nmap使用指南

基本功能：主机发现，端口扫描，应用程序与版本信息侦测，操作系统侦测

附加功能：规避FW/IDS（防火墙）,NSE脚本定制与使用

命令语法格式

• 默认方式扫描

nmap <目标地址>

• 全面扫描

nmap -A -T 4 -v <目标地址>

主机发现

目标：确认目标主机是否在线（Alive 处于开启状态）

原理：与ping命令类似，发送探测包到目标主机，如果收到回复，则说明目标主机是开启得到

探测方式：

ICMP ECHO(ping) /TIMESTAMP /NETMASK(子网掩码) 报文

TCP SYN /ACK 报文

SCTP INIT /COOKIE-ECHO报文

.....

主机发现相关命令选项

实例一：局域网内执行Ping扫描

目标：扫描局域网192.168.40.1-192.168.40.254内哪些IP的主机在线

命令：nmap -sP 192.168.40.1-254或nmap -sP 192.168.40.0/24

说明：在局域网内，无论采用哪一种选项，nmap都是通过ARP包来查询IP地址上的主机是否活动的，如果收到ARP回复包，说明主机在线

实例二：跨网段执行Ping扫描

目标：扫描跨网段目标主机192.168.50.5是否在线

命令:nmap -sP 192.168.50.5

说明:扫描跨网段目标主机时，使用-sp或-sn选项，默认情况下Nmap会依次发送4种不同类型的数据包（ICMP echo request,TCP SYN packet to port 443,TCP ACK packet to port 80,ICMP timestamp request)来探测目标主机是否在线，只要收到其中一个包的回复，就证明目标机在线

实例三：--packet-trace的使用

命令：nmap -sP --packet-trace [目标主机] 或者 nmap -sP [目标主机] --packet-trace

端口扫描

目标：确定目标主机的TCP/UDP端口的开放情况

原理：发送TCP，UDP等类型的探测包到目标端口，根据收到的回复包判定端口是否开放

端口的六个状态：

open:开放

closed:关闭

filtered:端口被防火墙，IDS/IPS屏蔽，无法确定其状态

unfiltered:端口没有被屏蔽，但是否开放需要进一步确定

open|filtered:端口是开放的或被屏蔽

closed|filtered:端口是关闭的或被屏蔽

端口扫描相关的命令选项：

实例四：-p选项的应用--指定扫描的端口号

命令：nmap -p 指定端口号 [目的主机]

关于-p:nmap仅对用-P指定的TCP端口进行扫描，扫描方式为-sS(TCP SYN扫描)。如果既要扫描TCP端口，又要扫描UDP端口，则可以用”T：“ “U：”参数指定目标端口，并指定-sU(UDP扫描方式)和至少一种TCP扫描方式，如：

nmap -p T:139,U:53 -sS -sU 192.168.40.178

TCP SYN 扫描（-sS)原理

Nmap向目标端口发送TCP SYN报文，如果目标机返回TCP SYN+ACK报文，则说明目标端口处于开放状态，同时Nmap会紧接着向目标机发送TCP RST报文以重置此连接；如果目标机返回TCP RST+ACK报文，则说明目标端口处于关闭状态

实例五：-sS选项的应用--TCP SYN扫描

命令：nmap -p 80 -sS [目标主机] //只能管理员权限才能使用这条命令

TCP connet扫描（-sT)原理

nmap向目标端口发送TCP SYN报文，如果目标机返回TCP SYN+ACK报文，则说明目标端口处于开放状态，同时会紧接向目标机依次发送TCP ACK TCP RST+ACK完成三次握手和重置此连接，如果目标机返回TCP RST+ACK报文，则说明目标端口处于关闭状态 //RST是断开连接 任何权限的用户都能使用这条命令

命令：nmap -p 80 -sT [目标主机]

TCP ACK 扫描（-sA)原理（判断防火墙有没有开启）

nmap向目标端口发送TCP ACK报文，无论目标端口是否处于开放状态，目标机都会返回TCP RST报文。如果Nmap主机能收到此TCP RST报文，则说明目标端口未被防火墙屏蔽

