nmap詳解之選項說明

功能選項

功能選項能夠組合使用。一些功能選項只可以在某種掃描模式下使用。nmap會自動識別無效或者不支持的功能選項組合，並向用戶發出警告信息。

若是你是有經驗的用戶，能夠略過結尾的示例一節。可使用nmap -h快速列出功能選項的列表。

 

掃描類型

-sT: TCP connect()掃描：這是最基本的TCP掃描方式。connect()是一種系統調用，由操做系統提供，用來打開一個鏈接。若是目標端口有程序監聽， connect()就會成功返回，不然這個端口是不可達的。這項技術最大的優勢是，你勿需root權限。任何UNIX用戶均可以自由使用這個系統調用。這種掃描很容易被檢測到，在目標主機的日誌中會記錄大批的鏈接請求以及錯誤信息。

-sS : TCP同步掃描(TCP SYN)：由於沒必要所有打開一個TCP鏈接，因此這項技術一般稱爲半開掃描(half-open)。你能夠發出一個TCP同步包(SYN)，而後等待迴應。若是對方返回SYN|ACK(響應)包就表示目標端口正在監聽；若是返回RST數據包，就表示目標端口沒有監聽程序；若是收到一個SYN|ACK包，源主機就會立刻發出一個RST(復位)數據包斷開和目標主機的鏈接，這實際上有咱們的操做系統內核自動完成的。這項技術最大的好處是，不多有系統可以把這記入系統日誌。不過，你須要root權限來定製SYN數據包。

-sF -sF -sN: 祕密FIN數據包掃描、聖誕樹(Xmas Tree)、空(Null)掃描模式：即便SYN掃描都沒法肯定的狀況下使用。一些防火牆和包過濾軟件可以對發送到被限制端口的SYN數據包進行監視，並且有些程序好比synlogger和courtney可以檢測那些掃描。這些高級的掃描方式能夠逃過這些干擾。這些掃描方式的理論依據是：關閉的端口須要對你的探測包迴應RST包，而打開的端口必需忽略有問題的包(參考RFC 793第64頁)。FIN掃描使用暴露的FIN數據包來探測，而聖誕樹掃描打開數據包的FIN、URG和PUSH標誌。不幸的是，微軟決定徹底忽略這個標準，另起爐竈。因此這種掃描方式對Windows95/NT無效。不過，從另外的角度講，可使用這種方式來分別兩種不一樣的平臺。若是使用這種掃描方式能夠發現打開的端口，你就能夠肯定目標註意運行的不是Windows系統。若是使用-sF、-sX或者-sN掃描顯示全部的端口都是關閉的，而使用SYN掃描顯示有打開的端口，你能夠肯定目標主機可能運行的是Windwos系統。如今這種方式沒有什麼太大的用處，由於nmap有內嵌的操做系統檢測功能。還有其它幾個系統使用和windows一樣的處理方式，包括Cisco、BSDI、HP/UX、MYS、IRIX。在應該拋棄數據包時，以上這些系統都會從打開的端口發出復位數據包。

-sP: ping掃描：有時你只是想知道此時網絡上哪些主機正在運行。經過向你指定的網絡內的每一個IP地址發送ICMP echo請求數據包，nmap就能夠完成這項任務。若是主機正在運行就會做出響應。不幸的是，一些站點例如：microsoft.com阻塞ICMP echo請求數據包。然而，在默認的狀況下nmap也可以向80端口發送TCP ack包，若是你收到一個RST包，就表示主機正在運行。nmap使用的第三種技術是：發送一個SYN包，而後等待一個RST或者SYN/ACK包。對於非root用戶，nmap使用connect()方法。在默認的狀況下(root用戶)，nmap並行使用ICMP和ACK技術。

注意，nmap在任何狀況下都會進行ping掃描，只有目標主機處於運行狀態，纔會進行後續的掃描。若是你只是想知道目標主機是否運行，而不想進行其它掃描，纔會用到這個選項。

-sU

UDP掃描：若是你想知道在某臺主機上提供哪些UDP(用戶數據報協議,RFC768)服務，可使用這種掃描方法。nmap首先向目標主機的每一個端口發出一個0字節的UDP包，若是咱們收到端口不可達的ICMP消息，端口就是關閉的，不然咱們就假設它是打開的。

