Nmap網(wǎng)絡(luò)安全掃描器說明(3) 作者：作者：Fyodor 譯者：quack發(fā)布日期：2002-2-6上傳日期：2002-2-6來源：不詳常規(guī)選項(xiàng)--------*這些選項(xiàng)并非必需的，但有些會(huì)非常實(shí)用。-P0 在掃描前不嘗試或者PING主機(jī)，這是用來掃描那些不允許ICMP echo 請(qǐng)求(或應(yīng)答)的主機(jī)。microsoft.com就是這其中的一個(gè)例子，我們就必須使用-P0或者-PT80來察看microsoft.com的端口。-PT 用TCP的ping來確定主機(jī)是否打開。作為替代發(fā)送ICMP echo請(qǐng)求包并等待回應(yīng)的方式，我們可以大量發(fā)送TCP ACK包往目標(biāo)網(wǎng)絡(luò)（或者單機(jī)）并一點(diǎn)點(diǎn)地等待它的回應(yīng)，打開的主機(jī)會(huì)返回一個(gè)RST。這一參數(shù)可以讓你在ping信息包阻塞時(shí)仍能高效率地掃描一個(gè)網(wǎng)絡(luò)/主機(jī)。對(duì)非root的用戶，我們用connect()，以如下格式設(shè)置目標(biāo)探針-PT<portnumber>,默認(rèn)的端口是80，因?yàn)檫@相端口往往未被過濾。-PS 這一選項(xiàng)是root用戶使用的，能用SYN(連接請(qǐng)求)包替代ACK包,打開的主機(jī)會(huì)有一個(gè)RST(或者SYN|ACK——但比較少見)應(yīng)答。-PI 這一選項(xiàng)是使用一個(gè)真正的ping(ICMP echo request)包。它找到開放的主機(jī)并且將該子網(wǎng)中的廣播地址全數(shù)搜尋——該廣播地址是能夠到達(dá)并能正確解析IP包的。如果其會(huì)被大量的DoS(denial of service)攻擊時(shí)，我們就能找到它。-PB 默認(rèn)的ping形式，它用于ACK(-PT)與ICMP(-PI)并行攻擊，以這一形式可以通過防火墻或包過濾。-O 經(jīng)由TCP/IP獲取‘指紋’來判別主機(jī)的OS類型，用另一說法，就是用一連串的信息包探測(cè)出你所掃描的主機(jī)位于操作系統(tǒng)有關(guān)堆棧信息并區(qū)分其精細(xì)差別，以此判別操作系統(tǒng)。它用搜集到的信息建立一個(gè)“指紋”用來同已知的操作系統(tǒng)的指印相比較(the nmap-os-fingerprints file)——這樣判定操作系統(tǒng)就有了依據(jù)。如果你發(fā)現(xiàn)一臺(tái)機(jī)器開了至少一個(gè)端口并得到錯(cuò)誤的診斷信息，那么你可以寫信告訴我相關(guān)細(xì)節(jié)比如操作系統(tǒng)版本或偵測(cè)到的操作系統(tǒng)版本圖，如果他有端口開放但nmap返回'不可識(shí)別的操作系統(tǒng)'，這可能也是有用的，你可以將它的IP告訴我或者另一個(gè)辦法是用nmap的-d參數(shù)并告訴我它返回的“指印”——操作系統(tǒng)和版本號(hào)，這樣做，也算是對(duì)nmap在判定操作系統(tǒng)的進(jìn)一步開發(fā)中做了些事情，以便后續(xù)版本中它能更精確地判別系統(tǒng)類型。-I 這是用ident掃描方式的參數(shù)，如Dave Goldsmith于1996年在Bugtraq中所說的，這個(gè)ident協(xié)議(rfc 1413)允許通過TCP連接得到擁有進(jìn)程的用戶名——即使這個(gè)連接不是由該進(jìn)程發(fā)起的。所以呢，舉個(gè)例吧，你可以通過ident連接到一個(gè)http端口并找出該進(jìn)程是否由root運(yùn)行，但這只能在“全開”的對(duì)目標(biāo)端口的TCP連接中使用（象-sT掃描參數(shù)）。