Linux系统管理工具包 网络扫描.docx

Linux系统管理工具包 网络扫描.docx

《Linux系统管理工具包 网络扫描.docx》由会员分享，可在线阅读，更多相关《Linux系统管理工具包 网络扫描.docx（14页珍藏版）》请在冰豆网上搜索。

Linux系统管理工具包网络扫描

Linux系统管理工具包:

网络扫描

本书网络下载内容丰富，分享给大家学习。

了解如何扫描网络中的服务，以及如何定期地对服务进行监视，以维持最长的正常运行时间。

确保网络安全的一种重要的方法是，了解您的网络的运行状况，以及计算机中的哪些服务存在危险隐患。

XX的服务，如Web服务器、或者文件共享解决方案，不仅会降低网络的性能，其他人还可能使用这些服务进入到您的网络中。

在本文中，将了解如何使用相同的技术以确保非假冒的服务能够保持可用状态。

关于本系列

典型的UNIX管理员拥有一套经常用于辅助管理过程的关键实用工具、诀窍和系统。

存在各种用于简化不同过程的关键实用工具、命令行链和脚本。

其中一些工具来自于操作系统，而大部分的诀窍则来源于长期的经验积累和减轻系统管理员工作压力的要求。

本系列文章主要专注于最大限度地利用各种UNIX环境中可用的工具，包括简化异构环境中的管理任务的方法。

网络扫描的类型

扫描网络可以使您迅速而准确地了解网络的运行状况、配置选项及其所能提供的服务。

不同的网络扫描可以查找并记录不同的信息。

并且，您还可以采用不同的方式来进行这些扫描，以确定关于您的网络的各种类型的信息。

对于所有的网络环境，都可以确定一些关键的要素，其中之一是网络的运行状况。

网络攻击、XX的设备，以及错误的或者不正确配置的主机，都可能导致在您的网络中出现潜在的问题。

您应该使用的第一种类型的网络扫描是，在网络中查找并定位正在使用的Internet协议（IP）地址。

因为在没有提供进行通信的网络端口（例如，超文本传输协议（HTTP）和简单邮件传输协议（SMTP）协议所使用的端口）的情况下，IP地址基本上没有任何用处，所以您必须找出其他人为进行连接正在侦听其中哪些端口。

其他类型的扫描还包括，实际查看在网络中传输的原始数据包所包含的信息。

原始网络扫描可以提供大量的信息，比如了解通过网络所交换的信息的确切性质，以及网络的整体性能。

通过将您所了解的、关于网络中主机和端口的信息与您从原始网络扫描中所获取的信息结合在一起，您就可以更好地了解网络的实际运行状况。

例如，在网络扫描期间，您可能会发现某台特定的主机正在侦听非标准的端口，这时如果不使用原始网络扫描以了解具体的日期和信息类型，将很难确定该主机和端口的作用。

是否有人正将该主机和端口用于正当的用途（如HTTP）、或者更具破坏性的用途（如网络攻击、开放的SSH、或者可能用于安全破坏的其他端口）？

扫描主机

确定网络中的主机，这是最基本的网络扫描任务，并且这是了解网络运行状况的最好方式。

这些信息本身是非常有价值的，但如果能够将您所确定和发现的其他信息与您在技术上所了解的相关信息（即网络中所配置的主机及其IP地址的列表）结合在一起，那么这些信息将会变得更有价值。

在扫描网络IP的时候，请记住下面几点：

  *您可以更改这些IP地址，如果您在网络中使用了动态主机配置协议（DHCP），那么当前IP地址的列表很可能是不完整的。

  *一次扫描不可能获得您所需要的所有信息。

在扫描IP地址的时候，您只能识别那些处于开机状态、并且正在运行某种操作系统的主机的IP地址。

而无法识别那些关闭的系统或者处于休眠状态的系统。

因此，您通常需要进行多次扫描，以识别网络中所有有效的主机。

  *事实上，如果您可以识别一台主机，这表示它在网络中进行了配置，但无法告诉您该主机是否经过授权。

因此，您需要将这些信息与所了解的其他数据进行比较，以确保该主机在您的网络中是有效的。

nmap工具提供了在整个网络上扫描主机的功能。

它还可以识别哪些主机是可以访问的、它们的IP和MAC地址，并扫描和检查已打开的端口、所使用的协议和主机操作系统。

要执行类似基本的ping测试，并识别网络中配置的所有主机，可以使用-sP命令行选项，并提供您希望扫描的IP地址规范。

这个IP地址规范支持各种不同的格式，包括IP地址和子网掩码、网络规范、甚至IP地址范围。

例如，要扫描192.168.0.0网络中的所有主机，您可以使用清单1中的命令。

清单1.扫描192.168.0.0网络中的所有主机

1.$nmap-sP192.168.0.0/24

2.

