Nmap網(wǎng)絡(luò)安全掃描器說明(2) 作者：作者：Fyodor 譯者：quack發(fā)布日期：2002-2-6上傳日期：2002-2-6來源：不詳掃描類型--------*-sT TCP connect()掃描：這是對TCP的最基本形式的偵測。在該操作下，該connect()對目標(biāo)主機(jī)上你感興趣的端口進(jìn)行試探，如果該端口被監(jiān)聽，則連接成功——否則代表這個(gè)端口無法到達(dá)。這個(gè)技術(shù)的很大好處就是你無須任何特殊權(quán)限，在大多數(shù)的UNIX系統(tǒng)下這個(gè)命令可以被任何人自由地使用。但是這種形式的探測很容易被目標(biāo)主機(jī)察覺并記錄下來。因?yàn)榉?wù)器接受了一個(gè)連接但它卻馬上斷開，于是其記錄會(huì)顯示出一連串的連接及錯(cuò)誤信息。-sS TCP SYN 掃描：這類技術(shù)通常涉及一種“半開”式的掃描——因?yàn)槟悴淮蜷_完整的TCP連接，你發(fā)送一個(gè)SYN信息包就象你要打開一個(gè)真正的連接而且你在等待對方的回應(yīng)。一個(gè)SYN|ACK(應(yīng)答)會(huì)表明該端口是開放監(jiān)聽的。一個(gè)RST（空閑?）則代表該端口未被監(jiān)聽。如果SYN|ACK的回應(yīng)返回，則會(huì)馬上發(fā)送一個(gè)RST包來中斷這個(gè)連接（事實(shí)上是我們的系統(tǒng)核心在干這事）。這種掃描的最大好處是只有極少的站點(diǎn)會(huì)對它作出記錄，但是——你需要有root權(quán)限來定制這些SYN包。-sF -sX -sNStealth FIN,Xmas Tree 或者Null掃描模式：有時(shí)甚至SYN掃描都不夠隱蔽——一些防火墻及信息包過濾裝置會(huì)在重要端口守護(hù)，SYN包在此時(shí)會(huì)被截獲，一些應(yīng)用軟件如Synlogger以及Courtney對偵測這類型的掃描都是行家。所以呢，在另一方面要有更進(jìn)一步的掃描能在不遇到麻煩的情況下通過它們……這個(gè)主意是關(guān)閉的端口會(huì)對你發(fā)送的探測信息包返回一個(gè)RST，而打開的端口則對其忽略不理（你可以參閱RFC 973 PP64）。所以FIN掃描使用空的FIN信息包作為探針、Xmas tree使用FIN，URG，PUSH標(biāo)記、Null掃描則不用任何標(biāo)記。但是不幸的是微軟以他們一貫的風(fēng)格不理睬這一標(biāo)準(zhǔn)……所以這一掃描在WINDOWS9X以及NT下不能工作。從積極方面來講，這其實(shí)也是一個(gè)很好的區(qū)分兩種平臺的辦法——如果這次掃描發(fā)現(xiàn)了打開的端口，那你就能明白這臺機(jī)器不是運(yùn)行WINDOWS。如果-sF,-sX,-sN的掃描顯示所有端口都是關(guān)閉的但一個(gè)SYN(-sS)掃描卻顯示有打開端口，那你就能大致推斷它是WINDOWS平臺。這只是一個(gè)簡單應(yīng)用，因?yàn)楝F(xiàn)在nmap已經(jīng)有了更徹底的操作系統(tǒng)判別方法——當(dāng)然它的原理類似上面所提到的.這些平臺包括Cisco, BSDI, HP/UX, MVS, 和IRIX。-sP Ping掃描：有時(shí)你僅希望了解網(wǎng)絡(luò)上有哪些主機(jī)是開放的，nmap可以通過對你指定的IP地址發(fā)送ICMP的echo request信息包來做到這一點(diǎn)，有回應(yīng)的主機(jī)就是開放的啦。但令人討厭的是一些站點(diǎn)比如microsoft.com對echo request包設(shè)置了障礙。這樣的話nmap還能發(fā)送一個(gè)TCP ack包到80端口（默認(rèn)），如果獲得了RST返回，機(jī)器是開放的。第三個(gè)方法是發(fā)送一個(gè)SYN信息包并等待RST 或SYN/ACK響應(yīng)了。作為非root的用戶可以使用的，常用connect()模式。對root來說，默認(rèn)的nmap同時(shí)使用ICMP和ACK的方法掃描，當(dāng)然你也可以改變-P選項(xiàng)。注意你最好先ping一下用戶，只有有回應(yīng)的主機(jī)才有必要掃描，只有你不想探測任何的實(shí)際端口掃描只想大面積地搜索一下活動(dòng)的主機(jī)，你可以使用此選項(xiàng)。