Nmap :Specification de ports et ordre de scan 3

最后一章来说说如何藐视防火墙?

-f

强制8 bytes ,一个20bytes的TCP头会被分成3个包,其中2个包分别有TCP头的8bytes,另1个包有TCP头的剩下4bytes节,使用–mtu选项可 以自定义偏移的大小

-D

为使诱饵扫描起作用,需要使远程主机认为是诱饵在扫描目标网络

20:12:17.378853 IP 212.27.54.252.40258 > 172.16.196.128.80: S 4052032885:4052032885(0) win 3072 <mss 1460>
20:12:17.379058 IP 212.27.53.252.40258 > 172.16.196.128.80: S 4052032885:4052032885(0) win 4096 <mss 1460>
20:12:17.379248 IP 172.16.196.1.40258 > 172.16.196.128.80: S 4052032885:4052032885(0) win 2048 <mss 1460>

错误类型的扫描检测

[**] [122:1:0] (portscan) TCP Portscan [**]
[Priority: 3]
11/06-20:12:17.380959 212.27.54.252 -> 172.16.196.128
PROTO:255 TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:164 DF

 

诱饵扫描检测

[**] [122:2:0] (portscan) TCP Decoy Portscan [**]
[Priority: 3]
11/06-20:28:21.125365 212.27.54.252 -> 172.16.196.128
PROTO:255 TTL:0 TOS:0x0 ID:4586 IpLen:20 DgmLen:168

-S

源地址欺骗 nmap -e 网卡 -S 172.16.196.129 172.16.196.128 -p 80

10:43:20.151304 IP (tos 0x0, ttl 42, id 9247, offset 0, flags [none], proto TCP (
6), length 44) 172.16.196.129.39995 > 172.16.196.128.80: S, cksum 0xc56d (correct
), 402731273:402731273(0) win 3072 <mss 1460>
10:43:20.151570 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), l
ength 40) 172.16.196.128.80 > 172.16.196.129.39995: R, cksum 0xe916 (correct), 0:
0(0) ack 402731274 win 0

-e

指定网卡

#nmap -e pppoe -sS 172.16.196.128

-g

FTP连接来自于20端口,很多管理员会掉入一个陷阱,即允许来自于这些端口的数据进入网络。他们认为这些端口里不会有值得注意的攻击和漏洞利用

# nmap -sS -g 20 -p 21 172.16.196.128
19:20:54.766123 IP 172.16.196.1.20 > 172.16.196.128.21: S 3976655148:3976655148(0) win 3072 <mss 1460>
19:20:54.766235 IP 172.16.196.128.21 > 172.16.196.1.20: R 0:0(0) ack 3976655149 win 0

如果我们现在指定源端口来试试

# nmap -sS -g 20 -p 21 172.16.196.128

结果是不同的

19:20:54.766123 IP 172.16.196.1.20 > 172.16.196.128.21: S 3976655148:3976655148(0) win 3072 <mss 1460>
19:20:54.766235 IP 172.16.196.128.21 > 172.16.196.1.20: R 0:0(0) ack 3976655149 win 0

–data-length

附加随机数据 正常情况下,Nmap发送最少的报文,只含一个包头。因此TCP包通常 是40字节,ICMP ECHO请求只有28字节。这个选项告诉Nmap在发送的报文上 附加指定数量的随机字节。操作系统检测(-O)包不受影响, 但大部分ping和端口扫描包受影响,这会使处理变慢,但对扫描的影响较小。

以下摘录是一个交换的标准FTP。

08:52:36.928387 IP (tos 0x10, ttl 64, id 62215, offset 0, flags [DF], proto TCP (6), length 52)
172.16.196.1.47270 > 172.16.196.129.21: ., cksum 0x8e24 (correct), 897556646:897556646(0) ack 3
835495017 win 92 <nop,nop,timestamp 757095 1086>
0x0000: 4510 0034 f307 4000 4006 6708 ac10 c401 E..4..@.@.g.....
0x0010: ac10 c481 b8a6 0015 357f a0a6 e49d 0269 ........5......i
0x0020: 8010 005c 8e24 0000 0101 080a 000b 8d67 ....$.........g
0x0030: 0000 043e ...>

下面的修谈包看起来像一个正常的FTP交换数据

10:24:49.112042 IP (tos 0x0, ttl 46, id 15740, offset 0, flags [none], proto TCP (6), length 106
8) 172.16.196.1.52503 > 172.16.196.128.21: S, cksum 0x63fd (correct), 4102358251:4102359275(1024
) win 3072 <mss 1460>
0x0000: 4500 042c 3d7c 0000 2e06 6aad ac10 c401 E..,=|....j.....
0x0010: ac10 c480 cd17 0015 f485 04eb 0000 0000 ................
0x0020: 6002 0c00 63fd 0000 0204 05b4 e2e3 88dd `...c...........
0x0030: 235f dda4 1d82 314a f07f af5d f5b4 3c85 #_....1J...]..<.

哈哈哈 ~ 傻X

[**] [125:7:1] (ftp_telnet) FTP traffic encrypted [**]
[Priority: 3]
11/07-10:24:49.112042 172.16.196.1:52503 -> 172.16.196.128:21
TCP TTL:46 TOS:0x0 ID:15740 IpLen:20 DgmLen:1068
******S* Seq: 0xF48504EB Ack: 0x0 Win: 0xC00 TcpLen: 24
TCP Options (1) => MSS: 1460
参考 :http://bakhat.org/archives/nmap-specification-de-ports-et-ordre-de-scan-3/
网络安全攻防研究室(www.91ri.org) 信息安全小组收集整理.