一、前言
nping为nmap的子命令,和nmap一样为免费开源的探测器,只要安装好nmap就能使用nping,支持高度自定义的报文定制及探测,本文将从nping五大探测模式及各个参数用法详细展开介绍。
二、探测模式(PROBE MODES)
附上nping man文档支持的几大探测模式说明:
| 参数 | 说明 |
|---|---|
| –tcp-connect | 无特权的tcp连接探测 |
| –tcp | tcp探测 |
| –udp | udp探测 |
| –icmp | icmp探测 |
| –arp | arp/rarp探测 |
| –tr/–traceroute | 路由跟踪模式(需配合–tcp/–udp/–icmp一起使用) |
以下将从以上探测模式展开说明主流及高级用法。
1.tcp连接模式(–tcp-connect)
此模式包含-p、-g两大基础参数,分别为指定dest port、src port
| 参数 | 说明 |
|---|---|
| -p/–dest-port | 指定目的端口 |
| -g/–source-port | 指定源端口 |
1)指定目的端口探测(-p/–dest-port)
nping --tcp-connect -p 80 192.168.1.1
有连接的探测,可以看到屏幕输出正常完成80端口的tcp建联,且不指定探测次数默认只发起5次,指定次数可用-c参数。
-p参数可以指定单个或多个端口,比如指定特定的几个端口:
nping --tcp-connect -p 22,80,443 192.168.1.1指定端口范围:
nping --tcp-connect -p 22-443 192.168.1.12)指定源端口探测(-g/–source-port)
使用65535高端口对目标主机22端口发起探测,-c指定次数为1次:
nping --tcp-connect -g 65535 -p 22 192.168.1.1 -c 1 
可以看到客户端和服务端正常完成握手(65535 -> 22),如果是非开放端口,则收到的显示是这样的:
客户端发起SYN申请握手,被对端RST,ACK回绝了。
2.tcp探测模式(–tcp)
| 参数 | 说明 |
|---|---|
| -p/–dest-port | 指定目的端口 |
| -g/–source-port | 指定源端口 |
| –seq | 指定序列号 |
| –flags | 指定tcp标识 |
| –ack | 指定ack数 |
| –win | 指定窗口大小 |
| –badsum | 使用随机无效checksum |
tcp探测模式和tcp-connect探测模式最大的不同是,前者不需要完成建联,效率相对更高,以下将从常用的几个参数中依次展开说明。
1)指定源/目的端口(-p/-g)
nping --tcp -p 80 -c 1 192.168.1.1
nping --tcp -g 65535 -p 80 -c 1 192.168.1.1 –tcp模式下显示的参数较–tcp-connect模式下的报文字段更详细:
和–tcp-connect显而易见的区别是–tcp模式并不需要完成建联,收到SYN,ACK后则判断为端口开放,之后发RST中断连接,和nmap的-sS半开扫描探测逻辑一致,这样可以省去不必要的交互,节省流量的同时提高探测效率。
2)指定tcp标志位(–flags)
指定标识可以发起任意标识的tcp探测,例如发起一个标志位为SYN的请求包:
nping --tcp -g 65535 -p 80 -c 1 --flags syn 192.168.1.1
nping --tcp -g 65535 -p 80 -c 1 --flags s 192.168.1.1
写成syn或者缩写s都行,甚至不区分大小写,也可以配合使用,比如SA即SYN,ACK,PA即PSH,ACK;当然你也可以写成16进制,范围为[0x00–0xFF],例如指定0x012发SYN,ACK请求:
毫不意外的被目的主机发RST拒绝连接,因为在目的端看来,这是一个不完整的非法握手请求。
3.指定窗口大小(–win)
指定客户端Window size为1600字节:
nping --tcp -g 65535 -p 80 -c 1 --win 1600 192.168.1.1
窗口大小即本端向对端说明目前本端缓冲区还能处理的最大字节数,希望对端发出的包不要超过这个值,同时如果从单个包大小的维度去看则和MTU有关,每次发包大小都由两端MTU最小的一方决定每个报文最大size,超过则需要分片发送。
3.udp探测模式(–udp)
