Nmap扫描教程之DNS服务类

Nmap扫描教程之DNS服务类

Nmap DNS服务类

DNS（Domain Name System，域名系统）的做用就是将主机名解析为对应IP地址的过程。一般主机域名的通常结构为：主机名.三级域名.二级域名.顶级域名。因此，DNS服务器在解析一个主机名时，须要一级一级的进行解析，即递归查询。为了方便用户下次访问，DNS服务器会将解析过的主机名临时缓存。经过对DNS服务器进行扫描，能够获取到一些基本信息。如版本、服务器地址及缓存的域名等。本节将介绍DNS服务扫描方法。

Nmap获取DNS信息

经过请求DNS服务器的ID，而且访问ID，能够获取DNS名称服务的相关信息。在Nmap中，dns-nsid脚本能够用来发送ID请求，而且获取DNS的详细信息。其中，包括NSID、ID的服务及版本。dns-nsid脚本的语法格式以下所示：

• nmap -sSU -p 53 --script dns-nsid [目标]

以上语法中的“-sSU”选项表示进行UDP和TCP SYN扫描。

【示例1-4】获取目标主机RHEL 6.4上DNS信息。执行命令以下所示：

• root@localhost :~# nmap -sSU -p 53 --script dns-nsid 192.168.1.104

• Starting Nmap 6.47 ( http://nmap.org ) at 2015-05-28 16:04 CST

• Nmap scan report for localhost (192.168.1.104)

• Host is up (0.00033s latency).

• PORT   STATE SERVICE

• 53/tcp open  domain

• 53/udp open  domain

• | dns-nsid:

• |_  bind.version: 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6                                    #版本

• MAC Address: 00:0C:29:2A:69:34 (VMware)

• Nmap done: 1 IP address (1 host up) scanned in 0.54 seconds

从以上输出信息中，能够看到获取到目标主机上DNS服务的版本信息为9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6。

Nmap DNS服务发现协议

DNS服务发现协议容许客户端发现一个服务器列表。经过发送DNS-SD查询广播包，能够从响应包中获取到一个服务列表。在Nmap中，broadcast-dns-service-discovery脚本能够发送DNS-SD广播包，而且获取一个服务列表。其中，语法格式以下所示：

• nmap --script=broadcast-dns-service-discovery

【示例1-5】使用broadcast-dns-service-discovery脚本发送DNS-SD广播包。执行命令以下所示：

• root@localhost :~# nmap --script=broadcast-dns-service-discovery

• Starting Nmap 6.47 ( http://nmap.org ) at 2015-05-21 13:56 CST

• Pre-scan script results:

• | broadcast-dns-service-discovery:

• |   192.168.1.101

• |     47989/tcp nvstream                                                                                    #nvstream服务信息

• |_      Address=192.168.1.101 fe80:0:0:0:744c:a0ee:dbfd:769     #nvstream服务地址

• WARNING: No targets were specified, so 0 hosts scanned.

• Nmap done: 0 IP addresses (0 hosts up) scanned in 7.06 seconds

从以上输出信息中，能够看到收到一个地址为192.168.1.101主机的响应包。从该响应包中，能够看到目标主机192.168.1.101上有一个使用DNS服务发现协议的服务。其中，服务名称为nvstream、端口号为47989、协议为TCP、服务的地址为192.168.1.101。

Nmap 探测主机是否容许DNS递归查询

DNS服务器的主要做用就是进行域名解析。DNS进行域名解析时，一般会使用递归查询和迭代查询。其中，递归查询是最多见的查询方式。在Nmap中，dns-recursion脚本能够用来探测一台主机是否容许DNS递归查询。其中，语法格式以下所示：

• nmap -sU -p 53 --script=dns-recursion [目标]

【示例1-6】探测目标主机RHEL 6.4是否容许DNS递归查询。执行命令以下所示：

• root@localhost :~# nmap -sU -p 53 --script=dns-recursion 192.168.1.104

• Starting Nmap 6.47 ( http://nmap.org ) at 2015-05-28 16:10 CST

• Nmap scan report for localhost (192.168.1.104)

• Host is up (0.00030s latency).

• PORT   STATE SERVICE

• 53/udp open  domain

• |_dns-recursion: Recursion appears to be enabled                                        #递归查询已启用

• MAC Address: 00:0C:29:2A:69:34 (VMware)

• Nmap done: 1 IP address (1 host up) scanned in 2.58 seconds

从输出的信息，能够看到目标主机上的DNS递归查询已开启。

Nmap枚举DNS服务器的主机名

主机名就是计算机的名字，网上邻居就是根据主机名来识别的，该名字能够随时更改。经过暴力破解通用的子域，能够枚举DNS服务器的主机名。在Nmap中，dns-brute脚本能够枚举DNS服务器的主机名。其中，语法格式以下所示：

• nmap --script dns-brute --script-args dns-brute.domain=[域名],dns-brute.threads=[number],dns-brute.hostlist=[主机名列表],newtargets -sS -p 80 [域名]

以上语法中“dns-brute.domain” 参数是用来指定破解的域名，如baidu.com；“dns-brute.threads”参数是用来指定破解的线程数，默认是5；“dns-brute.hostlist”参数是用来指定一个主机名列表文件的，用于dns-brute脚本进行破解。默认，破解使用的主机名列表文件是/usr/share/nmap/nselib/data/vhosts-default.lst文件。固然，以上参数也能够不指定。

【示例1-7】枚举DNS服务器benet.com的主机名。执行命令以下所示：

• root@localhost :~# nmap --script dns-brute mail.benet.com

• Starting Nmap 6.47 ( http://nmap.org ) at 2015-06-01 16:47 CST

• Nmap scan report for mail.benet.com (69.172.201.208)

• Host is up (0.26s latency).

