?????? Nmap輸出的是掃描目標(biāo)的列表，以及每個(gè)目標(biāo)的補(bǔ)充信息拦宣，至于是哪些信息則依賴于所使用的選項(xiàng)截粗。“所感興趣的端口表格”是其中的關(guān)鍵鸵隧。那張表列出端口號(hào)绸罗，協(xié)議，服務(wù)名稱和狀態(tài)豆瘫。狀態(tài)可能是open(開(kāi)放的)珊蟀，filtered(被過(guò)濾的)，closed(關(guān)閉的)，或者unfiltered(未被過(guò)濾的)。? ? Open(開(kāi)放的)意味著目標(biāo)機(jī)器上的應(yīng)用程序正在該端口監(jiān)聽(tīng)連接/報(bào)文串前。filtered(被過(guò)濾的) 意味著防火墻，過(guò)濾器或者其它網(wǎng)絡(luò)障礙阻止了該端口被訪問(wèn)捂蕴，Nmap無(wú)法得知它是open(開(kāi)放的) 還是closed(關(guān)閉的)。closed(關(guān)閉的) 端口沒(méi)有應(yīng)用程序在它上面監(jiān)聽(tīng)，但是他們隨時(shí)可能開(kāi)放。? ? 當(dāng)端口對(duì)Nmap的探測(cè)做出響應(yīng)绽诚，但是Nmap無(wú)法確定它們是關(guān)閉還是開(kāi)放時(shí)，這些端口就被認(rèn)為是unfiltered(未被過(guò)濾的)? ? 如果Nmap報(bào)告狀態(tài)組合open|filtered和closed|filtered時(shí)杭煎，那說(shuō)明Nmap無(wú)法確定該端口處于兩個(gè)狀態(tài)中的哪一個(gè)狀態(tài)。? ? 當(dāng)要求進(jìn)行版本探測(cè)時(shí)卒落，端口表也可以包含軟件的版本信息羡铲。當(dāng)要求進(jìn)行IP協(xié)議掃描時(shí)? ? (-sO)，Nmap提供關(guān)于所支持的IP協(xié)議而不是正在監(jiān)聽(tīng)的端口的信息儡毕。

以例子說(shuō)明：

一也切、基礎(chǔ)知識(shí)：

1扑媚、掃描單一的一個(gè)主機(jī)：nmap 219.228.135.201

2、掃描整個(gè)子網(wǎng)：

nmap 192.168.1.1/24

? ? ? ? ? ? ? ?

3雷恃、掃描多個(gè)目標(biāo)疆股、掃描一個(gè)范圍內(nèi)的目標(biāo)：

nmap 192.168.1.2 192.168.1.5 ? ? ? ? ?

nmap 192.168.1.1-100

4、掃描保存在txt文件下的ip地址列表倒槐，且和nmap在同一目錄下：

nmap -iL target.txt

5旬痹、如果你想看到你掃描的所有主機(jī)的列表：

nmap -sL 192.168.1.1/24

6、掃描除過(guò)某一ip外的所有子網(wǎng)讨越、掃描除過(guò)某一文件中ip外的子網(wǎng)主機(jī)：

nmap 192.168.1.1/24-exclude 192.168.1.1

namp 192.168.1.1/24-exclude filexxx.txt(xxx.txt中的文件將會(huì)從掃描的主機(jī)中排除）

7两残、掃描特定主機(jī)上的80、21把跨、23端口：

nmap -p80,21,23 192.168.1.1

二人弓、深入探討Nmap掃描技術(shù)：

1、 TCP SYN Scan（sS)是一個(gè)基本的掃面方式着逐，稱為半開(kāi)放掃描崔赌，因?yàn)樵摷夹g(shù)使得Nmap不需要通過(guò)完整的握手，就能獲得遠(yuǎn)程主機(jī)的信息耸别。Nmap發(fā)送SYN包到遠(yuǎn)程主機(jī)健芭，但是它不會(huì)產(chǎn)生任何會(huì)話，因此不會(huì)在目標(biāo)主機(jī)上產(chǎn)生任何日志記錄太雨，因?yàn)闆](méi)有形成會(huì)話吟榴。這個(gè)就是SYN掃描的優(yōu)勢(shì)。如果Nmap命令中沒(méi)有指出掃描類型囊扳，默認(rèn)的就是Tcp SYN吩翻。但是它需要root或administrator權(quán)限。

