其他Nmap技术
本文所属图书&>&
本书是一本介绍高级安全渗透测试的安全技术图书，采用步骤方式讲解了在安全环境下进行渗透测试的相关技术、工具和知识。本书分为11章，分别讲解了如何计划和界定一次成功的渗透测试，用来进行侦查以求获取信息的&&
Nmap有各种功能，它不仅仅是一个快速扫描网络的工具，还能隐蔽地扫描你的网络、找出服务的类型、映射出防火墙规则，还能配置以绕过IDS的特征检测。我们将试验Nmap提供的几个高级功能。这里使用的功能并不全面，我们仅关注那些能够帮助我们渗透安全环境的特殊功能。
网络扫描过程包括发送特殊构造的数据报文给目标主机和对返回结果进行基于某种标准的检查。基于扫描结果，你希望从中知道网络中哪台主机在线，它们都运行了哪些服务，以及这些服务的具体版本等，这些信息可用于决定使用哪种方式来有效攻击系统。我们可以使用几种方法确定这类信息，这些方法有的类似于步行在大街上高喊你的名字，而另外一些则类似于在夜晚爬行的黑影。
在一个安全网络中，你很有可能需要应对捕捉异常行为的IDS，例如：发送了多少数据包以及数据包发送的速度，流量是否异常等。防火墙一般都会标记异常的连接请求。为了减少被检测到的机会，你需要采取一些措施：
你可以使用以下Nmap选项来控制扫描时间。
●& -T（0～5）：让你能够控制扫描的激进程度。这是避免被检测到的最简单的方式。0是最温和的扫描，5是最激进的，只能在局域网中使用。这比单独设置相应的选项要简单的多，但是降低了你对扫描的控制。
●& --max-hostgroup：可将扫描的主机数量限制在一次一个。你可以将主机的数量修改为你认为合适的值，但是请注意IDS还会结合探测的数量作为检测的特征（例如：2分钟内5次探测等）。
●& --max-retries：在渗透测试中，你可能不需要修改这个选项，除非你对网络的稳定性非常了解。如果情况非常紧急并且不在乎扫描过程中可能错过一个包含潜在的主机，你可以将这个选项值设置为0。
●& -max-parallelism 10：一次仅允许10个探测请求。使用这个选项控制一次探测的数量。
●& --scan-delay允许你在两个探测之间停顿。
让我们在下面这个命令中试试其中几个选项：
# nmap -P0 -n -sS --max_hostgroup 1 --max_retries 0 --max_parallelism 10 192.168.50.0/24
转发的上限数将会下降,端口也会随之减少。当扫描结束的时候，你将知道子网192.168.50.X上有哪些主机在线。
不要在使用--scan_delay选项的同时使用--max_parallelism，因为它们相互不兼容。
尝试不同的扫描类型
这里是对192.168.50.10～192.168.75.11段某主机扫描的典型结果：
root@bt:~# nmap -T5 192.168.50.10
Starting Nmap 5.59BETA1 ( http://nmap.org ) at
Nmap scan report for 192.168.50.10
Host is up (0.0017s latency).
Not shown: 995 closed ports
STATE SERVICE
110/tcp open
443/tcp open
Nmap done: 1 IP address (1 host up) scanned in 13.19 seconds
我们可以从输出中看到这个主机开放了21、79、80、110还有443端口。
这种类型的扫描会被大多数IDS发现，即使这些IDS仅使用了默认配置。然而，网络和基于主机的防火墙默认会忽略这种流量，除非它被配置为记录所有的流量。如果你想印证各种扫描结果时，可以通过启动UFW来它打开或关闭某个端口。这个练习能够帮助你完全了解输出结果。
如果你试图扫描一个主机，该主机安装了基于主机的防火墙，并阻止访问79和21端口，你会看到类似如下的情况：
root@bt:~# nmap -T5 192.168.50.10
Starting Nmap 5.59BETA1 ( http://nmap.org ) at
Nmap scan report for 192.168.50.10
Host is up (0.0014s latency).
