nmap命令詳解

本文轉載自查看原文 2019-02-05 19:27 16957 Linux命令

原文鏈接：http://www.cnblogs.com/hongfei/p/3801357.html

Nmap即網絡映射器對Linux系統/網絡管理員來說是一個開源且非常通用的工具。Nmap用於在遠程機器上探測網絡，執行安全掃描，網絡審計和搜尋開放端口。它會掃描遠程在線主機，該主機的操作系統，包過濾器和開放的端口。

我將用兩個不同的部分來涵蓋大部分NMAP的使用方法，這是nmap關鍵的第一部分。在下面的設置中，我使用兩台已關閉防火牆的服務器來測試Nmap命令的工作情況。

192.168.0.100 – server1.tecmint.com
192.168.0.101 – server2.tecmint.com

NMAP命令用法

# nmap [Scan Type(s)] [Options] {target specification}

如何在Linux下安裝NMAP

現在大部分Linux的發行版本像Red Hat，CentOS，Fedoro，Debian和Ubuntu在其默認的軟件包管理庫（即Yum 和 APT）中都自帶了Nmap，這兩種工具都用於安裝和管理軟件包和更新。在發行版上安裝Nmap具體使用如下命令。

# yum install nmap      [on Red Hat based systems]
$ sudo apt-get install nmap [on Debian based systems]

一旦你安裝了最新的nmap應用程序，你就可以按照本文中提供的示例說明來操作。

1. 用主機名和IP地址掃描系統

Nmap工具提供各種方法來掃描系統。在這個例子中，我使用server2.tecmint.com主機名來掃描系統找出該系統上所有開放的端口，服務和MAC地址。

使用主機名掃描

[root@server1 ~]# nmap server2.tecmint.com
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 15:42 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
957/tcp  open  unknown
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 0.415 seconds
You have new mail in /var/spool/mail/root

使用IP地址掃描

[root@server1 ~]# nmap 192.168.0.101
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-18 11:04 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
958/tcp  open  unknown
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 0.465 seconds
You have new mail in /var/spool/mail/root

2.掃描使用“-v”選項

你可以看到下面的命令使用“ -v “選項后給出了遠程機器更詳細的信息。

[root@server1 ~]# nmap -v server2.tecmint.com
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 15:43 EST
Initiating ARP Ping Scan against 192.168.0.101 [1 port] at 15:43
The ARP Ping Scan took 0.01s to scan 1 total hosts.
Initiating SYN Stealth Scan against server2.tecmint.com (192.168.0.101) [1680 ports] at 15:43
Discovered open port 22/tcp on 192.168.0.101
Discovered open port 80/tcp on 192.168.0.101
Discovered open port 8888/tcp on 192.168.0.101
Discovered open port 111/tcp on 192.168.0.101
Discovered open port 3306/tcp on 192.168.0.101
Discovered open port 957/tcp on 192.168.0.101
The SYN Stealth Scan took 0.30s to scan 1680 total ports.
Host server2.tecmint.com (192.168.0.101) appears to be up ... good.
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
957/tcp  open  unknown
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 0.485 seconds
               Raw packets sent: 1681 (73.962KB) | Rcvd: 1681 (77.322KB)

3.掃描多台主機

你可以簡單的在Nmap命令后加上多個IP地址或主機名來掃描多台主機。

[root@server1 ~]# nmap 192.168.0.101 192.168.0.102 192.168.0.103 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 16:06 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
957/tcp  open  unknown
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
Nmap finished: 3 IP addresses (1 host up) scanned in 0.580 seconds

4.掃描整個子網

你可以使用*通配符來掃描整個子網或某個范圍的IP地址。

[root@server1 ~]# nmap 192.168.0.*
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 16:11 EST
Interesting ports on server1.tecmint.com (192.168.0.100):
Not shown: 1677 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
111/tcp open  rpcbind
851/tcp open  unknown
 
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
957/tcp  open  unknown
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 256 IP addresses (2 hosts up) scanned in 5.550 seconds
You have new mail in /var/spool/mail/root

從上面的輸出可以看到，nmap掃描了整個子網，給出了網絡中當前網絡中在線主機的信息。

5.使用IP地址的最后一個字節掃描多台服務器

你可以簡單的指定IP地址的最后一個字節來對多個IP地址進行掃描。例如，我在下面執行中掃描了IP地址192.168.0.101，192.168.0.102和192.168.0.103。

[root@server1 ~]# nmap 192.168.0.101,102,103 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 16:09 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
957/tcp  open  unknown
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 3 IP addresses (1 host up) scanned in 0.552 seconds
You have new mail in /var/spool/mail/root

6. 從一個文件中掃描主機列表

如果你有多台主機需要掃描且所有主機信息都寫在一個文件中，那么你可以直接讓nmap讀取該文件來執行掃描，讓我們來看看如何做到這一點。

創建一個名為“nmaptest.txt ”的文本文件，並定義所有你想要掃描的服務器IP地址或主機名。

[root@server1 ~]# cat > nmaptest.txt 
localhost
server2.tecmint.com
192.168.0.101

接下來運行帶“iL” 選項的nmap命令來掃描文件中列出的所有IP地址

[root@server1 ~]# nmap -iL nmaptest.txt 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-18 10:58 EST
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 1675 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
111/tcp open  rpcbind
631/tcp open  ipp
857/tcp open  unknown
 
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
958/tcp  open  unknown
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems) 
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
958/tcp  open  unknown
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems) 
Nmap finished: 3 IP addresses (3 hosts up) scanned in 2.047 seconds

