Nessus漏洞掃描教程之使用Nmap工具掃描識別指紋

Nmap工具的準備工作

當使用者對Nessus工具有清晰的認識後，即可使用該工具實施掃描。但是，在掃描之前需要做一些準備工作，如探測網路中活動的主機、主機中執行的服務及主機的作業系統等。當使用者對一個主機比較熟悉後，進行掃描也就非常容易了。因為對於Nessus工具，針對不同的系統、漏洞都提供了相應的外掛。如果使用者對目標主機很瞭解的話，使用Nessus工具掃描目標就不會像個無頭蒼蠅似的瞎掃描。而且，可以更容易獲取到非常有價值的資訊了。本章將介紹實施網路掃描之前的一些準備工作。

Nmap工具發現主機

發現主機就是探測網路中活動的主機。發現主機是實施網路滲透測試的基礎。因為使用者只有先確定目標主機是活動的，才可以實施掃描。否則，執行的操作也是浪費時間。 其中，使用者用於發現主機的工具有很多，如Nmap、Scapy、Wireshark等。下面將介紹使用Nmap和Wireshark抓包的方法，實施主機發現操作。

使用Nmap工具

Nmap是一款免費開放的網路掃描和嗅探工具。該工具可以用來掃描電腦上開放的埠、執行的服務及作業系統等。下面將介紹使用Nmap工具實施發現主機。

【示例2-5】使用Nmap工具掃描192.168.1.0/24網路中活動的主機。執行命令如下所示：

• Starting Nmap 6.47 ( http://nmap.org ) at 2015-07-02 11:20 CST
• Nmap scan report for localhost (192.168.1.1)
• Host is up (0.00048s latency).                                                                            #主機是活動的
• MAC Address: 14:E6:E4:84:23:7A (Tp-link Technologies CO.)
• Nmap scan report for localhost (192.168.1.100)
• Host is up (0.089s latency).
• MAC Address: 8C:BE:BE:72:D2:64 (Xiaomi Technology Co.)
• Nmap scan report for localhost (192.168.1.101)
• Host is up (0.00015s latency).
• MAC Address: 00:E0:1C:3C:18:79 (Cradlepoint)
• Nmap scan report for localhost (192.168.1.103)
• Host is up (0.00061s latency).
• MAC Address: 00:0C:29:F8:2B:38 (VMware)
• Nmap scan report for localhost (192.168.1.104)
• Host is up (0.00091s latency).
• MAC Address: 00:0C:29:2A:69:34 (VMware)
• Nmap scan report for localhost (192.168.1.105)
• Host is up (0.00096s latency).
• MAC Address: 00:0C:29:DC:09:2A (VMware)
• Nmap scan report for localhost (192.168.1.106)
• Host is up (0.32s latency).
• MAC Address: 14:F6:5A:CE:EE:2A (Xiaomi)
• Nmap scan report for localhost (192.168.1.109)
• Host is up (0.00060s latency).
• MAC Address: 00:0C:29:E9:E3:A6 (VMware)
• Nmap scan report for localhost (192.168.1.108)
• Host is up.
• Nmap done: 256 IP addresses (9 hosts up) scanned in 2.78 seconds

從輸出資訊的最後一行可以看到，192.168.1.0/24網路中共有九臺活動的主機。在輸出資訊中，顯示了活動主機的IP地址、MAC地址、及MAC地址的生產廠商。例如主機192.168.1.1的MAC地址為14:E6:E4:84:23:7A，生成廠商為Tp-link Technologies CO。由此，可以猜測該主機可能是一個Tp-link路由器。

Wiresshark抓包

抓包就是利用抓包工具，捕獲網路中的所有資料包。但是，如果僅使用工具抓包的話，只能抓取本機的資料。此時，使用者需要通過集線器或埠映象方法來捕獲資料包。下面將介紹這兩種方式捕獲資料包的環境配置。