nmap -sS 192.168.1.1

2锥咸、TCP connect() scan(sT)狭瞎，如果不選擇SYN掃描，TCP connect()掃描就是默認(rèn)的掃描模式搏予。不同于SYN掃描熊锭，TCP connect()掃描需要完成三次握手，并且要求掃描調(diào)用系統(tǒng)的connect()雪侥。TCP connect()掃描技術(shù)只適用于找出TCP和UDP端口碗殷。

nmap -sT 192.168.1.1

3、UDP Scan(sU)掃描技術(shù)用來(lái)尋找目標(biāo)主機(jī)打開(kāi)的UDP端口速缨。它不需要發(fā)送任何的SYN包锌妻，因?yàn)檫@種技術(shù)是針對(duì)UDP端口的。UDP掃描發(fā)送UDP數(shù)據(jù)包到目標(biāo)主機(jī)旬牲，并等待響應(yīng)仿粹，如果返回ICMP不可達(dá)的錯(cuò)誤消息搁吓，說(shuō)明端口是關(guān)閉的；如果得到正確的適當(dāng)?shù)幕貞?yīng)吭历，說(shuō)明端口是開(kāi)放的堕仔。

nmap -sU 192.168.1.1

4、FINscan(sF)晌区，有時(shí)候TCP SYN掃描不是最佳的掃描方式摩骨。因?yàn)橛蟹阑饓Φ拇嬖冢繕?biāo)主機(jī)有時(shí)候可能有IDS和IPS系統(tǒng)的存在契讲，防火墻會(huì)阻止掉SYN數(shù)據(jù)包仿吞。發(fā)送一個(gè)設(shè)置了FIN標(biāo)志的數(shù)據(jù)包并不需要完成TCP的握手。FIN掃描也不會(huì)在目標(biāo)主機(jī)上創(chuàng)建日志(FIN掃描的優(yōu)勢(shì)之一)捡偏。每個(gè)類型的掃描都是具有差異性的唤冈，F(xiàn)IN掃描發(fā)送的包只包含F(xiàn)IN標(biāo)識(shí)，NULL掃描不發(fā)送數(shù)據(jù)包上的任何字節(jié)银伟，XMAS掃描發(fā)送FIN你虹、PSH和URG標(biāo)識(shí)的數(shù)據(jù)包。

nmap -sF 192.168.1.8

5彤避、PINGScan(sP)傅物，PING掃描不同于其他的掃描方式，因?yàn)樗挥糜谡页鲋鳈C(jī)是否是存在在網(wǎng)絡(luò)中的琉预。它不是用來(lái)發(fā)現(xiàn)是否開(kāi)放端口的董饰。PING掃描需要root權(quán)限，如果用戶沒(méi)有root權(quán)限圆米，PING掃描將會(huì)使用connect()調(diào)用卒暂。

nmap -sP 192.168.1.1

6、版本檢測(cè)(sV)娄帖，是用來(lái)掃描目標(biāo)主機(jī)和端口上運(yùn)行的軟件的版本也祠。它不同于其他的掃描技術(shù)，它不是用來(lái)掃描目標(biāo)主機(jī)上開(kāi)放的端口近速，不過(guò)它需要從開(kāi)放的端口獲取信息來(lái)判斷軟件的版本诈嘿。使用版本檢測(cè)掃描之前需要先用TCP SYN掃描開(kāi)放了哪些端口。

nmap -sV 192.168.1.1

7削葱、IDleScan奖亚，是一種先進(jìn)的掃描技術(shù)，它不是用你真實(shí)的主機(jī)IP發(fā)送數(shù)據(jù)包析砸，而是使用另外一個(gè)目標(biāo)網(wǎng)絡(luò)的主機(jī)發(fā)送數(shù)據(jù)包昔字。

nmap -sI 192.168.1.6 192.168.1.1

(1).理論基礎(chǔ)

a. 每個(gè)IP包都有幀ID，記作IP ID

b. TCP正常建立鏈接的時(shí)候干厚，第一步是主機(jī)A從端口X發(fā)給主機(jī)B端口Y一個(gè) SYN李滴，第二步是B回應(yīng)A一個(gè)SYN/ACK，第三步是A回B一個(gè)ACK蛮瞄，連接建立了所坯。如果A沒(méi)有發(fā)給B一個(gè)SYN，而B(niǎo)發(fā)給A了一個(gè)SYN/ACK挂捅，那么A就會(huì)發(fā)給B一個(gè)RST

c. 大部分主機(jī)的TCP/IP協(xié)議實(shí)現(xiàn)中芹助，RST中的IP ID是遞增的，增加的單位是1闲先，即incremental

(2).TCP Idle scan原理和步驟

a. 這里需要三臺(tái)主機(jī)状土，一臺(tái)攻擊者，一臺(tái)沒(méi)有什么網(wǎng)絡(luò)流量的空閑主機(jī)伺糠，還有就是我們的目標(biāo)主機(jī).

