1、基础概念
1.1 名称
nmap是网络探测工具和安全/端口扫描器。
1.2 语法
nmap [ <扫描类型> ...] [ <选项> ] { <扫描目标说明> }
nmap [Scan Type(s)] [Options] {target specification}

1.3 描述
Nmap (Network Mapper—网络映射器) 是一款开放源代码的 网络探测 和 安全审核 的工具。它的设计目标是快速地扫描大型网络，当然用它扫描单个 主机也没有问题。Nmap以新颖的方式使用原始IP报文来发现网络上有哪些主机，那些 主机提供什么服务(应用程序名和版本)，那些服务运行在什么操作系统(包括版本信息)， 它们使用什么类型的报文过滤器/防火墙，以及一堆其它功能。虽然Nmap通常用于安全审核， 许多系统管理员和网络管理员也用它来做一些日常的工作，比如查看整个网络的信息， 管理服务升级计划，以及监视主机和服务的运行。
Nmap输出的是扫描目标的列表，以及每个目标的补充信息，至于是哪些信息则依赖于所使用的选项。 “所感兴趣的端口表格”是其中的关键。那张表列出端口号，协议，服务名称和状态。状态可能是 open(开放的)，filtered(被过滤的)， closed(关闭的)，或者unfiltered(未被过滤的)。 Open(开放的)意味着目标机器上的应用程序正在该端口监听连接/报文。 filtered(被过滤的) 意味着防火墙，过滤器或者其它网络障碍阻止了该端口被访问，Nmap无法得知 它是 open(开放的) 还是 closed(关闭的)。 closed(关闭的) 端口没有应用程序在它上面监听，但是他们随时可能开放。 当端口对Nmap的探测做出响应，但是Nmap无法确定它们是关闭还是开放时，这些端口就被认为是 unfiltered(未被过滤的) 如果Nmap报告状态组合 open|filtered 和 closed|filtered时，那说明Nmap无法确定该端口处于两个状态中的哪一个状态。 当要求进行版本探测时，端口表也可以包含软件的版本信息。当要求进行IP协议扫描时 (-sO)，Nmap提供关于所支持的IP协议而不是正在监听的端口的信息。
除了所感兴趣的端口表，Nmap还能提供关于目标机的进一步信息，包括反向域名，操作系统猜测，设备类型，和MAC地址。
1.4 端口扫描基础
虽然Nmap这些年来功能越来越多， 它也是从一个高效的端口扫描器开始的，并且那仍然是它的核心功能。

nmap  这个简单的命令扫描主机  上的超过 1660个TCP端口。许多传统的端口扫描器只列出所有端口是开放还是关闭的， Nmap的信息粒度比它们要细得多。
它把端口分成六个状态: open(开放的)， closed(关闭的)，filtered(被过滤的)， unfiltered(未被过滤的)， open|filtered(开放或者被过滤的)，或者 closed|filtered(关闭或者被过滤的)。
这些状态并非端口本身的性质，而是描述Nmap怎样看待它们。例如， 对于同样的目标机器的135/tcp端口，从同网络扫描显示它是开放的，而跨网络作完全相同的扫描则可能显示它是 filtered(被过滤的)。
Nmap所识别的6个端口状态。


open(开放的)
应用程序正在该端口接收TCP 连接或者UDP报文。发现这一点常常是端口扫描 的主要目标。安全意识强的人们知道每个开放的端口 都是攻击的入口。攻击者或者入侵测试者想要发现开放的端口。 而管理员则试图关闭它们或者用防火墙保护它们以免妨碍了合法用户。 非安全扫描可能对开放的端口也感兴趣，因为它们显示了网络上那些服务可供使用。


closed(关闭的)
关闭的端口对于Nmap也是可访问的(它接受Nmap的探测报文并作出响应)， 但没有应用程序在其上监听。 它们可以显示该IP地址上(主机发现，或者ping扫描)的主机正在运行up 也对部分操作系统探测有所帮助。 因为关闭的关口是可访问的，也许过会儿值得再扫描一下，可能一些又开放了。 系统管理员可能会考虑用防火墙封锁这样的端口。 那样他们就会被显示为被过滤的状态，下面讨论。