| 参数 | 说明 |
|---|---|
| -g/–source-port | 指定源端口 |
| -p/–dest-port | 指定目的端口 |
1)指定目的端口探测(-p/–dest-port)
nping --udp -p 53 -c 1 192.168.1.197
对端回复了Port unreachabel端口不可达,即说明端口为关闭状态或者被防火墙拦截了。
2)指定源端口及目的端口(-g/–source-port)
3)配合payload选项使用(–data-string)
nping --udp -g 65535 -p 8080 -c 1 --data-string test 192.168.1.197
设置发起探测时的udp paylaod,前提是目的主机能识别payload并作出回应,这里用socat在目的主机上做了udp监听及回显功能:
4.icmp探测模式(–icmp)
| 参数 | 说明 |
|---|---|
| –icmp-type | 设置icmp type |
| –icmp-code | 设置icmp code |
| –icmp-id | 设置标识id |
| –icmp-seq | 设置序列号 |
| –icmp-redirect-addr | 设置重定向地址 |
| –icmp-param-pointer | 设置参数问题指针 |
| –icmp-advert-entry | 添加路由实体 |
| –icmp-orig-time | 设置初始时间戳 |
| –icmp-recv-time | 设置接收时间戳 |
| –icmp-trans-time | 设置传输时间戳 |
支持自定义的icmp参数相对较多,将详细讲解常用且不鸡肋的参数。
1)指定icmp type发起探测(–icmp-type)
nping允许用户发起自定义的icmp type、icmp code,高度自定义请求,但对于主动式的探测场景来讲,常用类型并不多,对于被动服务式则可以派上用场。
发起icmp request:
nping --icmp --icmp-type 8 -c 1 192.168.1.1 
这其实是一个正常的icmp请求,同时也会统计rtt时延,如果不指定–icmp-type则默认也是8。
如果是icmp reply:
nping --icmp --icmp-type 0 -c 1 192.168.1.1 
这是一个没有意义的请求,在目的主机看来,自己并没有发icmp request却收到了icmp reply,对与莫名其妙的请求对端肯定是置之不理的,并不符合协议交互逻辑,但这个包确实可以单独发出来。
2)指定icmp code发起探测(–icmp-code)
每个icmp type都会对应一组icmp code,用于细化状态。
比如目的不可达的icmp type为3,同时icmp code为3,则会模拟端口不可达请求(Port unreachabel):
nping --icmp --icmp-type 3 --icmp-code 3 -c 1 192.168.1.1
每个icmp type对应一组icmp code含义,可参照IANA官方对ICMP协议的type和code的分配说明。
3)指定icmp id探测(–icmp-id)
顾名思义,此参数可以指定icmp identifier,用于过滤特定ident报文,特别是在大流量场景下,对端主机可以进准过滤出来自源端发起的某个包的探测,设置范围为:0<=N<2^16,即N∈[0-65536),比如指定icmp id为1024:
nping --icmp --icmp-code 0 --icmp-id 1024 -c 1 -vv 192.168.1.1 #-vv参数可以详细展示输出
需要注意的是,当发起的是icmp不可达报文时,则icmp头部里面并不会包含id信息。
4)指定icmp seq探测(–icmp-seq)
和id功能类似,指定seq序列号:
nping --icmp --icmp-seq 1 -c 1 -v 192.168.1.1
通过icmp.seq可以进准过滤指定的序列号。
很显然,–icmp-id和–icmp-seq也可以同时使用:
nping --icmp --icmp-id 1024 --icmp-seq 1 -c 1 -v 192.168.1.1
5.arp/rarp探测模式(–arp)
| 参数 | 说明 |
|---|---|
| –arp-type | arp探测类型,可接:arp、arp-reply、rarp、rarp-reply |
| –arp-sender-mac | 指定发送者的MAC地址 |
