目录
第一章. 工具简介.... 3
第二章. 后门测试.... 4
第三章. 沙盒检测.... 6
第四章. 检测结论.... 8
第一章. 工具简介
官方网站:https://nmap.org/
nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全。
其基本功能有三个
一是探测一组主机是否在线;
二是扫描 主机端口,嗅探所提供的网络服务;
三可以推断主机所用的操作系统
1.1. 端口扫描
扫描主机的「开放端口」,在nmap后面直接跟主机IP(默认扫描1000个端口)
从上图可以看到:它用0.21秒扫描了1000个端口,其中990个端口关闭,结果中列出的10个端口就是开放的端口。
1.1.1. 指定端口
扫描「指定端口」,使用 -p 参数,可以一次扫描单个端口、多个端口、或扫描一个范围的端口
nmap 127.0.0.1 -p 80
nmap 127.0.0.1 -p 1-80
nmap 127.0.0.1 -p 80,3389,22,21
nmap 127.0.0.1 -p 1-65535
nmap 127.0.0.1 -p- # -p- 等价于 -p 1-65535
1.1.2. 指定扫描方式
TCP全连接扫描
「全连接扫描」使用完整的三次握手建立链接,能够建立链接就判定端口开放,否则判定端口关闭。
使用 -sT 参数进行TCP全连接扫描。
nmap 127.0.0.1 -p 80 -sT
SYN半链接扫描
使用 -sS 参数进行SYN半链接扫描。
nmap 127.0.0.1 -p 80 -sS
「半链接扫描」只进行两次握手,对方返回确认帧(ACK=1)就判定端口开放,否则判定端口关闭。
隐秘扫描
隐秘扫描,只适用于Linux系统。
「隐秘扫描」向目标主机的端口发送TCP FIN包 或 Xmas tree包 或 Null包,如果收到RST响应包,就判定端口关闭,否则就判定端口开放或被屏蔽(open/filtered)
nmap 127.0.0.1 -p 80 -sF # Fin扫描
nmap 127.0.0.1 -p 80 -sN # Null扫描(所有flags都为0的TCP包)
nmap 127.0.0.1 -p 80 -sX # Xmas扫描(flags的FIN、URG、PUSH都为1的包)
1.2. 主机探测
1.2.1. Ping扫描
扫描网段中有哪些主机在线,使用 -sP 参数,不扫描端口,只扫描「存活主机」。
本质上是Ping扫描,能Ping通有回包,就判定主机在线。
Nmap sP 网关/24
1.3. 服务识别
1.3.1. 服务版本
扫描端口时,默认显示端口对应的服务,但不显示服务版本。
想要识别具体的「服务版本」,可以使用 -sV 参数。
nmap 127.0.0.1 -p 80 -sV
1.4. 系统识别
1.4.1. 识别「操作系统版本」
想要识别「操作系统版本」,可以使用 -O 参数。
nmap 127.0.0.1 -p 80 -o
1.5. 扫描结果导出
1.5.1. 导出为「文本格式」
将扫描结果导出为「文本格式」,结果原样保存。
nmap 127.0.0.1 -p 80 -oN result.txt
1.5.2. 导出为「xml格式」
将扫描结果导出为「xml格式」,结果的保存格式会发生变化。
nmap 127.0.0.1 -p 80 -oX result.xml
第二章. 后门测试
2.1. 运行截图
2.2. 流量检测
通过运行Nmap进程,检测到进程发出的流量指向www.a.shifen.com(14.215.177.39)
通过分析进程流量,检测到的流量未发现存在后门特征。
对域名进行情报分析,发现属于安全域名。
第三章. 沙盒检测
将Nmap的可执行程序上传到沙盒平台进行检测,分析进程行为。
行为分析发现释放2个文件,属于Nmap正常运行所需的配置文件。
3.1. 网络行为分析,未发现可疑的行为
3.2. 风险分析,诊断为“未发现风险”
第四章. 检测结论
通过对工具的流量分析和沙盒分析,最终确认该工具属于安全的工具,不具备后门传输和释放恶意文件的特征。