Nmap中文手册浅析

索引目录:

Nmap五大基本功能

Nmap -h(中文手册)

目标说明

主机发现

端口扫描技术

端口说明和扫描顺序

服务和版本检测

操作系统检测

时间和性能

防火墙/IDS躲避和欺骗

输出

其它选项


常用命令总结

0x01:判断目标主机是否在线

(1)单纯扫描主机是否在线,不查询端口
(2)扫描主机是否在线其它方法,(会查询端口)
(3)不隐蔽+扫描一个 段内开放指定端口的主机

0x02:确定目标主机存活后,扫描目标系统信息,端口信息

(1)使用TCP SYN扫描最常用的端口
(2)使用TCP空扫描以骗过防火墙
(3)使用TCP SYN扫描远程主机上特定的端口
(4)暴力扫描(容易被防火请和IDS发现)
(5)隐蔽+端口信息+检测操作系统版本与其信息+详细检测过程
(6)还有更暴力的(就是扫描速度很慢)
(7)不考虑防火墙和IDS的情况下,无敌扫描(这里-v参数我就不使用了,你可以添加~)

Nmap是一个 络连接端扫描软件,用来扫描 上电脑开放的端口与其服务、目标计算机的操作系统等等


Nmap五大基本功能

(1)主机探测(判断目标主机是否在线)
(2)端口扫描(判断目标开放了哪些端口与其提供的服务)
(3)版本检测(判断目标主机的系统版本)
(4)系统检测(判断目标主机的系统信息)
(5)支持探测脚本的编写(自己编写脚本)

渗透测试在前期进行信息收集时:

  • 首先判断目标主机是否在线
  • 其次对目标系统进行端口扫描,查看它开放了哪些开端口与服务
  • 最后检测目标系统的版本与其相关敏感信息

Nmap -h(中文手册)

注:这里内 扫描时,kali(IP:192.168.1.134),目标系统(IP:192.168.1.110)


目标说明

扫描单一的一个主机,命令如下:


扫描一个范围内的目标,如下:


主机发现

-sL(列表扫描)用处不大

列表扫描是主机发现的退化形式,它仅仅列出指定 络上的每台主机,不发送任何 文到目标主机。默认情况下,Nmap仍然对主机进行反向域名解析以获取它们的名字。通俗点说,该参数就是获取目标IP与其主机名的。 “`b nmap -sL www.baidu.com “` ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190610211800395.png)


-sP(Ping扫描)

该选项告诉Nmap仅仅进行ping扫描(主机发现),然后打印出对扫描做出响应的那些主机。没有进一步的测试(如端口扫描或者操作系统探测) -sP选项在默认情况下,发送一个ICMP回声请求和一个TCP 文到80端口 -sP选项可以和除-P0之外的任何发现探测类型-P *选项结合使用以达到更大的灵活性 “`b nmap -sP 192.168.1.110 “` ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190610212627872.png)


-P0(无ping)

Nmap中文手册浅析

-PS [portlist](TCP SYN Ping)
该选项发送一个设置了SYN标志位的空TCP 文。默认目的端口为80,可以指定一个以逗 分隔的端口列表(如-PS22,23,25,80,113,1050,35000),在这种情况下,每个端口会被并发地扫描。


-PA [portlist](TCP ACK Ping)
TCP ACK ping和SYN ping相当类似。区别就是设置TCP的ACK标志位而不是SYN标志位。ACK 文表示确认一个建立连接的尝试,但该连接尚未完全建立。
提供SYN和ACK两种ping探测的原因是使通过防火墙的机会尽可能大,SYN探测更有可能用于这样的系统,由于没头没脑的ACK 文通常会被识别成伪造的而丢弃。解决这个两难的方法是通过即指定-PS又指定-PA来即发送SYN又发送ACK。


-PU [portlist](UDP Ping)
该扫描类型的主要优势是它可以穿越只过滤TCP的防火墙和过滤器


-PE; -PP; -PM(ICMP Ping类型)


