有的灯一样。
除了探测报文的标志位不哃这三种扫描在行为上完全一致。 如果收到一个RST报文该端口被认为是 closed(关闭的),而没有响应则意味着
端口是open|filtered(开放或者被过滤的) 如果收箌ICMP不可到达错误(类型 3,代号
12,39,10或者13),该端口就被标记为
这些扫描的关键优势是它们能躲过一些无状态防火墙和报文过滤路由器 叧一个优势是这些扫描类型甚至比SYN扫描还要隐秘一些。但是别依赖它 -- 多数 现代的IDS产品可以发现它们一个很大的不足是并非所有系统都严格遵循RFC 793。
许多系统不管端口开放还是关闭都响应RST。 这导致所有端口都标记为closed(关闭的) 这样的操作系统主要有Microsoft
Windows,许多Cisco设备BSDI,以及IBM OS/400 但是這种扫描对多数UNIX系统都能工作。这些扫描的另一个不足是
它们不能辨别open(开放的)端口和一些特定的 filtered(被过滤的)端口从而返回
这种扫描与目前為止讨论的其它扫描的不同之处在于 它不能确定open(开放的)或者 open|filtered(开放或者过滤的))端口。
它用于发现防火墙规则确定它们是有状态的还是无状態的,哪些端口是被过滤的
ACK扫描探测报文只设置ACK标志位(除非您使用 --scanflags)。当扫描未被过滤的系统时
unfiltered(未被过滤的),意思是 ACK报文不能到达但臸于它们是open(开放的)或者
closed(关闭的) 无法确定。不响应的端口
或者发送特定的ICMP错误消息(类型3代号1,23,910,
除了利用特定系统的实现细节来区汾开放端口和关闭端口当收到RST时不总是打印unfiltered, 窗口扫描和ACK扫描完全一样 它通过检查返回的RST报文的TCP窗口域做到这一点。
在某些系统上開放端口用正数表示窗口大小(甚至对于RST报文) 而关闭端口的窗口大小为0。因此当收到RST时,窗口扫描不总是把端口标记为 unfiltered
而是根据TCP窗口值昰正数还是0,分别把端口标记为open或者 closed
该扫描依赖于互联网上少数系统的实现细节 因此您不能永远相信它。不支持它的系统会通常返回所囿端口closed 当然,一台机器没有开放端口也是有可能的 如果大部分被扫描的端口是 closed,而一些常见的端口 (如 22
25,53) 是 filtered该系统就非常可疑了。 耦尔地系统甚至会显示恰恰相反的行为。 如果您的扫描显示1000个开放的端口和3个关闭的或者被过滤的端口 那么那3个很可能也是开放的端ロ。
根据RFC 793 (TCP)无论端口开放或者关闭,都应该对这样的探测响应RST报文 然而,Uriel注意到如果端口开放许多基于BSD的系统只是丢弃该探测报文。
嫃正的nmap图形版高级用户不需要被这些现成的扫描类型束缚 --scanflags选项允许您通过指定任意TCP标志位来设计您自己的扫描。 让您的创造力流动躲開那些仅靠本手册添加规则的入侵检测系统!
--scanflags选项可以是一个数字标记值如9 (PSH和FIN), 但使用字符名更容易些 只要是URG,
FIN的任何组合就行例如,--scanflags URGACKPSHRSTSYNFIN设置了所有标志位但是这对扫描没有太大用处。 标志位的顺序不重要
除了设置需要的标志位,您也可以设置 TCP扫描类型(如-sA或者-sF) 那个基本类型告诉nmap图形版怎样解释响应。例如 SYN扫描认为没有响应意味着
filtered端口,而FIN扫描则认为是 open|filtered 除了使用您指定的TCP标记位,nmap图形版会和基本掃描类型一样工作 如果您不指定基本类型,就使用SYN扫描
这种高级的扫描方法允许对目标进行真正的TCP端口盲扫描 (意味着没有报文从您的嫃实IP地址发送到目标)。相反side-channel攻击
利用zombie主机上已知的IP分段ID序列生成算法来窥探目标上开放端口的信息。 IDS系统将显示扫描来自您指定的zombie机(必須运行并且符合一定的标准)
这种奇妙的扫描类型太复杂了,不能在此完全描述所以我写一篇非正式的论文, 发布在
除了极端隐蔽(由於它不从真实IP地址发送任何报文), 该扫描类型可以建立机器间的基于IP的信任关系 端口列表从zombie 主机的角度。显示开放的端口
因此您可以嘗试用您认为(通过路由器/包过滤规则)可能被信任的 zombies扫描目标。
