Nmap 摘要 (ESP)

Reading time: 20 minutes

nmap -sV -sC -O -n -oA nmapscan 192.168.0.1/24

参数

要扫描的 IP

• <ip>,<net/mask>: 直接指示 IP
• -iL <ips_file>: list_IPs
• -iR <number>: 随机 IP 的数量，可以使用 --exclude <Ips> 或 --excludefile <file> 排除可能的 IP。

设备发现

默认情况下，Nmap 启动一个发现阶段，包括：-PA80 -PS443 -PE -PP

• -sL: 这不是侵入性的，它列出目标并发出 DNS 请求以解析名称。它有助于了解例如 www.prueba.es/24 所有 IP 是否都是我们的目标。
• -Pn: 不 ping。如果你知道它们都是活动的，这很有用（如果不是，你可能会浪费很多时间，但这个选项也会产生错误的负面结果，表示它们不活跃），它会阻止发现阶段。
• -sn : 不端口扫描。完成侦察阶段后，不扫描端口。它相对隐蔽，并允许小规模网络扫描。具有权限时，它向 80 发送 ACK (-PA)，向 443 发送 SYN(-PS) 和回声请求以及时间戳请求，若没有权限则始终完成连接。如果目标是网络，它仅使用 ARP(-PR)。如果与其他选项一起使用，则仅丢弃其他选项的数据包。
• -PR: Ping ARP。在分析我们网络中的计算机时默认使用，它比使用 ping 更快。如果不想使用 ARP 数据包，请使用 --send-ip。
• -PS <ports>: 向端口发送 SYN 数据包，如果回应 SYN/ACK 则表示开放（回应 RST 以避免结束连接），如果回应 RST 则表示关闭，如果没有回应则表示不可达。如果没有权限，则自动使用完全连接。如果未给出端口，则默认为 80。
• -PA <ports>: 与前一个相似，但使用 ACK，结合使用可以获得更好的结果。
• -PU <ports>: 目标相反，发送到预期关闭的端口。一些防火墙仅检查 TCP 连接。如果关闭，则回应端口不可达，如果回应其他 ICMP 或没有回应，则视为目标不可达。
• -PE, -PP, -PM : ICMP PINGS: 回声回复、时间戳和地址掩码。它们被发出以确定目标是否活跃。
• -PY<ports>: 默认向 80 发送 SCTP INIT 探测，回应可以是 INIT-ACK（开放）、ABORT（关闭）或无回应或 ICMP 不可达（不活跃）。
• -PO <protocols>: 在报头中指示协议，默认 1（ICMP）、2（IGMP）和 4（封装 IP）。对于 ICMP、IGMP、TCP（6）和 UDP（17）协议，发送协议报头，对于其他协议仅发送 IP 报头。这样做的目的是由于报头的畸形，回应协议不可达或同协议的回应，以了解其是否活跃。
• -n: 不使用 DNS
• -R: 始终使用 DNS