7.掃描一個IP地址范圍

你可以在nmap執行掃描時指定IP范圍。

[root@server1 ~]# nmap 192.168.0.101-110 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 16:09 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
957/tcp  open  unknown
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems) 
Nmap finished: 10 IP addresses (1 host up) scanned in 0.542 seconds

8.排除一些遠程主機后再掃描

在執行全網掃描或用通配符掃描時你可以使用“-exclude”選項來排除某些你不想要掃描的主機。

[root@server1 ~]# nmap 192.168.0.* --exclude 192.168.0.100
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 16:16 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
957/tcp  open  unknown
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 255 IP addresses (1 host up) scanned in 5.313 seconds
You have new mail in /var/spool/mail/root

9.掃描操作系統信息和路由跟蹤

使用Nmap，你可以檢測遠程主機上運行的操作系統和版本。為了啟用操作系統和版本檢測，腳本掃描和路由跟蹤功能，我們可以使用NMAP的“-A“選項。

[root@server1 ~]# nmap -A 192.168.0.101
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 16:25 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 4.3 (protocol 2.0)
80/tcp   open  http    Apache httpd 2.2.3 ((CentOS))
111/tcp  open  rpcbind  2 (rpc #100000)
957/tcp  open  status   1 (rpc #100024)
3306/tcp open  mysql   MySQL (unauthorized)
8888/tcp open  http    lighttpd 1.4.32
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=4.11%P=i686-redhat-linux-gnu%D=11/11%Tm=52814B66%O=22%C=1%M=080027)
TSeq(Class=TR%IPID=Z%TS=1000HZ)
T1(Resp=Y%DF=Y%W=16A0%ACK=S++%Flags=AS%Ops=MNNTNW)
T2(Resp=N)
T3(Resp=Y%DF=Y%W=16A0%ACK=S++%Flags=AS%Ops=MNNTNW)
T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=C0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)
 
Uptime 0.169 days (since Mon Nov 11 12:22:15 2013)
 
Nmap finished: 1 IP address (1 host up) scanned in 22.271 seconds

從上面的輸出你可以看到，Nmap顯示出了遠程主機操作系統的TCP / IP協議指紋，並且更加具體的顯示出遠程主機上的端口和服務。

10.啟用Nmap的操作系統探測功能

使用選項“-O”和“-osscan-guess”也幫助探測操作系統信息。

[root@server1 ~]# nmap -O server2.tecmint.com
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 17:40 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
957/tcp  open  unknown
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=4.11%P=i686-redhat-linux-gnu%D=11/11%Tm=52815CF4%O=22%C=1%M=080027)
TSeq(Class=TR%IPID=Z%TS=1000HZ)
T1(Resp=Y%DF=Y%W=16A0%ACK=S++%Flags=AS%Ops=MNNTNW)
T2(Resp=N)
T3(Resp=Y%DF=Y%W=16A0%ACK=S++%Flags=AS%Ops=MNNTNW)
T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=Option -O and -osscan-guess also helps to discover OS
R%Ops=)
T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=C0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)
 
Uptime 0.221 days (since Mon Nov 11 12:22:16 2013)
 
Nmap finished: 1 IP address (1 host up) scanned in 11.064 seconds
You have new mail in /var/spool/mail/root

11.掃描主機偵測防火牆

下面的命令將掃描遠程主機以探測該主機是否使用了包過濾器或防火牆。

[root@server1 ~]# nmap -sA 192.168.0.101
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 16:27 EST
All 1680 scanned ports on server2.tecmint.com (192.168.0.101) are UNfiltered
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 0.382 seconds
You have new mail in /var/spool/mail/root

12.掃描主機檢測是否有防火牆保護

掃描主機檢測其是否受到數據包過濾軟件或防火牆的保護。

[root@server1 ~]# nmap -PN 192.168.0.101
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 16:30 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
957/tcp  open  unknown
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 0.399 seconds

13.找出網絡中的在線主機

使用“-sP”選項，我們可以簡單的檢測網絡中有哪些在線主機，該選項會跳過端口掃描和其他一些檢測。

[root@server1 ~]# nmap -sP 192.168.0.*
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-18 11:01 EST
Host server1.tecmint.com (192.168.0.100) appears to be up.
Host server2.tecmint.com (192.168.0.101) appears to be up.
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
Nmap finished: 256 IP addresses (2 hosts up) scanned in 5.109 seconds

14.執行快速掃描

你可以使用“-F”選項執行一次快速掃描，僅掃描列在nmap-services文件中的端口而避開所有其它的端口。

[root@server1 ~]# nmap -F 192.168.0.101
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 16:47 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1234 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 0.322 seconds

15.查看Nmap的版本

你可以使用“-V”選項來檢測你機子上Nmap的版本。

[root@server1 ~]# nmap -V
 
Nmap version 4.11 ( http://www.insecure.org/nmap/ )
You have new mail in /var/spool/mail/root

16.順序掃描端口

使用“-r”選項表示不會隨機的選擇端口掃描。

[root@server1 ~]# nmap -r 192.168.0.101
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 16:52 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
957/tcp  open  unknown
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 0.363 seconds

17.打印主機接口和路由

你可以使用nmap的“–iflist”選項檢測主機接口和路由信息。

[root@server1 ~]# nmap --iflist
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 17:07 EST
************************INTERFACES************************
DEV  (SHORT) IP/MASK          TYPE     UP MAC
lo   (lo)    127.0.0.1/8      loopback up
eth0 (eth0)  192.168.0.100/24 ethernet up 08:00:27:11:C7:89
 
