namp安装及官方使用手册翻译及注释5

时间和性能

Nmap开发的最高优先级是性能。在本地网络对一个主机的默认扫描(nmap <hostname>)需要1/5秒。而仅仅眨眼的时间，就需要扫描上万甚至几十万的主机。此外，一些特定的扫描选项会明显增加扫描时间，如UDP扫描和版本检测。同样，防火墙配置以及特殊的响应速度限制也会增加时间。Nmap使用了并行算法和许多先进的算法来加速扫描，用户对Nmap如何工作有最终的控制权。高级用户可以仔细地调整Nmap命令，在满足时间要求的同时获得他们所关心的信息。

改善扫描时间的技术有：忽略非关键的检测、升级最新版本的Nmap(性能增强不断改善)。优化时间参数也会带来实质性的变化，这些参数如下。

`--min-hostgroup <size>`; `--max-hostgroup <size>` (调整并行扫描组的大小)

Nmap具有并行扫描多主机端口或版本的能力，Nmap将多个目标IP地址空间分成组，然后在同一时间对一个组进行扫描。通常，大的组更有效。缺点是只有当整个组扫描结束后才会提供主机的扫描结果。如果组的大小定义为50，则只有当前50个主机扫描结束后才能得到报告(详细模式中的补充信息除外)。

默认方式下，Nmap采取折衷的方法。开始扫描时的组较小，最小为5，这样便于尽快产生结果；随后增长组的大小，最大为1024。确切的大小依赖于所给定的选项。为保证效率，针对UDP或少量端口的TCP扫描，Nmap 使用大的组。

--max-hostgroup选项用于说明使用最大的组，Nmap不会超出这个大小。--min-hostgroup选项说明最小的组，Nmap 会保持组大于这个值。如果在指定的接口上没有足够的目标主机来满足所指定的最小值，Nmap可能会采用比所指定的值小的组。这两个参数虽然很少使用，但都用于保持组的大小在一个指定的范围之内。

这些选项的主要用途是说明一个最小组的大小，使得整个扫描更加快速。通常选择256来扫描C类网段。对于端口数较多的扫描，超出该值没有意义。对于端口数较少的扫描，2048或更大的组大小是有帮助的。

`--min-parallelism <numprobes>`; `--max-parallelism <numprobes>` (调整探测报文的并行度)

这些选项控制用于主机组的探测报文数量，可用于端口扫描和主机发现。默认状态下， Nmap基于网络性能计算一个理想的并行度，这个值经常改变。如果报文被丢弃， Nmap降低速度，探测报文数量减少。随着网络性能的改善，理想的探测报文数量会缓慢增加。这些选项确定这个变量的大小范围。默认状态下，当网络不可靠时，理想的并行度值可能为1，在好的条件下，可能会增长至几百。

最常见的应用是--min-parallelism值大于1，以加快性能不佳的主机或网络的扫描。这个选项具有风险，如果过高则影响准确度，同时也会降低Nmap基于网络条件动态控制并行度的能力。这个值设为10较为合适，这个值的调整往往作为最后的手段。

--max-parallelism选项通常设为1，以防止Nmap在同一时间向主机发送多个探测报文，和选择--scan-delay同时使用非常有用，虽然这个选项本身的用途已经很好。

`--min-rtt-timeout <milliseconds>`， `--max-rtt-timeout <milliseconds>`， `--initial-rtt-timeout <milliseconds>` (调整探测报文超时)

Nmap使用一个运行超时值来确定等待探测报文响应的时间，随后会放弃或重新发送探测报文。Nmap基于上一个探测报文的响应时间来计算超时值，如果网络延迟比较显著和不定，这个超时值会增加几秒。初始值的比较保守(高)，而当Nmap扫描无响应的主机时，这个保守值会保持一段时间。

这些选项以毫秒为单位，采用小的--max-rtt-timeout值，使 --initial-rtt-timeout值大于默认值可以明显减少扫描时间，特别是对不能ping通的扫描(-P0)以及具有严格过滤的网络。如果使用太小的值，使得很多探测报文超时从而重新发送，而此时可能响应消息正在发送，这使得整个扫描的时间会增加。

如果所有的主机都在本地网络，对于--max-rtt-timeout值来说，100毫秒比较合适。如果存在路由，首先使用ICMP ping工具ping主机，或使用其它报文工具如hpings，可以更好地穿透防火墙。查看大约10个包的最大往返时间，然后将 --initial-rtt-timeout设成这个时间的2倍，--max-rtt-timeout 可设成这个时间值的3倍或4倍。通常，不管ping的时间是多少，最大的rtt值不得小于100ms，不能超过1000ms。