端口扫描技术

• -sS: 不完成连接，因此不会留下痕迹，如果可以使用，非常好。（需要权限）这是默认使用的。
• -sT: 完成连接，因此会留下痕迹，但可以确保使用。默认情况下没有权限。
• -sU: 较慢，针对 UDP。主要是：DNS（53）、SNMP（161,162）、DHCP（67 和 68），（-sU53,161,162,67,68）：开放（回应）、关闭（端口不可达）、过滤（其他 ICMP）、开放/过滤（无回应）。在开放/过滤的情况下，-sV 发送大量请求以检测 nmap 支持的任何版本，并可以检测真实状态。这样会大大增加时间。
• -sY: SCTP 协议未能建立连接，因此没有日志，工作方式类似于 -PY
• -sN,-sX,-sF: Null、Fin、Xmas，可以穿透某些防火墙并提取信息。它们基于标准合规机器应对所有没有 SYN、RST 或 ACK 的请求回应 RST 的事实，延迟：开放/过滤（无回应）、关闭（RST）、过滤（ICMP 不可达）。在 Windows、Cisco、BSDI 和 OS/400 上不可靠。在 Unix 上是可以的。
• -sM: Maimon 扫描：发送 FIN 和 ACK 标志，适用于 BSD，目前将所有返回为关闭。
• -sA, sW: ACK 和窗口，用于检测防火墙，以了解端口是否被过滤。-sW 确实区分开放/关闭，因为开放的回应具有不同的窗口值：开放（RST 窗口不为 0）、关闭（RST 窗口 = 0）、过滤（ICMP 不可达或无回应）。并非所有计算机都以这种方式工作，因此如果全部关闭，则不工作；如果有几个开放，则工作正常；如果有很多开放和少量关闭，则工作方式相反。
• -sI: Idle 扫描。对于存在活动防火墙但我们知道它不过滤特定 IP 的情况（或当我们只是想要匿名时），可以使用僵尸扫描器（适用于所有端口），要查找可能的僵尸，可以使用脚本 ipidseq 或利用辅助扫描器 auxiliary/scanner/ip/ipidseq。该扫描器基于 IP 数据包的 IPID 编号。
• --badsum: 发送错误的和，计算机会丢弃数据包，但防火墙可能会回应某些内容，用于检测防火墙。
• -sZ: "奇怪"的 SCTP 扫描器，当发送带有 cookie 回声片段的探测时，如果开放则应被丢弃，如果关闭则应回应 ABORT。它可以穿透 init 无法穿透的防火墙，坏处是它无法区分过滤和开放。
• -sO: 协议 IP 扫描。发送错误和空报头，有时甚至无法区分协议。如果 ICMP 不可达协议到达，则表示关闭；如果不可达端口到达，则表示开放；如果到达其他错误，则表示过滤；如果没有到达，则表示开放|过滤。
• -b <server>: FTPhost--> 用于从另一台主机扫描主机，通过连接另一台机器的 ftp 并请求其将文件发送到要从另一台机器扫描的端口，根据回应我们将知道它们是否开放。 [<user>:<password>@]<server>[:<port>]几乎所有 ftps 服务器不再允许这样做，因此实用性不大。

重点分析

-p: 用于指定要扫描的端口。要选择所有 65,335 个端口：-p- 或 -p all。Nmap 有一个基于流行度的内部分类。默认情况下，它使用前 1000 个端口。使用 -F（快速扫描）分析前 100 个。使用 --top-ports 分析该数量的前端口（从 1 到 65,335）。它以随机顺序检查端口；要防止这种情况，请使用 -r。我们还可以选择特定端口：20-30,80,443,1024-（后者表示从 1024 开始查找）。我们还可以按协议对端口进行分组：U:53,T:21-25,80,139,S:9。我们还可以选择 Nmap 流行端口中的范围：-p [-1024] 分析到 1024 端口的所有端口，这些端口包含在 nmap-services 中。--port-ratio 分析在 0 到 1 之间的比率内最常见的端口。

-sV 版本扫描，强度可以从 0 调整到 9，默认是 7。

--version-intensity 我们调节强度，越低只会发出最可能的探测，但不是全部。这样可以大大缩短 UDP 扫描时间。

-O 操作系统检测。

--osscan-limit 为了正确扫描主机，至少需要一个开放端口和一个关闭端口。如果未满足此条件且我们设置了此选项，则不会尝试 OS 预测（节省时间）。

--osscan-guess 当操作系统检测不完美时，这会使其更加努力。

脚本

--script |||[,...]

要使用默认脚本，请使用 -sC 或 --script=default。

可用类型有：auth、broadcast、default、discovery、dos、exploit、external、fuzzer、intrusive、malware、safe、version 和 vuln。

• Auth: 执行所有可用的身份验证脚本。
• Default: 执行基本的默认工具脚本。
• Discovery: 从目标或受害者处检索信息。
• External: 使用外部资源的脚本。
• Intrusive: 使用被认为对受害者或目标具有侵入性的脚本。
• Malware: 检查恶意代码或后门打开的连接。
• Safe: 执行非侵入性脚本。
• Vuln: 发现最常见的漏洞。
• All: 执行所有可用的 NSE 扩展脚本。

要搜索脚本：

nmap --script-help="http-*" -> 以 http- 开头的那些

nmap --script-help="not intrusive" -> 除了那些

nmap --script-help="default or safe" -> 其中任何一个或两个的那些

nmap --script-help="default and safe" --> 两者都有的那些

nmap --script-help="(default or safe or intrusive) and not http-*"

--script-args =,={=},={,}

--script-args-file

--script-help ||||all[,...]

