目录
 
nmap简介
主要用法
   
   
nmap端口状态解析
nmap的使用
1.直接扫描单个网站
2. -D 伪造ip
3.-g 伪造端口
4.-A 详细扫描
5.-sV 对目标地址进行服务版本信息识别
6.-iL 扫描一个地址列表文档里的ip
7.-r 随机扫描
8. -p 指定端口
9. sP 对目标进行Ping扫描
10.路由跟踪
11.扫描一个网段的IP
12. -O 操作系统探测
13.-sC 脚本
oracle-sid-brute.nse
   
  
 

 
nmap简介
 
NMAP是一款开源的网络探测和安全审核工具，被设计用来扫描大型网络，包括主机探测与发现、开放端口的情况，操作系统与应用服务指纹识别、WAF识别及常见安全漏洞。
 
常见端口及服务
 
主要用法
 
• 主机探测：探测网络上的主机，如列出响应TCP和ICMP请求、开放特别端口的主机
 • 端口扫描：探测目标主机的端口
 • 版本检测：探测目标主机的网络服务，判断其服务名称及版本号
 • 系统检测：探测目标主机的操作系统及网络设备的硬件特性
 • 支持探测脚本的编写：使用NMAP的脚本引擎和Lua编程语言
 
nmap端口状态解析
 
open ： 应用程序在该端口接收 TCP 连接或者 UDP 报文。 
closed ：关闭的端口对于nmap也是可访问的， 它接收nmap探测报文并作出响应。但没有应用程序在其上监听。
filtered ：由于包过滤阻止探测报文到达端口，nmap无法确定该端口是否开放。过滤可能来自专业的防火墙设备，路由规则 或者主机上的软件防火墙。
unfiltered ：未被过滤状态意味着端口可访问，但是nmap无法确定它是开放还是关闭。 只有用于映射防火墙规则集的 ACK 扫描才会把端口分类到这个状态。
open | filtered ：无法确定端口是开放还是被过滤， 开放的端口不响应就是一个例子。没有响应也可能意味着报文过滤器丢弃了探测报文或者它引发的任何反应。UDP，IP协议,FIN, Null 等扫描会引起。
closed|filtered：（关闭或者被过滤的）：无法确定端口是关闭的还是被过滤的
 
nmap的使用
 
1.直接扫描单个网站
 
nmap www.qq.com
namp 192.168.12.12
 
 
2. -D 伪造ip
 
nmap -D www.qq.com  www.baidu.com         #伪造成www.qq.com去扫描www.baidu.com
nmap -D 192.168.16.11  192.168.16.22      #伪造成192.168.16.11去扫描192.168.16.22
 
 
3.-g 伪造端口
 
nmap -D www.qq.com -g 520 www.baidu.com  #伪装成www.qq.com的520端口来扫描www.baidu.com
nmap -D 192.168.16.11 -g  8080 192.168.16.11  #伪装成192.168.16.11的8080端口来扫描192.168.16.22
 
（有的网站可能限制了端口访问，只有特定的端口才能访问）
 
 
4.-A 详细扫描
 
namp -A www.baidu.com
 
 
5.-sV 对目标地址进行服务版本信息识别
 
namp -sV www.baidu.com
 
 
6.-iL 扫描一个地址列表文档里的ip
 
123.txt
 
www.baidu.com
www.qq.com
www.taobao.com
 
nmap -iL  123.txt
 
批量扫描123.txt里的ip
 
 
7.-r 随机扫描
 
不按顺序来，随机扫描列表里的ip
 
 
8. -p 指定端口
 
nmap -p 1-520 172.16.11.8
nmap -p 80,22,34 172.16.11.8
 
 
 
