你使用Nmap執(zhí)行的正常的任務(wù)之一是驗(yàn)證你的防火墻規(guī)則正在按照預(yù)定要求執(zhí)行。要做到這一點(diǎn),運(yùn)行一次掃描查看那些對(duì)外界打開的端口,檢查那些端口是否進(jìn)行了過(guò)濾。一次簡(jiǎn)單的防火墻審計(jì)掃描操作大致是這樣的:
nmap -v -sA -ff -r -n www.yourorg.com -oA firewallaudit
上述指令的含義是,Nmap TCP ACK掃描(-sA)證實(shí)數(shù)據(jù)包是否可以不經(jīng)過(guò)過(guò)濾通過(guò)你的防火墻。通過(guò)增加-ff選項(xiàng),你還可以測(cè)試它如何處理分段的通訊。要方便地跟蹤防火墻是如何處理這些數(shù)據(jù)包的,最好是按照數(shù)字順序掃描端口。通過(guò)增加-r選項(xiàng)可以實(shí)現(xiàn)這個(gè)目的。我還使用-oA輸出選項(xiàng),這樣,你可以創(chuàng)建一個(gè)可以檢索的grepable文件以及一個(gè)XML文件用于做適當(dāng)?shù)挠涗浐蛨?bào)告。你可以使用這些輸出文件評(píng)估通訊流量通過(guò)任何未經(jīng)過(guò)濾的端口的情況,然后根據(jù)需要修改你的防火墻設(shè)置。如果你確實(shí)修改了你的防火墻,重新運(yùn)行審計(jì)掃描確認(rèn)你的修改是成功的。定期運(yùn)行這種審計(jì)掃描保證你的防火墻設(shè)置沒(méi)有被意外地修改是一個(gè)好主意。
由于大多數(shù)新病毒和間諜軟件程序在受感染的機(jī)器上制造開放的端口,在接到病毒爆發(fā)的消息之后,你應(yīng)該使用Nmap軟件掃描開放的端口。你可以使用一個(gè)ICMP ping (-PE)、TCP SYN和UDP掃描以及-sS和-sU選項(xiàng)。使用-p選項(xiàng)僅僅搜索特定的惡意軟件專門使用的端口。一個(gè)這樣的Nmap指令:nmap -PE -sS -sU -sV -p U:2140,T:2745 www.yourorg.com/24 -oG infected創(chuàng)建一個(gè)名為“infected”的輸出文件。這個(gè)文件可用來(lái)搜索“開放的”這個(gè)詞匯。在開放端口擁有未經(jīng)授權(quán)的應(yīng)用程序的任何機(jī)器都能夠被隔離和檢查。你可以使用-sV選項(xiàng)找出在那臺(tái)機(jī)器中運(yùn)行的那個(gè)應(yīng)用程序。
由于許多機(jī)構(gòu)有遠(yuǎn)程和虛擬辦公室,定期對(duì)連接網(wǎng)絡(luò)的設(shè)備進(jìn)行審計(jì)掃描,檢查安全和軟件許可證問(wèn)題,是非常重要的。下列掃描將產(chǎn)生一個(gè)客戶機(jī)、服務(wù)器、以及路由器、交換機(jī)和打印機(jī)的分類目錄:
nmap -vv -sS -O -n www.yourorg.com/24 -oA inventory
SYN scan (-sS)同步掃描與操作系統(tǒng)掃描(-0)結(jié)合在一起使用很少的數(shù)據(jù)包,同時(shí)仍然可以收集到需要的信息。如果你在一個(gè)連接速度較慢的線路上審計(jì)一個(gè)遠(yuǎn)程辦公室,你可以增加一個(gè)定時(shí)的政策,如-T 2,放慢掃描速度,在目標(biāo)機(jī)器上使用較少的帶寬和資源。最后,當(dāng)你在運(yùn)行一次Nmap掃描的時(shí)候,你可以在不放棄掃描和重新運(yùn)行掃描的情況下修改某些選項(xiàng)或者要求狀態(tài)信息。例如,輸入V將增加冗長(zhǎng)的信息輸出,同時(shí),大多數(shù)鍵值將向你提供最新的狀態(tài),顯示主機(jī)掃描已完成以及預(yù)計(jì)的剩余時(shí)間。