--min-rtt-timeout这个选项很少使用，当网络不可靠时， Nmap的默认值也显得过于强烈，这时这个选项可起作用。当网络看起来不可靠时，Nmap仅将超时时间降至最小值，这个情况是不正常的，需要向nmap-dev邮件列表报告bug。

`--host-timeout <milliseconds>` (放弃低速目标主机)

由于性能较差或不可靠的网络硬件或软件、带宽限制、严格的防火墙等原因，一些主机需要很长的时间扫描。这些极少数的主机扫描往往占据了大部分的扫描时间。因此，最好的办法是减少时间消耗并且忽略这些主机，使用 --host-timeout选项来说明等待的时间(毫秒)。通常使用1800000 来保证Nmap不会在单个主机上使用超过半小时的时间。需要注意的是，Nmap在这半小时中可以同时扫描其它主机，因此并不是完全放弃扫描。超时的主机被忽略，因此也没有针对该主机的端口表、操作系统检测或版本检测结果的输出。

`--scan-delay <milliseconds>`; `--max-scan-delay <milliseconds>` (调整探测报文的时间间隔)

这个选项用于Nmap控制针对一个主机发送探测报文的等待时间(毫秒)，在带宽控制的情况下这个选项非常有效。Solaris主机在响应UDP扫描探测报文报文时，每秒只发送一个ICMP消息，因此Nmap发送的很多数探测报文是浪费的。--scan-delay 设为1000，使Nmap低速运行。Nmap尝试检测带宽控制并相应地调整扫描的延迟，但并不影响明确说明何种速度工作最佳。

--scan-delay的另一个用途是躲闭基于阈值的入侵检测和预防系统(IDS/IPS)。

`-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane>` (设置时间模板)

上述优化时间控制选项的功能很强大也很有效，但有些用户会被迷惑。此外，往往选择合适参数的时间超过了所需优化的扫描时间。因此，Nmap提供了一些简单的方法，使用6个时间模板，使用时采用-T选项及数字(0 - 5) 或名称。模板名称有paranoid (0)、sneaky (1)、polite (2)、normal(3)、 aggressive (4)和insane (5)。前两种模式用于IDS躲避，Polite模式降低了扫描速度以使用更少的带宽和目标主机资源。默认模式为Normal，因此-T3 实际上是未做任何优化。Aggressive模式假设用户具有合适及可靠的网络从而加速扫描。Insane模式假设用户具有特别快的网络或者愿意为获得速度而牺牲准确性。

用户可以根据自己的需要选择不同的模板，由Nmap负责选择实际的时间值。模板也会针对其它的优化控制选项进行速度微调。例如，-T4 针对TCP端口禁止动态扫描延迟超过10ms，-T5对应的值为5ms。模板可以和优化调整控制选项组合使用，但模板必须首先指定，否则模板的标准值会覆盖用户指定的值。建议在扫描可靠的网络时使用 -T4，即使在自己要增加优化控制选项时也使用(在命令行的开始)，从而从这些额外的较小的优化中获益。

如果用于有足够的带宽或以太网连接，仍然建议使用-T4选项。有些用户喜欢-T5选项，但这个过于强烈。有时用户考虑到避免使主机崩溃或者希望更礼貌一些会采用-T2选项。他们并没意识到-T Polite选项是如何的慢，这种模式的扫描比默认方式实际上要多花10倍的时间。默认时间选项(-T3)很少有主机崩溃和带宽问题，比较适合于谨慎的用户。不进行版本检测比进行时间调整能更有效地解决这些问题。

虽然-T0和-T1选项可能有助于避免IDS告警，但在进行上千个主机或端口扫描时，会显著增加时间。对于这种长时间的扫描，宁可设定确切的时间值，而不要去依赖封装的-T0和-T1选项。

T0选项的主要影响是对于连续扫描，在一个时间只能扫描一个端口，每个探测报文的发送间隔为5分钟。T1和T2选项比较类似，探测报文间隔分别为15秒和0.4秒。T3是Nmap的默认选项，包含了并行扫描。 T4选项与 --max-rtt-timeout 1250 --initial-rtt-timeout 500 等价，最大TCP扫描延迟为10ms。T5等价于 --max-rtt-timeout 300 --min-rtt-timeout 50 --initial-rtt-timeout 250 --host-timeout 900000，最大TCP扫描延迟为5ms。

防火墙/IDS躲避和哄骗

很多Internet先驱们设想了一个全球开放的网络，使用全局的IP 地址空间，使得任何两个节点之间都有虚拟连接。这使得主机间可以作为真正的对等体，相互间提供服务和获取信息。人们可以在工作时访问家里所有的系统、调节空调温度、为提前到来的客人开门。随后，这些全球连接的设想受到了地址空间短缺和安全考虑的限制。在90年代早期，各种机构开始部署防火墙来实现减少连接的目的，大型网络通过代理、NAT和包过滤器与未过滤的Internet隔离。不受限的信息流被严格控制的可信通信通道信息流所替代。