• Not shown: 998 filtered ports

• PORT    STATE SERVICE

• 80/tcp  open  http

• 443/tcp open  https

• Host script results:                                                                      #脚本扫描结果

• | dns-brute:

• |   DNS Brute-force hostnames:                                          #暴力破解出的主机名

• |     admin.benet.com - 69.172.201.208

• |     stats.benet.com - 69.172.201.208

• |     devel.benet.com - 69.172.201.208

• |     host.benet.com - 69.172.201.208

• |     mx.benet.com - 69.172.201.208

• |     development.benet.com - 69.172.201.208

• |     administration.benet.com - 69.172.201.208

• |     http.benet.com - 69.172.201.208

• |     mx0.benet.com - 69.172.201.208

• |     devsql.benet.com - 69.172.201.208

• |     ads.benet.com - 69.172.201.208

• |     mx1.benet.com - 69.172.201.208

• |     devtest.benet.com - 69.172.201.208

• ......

• |     mobile.benet.com - 69.172.201.208

• |     helpdesk.benet.com - 69.172.201.208

• |     monitor.benet.com - 69.172.201.208

• |     home.benet.com - 69.172.201.208

• |     mssql.benet.com - 69.172.201.208

• |_    mta.benet.com - 69.172.201.208

• Nmap done: 1 IP address (1 host up) scanned in 60.25 seconds

从以上输出信息中，能够看到枚举出的DNS服务器benet.com全部域名及域名对应的IP地址。例如，主机名为admin.benet.com的IP地址是69.172.201.208。

NmapDNS缓存探测

DNS缓存就是当用户访问某个网址后，操做系统将会把该地址记录到缓存中，方便用户下次访问。这样，就能够节省用户每次访问时，屡次解析时间了。可是，这个缓存只是临时缓存，超过设定的时间将会被清除。在Nmap中，dns-cache-snoop脚本能够探测一个主机中的DNS缓存条目。其语法格式以下所示：

• nmap -sU -p 53 --script dns-cache-snoop.nse --script-args 'dns-cache-snoop.mode=timed,dns-cache-snoop.domains={host1,host2,host3}'

以上语法中“-sU”选项表示扫描UDP端口；“-p”选项指定的是DNS协议默认的端口53；“dns-cache-snoop.mode”参数是用来指定运行模式的，可设置的模式有两种，分别是nonrecursive和timed。其中，nonrecursive是默认模式。“dns-cache-snoop.domains”选项表示能够指定探测缓存的主机名。若是同时指定多个主机名时，中间使用逗号分割。

【示例1-8】探测目标主机RHEL 6.4上的DNS缓存条目。执行命令以下所示：

• root@localhost :~# nmap -sU -p 53 --script dns-cache-snoop.nse 192.168.1.104

• Starting Nmap 6.47 ( http://nmap.org ) at 2015-06-03 16:42 CST

• Nmap scan report for localhost (192.168.1.104)

• Host is up (0.00036s latency).

• PORT   STATE SERVICE

• 53/udp open  domain

• | dns-cache-snoop: 1 of 100 tested domains are cached.          #探测结果

• |_www.baidu.com

• MAC Address: 00:0C:29:2A:69:34 (VMware)

• Nmap done: 1 IP address (1 host up) scanned in 0.52 seconds

从以上输出信息中，能够看到探测了100个域名，其中有一个被缓存。从输出信息中，能够看到缓存的主机名为www.baidu.com。

Nmap探测主机是否支持黑名单列表

这里所说的黑名单就是指支持防止DNS反垃圾和打开proxy黑名单。在Nmap中，dns-blacklist脚本能够探测目标主机是否支持防止DNS反垃圾和打开proxy黑名单。其中，语法格式以下所示：

• nmap -sn --script dns-blacklist [目标]

以上语法中“-sn”选项表示不进行Ping扫描。

【示例1-9】探测目标主机RHEL 6.4是否支持黑名单列表。执行命令以下所示：

• root@localhost:~# nmap -sn --script dns-blacklist 192.168.1.104

• Starting Nmap 6.47 ( http://nmap.org ) at 2015-06-05 16:00 CST

• Nmap scan report for localhost (192.168.1.104)

• Host is up (0.00028s latency).

• MAC Address: 00:0C:29:2A:69:34 (VMware)

• Host script results:

• | dns-blacklist:

• |   PROXY                                                                         #PROXY协议

• |     dnsbl.tornevall.org - PROXY

• |       IP marked as "abusive host"

• |       ?

• |     dnsbl.ahbl.org - PROXY

• |   SPAM                                                                                    #SPAM协议

• |     dnsbl.ahbl.org - SPAM

• |     l2.apews.org - FAIL

• |_    list.quorum.to - SPAM

• Nmap done: 1 IP address (1 host up) scanned in 12.58 seconds

从以上输出信息中，能够看到目标主机支持防止DNS反垃圾和打开proxy黑名单。

本文选自：Nmap扫描实战教程大学霸内部资料，转载请注明出处，尊重技术尊重IT人！