Nmap网络安全扫描器说明(2)

/ns/cn/tool/data/20020804014059.htm

Nmap网络安全扫描器说明(2)



作者:作者:Fyodor 译者:quack
发布日期:2002-2-6
上传日期:2002-2-6
来源:不详


扫描类型
--------*

-sT TCP connect()扫描:这是对TCP的最基本形式的侦测。在该操作下,该connect()对目标主机上你感兴
趣的端口进行试探,如果该端口被监听,则连接成功――否则代表这个端口无法到达。这个技术的很大好处
就是你无须任何特殊权限,在大多数的UNIX系统下这个命令可以被任何人自由地使用。
但是这种形式的探测很容易被目标主机察觉并记录下来。因为服务器接受了一个连接但它却马上断开,于
是其记录会显示出一连串的连接及错误信息。

-sS TCP SYN 扫描:这类技术通常涉及一种“半开”式的扫描――因为你不打开完整的TCP连接,你发送一个
SYN信息包就象你要打开一个真正的连接而且你在等待对方的回应。一个SYN|ACK(应答)会表明该端口是开
放监听的。一个RST(空闲?)则代表该端口未被监听。如果SYN|ACK的回应返回,则会马上发送一个RST包
来中断这个连接(事实上是我们的系统核心在干这事)。这种扫描的最大好处是只有极少的站点会对它作
出记录,但是――你需要有root权限来定制这些SYN包。

-sF -sX -sN
Stealth FIN,Xmas Tree 或者Null扫描模式:有时甚至SYN扫描都不够隐蔽――一些防火墙及信息包过滤装置
会在重要端口守护,SYN包在此时会被截获,一些应用软件如Synlogger以及Courtney对侦测这类型的扫描
都是行家。所以呢,在另一方面要有更进一步的扫描能在不遇到麻烦的情况下通过它们……
这个主意是关闭的端口会对你发送的探测信息包返回一个RST,而打开的端口则对其忽略不理(你可以参阅
RFC 973 PP64)。所以FIN扫描使用空的FIN信息包作为探针、Xmas tree使用FIN,URG,PUSH标记、Null扫
描则不用任何标记。但是不幸的是微软以他们一贯的风格不理睬这一标准……所以这一扫描在WINDOWS9X以及
NT下不能工作。
从积极方面来讲,这其实也是一个很好的区分两种平台的办法――如果这次扫描发现了打开的端口,那你就
能明白这台机器不是运行WINDOWS。如果-sF,-sX,-sN的扫描显示所有端口都是关闭的但一个SYN(-sS)扫描
却显示有打开端口,那你就能大致推断它是WINDOWS平台。这只是一个简单应用,因为现在nmap已经有了更
彻底的操作系统判别方法――当然它的原理类似上面所提到的.
这些平台包括Cisco, BSDI, HP/UX, MVS, 和IRIX。

-sP Ping扫描:有时你仅希望了解网络上有哪些主机是开放的,nmap可以通过对你指定的IP地址发送ICMP
的echo request信息包来做到这一点,有回应的主机就是开放的啦。但令人讨厌的是一些站点比如
microsoft.com对echo request包设置了障碍。这样的话nmap还能发送一个TCP ack包到80端口(默认),
如果获得了RST返回,机器是开放的。第三个方法是发送一个SYN信息包并等待RST 或SYN/ACK响应了。作为
非root的用户可以使用的,常用connect()模式。对root来说,默认的nmap同时使用ICMP和ACK的方法扫描
,当然你也可以改变-P选项。注意你最好先ping一下用户,只有有回应的主机才有必要扫描,只有你不想
探测任何的实际端口扫描只想大面积地搜索一下活动的主机,你可以使用此选项。

-sU UDP扫描:这一方法是用来确定哪个UDP(User Datagram Protocol,RFC 768)端口在主机端开放。这一
技术是以发送零字节的UDP信息包到目标机器的各个端口,如果我们收到一个ICMP端口无法到达的回应,那
么该端口是关闭的,否则我们可以认为它是敞开大门的。有些人或许会认为UDP扫描是无意义的,我通常会
以最近的Solaris rcpbind漏洞来提醒他们。Rpcbind会隐藏在一个非正式的UDP端口于32770口以上,因此
对111进行防火墙过滤是无关紧要的.但你是否查找过在30000以上的端口是否处在监听状态中……,用UDP扫
描你就能轻松地做到这一点!或者大家还可以想想cDc出品的Back Orifice木马(BO),它可以在Windows
的机器中配置一个UDP端口,更不用说如此众多可以利用UDP的、易受攻击的服务如snmp,tftp,NFS等了。但
有一点不得不提及的是UDP扫描在目标主机按照RFC 1812(4.3.2.8节)建议的那样限制ICMP错误信息的传
送速率时会令人痛苦的缓慢。举例来说吧,Linux 的核心配置(在net/ipv4/icmp.h)限制了每4秒产生80次
的无法到达信息――每次产生1/4秒的延迟。Solaris有着更严格的限制(大约每秒两次就会延迟),所以这
要耗费相当长的时间。nmap会侦测到这种限制并自动减缓速度――这也胜过用无意义的会被目标主机忽略的
大量信息包来填充这个网络。如以往一样,微软还是不在乎RFC所建议的事而且没有任何限制性措施实行于
WINDOWS或NT上,这样我们可以把多达65K的端口以极高的速度扫描完毕,欢呼吧!

-sR RPC扫描:这一方法是结合nmap多种扫描的一种模式,它取得所有的TCP/UDP开放端口并且用SunRPC程
序NULL命令来试图确定是否是RPC端口并且――如果是的话,其上运行什么程序,何种版本。这样你可以在目
标主机躲在防火墙后或者由TCP wrappers防护着,它都能取得效果近似于'rpcinfo -p'的信息。但Decoys
现在还不能正常工作在RPC扫描下,在以后我会在UDP RPC扫描中加入Decoy支持的。

-b(ftp relay host)
FTP 跳跃攻击:FTP协议的一个有趣的特点是它支持代理FTP连接(RFC 959),用另一句话说,我可以从
evil.com连接到一个FTP服务器target.com并且要求目标主机发送文件到因特网的*任何地方*!在1985年这
一RFC被写下来后这一特性便渐渐施行,但在现在的网络上我们不允许人们能够随意地“抢劫”一个FTP
SERVER并请求数据到任何地方。所以在Hobbit于1995年写下的有关这一协议缺陷时说到“它可以用来从许多
站台上发出事实上难以追查的信件、新闻以及攻击性行为――填充你的硬盘,试图使防火墙失效或者更多是
烦人而无意义的骚扰。我开发出它来是为了通过一个代理FTP服务器察看TCP端口,这样你可以连上一个在
防火墙后的FTP服务器然后扫描它看来仿佛堵塞的端口(139是很好的例子)。如果FTP服务器允许你读甚至
写进某些目录(比如/incoming),你可以发送任意信息到你发现打开了的端口(当然nmap不干这事)。对
于你要通过'b'选项来使主机成为你的代理时,标准的URL格式形式是:username:password@server:port。
要确定一个服务器是否易受这样的攻击,你可以看看我在Phrack 51期上的文章。它的更新版本在
http://www.insecure.org/nmap。