NMAP
注:软件很是区分大小写而在记录时可能没注意所注意在输入命令时可以留一下。
扫描IP后面加一个/24如:192.168.10.0/24则表示扫描192.168.10.0到192.168.10.255之间的256台主机。/16怎表示扫描192.168.0.0到192.168.255.255之间的65536个主机。加/1怎会扫描半个互联网最大值是/32最小值/1.
其实也可以写成1-200.168.10.10(但是ipv6不可以这样只能规范的一点点的写)
-iL(inputfilename)就是把要扫描的主机放到文件中有-iL来读取可以使ip地址,主机名,CIDRIPV6等。但是每一项要用制表符或至少一个空格分开。
-iR<hostnum>命令是输入num即告诉声称多少ip随机的。私有的组播的或未分配的会自动略过。-iR0 表示无休止的扫描。
如-sS -PS80 -iR 0 -P80
-P*选项是用来指定ping的类型可以被结合使用。
-sL(列表扫描)****************
-sP(ping扫描)
仅仅是ping扫描打印出做响应的主机没有进一步测试。
所以可以得到目标的网络信息而不被注意。可以和除了-P0以外的-P*命令结合使用。
-P0(无ping)*********************
-PS(TCPSYNping)
发送设置了SYN标志位的空TCP报文。默认端口为80可以用逗号分隔要扫的端口例:-PS22,23,25,80,135,139,3389,
-PA(TCP ACKPing)默认端口为80可以用逗号分隔要扫的端口。
-PA22,23,25,80,135,139,3389,(注意这里的-PA后不要加空格,还有最后那个端口要加逗号。上面的-PS命令也是要求这样。逗号一定是英文的逗号。。。)
-PU(UDPping)
端口默认是31338
优点是可以穿过只过滤TCP的防火墙和过滤器。
-PE;-PP;-PM (ICMP PingTypes)
Nmap也可以发送世人皆知的ping程序所发的报文。-PE打开回声请求功能,时间戳查询-PP地址掩码查询-PM。时间戳响应(ICMP 代码14 )或者地址掩码响应(代码18)表示主机在运行。
-PR(ARPPing)
最常见的Nmap使用场景之一是扫描一个以太局域网。
-n(不用域名解析)
告诉Nmap不用对他发现的活动ip地址进行反向域名解析。既然DNS一般计较慢这样可以快些。
-R(对所有目标解析域名)
告诉Nmap不用对他发现的活动ip地址进行反向域名解析。
nmap<target>
这个简单的命令扫描主机上的超过1660个TCP端口并探测他们的状态
有6种:open(开放的)、closed关闭的、filtered被过滤的、unfiltered未被过滤的、open|filtered开放的或者被过滤的、closed|unfiltered关闭的或者未被过滤的。
-sS (TCPSYN扫描)
SYN扫描执行快,不完成TCP连接
-sT(TCPconnect()扫描)
-sU(UDP扫描)
-sN -sF -sX(TCP Null,FIN,andXmas扫描)
-sN Null扫描
-sF FIN扫描
-sX Xmas扫描
-sA (TCPACK扫描)
他不能确定是open还是open|filtered它用于发现防火墙规则,确定他们是有状态的还是无状态的哪些端口是被过滤的。
-sM (TCPMaimon扫描)
-sI(Idlescan)
这种高级的扫描方法允许对目标进行真正的TCP端口忙扫描(意味着没有报文从你的真实IP地址发送到目标)。默认端口80.
