kali中nmap详解很详细.docx
- 文档编号:9340185
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:17
- 大小:27.32KB
kali中nmap详解很详细.docx
《kali中nmap详解很详细.docx》由会员分享,可在线阅读,更多相关《kali中nmap详解很详细.docx(17页珍藏版)》请在冰豆网上搜索。
kali中nmap详解很详细
Nmap——networkmapper,网络探测工具和安全/端口扫描器
nmap[扫描类型…][选项][扫描目标说明]
Usage:
nmap [Scan Type(s)] [Options] {target specification}
TARGET SPECIFICATION:
Can pass hostnames, IP addresses, networks, etc.
Ex:
scanme.nmap.org, 192.168.0.1; 10.0-255.0-255.1-254
-iL
Input from list of hosts/networks
-iR
Choose random targets
--exclude
Exclude hosts/networks
--excludefile
Exclude list from file
HOST DISCOVERY:
-sL:
List Scan - simply list targets to scan
-sP:
Ping Scan - go no further than determining if host is online
-P0:
Treat all hosts as online -- skip host discovery
-PS/PA/PU [portlist]:
TCP SYN/ACK or UDP discovery probes to given ports
-PE/PP/PM:
ICMP echo, timestamp, and netmask request discovery probes
-n/-R:
Never do DNS resolution/Always resolve [default:
sometimes resolve]
SCAN TECHNIQUES:
-sS/sT/sA/sW/sM:
TCP SYN/Connect()/ACK/Window/Maimon scans
-sN/sF/sX:
TCP Null, FIN, and Xmas scans
--scanflags
Customize TCP scan flags
-sI probeport]>: Idlescan -sO: IP protocol scan -b FTP bounce scan PORT SPECIFICATION AND SCAN ORDER: -p Only scan specified ports Ex: -p22; -p1-65535; -p U: 53,111,137,T: 21-25,80,139,8080 -F: Fast - Scan only the ports listed in the nmap-services file) -r: Scan ports consecutively - don't randomize SERVICE/VERSION DETECTION: -sV: Probe open ports to determine service/version info --version-light: Limit to most likely probes for faster identification --version-all: Try every single probe for version detection --version-trace: Show detailed version scan activity (for debugging) OS DETECTION: -O: Enable OS detection --osscan-limit: Limit OS detection to promising targets --osscan-guess: Guess OS more aggressively TIMING AND PERFORMANCE: -T[0-6]: Set timing template (higher is faster) --min-hostgroup/max-hostgroup Parallel host scan group sizes --min-parallelism/max-parallelism Probe parallelization --min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout Specifies probe round trip time. --host-timeout Give up on target after this long --scan-delay/--max-scan-delay Adjust delay between probes FIREWALL/IDS EVASION AND SPOOFING: -f; --mtu fragment packets (optionally w/given MTU) -D Cloak a scan with decoys -S Spoof source address -e Use specified interface -g/--source-port Use given port number --data-length Append random data to sent packets --ttl Set IP time-to-live field --spoof-mac Spoof your MAC address OUTPUT: -oN/-oX/-oS/-oG Output scan results in normal, XML, s| and Grepable format, respectively, to the given filename. -oA Output in the three major formats at once -v: Increase verbosity level (use twice for more effect) -d[level]: Set or increase debugging level (Up to 9 is meaningful) --packet-trace: Show all packets sent and received --iflist: Print host interfaces and routes (for debugging) --append-output: Append to rather than clobber specified output files --resume Resume an aborted scan --stylesheet XSL stylesheet to transform XML output to HTML --no-stylesheet: Prevent Nmap from associating XSL stylesheet w/XML output MISC: -6: Enable IPv6 scanning -A: Enables OS detection and Version detection --datadir Specify custom Nmap data file location --send-eth/--send-ip: Send packets using raw ethernet frames or IP packets --privileged: Assume that the user is fully privileged -V: Print version number -h: Print this help summary page. EXAMPLES: nmap -v -A scanme.nmap.org nmap -v -sP 192.168.0.0/16 10.0.0.0/8 nmap -v -iR 10000 -P0 -p 80 目标说明: 1) CIDR风格地址,附加一个/ 2) 可以对IP的各个段使用范围列表来指定扫描对象,即0-255.0-255.0-255.0-255;或使用逗号隔开,即192.168.1.1,3,5 3) IPv6地址只能用规范的IPv6地址或主机名指定,上面两种方式对IPv6都不支持 4) 接受多个主机说明,不必是相同类型 5) -iL 从列表中输入 6) -iR 随机选择目标,hostnum表示目标数目,0意味着永无休止的扫描 7) --exclude 8) --excludefile 主机发现 发送探测包到目标追究,若收到回复,则说明目标主机是开启的。 Nmap支持十多种不同的主机探测方式;默认发送四种 a) ICMPechorequest b) aTCPSYNpackettoport443 c) aTCPACKpackettoport80 d) anICMPtimestamprequest 参数形式 l -sL: ListScan列表扫描,仅将指定的目标IP列举出来,不进行主机发现 l -sP: PingScan只利用ping扫描进行主机发现,不进行端口扫描 n 默认情况下发送ICMP回声请求和一个TCP报文到80端口,非特权用户发送一个SYN报文到80端口 n 可以和除-P0之外的任何发现探测类型-P*选项结合使用以达到更高的灵活性 l -Pn/-P0: 将所有指定的主机视作开启的,跳过主机发现的过程 l -PS[portlist]: TCPSYNPing,发送一个设置了SYN标志位的空TCP报文 n 默认端口为80(可设置),也可指定端口 n 目标主机端口关闭,回复RST,端口开放,则回复SYN/ACK,但都表明目标主机在线 n UNIX机器上,只有特权用户才能发送和接收原始的TCP报文,因此非特权用户进行系统调用connect(),也发送一个SYN报文来尝试建立连接 l -PA[portlist]: TCPACKping,发送一个设置了ACK标志位的TCP报文 n 默认端口为80(可设置),也可指定端口 n 目标主机在线,回复RST,不在线则超时 n UNIX机器上,只有特权用户才能发送和接收原始的TCP报文,因此非特权用户进行系统调用connect(),也发送一个SYN报文来尝试建立连接 l -PU[portlist]: UDPPing,发送一个空的UDP报文到指定的端口, n 默认短裤为31338(可设置) n 优势是可以穿越只过滤TCP的防火墙或过滤器 n 若端口关闭,则回复ICMP端口无法到达,说明主机在线;其他类型的ICMP错误如主机/网络无法到达或者TTL超时则表示主机不在线;没有回应也被这样解释,但不一定正确(因为大多数开放该端口的服务会忽略该UDP报文) l -PE;-PP;-PM: ICMPPingTypes,发送ICMPType8(回声请求)报文,期待从运行的主机得到一个type0(回声相应)报文 l -PR: ARPPing l -n: 不用域名解析,加快扫描速度 l -R: 为所有目标IP地址作反向域名解析 l --system-dns: 使用系统域名解析器,一般不使用该选项,因为比较慢 端口扫描 1) Nmap将端口分成六个状态 a) open(开放的): 该端口正在接收TCP连接或者UDP报文 b) closed(关闭的): 关闭的端口接收nmap的探测报文并做出响应 c) filtered(被过滤的): 探测报文被包过滤阻止无法到达端口,nmap无法确定端口的开放情况 d) unfiltered(未被过滤的): 端口可访问,但nmap仍无法确定端口的开放情况 e) open|filtered(开放或者被过滤的): 无法确定端口是开放的还是被过滤的 f) closed|filtered(关闭或者被过滤的): 无法确定端口是关闭的还是被过滤的 2) Nmap产生结果是基于目标机器的响应报文的,而这些主机可能是不可信任的,会产生迷惑或者误导nmap的报文,更普遍的是非RFC兼容的主机以不正确的方式响应nmap探测,FIN/NULL和Xmas扫描特容易遇到这些问题 3) Nmap支持十几种扫描技术,默认情况下执行一个SYN扫描(没有权限或者扫描IPv6不可用时TCPConnect());一般一次只用一种方法,除了UDP扫描(-sU)可能和任何一种TCP扫描结合使用;一般格式是-s a) –sS: TCPSYN扫描,半开放扫描,扫描速度快,不易被注意到(不完成TCP连接);且能明确区分open|closed|filtered i. Open SYN/ACK ii. Closed RST复位 iii. Filtered 数次重发没响应,或者收到ICMP不可达 b) –sT: TCPConnect(),建立连接,容易被记录;对原始报文控制少,效率低 c) –sU: 激活UDP扫描,对UDP服务进行扫描,如DNS/SNMP/DHCP等,可以和TCP扫描结合使用;但是效率低下,开放的和被过滤的端口很少响应,加速UDP扫描的方法包括并发扫描更多的主机,先只对主要端口进行快速扫描,从防火墙后面扫描,使用--host-timeout跳过慢速的主机 d) –sN;-sF;-sX: TCPNull,Fin,Xmas扫描,从RFC挖掘的微妙方法来区分开放关闭端口;除了探测报文的标志位不同,三种扫描在行为上一致 i. 