Nmap在實戰中的高級用法（詳解）

Nmap提供了四大基本功能（主機發現、端口掃描、服務和版本檢測、操作系統檢測）和豐富的腳本庫。 Nmap不僅可以應用于簡單的網絡信息掃描，還可以應用于高級、復雜、特定的環境：如掃描互聯網上大量的主機； 繞過防火墻/IDS/IPS； 掃描網站； 掃描路由器等

Nmap簡單掃描方法：

全面掃描：nmap -T4 -A ip  
 
主機發現：nmap -T4 -sn ip 
 
端口掃描：nmap -T4 ip  
 
服務掃描：nmap -T4 -sV ip  
 
操作系統掃描：nmap -T4 -O ip

上述掃描方法可以滿足一般的信息采集需求。 如果想要使用Nmap探索特定場景中更詳細的信息，則需要仔細設計Nmap命令行參數，以便精確控制Nmap的掃描行為。

下面列出了更實用、更先進的應用場景和技術。

1.Nmap高級選項

1.查看本地路由和接口

Nmap提供--選項來查看本地主機的接口信息和路由信息。 當無法到達目標主機或者想從多個網卡中選擇特定的網卡來訪問目標主機時，可以查看nmap--中提供的網絡接口信息。

nmap –iflist

2.指定網口和IP地址

在Nmap中，可以指定使用哪個網絡端口來發送數據，即-e選項。 接口詳細信息請參考--輸出結果。

例子：

nmap -e eth0 targetip

Nmap還可以明確指定要發送的源IP地址。 使用-S選項，nmap將發送具有指定源IP的探測數據包。

另外，可以使用Decoy的方法來掩蓋真實的掃描地址，如-D ip1,ip2,ip3,ip4,ME，這樣就會產生多個假ip來同時檢測目標機器，其中ME代表本機的真實地址，這樣對方的防火墻就不容易識別掃描儀的身份。

nmap -T4 -F -n -Pn -D192.168.1.100,192.168.1.101,192.168.1.102,ME 192.168.1.1

3. 定制檢測包

Nmap提供了--選項，用戶可以完全控制需要發送的TCP探測包的標志位。 TCP 標志可以使用數字或符號指定：URG、ACK、PSH、RST、SYN 和 FIN。

例如：

nmap -sX -T4 –scanflags URGACKPSHRSTSYNFINtargetip

該命令將所有TCP標志位設置為1，可用于某些特殊場景的檢測。

另外，使用-ip-可以自定義IP報文的字段。

使用-S指定一個假IP地址，-D指定一組誘餌IP地址（ME代表真實地址）。 -e指定發送探測包的網絡接口，-g（--port）指定源端口，-f指定使用IP分片發送探測包，--spoof-mac指定使用欺騙的MAC地址。 –ttl 指定生存時間。

2.Nmap掃描防火墻

防火墻在當今的網絡安全中發揮著重要作用。 如果能夠對防火墻系統進行詳細的檢測，那么繞過防火墻或者穿透防火墻就會變得更加容易。 因此，這里是使用Nmap獲取基本防火墻信息的典型用法。

為了獲得防火墻的全面信息，需要結合盡可能多的不同掃描方法來檢測其狀態。 在設計命令行參數時，可以根據網絡環境微調時序參數，以加快掃描速度。

1.SYN掃描

首先，可以使用基本的SYN掃描方法來檢測其端口的開放狀態。

nmap -sS -T4 www.fujieace.com

掃描輸出為：

    All 997 ports are filtered  
    PORT    STATE  SERVICE  
    80/tcp  open   http  
    113/tcp closed auth  
    507/tcp open   crs

我們可以看到SYN方法檢測到3個端口是開放的，而997個端口被過濾了。 默認情況下，Nmap 僅掃描 1000 個最有可能開放的端口。 如果要掃描所有端口，命令如下：

nmap -sS -T4-p- www.fujieace.com

2.FIN掃描

然后就可以使用FIN掃描方法來檢測防火墻的狀態。 FIN掃描方式用于識別端口是否關閉。 如果收到RST回復，則端口關閉，否則端口處于打開狀態。

nmap -sF -T4 www.fujieace.com

掃描輸出為：

    PORT      STATE         SERVICE  
    7/tcp     open|filtered echo  
    9/tcp     open|filtered discard  
    11/tcp    open|filtered systat  
    13/tcp    open|filtered daytime  
    23/tcp    open|filtered telnet  
    25/tcp    open|filtered smtp  
    37/tcp    open|filtered time  
    79/tcp    open|filtered finger  
    80/tcp    open|filtered http  
    更多端口，此處省略.......

