你所不知道nmap

一、Nmap基础

1.1、Nmap的简介

Nmap是由Gordon Lyon设计并实现，在1997年开始发布并开源的一个安全扫描软件，Gordon Lyon最初设计Nmap的目的只是打造一个端口扫描工具。但随着时间的推移，Nmap的功能越来越全面，在2009年Nmap发布了标致未来趋势的一个版本5.0版本。这个版本代表着Nmap从最开始的扫描软件变成一个全面的网络安全工具组件。

1.2、Nmap的基本操作

Nmap使用其实特别简单，只需咋需要下输入nmap +目标地址就可以执行扫描任务，如下：
~~~
nmap 192.168.0.1
~~~
~~~
Starting Nmap 7.30 ( https://nmap.org ) at 2018-11-25 14:21 CST
Nmap scan report for 192.168.0.1
Host is up (0.0049s latency).
Not shown: 999 closed ports
PORT STATE SERVICE
80/tcp open http

Nmap done: 1 IP address (1 host up) scanned in 1.50 seconds
~~~
在扫描的结果中，生成了关于192.168.0.1主机的报告信息。包括；主机是up的，说明这台主机目前处于联网状态，并且有一个80端口是处于开放状态并可以提供http服务进行访问。

1.3、指定范围扫描

1.3.1连续范围扫描

nmap -sn 192.168.0.1-255
备注：sn参数表示主机是否活跃
~~~
Starting Nmap 7.30 ( https://nmap.org ) at 2018-11-25 15:26 CST
Nmap scan report for 192.168.0.1
Host is up (0.0077s latency).
Nmap scan report for 192.168.0.103
Host is up (0.049s latency).
Nmap done: 250 IP addresses (2 hosts up) scanned in 20.02 seconds
~~~

1.3.2、对子网连续段进行扫描

命令语法：nmap [ip地址/子网掩码]
nmap -sn 192.168.0.1/24

1.3.3 不连续段扫描

命令语法：nmap 【扫描段1 扫描段2 扫描段3】
nmap -sn 192.168.0.1 192.168.0.99 192.168.0.111

1.3.4 排除某个扫描目标

命令语法：nmap 【目标地址】 --exclude [目标地址]
nmap -sn 192.168.0.0/24 --exclude 192.168.0.111

1.3.5 对文件进行扫描

命令语法：nmap -iL [文本文件]
nmap -sn -iL ip.txt
备注：ip.txt 需要制定路径

1.3.6 随机确定扫描目标

命令语法：nmap -iR [目标的数量]
nmap -sn -iR 5
备注：随机的对互联网5个地址进行扫描

二、活跃主机探测

2.1.1基于ARP协议的活跃主机探测原理

ARP协议位于TCP/IP协议的数据链路层和网络层中间的协议，该协议主要目的是物理地址和逻辑地址的转换工作。我们都在 知道在网络上同一网段的主机进行通讯使用逻辑地址（mac地址），不同网段的主机通讯需要使用逻辑地址通讯（IP地址）。而ARP在中间起到桥梁的作用。
nmap基于ARP活跃主机探测的原理：通过构造ARP广播数据包，如果得到对方的回应说明主机为活跃主机。
这种方式的优点是精准度高，几乎没有噪音。缺点是：扩展性差，不能对扩网段主机进行扫描

2.1.2基于ARP主机探测

ARP探测命令语法：nmap -PR [目标主机]
ARP探测实例：nmap -PR 172.16.1.

2.2基于ICMP协议的活跃主机探测

icmp不管是运维还是开发人员应用最为广泛的协议，几乎每天都在使用。icmp报文可以分为两类：1是差错。2是查询。而查询是我们应用非常多的。包括请求和应答
请求和应答又包括响应请求和应答，时间戳请求和应答，地址掩码请求和应答。

2.2.1通过icmp请求和应答进行主机发现

该种方式主要是使用icmp协议。发送请求，如果得到对方主机的回应，说明主机处于活跃状态。其实就是使用的ping命令来完成的。
这种方式的优点是：方便、快捷，系统集成工具，缺点是：在互联网上基本被防火墙过滤造成准确度很低
~~~
基于ICMP协议探测命令语法：nmap -PE 【目标】
实例：nmap -PE 172.16.26.55
~~~

2.2.2基于时间戳的请求和应答

这种方式的优点是：方便、快捷，缺点是：在互联网上基本被防火墙过滤造成准确度很低
~~~
命令语法：nmap -PP [目标]
实例：nmap -PP -sn 172.16.26.55
~~~

2.2.3基于地址掩码请求应答

命令语法：nmap -PM 【目标】
实例：nmap -PM 172.16.1.55

2.3 基于TCP协议的活跃主机探测

tcp是面向连接的、基于字节流的传输层通讯协议，tcp之所以是连接可靠的协议是因为基于三次握手协商。

在nmap中常用的tcp扫描有两种，分别是tcp ack扫描和tcp syn扫描。

2.3.1 基于tcp syn扫描探测

nmap中使用 -PS选项向目标主机发送一个syn标志的数据包，默认探测的目标端口是80（端口可以更改），内容为空。如果收到数据包说明目标主机在线，如果没有收到数据包，说明主机不在线。
基于tcp扫描是最强的扫描技术，服务器，可能会过滤icmp协议。但是几乎没有服务器会屏蔽tcp的syn数据包，因为这是网络通讯所必须使用的协议。
~~~
命令语法：nmap -PS 【端口1，端口2，端口3】【目标主机IP】
案例：nmap -PS 172.16.1.55
备注使用默认的端口进行探测
~~~