| –arp-sender-ip | 指定发送者的IP地址 |
| –arp-target-mac | 指定目标主机的MAC地址 |
| –arp-target-ip | 指定目标主机的IP地址 |
1)指定探测类型(–arp-type)
指定ARP的探测类型,可以是ARP也可以是RARP以及对应的reply报文。
通过向对端主机发送arp报文,拿到对应的mac地址:
nping --arp --arp-type arp -c 1 192.168.1.1
同理也可以发起arp-reply,主动向对端发送自己的MAC地址:
nping --arp --arp-type arp-reply -c 1 192.168.1.1
2)指定发送者的MAC地址(–arp-sender-mac)
利用此参数可以指定mac发送给对端主机,因此可以利用此行为来刷新对端的arp地址表,达到arp欺骗的目的:
nping --arp --arp-type arp-reply --arp-sender-mac 00:00:00:00:00:01 -c 1 192.168.1.1 
3)指定发送者的IP地址(–arp-sender-ip)
同理,此参数可以伪造arp头部里的send ip address字段,让对端主机认为arp地址请求是此源地址发送的,因此也会reply给此源地址:
nping --arp --arp-type arp --arp-sender-ip 192.168.1.197 -c 1 192.168.1.1
和–arp-sender-ip搭配使用,可以达到伪造IP+伪造MAC,向广播域发送arp请求,并且将请求指定回应给设置的伪造地址:
nping --arp --arp-type arp --arp-sender-ip 192.168.1.197 --arp-sender-mac 00:0c:29:50:c6:dc -c 1 192.168.1.84
arp请求头如下:
4)指定目的主机MAC地址及IP地址(–arp-target-mac/–arp-target-ip)/ARP泛洪
配合前面几个参数使用,指定arp头部可伪造的所有IP/MAC字段,比如将1.84捆绑到一个不正确的MAC地址上,向网关主机发送arp reply,刷新、填充其ARP表:
nping --arp --arp-type arp-reply --arp-target-mac 00:0C:29:BE:5A:26 --arp-target-ip 192.168.1.1 --arp-sender-ip 192.168.1.84 --arp-sender-mac 00:00:00:00:00:01 -c 1 192.168.1.1
当捆绑伪造的IP-MAC地址对足够庞大时,使网关的arp条目耗尽,合法用户不能维持正确的arp地址表,则会导致通信中断,这种行为通常称之为arp泛洪攻击。
6.探测模式的路由跟踪(–tr/–traceroute)
此模式可适用于TCP/UDP/ICMP探测模式,不适用于TCP全连接和ARP模式。
当想确认链路是否有丢包,对端又禁ping了,只放开了特定协议,那么此模式配合TCP/UDP/ICMP可以精准控制路由跟踪使用的协议,–tr参数会将沿途经过的所有路由节点都探测一遍,有些路由只转发不响应(俗称拒绝回显)在client端看来其实也是超时不响应的。
对tcp/53端口进行路由跟踪:
nping --tcp -p 53 --traceroute -c 12 --flags syn -v 119.29.29.29
因为内网用openwrt做了劫持转发,–tr只会看到一跳,这里使用另一台机器做测试。
-
这里的-c 12也就是整个命令只发起12个探测包,可以理解为只探测沿途经过的12个节点,默认每个节点探测一次。
-
最后显示丢包5个(41.67%),并不是真正意义上的丢包,探测的是对端的53/dns服务端口,没有发起dns query请求,在对端看来没有响应的必要,因此对探测机来讲,只要对端不响应,就会视为丢包。
前面说过,中间节点有不响应的可能,因为出于安全原因会设置某些策略禁止回显,但nping也会把这部分不响应的数据也计算到丢包率里面去做一个综合性统计,根据实际输出判断即可,不用太依赖最终的丢包率,实际工作中仅作为特定协议的路径跟踪也是不错的选择。
ICMP/UDP同理:
nping --udp -p 53 --traceroute -c 12 -v 119.29.29.29
nping --icmp --traceroute -c 9 -v 114.114.114.114 
