常见参数

其他举例

指定扫描一个网段：nmap 192.168.0.0/24 或者 nmap 192.168.0.1-200（扫描1-200的主机）

扫描部分网段（逗号隔开）：nmap 192.168.0.1,2,3,4 或 nmap 192.168.0,1,2,3,4.1

扫描指定IP所开放的端口：nmap -p 1-65535 -v 127.0.0.1

扫描C段存活主机：nmap 192.168.1.0/24

指定端口扫描：nmap -p 80,1433,22,1521 192.168.1.1

探测主机操作系统：nmap -O 192.168.1.1

全面的系统探测：nmap -v -A 192.168.1.1（Nmap默认扫描主机1000个高危端口）

穿透防火墙进行扫描：nmap -Pn -A 192.168.1.1（禁止用ping的）

使用脚本扫描Web敏感目录：nmap -p 80 –script=http-enum.nse 192.168.1.1

主机发现

扫描方式

1、Ping扫描

Ping扫描只进行ping，然后显示出在线的主机。使用该选项扫描可以轻易获取目标信息而不会被轻易发现。

在默认情况下，Nmap会发送一个ICMP回声请求和一个TCP报文到目标端口。Ping扫描的优点是不会返回太多的信息影响对结果的分析，并且扫描方式高效。

nmap –sP 192.168.0.0/24

2、无Ping扫描

无ping扫描一般用于防火墙禁止ping的情况下，它能确定正在运行的机器。

默认情况下，nmap只对正在运行的主机进行高强度的探测，如端口扫描，版本探测或者操作系统探测。

用-P0禁止主机发现会使nmap对每一个特定的目标IP地址进行所要求的扫描，这可以穿透防火墙，也可以避免被防火墙发现。

nmap –P0 192.168.0.12

3、TCP SYN Ping 扫描

一般情况下，nmap默认是使用TCP ACK 和 ICMP Echo 请求对目标进行是否存活的响应，当目标主机的防火墙阻止这些请求时，可以使用TCP SYN Ping扫描来判断主机是否存活。

-PS 选项发送一个设置了SYN标志位的空TCP报文。默认端口为80。

但不同的端口也可以作为选项指定，甚至可以指定一个以逗号分隔的端口列表（如-PS22,23,25,80,115,3306,3389），在这种情况下，每个端口会被并发地扫描。

nmap –PS –v 192.168.0.12

上面结果可得知Nmap是通过SYN/ACK和RST响应来对目标主机是否存活进行判断，但在特定情况下防火墙会丢弃RST包。

这时结果会不准确，我们需要指定一个端口或端口范围来避免这种情况。

map –PS80,100–200 –v 192.168.0.12

4、TCP ACK Ping 扫描 使用-PA选项可以进行TCP ACK Ping扫描，它与TCP SYN Ping扫描超级类似，区别在于设置的TCP标志位是ACK而不是SYN，使用这种方式扫描可以探测阻止SYN包或ICMP Echo请求的主机。

nmap –PA –v 192.168.0.12

同时使用-SP与-PA选项命令如下：

nmap –PA –PS 192.168.0.12

5、 UDP Ping扫描 使用UDP Ping扫描时Nmap会发送一个空UDP包到目标之间，如果目标主机相应则返回一个ICMP端口不可达错误，如果目标主机不是存活状态则会返回各自ICMP错误信息。

nmap –PU –v 192.168.0.12

6、ICMP Ping Types 扫描

ICMP是控制报文协议。nmap发送一个ICMP type8（回声请求）报文到目标ip地址，从运行的主机得到一个type0（回声相应）报文。

-PE选项简单的来说是通过向目标发送ICMP Echo数据包来探测目标主机是否在线，使用-PE选项打开该回声请求功能。

-PP选项是ICMP时间戳ping扫描，-PM选项可以进行icmp地址掩码ping扫描

nmap–PE–v192.168.0.12nmap–PP–v192.168.0.12nmap–PM–v192.168.0.12

7、ARP Ping扫描

-PR 一般在扫描局域网时使用，在内网的情况下，使用ARP ping扫描方式是最有效的，在本地局域网中防火墙不会禁止ARP请求，这就使得它比其他ping扫描都更加高效。

nmap –PR 192.168.0.12

8、扫描列表

列表扫描时主机发现的退化形式，它仅仅列出指定网络上的每台主机，不发送任何报文到目标主机。

默认情况下，Nmap依旧对主机进行反向域名解析以获取它们的名字。

nmap –sL 192.168.0.0/24

9、禁止反向域名解析

如果单纯扫描一段IP，使用该选项可以大幅度减少目标主机的相应时间，从而更快的得到结果。

namp –n –sL 192.168.0.0/24

10、反向域名解析

nmap –R –sL *. 192.168.0.0/24

11、路由跟踪

通过此选项可以轻松地查找出本地计算机到目标之间所经过的网络节点，并可以看到通过各个节点的时间。

nmap —traceroute –v www.baidu.com

12、SCTP INIT Ping扫描 SCTP（流控制传输协议）是IETF在2000年定义的一个传输层协议。

SCTP可以看作是TCP协议的改善，它改善了TCP的一些不足，SCTP INIT Ping扫描通过向目标发送INIT包，根据目标主机的相应判断目标主机是否存活。

nmap –PY –v 192.168.0.12