2.3.2 基于tcp ack扫描

tcp ack扫描使用的是tcp三次握手中的ACK标志位，而tcp syn 使用的是SYN标志位。在实际环境中只有A向B发送syn之后，B才会回应ACK数据包。这种方式是A直接发送ACK给B，B因为没有收到syn一般回复RST，这种通讯模式不符合tcp通讯的逻辑规律，所以该种模式非常容易被防火墙拦截。
~~~
命令语法：nmap -PA 172.16.1.55
~~~

2.4 基于UDP协议的活跃主机探测

UDP协议是一个传输层协议，与TCP相反，UDP是一个面向无连接的协议。该协议简单很多，没有tcp协议的三次握手，导致业务中经常出现的对udp端口无法进行扫描，不能确定其是否开放。但是nmap的强大之处是可以使用nmap对主机进行发现和探测，当一个udp端口收到一个udp数据包时候，如果该端口是关闭的，就给源发送一个icmp端口不可达数据包，如果该端口是开放的，就丢弃数据包，不返回任何信息。这种方式就可以完成udp主机探测，缺点是扫描结果可靠性非常低。

2.4.1基于upd进行扫描探测

命令语法：nmap -PU 【目标】
案例：nmap -sn -PU 10.10.26.55

2.5 基于IP协议的活跃主机探测

IP协议是tcpip协议的载体，tcp、udp、icmp以及应用层协议都是封装成IP数据包在网络上进行传输。ip数据包的格式如下：


在ip协议中有一个协议部分，用于标识是哪个协议向ip传送数据，比如：tcp、udp、icmp等。
在nmap中允许向目标主机发送IP数据包来探测对方主机是否处于活跃状态。
~~~
命令语法：nmap -sn -PO 【协议编号】 【目标IP地址】
案例：nmap -sn -PO 1,6 10.10.26.55
~~~
这种形式发送的数据包内容是空的，非常容易被防火墙等安全设备检测并过滤，为了解决这个问题，可以指定数据大小添加随机生成的数据
~~~
命令语法：nmap --data-length [长度数值] [目标IP地址]
案例：nmap --data-length 66 172.16.36.6
~~~

2.6总结

nmap是一个非常强大的工具，以上是我看了《诸神之眼 nmap网络安全审计技术解密》之后写下的一点总结吧。以后还会持续的更新。
其实研究nmap一点要研究他的本质，在nmpa中提供了一种方法--pachket-trace选项，通过它可以观察nmap发出去那些包，收到哪些数据包，可以让你更深入的研究nmap。
使用sctp的PY选项对目标主机进行扫描
~~~
root@ubuntu1:/# nmap -sn -PY 122.114.9.2
Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-27 02:48 UTC
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 2.06 seconds
~~~
通过扫描发现该主机是不活跃的，但是真实的情况这台主机是处于活跃状态的，导致原因是目标主机不支持sctp协议。如下源主机发送的请求但是没有收到对方的回复数据包。
~~~
root@ubuntu1:/# nmap -sn -PY 122.114.9.2 --packet-trace

Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-27 02:59 UTC
SENT (0.0244s) SCTP 172.16.36.185:44449 > 122.114.19.242:80 ttl=48 id=25483 iplen=52
SENT (1.0255s) SCTP 172.16.36.185:44450 > 122.114.19.242:80 ttl=44 id=15676 iplen=52
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 2.05 seconds
~~~
使用同样的方法对内网主机进行扫描，被扫描的主机也没有安装sctp协议。但是结果却大大出乎我们的意料之外
~~~
root@ubuntu1:/# nmap -sn -PY 172.16.36.6

Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-27 03:02 UTC
Nmap scan report for bogon (172.16.36.6)
Host is up (0.00046s latency).
MAC Address: FA:16:3E:18:4B:2F (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 0.26 seconds
~~~
同时是没有安装sctp协议，为什么内网主机就有回复的数据包呢，可以使用--packet-trace看一下究竟是什么原因导致的。
~~~
root@ubuntu1:/# nmap -sn -PY 172.16.36.6 --packet-trace

Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-27 03:02 UTC
SENT (0.0272s) ARP who-has 172.16.36.6 tell 172.16.36.185
RCVD (0.0277s) ARP reply 172.16.36.6 is-at FA:16:3E:18:47:2F
Nmap scan report for bogon (172.16.36.6)
Host is up (0.00048s latency).
MAC Address: FA:16:3E:18:4B:2F (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 0.26 seconds
~~~
通过以上分析，你就更加明白nmap的原理了。
nmap不管在何种情况下都会探测是否属于统一子网环境，如果是处于统一子网环境nmap直接使用arp进行探测，因为nmap认为在局域网中arp是最为精准的。
下一次介绍nmap端口扫描

