Nmap 是什麼?利用 CyberScope 快速執行 Nmap 漏洞評估
- 翔宇科技
- 3月28日
- 讀畢需時 5 分鐘
前言
《NeyAlly》所有設備皆可將檢測結果上傳到資源平台〈Link-Live™〉進行分析,包含 Nmap、Discovery、Airmapper 等等。本篇文章中,我們討論其中最常用的網路診斷工具:〈Nmap(Network Mapper)〉,以及如何在 NetAlly 的〈CyberScope〉上運用。
Nmap 的核心功能有哪些?如何執行 Nmap?
Nmap 是一套功能完善且被廣泛應用的網路滲透檢測工具,可針對單一主機、連接埠、網址或整段 IP 區間進行掃描,協助企業/組織掌握網路資產現況、識別潛在風險、檢查服務配置是否正確,提升整體網路的安全性與穩定性。
Nmap 的常見執行功能
主機發現(Host Discovery)
用於掃描該區域網路中,有的活動跡象設備(哪些 IP 存在並回應)。
全方位掃描(Comprehensive Scan)
包括 Host Discovery、埠掃描、埠服務版本掃描、OS 類型掃描、預設指令碼掃描
埠掃描(Port Scanning)
用於掃描主機上的埠狀態。Nmap 可以將埠辨識為開放(Open)、關閉(Closed)、過濾(Filtered)、未過濾(Unfiltered)、開放或過濾(Open/Filtered)、關閉或過濾(Closed/Filtered)。預設情況下,Nmap 會掃描 1000 個常用埠,可以覆蓋大多數基本應用情況。
服務與版本偵測(Service and Version Detection)
用於辨識埠上執行的應用程式與程式版本。Nmap 目前可以辨識數千種應用識別(Signatures)檢測網路使用的應用協定。而對於不辨識的應用,Nmap 預設會將應用的指紋(Fingerprint)紀錄,讓使用者可以將資訊分享到 Nmap 社群。
作業系統偵測(OS Detection)
嘗試識別目標設備的作業系統、網路堆疊特徵;作業系統特徵例如:TTL(存活時間)預設值、封包大小、回應 ICMP 的行為、TCP Options 的順序與內容。網路堆疊特徵例如:封包格式、重傳行為、錯誤回應、對特殊探測封包的反應。OS Detection 可以此辨識目標主機的作業系統類型、版本編號、裝置類型。Nmap 目前提供 2600 個作業系統或裝置的指紋資料庫,可以辨識通用 PC 系統、路由器、交換機等裝置類型。
Nmap 指令碼引擎(Nmap Scripting Engine, NSE)
使用 Nmap 內建的 Lua 指令碼進行進階安全性掃描、漏洞偵測、惡意軟體分析等功能。
*延伸閱讀:
防火牆與入侵偵測規避(Firewall/IDS Evasion)
在真實環境中,組織會用防火牆 Firewall 與入侵偵測系統 IDS 來監控和過濾不明來源的網路封包,防止惡意掃描與攻擊行為。Nmap 提供進階的掃描技術,可在合法測試的前提下,協助資安人員模擬駭客在有防禦機制下的行為,驗證防火牆與 IDS 的有效性。
網路流量分析與 Traceroute(Network Tracing)
透過 --traceroute 分析封包從掃描端到目標的傳輸路徑。利於網管與資安人員確認封包實際經過的路由節點、分析網路拓撲、及偵測可能的網路瓶頸或異常路由行為。
利用《NetAlly》CyberScope 執行 Nmap
《NetAlly》的〈CyberScope 邊緣網路安全漏洞掃描分析儀〉內建 Nmap 公開版本中的完整功能,將其整合到 CyberScope 單機的【AutoTest】和【Discovery】工作流程中,並可連接 Link-Live 平台顯示測試結果。此外,CyberScope 還提供了一個新的【Nmap App】,將 Nmap 使用者介面更直觀地配置在 CyberScope 上、同時支援 NSE 腳本執行及編寫。
Nmap 漏洞評估 - CyberScope 滲透測試
漏洞評估(Vulnerability Assessment)常作為「滲透測試(Penetration Testing)」的重要環節,協助資安人員系統性地識別網路中的潛在弱點。例如,當滲透測試人員受託檢驗密碼政策是否符合安全要求,測試過程可能會包含透過各類工具破解密碼,或針對網路環境的直接攻擊,以驗證密碼政策的有效性。
Nmap 在漏洞評估,能透過內建的 NSE(Nmap Scripting Engine)指令碼輔助進行主動與被動式弱點偵測。CyberScope 使用者可透過〈Link-Live™〉匯入第三方腳本或自訂腳本,執行 Nmap 滲透測試。執行掃描後,常見的用途包括:
風險分析:將掃描結果用於評估網路中設備、服務的風險程度,為後續的資安策略提供依據。
攻擊模擬準備:將掃描所得的主機與服務清單,作為輸入資料提供給其他攻擊或滲透測試工具,進一步驗證網路環境的安全性。NSE 腳本來源:〈Nmap 官方提供腳本〉
官方影片教學:
〈Hands On with Nmap: A Guide to Network Scanning & Vulnerability Assessment〉
CyberScope AutoTest 可自動化 Nmap 測試腳本
CyberScope 的 AutoTest 程式中,其中「測試」設定檔是一套測試用檔案。 CyberScope 提供兩個預設設定檔:
有線設定檔:透過乙太網路執行測試,並可設定為專注於特定的網路屬性,例如 VLAN ID、MAC ID 和 802.1X 攜帶的 EAP 類型。(網路連接後即可執行)
無線設定檔:對 Wi-Fi 網路執行測試,並可設定為專注於特定的 Wi-Fi 網路屬性,例如 SSID。(開機即可執行)
CyberScope 使用者可以修改預設設定檔,或新增 Nmap 腳本建立新的設定檔。
選取畫面如下圖:
在 AutoTest 中,CyberScope 將列出所連接的裝置和相關屬性,例如裝置名稱和 MAC 位址;並根據連接設備的類型進行分類排序,方便人工過濾。此外,執行 CyberScope 上的【Discovery 程式】能識別 3 類潛在網路問題:網路、Wi-Fi 和安全性。例如偵測到未知/未經授權/未指定的設備,將這些設備標記以進一步調查,確保它們不存在安全漏洞。
利用《NetAlly》Link-Live 管理平台和 CyberScope 協作
CyberScope 可以將所有 Nmap 漏洞掃描結果上傳至 NetAlly Link-Live™ 分析和幫助團隊協作。Link-Live™ 基本功能包括:Nmap 資源上傳、匯出、編輯和分發到已連接的 CyberScope 裝置。而上述的「Nmap 資源」包括標準 Nmap 腳本、自訂發現 Nmap 腳本、LUA 庫和自訂 Nmap 腳本引擎 NSE 檔案。
如何操作 Link-Live 平台,並與一台 CyberScope 裝置對接,可以看 NetAlly 官方影片教學:
〈Managing Nmap Resources in Link-Live™〉
以前段的漏洞掃描 - 滲透測試舉例;漏洞掃描完成後,CyberScope 可將結果上傳到 Link-Live,Link-Live 上可視結果包含 Nmap 視圖以及摘要、表格和拓撲圖等。
選取「Nmap 選單」可列出與 Nmap 直接相關的掃描結果,並顯示需要解決的最高警報狀態的漏洞摘要,並可點選深入了解漏洞資訊:
結語
《NetAlly》的〈CyberScope 邊緣網路安全漏洞掃描分析儀〉是一台綜合多項網路安全檢測的多功能設備。今天這篇文章,分享 CyberScope 最常用的功能之一 Nmap;Nmap 作為業界廣泛應用的掃描引擎,在 CyberScope 裡不僅完整內建功能,同時將之調整得更使用友善,讓使用者能輕鬆進行網路偵測與漏洞評估。
如果您對 Nmap、CyberScope、或 NetAlly 品牌有興趣,歡迎隨時洽詢翔宇科技;翔宇科技是 NetAlly 在臺灣的總代理商,為客戶提供優質的設備與技術支援,以滿足您的網路測試和分析需求。
延伸閱讀:
NMAP 函式庫與腳本 > 為加速資安人員透過 NMAP 進行各種漏洞管理,翔宇科技特別針對 NMAP 函式庫與各種腳本以及用法進行翻譯整理,並持續更新。
