学习 Nmap 操作系统和版本检测技术

简介

在本次实验中，你将学习使用 Nmap 进行网络侦察的基础知识，重点是操作系统 (OS) 和版本检测技术。这些技能对于网络安全专业人员至关重要，因为它们可以通过确定目标系统上运行的操作系统和服务来帮助识别潜在的漏洞。

Nmap 是一款用于网络发现和安全审计的开源工具，是本次实验的核心。通过掌握其操作系统和版本检测功能，你可以收集有关网络设备的关键信息，这是保护它们免受潜在威胁的关键第一步。在整个实验过程中，你将搭建一个测试环境，进行基本和高级扫描，并结合各种技术进行全面的网络分析。

Skills Graph

搭建你的环境

在这一步，我们将准备好测试环境。为什么要这么做呢？为了有效地练习使用 Nmap，我们需要一个可扫描的目标。通过创建一个简单的服务器，我们可以在可控环境中模拟一个真实世界的目标。这样，我们就能安全地练习并了解 Nmap 的操作系统和版本检测功能。

了解测试环境

在开始使用 Nmap 进行扫描之前，我们必须有一个目标。这就像寻宝一样，你需要知道去哪里寻找。我们将使用 netcat 工具在你的本地机器上创建一个简单的服务器。这个服务器将监听特定的端口，它将作为我们后续所有 Nmap 扫描的目标系统。

创建测试服务器

首先，我们需要确保处于实验工作的正确目录中。这很重要，因为它有助于我们组织文件。在终端中运行以下命令：

cd /home/labex/project

现在，我们将使用 netcat 创建一个简单的服务器。这个服务器将监听端口 4444。打开一个终端并运行以下命令：

nc -lvp 4444 -k

让我们来分解一下这个命令：

• nc 是 netcat 的命令。Netcat 是一个多功能的网络工具，可用于创建服务器和客户端。
• -l 告诉 netcat 进入监听模式。在这种模式下，netcat 充当服务器，等待传入的连接。
• -v 启用详细输出。这意味着 netcat 将显示其操作的更详细信息，这有助于调试。
• -p 4444 指定服务器将监听的端口。端口就像计算机的门，不同的服务使用不同的端口。
• -k 即使客户端断开连接，也能保持服务器运行。这确保我们的服务器保持开启状态，随时准备接受更多连接。

一旦你运行这个命令，你应该会看到类似以下的输出：

Listening on 0.0.0.0 4444

这个输出表明服务器现在正在运行，并在端口 4444 上监听连接。保持这个终端窗口打开，因为后续步骤需要这个服务器一直运行。

验证服务器

为了确保我们的服务器正常运行，我们需要检查它是否真的在端口 4444 上监听。打开一个新的终端窗口并运行以下命令：

lsof -i:4444

lsof 命令代表 "list open files"（列出打开的文件）。在网络环境中，它可以显示哪些进程正在使用哪些网络端口。通过运行 lsof -i:4444，我们要求它显示哪个进程正在监听端口 4444。你应该在输出中看到 nc 的条目。这证实了我们的服务器已正常运行，准备好进行 Nmap 扫描。

现在我们的测试环境已经搭建好，我们可以进入下一步，进行第一次 Nmap 操作系统检测扫描。

执行基本的操作系统检测

在这一步，你将了解 Nmap 检测操作系统的能力，并进行首次基本的操作系统检测扫描。对于任何对网络安全感兴趣的人来说，了解 Nmap 如何识别目标主机上运行的操作系统至关重要。这能让你深入了解所处理的系统，可用于各种与安全相关的任务。

什么是 Nmap 操作系统检测？

Nmap 操作系统检测是一项强大的功能，它试图确定目标设备上运行的操作系统。在网络安全领域工作时，了解目标的操作系统能让你掌握很多关于其潜在漏洞以及如何进行安全防护的信息。

其工作原理如下：Nmap 会向目标发送特制的数据包。这些数据包的设计方式使得根据目标操作系统对 TCP/IP 协议栈的实现方式，所收到的响应会有细微差异。例如，不同的操作系统在处理数据包头部、序列号和网络通信的其他方面都有独特的方式。