filtered(被过滤的)
由于包过滤阻止探测报文到达端口， Nmap无法确定该端口是否开放。过滤可能来自专业的防火墙设备，路由器规则 或者主机上的软件防火墙。这样的端口让攻击者感觉很挫折，因为它们几乎不提供 任何信息。有时候它们响应ICMP错误消息如类型3代码13 (无法到达目标: 通信被管理员禁止)，但更普遍的是过滤器只是丢弃探测帧， 不做任何响应。 这迫使Nmap重试若干次以访万一探测包是由于网络阻塞丢弃的。 这使得扫描速度明显变慢。


unfiltered(未被过滤的)
未被过滤状态意味着端口可访问，但Nmap不能确定它是开放还是关闭。 只有用于映射防火墙规则集的ACK扫描才会把端口分类到这种状态。 用其它类型的扫描如窗口扫描，SYN扫描，或者FIN扫描来扫描未被过滤的端口可以帮助确定 端口是否开放。


open|filtered(开放或者被过滤的)
当无法确定端口是开放还是被过滤的，Nmap就把该端口划分成 这种状态。开放的端口不响应就是一个例子。没有响应也可能意味着报文过滤器丢弃 了探测报文或者它引发的任何响应。因此Nmap无法确定该端口是开放的还是被过滤的。 UDP，IP协议， FIN，Null，和Xmas扫描可能把端口归入此类。


closed|filtered(关闭或者被过滤的)
该状态用于Nmap不能确定端口是关闭的还是被过滤的。 它只可能出现在IPID Idle扫描中。


2、选项说明
选项概要 官方文档
2.1 端口扫描 选项
端口扫描 官方文档
-sS --- TCP SYN 扫描
		# SYN 扫描作为默认的也是最受欢迎的扫描选项，是有充分理由的
		# 它执行得很快，在一个没有入侵防火墙的快速网络上，每秒钟可以扫描数千个端口

-sT --- TCP connect() 扫描
		# 当 SYN 扫描不能用时，TCP Connect() 扫描就是默认的 TCP 扫描
		
-sU --- UDP 扫描
		# UDP 服务有：DNS，SNMP，和 DHCP (注册的端口是53，161/162，和67/68)是最常见的三个
		# UDP 扫描用-sU 选项激活。它可以和 TCP 扫描如 SYN 扫描(-sS)结合使用来同时检查两种协议

2.2 主机发现 选项
主机发现 官方文档
-sP --- Ping 扫描
		# 该选项告诉 Nmap 仅仅 进行ping扫描 (主机发现)，然后打印出对扫描做出响应的那些主机。 没有进一步的测试 (如端口扫描或者操作系统探测)。

2.3 端口说明和扫描顺序 选项
端口说明和扫描顺序 官方文档
-p <port ranges> --- 只扫描指定的端口
		# 该选项指明您想扫描的端口，覆盖默认值[添加链接描述）

2.4 操作系统探测 选项
操作系统探测 官方文档
-O --- 启用操作系统检测
		# 也可以使用-A来同时启用操作系统检测和版本检测。

2.5 时间和性能 选项
时间和性能 官方文档
-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> --- 设置时间模板
		# T0 选项的主要影响是对于连续扫描，在一个时间只能扫描一个端口， 每个探测报文的发送间隔为5分钟
		# T1 和 T2 选项比较类似， 探测报文间隔分别为15秒和0.4秒
		# T3 是Nmap的默认选项，包含了并行扫描
		# T4 选项与 --max-rtt-timeout 1250 --initial-rtt-timeout 500 等价，最大TCP扫描延迟为10ms
		# T5 等价于 --max-rtt-timeout 300 --min-rtt-timeout 50 --initial-rtt-timeout 250 --host-timeout 900000，最大TCP扫描延迟为5ms

2.6 服务和版本探测 选项
服务和版本探测 官方文档
2.7 扫描目标 选项
目标说明 官方文档

除了选项，所有出现在Nmap命令行上的都被视为对目标主机的说明。

最简单的情况是指定一个目标IP地址或主机名。
虽然目标通常在命令行指定，下列选项也可用来控制目标的选择：
-iL <inputfilename> (从列表中输入)
	从 <inputfilename>中读取目标说明