三、探测选项详解(OPTIONS)
1.IPv4 OPTIONS
将从如下常用参数讲解V4参数选项:
| 选项 | 说明 |
|---|---|
| -S/–source-ip | 设置源地址 |
| –dest-ip | 设置目的地址 |
| –id | 设置identification字段 |
| –df | 不允许分片 |
| –ttl | 设置生存周期[0-255] |
| –mtu | 设置MTU大小 |
1)指定源主机(-S/–source-ip)
此参数望文生义,指定源地址的作用,可以指定其他网卡的IP,也可以指定任意IP来做伪造,比如指定网关IP向目的主机1.197发送80端口的syn探测:
nping --tcp -S 192.168.1.1 --flags syn -p 80 -c 1 192.168.1.197
此参数适用于所有具备IP层的探测模式。
2)指定目的主机(–dest-ip)
即指定目的主机,加不加都一样,默认会携带此参数
nping --icmp --icmp-type 8 -c 1 --dest-ip 192.168.1.1 192.168.1.197 #向1.1和1.197发起icmp探测
nping --icmp --icmp-type 8 -c 1 --dest-ip 192.168.1.0/24 #向整个C端发起icmp探测
3)指定identification(–id)
identification字段,对于指定包的分析非常好用,上面说过,icmp可通过–icmp-id及–icmp-seq来标识报文,便于后期精准过滤出我们发送的特定包,同理其他探测模式也有–id字段,–id为IP层的identification,因此arp没有。
指定tcp探测的id字段,则可以写成:
nping --tcp -p 22 --id 1024 192.168.1.1 -v -c 1 #指定id为102
udp探测:
nping --udp -p 8080 --id 1024 --data-string test 192.168.1.197 -c 1 -v
可通过ip.id筛选我们发送的特定报文,之后跟踪udp.stream即可看到一条完整流:
4)设置不分片标志位(–df)
即Don’t Fragment不允许分片的意思,当报文大小超过client和server端协商的最小MTU时,默认会进行分片传输,此参数则指定不允许进行分片操作,所发即所得,即使对端处理不了DROP掉也还是不允许分片,此标志位在IP层,因此所有在IP层或之上的协议都能设置此字段,显而易见支持TCP、UDP、ICMP三大探测模式。
nping --tcp -p 80 --df 192.168.1.1 -c 1
可以看到,IP层的flag标志位的DF字段设立为了1,表示不允许分片。
其他探测模式同理:
nping --udp -p 53 --df 192.168.1.1 -c 1
nping --icmp --icmp-type 8 --df 192.168.1.1 -c 15)设置生存周期(–ttl)
指定time to live,即报文生存周期,每经过一个路由节点,ttl减一,如果不设置ttl,则会读取系统默认ttl值,不同OS默认ttl也会不一样。
ttl在IP层头部,那么理所当然,ICMP/TCP/UDP均能被支持。
如指定ttl为1:
nping --icmp --ttl 1 -c 1 -v 192.168.1.1
nping --udp -p 53 --ttl 1 -c 1 -v 192.168.1.1
nping --tcp -p 80 --ttl 1 -c 1 -v 192.168.1.1
因为源端和对端是直连的,中间不需要经过路由节点,所以ttl设置为1也能正常传输数据。
6)设置MTU大小(–mtu)
指定发送方最大传输单元(Maximum Transmission Unit),如果超出设定的值则需要分片发送。
nping --tcp -p 80 --mtu 16 --data-length 1000 -v 192.168.1.197 -c 1 #--data-length指定payload大小,随机填充
nping --icmp --mtu 16 --data-length 1000 -v 192.168.1.197 -c 1
nping --udp --mtu 16 -v 192.168.1.197 -c 1
2.回显模式(ECHO CLIENT/SERVER)
| 选项 | 说明 |
|---|---|
| –ec/–echo-client | 客户端模式 |
