Nmap的活跃主机探测常见方法

最近由于工作需求，开始对Nmap进行一点研究，主要是Nmap对于主机活跃性的探测，也就是存活主机检测的领域。

Nmap主机探测方法一：同网段优先使用arp探测：

　　当启动Namp主机活跃扫描时候，Nmap会对目标地址参数进行检查，如果与自身IP地址匹配到同一个子网内，Nmap会对该类目标采用arp协议进行探测。即使命令参数规定的是其他探测手段，也会先使用arp进行探测。这种方式效率高，速度快，但仅限于同一子网广播域中。

arp探测原理：

在广播域内广播arp request报文，例如 who has 192.168.0.1 tell 192.168.1.4(nmap本机ip)，收到arp response报文即为活跃。可以得到目标主机mac地址。

 nmap -R 192.168.1.1
 nmap -R 192.168.1.0/24
 nmap 192.168.1.1
 nmap 192.168.1.0/24

Nmap主机探测方法二：跨网段ICMP协议探测：

ICMP探测一ICMP echo：

　　常规PING探测，原理即为ping命令一样，但由于ping命令的滥用导致FW或者很多OS都会闲置ping包。特点：速度快，但探测不准确。

　　测试：执行下文命令 或者-sP换成-sN 都会发送icmp echo 和 icmp timestamp报文。此时DNS114.114.114.114对timestamp有回应（奇怪）。

 nmap -sP 114.114.114.114

ICMP探测二ICMP timestamp：

　　nmap发送ICMP timestamp报文，活跃主机会响应该报文，响应报文中包含当前系统时间。该请求ICMP type值13。

　　测试DNS 114.114.114.114 对icmp echo有回应 对icmp timestamp无回应。-PP只发timestamp报文。

 nmap -PP 114.114.115.115

ICMP探测三ICMP netmask：

　　nmap发送ICMP netmask报文，活跃主机会响应该报文，响应报文中包含当前地址掩码。该请求ICMP type值17。

　　测试DNS 114.114.115.115 对icmp netmask无回应。

 nmap -PM 114.114.115.115

Nmap主机探测方法三：TCP探测：

　　如同常见的端口扫描原理，syn类的，ack类的，fin类的，空扫描等等。通过回应报文判断主机是否活跃。

 nmap -sT 114.114.114.114 #TCP connect scan[three hand-shakes]
 nmap -sS 114.114.114.114 #TCP SYN scan[syn->recv ack]
 nmap -sA 114.114.114.114 #TCP ACK scan
 nmap -sW 114.114.114.114 #TCP Window scan
 nmap -sM 114.114.114.114 #TCP Maimon scan
 nmap -sN 114.114.114.114 # TCP Null scan
 nmap -sF 114.114.114.114 #TCP FIN scan

Nmap主机探测方法四：UDP探测：

　　UDP探测原理是根据活跃主机对未开放的端口会响应一个ICMP不可达报文来判断的。

 nmap -PU 114.114.114.114#默认发送空UDP报文到40125端口
 nmap -sU 114.114.114.114 -p 44444 #-p 指定端口
 nmap -sU 114.114.114.114 -p 53 -Pn #-Pn 绕过ping扫描

Nmap主机探测方法五：IP探测：

　　发送空的也可以指定负载大小的IP报文，可能收到响应报文为ICMP不可达报文。

 nmap -sO 114.114.114.114
 nmap -PO 114.114.114.114