时间和性能
Nmap开发的最高优先级是性能。在本地 络对一个主机的默认扫描(nmap )需要1/5秒。而仅仅眨眼的 时间,就需要扫描上万甚至几十万的主机。此外,一些特定的扫描选项会明显增 加扫描时间,如UDP扫描和版本检测。同样,防火墙配置以及特殊的响应速度限制也会 增加时间。Nmap使用了并行算法和许多先进的算法来加速扫描,用户对Nmap如何 工作有最终的控制权。高级用户可以仔细地调整Nmap命令,在满足时间要求的同时获得他们所关心的信息。
改善扫描时间的技术有:忽略非关键的检测、升级最新版本的Nmap(性能增强不断改善)。 优化时间参数也会带来实质性的变化,这些参数如下。
; (调整并行扫描组的大小)
Nmap具有并行扫描多主机端口或版本的能力,Nmap将多个目标IP地址 空间分成组,然后在同一时间对一个组进行扫描。通常,大的组更有效。缺 点是只有当整个组扫描结束后才会提供主机的扫描结果。如果组的大小定义 为50,则只有当前50个主机扫描结束后才能得到 告(详细模式中的补充信息 除外)。
默认方式下,Nmap采取折衷的方法。开始扫描时的组较小, 最小为5,这样便于尽快产生结果;随后增长组的大小,最大为1024。确切的 大小依赖于所给定的选项。为保证效率,针对UDP或少量端口的TCP扫描,Nmap 使用大的组。
选项用于说明使用最大的组,Nmap不 会超出这个大小。选项说明最小的组,Nmap 会保持组大于这个值。如果在指定的接口上没有足够的目标主机来满足所 指定的最小值,Nmap可能会采用比所指定的值小的组。这两个参数虽然很少使用, 但都用于保持组的大小在一个指定的范围之内。
这些选项的主要用途是说明一个最小组的大小,使得整个扫描更加快速。通常 选择256来扫描C类 段。对于端口数较多的扫描,超出该值没有意义。对于 端口数较少的扫描,2048或更大的组大小是有帮助的。
; (调整探测 文的并行度)
这些选项控制用于主机组的探测 文数量,可用于端口扫描和主机发现。默认状态下, Nmap基于 络性能计算一个理想的并行度,这个值经常改变。如果 文被丢弃, Nmap降低速度,探测 文数量减少。随着 络性能的改善,理想的探测 文数量会缓慢增加。 这些选项确定这个变量的大小范围。默认状态下,当 络不可靠时,理想的并行度值 可能为1,在好的条件下,可能会增长至几百。
最常见的应用是值大于1,以加快 性能不佳的主机或 络的扫描。这个选项具有风险,如果过高则影响准确度,同时 也会降低Nmap基于 络条件动态控制并行度的能力。这个值设为10较为合适, 这个值的调整往往作为最后的手段。
选项通常设为1,以防止Nmap在同一时间 向主机发送多个探测 文,和选择同时使用非常有用,虽然 这个选项本身的用途已经很好。
, , (调整探测 文超时)
Nmap使用一个运行超时值来确定等待探测 文响应的时间,随后会放弃或重新 发送探测 文。Nmap基于上一个探测 文的响应时间来计算超时值,如果 络延迟比较显著 和不定,这个超时值会增加几秒。初始值的比较保守(高),而当Nmap扫描无响应 的主机时,这个保守值会保持一段时间。
这些选项以毫秒为单位,采用小的值,使 值大于默认值可以明显减少扫描时间,特别 是对不能ping通的扫描()以及具有严格过滤的 络。如果使用太 小的值,使得很多探测 文超时从而重新发送,而此时可能响应消息正在发送,这使得整个扫描的时 间会增加。
如果所有的主机都在本地 络,对于值来 说,100毫秒比较合适。如果存在路由,首先使用ICMP ping工具ping主机,或使用其 它 文工具如hpings,可以更好地穿透防火墙。查看大约10个包的最大往返时间,然后将 设成这个时间的2倍, 可设成这个时间值的3倍或4倍。通常,不管ping的时间是多少,最大的rtt值不得小于100ms, 不能超过1000ms。
