【点击文章末尾卡片，先领资料再阅读哦~】👇

Nmap概述

Nmap被誉为"扫描器之王"，Nmap是一个开源工具，提供跨平台（Windows、linux、mac os）

功能概述

1. 查看主机存活
2. 扫描目标主机开放端口
3. 识别目标主机操作系统
4. 查看目标主机服务的版本信息
5. 漏洞探测

运行方式

• 命令行
• 图形化工具Zenmap

Nmap安装

官网：https://nmap.org
Nmap支持Windows、linux、mac os三个平台，首先可以打开Nmap官方https://nmap.org选择最新版本点击下载按钮。

然后选择相应的平台下载即可

安装方式跟普通软件安装一样。如果是在Kali Linux中，Kali自带Nmap工具，无须再次下载和安装。

Nmap参数详解

Nmap功能非常强大，Nmap的格式如下

   nmap[扫描类型…] [选项] [扫描目标说明]

可以配置的参数也很多，我们先来看一下Nmap的参数
首先在Kali中输入nmap即可查看Nmap所有的参数以及说明

我们来看一下每组参数的具体含义

目标说明

TARGET SPECIFICATION

• -iL ： 从列表中输入 从主机地址列表中导入扫描地址 可以从主机的文件中导入扫描列表
• -iR ： 随机选择目标，hostnum表示目标数目，0意味着永无休止的扫描
• –exclude <host1 [, host2] [, host3] …> 排除主机/网络
• –excludefile 排除文件中的列表

主机发现

HOST DISCOVERY

• -sL 扫描列表，仅将指定的目标IP列举出来，不进行主机发现
• -sn 跟-sP 一样，只利用ping扫描进行主机发现，不扫描目标主机的端口，只扫描是否在线 不扫描端口
• -Pn 将所有指定的主机视为已开启状态，跳过主机发现过程
• -PS [portlist]：TCP SYN Ping，发送一个设置了SYN标志位的空TCP报文
• -PE; -PP; -PM：ICMP Ping Types，发送ICMP Type 8 （回声请求）报文，期待从运行的主机得到一个type 0 （回声相应）报文
• n：不用域名解析，加快扫描速度
• -R：为所有目标IP地址作反向域名解析
• –system-dns：使用系统域名解析器，一般不使用该选项，因为比较慢

端口扫描

SCAN TECHNIQUES

Nmap将目标主机端口分成6种状态：

1. open（开放）
2. closed（关闭）
3. filtered(被过滤的)
4. unfiltered(未被过滤) 可访问但不确定开放情况
5. open|filtered(开放或被过滤)无法确定端口是开放的还是被过滤的

Nmap产生结果是基于机器的响应报文，而这些主机可能是不可信任的，会产生一些迷惑或者误导Nmap的报文

常用命令

• -sS TCP SYN扫描，半开放状态，扫描速度快隐蔽性好（不完成TCP连接），能够明确区分端口状态
• -sT TCP连接扫描，容易产生记录，效率低
• -sA TCP ACK扫描 只设置ACK标志位，区别被过滤与未被过滤
• -sU UDP服务扫描
• –sO：IP协议扫描，可以确定目标机支持哪些IP协议（TCP, ICMP, IGMP）

端口说明和扫描顺序

• –p ：只扫描指定的端口，单个端口和用连字符表示的端口范围都可以；当既扫描TCP端口又扫描UDP端口时，您可以通过在端口号前加上T: 或者U:指定协议。协议限定符一直有效您直到指定另一个。例如，参数 -p U:53，111，137，T:21-25，80，139，8080 将扫描UDP 端口53，111，和137，同时扫描列出的TCP端口。注意，要既扫描 UDP又扫描TCP，您必须指定 -sU ，以及至少一个TCP扫描类型(如 -sS，-sF，或者 -sT)

• –p ：扫描指定的端口名称，如nmap–p smtp,http 10.10.1.44

• –p U:[UDP ports],T:[TCP ports]：对指定的端口进行指定协议的扫描

• –F：快速扫描（仅扫描100个最常用的端口），nmap-services文件指定想要扫描的端口；可以用—datadir选项指定自己的小小nmap-services文件

• –top-ports ：扫描前number个端口

• –r：不要按随机顺序扫描端口，默认情况下按随机（常用的端口前移）

服务与版本探测

SERVICE/VERSION DETECTION

nmap-services是一个包含服务的数据库，Nmap通过查询该数据库可以报告那些端口可能对应于什么服务器，但不一定正确。在用某种扫描方法发现TCP/UDP端口后，版本探测会询问这些端口，确定到底什么服务正在运行；nmap-service-probes数据库包含查询不同服务的探测报文和解析识别响应的匹配表达式；当Nmap从某个服务收到响应，但不能在数据库中找到匹配时，就打印出一个fingerprint和一个URL给您提交。
参数含义：

• –sV：打开版本探测
• –allports：不为版本探测排除任何端口，默认情况下跳过9100端口
• –version-intensity：设置版本扫描强度，范围为0-9，默认是7，强度越高，时间越长，服务越可能被正确识别
• –version-light：是—version-intensity2的别名
• –version-all：是—version-intensity9的别名
• –version-trace：跟踪版本扫描活动，打印出详细的关于正在进行的扫描的调试信息
• –sR：RPC扫描，对所有被发现开放的TCP/UDP端口执行SunRPC程序NULL命令，来试图 确定它们是否RPC端口，如果是， 是什么程序和版本号