3.StartingNmap4.20（http:

//insecure.org）at2007-10-1419:

15GMT

4.Hostgendarme.mcslp.pri（192.168.0.1）appearstobeup.

5.MACAddress:

00:

0F:

B5:

30:

42:

60（Netgear）

6.Host192.168.0.31appearstobeup.

7.MACAddress:

00:

02:

11:

90:

15:

31（NatureWorldwideTechnology）

8.Host192.168.0.50appearstobeup.

9.MACAddress:

00:

61:

CA:

28:

0C:

23（Unknown）

10.Host192.168.0.66appearstobeup.

11.MACAddress:

00:

08:

7B:

05:

D1:

52（RTXTelecomA/S）

12.Host192.168.0.68appearstobeup.

13.MACAddress:

00:

18:

4D:

59:

AB:

B5（Netgear）

14.Host192.168.0.101appearstobeup.

15.MACAddress:

00:

16:

CB:

A0:

3B:

CB（AppleComputer）

16.Host192.168.0.103appearstobeup.

17.MACAddress:

00:

0D:

93:

4E:

61:

2A（AppleComputer）

18.Hostnautilus.mcslp.pri（192.168.0.108）appearstobeup.

19.MACAddress:

00:

16:

CB:

8F:

04:

0B（AppleComputer）

20.Hostnarcissus.mcslp.pri（192.168.0.110）appearstobeup.

21.MACAddress:

00:

16:

CB:

85:

2D:

15（AppleComputer）

22.Hostairong.wireless.mcslp.pri（192.168.0.210）appearstobeup.

23.MACAddress:

00:

0F:

B5:

0D:

82:

FC（Netgear）

24.Hostgentoo2.vm.mcslp.pri（192.168.0.230）appearstobeup.

25.Nmapfinished:

256IPaddresses（11hostsup）scannedin20.758seconds

复制代码

该输出为您提供了一份非常详细的列表，其中列出了所发现的主机、注册的IP和MAC地址，以及可能的主机提供商的简要确定信息。

因为向不同的制造商分配了不同的MAC地址块，所以您可以获得这个信息。

这个信息所不能告诉您的是，这些主机正在侦听哪些端口。

侦听端口可以告诉您该主机正在使用何种通信协议，如果您对该主机的情况并不了解，那么它可以告诉您该主机正在执行的操作，以便您能够识别这台主机。

扫描端口

当一台计算机正在运行某个特定的服务（例如，Web服务器、电子邮件服务器或者对等服务）时，该计算机必定会侦听某个特定的端口。

其中有一些端口是众所周知的（例如，端口80用于HTTP）。

您可以对所检查的所有主机、或者单个主机进行端口扫描。

例如，如果针对某台主机执行一次端口扫描，那么您就可以很清楚地了解到这台计算机正在进行什么样的操作。

清单2中显示了对服务器的端口的扫描。

清单2.扫描服务器的端口

1.$nmap-sTnarcissus

2.

3.StartingNmap4.20（http:

//insecure.org）at2007-10-1419:

45GMT

4.Interestingportsonnarcissus.mcslp.pri（192.168.0.110）:

5.Notshown:

1674closedports

6.PORT    STATESERVICE

7.21/tcp  open  ftp

8.22/tcp  open  ssh

9.25/tcp  open  smtp

10.53/tcp  open  domain

11.80/tcp  open  http

12.106/tcp  open  pop3pw

13.110/tcp  open  pop3

14.111/tcp  open  rpcbind

15.143/tcp  open  imap

16.311/tcp  open  asip-webadmin

17.389/tcp  open  ldap

18.427/tcp  open  svrloc

19.443/tcp  open  https

20.548/tcp  open  afpovertcp

21.625/tcp  open  unknown

22.749/tcp  open  kerberos-adm

23.1011/tcpopen  unknown

24.1014/tcpopen  unknown

25.1015/tcpopen  unknown

26.2049/tcpopen  nfs

27.3306/tcpopen  mysql

28.3689/tcpopen  rendezvous

29.5900/tcpopen  vnc

30.MACAddress:

00:

16:

CB:

85:

2D:

15（AppleComputer）

31.