这个选项很少使用,当 络不可靠时, Nmap的默认值也显得过于强烈,这时这个选项可起作用。当 络看起来不可靠时,Nmap仅将 超时时间降至最小值,这个情况是不正常的,需要向nmap-dev邮件列表 告bug。
(放弃低速目标主机)
由于性能较差或不可靠的 络硬件或软件、带宽限制、严格的防火墙等原因, 一些主机需要很长的时间扫描。这些极少数的主机扫描往往占 据了大部分的扫描时间。因此,最好的办法是减少时间消耗并且忽略这些主机,使用 选项来说明等待的时间(毫秒)。通常使用1800000 来保证Nmap不会在单个主机上使用超过半小时的时间。需要注意的是,Nmap在这半小时中可以 同时扫描其它主机,因此并不是完全放弃扫描。超时的主机被忽略,因此也没有针对该主机的 端口表、操作系统检测或版本检测结果的输出。
; (调整探测 文的时间间隔)
的另一个用途是躲闭基于阈值的入侵检测和预防 系统(IDS/IPS)。
(设置时间模板)
上述优化时间控制选项的功能很强大也很有效,但有些用户会被迷惑。此外, 往往选择合适参数的时间超过了所需优化的扫描时间。因此,Nmap提供了一些简单的 方法,使用6个时间模板,使用时采用选项及数字(0 – 5) 或名称。模板名称有paranoid (0)、sneaky (1)、polite (2)、normal(3)、 aggressive (4)和insane (5)。前两种模式用于IDS躲避,Polite模式降低了扫描 速度以使用更少的带宽和目标主机资源。默认模式为Normal,因此 实际上是未做任何优化。Aggressive模式假设用户具有合适及可靠的 络从而加速 扫描。Insane模式假设用户具有特别快的 络或者愿意为获得速度而牺牲准确性。
用户可以根据自己的需要选择不同的模板,由Nmap负责选择实际的时间值。 模板也会针对其它的优化控制选项进行速度微调。例如, 针对TCP端口禁止动态扫描延迟超过10ms,对应的值为5ms。 模板可以和优化调整控制选项组合使用,但模板必须首先指定,否则模板的标准值 会覆盖用户指定的值。建议在扫描可靠的 络时使用 ,即使 在自己要增加优化控制选项时也使用(在命令行的开始),从而从这些额外的较小的优化 中获益。
如果用于有足够的带宽或以太 连接,仍然建议使用选项。 有些用户喜欢选项,但这个过于强烈。有时用户考虑到避免使主机 崩溃或者希望更礼貌一些会采用选项。他们并没意识到选项是如何的慢,这种模式的扫描比默认方式实际上要多花10倍的时间。默认时间 选项()很少有主机崩溃和带宽问题,比较适合于谨慎的用户。不进行 版本检测比进行时间调整能更有效地解决这些问题。
虽然和选项可能有助于避免IDS告警,但 在进行上千个主机或端口扫描时,会显著增加时间。对于这种长时间的扫描,宁可设定确切的时间 值,而不要去依赖封装的和选项。
选项的主要影响是对于连续扫描,在一个时间只能扫描一个端口, 每个探测 文的发送间隔为5分钟。和选项比较类似, 探测 文间隔分别为15秒和0.4秒。是Nmap的默认选项,包含了并行扫描。 选项与 等价,最大TCP扫描延迟为10ms。等价于 ,最大TCP扫描延迟为5ms。
防火墙/IDS躲避和哄骗
很多Internet先驱们设想了一个全球开放的 络,使用全局的IP 地址空间,使得任何两个节点之间都有虚拟连接。这使得主机间可以作为真 正的对等体,相互间提供服务和获取信息。人们可以在工作时访问家里所 有的系统、调节空调温度、为提前到来的客人开门。随后,这些全球连接的设想 受到了地址空间短缺和安全考虑的限制。在90年代早期,各种机构开始部 署防火墙来实现减少连接的目的,大型 络通过代理、NAT和包过滤器与未 过滤的Internet隔离。不受限的信息流被严格控制的可信通信通道信息流所替代。