1.使用集線器

集線器的英文稱為Hub，是“中心”的意思。集線器的主要功能是對接收到的訊號進行再生整形放大，以擴大網路的傳輸距離，同時把所有節點集中在以它為中心的節點上。由於集線器在傳送資料時，是沒有針對性的，而是採用廣播方式傳送。也就是說，當它要向某節點傳送資料時，不是直接把資料傳送到目的節點，而是把資料包傳送到與集線器相連的所有節點。因此，使用者可以在區域網的某一主機上開啟抓包工具，即可捕獲到其它主機上傳輸的所有資料，如圖2.1所示。

圖2.45  使用集線器捕獲包的環境配置

以上就是使用集線器，在有線區域網中捕獲資料包的配置環境。上圖表示整個區域網中，有三臺主機同時連線在一個集線器上。此時，使用者可以在任意一臺上執行抓包工具（如Wireshark），即可捕獲到其它兩臺主機上的資料包。如果使用者無法捕獲到其它主機傳送的資料，則說明這些主機不線上。

下面是通過集線器捕獲到的資料包，如圖2.2所示。

圖2.46  捕獲的資料包

從該介面可以看到，共顯示了七列，分別表示No（包編號）、Time（時間）、Source（源地址）、Destination（目標地址）、Protocol（協議）、Length（長度）和Info（資訊）。這裡使用者應該關心的是Source（源地址）列。該列顯示的是所有傳送請求的主機地址。那麼，使用者應該如何判斷這些地址，那個是本地區域網中活動主機的地址呢？首先，使用者先確定本機的IP地址，即可找出區域網中活動主機的地址。在Window系統中，使用ipconfig命令檢視主機的IP地址。在Linux系統中，使用ifconfig命令檢視。本機中的IP地址資訊如下所示：

• C:\Users\Administrator>ipconfig
• Windows IP 配置
• 乙太網介面卡 本地連線:
•    連線特定的 DNS 字尾 . . . . . . . :
•    本地連結 IPv6 地址. . . . . . . . : fe80::f898:1066:74a5:e126%11
•    IPv4 地址 . . . . . . . . . . . .       : 192.168.1.105
•    子網掩碼  . . . . . . . . . . .        . : 255.255.255.0
•    預設閘道器. . . . . . . . . . . . .         : 192.168.1.1

從輸出資訊中，可以看到本機的IP地址為192.168.1.105。由此，可以說明當前主機所在的網路為192.168.1.0/24。所以，區域網中其它主機的地址是在192.168.1.0/24範圍內。此時，使用者可以對捕獲包中的Source列進行排序，然後找出192.168.1.0/24範圍內的地址，也就是該網路中活動主機的地址。單擊列名Source即可進行排序，如圖2.3所示。

圖2.47  Source列排序後顯示介面

從該介面顯示的結果中，可以看到Source列有三個屬於192.168.1.0/24範圍內的IP地址。如192.168.1.1、192.168.1.104和192.168.1.105。也就是說，該網路中這三臺主機是活動的。

2.使用埠映象

埠映象是路由器和交換機提供的一種功能。當在交換機或路由器上開啟埠映象功能的話，將會將一個或多個源埠的資料流量轉發到某一個指定埠來實現對網路的監聽，指定埠稱之為“映象埠”或“目的埠”。簡單的說，就是其它埠的資料都會被轉發到映象埠上。此時，在映象埠連線的主機上開啟抓包工具，即可捕獲到其它主機的資料包。其中，使用埠映象捕獲資料的環境如圖2.4所示。