9. sP 对目标进行Ping扫描
 
nmap -sP 172.16.11.8
 

 P是ping扫描，p是指定端口
 
10.路由跟踪
 
 nmap -traceroute www.baidu.com
 
 
11.扫描一个网段的IP
 
nmap 172.16.11.0/24
nmap 172.16.11.0-255
 
 
12. -O 操作系统探测
 
 
13.-sC 脚本
 
-sC: 等价于 --script=default，使用默认类别的脚本进行扫描。

--script=<Lua scripts>: <Lua scripts>使用某个或某类脚本进行扫描，支持通配符描述

--script-args=<n1=v1,[n2=v2,...]>: 为脚本提供默认参数

--script-args-file=filename: 使用文件来为脚本提供参数

--script-trace: 显示脚本执行过程中发送与接收的数据

--script-updatedb: 更新脚本数据库

--script-help=<Lua scripts>: 显示脚本的帮助信息，其中<Luascripts>部分可以逗号分隔的文件或脚本类别。
 
oracle-sid-brute.nse
 
 
其他用法参考
 https://blog.csdn.net/aspirationflow/article/details/7694274

下面将介绍nmap所有参数及其用法
 
TARGET SPECIFICATION
 
目标发现
后跟域名、IP地址/网络号
 
-iL参数
 后跟由IP地址组成的列表文件
 
nmap 192.168.1.1 -iL ip_list.txt
 
-iR参数
 随机扫描任意IP，后跟扫描数量
 
nmap -iR 5 -p 22
 
–exclude参数
 后跟不扫描的IP范围
 
# 扫描101-254的主机
nmap 192.168.1.0/24 --excludes 192.168.1-100
 
–excludefile参数
 将要排除的IP范围写入一个文件
 
nmap 192.168.1.0/24 --excludefile ip_exclude .txt 
 
HOST DISCOVERY
 
主机发现
 
-sL参数
 
对目标进行初步DNS探测，并列出需要扫描的所有主机
可用于CIDR计算主机数
 
nmap -sL 192.168.1.0/29
 

 -sn参数
 不做端口扫描，只作主机发现
 
nmap -sn 192.168.1.0/24
 
-Pn参数
 
跳过主机发现
当ICMP探测包被防火墙丢弃时，无Pn参数，nmap将不会对其进行端口探测
 
nmap -Pn 192.168.1.1
 
-PS、-PA、-PU、-PY参数
 
PS：SYN发现
PA：ACK发现
PU：UDP发现
PY：SCTP发现（不属于TCP/IP协议，是VoIP协议中会使用到的协议）
 
-PE、-PP、-PM
 
PE：ICMP echo
PP：时间戳
PM：用于查子网掩码
这三个参数扫描较为不准确（老系统适用）
 
-PO参数
 
用于IP协议的ping（IP扫描）
 
-n/-R参数
 
-n：不作DNS解析
-R：作DNS反向解析
 
–dns-servers
 
指定一个DNS服务器进行域名解析
 
nmap --dns-servers 8.8.8.8 www.sina.com
 
–system-dns参数
 
使用系统默认的dns服务器进行域名解析
此参数加与不加效果相同
 
nmap --system-dns www.baidu.com
 
–traceroute参数
 
与traceroute命令效果差不多
 
nmap --traceroute www.baidu.com -p 80
 
SCAN TECHNIQUES
 
扫描技术
 
-sS、-sT、-sA、-sW、-sM
 
-sS：默认参数，SYN扫描
-sT：使用TCP SYN扫描（与目标系统建立完整的TCP连接）
-sA：使用ACK扫描
-sW：TCP窗口扫描
-sM：ACK+FIN扫描
 