--exclude <host1[，host2][，host3]，...> (排除主机/网络)
	如果在您指定的扫描范围有一些主机或网络不是您的目标，那就用该选项加上以逗号分隔的列表排除它们

--excludefile <excludefile> (排除文件中的列表)
	这和--exclude 选项的功能一样

2.8 输出选项
输出选项 文档
-oN <filespec> --- 标准输出
	# 要求将标准输出直接写入指定的文件。如上所述，这个格式与交互式输出略有不同

2.9 其它选项
其它选项 官方文档
3、实例
3.1 官方实例
实例 官方文档
3.2 主机扫描实例
# nmap -sP 172.16.141.0/24     # ping 测 172.16.141.0 段的主机存活状态
# nmap -sP 172.16.141.181-183  # ping 测 181-183 三个主机的存活状态

[root@Tang ~]# nmap -sP 172.16.141.181-183

Starting Nmap 6.40 ( http://nmap.org ) at 2020-06-11 16:37 CST
Nmap scan report for tang (172.16.141.181)
Host is up.
Nmap scan report for sybil (172.16.141.182)
Host is up (0.00019s latency).
MAC Address: 00:E0:70:13:4D:86 (DH Technology)
Nmap scan report for luna (172.16.141.183)
Host is up (0.00023s latency).
MAC Address: 68:ED:A4:21:D8:D4 (Unknown)
Nmap done: 3 IP addresses (3 hosts up) scanned in 0.04 seconds

3.3 端口扫描
# nmap -sS -sU www.raisecom.com     # 扫描域名的 TCP/UDP 端口状态
# nmap -sS -sU 106.37.195.194       # 扫描IP的 TCP/UDP 端口状态

[root@Tang ~]# nmap -sS -sU www.raisecom.com

Starting Nmap 6.40 ( http://nmap.org ) at 2020-06-11 16:39 CST
Nmap scan report for www.raisecom.com (13.58.72.196)
Host is up (0.30s latency).
rDNS record for 13.58.72.196: ec2-13-58-72-196.us-east-2.compute.amazonaws.com
Not shown: 1000 open|filtered ports, 997 filtered ports
PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 67.28 seconds

[root@Tang ~]# nmap -sS -sU 106.37.195.194

Starting Nmap 6.40 ( http://nmap.org ) at 2020-06-11 16:40 CST
Nmap scan report for 194.195.37.106.static.bjtelecom.net (106.37.195.194)
Host is up (0.0016s latency).
Not shown: 1994 closed ports
PORT     STATE         SERVICE
80/tcp   open          http
1723/tcp open          pptp
2000/tcp open          cisco-sccp
8291/tcp open          unknown
161/udp  open          snmp
1701/udp open|filtered L2TP

Nmap done: 1 IP address (1 host up) scanned in 55.01 seconds

3.4 扫描列表内的IP地址的TCP/UDP端口状态，并对结果内容进行保存
# nmap -sS -sU -iL ip-list -oN result.txt
	# -iL 指定 IP 列表
	# -oN 保存至指定文件

[root@Tang nmap-test]# cat ip-list
172.16.141.181
172.16.141.182
172.16.141.183

[root@Tang nmap-test]# nmap -sS -sU -iL ip-list -oN result.txt

Starting Nmap 6.40 ( http://nmap.org ) at 2020-06-11 16:47 CST
Nmap scan report for tang (172.16.141.181)
Host is up (0.000010s latency).
Not shown: 1994 closed ports
PORT    STATE         SERVICE
22/tcp  open          ssh
111/tcp open          rpcbind
514/tcp open          shell
... ...
[root@Tang nmap-test]# cat result.txt 
# Nmap 6.40 scan initiated Thu Jun 11 16:47:10 2020 as: nmap -sS -sU -iL ip-list -oN result.txt
Nmap scan report for tang (172.16.141.181)
Host is up (0.000010s latency).
Not shown: 1994 closed ports
PORT    STATE         SERVICE
22/tcp  open          ssh
111/tcp open          rpcbind
... ...