圖2.48  使用路由器的埠映象功能捕獲資料包

按照以上環境配置好網路，即可開始捕獲資料包。如果捕獲到區域網中其它主機的包，則說明該主機線上。否則，不線上。具體分析方法和前面介紹使用集線器的方法相同。

Nmap工具埠掃描

當確定網路中活動的主機時，使用者可以使用Nmap探測該主機上開啟了哪些埠，以方便後面進行網路掃描。

【示例2-6】對目標主機RHEL 6.4進行埠掃描。執行命令如下所示：

• root@localhost:~# nmap 192.168.1.104
• Starting Nmap 6.47 ( http://nmap.org ) at 2015-07-02 11:30 CST
• Nmap scan report for localhost (192.168.1.104)
• Host is up (0.00051s latency).
• Not shown: 988 filtered ports
• PORT   STATE  SERVICE
• 21/tcp   open   ftp
• 22/tcp   open   ssh
• 25/tcp   open   smtp
• 53/tcp   open   domain
• 80/tcp   open   http
• 111/tcp  open   rpcbind
• 139/tcp  open   netbios-ssn
• 443/tcp  closed https
• 445/tcp  open   microsoft-ds
• 631/tcp  open   ipp
• 3306/tcp open   mysql
• 5432/tcp closed postgresql
• MAC Address: 00:0C:29:2A:69:34 (VMware)
• Nmap done: 1 IP address (1 host up) scanned in 5.04 seconds

從輸出資訊中，可以看到目標主機中開放的埠，及埠對應的服務。例如，21埠的服務是FTP、22埠的服務是SSH服務。

【示例2-7】掃描目標主機Windows XP中開放的埠。執行命令如下所示：

• root@localhost:~# nmap 192.168.1.109
• Starting Nmap 6.47 ( http://nmap.org ) at 2015-07-02 14:22 CST
• Nmap scan report for localhost (192.168.1.109)
• Host is up (0.00049s latency).
• Not shown: 989 closed ports
• PORT   STATE SERVICE
• 21/tcp   open  ftp
• 25/tcp   open  smtp
• 80/tcp   open  http
• 135/tcp  open  msrpc
• 139/tcp  open  netbios-ssn
• 443/tcp  open  https
• 445/tcp  open  microsoft-ds
• 1025/tcp open  NFS-or-IIS
• 1027/tcp open  IIS
• 3389/tcp open  ms-wbt-server
• 5000/tcp open  upnp
• MAC Address: 00:0C:29:E9:E3:A6 (VMware)
• Nmap done: 1 IP address (1 host up) scanned in 0.39 seconds

從輸出資訊中，可以看到目標主機中開放的埠，如21、25、80等。

Nmap工具指紋識別

指紋識別是識別系統的一個典型模式，包括指紋影像獲取、處理、特徵提取和比對等模組。通常，指紋識別包括服務指紋資訊和作業系統指紋資訊。其中，服務指紋資訊包括服務埠、服務名、版本及提供商等；作業系統指紋資訊包括系統的版本、核心版本等。通過指紋識別，根據獲取的資訊可以判斷出該主機是否存在漏洞，以便使用者在後面實施掃描。

【示例2-8】識別目標主機RHEL 6.4中，所有服務的指紋資訊。執行命令如下所示：

• root@localhost:~# nmap 192.168.1.104 -sV
• Starting Nmap 6.47 ( http://nmap.org ) at 2015-07-02 14:26 CST
• Nmap scan report for localhost (192.168.1.104)
• Host is up (0.00053s latency).
• Not shown: 988 filtered ports
• PORT  STATE SERVICE    VERSION
• 21/tcp   open   ftp            vsftpd 2.2.2
• 22/tcp   open   ssh          OpenSSH 5.3 (protocol 2.0)
• 25/tcp   open   smtp         Postfix smtpd
• 53/tcp   open   domain
• 80/tcp   open   http        Apache httpd 2.2.15 ((Red Hat))
• 111/tcp  open   rpcbind              2-4 (RPC #100000)
• 139/tcp  open   netbios-ssn           Samba smbd 3.X (workgroup: MYGROUP)
• 443/tcp  closed https
• 445/tcp  open   netbios-ssn           Samba smbd 3.X (workgroup: MYGROUP)
• 631/tcp  open   ipp                  CUPS 1.4
• 3306/tcp open   mysql               MySQL 5.1.66
• 5432/tcp closed postgresql
• MAC Address: 00:0C:29:2A:69:34 (VMware)
• Service Info: Host:  mail.benet.com; OS: Unix                   #主機名為mail.benet.com；作業系統為Unix
• Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
• Nmap done: 1 IP address (1 host up) scanned in 16.16 seconds

