关于nmap的一些参数的详细说明

TIP:写这篇文章主要是用来加深记忆，因为每次都忘记

=====================================

主机发现的一些参数

-sP(Ping扫描)

该选项告诉Nmap仅仅 进行ping扫描 (主机发现)，-sP选项在默认情况下， 发送一个ICMP回声请求和一个TCP 文到80端口

-P0 (无ping)

用-P0禁止 主机发现会使Nmap对每一个指定的目标IP地址 进行所要求的扫描。所以如果在命令行指定一 个B类目标地址空间(/16)， 所有 65,536 个IP地址都会被扫描

-PS [portlist] (TCP SYN Ping)

该选项发送一个设置了SYN标志位的空TCP 文，SYN标志位告诉对方您正试图建立一个连接。 通常目标端口是关闭的，一个RST (复位) 包会发回来。 如果碰巧端口是开放的，目标会进行TCP三步握手的第二步，回应 一个SYN/ACK TCP 文。然后运行Nmap的机器则会扼杀这个正在建立的连接， 发送一个RST而非ACK 文，否则，一个完全的连接将会建立。 RST 文是运行Nmap的机器而不是Nmap本身响应的，因为它对收到的SYN/ACK感到很意外。

-PA [portlist] (TCP ACK Ping)

TCP ACK ping和刚才讨论的SYN ping相当类似。 也许您已经猜到了，区别就是设置TCP的ACK标志位而不是SYN标志位。 ACK 文表示确认一个建立连接的尝试，但该连接尚未完全建立。 所以远程主机应该总是回应一个RST 文，因为它们并没有发出过连接请求到运行Nmap的机器，如果它们正在运行的话。

提供SYN和ACK两种ping探测的原因是使通过防火墙的机会尽可能大。 许多管理员会配置他们的路由器或者其它简单的防火墙来封锁SYN 文，除非 连接目标是那些公开的服务器像公司 站或者邮件服务器。 这可以阻止其它进入组织的连接，同时也允许用户访问互联 。 这种无状态的方法几乎不占用防火墙/路由器的资源，因而被硬件和软件过滤器 广泛支持。Linux的Netfilter/iptables 防火墙软件提供方便的 –syn选项来实现这种无状态的方法。 当这样的无状态防火墙规则存在时，发送到关闭目标端口的SYNping探测 (-PS) 很可能被封锁。这种情况下，ACK探测格外有闪光点，因为它正好利用了 这样的规则。

-PU [portlist] (UDP Ping)

还有一个主机发现的选项是UDP ping，它发送一个空的(除非指定了–data-length UDP 文到给定的端口。如果目标机器的端口是关闭的，UDP探测应该马上得到一个ICMP端口无法到达的回应 文。 这对于Nmap意味着该机器正在运行。 许多其它类型的ICMP错误，像主机/ 络无法到达或者TTL超时则表示down掉的或者不可到达的主机。 没有回应也被这样解释。如果到达一个开放的端口，大部分服务仅仅忽略这个 空 文而不做任何回应。

该扫描类型的主要优势是它可以穿越只过滤TCP的防火墙和过滤器

-PR (ARP Ping)

最常见的Nmap使用场景之一是扫描一个以太局域 ，

端口扫描技术

-sS (TCP SYN扫描)

SYN扫描作为默认的也是最受欢迎的扫描选项，是有充分理由的。 它执行得很快，在一个没有入侵防火墙的快速 络上，每秒钟可以扫描数千个 端口。SYN扫描相对来说不张扬，不易被注意到，因为它从来不完成TCP连接。它常常被称为半开放扫描， 因为它不打开一个完全的TCP连接。它发送一个SYN 文， 就像您真的要打开一个连接，然后等待响应。 SYN/ACK表示端口在监听 (开放)，而 RST (复位)表示没有监听者。如果数次重发后仍没响应， 该端口就被标记为被过滤。

-sT (TCP connect()扫描)

当SYN扫描不能用时，CP Connect()扫描就是默认的TCP扫描

 -sU (UDP扫描)

UDP扫描发送空的(没有数据)UDP 头到每个目标端口。 如果返回ICMP端口不可到达错误(类型3，代码3)， 该端口是closed(关闭的)。 其它ICMP不可到达错误(类型3， 代码1，2，9，10，或者13)表明该端口是filtered(被过滤的)。 偶尔地，某服务会响应一个UDP 文，证明该端口是open(开放的)。如果几次重试后还没有响应，该端口就被认为是 open|filtered(开放|被过滤的)。 这意味着该端口可能是开放的，也可能包过滤器正在封锁通信。 可以用版本扫描(-sV)帮助区分真正的开放端口和被过滤的端口。

============================================================

-sV (版本探测)

打开版本探测。 您也可以用-A同时打开操作系统探测和版本探测。

-O (启用操作系统检测)

防火墙/IDS躲避和哄骗

 -f ( 文分段); –mtu (使用指定的MTU)

-f选项要求扫描时(包挺ping扫描)使用 小的IP包分段。其思路是将TCP头分段在几个包中，使得包过滤器、 IDS以及其它工具的检测更加困难。必须小 心使用这个选项，有些系 统在处理这些小包时存在问题。

 -D (使用诱饵隐蔽扫描)

注意，作为诱饵的主机须在工作状态，否则会导致目标主机的SYN洪水攻击

-S (源地址哄骗)

在某些情况下，Nmap可能无法确定你的源地址(如果这样，Nmap会给出提示)。此时，使用-S选项并说明所需发送包的接口IP地址。这个标志的另一个用处是哄骗性的扫描，使得目标认为是另 一个地址在进行扫描。可以想象某一个竞争对手在不断扫描某个公司！ -e选项常在这种情况下使用，也可采用-P0选项。