系统管理工具包: 网络扫描

核心提示： 您可以对网络中所有的主机重复这个过程，记录相关信息如前所述，系统管理工具包: 网络扫描(6)，如果只进行一次扫描，那么主机或者端口扫描信息仅在执行该次扫描的时候是有用的，并找出正使用正确的设置进行传输的信息（例如，哪些用户正从哪些主机上登录到某台特定的邮件服务器），主机可能会关闭，某些服务

您可以对网络中所有的主机重复这个过程。

记录相关信息

如前所述，如果只进行一次扫描，那么主机或者端口扫描信息仅在执行该次扫描的时候是有用的。主机可能会关闭，某些服务可能暂时无法使用，并且在一个非常繁忙的网络中，扫描数据包可能根本无法通过。

您应该定时进行扫描，然后比较（甚至组合）多次扫描所得到的输出。要完成这项任务，最简单的方法是运行 nmap，记录其输出，然后使用像 diff 这样的工具，以便对输出信息进行比较，并报告其中的更改。

您可以在清单 4 中看到相关的示例，其中对同一台主机两次执行 nmap 所得到的输出进行了比较。

清单 4. 对同一台主机两次执行 nmap 所得到的输出进行比较

$ diff narcissus.20070526 narcissus.20070924
26c26
< 2049/tcp open　　 nfs
---
> 3306/tcp open　　 mysql
27a28
> 5900/tcp open　　 vnc

其中的行以“<”或者“>”开头，这表示不同的行属于哪个文件。在这个示例中，您可以看到，在第一个文件中出现了网络文件系统 (NFS) 协议，在第二个文件中则没有出现，而在后面一次扫描期间，mysql 和 vnc 端口都处于打开状态。

扫描原始数据包

对于查找 IP 主机和开放的主机，nmap 工具是非常合适的；然而，nmap 无法告诉您网络中实际传输的内容。捕获原始数据包，使您能够了解哪些主机正在与给定的主机进行通信、正在交换什么信息，以及正在使用哪些信息。

您可以获得原始数据包信息，并找出正使用正确的设置进行传输的信息（例如，哪些用户正从哪些主机上登录到某台特定的邮件服务器）。您甚至可以使用它来识别在某个未经标识的端口上所交换的数据的类型。