3.5 指定端口进行扫描
# nmap -sS -p22,23-80 172.16.141.181
	# 扫描IP地址的 22， 23-80 之间所有的 TCP 端口

[root@Tang nmap-test]# nmap -sS -p22,23-80 172.16.141.181

Starting Nmap 6.40 ( http://nmap.org ) at 2020-06-11 17:00 CST
Nmap scan report for tang (172.16.141.181)
Host is up (0.0000090s latency).
Not shown: 58 closed ports
PORT   STATE SERVICE
22/tcp open  ssh

Nmap done: 1 IP address (1 host up) scanned in 0.06 seconds

nmap命令
　　是一款开放源代码的网络探测和安全审核工具，是Network Mapper的缩写。其设计目标是快速地扫描大型网络。nmap可以发现网络上有哪些主机，主机提供了什么服务（应用程序名称和版本号），并探测操作系统的类型及版本信息。
如果系统没有nmap命令，则可以使用下面的命令来安装：
 
　　nmap [Scan Type] [option] (target specification) 
 
扫描目标可以为IP地址、子网地址等，如192.168.1.2或10.0.0.0/24。
 
 
nmap命令的参数选项及说明
 
-sS    TCP同步扫描（TCP SYN）
-ST    TCP连接扫描
-sn    不进行端口扫描，只检查主机正在运行。该选项与老版本的-sP相同
-sU    扫描UDP端口
-sV    探测服务版本信息
-Pn    只进行扫描，不ping主机
-PS    使用SYN包对目标主机进行扫描。默认是80端口，也可以指定端口，格式为-PS22或-PS22-25,80,113,1050,35000，记住PS和端口号之间不要有空格
-PU    使用udp ping扫描端口
-O     激活对TCP/IP指纹特征（fingerprinting）的扫描，获得远程主机的标志，也就是操作系统类型
-V     显示扫描过程中的详细信息*
-S<IP>          设置扫描的源IP地址
-g port         设置扫描的源端口
-oN             把扫描的结果重定向到文件中
-iL filename    从文件中读取扫描的目标
-p<端口>        指定要扫描的端口，可以是一个单独的端口，也可以用逗号分隔开多个端口，或者使用“-”表示端口范围
-n              不进行DNS解析，加快扫描速度
-exclude        排除指定主机
-excludefile    排除指定文件中的主机
 
 
查看主机当前开放的端口


[root@cs6 ~]# nmap 10.0.0.100
 
Starting Nmap 5.51 ( http://nmap.org ) at 2019-05-07 16:49 CST
Nmap scan report for 10.0.0.100
Host is up (0.0000040s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
 
Nmap done: 1 IP address (1 host up) scanned in 6.83 seconds


扫描主机的指定端口


[root@cs6 ~]# nmap -p 1024-65535 10.0.0.100
 
Starting Nmap 5.51 ( http://nmap.org ) at 2019-05-07 17:01 CST
Nmap scan report for 10.0.0.100
Host is up (0.0000040s latency).
All 64512 scanned ports on 10.0.0.100 are closed
 
Nmap done: 1 IP address (1 host up) scanned in 7.18 seconds


扫描局域网内所有的IP


[root@cs6 ~]# nmap 10.0.0.0/24
 
Starting Nmap 5.51 ( http://nmap.org ) at 2019-05-07 17:02 CST
Nmap scan report for 10.0.0.1
Host is up (0.00023s latency).
Not shown: 999 filtered ports
PORT     STATE SERVICE
3306/tcp open  mysql
MAC Address: 00:50:56:C0:00:08 (VMware)
 
Nmap scan report for 10.0.0.2
Host is up (0.00013s latency).
Not shown: 999 closed ports
PORT   STATE    SERVICE
53/tcp filtered domain
MAC Address: 00:50:56:F4:FB:52 (VMware)
 
Nmap scan report for 10.0.0.100
Host is up (0.0000040s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
 
Nmap done: 256 IP addresses (3 hosts up) scanned in 25.94 seconds
[root@cs6 ~]# nmap -sn 10.0.0.0/24 #<==使用-sn选项不扫描端口。
 
Starting Nmap 5.51 ( http://nmap.org ) at 2019-05-07 17:03 CST
Nmap scan report for 10.0.0.1
Host is up (0.000089s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 10.0.0.2
Host is up (0.00013s latency).
MAC Address: 00:50:56:F4:FB:52 (VMware)
Nmap scan report for 10.0.0.100
Host is up.
Nmap done: 256 IP addresses (3 hosts up) scanned in 21.05 seconds
 
