[Ping掃描（Ping Sweeping）]　 

[端口掃描（Port Scanning）]　 

[隱蔽掃描（Stealth Scanning）] 

[UDP掃描（UDP Scanning）] 

[操作系統(tǒng)識別（OS Fingerprinting）] 

[Ident掃描（Ident Scanning）]　 

[選項（Options）] 

[小結(jié)] 

簡介： 
最 近媒體報道了許多關(guān)于入侵網(wǎng)絡(luò)的新聞，使人們總以為入侵者只需通過簡單工具就可獲得電腦的訪問權(quán)限。但實際上，事情并不是想象中的這么簡單。黑客想要入侵 一臺電腦，首先要有一套完整的計劃。在入侵系統(tǒng)之前，黑客必須先找到一臺目標(biāo)主機(jī)，并查出哪些端口在監(jiān)聽之后才能進(jìn)行入侵。 

找出網(wǎng)絡(luò) 上的主機(jī),測試哪些端口在監(jiān)聽，這些工作通常是由掃描來實現(xiàn)的。掃描網(wǎng)絡(luò)是黑客進(jìn)行入侵的第一步。通過使用掃描器(如Nmap)掃描網(wǎng)絡(luò)，尋找存在漏洞的 目標(biāo)主機(jī)。一旦發(fā)現(xiàn)了有漏洞的目標(biāo)，接下來就是對監(jiān)聽端口的掃描。Nmap通過使用TCP協(xié)議棧指紋準(zhǔn)確地判斷出被掃主機(jī)的操作系統(tǒng)類型。 

本文全方位地介紹Nmap的使用方法，可以讓安全管理員了解在黑客眼中的站點。并通過使用它，安全管理員可以發(fā)現(xiàn)自己網(wǎng)站的漏洞，并逐步完善自己的系統(tǒng)。 

Nmap 是在免費軟件基金會的GNU General Public License (GPL)下發(fā)布的，可從www.insecure.org/nmap站點上免費下載。下載格式可以是tgz格式的源碼或RPM格式。目前較穩(wěn)定的版本是 2.12。帶有圖形終端，本文集中討論Nmap命令的使用。 Nmap的語法相當(dāng)簡單。Nmap的不同選項和-s標(biāo)志組成了不同的掃描類型，比如：一個Ping-scan命令就是"-sP"。在確定了目標(biāo)主機(jī)和網(wǎng)絡(luò) 之后，即可進(jìn)行掃描。如果以root來運行Nmap，Nmap的功能會大大的增強(qiáng)，因為超級用戶可以創(chuàng)建便于Nmap利用的定制數(shù)據(jù)包。 

在目標(biāo)機(jī)上，Nmap運行靈活。使用Nmap進(jìn)行單機(jī)掃描或是整個網(wǎng)絡(luò)的掃描很簡單，只要將帶有"/mask"的目標(biāo)地址指定給Nmap即可。地址是"victim/24"， 則目標(biāo)是c類網(wǎng)絡(luò)，地址是"victim/16"， 則目標(biāo)是B類網(wǎng)絡(luò)。 

另外,Nmap允許你使用各類指定的網(wǎng)絡(luò)地址，比如 192.168.7.*,是指192.168.7.0/24, 或 192.168.7.1,4,8-12，對所選子網(wǎng)下的主機(jī)進(jìn)行掃描。 

Ping掃描(Ping Sweeping) 

入侵者使用Nmap掃描整個網(wǎng)絡(luò)尋找目標(biāo)。通過使用" -sP"命令，進(jìn)行ping掃描。缺省情況下，Nmap給每個掃描到的主機(jī)發(fā)送一個ICMP echo和一個TCP ACK, 主機(jī)對任何一種的響應(yīng)都會被Nmap得到。 
舉例：掃描192.168.7.0網(wǎng)絡(luò)： 

# nmap -sP 192.168.7.0/24 

Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/) 
Host (192.168.7.11) appears to be up. 
Host (192.168.7.12) appears to be up. 
Host (192.168.7.76) appears to be up. 
Nmap run completed -- 256 IP addresses (3 hosts up) scanned in 1 second 

如果不發(fā)送ICMP echo請求，但要檢查系統(tǒng)的可用性，這種掃描可能得不到一些站點的響應(yīng)。在這種情況下，一個TCP"ping"就可用于掃描目標(biāo)網(wǎng)絡(luò)。 

一 個TCP"ping"將發(fā)送一個ACK到目標(biāo)網(wǎng)絡(luò)上的每個主機(jī)。網(wǎng)絡(luò)上的主機(jī)如果在線，則會返回一個TCP RST響應(yīng)。使用帶有ping掃描的TCP ping選項，也就是"PT"選項可以對網(wǎng)絡(luò)上指定端口進(jìn)行掃描(本文例子中指的缺省端口是80（http）號端口)，它將可能通過目標(biāo)邊界路由器甚至是 防火墻。注意，被探測的主機(jī)上的目標(biāo)端口無須打開，關(guān)鍵取決于是否在網(wǎng)絡(luò)上。 
# nmap -sP -PT80 192.168.7.0/24 
TCP probe port is 80 

Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/) 
Host (192.168.7.11) appears to be up. 
Host (192.168.7.12) appears to be up. 
Host (192.168.7.76) appears to be up. 
Nmap run completed -- 256 IP addresses (3 hosts up) scanned in 1 second 

當(dāng)潛在入侵者發(fā)現(xiàn)了在目標(biāo)網(wǎng)絡(luò)上運行的主機(jī)，下一步是進(jìn)行端口掃描。 
Nmap支持不同類別的端口掃描TCP連接, TCP SYN, Stealth FIN, Xmas Tree,Null和UDP掃描。 

端口掃描(Port Scanning) 

一個攻擊者使用TCP連接掃描很容易被發(fā)現(xiàn)，因為Nmap將使用connect()系統(tǒng)調(diào)用打開目標(biāo)機(jī)上相關(guān)端口的連接，并完成三次TCP握手。黑客登錄到主機(jī)將顯示開放的端口。一個tcp連接掃描使用"-sT"命令如下。 
# nmap -sT 192.168.7.12 
Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/) 
Interesting ports on (192.168.7.12): 
Port State Protocol Service 
7 open tcp echo 
9 open tcp discard 
13 open tcp daytime 
19 open tcp chargen 
21 open tcp ftp 
... 
Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds 

隱蔽掃描(Stealth Scanning) 

如 果一個攻擊者不愿在掃描時使其信息被記錄在目標(biāo)系統(tǒng)日志上，TCP SYN掃描可幫你的忙，它很少會在目標(biāo)機(jī)上留下記錄，三次握手的過程從來都不會完全實現(xiàn)。通過發(fā)送一個SYN包（是TCP協(xié)議中的第一個包）開始一次 SYN的掃描。任何開放的端口都將有一個SYN|ACK響應(yīng)。然而，攻擊者發(fā)送一個RST替代ACK，連接中止。三次握手得不到實現(xiàn)，也就很少有站點能記 錄這樣的探測。如果是關(guān)閉的端口，對最初的SYN信號的響應(yīng)也會是RST，讓NMAP知道該端口不在監(jiān)聽。"-sS"命令將發(fā)送一個SYN掃描探測主機(jī)或 網(wǎng)絡(luò)： 

# nmap -sS 192.168.7.7 

Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/) 
Interesting ports on saturnlink.nac.net (192.168.7.7): 
Port State Protocol Service 
21 open tcp ftp 
25 open tcp smtp 
53 open tcp domain 
80 open tcp http 
... 
Nmap run completed -- 1 IP address (1 host up) scanned in 1 second 

雖 然SYN掃描可能不被注意，但他們?nèi)詴灰恍┤肭謾z測系統(tǒng)捕捉。Stealth FIN，Xmas樹和Null scans可用于躲避包過濾和可檢測進(jìn)入受限制端口的SYN包。這三個掃描器對關(guān)閉的端口返回RST，對開放的端口將吸收包。一個 FIN "-sF"掃描將發(fā)送一個FIN包到每個端口。 
然而Xmas掃描"-sX"打開FIN, URG和PUSH的標(biāo)志位，一個Null scans "-sN"關(guān)閉所有的標(biāo)志位。因為微軟不支持TCP標(biāo)準(zhǔn)，所以FIN, Xmas Tree和Null scans在非微軟公司的操作系統(tǒng)下才有效。 

UDP掃描(UDP Scanning) 

如 果一個攻擊者尋找一個流行的UDP漏洞，比如 rpcbind漏洞或cDc Back orifice。為了查出哪些端口在監(jiān)聽，則進(jìn)行UDP掃描，即可知哪些端口對UDP是開放的。Nmap將發(fā)送一個O字節(jié)的UDP包到每個端口。如果主機(jī) 返回端口不可達(dá)，則表示端口是關(guān)閉的。但這種方法受到時間的限制，因為大多數(shù)的UNIX主機(jī)限制ICMP錯誤速率。幸運的是，Nmap本身檢測這種速率并 自身減速，也就不會產(chǎn)生溢出主機(jī)的情況。 

# nmap -sU 192.168.7.7 

WARNING: -sU is now UDP scan -- for TCP FIN scan use -sF 
Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/) 
Interesting ports on saturnlink.nac.net (192.168.7.7): 
Port State Protocol Service 
53 open udp domain 
111 open udp sunrpc 
123 open udp ntp 
137 open udp netbios-ns 
138 open udp netbios-dgm 
177 open udp xdmcp 
1024 open udp unknown 

Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds 

操作系統(tǒng)識別(OS Fingerprinting) 

通 常一個入侵者可能對某個操作系統(tǒng)的漏洞很熟悉，能很輕易地進(jìn)入此操作系統(tǒng)的機(jī)器。一個常見的選項是TCP/IP上的指紋，帶有"-O"選項決定遠(yuǎn)程操作系 統(tǒng)的類型。這可以和一個端口掃描結(jié)合使用，但不能和ping掃描結(jié)合使用。Nmap通過向主機(jī)發(fā)送不同類型的探測信號，縮小查找的操作系統(tǒng)系統(tǒng)的范圍。指 紋驗證TCP包括使用FIN探測技術(shù)發(fā)現(xiàn)目標(biāo)機(jī)的響應(yīng)類型。BOGUS的標(biāo)志探測，發(fā)現(xiàn)遠(yuǎn)程主機(jī)對發(fā)送的帶有SYN包的不明標(biāo)志的反應(yīng)，TCP 初始序列號(ISN)取樣發(fā)現(xiàn)ISN數(shù)值的樣式，也可以用另外的方式?jīng)Q定遠(yuǎn)程操作系統(tǒng)。有一篇權(quán)威的關(guān)于指紋（fingertprinting）的文章, 作者：Fyodor，也是namp的作者，參見地址：http://www.insecure.org/nmap/nmap-fingerprinting-article.html 

Nmap's操作系統(tǒng)的檢測是很準(zhǔn)確也是很有效的，舉例：使用系統(tǒng)Solaris 2.7帶有SYN掃描的指紋驗證堆棧。 
# nmap -sS -O 192.168.7.12 

Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/) 
Interesting ports on comet (192.168.7.12): 
Port State Protocol Service 
7 open tcp echo 
9 open tcp discard 
13 open tcp daytime 
19 open tcp chargen 
21 open tcp ftp 
... 
TCP Sequence Prediction: Class=random positive increments 
Difficulty=17818 (Worthy challenge) 
Remote operating system guess: Solaris 2.6 - 2.7 

Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds 

Ident掃描（Ident Scanning） 

一 個攻擊者常常尋找一臺對于某些進(jìn)程存在漏洞的電腦。比如,一個以root運行的WEB服務(wù)器。如果目標(biāo)機(jī)運行了identd,一個攻擊者使用Nmap通過 "-I"選項的TCP連接,就可以發(fā)現(xiàn)哪個用戶擁有http守護(hù)進(jìn)程。我們將掃描一個Linux WEB服務(wù)器為例： 

# nmap -sT -p 80 -I -O www.yourserver.com 

Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/) 
Interesting ports on www.yourserver.com (xxx.xxx.xxx.xxx): 
Port

State Protocol Service Owner 
80 open tcp http root 

TCP Sequence Prediction: Class=random positive increments 
Difficulty=1140492 (Good luck!) 
Remote operating system guess: Linux 2.1.122 - 2.1.132; 2.2.0-pre1 - 2.2.2 

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second 

如果你的WEB服務(wù)器是錯誤的配置并以root來運行，象上例一樣，它將是黎明前的黑暗。 

Apache 運行在root下，是不安全的實踐，你可以通過把/etc/indeed.conf中的auth服務(wù)注銷來阻止ident請求，并重新啟動ident。另 外也可用使用ipchains或你的最常用的防火墻，在網(wǎng)絡(luò)邊界上執(zhí)行防火墻規(guī)則來終止ident請求，這可以阻止來路不明的人探測你的網(wǎng)站用戶擁有哪些 進(jìn)程。 

選項(Options) 

除了以上這些掃描，Nmap還提供了無數(shù)選項。有一個是"-PT",，我們已經(jīng)介紹過了。在目標(biāo)機(jī)或網(wǎng)絡(luò)上常見的未經(jīng)過濾的端口，進(jìn)行TCP "ping"掃描。 

另 一個選項是"-P0"。在缺省設(shè)置下試圖掃描一個端口之前，Nmap將用TCP ping" 和 ICMP echo命令ping一個目標(biāo)機(jī)，如果ICMP 和TCP的探測掃描得不到響應(yīng)，目標(biāo)主機(jī)或網(wǎng)絡(luò)就不會被掃描，即使他們是運行著的。而"-P0"選項允許在掃描之前不進(jìn)行ping，即可進(jìn)行掃描。 

你應(yīng)該習(xí)慣使用"-v"命令，它詳細(xì)列出所有信息，能和所有的掃描選項一起使用。你能反復(fù)地使用這個選項，獲得有關(guān)目標(biāo)機(jī)的更多信息。 
使用"-p "選項，可以指定掃描端口。比如 ，攻擊者想探測你的web服務(wù)器的ftp（port 21），telnet (port 23), dns (port 53), http (port 80),想知道你所使用的操作系統(tǒng)，它將使用SYN掃描。 

# nmap -sS -p 21,23,53,80 -O -v www.yourserver.com 
小結(jié)： 
使用什么樣的方法來抵制一個黑客使用Nmap，這樣的工具是有的，比如 Scanlogd, Courtney, and Shadow;，然而使用這樣的工具并不能代替網(wǎng)絡(luò)安全管理員。因為掃描只是攻擊的前期準(zhǔn)備，站點使用它只可以進(jìn)行嚴(yán)密的監(jiān)視。 
使用Nmap監(jiān)視自己的站點，系統(tǒng)和網(wǎng)絡(luò)管理員能發(fā)現(xiàn)潛在入侵者對你的系統(tǒng)的探測。