有些人可能會想UDP掃描是沒有什麼意思的。可是，我常常會想到最近出現的solaris rpcbind缺陷。rpcbind隱藏在一個未公開的UDP端口上，這個端口號大於32770。因此即便端口111(portmap的衆所周知端口號) 被防火牆阻塞有關係。可是你能發現大於30000的哪一個端口上有程序正在監聽嗎?使用UDP掃描就能！cDc Back Orifice的後門程序就隱藏在Windows主機的一個可配置的UDP端口中。不考慮一些一般的安全缺陷，一些服務例如:snmp、tftp、NFS 使用UDP協議。不幸的是，UDP掃描有時很是緩慢，由於大多數主機限制ICMP錯誤信息的比例(在RFC1812中的建議)。例如，在Linux內核中 (在net/ipv4/icmp.h文件中)限制每4秒鐘只能出現80條目標不可達的ICMP消息，若是超過這個比例，就會給1/4秒鐘的處罰。 solaris的限制更加嚴格，每秒鐘只容許出現大約2條ICMP不可達消息，這樣，使掃描更加緩慢。nmap會檢測這個限制的比例，減緩發送速度，而不是發送大量的將被目標主機丟棄的無用數據包。

不過Micro$oft忽略了RFC1812的這個建議，不對這個比例作任何的限制。因此咱們能夠可以快速掃描運行Win95/NT的主機上的全部65K個端口。

-sA

ACK掃描：這項高級的掃描方法一般用來穿過防火牆的規則集。一般狀況下，這有助於肯定一個防火牆是功能比較完善的或者是一個簡單的包過濾程序，只是阻塞進入的SYN包。

這種掃描是向特定的端口發送ACK包(使用隨機的應答/序列號)。若是返回一個RST包，這個端口就標記爲unfiltered狀態。若是什麼都沒有返回，或者返回一個不可達ICMP消息，這個端口就納入filtered類。注意，nmap一般不輸出unfiltered的端口，因此在輸出中一般不顯示全部被探測的端口。顯然，這種掃描方式不能找出處於打開狀態的端口。

-sW

對滑動窗口的掃描：這項高級掃描技術很是相似於ACK掃描，除了它有時能夠檢測處處於打開狀態的端口，由於滑動窗口的大小是不規則的，有些操做系統能夠報告其大小。這些系統至少包括：某些版本的AIX、Amiga、BeOS、BSDI、Cray、Tru64 UNIX、DG/UX、OpenVMS、Digital UNIX、OpenBSD、OpenStep、QNX、Rhapsody、SunOS 4.x、Ultrix、VAX、VXWORKS。從nmap-hackers郵件3列表的文檔中能夠獲得完整的列表。

-sR

RPC掃描。這種方法和nmap的其它不一樣的端口掃描方法結合使用。選擇全部處於打開狀態的端口向它們發出SunRPC程序的NULL命令，以肯定它們是不是RPC端口，若是是，就肯定是哪一種軟件及其版本號。所以你可以得到防火牆的一些信息。誘餌掃描如今還不能和RPC掃描結合使用。

-b

FTP反彈攻擊(bounce attack):FTP協議(RFC 959)有一個頗有意思的特徵，它支持代理FTP鏈接。也就是說，我可以從evil.com鏈接到FTP服務器target.com，而且能夠要求這臺 FTP服務器爲本身發送Internet上任何地方的文件！1985年，RFC959完成時，這個特徵就能很好地工做了。然而，在今天的Internet 中，咱們不能讓人們劫持FTP服務器，讓它向Internet上的任意節點發送數據。如同Hobbit在1995年寫的文章中所說的，這個協議"可以用來作投遞虛擬的不可達郵件和新聞，進入各類站點的服務器,填滿硬盤，跳過防火牆，以及其它的騷擾活動，並且很難進行追蹤"。咱們可使用這個特徵，在一臺代理FTP服務器掃描TCP端口。所以，你須要鏈接到防火牆後面的一臺FTP服務器，接着進行端口掃描。若是在這臺FTP服務器中有可讀寫的目錄，你還能夠向目標端口任意發送數據(不過nmap不能爲你作這些)。

傳遞給-b功能選項的參數是你要做爲代理的FTP服務器。語法格式爲：-b username:password@server:port。

除了server之外，其他都是可選的。若是你想知道什麼服務器有這種缺陷，能夠參考我在Phrack 51發表的文章。還能夠在nmap的站點獲得這篇文章的最新版本。

 