3.ACK掃描

然后使用ACK掃描來判斷端口是否被過濾。 對于ACK檢測數據包，未過濾的端口（無論打開還是關閉）都會回復RST數據包。

nmap -sA -T4 www.fujieace.com

掃描輸出為：

    Not shown: 997 unfiltered ports  
    PORT      STATE    SERVICE  
    135/tcp   filtered msrpc  
    1434/tcp  filtered ms-sql-m  
    32777/tcp filtered sometimes-rpc17

從結果中我們可以知道有997個端口沒有被過濾()，有3個(135/1434/32777)被過濾了。 因此，結合ACK和FIN掃描的結果，我們可以發現很多開放的端口。 例如7號端口，從FIN得到的狀態是：open，或者，從ACK得到的狀態是，則該端口只能是open。

4. 掃描

當然，你也可以通過掃描的方式來獲取一些端口信息，這樣可以補充前面掃描分析的結果。 該掃描方法僅對某些TCPIP協議棧有效。

掃描原理與ACK類似，發送ACK包來檢測目標端口，并分析回復RST包中的大小。 在 TCPIP 協議棧的某些實現中，關閉端口的 RST 大小將設置為 0； 開放端口的大小將設置為非零值。

nmap -sW -p- -T4 www.fujieace.com

輸出結果：

    PORT      STATE    SERVICE  
    7/tcp     open     echo  
    9/tcp     open     discard  
    11/tcp    open     systat  
    13/tcp    open     daytime  
    更多端口，此處省略......

通過各種方式獲取防火墻的狀態后，可以進行進一步的應用程序和版本檢測以及操作系統檢測。

這里不再詳細說明！

這里有一篇關于使用nmap突破防火墻的文章。 推薦《如何使用Nmap繞過防火墻》！

3.掃描路由器

Nmap內部維護一個系統和設備數據庫（nmap-os-db），它可以識別數千個不同的系統和設備。 因此可以用來掃描主流的路由器設備。

1.掃描Cisco路由器

nmap -p1-25,80,512-515,2001,4001,6001,9001 10.20.0.1/16

Cisco路由器在上述端口上運行通用服務。 通過枚舉上述開放端口的主機，可以定位路由器設備可能的IP地址和端口狀態。

2. 掃描路由器TFTP

nmap –sU –p69 –nvv target

大多數路由器都支持TFTP協議（普通文件傳輸協議），該協議常用于備份和恢復路由器配置文件，運行在UDP端口69上。使用上述命令可以檢測路由器是否開放了TFTP。

4.掃描路由器操作系統

與一般PC掃描類似，使用-O選項掃描路由器的操作系統。 -F 用于快速掃描100個最有可能開放的端口，并根據端口掃描結果進一步進行操作系統指紋分析。

nmap -O -F -n 192.168.1.1

4. 掃描互聯網

Nmap的內部設計非常強大和靈活。 它可以掃描單個主機、小型局域網，也可以掃描數千臺主機，以發現用戶關心的信息。 掃描大量主機需要仔細優化掃描時序等參數。

1. 發現 上的 Web 服務器

nmap -iR 100000 -sS -PS80 -p 80 -oG nmap.txt

隨機生成10萬個IP地址，掃描其80端口。將掃描結果以某種格式輸出到nmap.txt文件中（可使用grep命令提?。?。

可以使用 grep 命令從輸出文件中提取感興趣的詳細信息。

2、統計互聯網主機基礎數據

Nmap的創始人在2008年的黑帽大會上發表演講，談論如何使用Nmap掃描互聯網（Nmap：），資料地址：

互聯網掃描的初衷是收集網絡體驗數據并利用它來優化Nmap的性能。 例如，根據各個端口開放概率的統計，優先掃描常用端口，以節省用戶的時間。

生成隨機IP地址

生成1,000,000個隨機IP地址并將其保存在文件中，以便在后續掃描時作為參數輸入。

nmap -iR 1200000 -sL -n | grep “not scanned” | awk ‘{print $2}’ | sort -n | uniq >! tp; head -25000000 tp >! tcp-allports-1M-IPs; rm tp