**************************ROUTES**************************
DST/MASK      DEV  GATEWAY
192.168.0.0/0 eth0
169.254.0.0/0 eth0

從上面的輸出你可以看到，nmap列舉出了你系統上的接口以及它們各自的路由信息。

18.掃描特定的端口

使用Nmap掃描遠程機器的端口有各種選項，你可以使用“-P”選項指定你想要掃描的端口，默認情況下nmap只掃描TCP端口。

[root@server1 ~]# nmap -p 80 server2.tecmint.com
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 17:12 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
PORT   STATE SERVICE
80/tcp open  http
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) sca

19.掃描TCP端口

你可以指定具體的端口類型和端口號來讓nmap掃描。

[root@server1 ~]# nmap -p T:8888,80 server2.tecmint.com
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 17:15 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
PORT     STATE SERVICE
80/tcp   open  http
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 0.157 seconds

20.掃描UDP端口

[root@server1 ~]# nmap -sU 53 server2.tecmint.com
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 17:15 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
PORT     STATE SERVICE
53/udp   open  http
8888/udp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 0.157 seconds

21.掃描多個端口

你還可以使用選項“-P”來掃描多個端口。

[root@server1 ~]# nmap -p 80,443 192.168.0.101
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-18 10:56 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
PORT    STATE  SERVICE
80/tcp  open   http
443/tcp closed https
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 0.190 seconds

22.掃描指定范圍內的端口

您可以使用表達式來掃描某個范圍內的端口。

[root@server1 ~]#  nmap -p 80-160 192.168.0.101

23.查找主機服務版本號

[root@server1 ~]# nmap -sV 192.168.0.101
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 17:48 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 4.3 (protocol 2.0)
80/tcp   open  http    Apache httpd 2.2.3 ((CentOS))
111/tcp  open  rpcbind  2 (rpc #100000)
957/tcp  open  status   1 (rpc #100024)
3306/tcp open  mysql   MySQL (unauthorized)
8888/tcp open  http    lighttpd 1.4.32
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 12.624 seconds

24.使用TCP ACK (PA)和TCP Syn (PS)掃描遠程主機

有時候包過濾防火牆會阻斷標准的ICMP ping請求，在這種情況下，我們可以使用TCP ACK和TCP Syn方法來掃描遠程主機。

[root@server1 ~]# nmap -PS 192.168.0.101
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 17:51 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
957/tcp  open  unknown
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 0.360 seconds
You have new mail in /var/spool/mail/root

25.使用TCP ACK掃描遠程主機上特定的端口

[root@server1 ~]# nmap -PA -p 22,80 192.168.0.101
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 18:02 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 0.166 seconds
You have new mail in /var/spool/mail/root

26. 使用TCP Syn掃描遠程主機上特定的端口

[root@server1 ~]# nmap -PS -p 22,80 192.168.0.101
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 18:08 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 0.165 seconds
You have new mail in /var/spool/mail/root

27.執行一次隱蔽的掃描

[root@server1 ~]# nmap -sS 192.168.0.101
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 18:10 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
957/tcp  open  unknown
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 0.383 seconds
You have new mail in /var/spool/mail/root

28.使用TCP Syn掃描最常用的端口

[root@server1 ~]# nmap -sT 192.168.0.101
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 18:12 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
957/tcp  open  unknown
3306/tcp open  mysql
8888/tcp open  sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 0.406 seconds
You have new mail in /var/spool/mail/root

29.執行TCP空掃描以騙過防火牆

[root@server1 ~]# nmap -sN 192.168.0.101
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-11-11 19:01 EST
Interesting ports on server2.tecmint.com (192.168.0.101):
Not shown: 1674 closed ports
PORT     STATE         SERVICE
22/tcp   open|filtered ssh
80/tcp   open|filtered http
111/tcp  open|filtered rpcbind
957/tcp  open|filtered unknown
3306/tcp open|filtered mysql
8888/tcp open|filtered sun-answerbook
MAC Address: 08:00:27:D9:8E:D7 (Cadmus Computer Systems)
 
Nmap finished: 1 IP address (1 host up) scanned in 1.584 seconds
You have new mail in /var/spool/mail/root

以上就是NMAP的基本使用，我會在第二部分帶來NMAP更多的創意選項。

英文原版：http://www.tecmint.com/nmap-command-examples/

nmap是一個網絡探測和安全掃描程序，系統管理者和個人可以使用這個軟件掃描大型的網絡，獲取那台主機正在運行以及提供什么服務等信息。nmap支持很多掃描技術，例如：UDP、TCP
connect()、TCP SYN(半開掃描)、ftp代理(bounce攻擊)、反向標志、ICMP、FIN、ACK掃描、聖誕樹(Xmas
Tree)、SYN掃描和null掃描。從掃描類型一節可以得到細節。nmap還提供了一些高級的特征，例如：通過TCP/IP協議棧特征探測操作系統類型，秘密掃描，動態延時和重傳計算，並行掃描，通過並行ping掃描探測關閉的主機，誘餌掃描，避開端口過濾檢測，直接RPC掃描(無須端口影射)，碎片掃描，以及靈活的目標和端口設定.