Not shown: 995 closed ports
PORT STATE SERVICE
21/tcp filtered ftp
79/tcp filtered finger
80/tcp open
110/tcp open
443/tcp open
Nmap done: 1 IP address (1 host up) scanned in 14.22 seconds
通过查看黑体显示的代码我们可以看到端口21和79的状态是被过滤，尽管我们不能与这个打开的端口建立连接，但我们至少知道它在目标主机上是打开的。
使用-sS选项从192.168.75.11上发起对一个完全开放的主机192.168.50.10的扫描，结果如下：
root@bt:~# nmap -sS -T5 192.168.50.10
Starting Nmap 5.59BETA1 ( http://nmap.org ) at
Nmap scan report for 192.168.50.10
Host is up (0.0019s latency).
Not shown: 995 closed ports
filtered ftp
filtered finger
110/tcp open
443/tcp open
Nmap done: 1 IP address (1 host up) scanned in 14.23 seconds
以上的例子可以看到，至少开放或者过滤了5个端口。请确保使用不同的扫描类型对目标网络进行扫描，否则你可能丢失一些信息从而导致测试结果相差很大。
如果仅选择NULL扫描，我们将会非常失望：
root@bt:~# nmap -sN -T5 192.168.50.10
Starting Nmap 5.59BETA1 ( http://nmap.org ) at
Nmap scan report for 192.168.50.10
Host is up (0.00051s latency).
All 1000 scanned ports on 192.168.50.10 are open|filtered
Nmap done: 1 IP address (1 host up) scanned in 24.24 seconds
结果告诉我们所有端口都处于 open/filtered 状态。我们可以猜测目标主机安装了防火墙，但确实不能立即从扫描结果中获取有用的信息。
由于没有从NULL扫描上获得任何信息，我们需要进行ACK扫描：
root@bt:~# nmap -sA -T5 192.168.50.10
Starting Nmap 5.59BETA1 ( http://nmap.org ) at
Nmap scan report for 192.168.50.10
Host is up (0.00059s latency).
Not shown: 999 filtered ports
443/tcp unfiltered https
Nmap done: 1 IP address (1 host up) scanned in 61.22 seconds
至少能从这次扫描中得知有一个端口没有被过滤。但如果是实际的测试，我们需要所有的已开放端口，而只不是一个！
使用不同的扫描类型可能已经引起了你的重视，但是有些时候你还需要把数据收集起来。理想状况下，开始扫描的时候选择最隐蔽的扫描类型，根据结果和收集的信息进行下一步工作。在对下一个子网段进行扫描前重复检查，特别是在你有理由相信那些有价值的端口确实是开放的,但确还没有查找出来的情况下。
推卸责任&&让僵尸扫描
由于不被检测到的几率非常小，我们需要转嫁责任，可以使用空闲扫描（idle scan），让一个僵尸主机承担我们的扫描任务。
nmap.org网站详细讲述了空闲扫描的工作原理。可以查看http://nmap. org/book/idlescan.了解idle扫描的全部信息。
使用空闲扫描（-sI）有一个重要的问题需要注意，你必须找一台TCP Sequence Prediction成功率高的僵尸主机。空闲扫描这个名字非常恰当，我们使用&替罪羊&的僵尸主机必须尽可能的空闲。业界经常推荐的网络打印机是很好的僵尸主机，因为它们不存在恒定的网络流量，而且预测它们的TCP序列难度很低。
空闲扫描的第一步是寻找可能的僵尸主机。你可以通过以下命令获得TCP序列预测率（详细、操作检测、无ping、无域名解析）：
# nmap -v -O -Pn -n 192.168.50.10
我们打算关注的输出区域如下所示。
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=195 (Good luck!)
