Linux系统Nmap命令的使用

Nmap即Network Mapper，它是在免费软件基金会的GNU General Public License (GPL)下发布的。其基本功能有：探测一组主机是否在线；扫描主机端口，嗅探提供的网络服务；判断主机的操作系统。软件下载后，执行 configure、make和make install三个命令，将nmap二进制码安装到系统上，就可以执行nmap了。

官网下载：http://nmap.org/download.html

或下载包

rpm -vhU http://nmap.org/dist/nmap-5.21-1.i386.rpm
rpm -vhU http://nmap.org/dist/zenmap-5.21-1.noarch.rpm

测试系统：CentOS6.4

Nmap的语法很简单，但功能十分强大。比如：Ping-scan命令就是“-sP”，在确定了目标主机和网络之后，即可进行扫描。如果以root来运行 Nmap，Nmap的功能会更加增强，因为超级用户可以创建便于Nmap利用的定制数据包。使用Nmap进行单机扫描或是整个网络的扫描很简单，只要将带 有“/mask”的目标地址指定给Nmap即可。另外，Nmap允许使用各类指定的网络地址，比如192.168.1.*，是对所选子网下的主机进行扫 描。

nmap的使用方法

下面是Nmap支持的四种最基本的扫描方式：

* TCP connect()端口扫描（-sT参数）。

* TCP同步（SYN）端口扫描（-sS参数）。

* UDP端口扫描（-sU参数）。

* Ping扫描（-sP参数）

如果要勾画一个网络的整体情况，Ping扫描和TCP SYN扫描最为实用。

* Ping扫描通过发送ICMP（Internet Control Message Protocol，Internet控制消息协议）回应请求数据包和TCP应答（Acknowledge，简写ACK）数据包，确定主机的状态，非常适合 于检测指定网段内正在运行的主机数量。

* TCP SYN扫描一下子不太好理解，但如果将它与TCP connect()扫描比较，就很容易看出这种扫描方式的特点。在TCP connect()扫描中，扫描器利用操作系统本身的系统调用打开一个完整的TCP连接也就是说，扫描器打开了两个主机之间的完整握手过程（SYN， SYN-ACK，和ACK）。一次完整执行的握手过程表明远程主机端口是打开的。

* TCP SYN扫描创建的是半打开的连接，它与TCP connect()扫描的不同之处在于，TCP SYN扫描发送的是复位（RST）标记而不是结束ACK标记（即，SYN，SYN-ACK，或RST）：如果远程主机正在监听且端口是打开的，远程主机用 SYN-ACK应答，Nmap发送一个RST；如果远程主机的端口是关闭的，它的应答将是RST，此时Nmap转入下一个端口。

-sS 使用SYN＋ACK的方法，使用TCP SYN，

-sT 使用TCP的方法， 3次握手全做

-sU 使用UDP的方法

-sP ICMP ECHO Request 送信，有反应的端口进行调查

-sF FIN SCAN

-sX

-sN 全部FLAG OFF的无效的TCP包送信，根据错误代码判断端口情况

-P0 无视ICMP ECHO request的结果，SCAN

-p scan port range 指定SCAN的目端口的范围

1-100, 或者使用25,100的方式

-O 侦测OS的种类

-oN 文件名 通常格式文件输出

-oX 文件名 通过DTD，使用XML格式输出结果

-oG 文件名，grep容易的格式输出

-sV 服务的程序名和版本SCAN

Ping扫描：入侵者使用Nmap扫描整个网络寻找目标。通过使用“-sP”命令，缺省情况下，Nmap给每个扫描到的主机发送一个ICMP echo和一个TCP ACK，主机对任何一种的响应都会被Nmap得到。如下所示。

[root@coremail ~]# nmap -sP 192.168.1.60

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:46 CST
Nmap scan report for 192.168.1.60
Host is up (0.00085s latency).
Nmap done: 1 IP address (1 host up) scanned in 0.49 seconds

Nmap支持不同类别的端口扫描，TCP连接扫描可以使用“-sT”命令，TCP connect()端口扫描（-sT参数）。具体如下所示：
[root@coremail ~]# nmap -sT 192.168.92.129

