nmap实例教学案例

nmap 实例[From]http://www.insecure.org/nmap/man/zh/index.html下面给出一些实例，简单的、复杂的到深奥的。为更具体，一些例子使用了实际的IP 地址

nmap 实例

[From]http://www.insecure.org/nmap/man/zh/index.html

下面给出一些实例，简单的、复杂的到深奥的。为更具体，一

些例子使用了实际的IP 地址和域名。在这些位置，可以使用你自己网络

的地址/域名替换。注意，扫描其它网络不一定合法，一些网络管理员不愿看到 未申请过的扫描，会产生报怨。因此，先获得允许是最好的办法。

如果是为了测试，scanme.nmap.org

允许被扫描。但仅允许使用Nmap 扫描并禁止测试漏洞或进行DoS 攻击。为 保证带宽，对该主机的扫描每天不要超过12次。如果这个免费扫描服务被 滥用，系统将崩溃而且Nmap 将报告解析

指定的主机名/IP地址失败：scanme.nmap.org 。这些免

费扫描要求也适用于scanme2.nmap.org 、

scanme3.nmap.org 等等，虽然这些

主机目前还不存在。

nmap -v scanme.nmap.org

这个选项扫描主机scanme.nmap.org 中

所有的保留TCP 端口。选项-v 启用细节模式。

nmap -sS -O scanme.nmap.org/24

进行秘密SYN 扫描，对象为主机Saznme 所在的“C 类”网段

的255台主机。同时尝试确定每台工作主机的操作系统类型。因为进行SYN 扫描 和操作系统检测，这个扫描需要有根权限。

nmap -sV -p 22，53，110，143，4564

198.116.0-255.1-127

进行主机列举和TCP 扫描，对象为B 类188.116网段中255个8位子网。这

个测试用于确定系统是否运行了sshd 、DNS 、imapd 或4564端口。如果这些端口 打开，将使用版本检测来确定哪种应用在运行。

nmap -v -iR 100000 -P0 -p 80

随机选择100000台主机扫描是否运行Web 服务器(80端口) 。由起始阶段

发送探测报文来确定主机是否工作非常浪费时间，而且只需探测主机的一个端口，因 此使用-P0禁止对主机列表。

nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG

logs/pb-port80scan.gnmap 216.163.128.20/20

扫描4096个IP 地址，查找Web 服务器(不ping) ，将结果以Grep 和XML 格式保存。

host -l company.com | cut -d -f 4 | nmap -v -iL

-

进行DNS 区域传输，以发现company.com 中的主机，然后将IP 地址提供给

Nmap 。上述命令用于GNU/Linux -- 其它系统进行区域传输时有不同的命令。

========================================================

主机发现

任何网络探测任务的最初几个步骤之一就是把一组IP 范围(有时该范围是巨大的) 缩小为 一列活动的或者您感兴趣的主机。扫描每个IP 的每个端口很慢，通常也没必要。

当然，什么样的主机令您感兴趣主要依赖于扫描的目的。网管也许只对运行特定服务的 主机感兴趣，而从事安全的人士则可能对一个马桶都感兴趣，只要它有IP 地址:-)。一个系统管理员

也许仅仅使用Ping 来定位内网上的主机，而一个外部入侵测试人员则可能绞尽脑汁用各种方法试图

突破防火墙的封锁。

由于主机发现的需求五花八门，Nmap 提供了一箩筐的选项来定制您的需求。

主机发现有时候也叫做ping 扫描，但它远远超越用世人皆知的ping 工具

发送简单的ICMP 回声请求报文。用户完全可以通过使用列表扫描(-sL)或者

通过关闭ping (-P0)跳过ping 的步骤，也可以使用多个端口把TPC SYN/ACK，UDP 和ICMP 任意组合起来玩一玩。这些探测的目的是获得响应以显示某个IP 地址是否是活动的(正在被某

主机或者网络设备使用) 。 在许多网络上，在给定的时间，往往只有小部分的IP 地址是活动的。

这种情况在基于RFC1918的私有地址空间如10.0.0.0/8尤其普遍。

那个网络有16,000,000个IP ，但我见过一些使用它的公司连1000台机器都没有。 主机发现能够找到零星分布于IP 地址海洋上的那些机器。

如果没有给出主机发现的选项，Nmap

就发送一个TCP ACK报文到80端口和一个ICMP 回声请求到每台目标机器。

一个例外是ARP 扫描用于局域网上的任何目标机器。对于非特权UNIX

shell 用户，使用connect()系统调用会发送一个SYN 报文而不是ACK

这些默认行为和使用-PA -PE选项的效果相同。

扫描局域网时，这种主机发现一般够用了，但是对于安全审核，建议进行

更加全面的探测。

-P*选项(用于选择

ping 的类型) 可以被结合使用。 您可以通过使用不同的TCP 端口/标志位和ICMP 码发送许多探测报文

来增加穿透防守严密的防火墙的机会。另外要注意的是即使您指定了其它

-P*选项，ARP 发现(-PR)对于局域网上的

目标而言是默认行为，因为它总是更快更有效。

下列选项控制主机发现。

-sL (列表扫描)

列表扫描是主机发现的退化形式，它仅仅列出指定网络上的每台主机，

不发送任何报文到目标主机。默认情况下，Nmap 仍然对主机进行反向域名解析以获取 它们的名字。简单的主机名能给出的有用信息常常令人惊讶。例如，

fw.chi.playboy.com 是花花公子芝加哥办公室的

防火墙。Nmap 最后还会报告IP 地址的总数。列表扫描可以很好的确保您拥有正确的目标IP 。

如果主机的域名出乎您的意料，那么就值得进一步检查以防错误地扫描其它组织的网络。 既然只是打印目标主机的列表，像其它一些高级功能如端口扫描，操作系统探测或者Ping 扫描

的选项就没有了。如果您希望关闭ping 扫描而仍然执行这样的高级功能，请继续阅读关于 -P0选项的介绍。

-sP (Ping扫描)

该选项告诉Nmap 仅仅

进行ping 扫描 (主机发现) ，然后打印出对扫描做出响应的那些主机。

没有进一步的测试 (如端口扫描或者操作系统探测) 。 这比列表扫描更积极，常常用于 和列表扫描相同的目的。它可以得到些许目标网络的信息而不被特别注意到。

对于攻击者来说，了解多少主机正在运行比列表扫描提供的一列IP 和主机名往往更有价值。 系统管理员往往也很喜欢这个选项。 它可以很方便地得出

网络上有多少机器正在运行或者监视服务器是否正常运行。常常有人称它为

本篇文章来源于 黑软基地-中国最大的黑客软件安全教程下载站！（技术学院） 原文链接：http://www.hackvip.com/article/sort0136/sort0186/Hackvip_146187.html