 
[root@cs6 ~]# nmap -sn 10.0.0.1-10 #<=可以使用这种地进范围进行扫描。
Starting Nmap 5.51 ( http://nmap.org ) at 2019-05-07 17:04 CST
Nmap scan report for 10.0.0.1
Host is up (0.000034s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 10.0.0.2
Host is up (0.00015s latency).
MAC Address: 00:50:56:F4:FB:52 (VMware)
Nmap done: 10 IP addresses (2 hosts up) scanned in 6.77 seconds


探测目标主机的服务和操作系统的版本


[root@cs6 ~]# nmap -O -sV 10.0.0.100
 
Starting Nmap 5.51 ( http://nmap.org ) at 2019-05-07 17:05 CST
Nmap scan report for 10.0.0.100
Host is up (0.000090s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 5.3 (protocol 2.0)
80/tcp open  http?
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port80-TCP:V=5.51%I=7%D=5/7%Time=5CD14A57%P=x86_64-redhat-linux-gnu%r(N
SF:ULL,1D,"I\x20love\x20linux\x20www\.wenyule\.top\n");
No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=5.51%D=5/7%OT=22%CT=1%CU=35109%PV=Y%DS=0%DC=L%G=Y%TM=5CD14A63%P=x
OS:86_64-redhat-linux-gnu)SEQ(SP=106%GCD=1%ISR=109%TI=Z%CI=Z%II=I%TS=A)OPS(
OS:O1=MFFD7ST11NW7%O2=MFFD7ST11NW7%O3=MFFD7NNT11NW7%O4=MFFD7ST11NW7%O5=MFFD
OS:7ST11NW7%O6=MFFD7ST11)WIN(W1=FFCB%W2=FFCB%W3=FFCB%W4=FFCB%W5=FFCB%W6=FFC
OS:B)ECN(R=Y%DF=Y%T=40%W=FFD7%O=MFFD7NNSNW7%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O%A=
OS:S+%F=AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q
OS:=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A
OS:%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y
OS:%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=N%T
OS:=40%CD=S)
#<= -O 显示系统版本，但是nmap命令是根据探测的TCP/IP指纹与自己的指纹库进行对比的。如果不在指纹库之内的系统就会无法识别。
Network Distance: 0 hops
 
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 18.61 seconds

     上面的输出信息中不仅包含了端口号，而且还包括了服务的版本号。在网络安全性要求较高的主机上，最好能够屏蔽服务版本号，以防止黑客利用特定版本的服务漏洞进行攻击。

 
 
 

                                        
                                            Nmap（Network Mapper）是一款开放源代码的网络探测和安全审核工具。它的设计目标是快速地扫描大型网络，不适应于单一主机。Nmap使用检测IP数据包来确定访问的主机、提供的服务、数据包的类型等其他信息；Nmap通常被用来做安全审查，比如日常的网络日常检查、管理service升级计划以及检测hosts和service的运行时长等。
使用方法：nmap [Scan Type(s)] [Options] {target specification}
主要的参数和用法 

				-sT 
			
			

				TCP connect()扫描，这是最基本的TCP扫描方式。这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息。 
			
		

				-sS 
			
			

				TCP同步扫描(TCP SYN)，因为不必全部打开一个TCP连接，所以这项技术通常称为半开扫描(half-open)。这项技术最大的好处是，很少有系统能够把这记入系统日志。不过，你需要root权限来定制SYN数据包。 
			
		

				-sF,-sX,-sN 
			
			

				秘密FIN数据包扫描、圣诞树(Xmas Tree)、空(Null)扫描模式。这些扫描方式的理论依据是：关闭的端口需要对你的探测包回应RST包，而打开的端口必需忽略有问题的包(参考RFC 793第64页)。 
			
		

				-sP 
			
			

				ping扫描，用ping方式检查网络上哪些主机正在运行。当主机阻塞ICMP echo请求包是ping扫描是无效的。nmap在任何情况下都会进行ping扫描，只有目标主机处于运行状态，才会进行后续的扫描。 
			
