Nmap源码分析（主机发现）

Nmap源码分析（主机发现）

2012年8月9日

Nmap在进行真正的端口扫描之前，通常需要确定目标主机是否在线（主机发现过程），以免发送大量探测包到不在线的主机。主机发现作为Nmap的基本功能之一，用户也可以单独运用。例如，仅仅需要确定局域网内哪些IP在线，那么可用“主机发现”功能扫描所有机器，枚举出在线主机即可，而没有必要进行端口扫描、服务侦测、OS侦测等更加详细的操作。

1      简单回顾

命令行参数

Nmap提供的主机发现参数相对较少，易于掌握：

-sL: List Scan 列表扫描，仅将指定的目标的IP列举出来，不进行主机发现。
-sn: Ping Scan 只进行主机发现，不进行端口扫描。
-Pn: 将所有指定的主机视作开启的，跳过主机发现的过程。
-PS/PA/PU/PY[portlist]: 使用TCP SYN/ACK或SCTP INIT/ECHO方式进行发现。
-PE/PP/PM: 使用ICMP echo, timestamp, and netmask 请求包发现主机。-PO[protocol list]: 使用IP协议包探测对方主机是否开启。
-n/-R: -n表示不进行DNS解析；-R表示总是进行DNS解析。
--dns-servers <serv1[,serv2],...>: 指定DNS服务器。
--system-dns: 指定使用系统的DNS服务器
--traceroute: 追踪每个路由节点

2      实现框架

Nmap主机发现部分的源码比较简洁。在nmap_main()函数的主循环部分，通过nexthost()函数进行具体的主机发现过程，在nexthost()函数中主要分为两个阶段：地址解析阶段、实际探测阶段。地址解析阶段：主要负责从主机表达式中解析出目标主机地址，将之存放在hostbatch中，并配置该主机所需的路由、网口、MAC地址、源IP等信息。实际发现阶段：分别对解析出来的目标主机，进行实际的探测以及获取RDNS相关信息，例如采用ARP包发现局域网内主机是否在线。

流程图如下所示：

2.1    地址解析阶段

从主机表达式中获取目标主机地址，主要思想包括以下几个方面：

批量进行主机发现

批量处理，可以加快主机发现的速率。默认配置以4096个目标地址作为一批（batch），若配置了--randomize-hosts选项，每个batch大小为4096*4（以便能有更多的IP地址混合洗牌、乱序扫描）。

从主机表达式获取目标主机地址

主机表达式（hostexpression），是Nmap用于管理主机的方式，该数据结构对应到用户在命令行中传入的目标机地址。例如，命令行nmap192.168.1-10.1-254  scanme.nmap.org/24中，192.168.1-10.1-254为一个主机表达式，而scanme.nmap.org/24为另一个主机表达式。Nmap需扫描的目标地址，即逐个解析该表达式包含的各个IP分别是多少，如scanme.nmap.org/24，首先需要进行DNS域名查询，获取scanme.nmap.org对应的IP地址，然后将与此地址的高24位相同的C类IP地址都将被获取出来。

跳过被排除的地址

如果使用--exclude或--exclude-file指定了排除地址，主机发现时应当跳过该类型地址。

设置已转换地址

若该地址在已经被转换解析，即在解析主机表达式过程中（parse_expr()函数），已经处理了该地址，那么设置该地址对应的转换的地址或名字。例如，在上述例子中，scanme.nmap.org/24表达式在解析过程中，scanme.nmap.org的地址会被DNS查询出来，记录在主机表达式中。如果在从该表达式过程取地址时，取出的地址正好对应的scanme.nmap.org的IP地址，那么说明该地址之前已被转换解析，此时让该主机记录被转换解析的表达式名字（此处为scanme.nmap.org/24），并记录转换地址列表（同一域名可能对应到多个不同IP地址）。

获取所需源IP与网络设备

需要配置源端的IP地址与网卡信息，当且仅当：用户具有系统权限（以root运行），并至少满足以下三个条件之一：

1