從輸出資訊中可以看到顯示了四列資訊，分別是PORT（埠）、STATE（狀態）、SERVICE（服務）和VERSION（版本）。從VERSION列可以看到服務的版本和提供商。例如，FTP服務的埠為21，版本為2.2.2、提供商是vsftpd。

【示例2-9】對目標主機Windows XP實施作業系統指紋識別。執行命令如下所示：

• root@localhost:~# nmap -O 192.168.1.109
• Starting Nmap 6.47 ( http://nmap.org ) at 2015-07-02 14:54 CST
• Nmap scan report for localhost (192.168.1.109)
• Host is up (0.00028s latency).
• Not shown: 989 closed ports
• PORT   STATE SERVICE
• 21/tcp   open  ftp
• 25/tcp   open  smtp
• 80/tcp   open  http
• 135/tcp  open  msrpc
• 139/tcp  open  netbios-ssn
• 443/tcp  open  https
• 445/tcp  open  microsoft-ds
• 1025/tcp open  NFS-or-IIS
• 1027/tcp open  IIS
• 3389/tcp open  ms-wbt-server
• 5000/tcp open  upnp
• MAC Address: 00:0C:29:E9:E3:A6 (VMware)
• Device type: general purpose                                                                                                #裝置型別
• Running: Microsoft Windows 2000|XP                                                                                 #執行的作業系統
• OS CPE: cpe:/o:microsoft:windows_2000::- cpe:/o:microsoft:windows_2000::sp1 cpe:/o:microsoft:windows_2000::sp2 cpe:/o:microsoft:windows_2000::sp3 cpe:/o:microsoft:windows_2000::sp4 cpe:/o:microsoft:windows_xp::- cpe:/o:microsoft:windows_xp::sp1                                #作業系統中央處理單元
• OS details: Microsoft Windows 2000 SP0 - SP4 or Windows XP SP0 - SP1                #作業系統詳細資訊
• Network Distance: 1 hop                                                                                                         #網路距離
• OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
• Nmap done: 1 IP address (1 host up) scanned in 1.91 seconds

以上輸出資訊顯示了作業系統相關的資訊。如開放的埠、裝置型別、執行的作業系統型別、中央處理單元及網路距離等。例如，裝置型別為general|purpose、執行的作業系統為Microsoft Windows 2000/XP等。從作業系統詳細資訊行，可以看到該系統的補丁包可能是Windows 2000 SP0-SP4或Windows XP SP0-SP1。 

（評估設定）、REPORT（報告設定）、ADVANCED（高階設定）、Credentials（證書）和Plugins（外掛）進行設定。這些設定選項可以前面介紹的策略配置項是相同的，所以這裡不再贅述。下面將介紹一下Schedule和Email Notifications選項的設定。其中，Schedule選項的設定介面如圖4.33所示。

圖2.49  Schedule配置

該介面是用來設定是否啟用Schedule功能，預設是禁用的。如果使用者希望啟用該功能的話，則單擊圖示。啟用後，顯示介面如圖4.34所示。

圖2.50  設定Schedule

從該介面可以看到啟用Schedule後，有三個配置項可進行設定。下面將對每個配置項的含義進行介紹，如下所示：

• q  Launch：該選項是用來設定啟動Schedule的時間。預設是Once，表示一次。使用者還可以選擇設定Daily（每天）、Weekly（每週）、Monthly（每月）或Yearly（每年）。
• q  Starts On：該選項表示Schedule功能的開啟時間。
• q  Timezone：該選項是用來設定時區的。
• q  Summary：顯示了以上配置的摘要資訊。

以上功能配置完後，單擊Save按鈕儲存。Email Notifications選項的配置介面如圖4.35所示。

圖2.51  Email Notifications設定

該介面是用來設定是否啟用郵件通知。但是，如果要配置該選項，則需要配置SMTP服務，否則將不會向郵件接收者傳送通知。

本文選自：Nessus漏洞掃描基礎教程大學霸內部資料，轉載請註明出處，尊重技術尊重IT人！

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/29597077/viewspace-1731562/，如需轉載，請註明出處，否則將追究法律責任。