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:51 CST
Nmap scan report for 192.168.92.129
Host is up (0.0017s latency).
Not shown: 997 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
111/tcp   open  rpcbind
11111/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 0.48 seconds

隐蔽扫描(Stealth Scanning) 。在扫描时，如果攻击者不想使其信息被记录在目标系统日志上，TCP SYN扫描可帮你的忙。使用“-sS”命令，就可以发送一个SYN扫描探测主机或网络。如下所示。

[root@coremail ~]# nmap -sS www.baidu.com

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:51 CST
Nmap scan report for www.baidu.com (220.181.6.175)
Host is up (0.0094s latency).
Not shown: 998 filtered ports
PORT   STATE SERVICE
21/tcp open  ftp
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 56.54 seconds

如果一个攻击者想进行UDP扫描，即可知哪些端口对UDP是开放的。Nmap将发送一个O字节的UDP包到每个端口。如果主机返回端口不可达，则表示端口是关闭的。UDP端口扫描（-sU参数）。如下所示。

[root@coremail ~]# nmap -sU 192.168.92.129

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:53 CST
Nmap scan report for 192.168.92.129
Host is up (0.000019s latency).
Not shown: 996 closed ports
PORT    STATE         SERVICE
68/udp  open|filtered dhcpc
111/udp open          rpcbind
123/udp open|filtered ntp
631/udp open|filtered ipp

Nmap done: 1 IP address (1 host up) scanned in 1.93 secon

操作系统识别。通过使用“-O”选项，就可以探测远程操作系统的类型。Nmap通过向主机发送不同类型的探测信号，缩小查找的操作系统系统的范围。如图6所示。

[root@coremail ~]# nmap -sS -O 192.168.92.129

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:56 CST
Nmap scan report for 192.168.92.129
Host is up (0.00024s latency).
Not shown: 997 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
111/tcp   open  rpcbind
11111/tcp open  unknown
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.15 ? 2.6.30
Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 5.72 seconds

Ident扫描。攻击者都喜欢寻找一台对于某些进程存在漏洞的电脑，比如一个以root运行的WEB服务器。如果目标机运行了identd，攻击 者就可以通过“-I”选项的TCP连接发现哪个用户拥有http守护进程。我们以扫描一个Linux WEB服务器为例，使用如下命令即可：

[root@coremail ~]# nmap -sT -p 80  -O  www.baidu.com

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:58 CST
Nmap scan report for www.baidu.com (220.181.6.175)
Host is up (0.0069s latency).
PORT   STATE    SERVICE
80/tcp filtered http
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|storage-misc|WAP|game console
Running (JUST GUESSING) : Apple Mac OS X 10.5.X (96%), BlueArc embedded (87%), KCorp embedded (86%), Nintendo embedded (86%)
Aggressive OS guesses: Apple Mac OS X 10.5.5 (Leopard) (96%), BlueArc Titan 2100 NAS device (87%), KCorp KLG-575 WAP (86%), Nintendo DS game console (86%)
No exact OS matches for host (test conditions non-ideal).

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 5.39 seconds

[root@coremail ~]# nmap -sT -p 80  -O  192.168.92.129

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 13:00 CST
Nmap scan report for 192.168.92.129
Host is up (0.00014s latency).
PORT   STATE SERVICE
80/tcp open  http
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.15 ? 2.6.30
Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 2.86 seconds

隐藏扫描的源地址:

假设你的系统IP是192.168.1.20，但是你希望你的系统发出的所有NMAP包都被标注为IP地址20.20.20.20，那你可以用下面的命令来对名为sandi德系统发出数据包：

nmap  -S 20.20.20.20 -e eth0 -P0 -sS -v sandi

-P0(不PING)和-sS(TCP SYN隐藏端口扫描)使得Nmap执行基于 TCP扫描但不首先发ping 数据包。-sS选项能帮助进行的扫描通过过滤初始SYN数据包的防火墙。

要让系统使用端口53来发送数据包执行和上面相似的扫描，可发出下面的命令

nmap -g 53 -S 20.20.20.20  -e eth0 -P0 -sS -v sandi

除了以上这些扫描，Nmap还提供了很多选项，这是很多Linux攻击者的必备法宝之一，通过这个软件，我们就可以对系统了如指掌，从而为下面的攻击打下良好的基础。