當(dāng)你用-I參數(shù)時(shí)，遠(yuǎn)程主機(jī)的identd在開放的端口接受連接質(zhì)詢——很明顯的，如果主機(jī)不運(yùn)行identd的話，那它就無法正常工作。-f 這個(gè)參數(shù)配置以細(xì)小的IP碎片包實(shí)現(xiàn)SYN，F(xiàn)IN，XMAS或NULL掃描請(qǐng)求。這個(gè)想法是把TCP包頭分別放在幾個(gè)不同的信息包中，使包過濾器難于運(yùn)作，而后你就可以闖入系統(tǒng)做你想做的事了。但要注意，部份程序可能會(huì)對(duì)這些小信息包處理錯(cuò)誤。比方說我最喜歡的sniffer segmentation在接收第一個(gè)36字節(jié)的信息碎片時(shí)就出現(xiàn)麻煩，之后又來了個(gè)24字節(jié)的！當(dāng)包過濾器和能將IP碎片排列的防火墻沒有獲得此順序時(shí)（就象linux內(nèi)核中的CON-FIG_IP_ALWAYS_DEFRAG選項(xiàng)），一些網(wǎng)絡(luò)系統(tǒng)就不能反映出找到目標(biāo)，并且放棄。記住這個(gè)參數(shù)不一定能很好地工作在任何系統(tǒng)上,它在我的Linux,FreeBSD以及OpenBSD下是正常的,當(dāng)然也有一些人說它能在部份不同的*NIX環(huán)境下工作。-v 詳細(xì)模式。這是被強(qiáng)烈推薦的選項(xiàng)，因?yàn)樗軒砟阆胍母嘈畔?。你可以重?fù)使用它以獲得更大效果。如果你需要大量翻動(dòng)屏幕請(qǐng)使用 -d 命令兩次-h 這是一個(gè)快捷的幫助選項(xiàng)，可以在屏幕上顯示nmap的參數(shù)使用方法——象你注意到的那樣，這個(gè)man page實(shí)在不是一個(gè)“快速入門參考”:)-o <logfilename>這是用來指定一個(gè)放置掃描結(jié)果的文件的參數(shù)——這個(gè)結(jié)果是易于閱讀的。-m <logfilename>這也是存放掃描結(jié)果的參數(shù)，但它是存放機(jī)器可解析（machine parseable）結(jié)果的，你可以用-m 帶'-'(引號(hào)不用）將其輸出到標(biāo)準(zhǔn)輸出里（用shell的管道符……）。在這種形式下，正常的輸出被禁止了，你需要察看一些錯(cuò)誤信息來了解情況。-i <inputfilename>從指定文件而不是從命令行讀取數(shù)據(jù)。該文件可以存放一個(gè)主機(jī)或網(wǎng)絡(luò)的列表，中間用空格、TAB鍵或者換行來分隔。如果希望從標(biāo)準(zhǔn)輸入設(shè)備（文件）讀取——比如在管道符的末端，你要將連字號(hào)(-)用于文件名。你可以從目標(biāo)規(guī)格里找到更多關(guān)于寫這一文件的資料。-p <port ranges>這一參數(shù)可以指定你希望掃描的端口，舉例來說吧'-p 23'則只會(huì)對(duì)主機(jī)的23端口進(jìn)行探測(cè)，默認(rèn)掃描的是從1到1024端口，或者也可以用nmap里帶的services file里的端口列表。-F 快速掃描模式。指定只希望掃描nmap里提供的services file中列出的端口列表里的端口。這明顯會(huì)比掃描所有65535個(gè)端口來得快。-D <decoy1 [,decoy2][,ME],...>這是一種帶有誘騙模式的掃描，在遠(yuǎn)程主機(jī)的連接記錄里會(huì)記下所有你所指定的誘騙性的地址。這樣的話他們的數(shù)據(jù)存儲(chǔ)器會(huì)顯示有一些端口掃描從某個(gè)IP發(fā)起，然而他們無法辯別哪個(gè)是真正的IP而哪個(gè)是用來作為掩護(hù)的，這可以擊敗一些通過路由進(jìn)行跟蹤的行為，所以它是一項(xiàng)隱藏你的IP的很實(shí)用的技術(shù)。