b. 目標(biāo)的某個(gè)端口的狀態(tài)可能是打開(kāi)蒙谓、關(guān)閉或則被過(guò)濾，在遇到我們的Idle scan的時(shí)候训桶，不同狀態(tài)的端口的scan的結(jié)果是不一樣累驮，由此來(lái)判斷端口是否是打開(kāi)的

c. 具體步驟為：

? ? ? ?? （1）找到一臺(tái)空閑主機(jī)，并從攻擊主機(jī)發(fā)給空閑主機(jī)一個(gè)SYN/ACK舵揭，獲得并記錄空閑主機(jī)的RST的IP ID

? ? ? ? ? （2）在攻擊者的主機(jī)上虛構(gòu)一個(gè)從空閑主機(jī)到目標(biāo)主機(jī)的一個(gè)SYN谤专，于是根據(jù)目標(biāo)主機(jī)的目標(biāo)端口狀態(tài)，如果目標(biāo)主機(jī)的目標(biāo)端口打開(kāi)午绳，將會(huì)發(fā)給空閑主機(jī)的一個(gè)SYN/ACK置侍，所以空閑主機(jī)將會(huì)發(fā)給目標(biāo)主機(jī)一個(gè)RST，否則不會(huì)發(fā)送RST

? ? ? ? ?? （3）再次從攻擊主機(jī)發(fā)給空閑主機(jī)SYN/ACK拦焚，檢查RST的IP ID蜡坊，如果IP ID比第一步記錄下的增加了二，則說(shuō)明第二步中空閑主機(jī)給目標(biāo)主機(jī)發(fā)送了一個(gè)RST耕漱，目標(biāo)主機(jī)的目標(biāo)端口處于打開(kāi)狀態(tài)算色，否則為沒(méi)打開(kāi)

根據(jù)目標(biāo)主機(jī)的目標(biāo)端口的不同狀態(tài)，可得一下三附圖：

a.選擇空閑主機(jī)時(shí)螟够，盡量選擇離攻擊主機(jī)和目標(biāo)主機(jī)比較近的灾梦，這樣可以增加nmap的性能和可靠性，nmap的-iR選項(xiàng)可以用來(lái)隨機(jī)選擇尋找的主機(jī)妓笙，-O和-v可以查看主機(jī)的IP ID增長(zhǎng)的方式是否為incremental若河；在一種方法就是使用nmap的--script選項(xiàng)，指定腳本：ipidseq寞宫，如：

nmap --script ipidseq -iR 5 -O -v

b. 一個(gè)實(shí)例：

來(lái)源：http://blog.csdn.net/dong976209075/article/details/7771159

8萧福、OS檢測(cè)(O)，Nmap最重要的特點(diǎn)之一是能夠遠(yuǎn)程檢測(cè)操作系統(tǒng)和軟件辈赋，Nmap的OS檢測(cè)技術(shù)在滲透測(cè)試中用來(lái)了解遠(yuǎn)程主機(jī)的操作系統(tǒng)和軟件是非常有用的鲫忍，通過(guò)獲取的信息你可以知道已知的漏洞膏燕。Nmap有一個(gè)名為的nmap-OS-DB數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)包含超過(guò)2600操作系統(tǒng)的信息悟民。Nmap把TCP和UDP數(shù)據(jù)包發(fā)送到目標(biāo)機(jī)器上坝辫，然后檢查結(jié)果和數(shù)據(jù)庫(kù)對(duì)照。

namp -O 192.168.1.2

9射亏、Nmap的操作系統(tǒng)指紋識(shí)別技術(shù)：

設(shè)備類型（路由器近忙，工作組等）運(yùn)行（運(yùn)行的操作系統(tǒng)）操作系統(tǒng)的詳細(xì)信息（操作系統(tǒng)的名稱和版本）、網(wǎng)絡(luò)距離（目標(biāo)和攻擊者之間的距離跳）智润。如果遠(yuǎn)程主機(jī)有防火墻及舍，IDS和IPS系統(tǒng)，你可以使用-PN命令來(lái)確保不ping遠(yuǎn)程主機(jī)窟绷，因?yàn)橛袝r(shí)候防火墻會(huì)阻止掉ping請(qǐng)求锯玛。-PN命令告訴Nmap不用ping遠(yuǎn)程主機(jī)。

nmap -O -PN 192.168.1.1/24

該命令告訴發(fā)信主機(jī)遠(yuǎn)程主機(jī)是存活在網(wǎng)絡(luò)上的钾麸，所以沒(méi)有必要發(fā)送ping請(qǐng)求,使用-PN參數(shù)可以繞過(guò)PING命令,但是不影響主機(jī)的系統(tǒng)的發(fā)現(xiàn)更振。