通用選項

這些內容不是必需的，可是頗有用。

-P0

在掃描以前，沒必要ping主機。有些網絡的防火牆不容許ICMP echo請求穿過，使用這個選項能夠對這些網絡進行掃描。microsoft.com就是一個例子，所以在掃描這個站點時，你應該一直使用-P0或者-PT 80選項。

-PT

掃描以前，使用TCP ping肯定哪些主機正在運行。nmap不是經過發送ICMP echo請求包而後等待響應來實現這種功能，而是向目標網絡(或者單一主機)發出TCP ACK包而後等待迴應。若是主機正在運行就會返回RST包。只有在目標網絡/主機阻塞了ping包，而仍舊容許你對其進行掃描時，這個選項纔有效。對於非 root用戶，咱們使用connect()系統調用來實現這項功能。使用-PT <端口號>來設定目標端口。默認的端口號是80，由於這個端口一般不會被過濾。

-PS

對於root用戶，這個選項讓nmap使用SYN包而不是ACK包來對目標主機進行掃描。若是主機正在運行就返回一個RST包(或者一個SYN/ACK包)。

-PI

設置這個選項，讓nmap使用真正的ping(ICMP echo請求)來掃描目標主機是否正在運行。使用這個選項讓nmap發現正在運行的主機的同時，nmap也會對你的直接子網廣播地址進行觀察。直接子網廣播地址一些外部可達的IP地址，把外部的包轉換爲一個內向的IP廣播包，向一個計算機子網發送。這些IP廣播包應該刪除，由於會形成拒絕服務攻擊(例如 smurf)。

-PB

這是默認的ping掃描選項。它使用ACK(-PT)和ICMP(-PI)兩種掃描類型並行掃描。若是防火牆可以過濾其中一種包，使用這種方法，你就可以穿過防火牆。

-O

這個選項激活對TCP/IP指紋特徵(fingerprinting)的掃描，得到遠程主機的標誌。換句話說，nmap使用一些技術檢測目標主機操做系統網絡協議棧的特徵。nmap使用這些信息創建遠程主機的指紋特徵，把它和已知的操做系統指紋特徵數據庫作比較，就能夠知道目標主機操做系統的類型。

-I

這個選項打開nmap的反向標誌掃描功能。Dave Goldsmith 1996年向bugtap發出的郵件注意到這個協議，ident協議(rfc 1413)容許使用TCP鏈接給出任何進程擁有者的用戶名，即便這個進程並無初始化鏈接。例如，你能夠鏈接到HTTP端口，接着使用identd肯定這個服務器是否由root用戶運行。這種掃描只能在同目標端口創建徹底的TCP鏈接時(例如：-sT掃描選項)才能成功。使用-I選項是，遠程主機的 identd精靈進程就會查詢在每一個打開的端口上監聽的進程的擁有者。顯然，若是遠程主機沒有運行identd程序，這種掃描方法無效。

-f

這個選項使nmap使用碎片IP數據包發送SYN、FIN、XMAS、NULL。使用碎片數據包增長包過濾、入侵檢測系統的難度，使其沒法知道你的企圖。不過，要慎重使用這個選項！有些程序在處理這些碎片包時會有麻煩，我最喜歡的嗅探器在接受到碎片包的頭36個字節時，就會發生 segmentation faulted。所以，在nmap中使用了24個字節的碎片數據包。雖然包過濾器和防火牆不能防這種方法，可是有不少網絡出於性能上的考慮，禁止數據包的分片。

注意這個選項不能在全部的平臺上使用。它在Linux、FreeBSD、OpenBSD以及其它一些UNIX系統可以很好工做。

-v

冗餘模式。強烈推薦使用這個選項，它會給出掃描過程當中的詳細信息。使用這個選項，你能夠獲得事半功倍的效果。使用-d選項能夠獲得更加詳細的信息。

-h

快速參考選項。

-oN

把掃描結果重定向到一個可讀的文件logfilename中。

-oM

把掃描結果重定向到logfilename文件中，這個文件使用主機能夠解析的語法。你可使用-oM -來代替logfilename，這樣輸出就被重定向到標準輸出stdout。在這種狀況下，正常的輸出將被覆蓋，錯誤信息荏苒能夠輸出到標準錯誤 stderr。要注意，若是同時使用了-v選項，在屏幕上會打印出其它的信息。

-oS 　　

thIs l0gz th3 r3suLtS of YouR ScanZ iN a s| 　　THe fiL3 U sPecfy 4s an arGuMEnT! U kAn gIv3 the 4rgument -(wItHOUt qUOteZ) to sh00t output iNT0 stDouT!@!!

