Nmap:Network Mapper,网络扫描和嗅探的工具包
基本功能有3个:
1.扫描主机端口,嗅探所提供的网络服务
2.探测一组主机是否在线
3.推断主机所用的操作系统,到达主机经过的路由,系统已开放端口的软件版本
首先需要温习一下tcp包头的相关基础知识
TCP Header:
Source port:源端口 占16位 2个字节,计算机一共65536个端口。0端口保留,1-1024为系统服务端口,如果扫描时不指定端口范围,nmap默认扫描1-1024端口。
Destination port :目的端口 16位 2个字节
Sequence number:序列号 4个字节,用来标识从TCP源端向TCP目的端
Acknowledgment number:确认号
Data offset:数据偏移
Reserved:保留位
TCP标志位:
1.ACK Acknowledgment 确认标志
2.RST Reset 复位标志
3.URG Urgent 紧急标志
4.SYN Synchronize 建立连接标志
5.PSH Push 推标志
6.FIN Finish 结束标志
Window Size:TCP窗口,用于流量控制,滑动窗口控制机制。每次只能接受一定量的数据
Checksum:校验和
三次握手,一般先发送SYN请求,再发RST重设就断开
ICMP协议属于IP协议的一部分,主要诊断网络的问题
ping 用的是 -0类型 Echo Reply
-3 目标不可达,或者到了那回不来,路由过不去
下面是一个ping的包,可以看到code参数和 Echo replay
下面是常见端口对应的服务,Telnet主要用于路由器交换机远程调试,在设备上开启Telnet服务,可以远程登录进行调试。Telnet是明文协议,可以用抓包抓到密码,很多现在用ssh,可以用xshell登录。但是Telnet登录需要有这个命令,现在win10基本没有了telnet命令。如果想在win10使用telnet需要自己设置。
SMTP邮件服务器。
DNS发送请求的时候用udp协议
1.如果用wireshark抓包分析,会发现几乎所有的情况都是在使用UDP,使用TCP的情况非常罕见,神秘兮兮。其实当解析器发出一个request后,返回的response中的tc删节标志比特位被置1时,说明反馈报文因为超长而有删节。这是因为UDP的报文最大长度为512字节。解析器发现后,将使用TCP重发request,TCP允许报文长度超过512字节。既然TCP能将data stream分成多个segment,它就能用更多的segment来传送任意长度的数据。
2. 另外一种情况是,当一个域的辅助域名服务器启动时,将从该域的主域名服务器primary DNS server执行区域传送。除此之外,辅域名服务器也会定时(一般时3小时)向PDS进行查询以便了解SOA的数据是否有变动。如有变动,也会执行一次区域传送。区域传送将使用TCP而不是UDP,因为传送的数据量比一个request或response多得多。
SNMP:网络管理协议
HTTPS:会在链路中对数据加密 443或者8433
RDP:远程桌面协议
发现主机是否存活,有些时候防火墙存在我们扫描不到主机是否存活,-p0或者-pn参数可以跳过发现主机直接扫描端口。局域网扫描时会经常抓到ARP的包,默认先发送ARP请求,如果有ARP的包说明这个主机就已经存在了。
Nmap端口扫描常用类型:
-sS(TCP SYN扫描): 速度快
-sT(TCP conect()扫描):全连接的扫描,速度较慢
-sU(UDP扫描):速度慢,用于探测UDP协议端口
-sN;-sF;-sX(TCP Null,FIN,and Xmas扫描):
扫描原理,当端口关闭时,任何不包含SYN,RST或者ACK位的报文会导致一个RST返回,当端口开放时,应该没有任何响应。
-sN:TCP表只都不设置
-sX:设置FIN,PSH,and URG三个置位
-sF:只设置包含fin置位
优点:隐秘
缺点:常用于UNIX LINUX为主,而windows上胡总和Cisco设备,BSDI以及IBM OS/400不适用
-sA(TCP ACK扫描)
-sW(TCP窗口扫描)
-sV:服务和版本探测,偶尔会出现服务不用正常的短偶,可以用-sV扫出来端口对应的服务,甚至版本号和服务所以对应的软件,nmap内置一个数据库收录常用的服务和端口,包括操作系统版本的识别
比如探测操作系统,利用ping命令,去观察TTL的值 Linux和windows对应的TTL值是不同的,可依此判断操作系统类型。
防火墙/IDS躲避和哄骗
Nmap保存和输出
漏洞扫描:根据版本信息可以上网查询已知的其存在的漏洞并进行渗透测试。
