络安全（一）：信息收集之玩转nmap（理论篇）

?? 优质资源分享 ??

更新时间

2022年09月06日16:20:10

• 完成nmap介绍，目标选择，主机发现部分

2022年10月28日21:19:20

• 完成最基本的内容，端口扫描，版本和系统探测，安全其他等
• 打算的更新计划：更多案例和图片，导出xml文件转为Excel分析（周末先休息一下吧）

nmap

nmap（Network Mapper）是免费、开源的 络发现和安全审计工具，通常我们用于收集 络中的比如主机和端口等信息，从而为下一步的攻击提供突破口，制定攻击的计划。也可为 络管理员使用，从而针对性修复可能暴露的安全漏洞。

具体的功能介绍可以登录官 https://nmap.org，来获取软件包和官方教程。

• 当我们下载好nmap后在命令行中会多出这些命令：
• nmap，集成了：
  • 主机发现（Host Discovery）
  • 端口扫描（Port Scanning）
  • 版本侦测（Version Detection）
  • 操作系统侦测（Operating System Detection）
• zenmap，zenmap为nmap的图像化版本。
• ncat，可进行灵活的数据传输，重定向。
• ndiff，对比扫描结果的工具。
• nping，包生成和响应工具。

扫描目标

**/,-***符

nmap命令中扫描的目标是不可省略的参数，可以使用****符 来确认目标范围。当然这三种都可以混合使用。

–exclude排除host

-iL从文件中导入和–excludefile排除

有时候从dhcp服务器中导出了在线的ip，可以使用文件来批量的选择扫描的目标，比如某公司禁止公司内部电脑开启web服务等，使用文件导入的方法，可以跳过离线主机进行的扫描。

文件格式中ip之间可以使用换行（n），同时也支持,/-语法。

-iR随机扫描

• •   # 0代表无限次

以下是我使用nmap -iR 2后的抓包，可以看到ip是随机的，默认的

图3.sL扫描会向本机DNS依据IP反解析hostname

我的本机默认的DNS是192.168.24.8和223.5.5.5。话说对公 的DNS服务器反向解析内 的IP的hostname，是不是有点太搞笑了。

• 指定DNS服务器
• 不解析DNS，那就真的只是列出IP地址而已了
• -R 强制解析DNS

-sP（Ping扫描）

只使用Ping的方式判断主机存活。就和使用ping命令判断主机在线一样，如果有icmp回显那么nmap就认为其是存活的。

• 只发送icmp  echo-request
  • 有icmp echo-reply（icmp回显）就在线

-P0 (无ping)、-Pn

如果对方关闭了icmp回显的功能，那么nmap会判断本主机不在线，同时后续的端口扫描等也不会进行，会给扫描结果带来干扰。

Windows下开关回显：

图6.ping测试下的icmp开关效果

所以为了排除干扰，可以加上参数，这样后续的端口扫描等操作也不会被干扰。请注意，P0虽然可以更彻底的扫描，但是代价是如果该地址本就真的不存在设备或者设备不在线，那么将花费大量的时间做无用功。

Windows主机上开启smb文件共享，确认开启445端口。并且是关闭的icmp回显。

图8.使用nmap 添加和不添加-P0的测试

-PS[portlist] (TCP SYN Ping)

向目标主机的常用端口发送标志SYN=1的TCP握手 文，默认-PS不加参数时候会向常用的TCP端口发送SYN 文，并不需要建立TCP连接，只要有回应那么就说明主机在线的。在判断主机存活时候随便还探测了开放的TCP端口。

• 这个常用的TCP端口官方说默认的目标端口是80，但是实际上抓包发现其实都有很多，因为默认情况下自带了对TCP1660个常用端口的扫描。

图10.这里的数字不是代表端口，而是协议

-sI (空闲扫描)

僵尸主机也就是肉鸡，利用side-channel攻击，nmap对此端口进行扫描操作，从而更加隐蔽的进行扫描，若安全设备溯源也是溯源到肉鸡的IP。

•    端口可以不写，默认80
  • -sI 192.168.1.1:8888

-b (FTP弹跳扫描)

这个是利用FTP代理链接漏洞，允许用户连接到一台FTP服务器，然后要求文件送到一台第三方服务器。可以有效的隐藏自己。

这里参数格式是-

声明：本站部分文章及图片源自用户投稿，如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢！