使用 Nmap 和 Wireshark 对本地网络安全进行审计

当你考虑 审核本地网络的安全性Nmap 和 Wireshark 这两个名字反复出现。它们是免费且功能强大的工具，系统管理员和攻击者都在使用，因此，如果您想了解您的基础设施正在发生什么以及您的安全风险有多大，学习如何使用它们几乎是必须的。

结合 端口扫描、服务分析和流量捕获 您可以发现那些原本会被忽略的漏洞：例如不应该开放的端口、配置错误的服务、未加密的协议，或者局域网中的隐藏设备。在本文中，我们将详细介绍所有这些是如何相互关联的，Nmap 和 Wireshark 的具体功能，其他工具的运用，以及防御者和攻击者如何利用这些技术。

为什么审核网络端口和流量至关重要

在任何基于 TCP/IP 的网络中，您最多可以 每台机器有 65.535 个潜在端口而且其中许多端口可能处于开放状态，却无人检查。每个开放端口都是潜在的入口点，网络犯罪分子可以通过这些入口点发现特定的服务、软件版本和漏洞。

如果攻击者成功 有关您网络的详细信息 （活动主机、操作系统、活动服务、版本等），您将能够更精确地准备攻击：数据窃取、获取密码、安装恶意软件 恶意软件 或者勒索软件部署。一旦它进入网络段或特定计算机，您的隐私和服务可用性将受到严重威胁。

为了找出这些弱点，会使用以下方法： 网络分析仪和端口扫描器例如 Nmap、Zenmap、Masscan 或其他更专业的工具。目标很明确：列出开放端口，确定哪些服务正在监听这些端口，并在恶意用户之前发现任何薄弱的配置。

限制接触也至关重要： 不建议开放超出必要范围的端口。通常情况下，不再使用的或不应从某些网络段访问的服务会被暴露出来。减少这些服务暴露的程度越高， 攻击面攻击者可利用的特定错误手段就越少。

在此背景下，Nmap负责库存盘点和侦察，而 Wireshark 专门用于分析流量 在网络中循环的数据。结合使用这两个工具，您可以查看通信的“网关”（端口和服务）以及通信内容，以评估敏感数据是否以明文形式发送，或者是否使用了过时的协议。

使用 Nmap 扫描端口的真正目的是什么？

使用 Nmap 进行端口扫描可以让你…… 了解每个团队提供的服务。 以及端口状态：开放、关闭或被防火墙过滤。此网络快照对管理和安全都很有用：您可以验证是否只有所需的服务处于活动状态，并查找遗忘或配置错误的应用程序。

管理员经常使用 Nmap 来 发现潜在漏洞 在内部服务器、远程桌面服务上 数据库 暴露在外的电子邮件系统。不幸的是，攻击者也会利用这些信息来分析目标用户，识别特定软件版本，并在公共数据库中搜索可用的漏洞利用程序。

端口扫描的优势之一是其强大的功能 定期检查网络状态：检测有人在没有警告的情况下启动的新服务，检查防火墙的更改是否已正确应用，或确保应该隔离的机器没有暴露任何关键信息。

Nmap是什么？它在实践中是如何工作的？

Nmap 是一个 用于网络发现和审计的开源工具，在 Linux, Windows 以及 macOS。它主要运行于 终端不过，它也为那些喜欢使用预定义窗口和扫描配置文件的用户提供了一个图形界面（Zenmap）。

使用 Nmap，您可以 检测本地网络或互联网上的活动主机它可以识别设备是否已通电、哪些端口处于开放状态以及哪些服务正在监听这些端口。此外，它还提供高级技术，用于猜测操作系统、执行全面的网络清点，并通过其 NSE 脚本引擎实现渗透测试自动化。

该程序支持 多种扫描方式TCP（SYN、CONNECT、FIN、NULL、Xmas、ACK）、UDP、ICMP、SCTP 等协议。它还包含更隐蔽的扫描、数据包分片或伪造源地址等选项，以增加防火墙、IDS 或 IPS 检测的难度。

在对端口进行编目时，Nmap 返回多个结果。 可能状态 理解以下术语至关重要：开放、关闭、已过滤、开放|已过滤和关闭|已过滤。这有助于您区分端口是接受连接、响应但不提供服务、被防火墙阻止通信，还是仅仅因为信息不足而无法确定具体情况。

另一个强大的功能是能够使用 NSE（Nmap脚本引擎）一组脚本，用于自动化执行版本检测、对已认证服务（FTP、HTTPS 等）进行暴力破解测试等任务。 SSH的（例如 Samba…），检查 Web 服务器、DNS 和其他暴露组件是否存在已知漏洞或更高级的攻击。

Nmap中的端口状态及其对安全性的影响

Nmap扫描完成后，会显示不同端口的信息。 描述其行为的州理解它们是正确解读结果和制定网络安全决策的关键。

标记为 open 这意味着应用程序正在监听并接受 TCP 或 UDP 连接。从渗透测试人员的角度来看，这些都是利用漏洞的主要目标。在管理层面，任何开放端口都必须有正当理由，并通过身份验证、加密或适当的过滤来保护。

如果状态为 关闭该端口对 Nmap 有响应，但其背后没有运行任何服务。这证实主机处于活动状态，并有助于操作系统检测。然而，理想情况下，应该使用防火墙过滤这些端口，以防止从外部访问它们。

当它出现 过滤Nmap 无法确定端口是否开放，是因为中间设备（防火墙、过滤路由器、入侵防御系统）阻止了数据包。即使在配置良好的防火墙保护下，这些端口也经常出现这种情况，但这同时也给管理员排查问题带来了困难。

美国 打开|过滤 y 已关闭|已过滤 它们出现在响应不明确的情况下，例如使用 FIN、NULL 或 Xmas 扫描，或者使用 IP 空闲扫描等技术时。Nmap 知道存在某种过滤机制或响应不符合标准，但它无法确定其背后是否真的存在服务。

Nmap在网络审计中的主要用途

Nmap 最典型的用途是 对一个或多个主机进行端口扫描您可以根据所需详细程度，将范围限定在最常用的端口、特定端口范围或所有端口。这样，您可以定位暴露的服务、检查哪些服务器处于活动状态，并排除应该关闭的端口。

另一个关键功能是 检测网络中的实时系统Nmap 可以扫描整个范围的 IP 地址，并显示哪些设备会响应，甚至可以结合多种技术（ICMP、ARP、SYN、ACK、UDP 等）来绕过阻止某些类型流量的过滤器或防火墙。

通过检测服务和版本（-sVNmap 可以显示每个端口背后运行的软件：HTTP、SSH、FTP、Telnet、POP3、IMAP、数据库以及许多其他选项，通常还能显示确切的服务器版本。这些信息可以直接链接到已知漏洞数据库。

它也被用作一种工具，用于 网络映射通过各种扫描和集成的路由追踪，您可以推断网络拓扑结构，查看哪些设备充当中间跃点，定位关键路由器、交换机和服务器，并创建基础设施的可视化或逻辑图。

最后，Nmap 还起到辅助作用。 渗透测试和监控您可以设置定期自动扫描，以检查服务可用性、检测意外变化，或验证服务器在更新或防火墙修改后是否仍然正常运行。

Nmap中的扫描类型和规避技术

Nmap 包含多种 港口分析技术每种方法都有其自身的优势、局限性以及在目标系统日志中产生的“噪声”程度。有些方法非常直接，会留下清晰的痕迹，而另一些方法则力求尽可能地隐蔽。

扫描 SYN (-sS)半开协议（也称半开放协议）会在不完全建立 TCP 连接的情况下发送 SYN 数据包。它速度快、效率高，并且在某些情况下不易被察觉。 日志 由于未建立完整的握手过程，应用程序无法正常工作。这使得在安全性较差的网络上每秒可以扫描数千个端口。

扫描 TCP 连接（-sT） 它使用标准系统调用来建立完整的连接。如果您没有特殊权限，这是默认选项，但它会产生更多噪音：许多服务会记录这些连接尝试，使其不那么“隐蔽”。

连接器 UDP（-sU） 使用此协议（DNS、SNMP、DHCP 等）的端口虽然至关重要，但常常被忽略，因此需要进行分析。这种扫描方式速度可能较慢，并且可能会收到 ICMP“端口不可达”响应，但这对于确定防火墙后哪些端口开放或关闭非常有用。

此外，Nmap还提供扫描功能。 FIN、NULL 和圣诞节这些方法通过操纵 TCP 标志来检测端口，而不会触发典型的 SYN 信号行为。在某些系统和防火墙配置中，这些方法允许在不触发基于传统模式的警报的情况下推断端口状态​​。

在具有入侵检测/防御系统 (IDS/IPS) 或复杂规则的环境中，会将以下技术结合起来： 规避和碎片化：拆分数据包、修改数据长度、更改传输单元、使用诱饵（-D）、伪造源 IP（-S），甚至修改 MAC 起源。所有这些都使事件关联和扫描仪跟踪变得复杂。

Nmap 的下载、安装和基本示例

安装 Nmap 相对简单：它通常包含在 GNU/Linux 发行版中。 在官方仓库中可用在基于 Debian/Ubuntu 的系统上，只需在终端中运行如下命令即可。 sudo apt 安装 nmap在 Windows 和 macOS 系统上，您可以从官方网站下载安装程序或二进制文件。 下载 的项目。

安装完成后，您可以启动一个 快速端口扫描 Nmap 可以使用最少的命令（例如 IP 地址）访问主机。在这种模式下，Nmap 会重点关注最常用的端口并提供快速概览，非常适合对特定设备进行初步检查。

如果你想更详细一些，可以指定一个 端口范围 具体来说，或者甚至所有从 1 到 65535 的数字。这增加了 El Temppo 虽然需要进行扫描，但这却是确保除了常用端口之外没有其他端口开放的唯一方法，这在严格的安全审计中尤为重要。

通过合适的参数组合，Nmap 还可以 尝试识别操作系统和服务 运行于远程主机上，分析其对精心构造的数据包的响应。虽然并非总是 100% 准确，但通常能够很好地区分不同的操作系统系列（Windows、Linux 等），并有助于改进后续分析。

对于高级情况，Nmap 具有 长长的选项清单 选择目标（IP 范围、域名、列表文件、排除项），控制扫描速度和并行化，调整等待时间，定义要分析的端口以及如何以不同格式（文本、XML、grep 格式或一次性全部）记录结果。

Nmap NSE：测试自动化和服务利用

Nmap脚本引擎，也称为 NSE（Nmap脚本引擎）它为该工具增添了强大的自动化功能。您不仅可以知道哪些端口是开放的，还可以运行脚本来测试特定漏洞、执行可控的暴力破解攻击，或从复杂的服务中提取详细信息。

有NSE股票代码为 FTP、SSH、 桑巴网络服务器、DNS 诸如此类。有些工具会检查FTP服务器是否允许匿名身份验证，有些会测试SSH凭据的强度，还有些会尝试利用特定服务实现中已知的漏洞。所有这些操作都可以在端口扫描之后进行，以便集中精力于那些实际暴露的服务。

例如，可以启动一个 对 SSH 的暴力破解攻击 调用 脚本 NSE 会遍历用户名和密码列表。这同样适用于 FTP 服务，可以实现凭据测试和检查不安全配置或不应启用的匿名访问等操作的自动化。

NSE 脚本目录非常丰富，并且不断更新。您会找到从基本安全测试到……的各种脚本。 针对已记录漏洞的利用 在网络服务器、文件共享协议、数据库以及许多其他服务中都存在漏洞。因此，保持所有系统更新至关重要：即使漏洞已被修复，如果管理员没有应用更新，漏洞仍然可能被利用。

此外，您还可以创建自己的 NSE 脚本，使其适应您的环境需求，并生成 自定义输出或与其他工具的集成这使得 Nmap 成为渗透测试或持续审计流程中一个非常灵活的组件。

在无线网络中使用 Nmap

虽然许多人将 Nmap 与有线网络联系起来，但它在以下方面也非常有用： WiFi环境和混合网络连接到无线网络后，Nmap 不会区分物理传输是铜线还是空气：您可以像在有线环境中一样扫描局域网。

在WiFi网络中，最好先识别出…… DHCP 服务器分配的 IP 地址范围 从路由器上，扫描活动的主机及其端口。这样就能知道哪些移动设备正在运行这些程序。 手提电视、IP摄像头或设备 IoT 它们是否连接？它们向本地网络提供哪些服务？

像 Aircrack-ng 这样的工具可以补充 Nmap 的工作，因为它们专门用于…… 分析并破解WiFi加密 （WEP、WPA、WPA2）或通过注入数据包来测试网络稳定性。结合这两种方法，您可以评估从无线网络密钥强度到每个设备连接后开放的服务等所有方面。

一个非常实用的用途是定期检查哪些设备连接到路由器以及它们打开了哪些端口。这样你就可以…… 检测 WiFi 网络上的入侵者识别配置错误的设备，或决定将某些设备隔离到单独的 VLAN 中，以限制潜在安全漏洞的影响。

Wireshark 和其他网络流量分析工具

Nmap 专注于主机和端口识别，而 Wireshark 则专注于…… 协议分析器和流量嗅探器 它允许您详细查看网络上流通的所有内容。它尤其适用于查看纯文本凭据、分析通信故障或了解协议底层运行机制。

像这样的工具 tcpdump 和 WinDump 它们的功能类似，尽管源自…… comandos这使得它们非常适合没有图形界面的服务器或用于自动化捕获。这些 pcap 文件随后可以在 Wireshark 中打开，以便更轻松、更直观地进行分析。

在安全审计中，通常会使用 Wireshark 来检查…… Telnet、FTP、POP3 或 HTTP 等服务会以未加密的方式发送敏感信息。通过对捕获内容进行简单的筛选，您可以看到用户名、密码、命令以及电子邮件或 Web 请求的纯文本内容，从而凸显了迁移到加密替代方案（如 SSH、SFTP 或 HTTPS）的必要性。

在更高级的场景中，可以使用诸如以下工具： 更好的帽子这使得利用ARP欺骗技术对本地网络发起中间人攻击（MITM）成为可能，并使用Wireshark捕获受害者之间的流量。这可以用于研究加密协议（SSH、HTTPS）和非加密协议（Telnet、HTTP）之间的差异，并清晰地展示在未使用TLS时哪些数据会暴露出来。

除了 Wireshark 之外，还有其他替代方案和插件：Masscan 用于快速批量扫描，Angry IP Scanner 用于简单侦察，WinMTR 用于路由诊断，Skipfish 或 Scapy 用于更专业的分析和数据包操作，或者像 Kali Linux 这样更全面的套件，它将数十种渗透测试工具集成到一个发行版中。

教学示例：在局域网中使用 Nmap、Bettercap 和 Wireshark

安全课程中一个非常常见的场景是模拟…… 包含多台虚拟机的小型局域网：几台内部计算机、一个观察员和一些启用了不同服务的服务器（web、SSH、FTP、Telnet、邮件、DNS 等）。

Nmap是从观测机启动的 发现哪些团队正在使用 Ping Sweep 并使用不同的技术扫描每个主机上的端口：TCP 连接 (-sT)、SYN 扫描 (-sS)、空扫描 (-sN) 等。这样，就可以检查哪些端口是开放的以及服务如何响应。

同时，其中一台服务器启用了 rsyslog 事件日志记录功能， 他们在 iptables 中配置规则以记录 SYN 数据包 尝试建立 TCP 连接。当扫描由 Nmap 发起时，管理员可以在 /var/log/syslog 中观察到，某些方法会留下清晰的痕迹，而其他方法则几乎不生成任何条目。

然后，Bettercap被引入来执行一项 ARP欺骗和中间人攻击在这种情况下，监视设备会伪装成网络中的另外两台主机。这一点可以通过检查每台机器的 ARP 表，并使用 tshark 或 Wireshark 分析泛洪到本地网段的 ARP 流量来验证。

一旦中间人攻击成功，就会使用 Wireshark 捕获 Telnet、SSH、HTTP 和 HTTPS 会话，并将每个会话保存到 pcap 文件中。后续分析表明，在 Telnet 和 HTTP 会话中，凭据和内容以明文形式传输；而在 SSH 和 HTTPS 会话中（即使使用自签名证书），有效载荷也会被加密，无法直接读取。

Nmap 的优势、劣势和替代方案

Nmap有很多优点：它是 免费、开源且非常灵活它允许您发现开放端口，识别 操作系统即使对于初学者来说，也能相对轻松地识别服务及其版本并执行大量安全分析。

它的缺点之一是： 可用于恶意目的管理员用来保护基础设施的功能，攻击者也可以利用这些功能来查找漏洞。此外，一些不常见的设备和装置可能会对某些扫描产生不良反应，甚至导致检测系统出现误报。

您还必须记住 它并非总能正确检测操作系统 防病毒软件或防火墙可能会阻止部分 Nmap 流量，从而限制扫描结果。在大型或高度分段的网络中，如果没有网络团队的协助，很难覆盖所有子网。

至于其他替代方案，还有一些工具，例如： Fing（以及 Fingbox）、Masscan、Angry IP Scanner、WinMTR、Skipfish 或 Scapy这些工具涵盖各种特定任务，从识别已连接设备、驱逐入侵者到执行超快速扫描或在极底层操控数据包。然而，Nmap 仍然是端口扫描和审计的通用工具。

在企业领域，许多公司将 Nmap 集成到更广泛的流程中，从而定义 明确的使用政策、员工培训和更新程序该工具的目标是成为连贯安全策略的一部分，定期进行分析、审查结果，并制定周密的纠正措施。

结合 Nmap（用于端口发现和分析）、Wireshark 和其他流量检测工具，Nmap 可以全面展现本地网络的运行状况：哪些设备处于活动状态、它们提供哪些服务、哪些协议正在以明文传输，以及风险集中在哪些位置。这使您可以关闭不必要的端口、强化网络配置，并在为时已晚之前降低攻击成功的几率。