Nmap参考指南Man Page37p.docx

Nmap参考指南Man Page37p.docx

《Nmap参考指南Man Page37p.docx》由会员分享，可在线阅读，更多相关《Nmap参考指南Man Page37p.docx（38页珍藏版）》请在冰豆网上搜索。

Nmap参考指南ManPage37p

Nmap参考指南（ManPage）

--------------------------------------------------------------------------------

TableofContents

1.描述

2.译注

3.选项概要

4.目标说明

5.主机发现

6.端口扫描基础

7.端口扫描技术

8.端口说明和扫描顺序

9.服务和版本探测

10.操作系统探测

11.时间和性能

12.防火墙/IDS躲避和哄骗

13.输出

14.其它选项

15.运行时的交互

16.实例

17.Bugs

18.作者

19.法律事项（版权、许可证、担保（缺）、出口限制）

UnofficialTranslationDisclaimer/非官方翻译声明

Name

nmap—网络探测工具和安全/端口扫描器

nmap[扫描类型...][选项]{扫描目标说明}

1.描述

Nmap（“NetworkMapper（网络映射器）”）是一款开放源代码的网络探测和安全审核的工具。

它的设计目标是快速地扫描大型网络，当然用它扫描单个主机也没有问题。

Nmap以新颖的方式使用原始IP报文来发现网络上有哪些主机，那些主机提供什么服务（应用程序名和版本），那些服务运行在什么操作系统（包括版本信息），它们使用什么类型的报文过滤器/防火墙，以及一堆其它功能。

虽然Nmap通常用于安全审核，许多系统管理员和网络管理员也用它来做一些日常的工作，比如查看整个网络的信息，管理服务升级计划，以及监视主机和服务的运行。

Nmap输出的是扫描目标的列表，以及每个目标的补充信息，至于是哪些信息则依赖于所使用的选项。

“所感兴趣的端口表格”是其中的关键。

那张表列出端口号，协议，服务名称和状态。

状态可能是open（开放的），filtered（被过滤的），closed（关闭的），或者unfiltered（未被过滤的）。

Open（开放的）意味着目标机魃系挠τ贸绦蛘诟枚丝诩嗵�/报文。

filtered（被过滤的）意味着防火墙，过滤器或者其它网络障碍阻止了该端口被访问，Nmap无法得知它是open（开放的）还是closed（关闭的）。

closed（关闭的）端口没有应用程序在它上面监听，但是他们随时可能开放。

当端口对Nmap的探测做出响应，但是Nmap无法确定它们是关闭还是开放时，这些端口就被认为是unfiltered（未被过滤的）如果Nmap报告状态组合open|filtered和closed|filtered时，那说明Nmap无法确定该端口处于两个状态中的哪一个状态。

当要求进行版本探测时，端口表也可以包含软件的版本信息。

当要求进行IP协议扫描时（-sO），Nmap提供关于所支持的IP协议而不是正在监听的端口的信息。

除了所感兴趣的端口表，Nmap还能提供关于目标机的进一步信息，包括反向域名，操作系统猜测，设备类型，和MAC地址。

一个典型的Nmap扫描如Example1,“一个典型的Nmap扫描”所示。

在这个例子中，唯一的选项是-A，用来进行操作系统及其版本的探测，-T4可以加快执行速度，接着是两个目标主机名。

Example1.一个典型的Nmap扫描

#nmap-A-T4scanme.nmap.orgplayground

Startingnmap（

http:

//www.insecure.org/nmap/

）

Interestingportsonscanme.nmap.org（205.217.153.62）:

（The1663portsscannedbutnotshownbelowareinstate:

filtered）

portSTATESERVICEVERSION

22/tcpopensshOpenSSH3.9p1（protocol1.99）

53/tcpopendomain

70/tcpclosedgopher

80/tcpopenhttpApachehttpd2.0.52（（Fedora））

113/tcpclosedauth

Devicetype:

generalpurpose

Running:

Linux2.4.X|2.5.X|2.6.X

OSdetails:

Linux2.4.7-2.6.11，Linux2.6.0-2.6.11

Uptime33。

908days（sinceThuJul2103:

38:

032005）

Interestingportsonplayground。

nmap。

或者g（192.168.0.40）:

（The1659portsscannedbutnotshownbelowareinstate:

closed）

portSTATESERVICEVERSION

135/tcpopenmsrpcMicrosoftWindowsRPC

139/tcpopennetbios-ssn

389/tcpopenldap?