-sO (IP协议扫描)
可以让你知道目标机支持哪些IP协议(TCO,ICMP,IGMPM等)(其实他不算端口扫描它遍历IP协议号而不是TCP或者UDP端口号。)
-b<ftp relayhost> (FTP弹跳扫描)
许多服务器已经停止支持他了。。。
-p <portranges>(只扫描指定的端口)
单个端口和用-连接的都可以如:1-1023可以在端口前加上T(TCP);U(UDP)如:-p U:53,111,127,T:21-25,80,139,8080 同时你必须指定一个扫描类型如-sU (-sT , -sF , -sT)
-F(快速(有限的端口)扫描)
-r(不要按随机顺序扫描端口)
默认情况下Nmap按随机顺序扫描端口-r即是按顺序扫描端口
-sV (版本探测)
-O(启用操作系统检测)
用-A可以同时打开操作系统探测和版本探测
--allports(不为版本探测排除任何端口)
--version-intensity<intensity>(设置版本扫描强度)
强度值在0-9之间 数值越高越准确但是花费的时间越长。
--version-light(打开轻量级模式)
--version-intensity 2的方便的别名
--version-all尝试每个测试
--version-trace跟踪版本的扫描活动
-sR(RPC扫描)
-sV探测出的信息比他全面的多所以一般不用。
-T<Paranoid|Sneaky|Polite|Normal|Aggressive|Insane>(设置时间模版)
使用时用-T和0-5数字或名称,Paranoid-0,Sneaky-1,Polite-2,
Normal-3,Aggressive-4,Insane-5、前两种用于躲避IDS,Polite降低了扫描速度已使用更少的带宽和目标主机资源。Normal是未被优化的、Aggressive是假设用户具有和实际可靠的网络从而加速扫描。Insane是假设用户具有特别快的网络或者愿意获得速度为牺牲准确性
-f(报文分段);--mtu(使用指定的MTU)
-f要求扫描时使用小的IP包分段。而--mtu可以自定义偏移的大小偏移量应是8的倍数。
-D<decoy1[,decoy2][,ME],...>(使用诱饵隐蔽扫描)
用逗号分隔每个诱饵主机也可以使用自己真实IP做诱饵,这是使用的是ME选项。从而达到使IDS不知道哪个IP在扫描以及哪些不是诱饵。如果在第六个位置或更后的位置使用ME选项一些常用的端口扫描器就不会报告这个真实的IP。如果不用ME选项NMAP会随机将ME放在个位置上
注意:有二主机必须在工作状态否则会导致目标主机的SYN洪水攻击也可以使用IP地址代替主机名。(这样被诱骗的网络就不能再名字服务器日志中发现)
幼儿可以使用初始的PING扫描(ICMP,SYN,ACK)或真正的端口扫描,也可以用于-O即操作系统检测。而版本或者TCP扫描诱饵无效
-S<IP_Address>(源地址哄骗)
某些情况下Nmap不知道你的源地址(这是Nmap会给出提示)此时使用-S命令说明所需发送报的接口IP地址。
另一个用处是哄骗性扫描是目标认为是另一个地址在扫描他。-e或-P0通常在此时使用。
-e<interface>(使用指定的接口)
--spoof-mac<mac address,prefix,or vendor name>(MAC 地址哄骗)
要求 Nmap 在发送原以太网帧时使用指定的 MAC地址,这个选项隐含了 --send-eth 选 项 ,以保证 Nmap 真正发送以太网包。MAC 地址有几种格式。如果简单地使用字符串“0”,Nmap选择一个完全随机的 MAC地址。如果给定的字符品是一个16进制偶数(使用:分隔),Nmap将使用这个 MAC 地址。 如果是小于12的16进制数字,Nmap会随机填充剩下的6个 字 节 。如果参数不是0或16进 制字符串,Nmap 将通过 nmap-mac-prefixes
查找厂商的名称(大小写区分),如果找到匹配,Nmap 将使用厂商的 OUI(3字节前缀),然后随机填充剩余的3个节字。正确的--spoof-mac 参数有,
Apple, 0,01:02:03:04:05:06,deadbeefcafe,0020F2, 和、Cisco.
输出:
-oN<filespec> (标准输出)
要求将标准输出直接写入指定的文件。如上所述,这个格式与交互式输出 略有不同。
-oX<filespec> (XML 输出)
要求 XML 输出直接写入指定 的文件。Nmap包含了一个文档类型定义(DTD),使 XML 解析器有效地 进行 XML 输出。这主要是为了程序应用,同时也可以协助人工解释 Nmap的XML 输出。
-oA<basename> (输出至所有格式)
为使用方便,利用-oA<basename>选项可将扫描结果以标准格式、XML 格式和 Grep 格式一次性输出。分别存放在<basename>.nmap,<basename>.xml和 <basename>.gnmap 文件中。也可以在文件名前指定目录名,如在 UNIX 中,使用~/nmaplogs/foocorp/, 在 Window中,使用 c:hackingscoon Windows。
-v(提高输出信息的详细度)
-d [level](提高或设置调试级别)
当详细模式也不能为用户提供足够的数据时,使用调试可以得到更多的信息。使用细节选项(-v)时,可启用命令行参数(-d),多次使用可提高调试级别。也可在-d后面使用参数设置调试级别。例如,-d9设定级别9。这是最高的级别,将会产生上千行的输出,除非只对很少的
端口和目标进行简单扫描。
--iflist(列举接口和路由)
输出 Nmap 检测到的接口列表和系统路由,用于调试路由问题或设备描述失误(如 Nmap 把PPP 连接当作以太网对待)