--script-trace ---> 提供有关脚本进展的信息。

--script-updatedb

要使用脚本，只需输入： nmap --script Script_Name target --> 使用脚本时，脚本和扫描器都会执行，因此也可以添加扫描器选项。我们可以添加 "safe=1" 以仅执行安全的脚本。

时间控制

Nmap 可以修改时间为秒、分钟、毫秒： --host-timeout 参数 900000ms、900、900s 和 15m 都是相同的。

Nmap 将要扫描的主机总数分成组，并以块的方式分析这些组，因此在所有主机都被分析之前不会移动到下一个块（用户在块分析完成之前不会收到任何更新）。这样，Nmap 使用大组更为优化。默认情况下，在 C 类中，它使用 256。

这可以通过 --min-hostgroup ; --max-hostgroup （调整并行扫描组大小）来更改。

您可以控制并行扫描器的数量，但最好不要这样做（Nmap 已根据网络状态自动控制）：--min-parallelism ; --max-parallelism 。

我们可以修改 RTT 超时，但通常没有必要：--min-rtt-timeout , --max-rtt-timeout , --initial-rtt-timeout 。

我们可以修改尝试次数：--max-retries 。

我们可以修改主机的扫描时间：--host-timeout 。

我们可以修改每次测试之间的时间以减慢速度：--scan-delay ; --max-scan-delay 。

我们可以修改每秒的数据包数量：--min-rate ; --max-rate 。

许多端口在被过滤或关闭时响应时间较长。如果我们只对开放端口感兴趣，可以通过以下方式加快速度：--defeat-rst-ratelimit。

要定义 Nmap 的攻击性：-T paranoid|sneaky|polite|normal|aggressive|insane。

-T (0-1)

-T0 --> 仅扫描 1 个端口，并在下一个端口之前等待 5 分钟。

-T1 和 T2 --> 非常相似，但在每次测试之间仅等待 15 和 0.4 秒。

-T3 --> 默认操作，包括并行扫描。

-T4 --> --max-rtt-timeout 1250ms --min-rtt-timeout 100ms --initial-rtt-timeout 500ms --max-retries 6 --max-scan-delay 10ms。

-T5 --> --max-rtt-timeout 300ms --min-rtt-timeout 50ms --initial-rtt-timeout 250ms --max-retries 2 --host-timeout 15m --max-scan-delay 5ms。

防火墙/IDS

它们不允许访问端口并分析数据包。

-f 用于分割数据包，默认将其分割为 8 字节，位于报头之后，要指定该大小，我们使用 ..mtu（使用此选项时，不要使用 -f），偏移量必须是 8 的倍数。版本扫描器和脚本不支持分片。

-D decoy1,decoy2,ME Nmap 发送扫描器，但使用其他 IP 地址作为来源，这样可以隐藏你。如果在列表中放入 ME，Nmap 会将你放在那里，最好在你之前放 5 或 6 个以完全掩盖你。可以使用 RND: 生成随机 IP。生成 个随机 IP。它们在没有连接的 TCP 版本检测器中不起作用。如果你在网络内部，使用活动 IP 会更有利，因为否则很容易发现你是唯一的活动者。

要使用随机 IP：nmap -D RND:10 Target_IP。

-S IP 当 Nmap 无法捕获你的 IP 地址时，你必须使用此选项提供它。也用于让他们认为另一个目标正在扫描他们。

-e 用于选择接口。

许多管理员为所有内容开放入口端口，以便一切正常工作，这比寻找其他解决方案更容易。这些可以是 DNS 端口或 FTP 端口...要找到此漏洞，Nmap 包含：--source-port ;-g 它们是等效的。

