通过发现阶段，我们得到了目标网段的存活主机，以及这些主机上开放的端口列表，识别阶段就是识别这些开放端口所运行的协议和产品，以及主机的操作系统信息。

图1 /etc/services文件

图2 nmap协议指纹库

该协议指纹库主要由Probe指令、Softmatch指令和Match指令构成，此外，还包括一些辅助性指令。

Probe指令指明了探测包的具体内容。

语法如下：

Probe <protocol> <probename> <probestring> [no-payload]

示例如下:

Probe TCP GetRequest q|GET / HTTP/1.0\r\n\r\n|

上述示例中，探测包的名字为GetRequest，使用TCP协议向目标端口进行探测，探测包的内容用q||界定范围（q||），上述探测包的内容为'GET / HTTP/1.0\r\n\r\n'。

Softmatch指令提供了一个正则表达式匹配响应报文，但是仅能识别服务类型，而无法识别版本信息。

语法如下：

softmatch <service> <pattern>

示例如下：

softmatch ftp m/^220 [-.\w ]+ftp.*\r\n$/i

上述示例中，softmatch指令用pattern（格式为m/[regex]/[opts])的正则表达式匹配响应报文，匹配成功则判定为ftp服务，其中pattern中的m//用于界定范围，i为选项，表示忽略大小写匹配。

match指令类似softmatch指令，其不仅能识别服务，还能识别产品和版本信息。

语法如下：

match <service> <pattern> [<versioninfo>]

示例如下：

match ftp m/^220.*Welcome to .*Pure-?FTPd (\d\S+\s*)/ p/Pure-FTPd/ v/$1/ cpe:/a:pureftpd:pure-ftpd:$1/

比如，上述match指令，匹配成功的产品为Pure-FTPd，版本号通过正则表达式的括号符提取。

Nmap使用该指纹库对某个端口进行协议识别的大致流程如下：

    1. Nmap检查该端口是否是要排除的端口之一，这些端口为9100到9107，这些是打印机监听的常用端口，版本检测扫描可会使打印机执行打印操作，故被排除。

    2. 进行TCP三次握手。

    3. 三次握手成功相当于执行了NULL probe，这个时候有很多协议会在第三次握手返回文本信息，其中包含协议的指纹，这些文本信息叫做banner信息，比如FTP可能会返回220 FTP version 1.0 Current users: 0。SSH可能会返回SSH-2.0-OpenSSH_8.9p1 Ubuntu-3。Nmap大概有3000个NULL probe指纹，如果能直接通过返回的banner信息得到协议类型和版本号，则被称为完全匹配，如果仅能识别协议类型而不能识别版本号，则被称为软匹配，需要发送更多探测包进行深度探测。nmap会向目标端口发送对应的probe，因为每个协议通常都会对应一组常用端口列表，比如web服务列表为：80-85，8000-8010，8080-8085，通过端口推测协议，然后用该协议对应的probe进行探测。

    4. 三次握手失败则进行udp探测。

此方法利用了不同操作系统在实现TCP/IP协议栈时的细微差异。比如，不同操作系统的ICMP回显响应报文的TTL初始值是不同的，在Windows 系统TTL 值初始值会设定为 127，Linux 系统 TTL 值初始值设定为 64。图3是向两个主机发送的ICMP探测结果，由于互联网中IP报文会经过的路由器数量通常不会超过 32 个，所以可以推测出111.204.7.26的操作系统为Windows，而110.242.68.66的操作系统为Linux。

图3 不同操作系统的ICMP实现差异

但事实上，Nmap识别操作系统的方式十分复杂。为了利用尽可能多的实现差异确保操作系统识别的准确率，Nmap会向目标机器的开放和未开放端口发送最多可达16个TCP、UDP和ICMP探测包，这些探测包头部的各个字段字段会被设置特定的值并依照某种特定顺序发送，然后得到响应报文。Nmap会从这些响应报文中提取出数十个属性（比如上述ICMP回显响应报文的TTL就是其中之一）并对它们计算分析，然后组合成指纹，通过nmap-os-db指纹数据库匹配确定操作系统的类别和版本。关于Nmap具体实现细节，感兴趣的读者可以参考Nmap官文手册。

图4 Windows系统常见端口

不同版本的操作系统在实现TCP的重传等待时间是不一致的，可以通过向目标开放端口发送SYN报文，然后忽略返回的SYN/ACK报文或者用RST作为回应，此时目标主机多次重新发送SYN/ACK报文，通过分析重传时间可以区分的操作系统。但是由于速率慢、丢包、延迟会影响结果等问题，Nmap并未实现该方法。

资源阶段的主要任务是获取目标系统的详细资源信息，以便为后续的分析和利用提供基础数据，包括但不限于banner信息、SSL证书信息，网页内容等。

Banner信息是指在网络服务的初始连接阶段，服务端返回给客户端的标识信息。这些信息通常包含服务的名称、版本、操作系统信息以及其他与服务相关的细节。事实上，在使用Nmap协议指纹库进行协议识别时，通过发送NULL probe在识别协议服务的同时就已经拿到了banner信息。banner信息通常有2种触发形式：1.发送NULL Probe，即完成TCP三次握手后，目标服务主动发送banner信息；2需要使用特定格式的Probe，比如HTTP协议，需要构造GET请求获得。

在不确定目标端口协议时，通过Telnet、Netcat连接目标端口完成三次握手可以拿到第一类banner。在确定目标端口为HTTP协议时，可以通过Curl、Wget工具获取web服务的banner信息。

Zgrab2是一个专门用于高速banner抓取工具，go语言实现，支持常见20多种协议（如HTTP、SSH、FTP）的banner抓取，用户可自定义扩展。Zgrab2并不提供协议识别能力，用户在进行banner抓取前需要指定目标端口和对应的协议。

某些目标端口使用SSL协议，SSL证书中包含着目标很多信息，比如网站的域名和子域名。Nmap自身不提供直接获取SSL证书的功能，但是可以通过调用外部脚本来实现。nmap --script ssl-cert -n。也可以使用openssl命令获取目标端口证书信息：openssl s_client -connect:443 -showcerts

当目标端口被识别成某一个特定协议时，攻击者想要从该协议获取除banner信息外更多的信息，则需要精心构造特定的报文进行获取。

比如，http协议作为互联网最为主流的协议，其提供了很多丰富的信息。比如网页的icon图标，通常位于<link rel="icon" href="...">标签中，能够帮助识别网站；icp备案信息，通常会显示在页面底部或在``标签中，可用于组织机构识别；某些JavaScript和CSS文件，可能有助于分析网站的功能和潜在漏洞；抓取robots.txt文件和sitemap.xml文件，可以了解站点的结构和爬取规则。通过curl和wget命令可以得到指定页面的html文件，而使用一些python爬虫库，如BeautifulSoup，可以提取网页中的指定元素和内容。

其他的协议也可能存在一些攻击者感兴趣的信息，比如对于一些存在未授权访问的RTSP摄像头，可以构造一个DESCRIBE请求获取流的元数据。

图5 Nmap NSE脚本调用

本文简要介绍了主动扫描探测的识别和爬取两个阶段所涉及的相关技术原理和工具，包括协议服务识别、操作系统识别以及banner抓取等技术。虽然涵盖了多种技术方法，但主要内容依然是Nmap的技术原理，彰显了其在网络扫描探测领域的绝对地位。

内容编辑：创新研究院 张承万

    责任编辑：创新研究院 舒展

本公众号原创文章仅代表作者观点，不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权，严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用，转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们

绿盟科技研究通讯由绿盟科技创新研究院负责运营，绿盟科技创新研究院是绿盟科技的前沿技术研究部门，包括星云实验室、天枢实验室和孵化中心。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一，与清华大学进行博士后联合培养，科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向，从实践出发，结合公司资源和先进技术，实现概念级的原型系统，进而交付产品线孵化产品并创造巨大的经济价值。

长按上方二维码，即可关注我