操作系统检测对安全专业人员极为有用，原因如下：

• 识别潜在的易受攻击系统：不同的操作系统存在不同的安全漏洞。通过了解操作系统，你可以快速查找已知漏洞并采取适当的措施。
• 针对特定操作系统定制安全措施：每个操作系统都有其自身的安全机制和最佳实践。一旦了解了操作系统，你就可以实施对该特定系统最有效的安全措施。
• 验证系统是否运行预期的操作系统：在一个组织中，你可能期望某些系统运行特定的操作系统。操作系统检测有助于你确认情况是否如此，这对于维护安全且一致的网络环境非常重要。

运行基本的操作系统检测扫描

假设上一步中的服务器仍在运行，现在打开一个新的终端窗口。终端是一个强大的工具，允许你使用命令与操作系统进行交互。打开终端后，需要导航到项目目录。这里将存储所有与项目相关的文件和扫描结果。

cd /home/labex/project

现在，将对本地服务器执行基本的操作系统检测扫描。使用 Nmap 的 -O 选项，该选项可启用操作系统检测功能。

sudo nmap -O localhost -p 4444 > scan_results/basic_os_scan.txt

下面来分解这个命令，了解每个部分的作用：

• sudo：代表“superuser do”（以超级用户身份执行）。操作系统检测需要原始套接字访问权限，这是一种与网络进行底层交互的方式。普通用户账户通常没有此权限，因此使用 sudo 以管理员权限运行命令。
• nmap：这是运行网络映射器工具的命令。Nmap 是一款知名且广泛使用的网络探测和安全审计工具。
• -O：此选项启用操作系统检测。当 Nmap 以该选项运行时，它将尝试确定目标的操作系统。
• localhost：这是目标，指本地机器，即正在扫描自己的计算机。
• -p 4444：指定要扫描的端口。在这种情况下，netcat 服务器运行在端口 4444 上，因此要扫描这个特定端口。
• > scan_results/basic_os_scan.txt：将 Nmap 扫描的输出重定向到 scan_results 目录下名为 basic_os_scan.txt 的文件中。这样可以保存结果，以便后续分析。

分析结果

现在已经运行了扫描并将结果保存到文件中，接下来检查扫描结果。使用 cat 命令，该命令用于在终端中显示文件的内容。

cat scan_results/basic_os_scan.txt

你应该会看到类似以下的输出：

Starting Nmap 7.80 ( https://nmap.org ) at 2023-09-10 10:00 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000024s latency).

PORT     STATE SERVICE
4444/tcp open  krb524

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6.32
OS details: Linux 2.6.32
Network Distance: 0 hops

OS detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 0.52 seconds

下面仔细查看输出的一些关键部分：

• 端口状态：指定的端口（4444）显示为开放状态。这意味着运行在该端口上的 netcat 服务器正在接受传入连接。
• 警告消息：有一条关于操作系统检测可靠性的警告。这是需要理解的重要信息。
• 操作系统识别：Nmap 已将系统识别为运行 Linux。这让你对目标的操作系统有了大致了解。
• 操作系统详细信息：操作系统详细信息部分提供了关于检测到的操作系统的更具体信息，例如内核版本。

理解警告消息

你可能已经注意到警告信息：“OSScan results may be unreliable because we could not find at least 1 open and 1 closed port.”

这条警告很重要。Nmap 的操作系统检测功能在能够分析开放和关闭端口的响应时效果最佳。不同的操作系统对开放和关闭端口的处理方式不同。例如，它们可能根据端口是开放还是关闭，以独特的方式响应请求或数据包探测。在本次扫描中，只指定了一个端口（4444），并且它是开放的。因此，Nmap 提示其结果可能不完全可靠。

下一步，将探索更多的操作系统检测选项，以提高扫描的准确性。

高级操作系统检测选项

在这一步，我们将探索 Nmap 中更高级的操作系统检测选项。操作系统检测是网络扫描的关键部分，它能帮助我们了解目标机器上运行的操作系统。通过使用这些高级选项，我们可以提高扫描的准确性和可靠性。基于上一步所学的内容，我们将使用额外的 Nmap 标志来增强操作系统检测能力。