--data 发送十六进制文本：--data 0xdeadbeef 和 --data \xCA\xFE\x09。

--data-string 发送普通文本：--data-string "由安全操作进行的扫描，分机 7192"。

--data-length Nmap 仅发送报头，通过此选项我们可以添加更多字节（将随机生成）。

要完全配置 IP 数据包，请使用 --ip-options。

如果希望查看发送和接收的数据包中的选项，请指定 --packet-trace。有关使用 IP 选项与 Nmap 的更多信息和示例，请参见 http://seclists.org/nmap-dev/2006/q3/52。

--ttl 。

--randomize-hosts 使攻击不那么明显。

--spoof-mac <MAC address, prefix, or vendor name> 更改 MAC 示例：Apple、0、01:02:03:04:05:06、deadbeefcafe、0020F2 和 Cisco。

--proxies 使用代理，有时代理不会保持与 Nmap 想要的那么多开放连接，因此需要修改并行性：--max-parallelism。

-sP 通过 ARP 发现我们网络中的主机。

许多管理员创建防火墙规则，允许来自特定端口的所有数据包通过（如 20、53 和 67），我们可以告诉 Nmap 从这些端口发送我们的数据包：nmap --source-port 53 IP。

输出

-oN file 正常输出。

-oX file XML 输出。

-oS file 脚本小子输出。

-oG file 可抓取输出。

-oA file 除 -oS 外的所有输出。

-v level 详细程度。

-d level 调试。

--reason 主机和状态的原因。

--stats-every time 每次告诉我们进展如何。

--packet-trace 查看哪些数据包出去，可以指定过滤器，如：--version-trace 或 --script-trace。

--open 显示开放、开放|过滤和未过滤。

--resume file 输出摘要。

其他

-6 允许 IPv6。

-A 等同于 -O -sV -sC --traceroute。

运行时

在 Nmap 运行时，我们可以更改选项：

v / V 增加 / 减少详细程度。

d / D 增加 / 减少调试级别。

p / P 开启 / 关闭数据包跟踪。

? 打印运行时交互帮助屏幕。

Vulscan

Nmap 脚本查看在离线数据库中获得的服务版本（从其他非常重要的地方下载）并返回可能的漏洞。

它使用的数据库有：

1. Scipvuldb.csv | http://www.scip.ch/en/?vuldb
2. Cve.csv | http://cve.mitre.org
3. Osvdb.csv | http://www.osvdb.org
4. Securityfocus.csv | http://www.securityfocus.com/bid/
5. Securitytracker.csv | http://www.securitytracker.com
6. Xforce.csv | http://xforce.iss.net
7. Exploitdb.csv | http://www.exploit-db.com
8. Openvas.csv | http://www.openvas.org

要下载并安装在 Nmap 文件夹中：

wget http://www.computec.ch/projekte/vulscan/download/nmap_nse_vulscan-2.0.tar.gz && tar -czvf nmap_nse_vulscan-2.0.tar.gz vulscan/ && sudo cp -r vulscan/ /usr/share/nmap/scripts/

您还需要下载数据库包并将其添加到 /usr/share/nmap/scripts/vulscan/。

用法：

要使用所有：sudo nmap -sV --script=vulscan HOST_TO_SCAN。

要使用特定数据库：sudo nmap -sV --script=vulscan --script-args vulscandb=cve.csv HOST_TO_SCAN。

加速 Nmap 服务扫描 x16

根据 这篇文章，您可以通过将 /usr/share/nmap/nmap-service-probes 中的所有 totalwaitms 值修改为 300 和 tcpwrappedms 修改为 200 来加速 nmap 服务分析。

此外，未特别定义 servicewaitms 的探测使用默认值 5000。因此，我们可以为每个探测添加值，或者我们可以 自己编译 nmap 并在 service_scan.h 中更改默认值。

如果您不想在 /usr/share/nmap/nmap-service-probes 文件中更改 totalwaitms 和 tcpwrappedms 的值，可以编辑 解析代码，使得 nmap-service-probes 文件中的这些值被完全忽略。