IP ID Sequence Generation: Sequential
上面的不是很理想，但是可以当做一个僵尸主机。预测的难度越高，一台主机用作僵尸主机的可能性就越小。还有，连续生成ID可能帮助我们增加扫描的成功率。
让我们看看空闲扫描的原理。
1.&向僵尸主机发送SYN/ACK数据包，从而得到带有分片ID（IPID）的RST报文。
2.&发送使用僵尸主机IP地址的伪造数据包给目标主机。
3.&如果目标端口关闭，将会给僵尸主机响应RST报文。如果目标端口开放，目标主机将向僵尸主机响应SYN/ACK报文，僵尸主机发现这个非法的连接响应，因此向目标主机发送RST报文，这时IPID号开始增长。
4.&通过向僵尸主机发送另一个SYN/ACK以退出上述循环并检查僵尸主机RST报文中的IPID是否每次增长2，同时目标主机的RST每次增长1。
5.&重复以上步骤直到检测完主机的所有端口。
了解了僵尸主机是如何扫描的，我们会发现正确使用空闲扫描非常简单，而且对干扰&蓝帽团队成员&（安全防护专家）非常有用。
那么空闲扫描的语法是什么？这么强大的功能是不是非常复杂啊？你可能会惊讶于以下命令结构：
nmap -p 23,53,80, -Pn -sI 192.168.1.88 192.168.1.111
我们使用-p启动对已知TCP端口的扫描，我们也通过-Pn强调不使用ping（默认提供），然后启动空闲扫描（-sI），使用192.168.1.88作为僵尸主机，192.168.1.111作为目标主机。以下是对试验网络的扫描结果：
Starting Nmap 5.59BETA1 ( http://nmap.org ) at
Idle scan using zombie 192.168.1.88 (192.168.1.88:80); Class:
Incremental
Nmap scan report for 192.168.1.111
Host is up (0.036s latency).
STATE SERVICE
MAC Address: 30:46:9A:40:E0:EE (Netgear)
Nmap done: 1 IP address (1 host up) scanned in 1.18 seconds
从Wireshark可以看到在192.168.1.88和192.168.1.111之间有一些奇怪的活动（见图3.4）。
通过查看Wireshark的抓包结果，我们发现前面的Nmap命令在网络上的192.168.1.88和192.168.1.111之间产生了很多流量，我们需要这些流量来增加IPID值，通过这种方式来获知目标端口是否开放。
如何规避IDS规则
规避IDS的真正方法是了解它设置的规则，同时在实验环境中进行测试。本书将以整章的内容介绍如何规避检测。准备好花些时间理解IDS的目标是什么，使用我们已经讲述过的方法来管理扫描并避免检测。
Nmap的诱饵使用是一个非常有趣的概念。我们告诉Nmap增加发起扫描的主机，你不会从这些诱饵中获得任何响应，但是这样增加了管理员查找真正的扫描主机的难度，或者说查找哪个IP在搅混水。理想状况下，你应该在启动扫描前使用足够真实的&诱饵&，这样能够降低目标管理员的检测力度。
在扫描时使用真实的诱饵可以增大判断实际扫描主机的难度。这种真实的诱饵就是网络中在线的IP。
值得指出的是，你可以在执行各种扫描类型的时候使用诱饵，这样你可以在扫描时无所顾忌地使用各种技巧。
让我们在虚拟试验环境中测试一下：
# nmap -D192.168.75.10,192.168.75.11,192.168.75.1,ME -p 80,21,22,25,443 -Pn 192.168.75.2
Nmap中的-D开关可以让我们实施一次诱饵扫描。-D后面紧跟选择好的诱饵主机列表，这个例子中所有的诱饵主机均在线。我们还是不发Ping请求包，因此使用-Pn参数。-p后选择的端口范围是80、21、22、25和443。
ME可以用来代替输入自己主机的IP。
下面是扫描结果：
Starting Nmap 5.59BETA1 ( http://nmap.org ) at
Nmap scan report for 192.168.75.2
Host is up (0.00036s latency).
filtered ftp
filtered ssh
filtered smtp
443/tcp filtered https
MAC Address: 08:00:27:DF:92:32 (Cadmus Computer Systems)
Nmap done: 1 IP address (1 host up) scanned in 14.35 seconds
没有什么新的内容，我们再次找出了端口的开放、过滤或关闭的状态。真正的亮点出现在网络上，让我们看看网络防火墙的记录（见图3-5）。
如果你注意到源地址一栏，就会发现我们使用的诱饵主机构成了防火墙的过滤记录。只要使用足够多的诱饵主机，我们就能在短时间内产生大量的记录，从而在进行扫描时完全迷惑和延迟网络管理员的注意。
在BackTrack上使用Wireshark可以查看扫描活动。在后面的章节中，我们还将讲述如何在实验环境内添加防火墙。
您对本文章有什么意见或着疑问吗？请到您的关注和建议是我们前行的参考和动力&&
您的浏览器不支持嵌入式框架，或者当前配置为不显示嵌入式框架。}