莫名其妙，下面是我猜着翻譯的，相形字？

把掃描結果重定向到一個文件logfilename中，這個文件使用一種"黑客方言"的語法形式(做者開的玩笑?)。一樣，使用-oS -就會把結果重定向到標準輸出上。

-resume

某個網絡掃描可能因爲control-C或者網絡損失等緣由被中斷，使用這個選項可使掃描接着之前的掃描進行。logfilename是被取消掃描的日誌文件，它必須是可讀形式或者機器能夠解析的形式。並且接着進行的掃描不能增長新的選項，只能使用與被中斷的掃描相同的選項。nmap會接着日誌文件中的最後一次成功掃描進行新的掃描。

-iL

從inputfilename文件中讀取掃描的目標。在這個文件中要有一個主機或者網絡的列表，由空格鍵、製表鍵或者回車鍵做爲分割符。若是使用-iL -，nmap就會從標準輸入stdin讀取主機名字。你能夠從指定目標一節獲得更加詳細的信息。

-iR

讓nmap本身隨機挑選主機進行掃描。

-p <端口範圍>

這個選項讓你選擇要進行掃描的端口號的範圍。例如，-p 23表示：只掃描目標主機的23號端口。-p 20-30,139,60000-表示：掃描20到30號端口，139號端口以及全部大於60000的端口。在默認狀況下，nmap掃描100個經常使用端口號以及nmap-services文件(若是使用RPM軟件包，通常在/usr/share/nmap/目錄中)中定義的端口列表。

-F

快速掃描模式，只掃描在nmap-services文件中列出的端口。顯然比掃描全部65535個端口要快。

-D

使用誘餌掃描方法對目標網絡/主機進行掃描。若是nmap使用這種方法對目標網絡進行掃描，那麼從目標主機/網絡的角度來看，掃描就象從其它主機 (decoy1,等)發出的。從而，即便目標主機的IDS(入侵檢測系統)對端口掃描發出報警，它們也不可能知道哪一個是真正發起掃描的地址，哪一個是無辜的。這種掃描方法能夠有效地對付例如路由跟蹤、response-dropping等積極的防護機制，可以很好地隱藏你的IP地址。

每一個誘餌主機名使用逗號分割開，你也可使用ME選項，它表明你本身的主機，和誘餌主機名混雜在一塊兒。若是你把ME放在第六或者更靠後的位置，一些端口掃描檢測軟件幾乎根本不會顯示你的IP地址。若是你不使用ME選項，nmap會把你的IP地址隨機夾雜在誘餌主機之中。

注意:你用來做爲誘餌的主機應該正在運行或者你只是偶爾向目標發送SYN數據包。很顯然，若是在網絡上只有一臺主機運行，目標將很輕鬆就會肯定是哪臺主機進行的掃描。或許，你還要直接使用誘餌的IP地址而不是其域名，這樣誘餌網絡的域名服務器的日誌上就不會留下關於你的記錄。

還要注意：一些愚蠢的端口掃描檢測軟件會拒絕路由試圖進行端口掃描的主機。於是，你須要讓目標主機和一些誘餌斷開鏈接。若是誘餌是目標主機的網關或者就是其本身時，會給目標主機形成很大問題。因此你須要慎重使用這個選項。