-sU参数
 
UDP扫描
 
-sN、-sF、-sX参数
 
sN：空flags扫描
sF：FIN扫描
sX：FIN、PUSH、URGENT扫描
 
–scanflags参数
 
自定义flags组合
 
-sI参数
 
僵尸扫描
 
-sY、-sZ参数
 
SCTP协议扫描（几乎不用）
 
-sO参数
 
IP扫描
 
-b参数
 
FTP扫描
 
PORT SPECIFICATION AND SCAN ORDER
 
端口发现和指定扫描
 
-p参数
 
指定扫描端口（默认TCP、UDP都会扫描）
U：扫描UDP端口
T：扫描TCP端口
 
# 扫描192.168.1.1的UDP53端口
nmap -p U:53 192.168.1.1
# 扫描192.168.1.1的TCP22端口
nmap -p T:22 192.168.1.1 
 
–exclude-ports参数
 
选择不扫描的端口范围
 
# 不扫描1-100端口
nmap -p- --exclude-ports 1-100 192.168.1.1
 

 -F参数
 
快速模式
nmap默认会扫描1000个常用端口，加-F后，会扫描更少的端口
 
nmap -F 192.168.1.1
 
-r参数
 
nmap默认扫描是无序的（随机扫描），加了-r参数后，会顺序的扫描
 
–top-ports参数
 
只扫描排在前几的端口
 
# 扫描排在前10的端口
nmap 192.168.1.1 --top-ports 10
 

 –port-ratio参数
 
扫描更为常见的端口
 
SERVICE/VERSION DETECTION
 
服务探测
 
-sV参数
 
匹配特征库发现服务版本
 
–version-intensity参数
 
扫描强度，后跟级别（0-9）
级别0低9高
 
–version-light参数
 
相当于扫描强度2
 
–version-all参数
 
相当于扫描强度9
 
–version-trace参数
 
扫描具体过程也会进行跟踪
会显示具体发包回包信息
 
SCRIPT SCAN
 
脚本扫描
 
-sC参数
 
等于–script=
后面跟nmap自带的脚本文件
 
–script=参数
 
后跟nmap自带的脚本文件
 
–script-args=参数
 
后跟脚本文件的可选参数
 
–script-trace参数
 
显示具体数据发送接收过程
 
–script-updatedb参数
 
更新脚本数据库
 
–script-help参数
 
可对不懂的脚本进行提示和帮助
 
nmap --script-help=http-grep.nse
 
 
OS DETECTION
 
操作系统探测
 –osscan-limit参数
 
限制操作系统检测
 
–osscan-guess参数
 
猜测操作系统
 
TIMING AND PERFORMANCE
 
时间与性能
 
过快或者过于猛烈，容易引起察觉
 
–min-hostgroup、max-hostgroup参数
 
一次最少/最大扫几个主机
 
–min-parallelism、–max-parallelism参数
 
设置最小/最大的并行数
 
–min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout参数
 
设置最小或最大往返时间
 
–max-retries参数
 
最大尝试次数
 
–host-timeout参数
 
设置目标主机多久未响应就算超时
 
–scan-delay参数
 
每次扫描之间的延迟时间
 
–min-rate参数
 
每秒发包数量不小于多少
 
–max-rate参数
 
每秒发包数量不大于多少
 
FIREWALL/IDS EVASION AND SPOOFING
 
防火墙/IDS的躲避和欺骗
 
-f参数
 
设置mtu（最大传输单元）的值
双方传输，传输单元由双方最小值决定
 
-D参数
 
伪造源地址（使用多个IP地址向同一目标进行发包）
 
nmap -D 192.168.220.1,192.168.220.2,192.168.220.128 192.168.220.129
 
-S参数
 
欺骗源地址
建议指定网卡端口
 
nmap -S 192.168.220.11 -e eth0 192.168.220.129
 
-e参数
 
指定网卡信息
 
-g参数
 
指定源端口
 
nmap -g 10000 192.168.1.1
 
–proxies参数
 
指定代理服务器
 
–date参数
 
指定包的数据字段
必须为十六进制数
 
–date-string参数
 
指定ASCII值
 
–date-length参数
 
指定数据长度
 
ip-options参数
 
ip包头的options字段，添加源路由信息
 
–ttl参数
 
指定ttl值
 
–spoof-mac参数
 
欺骗mac地址
 
–badsum参数
 
指定差错校验值，使制作的包能过去
 
MISC
 
杂项
 
-A参数
 
进行系统探测、服务版本探测、脚本扫描和追踪

Nmap
 
Nmap简单介绍
 
nmap是一个综合，功能全面的端口扫描工具
nmap可以用来查找目标网络中的在线主机。默认情况下nmap通过icmp回应请求，向443端口发送TCP SYN包，向80端口发送TCP ACK包和icmp时间戳请求方式发现目标主机服务/版本
nmap发现端口后，可以进一步检查服务协议，应用程序名称，版本号，主机名，设备类型和操作系统信息。
操作系统识别，nmap向远程主机发送系列数据包，并检查回应，然后与操作系统指纹数据库进行比较，并打印出匹配结果的细节。
List item
 
Nmap的简单使用
 
扫描指定端口
 nmap -sS -p 1-65535 -v 192.168.1.106表示半开扫描，扫描端口为1到165535，并且显示扫描过程。
 
参数
说明
-sT
TCP connect()扫描，这种方式会在目标主机的日志中记录大批连接请求和报错信息
-sS
半开扫描，很少有系统能够把它记入系统日志。不过，需要root权限
-sF -sN
秘密FIN数据包扫描，Xmas-Tree，Null扫描模式
-sP
ping扫描，Nmap在扫描端口时，默认都会使用ping扫描，只有主机存活，Nmap才会继续扫描
-sU
UDP扫描，但是UDP扫描不可靠
-sA
这项高级扫描方法通常用来穿过防火墙的规则集
-sV
扫描端口服务版本
-P0
扫描之前不需要用ping命令，有些防火墙进制用ping命令，可以使用此选项进行扫描
-v
显示扫描过程。推荐使用
-h
帮助选项
-p
指定端口
-O
启用远程操作系统检测。存在误报
-A
全面系统检测，启用脚本检测，扫描等
-oN/-oX/-oG
将报告写入文件中。分别是正常，XML，grepable三种格式
-T4
针对TCP端口禁止动态扫描延迟超过10ms
-iL
读取主机列表，例如“："-iL C：\ip.txt"
扫描C段存活主机
 nmap -sP www.baidu.com/24
指定端口扫描
 nmap -p 80,1433,22,1521 www.baidu.com
探测主机操作系统
 nmap -o www.baidu.com
全面的系统探测
 nmap -v -A www.baidu.com
穿过防火墙进行扫描
 nmap -Pn -A www.baidu.com
 
