网络扫描工具nc&nmap

转https://blog.csdn.net/open_data/article/details/47004291

一、NC
1、nc安装
# yum install nc

2、nc详解
linux nc命令<netcat>
 
功能说明：功能强大的网络工具
语　　法：nc [-hlnruz][-g<网关...>][-G<指向器数目>][-i<延迟秒数>][-o<输出文件>][-p<通信端口>][-s<来源位址>][-v...][-w<超时秒数>][主机名称][通信端口...]
参　　数：
  -g<网关>   设置路由器跃程通信网关，最丢哦可设置8个。
  -G<指向器数目>   设置来源路由指向器，其数值为4的倍数。
  -h   在线帮助。
  -i<延迟秒数>   设置时间间隔，以便传送信息及扫描通信端口。
  -l   使用监听模式，管控传入的资料。
  -n   直接使用IP地址，而不通过域名服务器。
  -o<输出文件>   指定文件名称，把往来传输的数据以16进制字码倾倒成该文件保存。
  -p<通信端口>   设置本地主机使用的通信端口。
  -r   乱数指定本地与远端主机的通信端口。
  -s<来源位址>   设置本地主机送出数据包的IP地址。
  -u   使用UDP传输协议。
  -v   显示指令执行过程。
  -w<超时秒数>   设置等待连线的时间。
  -z   使用0输入/输出模式，只在扫描通信端口时使用。
 
扩展资料一: nc简单使用示例
 
简单用法举例
1）端口扫描
# nc -v -w 2 192.168.2.34 -z 21-24
nc: connect to 192.168.2.34 port 21 (tcp) failed: Connection refused
Connection to 192.168.2.34 22 port [tcp/ssh] succeeded!
nc: connect to 192.168.2.34 port 23 (tcp) failed: Connection refused
nc: connect to 192.168.2.34 port 24 (tcp) failed: Connection refused
 
2)从192.168.2.33拷贝文件到192.168.2.34
在192.168.2.34上： nc -l 1234 > test.txt
在192.168.2.33上： nc 192.168.2.34 < test.txt
 
3)简单聊天工具
在192.168.2.34上： nc -l 1234
在192.168.2.33上： nc 192.168.2.34 1234
这样，双方就可以相互交流了。使用ctrl+C(或D）退出。
 
3.用nc命令操作memcached
1）存储数据：printf “set key 0 10 6rnresultrn” |nc 192.168.2.34 11211
2）获取数据：printf “get keyrn” |nc 192.168.2.34 11211
3）删除数据：printf “delete keyrn” |nc 192.168.2.34 11211
4）查看状态：printf “statsrn” |nc 192.168.2.34 11211
5）模拟top命令查看状态：watch “echo stats” |nc 192.168.2.34 11211
6）清空缓存：printf “flush_allrn” |nc 192.168.2.34 11211 (小心操作，清空了缓存就没了）
 
nc -l 1234
 
nc 127.0.0.1 1234
在端口1234建立连接，互相发送输入
 
nc -p 1234 -w 5 host.example.com 80
建立从本地1234端口到host.example.com的80端口连接，5秒超时
nc -u host.example.com 53
u为UDP连接
 
echo -n "GET / HTTP/1.0"r"n"r"n" | nc host.example.com 80
连接到主机并执行
 
nc -v -z host.example.com 70-80
扫描端口(70到80)，可指定范围。-v输出详细信息。
 
扩展资料二:命令linux nc 命令传输文件
 
nc到底干嘛用的我不多描述，今天主要讲下用nc传输文件。由于公司的设备sudo后没有ssh，scp等远程接入命令，或host.deny里面设置了ssh的deny，不管怎样的原因。我今天跨过大家常用的scp,来说明下一个更有用的轻量级工具，nc的另一个强大的功---文件传输。
 
范例如下：
 
目的主机监听 
nc -l 监听端口  > 要接收的文件名
nc -l 4444 > cache.tar.gz
 
源主机发起请求
nc  目的主机ip    目的端口 
nc  192.168.0.85  4444 
 
netstat  如下
[root@localhost jiangbao]# netstat -tpln
 
tcp        0      0 0.0.0.0:4444                0.0.0.0:*                   LISTEN      18166/nc  
 
英文描述如下 
DATA TRANSFER
Start by using nc to listen on a specific port, with output captured into a file:
 $ nc -l 1234 > filename.out
Using a second machine, connect to the listening nc process, feeding it the file which is to be transferred:
 $ nc host.example.com 1234 
 
扩展资料三: linux nc (NetCat) 命令详解,这篇文章对nc的介绍非常详细，和以上资料有部分重复.
 
一、版本
 
通常的Linux发行版中都带有NetCat（简称nc），甚至在拯救模式光盘中也由busybox提供了简版的nc工具。但不同的版本，其参数的使用略有差异。
 
[root@hatest1 ~]# cat /etc/asianux-release
Asianux release 2.0 (Trinity SP2)
[root@hatest1 ~]# cat /etc/redflag-release
Red Flag DC Server release 5.0 (Trinity SP2)
[root@hatest1 ~]# type -a nc
nc is /usr/bin/nc
[root@hatest1 ~]# rpm -q nc
nc-1.10-22
建议在使用前，先用man nc看看帮助。这里以红旗DC Server 5.0上的1.10版本进行简单说明。
假设两服务器信息：
 
引用
 
server1: 192.168.228.221
server2: 192.168.228.222
 
二、常见使用
 
1、远程拷贝文件
 
从server1拷贝文件到server2上。需要先在server2上，用nc激活监听，server2上运行：
 
[root@hatest2 tmp]# nc -lp 1234 > install.log
server1上运行：
 
引用
 
[root@hatest1 ~]# ll install.log
-rw-r–r–   1 root root 39693 12月 20   2007 install.log
[root@hatest1 ~]# nc -w 1 192.168.228.222 1234 < install.log
 
2、克隆硬盘或分区
 
操作与上面的拷贝是雷同的，只需要由dd获得硬盘或分区的数据，然后传输即可。
克隆硬盘或分区的操作，不应在已经mount的的系统上进行。所以，需要使用安装光盘引导后，进入拯救模式（或使用Knoppix工具光盘）启动系统后，在server2上进行类似的监听动作：
 
# nc -l -p 1234 | dd of=/dev/sda
 
server1上执行传输，即可完成从server1克隆sda硬盘到server2的任务：
 
# dd if=/dev/sda | nc 192.168.228.222 1234
 
※完成上述工作的前提，是需要落实光盘的拯救模式支持服务器上的网卡，并正确配置IP。
 
3、端口扫描
 
可以执行：
 
引用
 
# nc -v -w 1 192.168.228.222 -z 1-1000
hatest2 [192.168.228.222] 22 (ssh) open
 
4、保存Web页面
 
# while true; do nc -l -p 80 -q 1 < somepage.html; done
 
5、模拟HTTP Headers
 
引用
 
[root@hatest1 ~]# nc www.linuxso.com 80
GET / HTTP/1.1
Host: ispconfig.org
Referrer: mypage.com
User-Agent: my-browser
 
HTTP/1.1 200 OK
Date: Tue, 16 Dec 2008 07:23:24 GMT
Server: Apache/2.2.6 (Unix) DAV/2 mod_mono/1.2.1 mod_python/3.2.8 Python/2.4.3 mod_perl/2.0.2 Perl/v5.8.8
Set-Cookie: PHPSESSID=bbadorbvie1gn037iih6lrdg50; path=/
Expires: 0
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Cache-Control: private, post-check=0, pre-check=0, max-age=0
Set-Cookie: oWn_sid=xRutAY; expires=Tue, 23-Dec-2008 07:23:24 GMT; path=/
Vary: Accept-Encoding
Transfer-Encoding: chunked
Content-Type: text/html
[......]
在nc命令后，输入红色部分的内容，然后按两次回车，即可从对方获得HTTP Headers内容。
 
6、聊天
 
nc还可以作为简单的字符下聊天工具使用，同样的，server2上需要启动监听：
 
[root@hatest2 tmp]# nc -lp 1234
 
server1上传输：
 
[root@hatest1 ~]# nc 192.168.228.222 1234
 
这样，双方就可以相互交流了。使用Ctrl+D正常退出。
 
7、传输目录
 
从server1拷贝nginx-0.6.34目录内容到server2上。需要先在server2上，用nc激活监听，server2上运行：
 
引用
 
[root@hatest2 tmp]# nc -l 1234 |tar xzvf -
server1上运行：
 
引用
 
[root@hatest1 ~]# ll -d nginx-0.6.34
drwxr-xr-x 8 1000 1000 4096 12-23 17:25 nginx-0.6.34
[root@hatest1 ~]# tar czvf – nginx-0.6.34|nc 192.168.228.222 1234
 
 
8、参数简介
 
 
这仅是一个1.10版本的简单说明，详细的参数使用还是需要看man：
 
引用
 
想要连接到某处: nc [-options] hostname port[s] [ports] …
绑定端口等待连接: nc -l -p port [-options] [hostname] [port]
参数:
-g gateway source-routing hop point[s], up to 8
-G num source-routing pointer: 4, 8, 12, …
-h 帮助信息
-i secs 延时的间隔
-l 监听模式，用于入站连接
-n 指定数字的IP地址，不能用hostname
-o file 记录16进制的传输
-p port 本地端口号
-r 任意指定本地及远程端口
-s addr 本地源地址
-u UDP模式
-v 详细输出——用两个-v可得到更详细的内容
-w secs timeout的时间
-z 将输入输出关掉——用于扫描时，其中端口号可以指定一个或者用lo-hi式的指定范围。
 
 
三、版本差异
 
不用系统上提供的nc版本会有说不同，其提供的参数使用方法也略有差异。
例如，红旗Asianux 3.0 SP1拯救光盘上的版本是供使用的参数仅有一部分：
 
引用
 
# nc -h
BusyBox v1.2.0 (2008.04.14-01:35+0000) multi-call binary
 
Usage: nc [OPTIONS] [IP] [port]
 
Netcat opens a pipe to IP:port
 
Options:
         -l               listen mode, for inbound connects
         -p PORT         local port number
         -i SECS         delay interval for lines sent
         -e PROG         program to exec after connect (dangerous!)
         -w SECS         timeout for connects and final net reads
而在Asianux 3.0 SP1系统中提供的nc版本则是1.84的，按上面的参数用法写会执行不了：
 
引用
 
[root@ftpserver ~]# rpm -q nc
nc-1.84-10
[root@ftpserver ~]# nc -lp 1234
usage: nc [-46DdhklnrStUuvzC] [-i interval] [-p source_port]
           [-s source_ip_address] [-T ToS] [-w timeout] [-X proxy_version]
           [-x proxy_address[:port]] [hostname] [port[s]]
讲查看man文档，可见在这个版本中，-l是不能与-s、-p、-z一起使用的，-w参数也会被忽略，所以，正确的用法是：
 
[root@ftpserver tmp]# nc -l 1234
 
四、用在脚本中
 
nc每次启动监听后，都会在客户端连接完成并退出的同时，服务端一同退出。所以，如果需要不断的使用nc进行数据传输，需要在脚本中使用循环。利用nc实现更多的功能，可参考其rpm提供的参考脚本：
 
引用
 
# rpm -qd nc
/usr/share/doc/nc-1.10/Changelog
/usr/share/doc/nc-1.10/README
/usr/share/doc/nc-1.10/scripts/README
/usr/share/doc/nc-1.10/scripts/alta
/usr/share/doc/nc-1.10/scripts/bsh
/usr/share/doc/nc-1.10/scripts/dist.sh
/usr/share/doc/nc-1.10/scripts/irc
 
/usr/share/doc/nc-1.10/scripts/iscan
/usr/share/doc/nc-1.10/scripts/ncp
/usr/share/doc/nc-1.10/scripts/probe
/usr/share/doc/nc-1.10/scripts/web
/usr/share/doc/nc-1.10/scripts/webproxy
/usr/share/doc/nc-1.10/scripts/webrelay
/usr/share/doc/nc-1.10/scripts/websearch
/usr/share/man/man1/nc.1.gz
二、NMAP
1、安装
# yum install nmap

2、详解
Nmap即Network Mapper，它是在免费软件基金会的GNU General Public License (GPL)下发布的。其基本功能有：探测一组主机是否在线；扫描主机端口，嗅探提供的网络服务；判断主机的操作系统。软件下载后，执行configure、make和make install三个命令，将nmap二进制码安装到系统上，就可以执行nmap了。

官网下载：http://nmap.org/download.html

或下载包

rpm -vhU http://nmap.org/dist/nmap-5.21-1.i386.rpm
rpm -vhU http://nmap.org/dist/zenmap-5.21-1.noarch.rpm

测试系统：CentOS5.3

      Nmap的语法很简单，但功能十分强大。比如：Ping-scan命令就是“-sP”，在确定了目标主机和网络之后，即可进行扫描。如果以root来运行Nmap，Nmap的功能会更加增强，因为超级用户可以创建便于Nmap利用的定制数据包。使用Nmap进行单机扫描或是整个网络的扫描很简单，只要将带有“/mask”的目标地址指定给Nmap即可。另外，Nmap允许使用各类指定的网络地址，比如192.168.1.*，是对所选子网下的主机进行扫描。

nmap的使用方法

下面是Nmap支持的四种最基本的扫描方式：

    * TCP connect()端口扫描（-sT参数）。

    * TCP同步（SYN）端口扫描（-sS参数）。

    * UDP端口扫描（-sU参数）。

    * Ping扫描（-sP参数）

如果要勾画一个网络的整体情况，Ping扫描和TCP SYN扫描最为实用。

    * Ping扫描通过发送ICMP（Internet Control Message Protocol，Internet控制消息协议）回应请求数据包和TCP应答（Acknowledge，简写ACK）数据包，确定主机的状态，非常适合于检测指定网段内正在运行的主机数量。

    * TCP SYN扫描一下子不太好理解，但如果将它与TCP connect()扫描比较，就很容易看出这种扫描方式的特点。在TCP connect()扫描中，扫描器利用操作系统本身的系统调用打开一个完整的TCP连接也就是说，扫描器打开了两个主机之间的完整握手过程（SYN， SYN-ACK，和ACK）。一次完整执行的握手过程表明远程主机端口是打开的。

    * TCP SYN扫描创建的是半打开的连接，它与TCP connect()扫描的不同之处在于，TCP SYN扫描发送的是复位（RST）标记而不是结束ACK标记（即，SYN，SYN-ACK，或RST）：如果远程主机正在监听且端口是打开的，远程主机用 SYN-ACK应答，Nmap发送一个RST；如果远程主机的端口是关闭的，它的应答将是RST，此时Nmap转入下一个端口。

-sS 使用SYN＋ACK的方法，使用TCP SYN，

-sT 使用TCP的方法， 3次握手全做

-sU 使用UDP的方法

-sP ICMP ECHO Request 送信，有反应的端口进行调查

-sF FIN SCAN

-sX

-sN 全部FLAG OFF的无效的TCP包送信，根据错误代码判断端口情况

-P0 无视ICMP ECHO request的结果，SCAN

-p scan port range 指定SCAN的目端口的范围

   1-100, 或者使用25,100的方式

-O 侦测OS的种类

-oN 文件名 通常格式文件输出

-oX 文件名 通过DTD，使用XML格式输出结果

-oG 文件名，grep容易的格式输出

-sV 服务的程序名和版本SCAN

Ping扫描：入侵者使用Nmap扫描整个网络寻找目标。通过使用“-sP”命令，缺省情况下，Nmap给每个扫描到的主机发送一个ICMP echo和一个TCP ACK，主机对任何一种的响应都会被Nmap得到。如下所示。

[root@coremail ~]# nmap -sP 192.168.1.60

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:46 CST
Nmap scan report for 192.168.1.60
Host is up (0.00085s latency).
Nmap done: 1 IP address (1 host up) scanned in 0.49 seconds

Nmap支持不同类别的端口扫描，TCP连接扫描可以使用“-sT”命令，TCP connect()端口扫描（-sT参数）。具体如下所示：
[root@coremail ~]# nmap -sT 192.168.92.129

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:51 CST
Nmap scan report for 192.168.92.129
Host is up (0.0017s latency).
Not shown: 997 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
111/tcp   open  rpcbind
11111/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 0.48 seconds

隐蔽扫描(Stealth Scanning) 。在扫描时，如果攻击者不想使其信息被记录在目标系统日志上，TCP SYN扫描可帮你的忙。使用“-sS”命令，就可以发送一个SYN扫描探测主机或网络。如下所示。

[root@coremail ~]# nmap -sS www.baidu.com

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:51 CST
Nmap scan report for www.baidu.com (220.181.6.175)
Host is up (0.0094s latency).
Not shown: 998 filtered ports
PORT   STATE SERVICE
21/tcp open  ftp
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 56.54 seconds

如果一个攻击者想进行UDP扫描，即可知哪些端口对UDP是开放的。Nmap将发送一个O字节的UDP包到每个端口。如果主机返回端口不可达，则表示端口是关闭的。UDP端口扫描（-sU参数）。如下所示。

[root@coremail ~]# nmap -sU 192.168.92.129

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:53 CST
Nmap scan report for 192.168.92.129
Host is up (0.000019s latency).
Not shown: 996 closed ports
PORT    STATE         SERVICE
68/udp  open|filtered dhcpc
111/udp open          rpcbind
123/udp open|filtered ntp
631/udp open|filtered ipp

Nmap done: 1 IP address (1 host up) scanned in 1.93 secon

操作系统识别。通过使用“-O”选项，就可以探测远程操作系统的类型。Nmap通过向主机发送不同类型的探测信号，缩小查找的操作系统系统的范围。如图6所示。

[root@coremail ~]# nmap -sS -O 192.168.92.129

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:56 CST
Nmap scan report for 192.168.92.129
Host is up (0.00024s latency).
Not shown: 997 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
111/tcp   open  rpcbind
11111/tcp open  unknown
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.15 - 2.6.30
Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 5.72 seconds

Ident扫描。攻击者都喜欢寻找一台对于某些进程存在漏洞的电脑，比如一个以root运行的WEB服务器。如果目标机运行了identd，攻击者就可以通过“-I”选项的TCP连接发现哪个用户拥有http守护进程。我们以扫描一个Linux WEB服务器为例，使用如下命令即可：

[root@coremail ~]# nmap -sT -p 80  -O  www.baidu.com

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 12:58 CST
Nmap scan report for www.baidu.com (220.181.6.175)
Host is up (0.0069s latency).
PORT   STATE    SERVICE
80/tcp filtered http
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|storage-misc|WAP|game console
Running (JUST GUESSING) : Apple Mac OS X 10.5.X (96%), BlueArc embedded (87%), KCorp embedded (86%), Nintendo embedded (86%)
Aggressive OS guesses: Apple Mac OS X 10.5.5 (Leopard) (96%), BlueArc Titan 2100 NAS device (87%), KCorp KLG-575 WAP (86%), Nintendo DS game console (86%)
No exact OS matches for host (test conditions non-ideal).

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 5.39 seconds

[root@coremail ~]# nmap -sT -p 80  -O  192.168.92.129

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-08 13:00 CST
Nmap scan report for 192.168.92.129
Host is up (0.00014s latency).
PORT   STATE SERVICE
80/tcp open  http
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.15 - 2.6.30
Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 2.86 seconds

隐藏扫描的源地址:

      假设你的系统IP是192.168.1.20，但是你希望你的系统发出的所有NMAP包都被标注为IP地址20.20.20.20，那你可以用下面的命令来对名为sandi德系统发出数据包：

          nmap  -S 20.20.20.20 -e eth0 -P0 -sS -v sandi

    -P0(不PING)和-sS(TCP SYN隐藏端口扫描)使得Nmap执行基于 TCP扫描但不首先发ping 数据包。-sS选项能帮助进行的扫描通过过滤初始SYN数据包的防火墙。

       要让系统使用端口53来发送数据包执行和上面相似的扫描，可发出下面的命令

      nmap -g 53 -S 20.20.20.20  -e eth0 -P0 -sS -v sandi

     除了以上这些扫描，Nmap还提供了很多选项，这是很多Linux攻击者的必备法宝之一，通过这个软件，我们就可以对系统了如指掌，从而为下面的攻击打下良好的基础。