提高操作系统检测的准确性

为了提高操作系统检测的准确性，我们需要采取两个重要步骤。首先，我们需要扫描多个端口。这是因为不同的端口可以提供关于操作系统的不同线索。通过扫描多个端口，我们可以确保 Nmap 找到开放和关闭的端口。开放端口可以揭示系统上运行的服务，而关闭端口也能提供有关操作系统安全设置的提示。其次，我们将使用额外的标志来优化扫描。

让我们运行一个更全面的扫描，以提高操作系统检测的可靠性：

sudo nmap -O -p 1-1000,4444 --osscan-guess localhost > scan_results/advanced_os_scan.txt

让我们来理解这些新参数：

• -p 1-1000,4444：这个参数告诉 Nmap 扫描 1 到 1000 的端口，以及我们开放的端口 4444。扫描更广泛的端口范围为 Nmap 提供了更多的数据，从而可以实现更准确的操作系统检测。
• --osscan-guess：这个标志使 Nmap 在操作系统检测方面更加积极主动。有时，Nmap 可能对检测到的操作系统不完全确定。使用这个标志，即使在这种情况下，Nmap 也会给出它的最佳猜测。

分析高级扫描结果

现在，让我们检查高级扫描的结果。分析扫描结果是一个重要的步骤，因为它有助于我们了解关于目标系统的信息。

cat scan_results/advanced_os_scan.txt

输出现在应该包含更详细的操作系统信息，类似于以下内容：

Starting Nmap 7.80 ( https://nmap.org ) at 2023-09-10 11:00 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00013s latency).
Not shown: 999 closed ports
PORT     STATE SERVICE
4444/tcp open  krb524

OS details: Linux 5.4.0-42-generic
Network Distance: 0 hops

OS detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 2.41 seconds

注意，通过扫描一系列端口，Nmap 现在有开放和关闭的端口可供分析。这些额外的数据提高了操作系统检测结果的可靠性。我们之前看到的警告消息可能不再出现，或者严重程度会降低。

理解积极的操作系统检测

Nmap 的操作系统检测还有一些用于更详细或积极扫描的额外选项。这些选项在不同的场景中可能很有用，特别是当你想根据自己的需求优化扫描时。

sudo nmap -O --osscan-limit --max-os-tries 1 localhost -p 4444 > scan_results/limited_os_scan.txt

这些新选项：

• --osscan-limit：这个选项告诉 Nmap 只对有希望的目标进行操作系统检测。这样可以避免在不太可能产生有用操作系统信息的目标上浪费资源，从而节省时间。
• --max-os-tries 1：这个选项限制了 Nmap 确定操作系统的尝试次数。通过减少尝试次数，我们可以加快扫描速度。

检查这次扫描的结果：

cat scan_results/limited_os_scan.txt

当你需要更快的结果，并且愿意为了速度牺牲一些准确性时，这种方法很有用。在扫描大型网络时，这通常是必要的，因为彻底扫描每个目标可能需要很长时间。

何时使用不同的操作系统检测选项

不同的操作系统检测选项适用于不同的场景。了解何时使用每个选项对于高效、有效的网络扫描非常重要。

1. 基本的 -O：这适用于初步侦察。当你刚开始探索一个网络时，使用基本的 -O 选项可以快速了解目标机器上运行的操作系统。
2. -O --osscan-guess：当你需要更详细的操作系统信息时，这个选项更好。如果你试图了解操作系统的具体版本，或者需要更准确的信息进行进一步分析，这个选项是个不错的选择。
3. -O --osscan-limit --max-os-tries 1：这对于需要快速扫描的大规模扫描很有用。当你扫描大型网络时，可能没有时间对每个目标进行详细扫描。这个选项可以让你快速了解操作系统的大致情况。