Nmap脚本引擎
 
Nmap不仅用于端口扫描，服务检测，还有很多强大的引擎。
 
扫描Web敏感目录
 nmap -p 80 --script=http-enum.nse www.baidu.com
扫描SqlInjection
 nmap -p 80 --script=http-sql-injection.nes www.baidu.com
使用所有脚本进行扫描
 nmap --script all 127.0.0.1使用时间非常长
使用通配符扫描
 nmap --script "http-*"127.0.0.1使用以http-开头的脚本。

 NMap，也就是Network Mapper，是Linux下的网络扫描和嗅探工具包。

 系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器，但是黑客会利用nmap来搜集目标电脑的网络设定，从而计划攻击的方法。

 Nmap 常被跟评估系统漏洞软件Nessus 混为一谈。Nmap 以隐秘的手法，避开闯入检测系统的监视，并尽可能不影响目标系统的日常操作。

 Nmap 在黑客帝国(The Matrix)中，连同SSH1的32位元循环冗余校验漏洞，被崔妮蒂用以入侵发电站的能源管理系统。

 
安装
 
查询结果NMap为安装：
 

[root@bogon ~]# rpm -qa |grep nmap
[root@bogon ~]#
 
安装NMap：
 

[root@bogon Linux_Software]# rpm -ivh RHEL5_Server_RPM/nmap-4.11-1.1.i386.rpm
warning: RHEL5_Server_RPM/nmap-4.11-1.1.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186
Preparing...                ########################################### [100%]
   1:nmap                   ########################################### [100%]
[root@bogon Linux_Software]#
 NMap安装结果：

 
[root@bogon ~]# rpm -qa | grep nmap
nmap-4.11-1.1

 
语法:

 nmap <扫描类型> <扫描参数> <IP地址与范围>

  

 
扫描类型:
 主要有以下几种.

 
-sT:扫描TCP数据包以建立的连接connect()

 
-sS:使用频率最高：SYN扫描，又称为半开放扫描，它不打开一个完全的TCP连接，执行快

 
-sP:ping扫描，打印出对扫描做出响应的主机,不做进一步测试(如端口扫描或者操作系统探测)

 
-sL:仅列出指定网络上的每台主机，不发送任何报文到目标主机

 
-sU:以UDP数据包格式进行扫描

 
-sO:确定目标设备支持哪些IP协议

 
-sV:确定目标设备支持协议的版本

 
-O:探测目标主机的操作系统：

 
-A:探测目标主机的操作系统：

 

 
扫描参数:

 主要有以下几种.

    -PT:使用TCP的ping方式进行扫描,可以获取当前已经启动几台计算机 

    -PI:使用实际的ping(带有ICMP数据包)进行扫描

    -p:这个是端口范围,如:1024~,80~1023,30000~60000

  

 
IP地址与范围:

    192.168.0.100:直接写入IP,仅检查一台主机

    192.168.0.0/24:为C Class的网段

    192.168.*.*:以B Class的网段,扫描范围更广

    192.168.0.0~50,60~100,103,200:变形的主机范围

  

 
范例:

  nmap localhost #扫描本机
nmap -p 1024-65535 localhost 		#扫描本机的一部分端口
nmap -PT 192.168.1.171-177		#已ping方式扫描数台主机
eg.:

 
[root@bogon ~]# nmap 10.xxx.xxx.xxx
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-04-10 13:40 CST
Interesting ports on 127.0.0.1:
Not shown: 1677 closed ports
PORT	STATE	SERVICE
22/tcp	open	ssh
111/tcp	open	rpcbind
935/tcp	open	unknown

 
STATE 状态有 6 种：

           1. open：端口是开放的

           2. closed：端口是关闭的

           3. filtered：端口被防火墙IDS/IPS屏蔽，无法确定其状态

           4. unfiltered：端口没有被屏蔽，但是否开放需要进一步确定

           5. open|filtered：端口是开放的或被屏蔽

           6. closed|filtered ：端口是关闭的或被屏蔽