--------------------------------------------------------------------------------
1.名稱

nmap-網絡探測和安全掃描工具
2.語法
nmap [Scan Type(s)][Options]
3.描述
nmap是一個網絡探測和安全掃描程序，系統管理者和個人可以使用這個軟件掃描大型的網絡，獲取那台主機正在運行以及提供什么服務等信息。nmap支持很多掃描技術，例如：UDP、TCP
connect()、TCP SYN(半開掃描)、ftp代理(bounce攻擊)、反向標志、ICMP、FIN、ACK掃描、聖誕樹(Xmas
Tree)、SYN掃描和null掃描。從掃描類型一節可以得到細節。nmap還提供了一些高級的特征，例如：通過TCP/IP協議棧特征探測操作系統類型，秘密掃描，動態延時和重傳計算，並行掃描，通過並行ping掃描探測關閉的主機，誘餌掃描，避開端口過濾檢測，直接RPC掃描(無須端口影射)，碎片掃描，以及靈活的目標和端口設定。
　　為了提高nmap在non-root狀態下的性能，軟件的設計者付出了很大的努力。很不幸，一些內核界面(例如raw
socket)需要在root狀態下使用。所以應該盡可能在root使用nmap。
nmap運行通常會得到被掃描主機端口的列表。nmap總會給出well known端口的服務名(如果可能)、端口號、狀態和協議等信息。每個端口的狀態有：open、filtered、unfiltered。open狀態意味着目標主機能夠在這個端口使用accept()系統調用接受連接。filtered狀態表示：防火牆、包過濾和其它的網絡安全軟件掩蓋了這個端口，禁止
nmap探測其是否打開。unfiltered表示：這個端口關閉，並且沒有防火牆/包過濾軟件來隔離nmap的探測企圖。通常情況下，端口的狀態基本都是unfiltered狀態，只有在大多數被掃描的端口處於filtered狀態下，才會顯示處於unfiltered狀態的端口。
　　根據使用的功能選項，nmap也可以報告遠程主機的下列特征：使用的操作系統、TCP序列、運行綁定到每個端口上的應用程序的用戶名、DNS名、主機地址是否是欺騙地址、以及其它一些東西。
4.功能選項
　　功能選項可以組合使用。一些功能選項只能夠在某種掃描模式下使用。nmap會自動識別無效或者不支持的功能選項組合，並向用戶發出警告信息。
　　如果你是有經驗的用戶，可以略過結尾的示例一節。可以使用nmap -h快速列出功能選項的列表。
4.1 掃描類型
-sTTCP connect()掃描：這是最基本的TCP掃描方式。connect()是一種系統調用，由操作系統提供，用來打開一個連接。如果目標端口有程序監聽，
connect()就會成功返回，否則這個端口是不可達的。這項技術最大的優點是，你勿需root權限。任何UNIX用戶都可以自由使用這個系統調用。這種掃描很容易被檢測到，在目標主機的日志中會記錄大批的連接請求以及錯誤信息。-sSTCP同步掃描(TCP SYN)：因為不必全部打開一個TCP連接，所以這項技術通常稱為半開掃描(half-open)。你可以發出一個TCP同步包(SYN)，然后等待回應。如果對方返回SYN|ACK(響應)包就表示目標端口正在監聽；如果返回RST數據包，就表示目標端口沒有監聽程序；如果收到一個SYN|ACK包，源主機就會馬上發出一個RST(復位)數據包斷開和目標主機的連接，這實際上有我們的操作系統內核自動完成的。這項技術最大的好處是，很少有系統能夠把這記入系統日志。不過，你需要root權限來定制SYN數據包。-sF -sX -sN　　秘密FIN數據包掃描、聖誕樹(Xmas Tree)、空(Null)掃描模式：即使SYN掃描都無法確定的情況下使用。一些防火牆和包過濾軟件能夠對發送到被限制端口的SYN數據包進行監視，而且有些程序比如synlogger和courtney能夠檢測那些掃描。這些高級的掃描方式可以逃過這些干擾。這些掃描方式的理論依據是：關閉的端口需要對你的探測包回應RST包，而打開的端口必需忽略有問題的包(參考RFC
793第64頁)。FIN掃描使用暴露的FIN數據包來探測，而聖誕樹掃描打開數據包的FIN、URG和PUSH標志。不幸的是，微軟決定完全忽略這個標准，另起爐灶。所以這種掃描方式對Windows95/NT無效。不過，從另外的角度講，可以使用這種方式來分別兩種不同的平台。如果使用這種掃描方式可以發現打開的端口，你就可以確定目標主機運行的不是Windows系統。如果使用-sF、-sX或者-sN掃描顯示所有的端口都是關閉的，而使用SYN掃描顯示有打開的端口，你可以確定目標主機可能運行的是Windwos系統。現在這種方式沒有什么太大的用處，因為nmap有內嵌的操作系統檢測功能。還有其它幾個系統使用和windows同樣的處理方式，包括Cisco、BSDI、HP/UX、MYS、IRIX。在應該拋棄數據包時，以上這些系統都會從打開的端口發出復位數據包。-sPping掃描：有時你只是想知道此時網絡上哪些主機正在運行。通過向你指定的網絡內的每個IP地址發送ICMP echo請求數據包，nmap就可以完成這項任務。如果主機正在運行就會作出響應。不幸的是，一些站點例如：microsoft.com阻塞ICMP
echo請求數據包。然而，在默認的情況下nmap也能夠向80端口發送TCP ack包，如果你收到一個RST包，就表示主機正在運行。nmap使用的第三種技術是：發送一個SYN包，然后等待一個RST或者SYN/ACK包。對於非root用戶，nmap使用connect()方法。　　在默認的情況下(root用戶)，nmap並行使用ICMP和ACK技術。　　注意，nmap在任何情況下都會進行ping掃描，只有目標主機處於運行狀態，才會進行后續的掃描。如果你只是想知道目標主機是否運行，而不想進行其它掃描，才會用到這個選項。-sUUDP掃描：如果你想知道在某台主機上提供哪些UDP(用戶數據報協議,RFC768)服務，可以使用這種掃描方法。nmap首先向目標主機的每個端口發出一個0字節的UDP包，如果我們收到端口不可達的ICMP消息，端口就是關閉的，否則我們就假設它是打開的。　　有些人可能會想UDP掃描是沒有什么意思的。但是，我經常會想到最近出現的solaris rpcbind缺陷。rpcbind隱藏在一個未公開的UDP端口上，這個端口號大於32770。所以即使端口111(portmap的眾所周知端口號)