下一步，我们将探索版本检测，它通过识别目标系统上运行的服务的具体版本来补充操作系统检测。

使用 Nmap 进行版本检测

在这一步，你将了解 Nmap 的版本检测功能。在开始之前，先来了解一下为什么这很重要。操作系统检测能帮助你确定目标使用的操作系统，而版本检测则专注于找出开放端口上运行的服务的具体版本。这至关重要，因为许多软件漏洞都与特定版本相关。通过了解服务的确切版本，你可以更准确地识别潜在的安全风险。

理解版本检测

版本检测，也称为服务检测，旨在回答几个关键问题。首先，它要确定开放端口上运行的是什么应用程序；其次，它要找出该应用程序的具体版本。有时，它甚至能发现补丁级别或其他额外细节。这些信息非常有价值，因为许多安全漏洞都特定于某些软件版本。如果你确切知道目标上运行的软件版本，就能快速识别潜在的安全问题。

执行版本检测

现在，对本地服务器进行版本检测扫描。使用以下命令：

sudo nmap -sV localhost -p 4444 > scan_results/version_scan.txt

来分解一下这个命令。-sV 选项启用版本检测，它告诉 Nmap 尝试确定目标端口上运行的服务的版本。localhost 是目标，意味着你正在扫描自己的本地机器。-p 4444 选项指定只扫描端口 4444。> 符号将扫描输出重定向到 scan_results 目录下名为 version_scan.txt 的文件中，这样你可以稍后查看结果。

分析版本检测结果

运行扫描后，来检查结果。使用 cat 命令显示文件内容：

cat scan_results/version_scan.txt

你应该会看到类似以下的输出：

Starting Nmap 7.80 ( https://nmap.org ) at 2023-09-10 12:00 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000024s latency).

PORT     STATE SERVICE VERSION
4444/tcp open  netcat?

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.29 seconds

注意，Nmap 正在尝试识别端口 4444 上运行的服务。在这种情况下，你使用的是 netcat，它没有提供具体的版本信息。这就是为什么 Nmap 显示“netcat?”并带有问号，表示它不确定确切的服务及其版本。

调整版本检测强度

Nmap 允许你控制版本检测过程的强度。可以使用 --version-intensity 选项来实现这一点。强度级别从 0（最轻量级的扫描）到 9（最激进的扫描）。运行一个更深入的扫描：

sudo nmap -sV --version-intensity 7 localhost -p 4444 > scan_results/intensive_version_scan.txt

像这样强度更高的扫描会向目标发送更多的探测包，会更努力地识别端口上运行的服务。不过，这也会花费更多时间，但好处是可能会得到更详细的结果。

来查看这次深入扫描的结果：

cat scan_results/intensive_version_scan.txt

结合版本检测和操作系统检测

在实际情况中，你通常需要目标的操作系统和版本信息。使用以下命令结合这两种扫描技术：

sudo nmap -sV -O localhost -p 4444 > scan_results/combined_scan.txt

-sV 选项启用版本检测，-O 选项启用操作系统检测。这种结合的方法能让你全面了解目标的操作系统和运行的服务。

来查看这次组合扫描的结果：

cat scan_results/combined_scan.txt

现在输出中同时包含了操作系统和服务版本信息，这能让你更全面地了解目标系统，这对于全面的安全评估至关重要。

了解目标的操作系统和运行的具体服务版本对于有效的安全分析至关重要。下一步，你将探索如何在实际场景中使用这些技术。

总结

在本次实验中，你学习了使用 Nmap 进行操作系统和版本检测的关键技能。从搭建基础测试环境开始，你进行了基础和高级的操作系统检测扫描，探索了服务版本检测，并结合这些技术进行了全面的网络侦察。

关键概念包括搭建可控的测试环境、使用 -O 标志进行基础操作系统检测、使用 --osscan-guess 提高检测准确性、使用 -sV 进行版本检测、结合多种技术进行扫描、创建自定义脚本以及使用不同的输出格式。这些技能是进行网络安全评估和漏洞识别的基础。在你深入学习网络安全的过程中，这些 Nmap 技术将在网络侦察、安全评估和漏洞管理方面发挥重要作用。