类似防火墙的 络隔离使得对 络的搜索更加困难,随意的搜 索变得不再简单。然而,Nmap提供了很多特性用于理解这些复杂的 络,并且检验这些过滤器是否正常工作。此外,Nmap提供了绕过某些较弱的 防范机制的手段。检验 络安全状态最有效的方法之一是尝试哄骗 络,将 自己想象成一个攻击者,使用本节提供的技术来攻击自己的 络。如使用FTP bounce扫描、Idle扫描、分片攻击或尝试穿透自己的代理。
有时,人们建议Nmap不应该提供躲闭防火墙规则或哄骗IDS的功能, 这些功能可能会被攻击者滥用,然而管理员却可以利用这些功能来增强安全性。 实际上,攻击的方法仍可被攻击者利用,他们可以发现其它工具或Nmap的补丁程 序。同时,管理员发现攻击者的工作更加困难,相比较采取措施来预防执 行FTP Bounce攻击的工具而言,部署先进的、打过补丁的FTP服务器更 加有效。
Nmap不提供检测和破坏防火墙及IDS系统的魔弹(或Nmap选项),它使用 的是技术和经验,这超出了本参考手册的范围,下面描述了相关的选项和 完成的工作。
( 文分段); (使用指定的MTU)
选项要求扫描时(包挺ping扫描)使用 小的IP包分段。其思路是将TCP头分段在几个包中,使得包过滤器、 IDS以及其它工具的检测更加困难。必须小心使用这个选项,有些系 统在处理这些小包时存在问题,例如旧的 络嗅探器Sniffit在接收 到第一个分段时会立刻出现分段错误。该选项使用一次,Nmap在IP 头后将包分成8个字节或更小。因此,一个20字节的TCP头会被分成3个 包,其中2个包分别有TCP头的8个字节,另1个包有TCP头的剩下4个字 节。当然,每个包都有一个IP头。再次使用可使用 16字节的分段(减少分段数量)。使用选项可 以自定义偏移的大小,使用时不需要,偏移量必须 是8的倍数。包过滤器和防火墙对所有的IP分段排队,如Linux核心中的 CONFIG-IP-ALWAYS-DEFRAG配置项,分段包不会直接使用。一些 络无法 承受这样所带来的性能冲击,会将这个配置禁止。其它禁止的原因有分段 包会通过不同的路由进入 络。一些源系统在内核中对发送的 文进行 分段,使用iptables连接跟踪模块的Linux就是一个例子。当使用类似Ethereal 的嗅探器时,扫描必须保证发送的 文要分段。如果主机操作系统会产 生问题,尝试使用选项以避开IP层而直接 发送原始的以太 帧。
(使用诱饵隐蔽扫描)
为使诱饵扫描起作用,需要使远程主机认为是诱饵在扫描目标 络。 IDS可能会 个某个IP的5-10个端口扫描,但并不知道哪个IP在扫描以及 哪些不是诱饵。但这种方式可以通过路由跟踪、响应丢弃以及其它主动 机制在解决。这是一种常用的隐藏自身IP地址的有效技术。
使用逗 分隔每个诱饵主机,也可用自己的真实IP作为诱饵,这时可使用 选项说明。如果在第6个位置或 更后的位置使用选项,一些常用 端口扫描检测器(如Solar Designer’s excellent scanlogd)就不会 告 这个真实IP。如果不使用选项,Nmap 将真实IP放在一个随机的位置
注意,作为诱饵的主机须在工作状态,否则会导致目标主机的SYN洪水攻击。 如果在 络中只有一个主机在工作,那就很容易确定哪个主机在扫描。也可 使用IP地址代替主机名(被诱骗的 络就不可能在名字服务器日志中发现)。
诱饵可用在初始的ping扫描(ICMP、SYN、ACK等)阶段或真正的端口扫描 阶段。诱饵也可以用于远程操作系统检测()。在进行版 本检测或TCP连接扫描时,诱饵无效。
使用过多的诱饵没有任何价值,反而导致扫描变慢并且结果不准确。 此外,一些ISP会过滤哄骗的 文,但很多对欺骗IP包没有任何限制。
(源地址哄骗)
在某些情况下,Nmap可能无法确定你的源地址(如果这样,Nmap会给出 提示)。此时,使用选项并说明所需发送包的接口IP地址。