被防火牆阻塞有關系。但是你能發現大於30000的哪個端口上有程序正在監聽嗎?使用UDP掃描就能！cDc
Back Orifice的后門程序就隱藏在Windows主機的一個可配置的UDP端口中。不考慮一些通常的安全缺陷，一些服務例如:snmp、tftp、NFS
使用UDP協議。不幸的是，UDP掃描有時非常緩慢，因為大多數主機限制ICMP錯誤信息的比例(在RFC1812中的建議)。例如，在Linux內核中
(在net/ipv4/icmp.h文件中)限制每4秒鍾只能出現80條目標不可達的ICMP消息，如果超過這個比例，就會給1/4秒鍾的處罰。solaris的限制更加嚴格，每秒鍾只允許出現大約2條ICMP不可達消息，這樣，使掃描更加緩慢。nmap會檢測這個限制的比例，減緩發送速度，而不是發送大量的將被目標主機丟棄的無用數據包。　　不過Micro$oft忽略了RFC1812的這個建議，不對這個比例做任何的限制。所以我們可以能夠快速掃描運行Win95/NT的主機上的所有65K個端口。-sAACK掃描：這項高級的掃描方法通常用來穿過防火牆的規則集。通常情況下，這有助於確定一個防火牆是功能比較完善的或者是一個簡單的包過濾程序，只是阻塞進入的SYN包。這種掃描是向特定的端口發送ACK包(使用隨機的應答/序列號)。如果返回一個RST包，這個端口就標記為unfiltered狀態。如果什么都沒有返回，或者返回一個不可達ICMP消息，這個端口就歸入filtered類。注意，nmap通常不輸出unfiltered的端口，所以在輸出中通常不顯示所有被探測的端口。顯然，這種掃描方式不能找出處於打開狀態的端口。-sW　　對滑動窗口的掃描：這項高級掃描技術非常類似於ACK掃描，除了它有時可以檢測到處於打開狀態的端口，因為滑動窗口的大小是不規則的，有些操作系統可以報告其大小。這些系統至少包括：某些版本的AIX、Amiga、BeOS、BSDI、Cray、Tru64
UNIX、DG/UX、OpenVMS、Digital UNIX、OpenBSD、OpenStep、QNX、Rhapsody、SunOS
4.x、Ultrix、VAX、VXWORKS。從nmap-hackers郵件3列表的文檔中可以得到完整的列表。-sRRPC掃描。這種方法和nmap的其它不同的端口掃描方法結合使用。選擇所有處於打開狀態的端口向它們發出SunRPC程序的NULL命令，以確定它們是否是RPC端口，如果是，就確定是哪種軟件及其版本號。因此你能夠獲得防火牆的一些信息。誘餌掃描現在還不能和RPC掃描結合使用。-bFTP反彈攻擊(bounce attack):FTP協議(RFC 959)有一個很有意思的特征，它支持代理FTP連接。也就是說，我能夠從evil.com連接到FTP服務器target.com，並且可以要求這台FTP服務器為自己發送Internet上任何地方的文件！1985年，RFC959完成時，這個特征就能很好地工作了。然而，在今天的Internet
中，我們不能讓人們劫持FTP服務器，讓它向Internet上的任意節點發送數據。如同Hobbit在1995年寫的文章中所說的，這個協議"能夠用來做投遞虛擬的不可達郵件和新聞，進入各種站點的服務器,填滿硬盤，跳過防火牆，以及其它的騷擾活動，而且很難進行追蹤"。我們可以使用這個特征，在一台代理FTP服務器掃描TCP端口。因此，你需要連接到防火牆后面的一台FTP服務器，接着進行端口掃描。如果在這台FTP服務器中有可讀寫的目錄，你還可以向目標端口任意發送數據(不過nmap不能為你做這些)。　　傳遞給-b功能選項的參數是你要作為代理的FTP服務器。語法格式為：-b username:password@server:port。　　除了server以外，其余都是可選的。如果你想知道什么服務器有這種缺陷，可以參考我在Phrack 51發表的文章。還可以在nmap的站點得到這篇文章的最新版本。
4.2 通用選項
　　這些內容不是必需的，但是很有用。
-P0　　在掃描之前，不必ping主機。有些網絡的防火牆不允許ICMP echo請求穿過，使用這個選項可以對這些網絡進行掃描。microsoft.com就是一個例子，因此在掃描這個站點時，你應該一直使用-P0或者-PT
80選項。-PT　　掃描之前，使用TCP ping確定哪些主機正在運行。nmap不是通過發送ICMP echo請求包然后等待響應來實現這種功能，而是向目標網絡(或者單一主機)發出TCP
ACK包然后等待回應。如果主機正在運行就會返回RST包。只有在目標網絡/主機阻塞了ping包，而仍舊允許你對其進行掃描時，這個選項才有效。對於非
root用戶，我們使用connect()系統調用來實現這項功能。使用-PT <端口號>來設定目標端口。默認的端口號是80，因為這個端口通常不會被過濾。-PS　　對於root用戶，這個選項讓nmap使用SYN包而不是ACK包來對目標主機進行掃描。如果主機正在運行就返回一個RST包(或者一個SYN/ACK包)。-PI　　設置這個選項，讓nmap使用真正的ping(ICMP echo請求)來掃描目標主機是否正在運行。使用這個選項讓nmap發現正在運行的主機的同時，nmap也會對你的直接子網廣播地址進行觀察。直接子網廣播地址一些外部可達的IP地址，把外部的包轉換為一個內向的IP廣播包，向一個計算機子網發送。這些IP廣播包應該刪除，因為會造成拒絕服務攻擊(例如