类似防火墙的网络隔离使得对网络的搜索更加困难，随意的搜索变得不再简单。然而，Nmap提供了很多特性用于理解这些复杂的网络，并且检验这些过滤器是否正常工作。此外，Nmap提供了绕过某些较弱的防范机制的手段。检验网络安全状态最有效的方法之一是尝试哄骗网络，将自己想象成一个攻击者，使用本节提供的技术来攻击自己的网络。如使用FTP bounce扫描、Idle扫描、分片攻击或尝试穿透自己的代理。

除限止网络的行为外，使用入侵检测系统(IDS)的公司也不断增加。由于Nmap 常用于攻击前期的扫描，因此所有主流的IDS都包含了检测Nmap扫描的规则。现在，这些产品变形为入侵预防系统(IPS)，可以主动地阻止可疑的恶意行为。不幸的是，网络管理员和IDS厂商通过分析报文来检测恶意行为是一个艰苦的工作，有耐心和技术的攻击者，在特定Nmap选项的帮助下，常常可以不被IDS检测到。同时，管理员必须应付大量的误报结果，正常的行为被误判而被改变或阻止。

有时，人们建议Nmap不应该提供躲闭防火墙规则或哄骗IDS的功能，这些功能可能会被攻击者滥用，然而管理员却可以利用这些功能来增强安全性。实际上，攻击的方法仍可被攻击者利用，他们可以发现其它工具或Nmap的补丁程序。同时，管理员发现攻击者的工作更加困难，相比较采取措施来预防执行FTP Bounce攻击的工具而言，部署先进的、打过补丁的FTP服务器更加有效。

Nmap不提供检测和破坏防火墙及IDS系统的魔弹(或Nmap选项)，它使用的是技术和经验，这超出了本参考手册的范围，下面描述了相关的选项和完成的工作。

`-f` (报文分段); `--mtu` (使用指定的MTU)

-f选项要求扫描时(包挺ping扫描)使用小的IP包分段。其思路是将TCP头分段在几个包中，使得包过滤器、 IDS以及其它工具的检测更加困难。必须小心使用这个选项，有些系统在处理这些小包时存在问题，例如旧的网络嗅探器Sniffit在接收到第一个分段时会立刻出现分段错误。该选项使用一次，Nmap在IP 头后将包分成8个字节或更小。因此，一个20字节的TCP头会被分成3个包，其中2个包分别有TCP头的8个字节，另1个包有TCP头的剩下4个字节。当然，每个包都有一个IP头。再次使用-f可使用 16字节的分段(减少分段数量)。使用--mtu选项可以自定义偏移的大小，使用时不需要-f，偏移量必须是8的倍数。包过滤器和防火墙对所有的IP分段排队，如Linux核心中的 CONFIG-IP-ALWAYS-DEFRAG配置项，分段包不会直接使用。一些网络无法承受这样所带来的性能冲击，会将这个配置禁止。其它禁止的原因有分段包会通过不同的路由进入网络。一些源系统在内核中对发送的报文进行分段，使用iptables连接跟踪模块的Linux就是一个例子。当使用类似Ethereal 的嗅探器时，扫描必须保证发送的报文要分段。如果主机操作系统会产生问题，尝试使用--send-eth选项以避开IP层而直接发送原始的以太网帧。

`-D <decoy1 [，decoy2][，ME]，...>` (使用诱饵隐蔽扫描)

为使诱饵扫描起作用，需要使远程主机认为是诱饵在扫描目标网络。 IDS可能会报个某个IP的5-10个端口扫描，但并不知道哪个IP在扫描以及哪些不是诱饵。但这种方式可以通过路由跟踪、响应丢弃以及其它主动机制在解决。这是一种常用的隐藏自身IP地址的有效技术。

使用逗号分隔每个诱饵主机，也可用自己的真实IP作为诱饵，这时可使用 ME选项说明。如果在第6个位置或更后的位置使用ME选项，一些常用端口扫描检测器(如Solar Designer's excellent scanlogd)就不会报告这个真实IP。如果不使用ME选项，Nmap 将真实IP放在一个随机的位置

注意，作为诱饵的主机须在工作状态，否则会导致目标主机的SYN洪水攻击。如果在网络中只有一个主机在工作，那就很容易确定哪个主机在扫描。也可使用IP地址代替主机名(被诱骗的网络就不可能在名字服务器日志中发现)。

诱饵可用在初始的ping扫描(ICMP、SYN、ACK等)阶段或真正的端口扫描阶段。诱饵也可以用于远程操作系统检测(-O)。在进行版本检测或TCP连接扫描时，诱饵无效。