Nmap的操作系統(tǒng)檢測(cè)的基礎(chǔ)是有開(kāi)放和關(guān)閉的端口，如果OSscan無(wú)法檢測(cè)到至少一個(gè)開(kāi)放或者關(guān)閉的端口饭尝，會(huì)返回以下錯(cuò)誤：Warning:OSScan results may be unreliable because we could not find at least 1 open and 1 closed port肯腕。

想通過(guò)Nmap準(zhǔn)確的檢測(cè)到遠(yuǎn)程操作系統(tǒng)是比較困難的，需要使用到Nmap的猜測(cè)功能選項(xiàng),–osscan-guess猜測(cè)認(rèn)為最接近目標(biāo)的匹配操作系統(tǒng)類型钥平。

nmap -O --osscan-guess 192.168.1.1

三实撒、掃描類型說(shuō)明

-sT TCPconnect()掃描：這是最基本的TCP掃描方式。connect()是一種系統(tǒng)調(diào)用涉瘾，由操作系統(tǒng)提供知态，用來(lái)打開(kāi)一個(gè)連接。如果目標(biāo)端口有程序監(jiān)聽(tīng)立叛，connect()就會(huì)成功返回负敏，否則這個(gè)端口是不可達(dá)的。這項(xiàng)技術(shù)最大的優(yōu)點(diǎn)是秘蛇，你勿需root權(quán)限其做。任何UNIX用戶都可以自由使用這個(gè)系統(tǒng)調(diào)用。這種掃描很容易被檢測(cè)到赁还，在目標(biāo)主機(jī)的日志中會(huì)記錄大批的連接請(qǐng)求以及錯(cuò)誤信息妖泄。

-sS TCP同步掃描(TCPSYN)：因?yàn)椴槐厝看蜷_(kāi)一個(gè)TCP連接，所以這項(xiàng)技術(shù)通常稱為半開(kāi)掃描(half-open)艘策。你可以發(fā)出一個(gè)TCP同步包(SYN)蹈胡，然后等待回應(yīng)。如果對(duì)方返回SYN|ACK(響應(yīng))包就表示目標(biāo)端口正在監(jiān)聽(tīng)；如果返回RST數(shù)據(jù)包罚渐，就表示目標(biāo)端口沒(méi)有監(jiān)聽(tīng)程序却汉；如果收到一個(gè)SYN|ACK包，源主機(jī)就會(huì)馬上發(fā)出一個(gè)RST(復(fù)位)數(shù)據(jù)包斷開(kāi)和目標(biāo)主機(jī)的連接荷并，這實(shí)際上有我們的操作系統(tǒng)內(nèi)核自動(dòng)完成的病涨。這項(xiàng)技術(shù)最大的好處是，很少有系統(tǒng)能夠把這記入系統(tǒng)日志璧坟。不過(guò)，你需要root權(quán)限來(lái)定制SYN數(shù)據(jù)包赎懦。

-sF-sX-sN秘密FIN數(shù)據(jù)包掃描雀鹃、圣誕樹(shù)(XmasTree)、空(Null)掃描模式：即使SYN掃描都無(wú)法確定的情況下使用励两。一些防火墻和包過(guò)濾軟件能夠?qū)Πl(fā)送到被限制端口的SYN數(shù)據(jù)包進(jìn)行監(jiān)視黎茎，而且有些程序比如synlogger和courtney能夠檢測(cè)那些掃描。這些高級(jí)的掃描方式可以逃過(guò)這些干擾当悔。些掃描方式的理論依據(jù)是：關(guān)閉的端口需要對(duì)你的探測(cè)包回應(yīng)RST包傅瞻，而打開(kāi)的端口必需忽略有問(wèn)題的包(參考RFC793第64頁(yè))。FIN掃描使用暴露的FIN數(shù)據(jù)包來(lái)探測(cè)盲憎，而圣誕樹(shù)掃描打開(kāi)數(shù)據(jù)包的FIN嗅骄、URG和PUSH標(biāo)志。不幸的是饼疙，微軟決定完全忽略這個(gè)標(biāo)準(zhǔn)溺森，另起爐灶。所以這種掃描方式對(duì)Windows95/NT無(wú)效窑眯。不過(guò)屏积，從另外的角度講，可以使用這種方式來(lái)分別兩種不同的平臺(tái)磅甩。如果使用這種掃描方式可以發(fā)現(xiàn)打開(kāi)的端口炊林，你就可以確定目標(biāo)注意運(yùn)行的不是Windows系統(tǒng)。如果使用-sF卷要、-sX或者-sN掃描顯示所有的端口都是關(guān)閉的渣聚，而使用SYN掃描顯示有打開(kāi)的端口，你可以確定目標(biāo)主機(jī)可能運(yùn)行的是Windwos系統(tǒng)∪捶粒現(xiàn)在這種方式?jīng)]有什么太大的用處饵逐，因?yàn)閚map有內(nèi)嵌的操作系統(tǒng)檢測(cè)功能。還有其它幾個(gè)系統(tǒng)使用和windows同樣的處理方式彪标，包括Cisco倍权、BSDI、HP/UX、MYS薄声、IRIX当船。在應(yīng)該拋棄數(shù)據(jù)包時(shí)，以上這些系統(tǒng)都會(huì)從打開(kāi)的端口發(fā)出復(fù)位數(shù)據(jù)包默辨。