smurf)。-PB　　這是默認的ping掃描選項。它使用ACK(-PT)和ICMP(-PI)兩種掃描類型並行掃描。如果防火牆能夠過濾其中一種包，使用這種方法，你就能夠穿過防火牆。-O　　這個選項激活對TCP/IP指紋特征(fingerprinting)的掃描，獲得遠程主機的標志。換句話說，nmap使用一些技術檢測目標主機操作系統網絡協議棧的特征。nmap使用這些信息建立遠程主機的指紋特征，把它和已知的操作系統指紋特征數據庫做比較，就可以知道目標主機操作系統的類型。-I　　這個選項打開nmap的反向標志掃描功能。Dave Goldsmith 1996年向bugtap發出的郵件注意到這個協議，ident協議(rfc
1413)允許使用TCP連接給出任何進程擁有者的用戶名，即使這個進程並沒有初始化連接。例如，你可以連接到HTTP端口，接着使用identd確定這個服務器是否由root用戶運行。這種掃描只能在同目標端口建立完全的TCP連接時(例如：-sT掃描選項)才能成功。使用-I選項是，遠程主機的
identd精靈進程就會查詢在每個打開的端口上監聽的進程的擁有者。顯然，如果遠程主機沒有運行identd程序，這種掃描方法無效。-f　　這個選項使nmap使用碎片IP數據包發送SYN、FIN、XMAS、NULL。使用碎片數據包增加包過濾、入侵檢測系統的難度，使其無法知道你的企圖。不過，要慎重使用這個選項！有些程序在處理這些碎片包時會有麻煩，我最喜歡的嗅探器在接受到碎片包的頭36個字節時，就會發生
segmentation faulted。因此，在nmap中使用了24個字節的碎片數據包。雖然包過濾器和防火牆不能防這種方法，但是有很多網絡出於性能上的考慮，禁止數據包的分片。　　注意這個選項不能在所有的平台上使用。它在Linux、FreeBSD、OpenBSD以及其它一些UNIX系統能夠很好工作。-v　　冗余模式。強烈推薦使用這個選項，它會給出掃描過程中的詳細信息。使用這個選項，你可以得到事半功倍的效果。使用-d選項可以得到更加詳細的信息。-h　　快速參考選項。-oN　　把掃描結果重定向到一個可讀的文件logfilename中。-oM　　把掃描結果重定向到logfilename文件中，這個文件使用主機可以解析的語法。你可以使用-oM -來代替logfilename，這樣輸出就被重定向到標准輸出stdout。在這種情況下，正常的輸出將被覆蓋，錯誤信息荏苒可以輸出到標准錯誤
stderr。要注意，如果同時使用了-v選項，在屏幕上會打印出其它的信息。-oS thIs l0gz th3 r3suLtS ofYouR ScanZ iN a s|
THe fiL3 U sPecfy 4s anarGuMEnT! U kAn gIv3 the 4rgument -(wItHOUt qUOteZ) to sh00t output iNT0stDouT!@!!
莫名其妙，下面是我猜着翻譯的，相形字？　　把掃描結果重定向到一個文件logfilename中，這個文件使用一種"黑客方言"的語法形式(作者開的玩笑?)。同樣，使用-oS
-就會把結果重定向到標准輸出上。-resume　　某個網絡掃描可能由於control-C或者網絡損失等原因被中斷，使用這個選項可以使掃描接着以前的掃描進行。logfilename是被取消掃描的日志文件，它必須是可讀形式或者機器可以解析的形式。而且接着進行的掃描不能增加新的選項，只能使用與被中斷的掃描相同的選項。nmap會接着日志文件中的最后一次成功掃描進行新的掃描。-iL　　從inputfilename文件中讀取掃描的目標。在這個文件中要有一個主機或者網絡的列表，由空格鍵、制表鍵或者回車鍵作為分割符。如果使用-iL -，nmap就會從標准輸入stdin讀取主機名字。你可以從指定目標一節得到更加詳細的信息。-iR　　讓nmap自己隨機挑選主機進行掃描。-p <端口范圍>　　這個選項讓你選擇要進行掃描的端口號的范圍。例如，-p 23表示：只掃描目標主機的23號端口。-p
20-30,139,60000-表示：掃描20到30號端口，139號端口以及所有大於60000的端口。在默認情況下，nmap掃描從1到1024號以及nmap-services文件(如果使用RPM軟件包，一般在/usr/share/nmap/目錄中)中定義的端口列表。-F　　快速掃描模式，只掃描在nmap-services文件中列出的端口。顯然比掃描所有65535個端口要快。-D　　使用誘餌掃描方法對目標網絡/主機進行掃描。如果nmap使用這種方法對目標網絡進行掃描，那么從目標主機/網絡的角度來看，掃描就象從其它主機
(decoy1,等)發出的。從而，即使目標主機的IDS(入侵檢測系統)對端口掃描發出報警，它們也不可能知道哪個是真正發起掃描的地址，哪個是無辜的。這種掃描方法可以有效地對付例如路由跟蹤、response-dropping等積極的防御機制，能夠很好地隱藏你的IP地址。　　每個誘餌主機名使用逗號分割開，你也可以使用ME選項，它代表你自己的主機，和誘餌主機名混雜在一起。如果你把ME放在第六或者更靠后的位置，一些端口掃描檢測軟件幾乎根本不會顯示你的IP地址。如果你不使用ME選項，nmap會把你的IP地址隨機夾雜在誘餌主機之中。　　注意:你用來作為誘餌的主機應該正在運行或者你只是偶爾向目標發送SYN數據包。很顯然，如果在網絡上只有一台主機運行，目標將很輕松就會確定是哪台主機進行的掃描。或許，你還要直接使用誘餌的IP地址而不是其域名，這樣誘餌網絡的域名服務器的日志上就不會留下關於你的記錄。　　還要注意：一些愚蠢的端口掃描檢測軟件會拒絕路由試圖進行端口掃描的主機。因而，你需要讓目標主機和一些誘餌斷開連接。如果誘餌是目標主機的網關或者就是其自己時，會給目標主機造成很大問題。所以你需要慎重使用這個選項。　　誘餌掃描既可以在起始的ping掃描也可以在真正的掃描狀態下使用。它也可以和-O選項組合使用。　　使用太多的誘餌掃描能夠減緩你的掃描速度甚至可能造成掃描結果不正確。同時，有些ISP會把你的欺騙包過濾掉。雖然現在大多數的ISP不會對此進行限制。