TCP ACK扫描只能用于确定防火墙是否屏蔽某个端口，可以辅助TCP SYN的方式来判断主机防火墙的状况

隐蔽扫描（-sF/-sN/-sX)原理（只对Linux操作系统有用）

nmap向目标端口发送TCP FIN （-sF)/NULL(-sN)/FIN+PSH+URG(-sX)报文

对于Linux系统的目标机，如果目标机未响应，则说明目标端口处于开放状态或被防火墙屏蔽；如果目标机返回TCP RST+ACK报文，则说明目标端口处于关闭状态

对于Windows系统的目标机，无论目标端口处于开放还是关闭状态，目标机都会返回TCP RST+ACK报文

因此，隐蔽扫描方式适合于Linux系统的目标主机端口扫描

命令：nmap -p 80 -sF/-sN/-sX [目标主机]

应用程序与版本信息侦测（比端口扫描多了版本信息）

目标：识别目标主机开放的TCP/UDP端口上运行的服务及版本信息

应用程序与版本信息侦测相关的命令选项

命令：nmap -sV [目的主机]

实例：--version-trace选项的应用--跟踪版本扫描活动

命令：nmap -sV --version-trace [目的主机]

操作系统侦测

目标：识别目标主机操作系统的类型

侦测方式：网络协议指纹识别技术

操作系统数据库文件（nmap-os-db)

命令选项

nmap -O [目的主机]

• TTL（根据不同的操作系统具有不同的TTL值来判断是什么类型的操作系统)

time to live,即数据报的存活时间，表示一个数据包在被丢弃之前可以通过多少跃点（跳），不同的操作系统的缺省TTL值往往是不一样的

Windows TTL=128

Unix TTL=60

Linux TTL=64

• DF位

DF（不分段）位识别：不同OS(操作系统）对DF位有不同的处理方式，有些OS设置DF位，有些不设置DF位，还有一些OS在特定场合设置DF位，在其他场合不设置DF位

• Windows Size (窗口大小)

Windows Size :TCP接收（发送）窗口大小，他决定了接收信息的机器在收到剁手数据包后发送ACK包

• ACK序号

不同的操作系统处理ACK序号是不同的，如果发送一个FIN+PSH+URG的数据包到一个关闭的TCP端口，大多数操作系统会把回应ACK包的序号设置成发送的包的初始序号，而Windows和一些打印机则会发送序号为初始序号加1的ACK包

• 对FIN包的响应

发送一个只有FIN标志位的TCP数据包给一个打开的端口，Linux等系统不响应2；有些系统如Windows cisco hp/ux等，发回一个RST

• ISN（初始化序列号）

• 主机使用的端口

规避FW/IDS技术

目标：绕过目标主机的防火墙，入侵检测系统等防护手段

报文分段：将报文分成一段一段的去过防火墙，当一段一段的报文可能没什么害处，但是当这些防火墙拼接在一起的时候就产生了害处

实例：-T选项的应用---------控制扫描速度

命令：nmap -T (0~5) [目标主机]

使用=T（0~5)可以启用时序选项，一般来说，数字越大，速度越快，精度越低

-T0 (偏执的)：非常慢的扫描，用于IDS逃避

-T1（鬼祟的）：缓慢的扫描，用于IDS逃避

-T2（文雅的）：降低速度以降低对带宽的消耗，此选项一般不常用

-T3（普通的）：‘默认，根据目标的反应自动调整时间

-T4（0野蛮的）：快速扫描，常用扫描方式，需要在很好的网络环境下使用

-T5（疯狂的）：快速扫描，以牺牲准确度来提升扫描速度

实例：-D选项的应用-------源IP地址的欺骗

命令：nmap -D RND:2 [目的主机]

//RND为诱饵，后面的参数为指定诱饵的个数

实例：空闲扫描（-sI)的应用

命令：nmap -sI [僵尸ip地址，例如服务器的IP地址] [目标主机]

实例：源MAC地址欺骗

命令：nmap --spoof-mac 0[目标ip]

//参数0表示随机分配一个MAC地址，也可以手动指定MAC地址，如：nmap --spoof-mac aa:bb:cc:dd:ee:ff [目标主机]

NSE脚本的简单应用

NSE和Lua

除了常规的网络扫描，Nmap还可根据NSE（Nmap scripting Engine)的脚本进行大量渗透工作，这种脚本基于Lua语言编写

命令：nmap --scipt vuln [目标主机]

//vuln为一个脚本 扫描主机有什么漏洞

命令：nmap --script http-enum.use [网站名]

//扫描网站上的漏洞

实例：暴力破解脚本（--script brute)应用

提供暴力破解的方式，可对数据库，SMB，SNMP等进行简单密码的暴力猜解

命令：nmap --script brute [目标主机]