Nmap (“Network Mapper(網絡映射器)”) 是一款開放源代碼的網絡探測和安全審核的工具。它的設計目標是快速地掃描大型網絡,當然用它掃描單個主機也沒有問題。Nmap以新
穎的方式使用原始IP報文來發現網絡上有哪些主機,那些主機提供什么服務(應用程序名和版本),那些服務運行在什么操作系統(包括版本信息), 它們使用什么類型的報文過濾
器/防火牆,以及一堆其它功能。雖然Nmap通常用於安全審核,許多系統管理員和網絡管理員也用它來做一些日常的工作,比如查看整個網絡的信息, 管理服務升級計划,以及
監視主機和服務的運行。
0x01 基礎知識
1.CIDR(無類別域間路由,Classless Inter-Domain Routing)
查看本機的IP地址
ip地址:192.168.43.200 子網掩碼:255.255.255.0
由以上信息可知,網絡地址為:192.168.43.0 主機號為:200
在該網絡地址中,256個主機
用CIDR可表示為:192.168.43.200/24
其中網絡前綴為前24位,主機號仍然是200,表示該網絡前綴下的第200個主機
0x02 主機發現
主機發現:發現主機是否可以連通!
實驗環境:
局域網內,本機ip為:192.168.43.211;win10:192.168.43.200;xp:192.168.43.166;
1.-sL(列表掃描)
該命令僅僅列出指定網絡上的每台主機的,不會向目標主機發送任何報文。端口掃描、操作系統探測或者ping掃描,在該命令下不會被執行。
掃描一下在192.168.43.200/24
在上圖中,當主機存活時
會將其標識出來。
2.-sP(Ping掃描)
該選項告訴Nmap僅僅 進行ping掃描 (主機發現),然后打印出對掃描做出響應的那些主機。
選項在默認情況下, 發送一個ICMP回聲請求和一個TCP報文到80端口。
3.-P0(無ping)
用-P0選項會使Nmap對每一個指定的目標IP地址進行所要求的掃描。所以如果在命令行指定一個B類目標地址空間(/16), 所有 65,536個IP地址都會被掃描。
4.-PS [portlist] (TCP SYN Ping)
該選項發送一個設置了SYN標志位的空TCP報文。 默認目的端口為80 (可以通過改變nmap.h) 文件中的DEFAULT-TCP-PROBE-PORT值進行配置,但不同的端口也可以作為選項指
定。甚至可以指定一個以逗號分隔的端口列表(如 -PS22,23,25,80,113,1050,35000),在這種情況下,每個端口會被並發地掃描。
5.-PA [portlist] (TCP ACK Ping)
TCP ACK ping和剛才討論的-PS參數類似。不過選擇-PA向目標發送的是ACK標志位而不是SYN。如果客戶端向目標主機知識發送一個標志位為ACK的數據包,那么服務器就有理由認為這個數據包出問題,並回復一個RST的報文。
6.-PU[portlist](UDP ping)
發送一個空的的 UDP報文到給定的端口(默認是31338)。如果目標主機的端口是關閉的話,UDP探測馬上得到一個ICMP端口無法達到的回應報文。
這時,說明目標主機開啟。而出現例如:TTL超時則表示該主機未開啟。同時,這種方式可以繞過過濾以TCP方式探測的包。
7.-PE;-PP;-PM(ICMP Ping Types)
-PE:Nmap發送一個ICMP type 8 (回聲請求)報文到目標IP地址, 期待從運行的主機得到一個type 0 (回聲響應)報文。-PE用於打開該回聲請求功能。
-PP、-PM:時間戳和地址掩碼查詢。
在本次掃描中,三個命令幾乎沒有任何區別。
8.-PR(ARP Ping)
基於 RFC1918私有地址范圍的網絡,在一個給定的時間絕大部分 IP地址都是不使用的。當Nmap試圖發送一個原始IP報文如ICMP回聲請求時, 操作系統必須確定對應於目標IP的硬件 地址(ARP),這樣它才能把以太幀送往正確的地址。
9.-n (不用域名解析)
10.-R (為所有目標解析域名)
11.--system-dns (使用系統域名解析器)