-S <IP_Address>　　在一些情況下，nmap可能無法確定你的源地址(nmap會告訴你)。在這種情況使用這個選項給出你的IP地址。　　在欺騙掃描時，也使用這個選項。使用這個選項可以讓目標認為是其它的主機對自己進行掃描。-e　　告訴nmap使用哪個接口發送和接受數據包。nmap能夠自動對此接口進行檢測，如果無效就會告訴你。-g　　設置掃描的源端口。一些天真的防火牆和包過濾器的規則集允許源端口為DNS(53)或者FTP-DATA(20)的包通過和實現連接。顯然，如果攻擊者把源端口修改為20或者53，就可以摧毀防火牆的防護。在使用UDP掃描時，先使用53號端口；使用TCP掃描時，先使用20號端口。注意只有在能夠使用這個端口進行掃描時，nmap才會使用這個端口。例如，如果你無法進行TCP掃描，nmap會自動改變源端口，即使你使用了-g選項。　　對於一些掃描，使用這個選項會造成性能上的微小損失，因為我有時會保存關於特定源端口的一些有用的信息。-r　　告訴nmap不要打亂被掃描端口的順序。--randomize_hosts　　使nmap在掃描之前，打亂每組掃描中的主機順序，nmap每組可以掃描最多2048台主機。這樣，可以使掃描更不容易被網絡監視器發現，尤其和--scan_delay
選項組合使用，更能有效避免被發現。-M　　設置進行TCP connect()掃描時，最多使用多少個套接字進行並行的掃描。使用這個選項可以降低掃描速度，避免遠程目標宕機。
4.3 適時選項
　　通常，nmap在運行時，能夠很好地根據網絡特點進行調整。掃描時，nmap會盡量減少被目標檢測到的機會，同時盡可能加快掃描速度。然而，nmap默認的適時策略有時候不太適合你的目標。使用下面這些選項，可以控制nmap的掃描timing：
-T　　設置nmap的適時策略。Paranoid:為了避開IDS的檢測使掃描速度極慢，nmap串行所有的掃描，每隔至少5分鍾發送一個包；
Sneaky：也差不多，只是數據包的發送間隔是15秒；Polite：不增加太大的網絡負載，避免宕掉目標主機，串行每個探測，並且使每個探測有0.4
秒種的間隔；Normal:nmap默認的選項，在不是網絡過載或者主機/端口丟失的情況下盡可能快速地掃描；Aggressive:設置5分鍾的超時限制，使對每台主機的掃描時間不超過5分鍾，並且使對每次探測回應的等待時間不超過1.5秒鍾；b>Insane:只適合快速的網絡或者你不在意丟失某些信息，每台主機的超時限制是75秒，對每次探測只等待0.3秒鍾。你也可是使用數字來代替這些模式，例如：-T
0等於-T Paranoid，-T 5等於-T Insane。　　這些適時模式不能下面的適時選項組合使用。
--host_timeout　　設置掃描一台主機的時間，以毫秒為單位。默認的情況下，沒有超時限制。
--max_rtt_timeout　　設置對每次探測的等待時間，以毫秒為單位。如果超過這個時間限制就重傳或者超時。默認值是大約9000毫秒。
--min_rtt_timeout　　當目標主機的響應很快時，nmap就縮短每次探測的超時時間。這樣會提高掃描的速度，但是可能丟失某些響應時間比較長的包。使用這個選項，可以讓nmap對每次探測至少等待你指定的時間，以毫秒為單位。
--initial_rtt_timeout　　設置初始探測的超時值。一般這個選項只在使用-P0選項掃描有防火牆保護的主機才有用。默認值是6000毫秒。
--max_parallelism　　設置最大的並行掃描數量。--max_parallelism 1表示同時只掃描一個端口。這個選項對其它的並行掃描也有效，例如ping sweep, RPC scan。
--scan_delay　　設置在兩次探測之間，nmap必須等待的時間。這個選項主要用於降低網絡的負載。
4.4 目標設定
　　在nmap的所有參數中，只有目標參數是必須給出的。其最簡單的形式是在命令行直接輸入一個主機名或者一個IP地址。如果你希望掃描某個IP地址的一個子網，你可以在主機名或者IP地址的后面加上/掩碼。掩碼在0(掃描整個網絡)到32(只掃描這個主機)。使用/24掃描C類地址，/16掃描B類地址。
　　除此之外，nmap還有更加強大的表示方式讓你更加靈活地指定IP地址。例如，如果要掃描這個B類網絡128.210.*.*，你可以使用下面三種方式來指定這些地址:128.210.*.*、128.21-.0-255.0-255或者128.210.0.0/16這三種形式是等價的。
5.例子
　　本節將由淺入深地舉例說明如何使用nmap。
nmap -vtarget.example.com掃描主機target.example.com的所有TCP端口。-v打開冗余模式。
nmap -sS -Otarget.example.com/24發起對target.example.com所在網絡上的所有255個IP地址的秘密SYN掃描。同時還探測每台主機操作系統的指紋特征。需要root權限。
nmap -sX -p22,53,110,143,4564 128.210.*.1-127對B類IP地址128.210中255個可能的8位子網的前半部分發起聖誕樹掃描。確定這些系統是否打開了sshd、DNS、pop3d、imapd和4564端口。注意聖誕樹掃描對Micro$oft的系統無效，因為其協議棧的TCP層有缺陷。
nmap -v --randomize_hosts-p 80 *.*.2.3-5只掃描指定的IP范圍，有時用於對這個Internet進行取樣分析。nmap將尋找Internet上所有后兩個字節是.2.3、.2.4、.2.5的
IP地址上的WEB服務器。如果你想發現更多有意思的主機，你可以使用127-222，因為在這個范圍內有意思的主機密度更大。
host -l company.com | cut-d -f 4 | ./nmap -v -iL -列出company.com網絡的所有主機，讓nmap進行掃描。注意：這項命令在GNU/Linux下使用。如果在其它平台，你可能要使用其它的命令/選項