		

				-sU 
			
			

				如果你想知道在某台主机上提供哪些UDP(用户数据报协议,RFC768)服务，可以使用此选项。 
			
		

				-sA 
			
			

				ACK扫描，这项高级的扫描方法通常可以用来穿过防火墙。 
			
		

				-sW 
			
			

				滑动窗口扫描，非常类似于ACK的扫描。 
			
		

				-sR 
			
			

				RPC扫描，和其它不同的端口扫描方法结合使用。 
			
		

				-sV 
			
			

				扫描服务端口、名称和版本 
			
		
实例1：扫描UDP端口
点击(此处)折叠或打开 

	

		

				[root@wqdb01 ~]# nmap  -sU 127.0.0.1
			
			

			
			

				Starting Nmap 5.21 ( http://nmap.org ) at 2016-05-03 16:40 CST 
			
			

				mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers 
			
			

				Nmap scan report for wqdb01 (127.0.0.1) 
			
			

				Host is up (0.000017s latency). 
			
			

				Not shown: 996 closed ports 
			
			

				PORT     STATE         SERVICE 
			
			

				111/udp  open          rpcbind 
			
			

				177/udp  open          xdmcp 
			
			

				631/udp  open|filtered ipp 
			
			

				5353/udp open|filtered zeroconf 
			
			

			
			

				Nmap done: 1 IP address (1 host up) scanned in 1.38 seconds 
			
		

实例2：TCP同步扫描

	

		

			点击(此处)折叠或打开 
		
	
	

		

				[root@wqdb01 ~]# nmap  -sS 127.0.0.1 
			
			

			
			

				Starting Nmap 5.21 ( http://nmap.org ) at 2016-05-03 16:41 CST 
			
			

				mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers 
			
			

				Nmap scan report for wqdb01 (127.0.0.1) 
			
			

				Host is up (0.000012s latency). 
			
			

				Not shown: 988 closed ports 
			
			

				PORT     STATE SERVICE 
			
			

				22/tcp   open  ssh 
			
			

				111/tcp  open  rpcbind 
			
			

				1521/tcp open  oracle 
			
			

				5432/tcp open  postgresql 
			
			

				7000/tcp open  afs3-fileserver 
			
			

				8009/tcp open  ajp13 
			
			

				8021/tcp open  ftp-proxy 
			
			

				8080/tcp open  http-proxy 
			
			

				8888/tcp open  sun-answerbook 
			
			

				9009/tcp open  unknown 
			
			

				9099/tcp open  unknown 
			
			

				9999/tcp open  abyss 
			
			

			
			

				Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds 
			
		

实例3：扫描服务端口、名称和版本

	

		

			点击(此处)折叠或打开 
		
	
	

		

				[root@wqdb01 ~]# nmap -sV 127.0.0.1 
			
			

			
			

				Starting Nmap 5.21 ( http://nmap.org ) at 2016-05-03 16:41 CST 
			
			

				mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers 
			
			

				Nmap scan report for wqdb01 (127.0.0.1) 
			
			

				Host is up (0.000012s latency). 
			
			

				Not shown: 988 closed ports 
			
			

				PORT     STATE SERVICE          VERSION 
			
			

				22/tcp   open  ssh              OpenSSH 5.3 (protocol 2.0) 
			
			

				111/tcp  open  rpcbind 
			
			

				1521/tcp open  oracle-tns       Oracle TNS Listener 
			
			

				5432/tcp open  postgresql       PostgreSQL DB 
			
			

				7000/tcp open  afs3-fileserver? 
			
			

				8009/tcp open  ajp13            Apache Jserv (Protocol v1.3) 
			
			

				8021/tcp open  ftp-proxy? 
			
			

				8080/tcp open  http             Apache Tomcat/Coyote JSP engine 1.1 
			
			

				8888/tcp open  http             Oracle Application Server 10g httpd 10.1.3.4.0 (Oracle Containers for J2EE) 
			
			

				9009/tcp open  unknown 
			
			

				9099/tcp open  unknown 
			
			

				9999/tcp open  abyss? 
			
