3.2主机探测与端口扫描

一 活跃主机扫描
1.ICMP Ping命令 eg:ping -c 5 www.dvssc.com
2.Metasploit的主机发现模块
路径：modules/auxiliary/scanner/discovery/
arp_sweep,ipv6_multicast_ping,ipv6_neighbor,ipv6_neighbor_router_advertisement,udp_probe,udp_sweep

arp_sweep:使用ARP请求美剧本地局域网络中的所有活跃主机（请求获取MAC地址）
udp_sweep：通过发送udp数据包探查指定主机是否活跃，并发现主机上的UDP服务
use auxiliary/scanner/discovery/arp_aweep
set rhosts 10.10.10.0/24
set threads 50
run

3.使用Nmap进行主机探测
功能强大，哪些服务开放，主机存活，防火墙设备等
msf下直接使用namp
namp <扫描选项><扫描目录>
IP目标可以一个，多个，一段
eg  !!   !!,!!,!!   !~-!~
默认使用 ICMP的echo请求（PING） 且会测试目标系统的80和443
使用-sn 则不会进一步探测只PING扫描存活

在Internet环境中，推荐使用-Pn（不使用PING扫描），PING无法穿透Internet网络边界，可需用-PU 对UDP端口进行扫描而确定存活，
如：nmap -PU -sn 10.10.10.0/24

二：操作系统辨识

namp -O 10.10.10.254
namp -O -sV 10.10.10.254 -sV显示其版本信息

三：端口扫描与服务类型探测
1.metasploit中的端口扫描器
可以在msf中输入 search portscan 查找相关的端口扫描器

ack:通过ACK扫描的方式对防火墙上未被屏蔽的端口进行探测
ftpbounce:通过FTPbounce攻击的原理对TCP服务进行枚举，一些新的FTP服务器软件能够很好的防范FTPbounce攻击
但在一些旧的Solaris及FreeBSD系统的FTP服务中此类攻击方式仍能够被利用
syn:使用发送TCP SYN标志的方式探测开放的端口
tcp：通过一次完整的TCP链接来判断端口是否开放，这种扫描方式最准确，但扫描速度较慢
xmas:一种更为隐秘的扫描方式，通过发送FIN,PSH和URG标志，能够躲避一些高级的TCP标记检测器的过滤

syn速度快，准确，不容易被发觉。
use auxiliary/scanner/portscan/syn
set rhost 10.10.10.254
set threads 20
run

2.Namp的端口扫描功能
五种状态
open,closed,filtered(不能确认下，可能被防火墙过滤）
unfiltered(仅在使用ACK扫描时，Nmap无法确定端口是否开放）
open|fitered,closed|filtered

Nmap参数
-sT:TCPconnect扫描，类似metasploit中的tcp扫描模块
-sS:TCP SYN扫描，类似metasploit中的syn扫描模块
-sF/-sX/-sN:这些扫描通过发送一些特殊的标志位以避开设备或软件的监视
-sP:通过发送ICMPecho 请求探测主机是否存活，原理同PING
-sU:探测目标主机开放了哪些UDP端口。
-sA：TCP ACK扫描，类似metasploit中的ack扫描模块。
Nmap选项
-Pn:在扫描之前，不发送ICMPecho请求测试目标是否活跃
-O:启用对于TCP/IP协议栽的指纹特征扫描以获取远程主机的操作系统类型等信息
-F：快速扫描模式，只扫描在nmap-services中列出的端口。
-p<端口范围>:可以使用这个参数指定希望扫描的端口，也可以使用一段端口扫描（例如1~1023）。
在IP协议扫描中（使用-sO参数），该参数的意义是指定想要扫描的协议议号（0~255）。
nmap -sS -Pn 10.10.10.129

3.使用Nmap探测更详细的服务信息
nmap -sV -Pn 10.10.10.129

 

BT5的Autoscan。。。。也可以扫描，但不够精确。。。