445/tcpopenmicrosoft-dsMicrosoftWindowsXPmicrosoft-ds

1002/tcpopenwindows-icfw?

1025/tcpopenmsrpcMicrosoftWindowsRPC

1720/tcpopenH.323/Q.931CompTekAquaGateKeeper

5800/tcpopenvnc-httpRealVNC4.0（Resolution400x250;VNCTCPport:

5900）

5900/tcpopenvncVNC（protocol3.8）

MACAddress:

00:

A0:

CC:

63:

85:

4B（Lite-onCommunications）

Devicetype:

generalpurpose

Running:

MicrosoftWindowsNT/2K/XP

OSdetails:

MicrosoftWindowsXPProRC1+throughfinalrelease

ServiceInfo:

OSs:

Windows，WindowsXP

Nmapfinished:

2IPaddresses（2hostsup）scannedin88.392seconds

--------------------------------------------------------------------------------

2.译注

该Nmap参考指南中文版由FeiYang和LeiLi从英文版本翻译而来。

我们希望这将使全世界使用中文的人们更了解Nmap，但我们不能保证该译本和官方的英文版本一样完整，也不能保证同步更新。

它可以在CreativeCommonsAttributionLicense下被修改并重新发布。

3.选项概要

当Nmap不带选项运行时，该选项概要会被输出，最新的版本在这里

http:

//www.insecure.org/nmap/data/nmap.usage.txt

。

它帮助人们记住最常用的选项，但不能替代本手册其余深入的文档，一些晦涩的选项甚至不在这里。

Usage:

nmap[ScanType（s）][Options]{targetspecification}

TARGETSPECIFICATION:

Canpasshostnames,IPaddresses,networks,etc.

Ex:

scanme.nmap.org,192.168.0.1;10.0-255.0-255.1-254

-iL:

Inputfromlistofhosts/networks

-iR:

Chooserandomtargets

--exclude:

Excludehosts/networks

--excludefile:

Excludelistfromfile

HOSTDISCOVERY:

-sL:

ListScan-simplylisttargetstoscan

-sP:

PingScan-gonofurtherthandeterminingifhostisonline

-P0:

Treatallhostsasonline--skiphostdiscovery

-PS/PA/PU[portlist]:

TCPSYN/ACKorUDPdiscoveryprobestogivenports

-PE/PP/PM:

ICMPecho,timestamp,andnetmaskrequestdiscoveryprobes

-n/-R:

NeverdoDNSresolution/Alwaysresolve[default:

sometimesresolve]

SCANTECHNIQUES:

-sS/sT/sA/sW/sM:

TCPSYN/Connect（）/ACK/Window/Maimonscans

-sN/sF/sX:

TCPNull,FIN,andXmasscans

--scanflags:

CustomizeTCPscanflags

-sI:

Idlescan

-sO:

IPprotocolscan

-b:

FTPbouncescan

PORTSPECIFICATIONANDSCANORDER:

-p:

Onlyscanspecifiedports

Ex:

-p22;-p1-65535;-pU:

53,111,137,T:

21-25,80,139,8080

-F:

Fast-Scanonlytheportslistedinthenmap-servicesfile）

-r:

Scanportsconsecutively-don'trandomize

SERVICE/VERSIONDETECTION:

-sV:

Probeopenportstodetermineservice/versioninfo

--version-light:

Limittomostlikelyprobesforfasteridentification

--version-all:

Tryeverysingleprobeforversiondetection

--version-trace:

Showdetailedversionscanactivity（fordebugging）

OSDETECTION:

-O:

EnableOSdetection

--osscan-limit:

LimitOSdetectiontopromisingtargets

--osscan-guess:

GuessOSmoreaggressively

TIMINGANDPERFORMANCE:

-T[0-6]:

Settimingtemplate（higherisfaster）

--min-hostgroup/max-hostgroup:

Parallelhostscangroupsizes

--min-parallelism/max-parallelism:

Probeparallelization

--min_rtt_timeout/max-rtt-timeout/initial-rtt-timeout:

Specifies

proberoundtriptime.