			

				1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi : 
			
			

				SF-Port1521-TCP:V=5.21%I=7%D=5/3%Time=57286459%P=x86_64-redhat-linux-gnu%r 
			
			

				SF:(oracle-tns,65,"\0e\0\0\x04\0\0\0\"\0\0Y\(DESCRIPTION=\(TMP=\)\(VSNNUM= 
			
			

				SF:186647296\)\(ERR=1189\)\(ERROR_STACK=\(ERROR=\(CODE=1189\)\(EMFI=4\)\)\ 
			
			

				SF:)\)"); 
			
			

			
			

				Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . 
			
			

				Nmap done: 1 IP address (1 host up) scanned in 41.35 seconds 
			
		

  更多详细的使用方法请参考：http://blog.jobbole.com/54595/



                                                            

                    

                                                    来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/27039319/viewspace-2092849/，如需转载，请注明出处，否则将追究法律责任。
                                            

                
转载于:http://blog.itpub.net/27039319/viewspace-2092849/

nmap
扫描器是一种能够自动检测主机安全性弱点的程序。扫描器通过发送特定的网络数据包，记录目标主机的应答消息，从而收集关于目标主机的各种信息。目前网络上有很多扫描软件，比较著名的扫描器有SSS，X-Scan，Superscan等，功能最强大的当然是Nmap了。
Nmap（Network Mapper）是一款开放源代码的网络探测和安全审核工具。它用于快速扫描一个网络和一台主机开放的端口，还能使用TCP/IP协议栈特征探测远程主机的操作系统类型。nmap支持很多扫描技术，例如：UDP、TCP　connect()、TCP　SYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、圣诞树(Xmas　Tree)、SYN扫描和null扫描。Nmap最初是用于unix系统的命令行应用程序。在2000年的时候，这个应用程序有了windows版本，可以直接安装使用。

扫描类型





参数
解析




-sT
TCP connect()扫描，这是最基本的TCP扫描方式。这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息。


-sS
TCP同步扫描(TCP SYN)，因为不必全部打开一个TCP连接，所以这项技术通常称为半开扫描(half-open)。这项技术最大的好处是，很少有系统能够把这记入系统日志。不过，你需要root权限来定制SYN数据包。


-sF,-sX,-sN
秘密FIN数据包扫描、圣诞树(Xmas Tree)、空(Null)扫描模式。这些扫描方式的理论依据是：关闭的端口需要对你的探测包回应RST包，而打开的端口必需忽略有问题的包(参考RFC 793第64页)。


-sP
ping扫描，用ping方式检查网络上哪些主机正在运行。当主机阻塞ICMP echo请求包是ping扫描是无效的。nmap在任何情况下都会进行ping扫描，只有目标主机处于运行状态，才会进行后续的扫描。


-sU
如果你想知道在某台主机上提供哪些UDP(用户数据报协议,RFC768)服务，可以使用此选项。


-sA
ACK扫描，这项高级的扫描方法通常可以用来穿过防火墙。


-sW
滑动窗口扫描，非常类似于ACK的扫描。


-sR
RPC扫描，和其它不同的端口扫描方法结合使用。


-b
FTP反弹攻击(bounce attack)，连接到防火墙后面的一台FTP服务器做代理，接着进行端口扫描。



通用选项





参数
解析




-P0
在扫描之前，不ping主机。


-PT
扫描之前，使用TCP ping确定哪些主机正在运行。


-PS
对于root用户，这个选项让nmap使用SYN包而不是ACK包来对目标主机进行扫描。


-PI
设置这个选项，让nmap使用真正的ping(ICMP echo请求)来扫描目标主机是否正在运行。


-PB
这是默认的ping扫描选项。它使用ACK(-PT)和ICMP(-PI)两种扫描类型并行扫描。如果防火墙能够过滤其中一种包，使用这种方法，你就能够穿过防火墙。


-O
这个选项激活对TCP/IP指纹特征(fingerprinting)的扫描，获得远程主机的标志，也就是操作系统类型。


-I
打开nmap的反向标志扫描功能。


-f
使用碎片IP数据包发送SYN、FIN、XMAS、NULL。包增加包过滤、入侵检测系统的难度，使其无法知道你的企图。


-v
冗余模式。强烈推荐使用这个选项，它会给出扫描过程中的详细信息。


-S 
在一些情况下，nmap可能无法确定你的源地址(nmap会告诉你)。在这种情况使用这个选项给出你的IP地址。


-g port
设置扫描的源端口。一些天真的防火墙和包过滤器的规则集允许源端口为DNS(53)或者FTP-DATA(20)的包通过和实现连接。显然，如果攻击者把源端口修改为20或者53，就可以摧毁防火墙的防护。


