掃瞄工具 nmap是探測網路主機和開放服務的佼佼者。是linux下使用者的最愛,現在已經有windows的版本。 nmap支援多種協議的掃瞄如udp,tcp connect,tcp syn,ftp proxy (bounce attack),reverse-ident,icmp (ping sweep),fin,ack sweep, xmas tree, syn sweep,和null掃瞄。 還提供一些實用功能,比如通過tcp/ip來甄別作業系統型別;秘密掃瞄、動態延遲和重發;欺騙掃瞄、埠過濾探測、分布掃瞄等
網路掃瞄型別
主機掃瞄:
找出網段內的活躍主機 icmp ping tcp ack tcp syn udp
埠掃瞄:
找出主機上開放的網路服務 tcp connect tcp syn udp fin, null, xmas等
主機掃瞄
埠掃瞄
tcp報文
舊版tcp flags欄位:
新版tcp flags欄位:
syn表示建立連線,
fin表示關閉連線,
ack表示響應,
psh表示有 data資料傳輸,
rst表示連線重置。
syn與fin是不會同時為1,
當出現fin包或rst包時,認為客戶端與伺服器端斷開了連線;而當出現syn和syn+ack包時,客戶端與伺服器建立了乙個連線,
psh為1表示的是有真正的tcp資料報內容被傳遞.
抓取fin包: tcp.flags==1
抓取syn包: tcp.flags==2
抓取rst包: tcp.flags==4
抓取psh包: tcp.flags==8
抓取ack包: tcp.flags==16
抓取urg包:tcp.flags==32
syn+ack:tcp.flags==18
wireshark分析
判斷埠是否開啟:攻擊機:tcp.flags==16或被攻擊機:tcp.flags==18
通過icmp包分析,攻擊者進行了
ping
掃瞄
tcp三次握手後
發起[rst,
ack]
包終止連線,這是一次全連線掃瞄
攻擊者發出syn包,攻擊機器不管是目標機器何種應答都回覆[rst]分組,這是一次tcp syn半連線掃瞄
攻擊者傳送fin資料報來探測埠,埠關閉情況返回乙個
[rst]
資料報-o掃瞄是通過
arp廣播獲取
mac位址然後綜合埠開放進行作業系統版本判斷
攻擊者傳送了乙個udp資料報,由於埠未開啟,目標機器會返回乙個「
icmp
埠不可到達」資料報,埠開啟的話則不發回顯icmp資料報
Nmap的安裝與使用
windows系統 mac os x系統 linux系統 1 zenmap gui方式 2 命令列方式 1 檢視存活主機。2 掃瞄目標主機開放埠。3 鑑別安全過濾機制。4 識別目標主機的作業系統。5 檢視目標主機服務的版本資訊。6 利用指令碼掃瞄漏洞。什麼是網路掃瞄?通過主動傳送相關資料報進行網路探...
nmap使用小結
更細節的知識請看nmap的manpage,這裡主要是解釋nmap的乙個gtk前端zenmap中的預設幾個掃瞄命令的選項 intense scan nmap t4 a v www.rickyzhang.me t 0 5 set timing template higher is faster a en...
NMAP簡單使用
nmap簡單使用 這章專門來看下如何使用nmap工具。當然可以掃瞄到的是比較少的。可以掃瞄單台主機或乙個範圍內的主機,掃瞄時可以根據主機名,也可以根據ip位址。例如,需要掃瞄從192.168.1.3 到192.168.1.9範圍內的所有主機,就應該鍵入 192.168.1.3 9 在掃瞄時,你還可以...