--host-timeout:

Giveupontargetafterthislong

--scan-delay/--max_scan-delay:

Adjustdelaybetweenprobes

FIREWALL/IDSEVASIONANDSPOOFING:

-f;--mtu:

fragmentpackets（optionallyw/givenMTU）

-D:

Cloakascanwithdecoys

-S:

Spoofsourceaddress

-e:

Usespecifiedinterface

-g/--source-port:

Usegivenportnumber

--data-length:

Appendrandomdatatosentpackets

--ttl:

SetIPtime-to-livefield

--spoof-mac:

SpoofyourMACaddress

OUTPUT:

-oN/-oX/-oS/-oG:

Outputscanresultsinnormal,XML,s|:

Outputinthethreemajorformatsatonce

-v:

Increaseverbositylevel（usetwiceformoreeffect）

-d[level]:

Setorincreasedebugginglevel（Upto9ismeaningful）

--packet-trace:

Showallpacketssentandreceived

--iflist:

Printhostinterfacesandroutes（fordebugging）

--append-output:

Appendtoratherthanclobberspecifiedoutputfiles

--resume:

Resumeanabortedscan

--stylesheet:

XSLstylesheettotransformXMLoutputtoHTML

--no_stylesheet:

PreventNmapfromassociatingXSLstylesheetw/XMLoutput

MISC:

-6:

EnableIPv6scanning

-A:

EnablesOSdetectionandVersiondetection

--datadir:

SpecifycustomNmapdatafilelocation

--send-eth/--send-ip:

SendpacketsusingrawethernetframesorIPpackets

--privileged:

Assumethattheuserisfullyprivileged

-V:

Printversionnumber

-h:

Printthishelpsummarypage.

EXAMPLES:

nmap-v-Ascanme.nmap.org

nmap-v-sP192.168.0.0/1610.0.0.0/8

nmap-v-iR10000-P0-p80

4.目标说明

除了选项，所有出现在Nmap命令行上的都被视为对目标主机的说明。

最简单的情况是指定一个目标IP地址或主机名。

有时候您希望扫描整个网络的相邻主机。

为此，Nmap支持CIDR风格的地址。

您可以附加一个/numbit在一个IP地址或主机名后面，Nmap将会扫描所有和该参考IP地址具有numbit相同比特的所有IP地址或主机。

例如，192.168.10.0/24将会扫描192.168.10.0（二进制格式:

11000000101010000000101000000000）和192.168.10.255（二进制格式:

11000000101010000000101011111111）之间的256台主机。

192.168.10.40/24将会做同样的事情。

假设主机scanme.nmap.org的IP地址是205.217.153.62，scanme.nmap.org/16将扫描205.217.0.0和205.217.255.255之间的65,536个IP地址。

所允许的最小值是/1，这将会扫描半个互联网。

最大值是/32，这将会扫描该主机或IP地址，因为所有的比特都固定了。

CIDR标志位很简洁但有时候不够灵活。

例如，您也许想要扫描192.168.0.0/16，但略过任何以.0或者.255结束的IP地址，因为它们通常是广播地址。

Nmap通过八位字节地址范围支持这样的扫描您可以用逗号分开的数字或范围列表为IP地址的每个八位字节指定它的范围。

例如，192.168.0-255.1-254将略过在该范围内以.0和.255结束的地址。

范围不必限于最后的8位：

0-255.0-255.13.37将在整个互联网范围内扫描所有以13.37结束的地址。

这种大范围的扫描对互联网调查研究也许有用。

IPv6地址只能用规范的IPv6地址或主机名指定。

CIDR和八位字节范围不支持IPv6，因为它们对于IPv6几乎没什么用。

Nmap命令行接受多个主机说明，它们不必是相同类型。

命令nmapscanme.nmap.org192.168.0.0/810.0.0，1，3-7.0-255将和您预期的一样执行。

虽然目标通常在命令行指定，下列选项也可用来控制目标的选择：

-iL（从列表中输入）

从inputfilename中读取目标说明。

在命令行输入一堆主机名显得很笨拙，然而经常需要这样。

例如，您的DHCP服务器可能导出10,000个当前租约的列表，而您希望对它们进行扫描。

如果您不是使用未授权的静态IP来定位主机，或许您想要扫描所有IP地址。

只要生成要扫描的主机的列表，用-iL把文件名作为选项传给Nmap。

列表中的项可以是Nmap在命令行上接受的任何格式（IP地址，主机名，CIDR，IPv6，或者八位字节范围）。

每一项必须以一个或多个空格，制表符或换行符分开。

如果您希望Nmap从标准输入而不是实际文件读取列表，您可以用一个连字符（-）作为文件名。

-iR（随机选择目标）

对于互联网范围内的调查和研究，您也许想随机地选择目标。

hostnum选项告诉Nmap生成多少个IP。

不合需要的IP如特定的私有，组播或者未分配的地址自动略过。

选项0意味着永无休止的扫描。

记住，一些网管对于未授权的扫描可能会很感冒并加以抱怨。

使用该选项的后果自负!

