网络安全（一）：信息收集之玩转nmap（理论篇）

nmap

nmap（Network Mapper）是免费、开源的网络发现和安全审计工具，通常我们用于收集网络中的比如主机和端口等信息，从而为下一步的攻击提供突破口，制定攻击的计划。也可为网络管理员使用，从而针对性修复可能暴露的安全漏洞。

具体的功能介绍可以登录官网https://nmap.org，来获取软件包和官方教程。

• 当我们下载好nmap后在命令行中会多出这些命令：
• nmap，集成了：
  • 主机发现（Host Discovery）
  • 端口扫描（Port Scanning）
  • 版本侦测（Version Detection）
  • 操作系统侦测（Operating System Detection）
• zenmap，zenmap为nmap的图像化版本。
• ncat，可进行灵活的数据传输，重定向。
• ndiff，对比扫描结果的工具。
• nping，包生成和响应工具。

图1.Windows查看nmap提供的可执行文件

nmap命令

nmap发现的原理无非就是，发送数据包到目标主机，依据响应报文来识别已经开放的端口等信息等，属于主动攻击。

• nmap的命令基本上可以分为有“三要素”，其中扫描的目标是必选的。扫描类型默认使用-sT。

  • nmap [ <扫描类型> ...] [ <选项> ] { <扫描目标说明> }

• 可以使用-h参数或者无参数，以输出帮助信息。
• 一下介绍的主机发现、端口扫描的方式都可以排列组合来使用。

下面的篇幅较长，如果是忘记了命令，可以只看这部分即可，我在这里翻译了nmap -h原文，并做了小总结。时间宝贵，头发也宝贵呢。

Nmap 7.93 (https://nmap.org)

用法：nmap [扫描类型] [选项] {要扫描的目标}

扫描的目标：
    可以是 主机名、IP 地址、网络等。
#(可以使用逗号,指定不连续的ip段  减号-指定连续ip段  斜杠/指定掩码 星号*代表全部)
    例如：scanme.nmap.org、microsoft.com/24、192.168.0.1; 10.0.0-255.1-254
    -iL <inputfilename>：                  从文件中读取要扫描的主机列表
    -iR <主机数量>：                        选择随机目标 #0为无限生成
    --exclude <host1[,host2][,host3],...>：要排除的 主机/网络
    --excludefile <exclude_file>：         从文件中选择要排除的主机列表

主机发现：
    -sL：                   列表扫描  - 打印主机的列表(对域名进行扫描时，可以得到IP列表 )
    -sn：                   Ping 扫描，同时禁用端口扫描，用来检查主机存活状态。
    -Pn：                   禁用 Ping 扫描，默认所有主机都是存活状态
    -PS/PA/PU/PY[端口列表]：对指定的端口通过 TCP SYN/ACK、UDP 或 SCTP 扫描来发现主机
    -PE/PP/PM：             对指定的端口通过 ICMP、时间戳和网络掩码请求发现和探测主机
    -PO[协议列表]：          IP 协议 Ping
    -n/-R：                 不进行DNS解析/ 进行DNS解析 [默认]
    --dns-servers <serv1[,serv2],...>： 指定自定义 DNS 服务器
    --system-dns：                      使用操作系统的 DNS 解析器
    --traceroute：                      跟踪每个主机的跃点路径

扫描技术：
    -sS/sT/sA/sW/sM：           TCP SYN / Connect() / ACK / Window / Maimon 扫描
    -sU：                       UDP 扫描
    -sN/sF/sX：                 TCP Null、FIN 和 Xmas 扫描
    --scanflags <flags>：       自定义 TCP 扫描标志
    -sI <僵尸主机[:僵尸端口]>： 空闲扫描
    -sY/sZ：                    SCTP INIT/COOKIE-ECHO 扫描
    -sO：                       IP 协议扫描
    -b <FTP 中继主机>：          FTP 反弹扫描

指定扫描端口、扫描顺序：
    -p <端口范围>：只扫描指定的端口
        例如：-p22； -p1-65535； -p U:53,111,137,T:21-25,80,139,8080,S:9
    --exclude-ports <端口范围>：   从扫描中排除指定端口
    -F：                          快速模式。 扫描比默认扫描更少的端口
    -r：                          连续扫描端口。不要随机化，即按顺序扫描端口
    --top-ports <number>：        扫描<number>个最常用的端口
    --port-ratio <ratio>：        扫描比<ratio>更常见的端口

服务/版本检测：
    -sV：                        探测开放端口以确定服务/版本信息
    --version-intensity <level>：设置从 0（轻）到 9（尝试所有探针）
    --version-light：            限制最可能的探测（强度 2）
    --version-all：              尝试每一个探测（强度 9）
    --version-trace：            显示详细的版本扫描活动（用于调试）

脚本扫描：
    -sC：                               相当于--script=default
    --script=<Lua scripts>:             使用脚本进行扫描，多个脚本时用逗号分隔，支持通配符。
    --script-args=<n1=v1,[n2=v2,...]>： 为脚本提供参数
    --script-args-file=filename：       从文件中提供 NSE 脚本参数
    --script-trace：                    显示所有发送和接收的数据
    --script-updatedb：                 更新脚本数据库。
    --script-help=<Lua 脚本>：          显示有关脚本的帮助。

操作系统检测：
    -O：              启用操作系统检测
    --osscan-limit：  将操作系统检测限制为有希望的目标
    --osscan-guess：  更积极地猜测操作系统

时间和性能：
    默认是秒，也可以 “ms”（毫秒），'s'（秒）、'm'（分钟）或 'h'（小时）到值（例如 30m）。
    -T<0-5>：                设置时序模板（越高扫描速度越快，但是准确性降低）
    --min-hostgroup/max-hostgroup <size>：        并行主机扫描组大小
    --min-parallelism/max-parallelism &