目标说明
1
|
-iL <inputfilename> 读取文档
|
主机发现
1
|
-sL 列表扫描
|
端口扫描基础
端口状态
| 名称 | 状态 |
|---|---|
| open | 开放 |
| closed | 关闭 |
| filtered | 被过滤的 |
| unfiltered | 未被过滤的 |
| open or filtered | 开放或被过滤的 |
| closed or filtered | 关闭或被过滤的 |
端口扫描技术
-sS
TCP SYN扫描,半开放扫描,需要root权限
-sT
TCP Connect扫描,用户没有权限发送原始报文或扫描IPv6时,Nmap默认使用该扫描方式。Nmap调用connect()对目标端口建立连接,这种方式会花费更长的时间、会在目标机留下连接记录。
-sU
UDP扫描,可以和TCP扫描同时使用检查两种协议。
扫描比较慢,Linux 2.4.20内核限制一秒钟只发送一条目标不可到达消息。加速UDP扫描,可以并发扫描更多的主机,先只对主要端口进行快速扫描,从防火墙后面扫描,使用--host-timeout跳过慢速的主机。
-sN
TCP Null 扫描
不设置任何标志位(tcp标志头是0)
-sF
TCP FIN 扫描
只设置TCP FIN标志位
-sX
Xmas 扫描
设置FIN,PSH,URG标志位,就像点亮圣诞树上所有的灯一样
-sN,-sF,-sX都基于TCP RFC来区分open和closed端口。IDS可以发现这三种方式,而且并不是所有系统都严格遵循RFC 793,例如Microsoft Windows,Cisco,BSDI,IBM OS/400,不过Unix系统都能工作。这三种模式无法区分open还是filtered
-sA
TCP ACK扫描
不能区分open和open|filtered端口。用于发现防火墙规则,确定它们是有状态还是无状态,哪些端口是被过滤掉的。当扫描未被过滤的系统时,open(开放的)和closed(关闭的) 端口都会返回RST报文。Nmap把它们标记为 unfiltered(未被过滤的),意思是 ACK报文不能到达,但至于它们是open(开放的)或者 closed(关闭的) 无法确定。不响应的端口或者发送特定的ICMP错误消息(类型3,代号1,2,3,9,10, 或者13)的端口,标记为 filtered(被过滤的)
-sW
TCP窗口扫描
TCP窗口值为整数,表示端口开启,TCP窗口值为0表示端口关闭
-sM
Mainmon扫描
和-sN,-sF,-sX方式完全一样,除了探测报文是FIN/ACK
–scanflags
定制的TCP扫描--scanflags选项可以指定任意TCP标志位来设计扫描。
1
|
--scanflags URGACKPSHRTSSYNFIN
|
-sI
TCP端口盲扫描,没有报文从真实的IP地址发送到目标
1
|
-sI <zombie host[:probeport]>
|
默认端口80
可以尝试使用可能被信任的zombies扫描目标
端口说明和扫描顺序
默认情况下,Nmap用指定的协议对端口1-1024以及nmap-services文件中列出的更高的端口进行扫描
-p
只扫描指定的端口
1
|
-p <port ranges>
|
-F
快速,有限的端口扫描
只扫描nmap-services文件中的端口
-r
不要按随机顺序扫描端口
Nmap默认按随机顺序扫描端口,使用-r来顺序端口扫描
服务和版本探测
-sV
版本探测
也可使用-A同时打开操作系统探测和版本探测
–allports
不为版本探测排除任何端口
--version-intensity
设置 版本扫描强度
1
|
--version-intensity <intensity>
|
强度:1-9 默认为7
数值越高,服务越有可能被正确识别,高强度扫描花费更多的时间。
--version-light
打开轻量级模式,是--version-intensity 2的别名
--version-all
--version-intensity 9的别名
--version-trace
跟踪版本扫描活动
Nmap打印出详细的关于正在进行的扫描的调试信息
-sR
RPC扫描
可以与许多端口扫描方法联合使用,对所有被发现开放的TCP/UDP端口执行SunRPC程序NULL命令,来确定他们是否有RPC端口并确定程序和版本号。
操作系统探测
--O
启动操作系统检测
也可以使用-A来同时启动操作系统检测和版本检测
--osscan-limit
针对指定的目标进行操作系统检测
--osscan-guess
--fuzzy
推测操作系统检测结果
时间和性能
防火墙/IDS躲避和哄骗
-f
报文分段
--mtu
使用指定的MTU
-f和-mtu都是将数据包分段的参数,-f使用一次是将包分成8字节或更小,使用两次是将包分为16字节的分段。使用-mtu可以自定义偏移的大小,偏移量必须是8的倍数。一些网络会禁止分段包进入网络
-D
使用诱饵隐蔽扫描
1
|
-D <decoy1 [,decoy2] [,ME],...>
|
为使诱饵扫描起作用,需要使远程主机认为是诱饵在扫描目标网络。使用逗号分隔每个诱饵主机,也可用真实IP作为诱饵,这时可使用 ME选项说明。如果在第6个位置或更后的位置使用ME选项,一些常用端口扫描检测器(如Solar Designer’s excellent scanlogd)就不会报告 这个真实IP。如果不使用ME选项,Nmap将真实IP放在一个随机的位置
-S
源地址哄骗
1
|
-S <IP_Address>
|
-e
使用指定的网卡
1
|
-e <interface>
|
源端口哄骗
1
|
--source-port <portnumber>
|
MAC地址哄骗
1
|
--spoof-mac <mac address,prefix,or vendor name>
|
使用字符串"0",Nmap会选择一个完全随机的MAC地址。
--data-length
发送报文时,附加随机数据
1
|
--data-length <number>
|
--ttl
设置IPV4报文的time-to-live域
1
|
--ttl <value>
|
--randomize-hosts
对目标主机的顺序随机排列
输出
-oN
标准输出
1
|
-oN <filename>
|
-oX
XML输出
1
|
-oX <filename>
|
-oG
Grep输出
1
|
-oG <filename>
|
-oA
输出至所有格式
1
|
-oA <basename>
|
-v
提高输出信息的详细度
-d
提高或设置调试级别
1
|
-d [level]
|
--packet-trace
跟踪发送和接收的报文
要求Nmap打印发送和接收的每个报文摘要。为了避免输出过多的行,可以限制扫描的端口数,如-p 20-30,如果只需进行版本检测,使用--version-trace
--iflist
列举接口和路由
--append-output
在输出文件中添加
--resume
继续中断的扫描
1
|
--resume <filename>
|
--stylesheet
设置XSL样式表,转换XML输出
--no-stylesheet
忽略XML声明的XSL样式表
其他选项
-6
启用IPv6扫描
-A
操作系统检测和版本扫描
打印版本信息
1
|
-V
|
帮助信息
1
|
-h
|