nmap图形界面扫描命令（运维命令行扫描工具Nmap的使用须知）

强大的命令行扫描工具Nmap前言

系统管理员使用Nmap查看一个大的网络系统有哪些主机，以及其上运行了何种服务。它支持多种协议的扫描，如UDP、TCP connect（）、TCP SYN（half open）、ftp proxy（bounce attack）、Reverse-ident、ICMP（ping sweep）、FIN、ACK sweep、Xmas Tree、SYN sweep和Null扫描等。Nmap还提供了一些实用的功能，比如通过TCP/IP来甄别操作系统的类型、秘密扫描、动态延迟和重发、平行扫描，通过并行的ping侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择及端口的描述。它的扫描功能异常强大，以至于人们叫它扫描之王。

1、安装Nmap

安装Nmap要用到一个名为“Windows包捕获库”的驱动程序WinPcap——如果你经常从网上下载流媒体电影，可能已经很熟悉这个驱动程序了——某些流媒体电影的地址是加密的，侦测这些电影的真实地址就要用到WinPcap。WinPcap的作用是帮助调用程序（即这里的Nmap）捕获通过网卡传输的原始数据。WinPcap的最新版本在http：//netgroup-serv.polito.it/winpcap上可以下载到，可支持Windows全系列操作系统，下载得到的是一个执行文件，双击安装，逐步确认使用默认设置就可以了，安装好之后需要重新启动。除了命令行版本之外，insecure还提供了一个带GUI的Nmap版本。和其他常见的Windows软件一样，GUI版本需要安装，该版本的功能基本上和命令行版本一样，鉴于许多人更喜欢用命令行版本，本文后面的说明就以命令行版本为主。而在CentOS 7.4 x86_64下安装Nmap就简单多了，直接用如下命令即可：

yum –y intall nmap

2.常用的扫描类型

解开Nmap命令行版的压缩包之后，进入Windows的命令控制台，再转到安装Nmap的目录（如果经常要用Nmap，最好把它的路径加入到PATH环境变量中）。不带任何命令行参数运行Nmap，Nmap显示出命令语法，Linux下是nmaphelp（以下命令行操作均适用于CentOS、FreeBSD和Windows系列）。

下面是Nmap支持的4种最基本的扫描方式：

• TCP connect（）端口扫描（-sT参数、-sP用于扫描整个局域网段）。

• TCP同步（SYN）端口扫描（-sS参数）。

• UDP端口扫描（-sU参数）。

• TCP ACK扫描（-sA参数）。

TCP SYN扫描不太好理解，但如果将它与TCP connect（）扫描进行比较，就很容易可以看出这种扫描方式的特点。在TCP connect（）扫描中，扫描器利用操作系统本身的系统调用打开一个完整的TCP连接，也就是说，扫描器打开了两个主机之间的完整握手过程（SYN、SYN-ACK和ACK）。一次完整执行的握手过程表明远程主机端口是打开的。TCP SYN扫描创建的是半打开的连接，它与TCP connect（）扫描的不同之处在于，TCP SYN扫描发送的是复位标记（RST）而不是结束ACK标记（即SYN、SYN-ACK或RST）：如果远程主机正在监听且端口是打开的，则远程主机用SYN-ACK应答，Nmap发送一个RST；如果远程主机的端口是关闭的，则它的应答将是RST，此时Nmap转入下一个端口。TCP SYN的扫描速度要超过TCP connect（）扫描。如果采用默认计时选项，在LAN环境下扫描一个主机，ping扫描耗时不到10秒，TCP SYN扫描需要大约13秒，而TCP connect（）扫描耗时最多，大约需要7分钟。需要说明的是，TCP SYN扫描又叫隐蔽扫描，扫描时可隐藏自身IP，因为它很少在目标机上留下记录，三次握手的过程从来都不会完全实现。

3.命令行参数说明

Nmap支持丰富、灵活的命令行参数。例如，如果要扫描192.168.7网络，可以用192.168.7.x/24或192.168.7.0-255的形式指定IP地址的范围。指定端口范围使用-p参数，如果不指定要扫描的端口，Nmap默认扫描从1到1024再加上nmap-services列出的端口，namp-sS-O 192.168.0.1这样的命令可以对此主机进行操作系统识别。

如果要查看Nmap运行的详细过程，只需要启用verbose模式即可，加上-v参数，或者加上-vv参数可获得更加详细的信息，命令如下所示：

[root@test ~]# nmap -sS 192.168.5.1-255 -p 20,22,53-110,3000 -v

Starting Nmap 6.40 ( nmap ) at 2018-02-03 14:22 CST

Initiating ARP Ping Scan at 14:22

Scanning 254 hosts [1 port/host]

Completed ARP Ping Scan at 14:22, 1.91s elapsed (254 total hosts)

Initiating Parallel DNS resolution of 254 hosts. at 14:22

Completed Parallel DNS resolution of 254 hosts. at 14:22, 0.03s elapsed

Nmap scan report for 192.168.5.1 [host down]

Nmap scan report for 192.168.5.2 [host down]

Nmap scan report for 192.168.5.3 [host down]

Nmap scan report for 192.168.5.4 [host down]

Nmap scan report for 192.168.5.5 [host down]

Nmap scan report for 192.168.5.6 [host down]

Nmap scan report for 192.168.5.7 [host down]

Nmap scan report for 192.168.5.8 [host down]

...