上述命令的含義：隨機生成一個IP地址（-iR），并進行列表掃描（-sL，列出IP地址，不進行真正的掃描），不進行dns解析操作（-n），這將生成一個Nmap列表掃描的結果。 找到這個結果中未掃描的行（grep “not ”），打印出每行第二列的內容（awk '{print $2}'，即IP地址），然后對得到的IP地址進行排序（sort -n)，然后去掉重復的IP地址，將結果保存到臨時文件tp中，然后取出之前的IP地址保存到tcp--1M-IPs文件中，并刪除臨時文件。

簡而言之，這里生成了一個隨機IP地址，并存儲在tcp--1M-IPs文件中。

優化主機發現

nmap -sP -PE -PP -PS21,22,23,25,80,113,31339-PA80,113,443,10042 –source-port 53 -T4 -iL tcp-allports-1M-IPs

上述命令進行主機發現：使用生成的IP地址（-iL tcp--1M-IPs），指定發送數據包的源端口為53（--port 53，該端口為DNS查詢端口，一般防火墻允許端口數據包），時序級別為4（-T4，檢測速度比較快），通過TCP SYN包檢測目標機的21、22、23、25、80、113、31339端口，并通過TCP ACK數據包檢測到對方的80、113、443，端口10042，同時也發送ICMP ECHO/ICMP數據包來檢測對方主機。 只要在上述檢測包中得到回復，就可以證明目標主機在線。

全掃描命令

準備好必要的IP地址文件并優化主機發現參數后，我們得到最終的掃描命令：

nmap -S [srcip] -d –max-scan-delay 10 -oAlogs/tcp-allports-%T-%D -iL tcp-allports-1M-IPs –max-retries 1–randomize-hosts -p- -PS21,22,23,25,53,80,443 -T4 –min-hostgroup 256 –min-rate175 –max-rate 300

上述命令用于掃描上100萬臺主機所有TCP端口的開放情況。

使用包含100萬個IP地址的文件（-iL tcp--1M-IPs），設置源IP地址為srcip（指定一個IP地址，并保證該IP地址在統一局域網內，否則目標回復機器收不到包），主機發現過程使用TCP SYN包來檢測目標機器的21、22、23、25、53、80、443，掃描過程會隨機打亂主機的順序（--hosts ，因為文件中的IP已經排序，這里是，避免被防火墻檢查出來），端口掃描過程檢查所有TCP端口（-p-，端口1到65535），使用時序級別為4（-T4，速度更快），并將結果保存為XML//格式輸出到文件（-oA logs/tcp--%T-%D，其中%T代表掃描時間，% D 代表掃描日期）。

-d 表示打印出調試信息。

–max-scan-delay 10 表示數據包發送最多延遲10秒，防止特殊情況下等待時間過長。

–max- 1，表示端口掃描檢測包最多重傳一次，防止Nmap多次重傳檢測包而沒有收到回復，當然這也會降低檢測的準確性。

–min-host-group 256 表示進行端口掃描和版本檢測時同時檢測的主機數量。 這里至少對256臺主機進行分組掃描，以加快掃描速度。

–min-rate 175和–max-rate 300，表示發包速率在175到300之間，保證掃描速度不會太慢，目標機器不會因為速率過高而產生警報。

掃描結果

該組織的掃描得出了許多重要結論，統計了互聯網上 10 個最有可能開放的 TCP 端口。

最有可能打開 10 個 UDP 端口。

5. 掃描網站

Web是互聯網上應用最廣泛的，越來越多的服務趨向于以Web的形式提供，因此Web安全的監管變得越來越重要。 目前安全領域有很多專門的網頁掃描軟件（如、、W3AF），可以提供端口掃描、漏洞掃描、漏洞利用、分析報告等多種功能。 Nmap作為開源端口掃描器，對網頁掃描的支持日益強大，可以完成網頁上的基本信息檢測：服務器版本、支持的、是否包含典型漏洞等。 功能已經遠遠超越了同領域的其他開源軟件，例如.

目前，Nmap主要通過Lua腳本支持Web。 NSE腳本庫中有超過50個HTTP相關的腳本。

掃描示例：

nmap -sV -p 80 -T4 --script http*,default scanme.nmap.org

上面的掃描網頁應用程序顯示Nmap提供了網頁掃描功能。 從圖中我們可以看到掃描結果提供了比較豐富的信息。

首先是應用程序及其版本：2.2.14 ()

然后搜索站點的-id：這個ID可以用來識別同一所有者的不同頁面。