如果在某个雨天的下午，您觉得实在无聊，试试这个命令nmap-sS-PS80-iR0-p80随机地找一些网站浏览。

--exclude（排除主机/网络）

如果在您指定的扫描范围有一些主机或网络不是您的目标，那就用该选项加上以逗号分隔的列表排除它们。

该列表用正常的Nmap语法，因此它可以包括主机名，CIDR，八位字节范围等等。

当您希望扫描的网络包含执行关键任务的服务器，已知的对端口扫描反应强烈的系统或者被其它人看管的子网时，这也许有用。

--excludefile（排除文件中的列表）

这和--exclude选项的功能一样，只是所排除的目标是用以换行符，空格，或者制表符分隔的excludefile提供的，而不是在命令行上输入的。

5.主机发现

任何网络探测任务的最初几个步骤之一就是把一组IP范围（有时该范围是巨大的）缩小为一列活动的或者您感兴趣的主机。

扫描每个IP的每个端口很慢，通常也没必要。

当然，什么样的主机令您感兴趣主要依赖于扫描的目的。

网管也许只对运行特定服务的主机感兴趣，而从事安全的人士则可能对一个马桶都感兴趣，只要它有IP地址:

-）。

一个系统管理员也许仅仅使用Ping来定位内网上的主机，而一个外部入侵测试人员则可能绞尽脑汁用各种方法试图突破防火墙的封锁。

由于主机发现的需求五花八门，Nmap提供了一箩筐的选项来定制您的需求。

主机发现有时候也叫做ping扫描，但它远远超越用世人皆知的ping工具发送简单的ICMP回声请求报文。

用户完全可以通过使用列表扫描（-sL）或者通过关闭ping（-P0）跳过ping的步骤，也可以使用多个端口把TPCSYN/ACK，UDP和ICMP任意组合起来玩一玩。

这些探测的目的是获得响应以显示某个IP地址是否是活动的（正在被某主机或者网络设备使用）。

在许多网络上，在给定的时间，往往只有小部分的IP地址是活动的。

这种情况在基于RFC1918的私有地址空间如10.0.0.0/8尤其普遍。

那个网络有16,000,000个IP，但我见过一些使用它的公司连1000台机器都没有。

主机发现能够找到零星分布于IP地址海洋上的那些机器。

如果没有给出主机发现的选项，Nmap就发送一个TCPACK报文到80端口和一个ICMP回声请求到每台目标机器。

一个例外是ARP扫描用于局域网上的任何目标机器。

对于非特权UNIXshell用户，使用connect（）系统调用会发送一个SYN报文而不是ACK这些默认行为和使用-PA-PE选项的效果相同。

扫描局域网时，这种主机发现一般够用了，但是对于安全审核，建议进行更加全面的探测。

-P*选项（用于选择ping的类型）可以被结合使用。

您可以通过使用不同的TCP端口/标志位和ICMP码发送许多探测报文来增加穿透防守严密的防火墙的机会。

另外要注意的是即使您指定了其它-P*选项，ARP发现（-PR）对于局域网上的目标而言是默认行为，因为它总是更快更有效。

下列选项控制主机发现。

-sL（列表扫描）

列表扫描是主机发现的退化形式，它仅仅列出指定网络上的每台主机，不发送任何报文到目标主机。

默认情况下，Nmap仍然对主机进行反向域名解析以获取它们的名字。

简单的主机名能给出的有用信息常常令人惊讶。

例如，是花花公子芝加哥办公室的防火墙。

Nmap最后还会报告IP地址的总数。

列表扫描可以很好的确保您拥有正确的目标IP。

如果主机的域名出乎您的意料，那么就值得进一步检查以防错误地扫描其它组织的网络。

既然只是打印目标主机的列表，像其它一些高级功能如端口扫描，操作系统探测或者Ping扫描的选项就没有了。

如果您希望关闭ping扫描而仍然执行这样的高级功能，请继续阅读关于-P0选项的介绍。

-sP（Ping扫描）

该选项告诉Nmap仅仅进行ping扫描（主机发现），然后打印出对扫描做出响应的那些主机。

没有进一步的测试（如端口扫描或者操作系统探测）。

这比列表扫描更积极，常常用于和列表扫描相同的目的。

它可以得到些许目标网络的信息而不被特别注意到。

对于攻击者来说，了解多少主机正在运行比列表扫描提供的一列IP和主机名往往更有价值。

系统管理员往往也很喜欢这个选项。

它可以很方便地得出网络上有多少