这个标志的另一个用处是哄骗性的扫描,使得目标认为是另 一个地址在进行扫描。可以想象某一个竞争对手在不断扫描某个公司! 选项常在这种情况下使用,也可采用选项。
(使用指定的接口)
告诉Nmap使用哪个接口发送和接收 文,Nmap可以进行自动检测, 如果检测不出会给出提示。
(源端口哄骗)
仅依赖于源端口 就信任数据流是一种常见的错误配置,这个问题非常 好理解。例如一个管理员部署了一个新的防火墙,但招来了很多用户的不满,因为 他们的应用停止工作了。可能是由于外部的UDP DNS服务器响应无法进入 络,而导致 DNS的崩溃。FTP是另一个常见的例子,在FTP传输时,远程服务器尝试和内部用 建立连接以传输数据。
对这些问题有安全解决方案,通常是应用级代理或协议分析防火墙模块。 但也存在一些不安全的方案。注意到DNS响应来自于53端口,FTP连接 来自于20端口,很多管理员会掉入一个陷阱,即允许来自于这些端口的数据进入 络。他们认为这些端口里不会有值得注意的攻击和漏洞利用。此外,管理员 或许认为这是一个短期的措施,直至他们采取更安全的方案。但他们忽视了安全的 升级。
不仅仅是工作量过多的 络管理员掉入这种陷阱,很多产品本身也会有这类 不安全的隐患,甚至是微软的产品。Windows 2000和Windows XP中包含的IPsec过滤 器也包含了一些隐含规则,允许所有来自88端口(Kerberos)的TCP和UDP数据流。另 一个常见的例子是Zone Alarm个人防火墙到2.1.25版本仍然允许源端口53(DNS)或 67(DHCP)的UDP包进入。
Nmap提供了和选项(它们是 等价的),用于利用上述弱点。只需要提供一个端口 ,Nmap就可以从这些 端口发送数据。为使特定的操作系统正常工作,Nmap必须使用不同的端口 。 DNS请求会忽略选项,这是因为Nmap依靠系 统库来处理。大部分TCP扫描,包括SYN扫描,可以完全支持这些选项,UDP扫 描同样如此。
(发送 文时 附加随机数据)
正常情况下,Nmap发送最少的 文,只含一个包头。因此TCP包通常 是40字节,ICMP ECHO请求只有28字节。这个选项告诉Nmap在发送的 文上 附加指定数量的随机字节。操作系统检测()包不受影响, 但大部分ping和端口扫描包受影响,这会使处理变慢,但对扫描的影响较小。
(设置IP time-to-live域)
设置IPv4 文的time-to-live域为指定的值。
(对目标主机的顺序随机排列)
告诉Nmap在扫描主机前对每个组中的主机随机排列,最多可达 8096个主机。这会使得扫描针对不同的 络监控系统来说变得不是很 明显,特别是配合值较小的时间选项时更有效。如果需要对一个较大 的组进行随机排列,需要增大文件中 PING-GROUP-SZ的值,并重新编译。另一种方法是使用列表扫描 (),产生目标IP的列表, 使用Perl脚本进行随机化,然后使用提供给Nmap。
(MAC地址哄骗)
要求Nmap在发送原以太 帧时使用指定的MAC地址,这个选项隐含了 选项,以保证Nmap真正发送以太 包。MAC地址有几 种格式。如果简单地使用字符串“0”,Nmap选择一个完全随机的MAC 地址。如果给定的字符品是一个16进制偶数(使用:分隔),Nmap将使用这个MAC地址。 如果是小于12的16进制数字,Nmap会随机填充剩下的6个字节。如果参数不是0或16进 制字符串,Nmap将通过查找 厂商的名称(大小写区分),如果找到匹配,Nmap将使用厂商的OUI(3字节前缀),然后 随机填充剩余的3个节字。正确的参数有, , ,, ,, 和.
文章知识点与官方知识档案匹配,可进一步学习相关知识 络技能树首页概览22403 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!