--------------------------------------------------------------------------------
1.名稱

NMap也就是Network Mapper，nmap是在網絡安全滲透測試中經常會用到的強大的掃描器，功能之強大，不言而喻。下面介紹一下它的幾種掃描命令。具體的還是得靠大家自己學習，因為實在太強大了。

1) 獲取遠程主機的系統類型及開放端口

nmap -sS -P0 -sV -O <target>

這里的 < target > 可以是單一 IP, 或主機名，或域名，或子網

-sS TCP SYN 掃描 (又稱半開放,或隱身掃描)
-P0 允許你關閉 ICMP pings.
-sV 打開系統版本檢測
-O 嘗試識別遠程操作系統

其它選項:

-A 同時打開操作系統指紋和版本檢測
-v 詳細輸出掃描情況.

2) 列出開放了指定端口的主機列表

nmap -sT -p 80 -oG – 192.168.1.* | grep open

3) 在網絡尋找所有在線主機

nmap -sP 192.168.0.*

或者也可用以下命令:

nmap -sP 192.168.0.0/24

指定 subnet

4) Ping 指定范圍內的 IP 地址

nmap -sP 192.168.1.100-254

5) 在某段子網上查找未占用的 IP

nmap -T4 -sP 192.168.2.0/24 && egrep “00:00:00:00:00:00″ /proc/net/arp

6) 在局域網上掃找 Conficker 蠕蟲病毒

nmap -PN -T4 -p139,445 -n -v –script=smb-check-vulns –script-args safe=1 192.168.0.1-254

7) 掃描網絡上的惡意接入點（rogue APs）.

nmap -A -p1-85,113,443,8080-8100 -T4 –min-hostgroup 50 –max-rtt-timeout
2000 –initial-rtt-timeout 300 –max-retries 3 –host-timeout 20m
–max-scan-delay 1000 -oA wapscan 10.0.0.0/8

8 ) 使用誘餌掃描方法來掃描主機端口

sudo nmap -sS 192.168.0.10 -D 192.168.0.2

9) 為一個子網列出反向DNS記錄

nmap -R -sL 209.85.229.99/27 | awk ‘{if($3==”not”)print”(“$2″) no PTR”;else print$3″ is “$2}’ | grep ‘(‘

10) 顯示網絡上共有多少台 Linux 及 Win 設備?

sudo nmap -F -O 192.168.0.1-255 | grep “Running: ” > /tmp/os; echo “$(cat /tmp/os | grep Linux \
| wc -l) Linux device(s)”; echo “$(cat /tmp/os | grep Windows | wc -l) Window(s) device”

轉載必需保留本文鏈接: https://www.linuxprobe.com/10-nmap.html

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 Linux nmap命令詳解 [信息收集]Nmap命令詳解 nmap命令行使用方式詳解 nmap常用基礎命令 nmap命令-----高級用法 nmap詳解之選項說明 nmap詳解之原理與用法 nmap常用參數詳解 Nmap和Zenmap詳解 Nmap工具用法詳解