使用过多的诱饵没有任何价值，反而导致扫描变慢并且结果不准确。此外，一些ISP会过滤哄骗的报文，但很多对欺骗IP包没有任何限制。

`-S <IP_Address>` (源地址哄骗)

在某些情况下，Nmap可能无法确定你的源地址(如果这样，Nmap会给出提示)。此时，使用-S选项并说明所需发送包的接口IP地址。

这个标志的另一个用处是哄骗性的扫描，使得目标认为是另一个地址在进行扫描。可以想象某一个竞争对手在不断扫描某个公司！ -e选项常在这种情况下使用，也可采用-P0选项。

`-e <interface>` (使用指定的接口)

告诉Nmap使用哪个接口发送和接收报文，Nmap可以进行自动检测，如果检测不出会给出提示。

`--source-port <portnumber>;` `-g <portnumber>` (源端口哄骗)

仅依赖于源端口号就信任数据流是一种常见的错误配置，这个问题非常好理解。例如一个管理员部署了一个新的防火墙，但招来了很多用户的不满，因为他们的应用停止工作了。可能是由于外部的UDP DNS服务器响应无法进入网络，而导致 DNS的崩溃。FTP是另一个常见的例子，在FTP传输时，远程服务器尝试和内部用建立连接以传输数据。

对这些问题有安全解决方案，通常是应用级代理或协议分析防火墙模块。但也存在一些不安全的方案。注意到DNS响应来自于53端口，FTP连接来自于20端口，很多管理员会掉入一个陷阱，即允许来自于这些端口的数据进入网络。他们认为这些端口里不会有值得注意的攻击和漏洞利用。此外，管理员或许认为这是一个短期的措施，直至他们采取更安全的方案。但他们忽视了安全的升级。

不仅仅是工作量过多的网络管理员掉入这种陷阱，很多产品本身也会有这类不安全的隐患，甚至是微软的产品。Windows 2000和Windows XP中包含的IPsec过滤器也包含了一些隐含规则，允许所有来自88端口(Kerberos)的TCP和UDP数据流。另一个常见的例子是Zone Alarm个人防火墙到2.1.25版本仍然允许源端口53(DNS)或 67(DHCP)的UDP包进入。

Nmap提供了-g和--source-port选项(它们是等价的)，用于利用上述弱点。只需要提供一个端口号，Nmap就可以从这些端口发送数据。为使特定的操作系统正常工作，Nmap必须使用不同的端口号。 DNS请求会忽略--source-port选项，这是因为Nmap依靠系统库来处理。大部分TCP扫描，包括SYN扫描，可以完全支持这些选项，UDP扫描同样如此。

`--data-length <number>` (发送报文时附加随机数据)

正常情况下，Nmap发送最少的报文，只含一个包头。因此TCP包通常是40字节，ICMP ECHO请求只有28字节。这个选项告诉Nmap在发送的报文上附加指定数量的随机字节。操作系统检测(-O)包不受影响，但大部分ping和端口扫描包受影响，这会使处理变慢，但对扫描的影响较小。

--ttl <value> (设置IP time-to-live域)

设置IPv4报文的time-to-live域为指定的值。

`--randomize-hosts` (对目标主机的顺序随机排列)

告诉Nmap在扫描主机前对每个组中的主机随机排列，最多可达 8096个主机。这会使得扫描针对不同的网络监控系统来说变得不是很明显，特别是配合值较小的时间选项时更有效。如果需要对一个较大的组进行随机排列，需要增大nmap.h文件中 PING-GROUP-SZ的值，并重新编译。另一种方法是使用列表扫描 (-sL -n -oN <filename>)，产生目标IP的列表，使用Perl脚本进行随机化，然后使用-iL提供给Nmap。

`--spoof-mac <mac address，prefix，or vendor name>` (MAC地址哄骗)

要求Nmap在发送原以太网帧时使用指定的MAC地址，这个选项隐含了 --send-eth选项，以保证Nmap真正发送以太网包。MAC地址有几种格式。如果简单地使用字符串“0”，Nmap选择一个完全随机的MAC 地址。如果给定的字符品是一个16进制偶数(使用:分隔)，Nmap将使用这个MAC地址。如果是小于12的16进制数字，Nmap会随机填充剩下的6个字节。如果参数不是0或16进制字符串，Nmap将通过nmap-mac-prefixes查找厂商的名称(大小写区分)，如果找到匹配，Nmap将使用厂商的OUI(3字节前缀)，然后随机填充剩余的3个节字。正确的--spoof-mac参数有， Apple， 0，01:02:03:04:05:06， deadbeefcafe，0020F2，和Cisco.