优势: 能躲过一些无状态防火墙和报文过滤路由器,比SYN还要隐秘 ii. 劣势: 现代的IDS产品可以发现,并非所有的系统严格遵循RFC793 e) –sA: TCPACK扫描,只设置ACK标志位,区分被过滤与未被过滤的 f) –sW: TCP窗口扫描,依赖于互联网上少数系统的实现细节,因此可信度不高;根据窗口大小来判断端口是开放的(正数)还是关闭的(0) g) –sM: TCPMaimon扫描,探测报文是FIN/ACK,端口开放或关闭,都对这样的报文响应RST报文,但如果端口开放,许多基于BSD的系统只是丢弃该探测报文 h) –scanflags: 通过指定任意的TCP标志位来设计扫描,可以是数字标记值,也可以使用字符名如URG/ACK/PSH/RST/SYN/FIN i) –sI probeport]>: Idlescan,利用zombie主机上已知IP分段ID序列生成算法来窥探目标上开放端口的信息,极端隐蔽,可以指定端口号,否则默认80 j) –sO: IP协议扫描,可以确定目标机支持哪些IP协议(TCP,ICMP,IGMP) k) –b FTP弹跳扫描 4) 端口说明和扫描顺序: 默认情况下,对1-1024以及nmap-services文件中列出的更高的端口在扫描 a) –p 只扫描指定的端口,单个端口和用连字符表示的端口范围都可以;当既扫描TCP端口又扫描UDP端口时,您可以通过在端口号前加上T: 或者U: 指定协议。 协议限定符一直有效您直到指定另一个。 例如,参数 -pU: 53,111,137,T: 21-25,80,139,8080 将扫描UDP端口53,111,和137,同时扫描列出的TCP端口。 注意,要既扫描UDP又扫描TCP,您必须指定 -sU ,以及至少一个TCP扫描类型(如 -sS,-sF,或者 -sT) b) –p 扫描指定的端口名称,如nmap–psmtp,http10.10.1.44 c) –pU: [UDPports],T: [TCPports]: 对指定的端口进行指定协议的扫描 d) –F: 快速扫描(仅扫描100个最常用的端口),nmap-services文件指定想要扫描的端口;可以用—datadir选项指定自己的小小nmap-services文件 e) –top-ports 扫描前number个端口 f) –r: 不要按随机顺序扫描端口,默认情况下按随机(常用的端口前移) 服务与版本探测 1) nmap-services是一个包含大约2200个著名的服务的数据库,Nmap通过查询该数据库可以报告那些端口可能对应于什么服务器,但不一定正确 2) 在用某种扫描方法发现TCP/UDP端口后,版本探测会询问这些端口,确定到底什么服务正在运行;nmap-service-probes数据库包含查询不同服务的探测报文和解析识别响应的匹配表达式;当Nmap从某个服务收到响应,但不能在数据库中找到匹配时,就打印出一个fingerprint和一个URL给您提交 3) 用下列选项打开和控制版本探测 a) –sV: 打开版本探测 b) –allports: 不为版本探测排除任何端口,默认情况下跳过9100端口 c) –version-intensity 设置版本扫描强度,范围为0-9,默认是7,强度越高,时间越长,服务越可能被正确识别 d) –version-light: 是—version-intensity2的别名 e) –version-all: 是—version-intensity9的别名 f) –version-trace: 跟踪版本扫描活动,打印出详细的关于正在进行的扫描的调试信息 g) –sR: RPC扫描,对所有被发现开放的TCP/UDP端口执行SunRPC程序NULL命令,来试图确定它们是否RPC端口,如果是,是什么程序和版本号 操作系统探测 1) 用TCP/IP协议栈fingerprinting进行远程操作系统探测,Nmap发送一系列TCP和UDP报文到远程主机,检查响应中的每一个比特。 在进行一打测试如TCPISN采样,TCP选项支持和排序,IPID采样,和初始窗口大小检查之后,Nmap把结果和数据库nmap-os-fingerprints中超过1500个已知的操作系统的fingerprints进行比较,如果有匹配,就打印出操作系统的详细信息。 每个fingerprint包括一个自由格式的关于OS的描述文本,和一个分类信息,它提供供应商名称(如Sun),下面的操作系统(如Solaris),OS版本(如10),和设备类型(通用设备,路由器,switch,游戏控制台等) 2) Nmap猜不出操作系统,则会提供一个URL让知道操作系统的用户来提交,从而扩大Nmap的操作系统知识库 3) 采用下列选项启用和控制操作系统检测 a) –O: 启用操作系统检测;-A可以同时启用操作系统检测和版本检测 b) –osscan-limit: 针对指定的目标进行操作系统检测 c) –osscan-guess|--fuzzy: 当Nmap无法确定所检测的操作系统时,会尽可能地提供最相近的匹配 时间和性能 1) Nmap开发的最高优先级是性能,但很多因素会增加扫描时间如特定的扫描选项,防火墙配置以及版本扫描灯 2) 优化时间参数 a) –min-hostgroup 调整并行扫描组的大小,用于保持组的大小在一个指定的范围之内;Nmap具有并行扫描多主机端口或版本的能力,Nmap将多个目标IP地址空间分成组,然后在同一时间对一个组进行扫描。 通常,大的组更有效。 缺点是只有当整个组扫描结束后才会提供主机的扫描结果 b) –min-parallelism 调整探测报文的并行度,用于控制主机组的探测报文数量;默认状态下,Nmap基于网络性能计算一个理想的并行度,这个值经常改变 c) --min-rtt-timeout 调整探测报文超时;Nmap基于上一个探测报文的响应时间来计算超时值,如果网络延迟比较显著和不定,这个超时值会增加几秒。 初始值的比较保守(高),而当Nmap扫描无响应的主机时,这个保守值会保持一段时间 d) –host-timeout
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- kali nmap 详解 详细