| –es/–echo-server | 服务端模式 |
| –ep/–echo-port | 使用自定义端口来监听或连接 |
| –nc/–no-crypto | 关闭加密和验证 |
| –once | 一次连接后停止服务器 |
1)client和server端(–ec/–echo-client、–es/–echo-server)
这两个参数需要一起配合使用,一个作为服务端,一个客户端,和iperf3的c/s测速模式差不多,但nping此参数则是用来作为探测用的,主要用来持续性测试点到点之间的延时。
server端:
nping --echo-server "public" -e ens192 -vvv #public为任意字符串即可,要和client对应
client端:
nping --echo-client "public" 192.168.1.197 --tcp -p 80
2)指定监听端口(–ep/–echo-port)
此参数可加可不加,即指定echo server的监听端口,不加默认为9929端口
server端:
nping --echo-server "public" -e ens192 -v3 --ep 10 --nc #--nc不做加密即验证,加上此参数后则client端也要对应加上
client端:
nping --echo-client "pubulic" 192.168.1.197 --tcp -p 80 --ep 10 --nc -c 2
3)一次性监听(–once)
此参数用于server端,当client端一次完整探测结束后,就关闭server端的监听。
server端:
nping --echo-server "public" -e ens192 -v3 --nc --once
client端:
nping --echo-client "pubulic" 192.168.1.197 --udp -p 8080 --nc -c 2 --once
3.延时和速率(Timing&Performance)
| 选项 | 说明 |
|---|---|
| –delay | 指定探测延时(单位:ms、s、m、h) |
| –rate | 每秒发送包量 |
1)指定探测延时/间隔(–delay)
–delay参数可以指定每次探测包与包之间的延时间隔,当对端限制单位时间内访问频率时可用此参数来绕过检测。
每2s秒发一次SYN探测则可以写成:
nping --tcp -p 80,443 --flag syn -v --delay 2s -c 2 www.qq.com
每10s发起一次udp探测:
nping --udp -p 53 -v -c 2 --delay 10s --data-length 16 192.168.1.197
icmp则可以是:
nping --icmp --icmp-type 8 -c 2 --delay 10s 192.168.1.1 
此参数适用于所有探测模式。
2)指定每秒发包量(–rate)
默认情况下,nping单位时间1s只发一次包,通过–rate可以指定任意值。
承接上面的icmp探测,指定发包量可以写成:
nping --icmp --icmp-type 8 --rate 5 --delay 0.01s 192.168.1.1 
–rate指定了单位时间发5个包,–delay将发包间隔设定为0.01s,可以快速拿到返回结果。
同理,tcp的syn探测:
nping --tcp -p 80 -v --rate 10 192.168.1.197
此参数也适用于所有探测模式。
4.其他参数
| 选项 | 说明 |
|---|---|
| -c | 到达发包次数后停止 |
| -e/–interface | 指定网卡 |
| -H/–hide-sent | 不显示发送的包 |
| -N/–no-capture | 不抓响应包 |
| -v/-v[level] | 显示详细输出,一共1-4个等级 |
| -d/-d[level] | 显示debug信息,一共3个等级 |
| –debug | 显示输出信息及debug信息为最高级 |
以上参数说明已经写的很详细,且部分已经做过演示,这里不再一一举例说明,详细用法可参考man文档。
四、总结
以上涵盖了nping的各个探测使用指南,功能并不逊色于nmap,有些高级功能是nmap覆盖不到的,同时两者定位也不一样,nping更偏向于网络延时分析、路径跟踪等场景,nmap更适用于端口扫描。nping也是安全领域工具中不可或缺的一部分,前期的信息收集对于渗透测试至关重要,同时也是攻击者囊中利器。
