Nmap 网络扫描实战(1)--主机发现

作者: rollingstarky | 来源:发表于2017-11-02 17:34 被阅读117次

    主机发现指的是从网络中寻找活跃主机的过程。该过程的关注点不在于如何获取目标的详细信息,而是在尽量减少资源消耗的情况下,获得目标们在逻辑上的分布。

    OSI 模型

    OSI 模型(即 Open Systems Interconnection model 开放式系统互联通信参考模型),由国际标准化组织(ISO)提出,是一个试图使各种网络设备在世界范围内互联通信的标准框架。该模型将计算机网络体系结构划分为7层,如下图所示:

    OSI 模型
    本文涉及到的主机探测方法,主要利用了定义在 Layer 2,3 和 4 上的网络协议。
    1. Layer 2(ARP)
    • 优势
      • 非常快速
      • 高可信度
    • 劣势
      • 不能探测远程系统(ARP 属于不可路由协议)

    ARP(Address Resolution Protocol 地址解析协议)是通过解析网路层(Layer 3)地址来找寻数据链路层(Layer 2)地址的一个重要的网络传输协议,即将 Layer 3 中逻辑性的 IP 地址翻译成 Layer 2 中物理性的 MAC 地址。
    发起查询的主机先在本地网络中广播一条 ARP 请求,符合该查询的主机则直接返回一条包含其 MAC 地址的 ARP 回复,收到回复后的主机会更新保存在本地的 ARP 缓存并开启两者间的网络通信。该过程不使用任何形式的身份验证和授权。

    命令示例

    # nmap -sn 10.1.87.0-255
    # nmap -sn 10.1.87.0/24
    # nmap -iL iplist.txt -sn

    -sn 选项同 -sP,即关闭默认的端口扫描,只执行 Ping 扫描,这在主机发现时可以节省很多时间。从表面上看,执行的 Ping 扫描属于 Layer 3 上的协议。这里 nmap 会根据提供的 IP 地址自动判定是否为本地子网,对本地子网发送 ARP 请求,对远程网络则执行 Ping 扫描。如下图(本地子网):

    Nmap ARP 扫描

    输出内容包括活跃主机的 IP 地址、网络延迟、MAC 地址及对应的硬件厂商。
    WireShark 捕获到的流量信息:


    WireShark ARP

    当探测的 IP 地址不属于本地子网时,则执行 Ping 扫描(输出信息无 MAC 地址),输出如下:

    Nmap Ping 扫描

    WireShark 捕获到的流量信息:


    WireShark ICMP

    2. Layer 3(ICMP)

    • 优势
      • 可探测远程系统(可路由协议)
      • 相对较快
    • 劣势
      • 比 ARP 慢
      • 可能被防火墙拦截

    Layer 3 上的 ICMP 探测是最为人熟知的扫描手段(ping 命令总用过的吧)。ICMP 代表 Internet Control Message Protocol(互联网控制消息协议),它的功能之一,就是通过向目标主机发送 ICMP echo 请求,看是否收到 echo 响应,来确定其是否处于活跃状态。如 Ping 命令的输出:

    Ping 命令
    返回结果中包括信号往返时间和(信息)包丢失情况的统计信息。

    前面已经提到过,nmap 的 Ping 扫描可以根据 IP 地址自行在 ARP 和 ICMP 协议间切换,不需要额外的选项。

    3. Layer 4(TCP)

    • 优势
      • 可探测远程系统
      • 比 ICMP 更可靠
    • 劣势
      • 有时防火墙会导致异常结果
      • 全局扫描会非常耗时

    TCP 扫描的原理在于,一条单独的 TCP Finish(FIN) 包或者 Acknowledge(ACK) 包通常会触发远程主机的 Reset(RST) 响应,而发送至远程主机的 Synchronize(SYN) 包通常会触发 SYN+ACK 或者 RST 响应(取决于被扫描端口的开放情况)。重点在于,来自指定主机的任何响应都可以确定该主机处于存活状态。

    当目标主机所有的 TCP 服务都被防火墙隔离时,UDP 扫描有时就显得极为有效。但有些 UDP 服务回复的是 ICMP 端口不可达响应,而这类响应会被高防护的防火墙阻止。另一些 UDP 服务则只对特定的请求作出响应,使得有效的 UDP 扫描需要针对不同的服务采用针对性的技术。

    命令示例
    • UDP 扫描
      # nmap 10.1.87.0-255 -PU53 -sn
    • TCP 扫描(发送 ACK 包)
      # nmap 10.1.87.0/24 -PA80 -sn

    附:

    1. TCP & UDP

    OSI 模型中,IP 协议位于网路层(Layer 3),它可以提供寻址、数据报路由及其他功能,将一台设备连接至另外一台设备。TCP 协议位于传输层(Layer 4),负责管理连接以及各设备间数据的稳定传输。
    TCP 是一种连接导向(connection-oriented)的协议。在 TCP 传输数据之前,客户端和服务端之间需要通过一种三步握手的机制来创建连接。过程如下:

    1. 客户端通过向服务端发送一个包含 SYN(synchronize)标志的数据包来初始化连接,在 SYN 字段中包含了一个随机的初始序列号(ISN)。
    2. 接着服务端向客户端同样回复一个 SYN 包(其中有它自己的 ISN)。同时服务端发送一个 ACK(acknowledge)包来告诉客户端自己收到了前面的信息。该 ACK 报文中包含了客户端的 ISN+1 的值。
    3. 客户端发送一个 ACK 包(包含 服务端的 ISN+1)来告知服务端,自己已收到消息。此时,两者之间才开始交换数据。

    当连接关闭时:

    1. 客户端发送一个包含 FIN(finish)标志的数据包。
    2. 服务端发送 ACK 包表示自己已收到。
    3. 当服务端准备好关闭时,它会发送一个 FIN 包。
    4. 客户端发送 ACK 包表示自己已收到。

      开启连接的过程可参考下图: TCP handshake

    TCP 是一种强调数据完整性的协议。通过上述机制,在传输过程中若有一个包丢失,TCP 会自动重新传输(直到接收者发出 ACK 包)。如果数据包到达时次序错误,TCP 会对它们进行重排,之后才交给应用程序。
    所以传输文件或者重要数据如 HTTP 和 FTP 都是用的 TCP 协议。

    UDP 属于非连接导向(connectionless)的协议。在传输数据之前,他不需要先创建一个 UDP 连接。如果发生丢包,UDP 也不会重复发送(丢失包的重发根据情况由应用程序来完成)。
    所以像视频流等可以承受丢包损失的多媒体应用常通过 UDP 传输。常见的使用 UDP 的应用:DNS、DHCP、SNMP 等。

    2. TCP表头格式

    TCP 表头格式

    参考书籍及文章:

    Kali Linux Network Scanning Cookbook by Justin Hutchens
    TCP 三向交握 (Three-way Handshake)

    相关文章

      网友评论

        本文标题:Nmap 网络扫描实战(1)--主机发现

        本文链接:https://www.haomeiwen.com/subject/fjugpxtx.html