誘餌掃描既能夠在起始的ping掃描也能夠在真正的掃描狀態下使用。它也能夠和-O選項組合使用。

使用太多的誘餌掃描可以減緩你的掃描速度甚至可能形成掃描結果不正確。同時，有些ISP會把你的欺騙包過濾掉。雖然如今大多數的ISP不會對此進行限制。

-S <IP_Address>

在一些狀況下，nmap可能沒法肯定你的源地址(nmap會告訴你)。在這種狀況下，可使用這個選項給出你的IP地址。

在欺騙掃描時，也使用這個選項。使用這個選項可讓目標認爲是其它的主機對本身進行掃描。

-e

告訴nmap使用哪一個接口發送和接受數據包。nmap可以自動對此接口進行檢測，若是無效就會告訴你。

-g

設置掃描的源端口。一些天真的防火牆和包過濾器的規則集容許源端口爲DNS(53)或者FTP-DATA(20)的包經過和實現鏈接。顯然，若是攻擊者把源端口修改成20或者53，就能夠摧毀防火牆的防禦。在使用UDP掃描時，先使用53號端口；使用TCP掃描時，先使用20號端口。注意只有在可以使用這個端口進行掃描時，nmap纔會使用這個端口。例如，若是你沒法進行TCP掃描，nmap會自動改變源端口，即便你使用了-g選項。

對於一些掃描，使用這個選項會形成性能上的微小損失，由於我有時會保存關於特定源端口的一些有用的信息。

-r

告訴nmap不要打亂被掃描端口的順序。

--randomize_hosts

使nmap在掃描以前，打亂每組掃描中的主機順序，nmap每組能夠掃描最多2048臺主機。這樣，可使掃描更不容易被網絡監視器發現，尤爲和--scan_delay 選項組合使用，更能有效避免被發現。

-M

設置進行TCP connect()掃描時，最多使用多少個套接字進行並行的掃描。使用這個選項能夠下降掃描速度，避免遠程目標宕機。

 

適時選項

一般，nmap在運行時，可以很好地根據網絡特色進行調整。掃描時，nmap會盡可能減小被目標檢測到的機會，同時儘量加快掃描速度。然而，nmap默認的適時策略有時候不太適合你的目標。使用下面這些選項，能夠控制nmap的掃描timing：

-T

設置nmap的適時策略。Paranoid:爲了避開IDS的檢測使掃描速度極慢，nmap串行全部的掃描，每隔至少5分鐘發送一個包； Sneaky：也差很少，只是數據包的發送間隔是15秒；Polite：不增長太大的網絡負載，避免宕掉目標主機，串行每一個探測，而且使每一個探測有0.4 秒種的間隔；Normal:nmap默認的選項，在不是網絡過載或者主機/端口丟失的狀況下儘量快速地掃描；Aggressive:設置5分鐘的超時限制，使對每臺主機的掃描時間不超過5分鐘，而且使對每次探測迴應的等待時間不超過1.5秒鐘；b>Insane:只適合快速的網絡或者你不在乎丟失某些信息，每臺主機的超時限制是75秒，對每次探測只等待0.3秒鐘。你也但是使用數字來代替這些模式，例如：-T 0等於-T Paranoid，-T 5等於-T Insane。

這些適時模式不能下面的適時選項組合使用。 --host_timeout

設置掃描一臺主機的時間，以毫秒爲單位。默認的狀況下，沒有超時限制。 --max_rtt_timeout

設置對每次探測的等待時間，以毫秒爲單位。若是超過這個時間限制就重傳或者超時。默認值是大約9000毫秒。 --min_rtt_timeout

當目標主機的響應很快時，nmap就縮短每次探測的超時時間。這樣會提升掃描的速度，可是可能丟失某些響應時間比較長的包。使用這個選項，可讓nmap對每次探測至少等待你指定的時間，以毫秒爲單位。 --initial_rtt_timeout

設置初始探測的超時值。通常這個選項只在使用-P0選項掃描有防火牆保護的主機纔有用。默認值是6000毫秒。 --max_parallelism

設置最大的並行掃描數量。--max_parallelism 1表示同時只掃描一個端口。這個選項對其它的並行掃描也有效，例如ping sweep, RPC scan。 --scan_delay

設置在兩次探測之間，nmap必須等待的時間。這個選項主要用於下降網絡的負載

 

目標設定

在nmap的全部參數中，只有目標參數是必須給出的。其最簡單的形式是在命令行直接輸入一個主機名或者一個IP地址。若是你但願掃描某個IP地址的一個子網，你能夠在主機名或者IP地址的後面加上/掩碼。掩碼在0(掃描整個網絡)到32(只掃描這個主機)。使用/24掃描C類地址，/16掃描B類地址。

除此以外，nmap還有更增強大的表示方式讓你更加靈活地指定IP地址。例如，若是要掃描這個B類網絡128.210..，你可使用下面三種方式來指定這些地址:128.210..、128.21-.0-255.0-255或者128.210.0.0/16這三種形式是等價的。