本文详细介绍了NMap的主机发现、端口扫描以及服务和版本探测功能。NMap通过发送不同类型的报文来识别主机是否在线、端口状态以及运行的服务。端口状态包括Open、Closed、Filtered和Unfiltered等。主机发现方法包括ICMP、TCP ACK和UDP扫描。端口扫描如TCP SYN和TCP connect()扫描。服务和版本探测则用于识别目标主机上开放端口的服务及其版本。
1. NMap
(1)NMap 介绍:
NMap(Network Mapper)是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统。它是网络管理员必用的软件之一,以及用以评估网络系统安全。
其基本功能有三个:
1. 是扫描主机端口,嗅探所提供的网络服务;
2. 是探测一组主机是否在线;
3. 还可以推断主机所用的操作系统,到达主机经过的路由,系统已开放端口的软件版本;
(2)NMap端口状态:
当nmap向目标主机发送报文并根据返回报文从而认定端口的6种状态。(注意:这六种状态只是namp认为的端口状态,例如:有些主机或者防火墙会返回一些不可靠的报文从而妨碍nmap对端口开放问题的确认)。
Open(开放的):端口处于开放状态,意味着目标机器上的应用程序正在该端口监听连接/报文;
Closed(关闭的):端口处于关闭状态。这里我们值得注意的是关闭的端口也是可访问的,只是该端口没有应用程序在它上面监听,但是他们随时可能开放;
Filtered(过滤的):由于包过滤阻止探测报文到达端口, Nmap 无法确定该端口是否开放。过滤可能来自专业的防火墙设备,路由器规则或者主机上的软件防火墙;
Unfiltered(未被过滤的):意味着端口可访问,但 Nmap 不能确定它是开放还是关闭。
这种状态和filtered的区别在于:unfiltered的端口能被nmap访问,但是nmap根据返回的报文无法确定端口的开放状态,而filtered的端口直接就没能够被nmap访问。端口被定义为Unfilterd只会发生在TCP ack扫描类型时当返回RST的报文。而端口被定义为filtered 状态的原因是是报文被防火墙设备,路由器规则,或者防火墙软件拦截,无法送达到端口,这通常表现为发送NMAP的主机收到ICMP报错报文,或者主机通过多次重复发送没有收到任何回应)。
Open|filtered状态:这种状态主要是nmap无法区别端口处于open状态还是filtered状态。这种状态只会出现在open端口对报文不做回应的扫描类型中,如:udp,ip protocol ,TCP null,fin,和xmas扫描类型。
Closed|filtered状态:这种状态主要出现在nmap无法区分端口处于closed还是filtered时。
2. 主机发现
主机发现就是显示某个 IP 地址是否是活动的(正在被某主机或者网络设备使用)。 在许多网络上,在给定的时间,往往只有小部分的 IP地址是活动的。判断主机活跃一般有三种方式,三种方式有一种得到回应则可以证明主机活跃;
- nmap发送一个ICMP回声请求目标主机;
- TCP ACK 报文连接80端口和443端口;
最低0.47元/天 解锁文章
扫一扫
9589
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