-sU UDP掃描：這一方法是用來確定哪個(gè)UDP(User Datagram Protocol,RFC 768)端口在主機(jī)端開放。這一技術(shù)是以發(fā)送零字節(jié)的UDP信息包到目標(biāo)機(jī)器的各個(gè)端口，如果我們收到一個(gè)ICMP端口無法到達(dá)的回應(yīng)，那么該端口是關(guān)閉的，否則我們可以認(rèn)為它是敞開大門的。有些人或許會(huì)認(rèn)為UDP掃描是無意義的，我通常會(huì)以最近的Solaris rcpbind漏洞來提醒他們。Rpcbind會(huì)隱藏在一個(gè)非正式的UDP端口于32770口以上，因此對111進(jìn)行防火墻過濾是無關(guān)緊要的.但你是否查找過在30000以上的端口是否處在監(jiān)聽狀態(tài)中……，用UDP掃描你就能輕松地做到這一點(diǎn)！或者大家還可以想想cDc出品的Back Orifice木馬（BO），它可以在Windows的機(jī)器中配置一個(gè)UDP端口，更不用說如此眾多可以利用UDP的、易受攻擊的服務(wù)如snmp,tftp,NFS等了。但有一點(diǎn)不得不提及的是UDP掃描在目標(biāo)主機(jī)按照RFC 1812（4.3.2.8節(jié)）建議的那樣限制ICMP錯(cuò)誤信息的傳送速率時(shí)會(huì)令人痛苦的緩慢。舉例來說吧，Linux 的核心配置(在net/ipv4/icmp.h)限制了每4秒產(chǎn)生80次的無法到達(dá)信息——每次產(chǎn)生1/4秒的延遲。Solaris有著更嚴(yán)格的限制（大約每秒兩次就會(huì)延遲），所以這要耗費(fèi)相當(dāng)長的時(shí)間。nmap會(huì)偵測到這種限制并自動(dòng)減緩速度——這也勝過用無意義的會(huì)被目標(biāo)主機(jī)忽略的大量信息包來填充這個(gè)網(wǎng)絡(luò)。如以往一樣，微軟還是不在乎RFC所建議的事而且沒有任何限制性措施實(shí)行于WINDOWS或NT上，這樣我們可以把多達(dá)65K的端口以極高的速度掃描完畢，歡呼吧！-sR RPC掃描：這一方法是結(jié)合nmap多種掃描的一種模式，它取得所有的TCP/UDP開放端口并且用SunRPC程序NULL命令來試圖確定是否是RPC端口并且——如果是的話，其上運(yùn)行什么程序，何種版本。這樣你可以在目標(biāo)主機(jī)躲在防火墻后或者由TCP wrappers防護(hù)著，它都能取得效果近似于'rpcinfo -p'的信息。但Decoys現(xiàn)在還不能正常工作在RPC掃描下，在以后我會(huì)在UDP RPC掃描中加入Decoy支持的。-b(ftp relay host)FTP 跳躍攻擊：FTP協(xié)議的一個(gè)有趣的特點(diǎn)是它支持代理FTP連接(RFC 959)，用另一句話說，我可以從evil.com連接到一個(gè)FTP服務(wù)器target.com并且要求目標(biāo)主機(jī)發(fā)送文件到因特網(wǎng)的*任何地方*！在1985年這一RFC被寫下來后這一特性便漸漸施行，但在現(xiàn)在的網(wǎng)絡(luò)上我們不允許人們能夠隨意地“搶劫”一個(gè)FTP SERVER并請求數(shù)據(jù)到任何地方。所以在Hobbit于1995年寫下的有關(guān)這一協(xié)議缺陷時(shí)說到“它可以用來從許多站臺上發(fā)出事實(shí)上難以追查的信件、新聞以及攻擊性行為——填充你的硬盤，試圖使防火墻失效或者更多是煩人而無意義的騷擾。我開發(fā)出它來是為了通過一個(gè)代理FTP服務(wù)器察看TCP端口，這樣你可以連上一個(gè)在防火墻后的FTP服務(wù)器然后掃描它看來仿佛堵塞的端口（139是很好的例子）。如果FTP服務(wù)器允許你讀甚至寫進(jìn)某些目錄（比如/incoming），你可以發(fā)送任意信息到你發(fā)現(xiàn)打開了的端口（當(dāng)然nmap不干這事）。對于你要通過'b'選項(xiàng)來使主機(jī)成為你的代理時(shí)，標(biāo)準(zhǔn)的URL格式形式是：username:password@server:port。要確定一個(gè)服務(wù)器是否易受這樣的攻擊，你可以看看我在Phrack 51期上的文章。它的更新版本在http://www.insecure.org/nmap。

最新評論