参考书籍：《诸神之眼 nmap网络安全审计技术解密》--李华峰

三、nmap端口扫描

3.1nmap端口定义

在nmap给出6中端口的不同状态。
| 状态 | 描述 |
|---|---|
| open |表明该端口处于开放状态，可以接收相应的报文数据包|
|closed|表明该端口是不可访问的，没有程序在监听|
|filtered|存在防火墙等设备对目标数据包进行了过滤，无法判断是否开放状态|
|unfiltered|表明目标端口是不可访问的，无法判断是否开放相应端口，一般ack扫描会出这种情况|
|open or filtered|无法确定端口是开放还是被过滤|
|closed or filtered|无法确定端口是开放还是被过滤,一般只在idle扫描中会出现|

3.2 nmap端口扫描

扫描方法	描述
-sS/sT/sA/sW/sM	指定使用tcpsyn/connect()/ack/window/maimon scans的方式对目标主机进行扫描
-sU	UDP方式扫描端口
-sN/sF/sX	使用tcp Null、FIN/Xmas scans等方式协助探测对方tcp端口状态
-scanflags	定制tcp包的flags
-sI<zombie host[:probeport]>	指定使用Idle scan扫描目标主机
-sY/sZ	使用sctp init/cookie-echo扫描sctp协议端口情况
-sO	使用ip协议扫描目标主机支持的协议
-b	使用ftp扫描方式
-p	扫描指定端口
-F	快速扫描，仅仅扫描top100端口
-r	随机扫描，不容易被安全设备检测到
--top-ports	扫描开放概率最高的端口个数

3.2.1 SYN扫描

在nmap进行端口扫描中，syn扫描是一种非常好的扫描方式，这种扫描非常准确而且速度快。更重要的是这种扫描方式不会在目标网络的安全设备上被报警，

~~~
syn扫描语法：nmap -sS 【目标地址】
实例：nmap -sS 122.114.19.242
~~~

3.2.2 connect扫描

connect扫描语法：nmap -sS 【目标地址】
实例：nmap -sS 122.114.19.242

connect 扫描
connect 扫描方式语SYN扫描方式非常相似，只是在tcp三次握手阶段，syn扫描没有完成三次握手，而connect扫描完成类三次握手，这种方式缺点是容易被对端防火墙拦截或检测。优点是不需要使用管理员权限就可以执行命令。

命令语法：nmap -sT [目标主机]
实例：nmap -sT 10.10.36.55

UDP扫描
udp扫描方式因协议无连接，不可靠性，造成udp扫描到准确率非常低。
~~~
命令语法：nmap -sU [target]
案例:nmap -sU 10.10.36.55
~~~
FIN扫描放送
tcp fin扫描方式是向目标主机直接发送Fin数据包，对于目标端口如果处于关闭状态，会发送一个RST数据包，表明该端口处于关闭状态
~~~
命令语法：nmap -sF [target]
案例：nmap -sF 10.10.36.55
~~~

NULL扫描
tcp null扫描方式是想目标系统发送一个不包含任何标志到数据包，目标系统会向源主机发送一个RST
数据包，表明该端口处于关闭状态。
~~~
命令语法：nmap -sN [target]
案例：nmap -sN 10.10.36.55
~~~
xmas tree扫描
tcp xmas tree扫描方式是向目标端口发送一个含有FIN/URG/PUSH标志位到数据包，对于关闭的端口目标主机返回RST数据包，表示改端口是处于关闭状态。
~~~
nmap -sX [target]
nmap -sX 10.10.36.55
~~~

idle扫描
该种方式非常隐蔽，扫描着不需要相目标主机发送任何数据包，需要依靠第三方主机对目标进行扫描。

1. 检测第三方ip.id的值并记录下来
   2.在本机伪造一个源主机为第三方主机到数据包，兵将数据包发送到目标主机端口
   3.查看第三方主机到ip id值是否有变化。
   在这个工程中，需要伪造第三方数据包，在nmap中可以使用decoy scanning (-D)的功能，可以隐藏字自己到身份。通过这种方式目标日志服务器上记录的是第三方地址，这样就可以达到隐藏自己信息到目的。

nmap指定扫描得端口
|端口选项|描述|
|---|---|
|-F[target]|扫描常见到100个端口|
|-p[port]|指定一个端口|
|-pU:[udp ports],T:[tcp ports]|使用协议扫描指定端口|
|-p|扫描所有端口|
|--top-ports[number]|扫描常用端口|
扫描常见到100个端口
~~~
command：nmap -F [target]
case:nmap -f 172.16.36.55
~~~
指定一个端口
~~~
command：nmap -p [port or portname] [target]
case: nmap -p 8080,90 172.16.36.55
~~~
使用协议指定端口
~~~
command：nmap -p U:[udp ports],T:[tcp ports] [target]
case: nmap -sU -sT -p U:4500,T:22 172.16.36.55
~~~
扫描所有端口
~~~
command：nmap -p "" [target]
case: nmap -p * 172.16.36.55
~~~

如上是最经常使用到nmap扫描技术。