10.1  扫描器与扫描方式
    作为一切的开始，扫描是必须掌握的，从本章开始，我们就来看看在成功获取对方AP 的WEP或者WPA-PSK密码，并成功连接至对方的无线网络后，涉及的一些黑客渗透使用 的工具和技术。这部分内容和传统的有线网络黑客攻击技术基本一致，所以大家可以借鉴的 资料应该有很多，这里就看看一些典型的内容！当然，下述内容依然以无线攻防测试中常用 到的BackTrack4 Linux系统为例。 10.1.1  NMAP扫描器
    我们先来看看全球最为强大和有名的扫描器之--NMAP。这款被Insecure.org评为 全球100强黑客工具之一的高级扫描器不但支持标准、隐秘及各种如FIN、NULL、Xmas 扫描，甚至还可以通过对目标IP的指定端口探测来获得其对应服务的标识信息。
    此外由于这款工具是开源的，所以很多民间自发的及各种商业化的扫描工具中都能看到 其身影，比如常见的XScan、流光、Nessus等。
    目前的最新版本为5.50。NMAP原来是用于UNIX系统的命令行应用程序。自2000年 以来，这个应用程序就有了Windows版本。现在我们来学习NMAP经典的几个扫描功能。
    1．判断主机是否Alive（在线）
    这令功能极其有用，可以说在渗透到了内网之后，黑客都会先做的就是这一步，判断当 前网络中有哪些主机在线。由于NMAP发送的ICMP报文与Ping命令极为相似，所以下面 的命令式可以探测到防火墙后面的主机，尤其是那些没有禁止ICMP协议的软件防火墙，下 述方法成功率高达95%以上且不会引起防火墙报警，具体命令如下：
      

  其中，-sP这就是常说的Ping扫描。
    按【Enter]键后，可以看到图10-1所示的内容，其中，可以看到很多IP显示为Host is up，意思是这个IP的主机当前是开机状态，而该主机当前虽然已经安装了卡巴斯基安全套 装，但并没有提示遭到扫描。

  2，端口扫描

作为扫描器最主要的功能当然是扫描端口了。NMAP支持很多种扫描方式，从常见的T 扫描、SYN半开式扫描到Null扫描、Xmas圣诞树扫描及Fin标记位扫描等，根据不同的网 络环境、不同的主机对象有着不同的选择。这里就了解一下最有效的扫描方式之---SYN 半开式扫描，具体命令如下：   

参数解释：  

●-vv：显示详细的扫描过程，这个是可选的。

  ●-sS:使用SYN半开式扫描，这个扫描方式会使得扫描结果更精确，比XScan之类
    使用connect扫描方式的工具来说要准确得多。
    按【Enter]键后看到的界面如图10-2所示。

    若觉得上述扫描结果有些繁多不容易查看，也可以将-vv参数省略，这样将只显示结果， 如图10-3所示，会简洁很多。

    3．服务版本识别
    对于已经开放的端口，NMAP还支持对该端口上运行的服务进行详细判断，比如在该端 口运行的服务类型、具体版本，具体命令如下：
    

    其中，-sV用于探测详细的服务版本号。
    按【Enter]键后即可看到图10-4所示的内容，其中，53端口对应的服务就是Windows 的DNS，389端口对应的是LDAP服务。

    4．操作系统判断
    NMAP -个特有的功能就是可以对远程主机当前的操作系统进行判断。通过自身内置的 操作系统指纹库，能够有效地识别出绝大多数的操作系统及网络设备。由于操作系统的英文 就是OS，所以这个参数也就以大写的字母0来表明。有意思的是，这个功能被其他很多工 具所采用，如流光、XScan等。现在想起来，几年前我在主讲网络安全深入课程的时候，有 学生还问我为什么不讲流光、XScan，而只讲NMAP，我的回答是：因为你们以前所用的很 多扫描工具的关键组件及功能都是来自NMAP的。NMAP的具体命令如下：
 

    参数解释：
    ●-O：该参数主要用于对远程主机当前正在使用的操作系统进行判断，通过内置的操作系统指纹库，NMAP能够轻松地判断出目前世界上绝大多数不同类型的操作系统及网络设备。
    ●IP:这里的IP就是我们要扫描的主机。
    如图10-5所示，在输入上述命令后，可以看到NMAP先进行了端口扫描，然后经过和内置 的操作系统指纹库匹配后，判断出该主机当前系统为Windows Server 2003 SP2，可以看到这个 结果是非常精准的，不俚给出了系统版本，甚至连当前的补丁版本也给出了。

10.1.2 Zenmap扫描器 
    作为NMAP的图形界面版本，Zenmap不但保持了NMAP以往的简洁风格，还增加了 扫描结果彩色化、预定义主扫描等方便新手使用的设置考虑。此外，Zenmap还内置了许多 已经设置好的参数，以便于新手直接调用。
    如图10-5所示，我们在Zenmap主界面的Target（目标）文本框中输入要扫描的IP地 址或者地址段，在Profile（预定义设置）下拉列表中选择Intense scan（细化扫描），然后单 击Scan按钮。稍等片刻后，就能看到图10-6所示的内容，可以看到，Zenmap不但扫描出 了目标当前开放的端口及对应的服务，还识别出了目标操作系统为Windows Serrer 2003 SP2。
    除了对内网的主机进行探测之外，同样地，还可以使用Zenmap对内网中是否存在无线 网络设备进行验证。图10-7所示为Zenmap工作界面，在Nmap Output扫描结果中可以看到 目标为TP-LINK WR541G无线路由器。
    图10-6

10.1.3 AMAP扫描器
    AMAP是一款由THC组织出品的渗透测试及安全扫描工具，其主要用于操作系统判断、 端口对应服务版本判断等。以其较为精准的结果出名，一般来说，我们可以使用NMAP先 对目标进行预扫描，查看当前开启的端口情况，然后再使用诸如AMAP这样的工具对端口 进行细化的探查。
    对服务版本探查的具体命令如下：
    

    参数解释：
    ●IP:预扫描的目标IP地址。

●Port:该目标IP所对应主机上开启的端口。
    如图10-8所示，在对目标IP为 192.200.4.203这台主机的22端口进行细 化的探测后，成功获取到该端口上对应的 服务版本为“SSH-2.O-OpenSSH_ 5.lpl”， 该版本当前运行环境为ubuntu。