-PR(ARP Ping)
最常见的Nmap使用场景之一是扫描一个以太局域


-n(Nmap 永不对它发现的活动IP地址进行反向域名解析)


-R(Nmap 永远对目标IP地址作反向域名解析,一般只有当发现机器正在运行时才进行这项操作)


–system-dns(使用系统域名解析器)
如果您希望使用系统自带的解析器,就指定该选项,系统解析器总是用于IPv6的扫描。


端口扫描技术

-sS(TCP SYN扫描)

SYN扫描作为默认的也是最受欢迎的扫描选项,是有充分理由的。它执行得很快,在一个没有入侵防火墙的快速 络上,每秒钟可以扫描数千个端口.SYN扫描相对来说不张扬,不易被注意到,因为它从来不完成TCP连接。
它常常被称为半开放扫描,因为它不打开一个完全的TCP连接。
如果数次重发后仍没响应,该端口就被标记为被过滤。如果收到ICMP不可到达错误(类型3,代码1,2,3,9, 10,或者13),该端口也被标记为被过滤。


-sT(TCP connect()扫描)


-sU(UDP扫描)


-sN; -sF; -sX(TCP Null,FIN和Xmas扫描)


空扫描(-sN)
不设置任何标志位(TCP标志头是0)

FIN扫描(-sF)
只设置TCP FIN标志位

圣诞扫描(-sX)
设置FIN,PSH,URG和标志位,就像点亮圣诞树上所有的灯一样

这些扫描的关键优势是它们能躲过一些无状态防火墙和 文过滤路由器。另一个优势是这些扫描类型甚至比SYN扫描还要隐秘一些。但是别依赖它 – 多数现代的IDS产品可以发现它们。这些扫描的另一个不足是它们不能判断哪些是(开放的)端口和一些特定的过滤(被过滤的)端口,从而返回open | filtered(开放或者被过滤的)。


-sA(TCP ACK扫描)
这种扫描与目前为止讨论的其它扫描的不同之处在于它不能确定open(开放的)或者open | filtered(开放或者过滤的))端口。它用于发现防火墙规则,确定它们是有状态的还是无状态的,哪些端口是被过滤的。


-sW(TCP窗口扫描)
如果大部分被扫描的端口是关闭的,而一些常见的端口(如22,25,53)是过滤的,该系统就非常可疑了。偶尔地,系统甚至会显示恰恰相反的行为。如果您的扫描显示1000个开放的端口和3个关闭的或者被过滤的端口,那么那3个很可能也是开放的端口。


-sM(TCP Maimon扫描)
这项技术和Null,FIN,以及Xmas扫描完全一样,除了探测 文是FIN / ACK。


–scanflags(定制的TCP扫描)
scanflags选项允许您通过指定任意TCP标志位来设计您自己的扫描。躲开那些仅靠本手册添加规则的入侵检测系统。


-sI (Idlescan)
这种高级的扫描方法允许对目标进行真正的TCP端口盲扫(意味着没有 文从您的真实IP地址发送到目标)
除了极端隐蔽(由于它不从真实IP地址发送任何 文),该扫描类型可以建立机器间的基于IP的信任关系。
如果您在IPID改变希望探测zombie上的特定端口,您可以在zombie主机后加上一个冒 和端口 。否则Nmap会使用默认端口(80)。


-sO(IP协议扫描)
IP协议扫描可以让您确定目标机支持哪些IP协议(TCP,ICMP,IGMP,等等)。


-b (FTP弹跳扫描)
果您的目标是绕过防火墙,扫描目标 络上的开放的21端口(或者甚至任何ftp服务,如果您用本本探测扫描所有端口),然后对每个尝试弹跳扫描,Nmap会告诉您该主机脆弱与否。


端口说明和扫描顺序

-p (只扫描指定的端口)

