Nmap高級用法與典型場景(2)

　　我們可以看到SYN方式探測到3個端口開放，而有997個端口被過濾。Nmap默認掃描只掃描1000個最可能開放的端口，如果想掃描全部的端口，使用命令nmap -sS -T4-p-

　　FIN掃描

　　然后可以利用FIN掃描方式探測防火墻狀態。FIN掃描方式用于識別端口是否關閉，收到RST回復說明該端口關閉，否則說明是open或filtered狀態。

nmap -sF -T4 

　　掃描輸出為：

PORT      STATE         SERVICE
　　7/tcp     open|filtered echo
　　9/tcp     open|filtered discard
　　11/tcp    open|filtered systat
　　13/tcp    open|filtered daytime
　　23/tcp    open|filtered telnet
　　25/tcp    open|filtered smtp
　　37/tcp    open|filtered time
　　79/tcp    open|filtered finger
　　80/tcp    open|filtered http

　　更多端口，此處省略

　　ACK掃描

　　然后利用ACK掃描判斷端口是否被過濾。針對ACK探測包，未被過濾的端口(無論打開、關閉)會回復RST包。

nmap -sA -T4 
　　Not shown: 997 unfiltered ports
　　PORT      STATE    SERVICE
　　135/tcp   filtered msrpc
　　1434/tcp  filtered ms-sql-m
　　32777/tcp filtered sometimes-rpc17

　　從結果可以997個端口是未被過濾的(unfiltered)，而3個(135/1434/32777)被過濾了。所以，將ACK與FIN掃描的結果結合分析，我們可以找到很多開放的端口。例如7號端口，FIN中得出的狀態是:open或filtered，從ACK中得出的狀態是unfiltered，那么該端口只能是open的。

　　Window掃描

　　當然也可以利用Window掃描方式，得出一些端口信息，可以與之前掃描分析的結果相互補充。Window掃描方式只對某些TCPIP協議棧才有效。

　　window掃描原理與ACK類似，發送ACK包探測目標端口，對回復的RST包中的Window size進行解析。在某些TCPIP協議棧實現中，關閉的端口在RST中會將Window size設置為0;而開放的端口將Window size設置成非0的值。

nmap -sW -p- -T4 docsrv.caldera.com

　　輸出結果：

PORT      STATE    SERVICE
　　7/tcp     open     echo
　　9/tcp     open     discard
　　11/tcp    open     systat
　　13/tcp    open     daytime

　　更多端口，此處省略

　　在采用多種方式獲取出防火墻狀態后，可以進一步進行應用程序與版本偵測及OS偵測。

　　此處不再贅述!

　　3 掃描路由器

　　Nmap內部維護了一份系統與設備的數據庫(nmap-os-db)，能夠識別數千種不同系統與設備。所以，可以用來掃描主流的路由器設備。

　　3.1 掃描思科路由器

nmap -p1-25,80,512-515,2001,4001,6001,9001 10.20.0.1/16

　　思科路由器會在上述端口中運行了常見的服務。列舉出上述端口開放的主機，可以定位到路由器設備可能的IP地址及端口狀態。

　　3.2 掃描路由器TFTP

nmap –sU –p69 –nvv target

　　大多數的路由器都支持TFTP協議(簡單文件傳輸協議)，該協議常用于備份和恢復路由器的配置文件，運行在UDP 69端口上。使用上述命令可以探測出路由器是否開放TFTP。

原文轉自：http://www.kjueaiud.com