32.Nmapfinished:

1IPaddress（1hostup）scannedin22.399seconds

复制代码

该扫描的输出仅显示了活动的传输控制协议（TCP）和IP端口。

如果您还希望扫描用户数据报协议（UDP）端口，那么您必须指定-sU选项，如清单3中所示。

清单3.指定-sU选项

1.$nmap-sU-sTnarcissus

2.

3.StartingNmap4.20（http:

//insecure.org）at2007-10-1420:

05GMT

4.Interestingportsonnarcissus.mcslp.pri（192.168.0.110）:

5.Notshown:

3150closedports

6.PORT    STATE      SERVICE

7.21/tcp  open      ftp

8.22/tcp  open      ssh

9.25/tcp  open      smtp

10.53/tcp  open      domain

11.80/tcp  open      http

12.106/tcp  open      pop3pw

13.110/tcp  open      pop3

14.111/tcp  open      rpcbind

15.143/tcp  open      imap

16.311/tcp  open      asip-webadmin

17.389/tcp  open      ldap

18.427/tcp  open      svrloc

19.443/tcp  open      https

20.548/tcp  open      afpovertcp

21.625/tcp  open      unknown

22.749/tcp  open      kerberos-adm

23.1011/tcpopen      unknown

24.1014/tcpopen      unknown

25.1015/tcpopen      unknown

26.2049/tcpopen      nfs

27.3306/tcpopen      mysql

28.3689/tcpopen      rendezvous

29.5900/tcpopen      vnc

30.53/udp  open|filtereddomain

31.67/udp  open|filtereddhcps

32.88/udp  open|filteredkerberos-sec

33.111/udp  open|filteredrpcbind

34.123/udp  open|filteredntp

35.427/udp  open|filteredsvrloc

36.464/udp  open      kpasswd5

37.989/udp  open|filteredunknown

38.990/udp  open|filteredunknown

39.1008/udpopen|filteredufsd

40.1021/udpopen|filteredunknown

41.5353/udpopen|filteredzeroconf

42.MACAddress:

00:

16:

CB:

85:

2D:

15（AppleComputer）

43.

44.Nmapfinished:

1IPaddress（1hostup）scannedin78.605seconds

复制代码

您可以对网络中所有的主机重复这个过程。

记录相关信息

如前所述，如果只进行一次扫描，那么主机或者端口扫描信息仅在执行该次扫描的时候是有用的。

主机可能会关闭，某些服务可能暂时无法使用，并且在一个非常繁忙的网络中，扫描数据包可能根本无法通过。

您应该定时进行扫描，然后比较（甚至组合）多次扫描所得到的输出。

要完成这项任务，最简单的方法是运行nmap，记录其输出，然后使用像diff这样的工具，以便对输出信息进行比较，并报告其中的更改。

您可以在清单4中看到相关的示例，其中对同一台主机两次执行nmap所得到的输出进行了比较。

清单4.对同一台主机两次执行nmap所得到的输出进行比较

1.$diffnarcissus.20070526narcissus.20070924

2.26c26

3.<2049/tcpopen    nfs

4.---

5.>3306/tcpopen    mysql

6.27a28

7.>5900/tcpopen    vnc

复制代码

其中的行以“<”或者“>”开头，这表示不同的行属于哪个文件。

在这个示例中，您可以看到，在第一个文件中出现了网络文件系统（NFS）协议，在第二个文件中则没有出现，而在后面一次扫描期间，mysql和vnc端口都处于打开状态。

扫描原始数据包

对于查找IP主机和开放的主机，nmap工具是非常合适的；然而，nmap无法告诉您网络中实际传输的内容。

捕获原始数据包，使您能够了解哪些主机正在与给定的主机进行通信、正在交换什么信息，以及正在使用哪些信息。

您可以获得原始数据包信息，并找出正使用正确的设置进行传输的信息（例如，哪些用户正从哪些主机上登录到某台特定的邮件服务器）。

您甚至可以使用它来识别在某个未经标识的端口上所交换的数据的类型。

如果您希望扫描经过网络传输的原始数据信息，那么您需要使用一种其他工具，而不是nmap，因为它只能扫描主机和端口。

有许多不同的工具可供使用，包括不同操作系统所附带的工具和第三方解决方案。

有关这些内容的示例，请参见参考资料部分。

在AIX中，您可以使用iptrace工具来扫描网络。

在Solaris中，snoop工具可以执行类似的操作，像Ethereal这样的第三方工具也提供了扫描功能。

每种工具都使用了相同的前提。

例如，对于以太网来说，网络标准数据包将发送到所有的物理端口，并且通过扫描通过网络传输的所有数据包，您可以检查其中的内容。

使用以太网交换机，不会将数据包发送到所有端口，但是许多最新的交换机都提供了一个管理端口，该端口会将信息发送到所有的端口。

即使在交换的网络中，通过对您所希望研究的主机运行数据包扫描工具，您就可以获得一些有价值的信息。

虽然使用这些工具的方法以及它们所能够提供的信息稍有差别，但是其基本原理都是相同的。

对于AIX，iptrace是一个后台守护进程，因此您必须启动和停止该工具，以便对进程状态进行切换。

例如，要启动这个守护进程，可以键入下面的内容：

1.#startsrc-siptrace-a"-itr0/home/user/iptrace/log1"

复制代码

要停止这个守护进程，可以键入下面的内容：

1.#stopsrc-siptrace

复制代码

在Solaris中，您可以根据需要运行snoop工具：

1.#snoop

复制代码

因为通过网络传输的数据量可能非常大，所以您可以通过限定希望扫描的主机、端口或者协议，选择仅获取一组有限的信息。

例如，要仅检查往返于特定主机的交换数据，可以尝试下面的操作：

1.#snoopnarcissus

复制代码

而且，因为大多数显示设备都不可能跟上原始数据信息的显示速度，所以最好将这些信息直接导出到文件中：

#snoop-o/tmp/netdatanarcissus.mcslp.pri

要从文件中读取这些信息，可以使用-i命令行选项，以指定输入源文件：

1.#snoop-v-i/tmp/netdata

复制代码

在上面的示例中，已经切换到了详细模式，这将确保记录原始数据包的全部内容，而不仅仅是snoop在缺省情况下所提供的摘要信息。

当您查看原始数据的时候，snoop可以自动地为您格式化并解析数据包的内容，甚至深入到每个协议级别。

例如，清单5显示了在NFS数据交换期间的输出。

清单5.在NFS数据交换期间的输出

ETHER:

  -----EtherHeader-----

ETHER:

ETHER:

  Packet31arrivedat10:

00:

2.70371

ETHER:

  Packetsize=174bytes

ETHER:

  Destination=0:

2:

11:

90:

15:

31, 

ETHER:

  Source    =0:

16:

cb:

85:

2d:

15, 

ETHER:

  Ethertype=0800（IP）

ETHER:

IP:

  -----IPHeader-----

IP:

IP:

  Version=4

IP:

  Headerlength=20bytes

IP:

  Typeofservice=0x00

IP:

      xxx.....=0（precedence）

IP:

      ...0....=normaldelay

IP:

      ....0...=normalthroughput

IP:

      .....0..=normalreliability

IP:

      ......0.=notECNcapabletransport

IP:

      .......0=noECNcongestionexperienced

IP:

  Totallength=160bytes

IP:

  Identification=14053

IP:

  Flags=0x4

IP:

      .1......=donotfragment

IP:

      ..0.....=lastfragment

IP:

  Fragmentoffset=0bytes

IP:

  Timetolive=64seconds/hops

IP:

  Protocol=6（TCP）

IP:

  Headerchecksum=8195

IP:

  Sourceaddress=192.168.0.110,narcissus.mcslp.pri

IP:

  Destinationaddress=192.168.0.31,ultra3

IP:

  Nooptions

IP:

TCP:

  -----TCPHeader-----

TCP:

TCP:

  Sourceport=2049

TCP:

  Destinationport=1022（SunRPC）

TCP:

  Sequencenumber=1812746020

TCP:

  Acknowledgementnumber=1237063652

TCP:

  Dataoffset=20bytes

TCP:

  Flags=0x18

TCP:

      0.......=NoECNcongestionwindowreduced

TCP:

      .0......=NoECNecho

TCP:

      ..0.....=Nourgentpointer

TCP:

      ...1....=Acknowledgement

TCP:

      ....1...=Push

TCP:

      .....0..=Noreset

TCP:

      ......0.=NoSyn

TCP:

      .......0=NoFin

TCP:

  Window=65535

TCP:

  Checksum=0x48da

TCP:

  Urgentpointer=0

TCP:

  Nooptions

TCP:

RPC:

  -----SUNRPCHeader-----

RPC:

RPC:

  RecordMark:

lastfragment,length=116

RPC: