使用Nmap扫描主要会涉及到主机发现、端口扫描、获取服务的banner信息和操作系统识别这四个方面,下面详细介绍其原理。
主机发现
根据Nmap进行主机发现时,发送的数据包在TCP/IP协议七层模型中所属的层数,把主机发现分为二、三、四层主机发现。
二层主机发现
利用ARP协议,一般是渗透进入一台内网主机后用于发现内网中存活主机
优点:扫描速度快;结果可靠缺点:不可路由,只能发现本网段内的主机参数:-sn
nmap 1.1.1.0/24 –sn
扫描用时9.31seconds,速度还可以。
三层主机发现
利用ICMP协议
优点:可路由,能够访问外网;速度比较快缺点:速度比二层慢;经常被边界防火墙过滤参数:-sn 没错,还是同样的命令,这是因为如果攻击机和目标在同网段,则发送二层ARP包,在不同网段,会发送三层ICMP包(即ping命令)
nmap 1.1.1.0/24 –sn
可以看到的确容易被防火墙过滤,提示目标没存活。
四层主机发现
利用TCP和UDP协议
优点:可路由且结果可靠;不太可能被防火墙过滤;甚至可以发现所有端口都关闭的主机缺点:基于状态过滤的防火墙可能过滤扫描,即不返回任何值;全端口扫描速度慢(TCP 65535个端口 UDP65535个端口)参数:-PS 发送TCP的syn包
-PA 发送TCP的ack包
-PU 发送UDP包 发现原理:
向特定的TCP或UDP端口发送数据包,根据响应包来判断主机是否存活。
对于TCP端口
发送syn包,端口开放会返回syn/ack包,关闭则会返回rst包,因为有返回包,所以主机存活,若没有返回包则判定主机不存活;发送ack包,由于未建立连接,所以不管端口开放还是关闭,都会返回rst包,所以主机存活,若没有返回包则判定主机不存活。对于UDP端口
端口开放和主机不存活时都不产生返回包,只有端口不开放时产生ICMP port-unreachable返回包,所以只有根据接收到的ICMP port-unreachable返回包来判断主机存活。 namp -PS80 1.1.1.1
可以看到四层主机发现的确比三层主机发现强。
端口扫描
发现存活主机后对存活主机进行端口扫描,端口对应网络服务及应用程序,服务程序的漏洞通过端口攻入。
端口扫描分为TCP端口扫描和UDP端口扫描。
TCP端口扫描
1.syn扫描
又称为隐蔽端口,不建立完整连接,只发送syn包,得到syn/ack返回后,不再发送ack包,所以很隐蔽。
原理:发送syn包,若返回syn/ack包,则端口开放,返回rst包则端口关闭参数:-sS nmap -sS 1.1.1.1 -p 80,21,25,110,443
2.全连接扫描
原理:建立完整的TCP三次握手,结果最准确但不隐蔽参数:-sT nmap -sT 1.1.1.1 -p 80,21,25,110,443
UDP端口扫描
原理:端口开放不产生任何返回包,端口不开放产生ICMP port-unreachable返回包参数:-sUnmap 1.1.1.1 -sU -p 53
获取服务的banner信息
banner信息包括软件开发商、软件名称、服务类型和版本号等。
注意banner信息的获取要建立完整的TCP连接,即使用-sT参数。
原理:通过指纹特征来识别服务,不同的服务返回的响应不同,将响应和指纹库进行对比从而得到结果参数:-sVnmap -sT 1.1.1.1 -p 1-100 -sV
操作系统识别
原理:通过指纹特征来识别操作系统,不同的操作系统返回的响应不同,将响应和指纹库进行对比从而得到结果参数:-Onmap -O 1.1.1.1
以上就是我对Nmap的使用心得,这只是使用思路,完全可以将这些参数组合成一条命令进行扫描,至于脚本的使用和IDS的绕过,我觉得都是在此基础之上的内容,可以参考其他大牛的文章 。
2276
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
