利用Nmap監(jiān)測(cè)網(wǎng)絡(luò)安全

作為一名網(wǎng)絡(luò)運(yùn)維管理人員，要了解網(wǎng)絡(luò)安全狀況，就要對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，有專(zhuān)業(yè)設(shè)備或軟件更好，如果沒(méi)有，可以借助一些自由開(kāi)源軟件來(lái)完成。

Nmap（Network Mapper）是一款免費(fèi)和開(kāi)源的網(wǎng)絡(luò)探測(cè)和安全審計(jì)的實(shí)用工具。其基本功能有探測(cè)在線的主機(jī)；掃描主機(jī)端口，嗅探端口提供的網(wǎng)絡(luò)服務(wù)；推斷主機(jī)所用的操作系統(tǒng)。

Nmap支持幾乎所有的操作系統(tǒng)，其通過(guò)命令行使用，配合豐富靈活的參數(shù)可以獲得不同的信息?？梢韵馪ing一樣輸出對(duì)掃描做出響應(yīng)的主機(jī)列表；可以探測(cè)UDP或者TCP端口；可以探查主機(jī)所使用的操作系統(tǒng)；還可以探測(cè)在線主機(jī)的詳細(xì)信息，并將所探測(cè)結(jié)果記錄到日志中，以供進(jìn)一步分析。

下面做一些操作舉例：

掃描網(wǎng)絡(luò)中的主機(jī)，輸出在線主機(jī)列表：

nmap -sP 192.168.4.0/24

探測(cè)網(wǎng)絡(luò)上主機(jī)開(kāi)放的端口：

nmap -PS 192.168.4.0/24

探測(cè)目標(biāo)主機(jī)的操作系統(tǒng)：

nmap -O 192.168.4.100

通過(guò)域名掃描主機(jī)，優(yōu)化掃描時(shí)間，輸出詳細(xì)信息列表：

nmap -A -T4 -vscanme.nmap.org

掃描網(wǎng)絡(luò)主機(jī)，優(yōu)化掃描時(shí)間，輸出詳細(xì)信息列表，并保存到日志（日志文件格式可以有多種，這里是輸出xml格式）中：

nmap -A -T4-v -oX myscan.xml logs/nmap192.168.4.0/24

下面重點(diǎn)來(lái)看Nmap對(duì)網(wǎng)絡(luò)安全管理上有哪些幫助。

外部網(wǎng)絡(luò)安全的檢測(cè)

對(duì)于網(wǎng)絡(luò)安全的威脅主要來(lái)源于外部網(wǎng)絡(luò)入侵，其主要方式是對(duì)所管轄的網(wǎng)絡(luò)所提供的端口和服務(wù)進(jìn)行掃描監(jiān)聽(tīng)，依據(jù)所得數(shù)據(jù)進(jìn)行分析，找出漏洞，進(jìn)行入侵。那么可以利用Nmap進(jìn)行探測(cè)，輸出的信息供我們分析現(xiàn)在的暴露在外網(wǎng)的一些狀況，評(píng)估外部網(wǎng)絡(luò)的安全情況。Nmap官網(wǎng)提供了scanme.nmap.org進(jìn)行掃描的詳細(xì)數(shù)據(jù)。

1.開(kāi)放端口有TCP22、80、9929、31337，對(duì)于網(wǎng)管員來(lái)說(shuō)是一份非常重要的數(shù)據(jù)，這里面有沒(méi)有不需要開(kāi)放的端口，這是避免入侵的重要保障。

2.其提供了對(duì)應(yīng)端口運(yùn)行服務(wù)的詳盡信息，如80端口對(duì)應(yīng)的HTTP服務(wù)，是由Apache提供的，版本信息是Apache httpd 2.4.7。這樣的信息很重要，有沒(méi)有存在漏洞的軟件還在提供服務(wù)，為網(wǎng)絡(luò)安全管理提供了重要的依據(jù)。同時(shí)提示管理員是否需要升級(jí)更新軟件。

3.這里還有一份推斷出的操作系統(tǒng)的列表，有很多系統(tǒng)猜測(cè)，這里包括是什么操作系統(tǒng)、版本及補(bǔ)丁信息等，這是因?yàn)樘綔y(cè)過(guò)程經(jīng)歷了一系列的設(shè)備，可能有服務(wù)器、防火墻、交換機(jī)、路由器等等?？梢酝ㄟ^(guò)這份信息推斷出那些設(shè)備為在起作用，有無(wú)失效的設(shè)備。

4.通過(guò)對(duì)域名的掃描，還能的到對(duì)應(yīng)的IP，可以監(jiān)測(cè)域名有沒(méi)有被盜用。

內(nèi)部網(wǎng)絡(luò)安全的檢測(cè)

對(duì)于內(nèi)網(wǎng)安全也不可忽略，內(nèi)網(wǎng)重在監(jiān)測(cè)，監(jiān)看內(nèi)網(wǎng)主機(jī)是否感染木馬被外界控制，有無(wú)私自搭建非法服務(wù)的，有無(wú)重要的主機(jī)防護(hù)不嚴(yán)密的，這樣可以借助Nmap來(lái)掃描網(wǎng)內(nèi)主機(jī)得出數(shù)據(jù)進(jìn)行分析，找出可能出現(xiàn)的問(wèn)題。

對(duì)內(nèi)網(wǎng)掃描所得數(shù)據(jù)比外網(wǎng)多的多，主要原因有兩個(gè)：第一，掃描內(nèi)網(wǎng)主機(jī)不需要經(jīng)過(guò)眾多的路由器、防火墻以及其他的安全設(shè)備等等；第二，內(nèi)部網(wǎng)絡(luò)用戶在專(zhuān)業(yè)程度上不能與網(wǎng)管員相比，這同時(shí)也是出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題的重大隱患。如何去解決這些問(wèn)題，有以下幾點(diǎn)建議。

1.掃描數(shù)據(jù)保存，長(zhǎng)期數(shù)據(jù)對(duì)比，容易找出問(wèn)題。

2.針對(duì)網(wǎng)絡(luò)中出現(xiàn)的可能問(wèn)題，重點(diǎn)監(jiān)測(cè)，并且?guī)椭脩粜薷姆雷o(hù)策略，防患于未然。

3.對(duì)于普遍出現(xiàn)的問(wèn)題，可以制定統(tǒng)一策略，對(duì)用戶進(jìn)行必要的意識(shí)和技術(shù)上的培訓(xùn)，從根本上解決問(wèn)題。

對(duì)于命令行的使用有些用戶覺(jué)得并不方便，可以使用Nmap的GUI版本——Zenmap。

它是一個(gè)多平臺(tái)的自由和開(kāi)放源碼的應(yīng)用程序，旨在使Nmap方便初學(xué)者使用，為有經(jīng)驗(yàn)的用戶提供高級(jí)的功能。經(jīng)常使用的掃描可以保存為配置文件，易于反復(fù)運(yùn)行。允許以交互的方式使用Nmap命令行。掃描結(jié)果可以保存，以便以后查看及相互比較。Zenmap為Nmap提供更加簡(jiǎn)單、更加直觀的操作方式。

這些只是網(wǎng)絡(luò)安全管理的一小部分，網(wǎng)絡(luò)安全涉及方方面面，可能會(huì)遇到管理工具不足，管理設(shè)備或軟件單一，或者單位無(wú)法提供足夠的資金作為保障，這些都不能成為加強(qiáng)網(wǎng)絡(luò)安全管理的阻礙，只要多尋找辦法，我們一定能夠把網(wǎng)絡(luò)環(huán)境建設(shè)得更加安全。