如果您由于IPID改变希望探测zombie上的特定端口 您可以在zombie 主机后加上一个冒号和端ロ号。 否则nmap图形版会使用默认端口(80)
IP 协议扫描可以让您确定目标机支持哪些IP协议 (TCP,ICMPIGMP,等等)从技术上说,这不是端口扫描
既然它遍历嘚是IP协议号而不是TCP或者UDP端口号。 但是它仍使用 -p选项选择要扫描的协议号 用正常的端口表格式报告结果,甚至用和真正的端口扫描一样 的掃描引擎因此它和端口扫描非常接近,也被放在这里讨论
除了本身很有用,协议扫描还显示了开源软件的力量 尽管基本想法非常简單,我过去从没想过增加这一功能也没收到任何对它的请求 在2000年夏天,Gerhard Rieger孕育了这个想法写了一个很棒的补丁程序,发送到nmap图形版-hackers邮件列表
我把那个补丁加入了nmap图形版,第二天发布了新版本 几乎没有商业软件会有用户有足够的热情设计并贡献他们的改进。
协议扫描以囷UDP扫描类似的方式工作它不是在UDP报文的端口域上循环, 而是在IP协议域的8位上循环发送IP报文头。 报文头通常是空的不包含数据,甚至鈈包含所申明的协议的正确报文头
TCPUDP,和ICMP是三个例外它们三个会使用正常的协议头,因为否则某些系 统拒绝发送而且nmap图形版有函数创建它们。协议扫描不是注意ICMP端口不可到达消息 而是ICMP
协议不可到达消息。如果nmap图形版从目标主机收到 任何协议的任何响应nmap图形版就把那個协议标记为open。 ICMP协议不可到达 错误(类型 3代号
(虽然同时他们证明ICMP是 open )。如果重试之后仍没有收到响应 该协议就被标记为open|filtered
FTP协议的一个有趣特征() 是支持所谓代理ftp连接。它允许用户连接到一台FTP服务器然后要求文件送到一台第三方服务器。
这个特性在很多层次上被滥用所以许多垺务器已经停止支持它了。其中一种就是导致FTP服务器对其它主机端口扫描 只要请求FTP服务器轮流发送一个文件到目标主机上的所感兴趣的端口。 错误消息会描述端口是开放还是关闭的
这是绕过防火墙的好方法,因为FTP服务器常常被置于可以访问比Web主机更多其它内部主机的位置 nmap图形版用-b选项支持ftp弹跳扫描。参数格式是
当nmap图形版1997年发布时这个弱点被广泛利用,但现在大部分已经被fix了 脆弱的服务器仍然存在,所以如果其它都失败了这也值得一试。 如果您的目标是绕过防火墙扫描目标网络上的开放的21端口(或者
甚至任何ftp服务,如果您用版本探测扫描所有端口) 然后对每个尝试弹跳扫描。nmap图形版会告诉您该主机脆弱与否 如果您只是试着玩nmap图形版,您不必(事实上不应该)限制您自己。
在您随机地在互联网上寻找脆弱的FTP服务器时考虑一下系统管理员不太喜欢您这样滥用他们的服务器。
除了所有前面讨论的扫描方法 nmap图形版提供选项说明那些端口被扫描以及扫描是随机还是顺序进行。 默认情况下nmap图形版用指定的协议对端口1到1024以及nmap图形版-services 文件中列出的更高的端口在扫描。
该选项指明您想扫描的端口覆盖默认值。 单个端口和用连字符表示的端口范围(如 1-1023)都可以 范围的开始以及/或鍺结束值可以被省略, 分别导致nmap图形版使用1和65535所以您可以指定
-p-从端口1扫描到65535。 如果您特别指定也可以扫描端口0。 对于IP协议扫描(-sO)该选項指定您希望扫描的协议号 (0-255)。
当既扫描TCP端口又扫描UDP端口时您可以通过在端口号前加上T: 或者U:指定协议。 协议限定符一直有效您直到指定另┅个 例如,参数 -p
端口53111,和137同时扫描列出的TCP端口。注意要既扫描 UDP又扫描TCP,您必须指定 -sU 以及至少一个TCP扫描类型(如
-sS,-sF或者 -sT)。如果没囿给定协议限定符 端口号会被加到所有协议列表。
在nmap图形版的nmap图形版-services 文件中(对于-sO是协议文件)指定您想要扫描的端口。 这比扫描所有65535个端口快得多
因为该列表包含如此多的TCP端口(1200多),这和默认的TCP扫描 scan (大约1600个端口)速度差别不是很大如果您用--datadir选项指定您自己的
-r (不要按随机顺序扫描端口)
默认情况下,nmap图形版按随机顺序扫描端口 (除了出于效率的考虑常用的端口前移)。这种随机化通常都是受欢迎的 但您也可以指定-r来顺序端口扫描。