-oN
把扫描结果重定向到一个可读的文件logfilename中。


-oS
扫描结果输出到标准输出。


--host_timeout
设置扫描一台主机的时间，以毫秒为单位。默认的情况下，没有超时限制。


--max_rtt_timeout
设置对每次探测的等待时间，以毫秒为单位。如果超过这个时间限制就重传或者超时。默认值是大约9000毫秒。


--min_rtt_timeout
设置nmap对每次探测至少等待你指定的时间，以毫秒为单位。


-M count
置进行TCP connect()扫描时，最多使用多少个套接字进行并行的扫描。



扫描目标





目标地址
可以为IP地址，CIRD地址等。如192.168.1.2，222.247.54.5/24




-iL filename
从filename文件中读取扫描的目标。


-iR
让nmap自己随机挑选主机进行扫描。


-p
端口 这个选项让你选择要进行扫描的端口号的范围。如：-p 20-30,139,60000。


-exclude
排除指定主机。


-excludefile
排除指定文件中的主机。


nmap -sP 192.168.1.0/24       #进行ping扫描，打印出对扫描做出响应的主机,不做进一步测试(如端口扫描或者操作系统探测)
nmap -sL 192.168.1.0/24       #仅列出指定网络上的每台主机，不发送任何报文到目标主机
nmap -PS 192.168.1.234		#探测目标主机开放的端口，可以指定一个以逗号分隔的端口列表(如-PS22，23，25，80)
nmap -PU 192.168.1.0/24		#使用UDP ping探测主机
nmap -sS 192.168.1.0/24		#使用频率最高的扫描选项：SYN扫描,又称为半开放扫描，它不打开一个完全的TCP连接，执行得很快
nmap -sT 192.168.1.0/24		#当SYN扫描不能用时，TCP Connect()扫描就是默认的TCP扫描
nmap -sU 192.168.1.0/24		#UDP扫描用-sU选项,UDP扫描发送空的(没有数据)UDP报头到每个目标端口
nmap -sO 192.168.1.19			#确定目标机支持哪些IP协议 (TCP，ICMP，IGMP等)
nmap -O 192.168.1.19			#探测目标主机的操作系统
nmap -A 192.168.1.19			#探测目标主机的操作系统
nmap -v scanme.nmap.org		#这个选项扫描主机scanme.nmap.org中 所有的保留TCP端口。选项-v启用细节模式。
nmap -sS -O scanme.nmap.org/24  	#进行秘密SYN扫描，对象为主机Saznme所在的“C类”网段 的255台主机。同时尝试确定每台工作主机的操作系统类型。因为进行SYN扫描 和操作系统检测，这个扫描需要有根权限。
nmap -sV -p 22，53，110，143，4564 198.116.0-255.1-127      #进行主机列举和TCP扫描，对象为B类188.116网段中255个8位子网。这 个测试用于确定系统是否运行了sshd、DNS、imapd或4564端口。如果这些端口 打开，将使用版本检测来确定哪种应用在运行。
nmap -v -iR 100000 -P0 -p 80		#随机选择100000台主机扫描是否运行Web服务器(80端口)。由起始阶段 发送探测报文来确定主机是否工作非常浪费时间，而且只需探测主机的一个端口，因 此使用-P0禁止对主机列表。
nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20		#扫描4096个IP地址，查找Web服务器(不ping)，将结果以Grep和XML格式保存。
host -l company.com | cut -d -f 4 | nmap -v -iL -			#进行DNS区域传输，以发现company.com中的主机，然后将IP地址提供给 Nmap。上述命令用于GNU/Linux -- 其它系统进行区域传输时有不同的命令

nmap  -p 1-1024 127.0.0.1 #扫描本机端口
nmap -p 1-1024 www.baidu.com 扫描百度的1-1024端口有哪些开启了