用逗號(hào)分隔各個(gè)欺騙地址，你可以隨意地將'me'放進(jìn)任意一個(gè)你希望顯示真實(shí)IP的地方，如果你將'ME'放在第六位甚至最后，有些端口掃描記錄器（比如Solar Designer's excellent scanlogd）可能根本就不會(huì)顯示你的IP，如果你不用'ME'的話，nmap將會(huì)將它隨機(jī)放置。記住你用來誘騙的主機(jī)必須是開放的或者你可以半開掃描一下你的目標(biāo)。因?yàn)橐獜囊欢褜?shí)際上沒有用的IP地址里判別出哪個(gè)是真正的入侵者是相當(dāng)容易的。你還可能要用IP地址來代替名字，這樣誘騙主機(jī)的nameserver logs里才不會(huì)記錄下你來。還要記得有些（愚蠢的）"端口掃描探測(cè)器"會(huì)拒絕到達(dá)主機(jī)的端口掃描嘗試。這樣你無意中就會(huì)導(dǎo)致你掃描的主機(jī)與“誘騙主機(jī)”連接的丟失，這樣可能會(huì)帶來一個(gè)很大的問題是——如果這個(gè)“誘騙主機(jī)”是一個(gè)網(wǎng)上的網(wǎng)關(guān)或者甚至就是其本地的機(jī)子，其連接一樣會(huì)斷開！所以大家最好小心使用這個(gè)參數(shù)——從道德上的原因——這僅僅是一個(gè)誘騙，不是么？這種誘騙可以用在最初的ping掃描（用ICMP,SYN,ACK或其它）與實(shí)際的端口狀態(tài)掃描中，它還可以用于遠(yuǎn)程OS的判別(-O)。當(dāng)然如果你寫入太多的誘騙地址也是沒什么用處的，那只能減緩掃描速度以及降低一些精確度。而且一些指令處理系統(tǒng)還可能會(huì)過濾掉你的欺騙包，雖然多數(shù)（幾乎是全部了）不會(huì)對(duì)欺騙包作出任何限制。-S <IP_Address>在某些環(huán)境下nmap可能無法確定你的源地址——這種情況下nmap會(huì)有提示，這時(shí)你就要用-S帶IP地址來標(biāo)注。另一種使用的可能性是用來欺騙目標(biāo)使它認(rèn)為某人在掃描它。設(shè)想一下，某個(gè)公司發(fā)現(xiàn)被競(jìng)爭(zhēng)者持續(xù)不斷的掃描:),這是一個(gè)不被支持的用法，或者說，不是主要目的。我只是用它來提醒人們?cè)诎l(fā)現(xiàn)一個(gè)端口掃描者時(shí)別光顧責(zé)難，可能他是無辜的呢。-e能夠說明這個(gè)參數(shù)的一般用法。-e <interface>告訴nmap哪個(gè)界面要發(fā)送或接收。nmap能夠自動(dòng)探測(cè)它，如果無法做到，亦會(huì)有提示信息。-g <portnumber>在掃描中設(shè)定源端口號(hào)。許多“天真”的防火墻或包過濾器除了它們建立的允許DNS(53)或FTP-DATA(20)的包進(jìn)來建立連接之外，其余一概過濾，顯然這是很輕率的做法，因?yàn)槿肭终吣軌蜉p易地編輯一個(gè)來自FTP或DNS的源端口。比如說，你如果無法從一個(gè)主機(jī)的host:port通過TCP ISN取得信息，那么通過用-g 命令，nmap會(huì)改變?cè)炊丝谠俅螄L試。需要了解的是，使用這個(gè)選項(xiàng)可能會(huì)有小小的延遲，因?yàn)槲矣袝r(shí)需要在源端口號(hào)中存儲(chǔ)有用信息.-M <max sockets>設(shè)定用來并行進(jìn)行TCP connect()掃描的最大的sockets數(shù)目（默認(rèn)）。這對(duì)將掃描適度減緩是相當(dāng)有效的，它可以避免把遠(yuǎn)程主機(jī)crashing。另一個(gè)途徑是用-sS。

最新評(píng)論