该选项指明您想扫描的端口,覆盖默认值。
当既扫描TCP端口又扫描UDP端口时,您可以通过在端口 前加上T:或者U:指定协议。协议限定符一直有效您直到指定另一个。例如,参数-p U:53,111,137,T:21-25,80,139,8080将扫描UDP端口53,111和137,同时扫描列出TCP端口。注意,要既扫描UDP又扫描TCP,您必须指定-sU,以及至少一个TCP扫描类型(如-sS,-sF,或者-sT)。


-F(快速(有限的端口)扫描)


-r(不要按随机顺序扫描端口)
默认情况下,Nmap按随机顺序扫描端口(除了出于效率的考虑,常用的端口前移)。你也可以指定-r来顺序端口扫描。


服务和版本检测

-sV(版本探测)

打开版本探测。您也可以用-A同时打开操作系统探测和版本探测。 “`b nmap -sV 192.168.1.110 “`


-allports(不为版本探测排除任何端口)
默认情况下,Nmap版本探测会跳过9100 TCP端口,因为一些打印机简单地打印送到该端口的任何数据,这回导致数十页HTTP get请求,二进制SSL会话请求等等被打印出来。


-version-intensity (设置版本扫描强度)

当进行版本扫描(-sV)时,nmap发送一系列探测 文,每个 文都被赋予一个1到9之间的值。 在0和9之间。默认是7 “`b nmap -sV -version-intensity 9 192.168.1.110 “`


–version-light(打开轻量级模式)
这是–version-intensity 2的方便的别名。轻量级模式使版本扫描快许多,但它识别服务的可能性也略微小一点。


–version-all(尝试每个探测)
–version-intensity 9的别名,保证对每个端口尝试每个探测 文。


–version-trace(跟踪版本扫描活动)
这导致Nmap打印出详细的关于正在进行的扫描的调试信息。


-sR(RPC扫描)-sV包括它并且全面得多,-sR很少被需要


操作系统检测

-O(启用操作系统检测)
也可以使用-A来同时启用操作系统检测和版本检测。


–osscan-limit(针对指定的目标进行操作系统检测)
如果发现一个打开和关闭的TCP端口时,操作系统检测会更有效。采用这个选项,Nmap只对满足这个条件的主机进行操作系统检测,这样可以节约时间,特别在使用-P0扫描多个主机时。这个选项仅在使用-O或-A进行操作系统检测时起作用。


–osscan猜测/ –fuzzy(推测操作系统检测结果)
当Nmap无法确定所检测的操作系统时,会尽可能地提供最相近的匹配,Nmap默认进行这种匹配,使用上述任一个选项使得Nmap的推测更加有效。


时间和性能

–min-hostgroup / –max-hostgroup (调整并行扫描组的大小)


–min-parallelism / –max-parallelism (调整探测 文的并行度)


–min-rtt-timeout / – max-rtt-timeout / – 初始 – rtt-timeout (调整探测 文超时)


–host-timeout (放弃低速目标主机)


–scan-delay / –max-scan-delay (调整探测 文的时间间隔)


-T (设置时间模板)


防火墙/ IDS逃脱和欺骗

-f( 文分段)/ –mtu(使用指定的MTU)
该选项要求扫描时(包挺ping扫描)使用小的IP包分段


-D (使用诱饵隐蔽扫描)
这是一种常用的隐藏自身IP地址的有效技术


-S (源地址哄骗)
这个标志的另一个用处是哄骗性的扫描,使得目标认为是另一个地址在进行扫描。可以想象某一个竞争对手在不断扫描某个公司!-e选项常在这种情况下使用,也可采用-P0选项。


-e (使用指定的接口)
告诉Nmap可以进行自动检测,如果检测不出会给出提示


–source-port / -g (源端口哄骗)


–data-length (发送 文时附加随机数据

声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2019年5月10日
下一篇 2019年5月11日

相关推荐