脚本扫描

SCRIPT SCAN

操作系统探测

OS DETECTION

• –O：启用操作系统检测；-A可以同时启用操作系统检测和版本检测
• –osscan-limit：针对指定的目标进行操作系统检测
• –osscan-guess|–fuzzy：当Nmap无法确定所检测的操作系统时，会尽可能地提供最相近的匹配

时间和性能

TIMING AND PERFORMANCE

• –min-hostgroup ;–max-hostgroup ：调整并行扫描组的大小，用于保持组的大小在一个指定的范围之内；Nmap具有并行扫描多主机端口或版本的能力，Nmap将多个目标IP地址空间分成组，然后在同一时间对一个组进行扫描。通常，大的组更有效。缺点是只有当整个组扫描结束后才会提供主机的扫描结果
• –min-parallelism; --max-parallelism ：调整探测报文的并行度，用于控制主机组的探测报文数量；默认状态下， Nmap基于网络性能计算一个理想的并行度，这个值经常改变

防火墙/IDS规避和欺骗

FIREWALL/IDS EVASION AND SPOOFING

• –f（报文分段）; --mtu（使用指定的MTU）：将TCP头分段在几个包中，使得包过滤器、 IDS以及其它工具的检测更加困难
• –D <decoy1 [, decoy2] [, ME]…>：使用诱饵隐蔽扫描；使用逗号分隔每个诱饵主机，也可用自己的真实IP作为诱饵，这时可使用 ME选项说明。如果在第6个位置或更后的位置使用ME选项，一些常用端口扫描检测器(如Solar Designer’s excellent scanlogd)就不会报告 这个真实IP。如果不使用ME选项，Nmap 将真实IP放在一个随机的位置
• –S <IP_Address>：源地址哄骗，说明所需发送包的接口IP地址
• –e ：使用指定的接口
• –source-port; -g ：源端口哄骗；很多产品本身会有这类 不安全的隐患，甚至是微软的产品。Windows 2000和Windows XP中包含的IPsec过滤器也包含了一些隐含规则，允许所有来自88端口(Kerberos)的TCP和UDP数据流。另一个常见的例子是Zone Alarm个人防火墙到2.1.25版本仍然允许源端口53(DNS)或 67(DHCP)的UDP包进入。
• –data-length ：发送报文时附加随机数据
• –ttl ：设置IPtime-to-live域
• –randomize-hosts：对目标主机的顺序随机排列

输出选项

OUTPUT

• –oN ：标准输出
• –oX ：XML输出写入指定的文件
• –oS ：脚本小子输出，类似于交互工具输出
• –oG ：Grep输出
• –oA ：输出至所有格式
• –v：提高输出信息的详细度
• –d [level]：提高或设置调试级别，9最高
• –packet-trace：跟踪发送和接收的报文
• –iflist：输出检测到的接口列表和系统路由
• –append-output：表示在输出文件中添加，而不是覆盖原文件
• –resume ：继续中断的扫描，
• –stylesheet ：设置XSL样式表，转换XML输出；Web浏览器中打开Nmap的XML输出时，将会在文件系统中寻找nmap.xsl文件，并使用它输出结果
• –no-stylesheet：忽略XML生命的XSL样式表

使用示例

常用扫描命令

扫描ip地址或域名

nmap后面也可以带上多个ip地址或域名，用空格隔开
###扫描整个网段

nmap  ip/网段

还可以输入ip地址范围内如

nmap 192.168.0.1-200

扫描文件

我们可以新建一个文件，往里面输入一些需要扫描的地址

扫描文件命令

nmap -iL  文件路径

从扫描的结果可以看到一共扫到了4个我们输入的地址

只进行主机发现

可以用以下命令只进行主机发现，而不扫描端口或服务
nmap -sn或-sP ip 地址

扫描特定端口

我们还可以指定只扫描的端口号

nmap -p80,21,8080 ip或域名

也可以指定扫描端口号的范围
nmap -p50-800 ip或域名

输出扫描结果

前面的扫描不会显示扫描过程，可以加入-vv参数显示扫描的过程
nmap -vv

路由跟踪

可以输入以下命令进行简单扫描并进行路由跟踪

namp -traceroute  域名

探测操作系统

输入一下命令探测操作系统类型

 nmap -O  ip  

TCP和UDP扫描

扫描半开放TCP端口

nmap -sS ip 

版本扫描

扫描系统安装的服务以及服务的版本

namp -sV  ip

综合扫描

包含1-10000端口的ping扫描，操作系统扫描，路由跟踪，服务探测

nmap -A  ip 

图形化工具Zenmap使用

Kali自带nmap图形化工具zenmap

启动zenmap可以看到如下界面

target：扫描地址 可以输入ip或域名

Profile：扫描的方式，zenmap默认给我们提供了10种组合扫描方式

命令行中也可以自己定义扫描参数，默认扫描方式的参数如下

-T  设置速度等级 1-5级，数字越大，速度越快
-A  综合扫描
-v  输出扫描过程

点击扫描即可展示扫描过程和结果

修改扫描参数

更多Nmap详解教程,请点击文章末尾卡片领取👇