NMAP使用教程

NMAP使⽤教程
1.NMAP介绍
Nmap是⼀款开放源代码的⽹络探测和安全审核⼯具。

它被设计⽤来快速扫描⼤型⽹络，包括主机探测与发现、开放的端⼝情况、操作系统与应⽤服务指纹、WAF识别及常见安全漏洞。

它的图形化界⾯是Zenmap，分布式框架为Dnmap。

Nmap的主要特点如下所⽰：
主机探测：探测⽹络上的主机，如列出相应tcp和ICMP请求、ICMP请求、开放特别端⼝的主机。

端⼝扫描：探测⽬标主机所开放的端⼝。

版本检测：探测⽬标主机的⽹络服务，判断其服务名称及版本号。

系统检测：探测⽬标主机的操作系统及⽹络设备的硬件特性。

⽀持探测脚本的编写：使⽤Nmap的脚本引擎和Lua编程语⾔。

2.NAMP⼊门
2.1 扫描单个⽬标地址
Nmap 192.168.181.129
2.2 扫描多个⽬标地址
Nmap 150.109.68.57192.168.181.129
2.3 扫描⼀个范围内的⽬标地址
Nmap 192.168.181.100-110
2.4 扫描⽬标地址所在的某个⽹段
Nmap 192.168.181.100/24
2.5 扫描主机列表targets.txt中所有的⽬标地址
Nmap –iL C:\Users\targets.txt
2.6 扫描除某⼀⽬标地址之外的所有⽬标地址
Nmap 192.168.181.100/24 –exclude 192.168.181.128
2.7 扫描除某⼀⽂件中的⽬标地址之外的⽬标地址
Nmap 192.168.0.100/24 –excludefile C:\Users\targests.txt
2.8 扫描某⼀⽬标地址的21、22、23、80端⼝
Nmap 192.168.0.100 –p 21,22,23,80
2.9 对⽬标地址进⾏路由追踪
Nmap --traceroute 192.168.0.105
2.10 扫描⽬标地址所在C段的在线状况
Nmap –sP 192.168.0.100/24
2.11 ⽬标地址的操作系统指纹识别
Nmap –O 192.168.0.100
2.12 ⽬标地址提供的服务版本检测
Nmap –sV 192.168.0.100
2.13 探测防⽕墙状态
Nmap –sF –T4 192.168.181.129
状态识别
状态 含义
Open 开放的，表⽰应⽤程序正在监听该端⼝的连接，外部可以访问
Filtered 被过滤的，表⽰端⼝被防⽕墙或其他⽹络设备阻⽌，不能访问
Closed 关闭的，表⽰⽬标主机未开启该端⼝
Unfiltered 未被过滤的，表⽰Nmap⽆法确定端⼝所处状态，需进⼀步探测
open/filtered 开放的或被过滤的，Nmap不能识别
Closed/filtered 关闭的或未被过滤的，Nmap不能识别
3.NMAP进阶
3.1 鉴权扫描
使⽤--script=auth可以对⽬标主机或⽬标主机所在的⽹段进⾏应⽤弱⼝令检测。

Nmap --script=auth 192.168.0.105
3.2 暴⼒破解攻击
Nmap具有暴⼒破解的功能，可对数据库，smb，snmp等进⾏简单密码的暴⼒猜解。

Nmap --script=brute 192.168.0.105
3.3 扫描常见漏洞
Nmap具有漏洞扫描的功能，可以检查⽬标主机或⽹段是否存在常见的漏洞。

Nmap --script=vuln 192.168.0.105
3.4 应⽤服务扫描
Nmap具有很多常见应⽤服务的扫描脚本，例如vnc服务、mysql服务、Telnet服务、rsync服务等，此处以vnc服务为例。

Nmap --script=realvnc-auth-bypass 192.168.0.105
3.5 探测局域⽹内更多服务开启的情况
Nmap –n –p 445 --script=broadcast 192.168.0.105
3.6 Whois解析
Nmap –script external
4.参数详解
⽤法：nmap [扫描类型] [选项] {⽬标规范}
⽬标规格：可以传递主机名，IP地址，⽹络等。

-iL <输⼊⽂件名>：从主机/⽹络列表中输⼊
-iR <num主机>：选择随机⽬标
--exclude <host1 [，host2] [，host3]，...>：排除主机/⽹络
--excludefile <exclude_file>：从⽂件中排除列表
主机发现：
-sL：列表扫描-仅列出要扫描的⽬标
-sP：Ping扫描-只能确定主机是否在线
-P0：将所有主机视为在线-跳过主机发现
-PS / PA / PU [端⼝列表]：对给定端⼝的TCP SYN / ACK或UDP发现探针-PE / PP / PM：ICMP回显，时间戳和⽹络掩码请求发现探针-n / -R：从不进⾏DNS解析/始终解决
扫描技术：
-sS / sT / sA / sW / sM：TCP SYN / Connect()/ ACK / Window / Maimon扫描
-sN / sF / sX：TCP Null，FIN和Xmas扫描
--scanflags <标志>：⾃定义TCP扫描标志
-sI <僵⼫主机[：probeport]>：Idlescan
-sO：IP协议扫描
-b <ftp中继主机>：FTP退回扫描
端⼝规格和扫描顺序：-p <端⼝范围>：仅扫描指定的端⼝，例如：-p22; -p1-65535; -p U：53,111,137，T：21-25,80,139,8080
-F：快速-仅扫描nmap-services⽂件中列出的端⼝）
-r：连续扫描端⼝-不要随机化
OS检测：
-O：启⽤OS检测
--osscan-limit：将OS检测限制在有希望的⽬标上
--osscan-guess：猜测OS
-T [0-6]：设置定时模板（越⾼越快）
--min-hostgroup / max-hostgroup <msec>：并⾏主机扫描组⼤⼩
--min-parallelism / max-parallelism <msec>：探针并⾏化
--min-rtt-timeout / max-rtt-timeout / initial-rtt -timeout <msec>：指定
服务/版本检测：
-sV：探测打开的端⼝以确定服务/版本信息
--version-light ：仅限于可能的探针以进⾏更快的识别
--version-all：尝试对每个探针进⾏版本检测
--version-trace：显⽰详细的版本扫描活动（⽤于调试）
MISC的XSL样式表：
-6：启⽤IPv6扫描
-A：启⽤OS检测和版本检测
--datadir <dirname>：指定⾃定义Nmap数据⽂件位置
--send-eth /-send-ip：使⽤原始以太⽹帧或IP数据包发送数据包
--privileged：假定⽤户具有完全特权
-V：打印版本号
-h：打印此帮助摘要页⾯。

例⼦：
nmap -v -A
nmap -v -sP 192.168.0.0/1610.0.0.0/8
nmap -v -iR 10000 -P0 -p 80
探针往返时间
--host-timeout <msec>：经过很长的时间后放弃⽬标
--scan-delay /-max-scan-delay <msec>：调整两次探查之间的延迟防⽕墙/ ID闪避和溢出
-f; --mtu <val>：分⽚数据包（可选的/具有给定的MTU）
-D <decoy1，decoy2 [，ME]，...>：⽤诱饵掩盖扫描
-S <IP_Address>：欺骗源地址
-e <iface >：使⽤指定的接⼝
-g /-source-port <端⼝号>：
--data-length <num>：将随机数据附加到发送的数据包中
--ttl <val>：设置IP⽣存时间字段
--spoof-mac <mac地址，前缀或供应商名称>：欺骗您的MAC地址。