Nmap scan report for 192.168.5.255 [host down]

Initiating Parallel DNS resolution of 1 host. at 14:22

Completed Parallel DNS resolution of 1 host. at 14:22, 0.03s elapsed

Initiating SYN Stealth Scan at 14:22

Scanning 192.168.5.9 [61 ports]

Increasing send delay for 192.168.5.9 from 0 to 5 due to 11 out of 22 dropped probes since last increase.

Discovered open port 22/tcp on 192.168.5.9

Completed SYN Stealth Scan at 14:22, 3.06s elapsed (61 total ports)

Nmap scan report for 192.168.5.9

Host is up (0.037s latency).

Not shown: 60 closed ports

PORT STATE SERVICE

22/tcp open ssh

MAC Address: FA:16:3E:5A:A7:58 (Unknown)

Initiating SYN Stealth Scan at 14:22

Scanning 192.168.5.95 [61 ports]

Discovered open port 22/tcp on 192.168.5.95

Completed SYN Stealth Scan at 14:22, 0.00s elapsed (61 total ports)

Nmap scan report for 192.168.5.95

Host is up (0.0000030s latency).

Not shown: 60 closed ports

PORT STATE SERVICE

22/tcp open ssh

Read data files from: /usr/bin/../share/nmap

Nmap done: 255 IP addresses (2 hosts up) scanned in 5.07 seconds

Raw packets sent: 690 (22.232KB) | Rcvd: 221 (9.068KB)

[root@test ~]#

nmap -sS 192.168.5.95 -p 22 -v

这表示执行一次TCP SYN扫描，启用verbose模式，要扫描的网络是192.168.5，检测20、22、53到110及30000以上的端口（指定端口清单时中间不要插入空格）。再举一个例子：

nmap -sS 192.168.5.1/24 -p 80

它将扫描192.168.7子网，查找在80端口监听的服务器（通常是Web服务器）。

[root@test ~]# nmap -sS 192.168.5.1/24 -p 80

Starting Nmap 6.40 ( nmap ) at 2018-02-03 14:29 CST

Nmap scan report for 192.168.5.1

Host is up (0.0013s latency).

PORT STATE SERVICE

80/tcp closed http

MAC Address: FA:16:3E:94:D7:32 (Unknown)

Nmap scan report for 192.168.5.9

Host is up (0.0018s latency).

PORT STATE SERVICE

80/tcp closed http

MAC Address: FA:16:3E:5A:A7:58 (Unknown)

Nmap scan report for 192.168.5.95

Host is up (0.000025s latency).

PORT STATE SERVICE

80/tcp closed http

Nmap done: 256 IP addresses (3 hosts up) scanned in 2.01 seconds

[root@test ~]#

有些网络设备，例如路由器和网络打印机，可能会禁用或过滤掉某些端口，从而禁止对该设备或跨越该设备的扫描。初步侦测网络情况时，-host_timeout<毫秒数>参数很有用，它表示超时时间，例如

nmap -sS host_timeout 10000 192.168.5.9

命令规定的超时时间是10000毫秒。

[root@test ~]# nmap -sS host_timeout 10000 192.168.5.9

Starting Nmap 6.40 ( nmap ) at 2018-02-03 14:31 CST

Failed to resolve "host_timeout".

setup_target: failed to determine route to 10000 (0.0.39.16)

Nmap scan report for 192.168.5.9

Host is up (0.00077s latency).

Not shown: 998 closed ports

PORT STATE SERVICE

22/tcp open ssh

111/tcp open rpcbind

MAC Address: FA:16:3E:5A:A7:58 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds

[root@test ~]#

网络设备上被过滤掉的端口一般会大大延长侦测时间，设置超时参数有时可以显著降低扫描网络所需要的时间。Nmap会显示出哪些网络设备响应超时，这时你就可以对这些设备个别处理，从而保证大范围网络扫描的整体速度。当然，host_timeout到底可以节省多少扫描时间，最终还是由网络上被过滤掉的端口数量决定的。

4.注意事项

也许你对其他端口扫描器比较熟悉，但Nmap绝对值得一试。建议先用Nmap扫描一个熟悉的系统，感觉一下Nmap的基本运行模式，待熟悉之后，再将扫描范围扩大到其他系统。首先扫描内部网络看看Nmap报告的结果，然后从一个外部IP地址开始扫描，注意防火墙、入侵检测系统（IDS）及其他工具对扫描操作的反应。通常，TCP connect（）会引起IDS系统的反应，但IDS不一定会记录被称为“半连接”的TCP SYN扫描。最好将Nmap扫描网络的报告整理存档，以便随后参考。

如果你打算了解和使用Nmap，下面有几个注意事项。

（1）避免误解

不要随意选择扫描目标来测试Nmap。许多单位把端口扫描视为恶意行为，所以测试Nmap最好在内部网络中进行。如有必要，应该告诉同事你正在试验端口扫描，因为扫描可能引发IDS警报及其他网络问题。如果不是在你控制的网络、系统及站点上使用该工具，你应该首先查看许可权。记住，尊重他人的网络和系统的隐私意味着别人以后也许也会这样对你。

（2）关闭不必要的服务

根据Nmap提供的报告（同时考虑网络的安全要求），关闭不必要的服务，或者调整路由器的访问控制规则（ACL），禁用网络开放给外界的某些端口。

（3）建立安全基准

在Nmap的帮助下加固网络，在搞清楚哪些系统和服务可能会遭受攻击之后，下一步就是从这些已知的系统和服务出发建立一个安全基准，以后如果要启用新的服务或服务器，就可以方便的根据这个安全基准来执行。

,