你使用Nmap执行的正常的任务之一是验证你的防火墙规则正在按照预定要求执行。要做到这一点,运行一次扫描查看那些对外界打开的端口,检查那些端口是否进行了过滤。一次简单的防火墙审计扫描操作大致是这样的:
nmap -v -sA -ff -r -n www.yourorg.com -oA firewallaudit
上述指令的含义是,Nmap TCP ACK扫描(-sA)证实数据包是否可以不经过过滤通过你的防火墙。通过增加-ff选项,你还可以测试它如何处理分段的通讯。要方便地跟踪防火墙是如何处理这些数据包的,最好是按照数字顺序扫描端口。通过增加-r选项可以实现这个目的。我还使用-oA输出选项,这样,你可以创建一个可以检索的grepable文件以及一个XML文件用于做适当的记录和报告。你可以使用这些输出文件评估通讯流量通过任何未经过滤的端口的情况,然后根据需要修改你的防火墙设置。如果你确实修改了你的防火墙,重新运行审计扫描确认你的修改是成功的。定期运行这种审计扫描保证你的防火墙设置没有被意外地修改是一个好主意。
由于大多数新病毒和间谍软件程序在受感染的机器上制造开放的端口,在接到病毒爆发的消息之后,你应该使用Nmap软件扫描开放的端口。你可以使用一个ICMP ping (-PE)、TCP SYN和UDP扫描以及-sS和-sU选项。使用-p选项仅仅搜索特定的恶意软件专门使用的端口。一个这样的Nmap指令:nmap -PE -sS -sU -sV -p U:2140,T:2745 www.yourorg.com/24 -oG infected创建一个名为“infected”的输出文件。这个文件可用来搜索“开放的”这个词汇。在开放端口拥有未经授权的应用程序的任何机器都能够被隔离和检查。你可以使用-sV选项找出在那台机器中运行的那个应用程序。
由于许多机构有远程和虚拟办公室,定期对连接网络的设备进行审计扫描,检查安全和软件许可证问题,是非常重要的。下列扫描将产生一个客户机、服务器、以及路由器、交换机和打印机的分类目录:
nmap -vv -sS -O -n www.yourorg.com/24 -oA inventory
SYN scan (-sS)同步扫描与操作系统扫描(-0)结合在一起使用很少的数据包,同时仍然可以收集到需要的信息。如果你在一个连接速度较慢的线路上审计一个远程办公室,你可以增加一个定时的政策,如-T 2,放慢扫描速度,在目标机器上使用较少的带宽和资源。最后,当你在运行一次Nmap扫描的时候,你可以在不放弃扫描和重新运行扫描的情况下修改某些选项或者要求状态信息。例如,输入V将增加冗长的信息输出,同时,大多数键值将向你提供最新的状态,显示主机扫描已完成以及预计的剩余时间。