-sP ping掃描：有時(shí)你只是想知道此時(shí)網(wǎng)絡(luò)上哪些主機(jī)正在運(yùn)行德频。通過(guò)向你指定的網(wǎng)絡(luò)內(nèi)的每個(gè)IP地址發(fā)送ICMPecho請(qǐng)求數(shù)據(jù)包，nmap就可以完成這項(xiàng)任務(wù)缩幸。如果主機(jī)正在運(yùn)行就會(huì)作出響應(yīng)壹置。不幸的是，一些站點(diǎn)例如：microsoft.com阻塞ICMPecho請(qǐng)求數(shù)據(jù)包表谊。然而钞护，在默認(rèn)的情況下nmap也能夠向80端口發(fā)送TCPack包，如果你收到一個(gè)RST包爆办，就表示主機(jī)正在運(yùn)行难咕。nmap使用的第三種技術(shù)是：發(fā)送一個(gè)SYN包，然后等待一個(gè)RST或者SYN/ACK包距辆。對(duì)于非root用戶余佃，nmap使用connect()方法。在默認(rèn)的情況下(root用戶)跨算，nmap并行使用ICMP和ACK技術(shù)爆土。注意，nmap在任何情況下都會(huì)進(jìn)行ping掃描诸蚕，只有目標(biāo)主機(jī)處于運(yùn)行狀態(tài)雾消，才會(huì)進(jìn)行后續(xù)的掃描。如果你只是想知道目標(biāo)主機(jī)是否運(yùn)行挫望，而不想進(jìn)行其它掃描立润，才會(huì)用到這個(gè)選項(xiàng)。

-sU UDP掃描：如果你想知道在某臺(tái)主機(jī)上提供哪些UDP(用戶數(shù)據(jù)報(bào)協(xié)議,RFC768)服務(wù)媳板，可以使用這種掃描方法桑腮。nmap首先向目標(biāo)主機(jī)的每個(gè)端口發(fā)出一個(gè)0字節(jié)的UDP包，如果我們收到端口不可達(dá)的ICMP消息蛉幸，端口就是關(guān)閉的破讨，否則我們就假設(shè)它是打開(kāi)的。有些人可能會(huì)想U(xiǎn)DP掃描是沒(méi)有什么意思的奕纫。但是提陶，我經(jīng)常會(huì)想到最近出現(xiàn)的solaris rpcbind缺陷。rpcbind隱藏在一個(gè)未公開(kāi)的UDP端口上匹层，這個(gè)端口號(hào)大于32770隙笆。所以即使端口111(portmap的眾所周知端口號(hào))被防火墻阻塞有關(guān)系。但是你能發(fā)現(xiàn)大于30000的哪個(gè)端口上有程序正在監(jiān)聽(tīng)嗎?使用UDP掃描就能！cDcBackOrifice的后門程序就隱藏在Windows主機(jī)的一個(gè)可配置的UDP端口中撑柔。不考慮一些通常的安全缺陷瘸爽，一些服務(wù)例如:snmp、tftp铅忿、NFS使用UDP協(xié)議剪决。不幸的是，UDP掃描有時(shí)非常緩慢檀训，因?yàn)榇蠖鄶?shù)主機(jī)限制ICMP錯(cuò)誤信息的比例(在RFC1812中的建議)柑潦。例如，在Linux內(nèi)核中(在net/ipv4/icmp.h文件中)限制每4秒鐘只能出現(xiàn)80條目標(biāo)豢紗锏腎CMP消息峻凫，如果超過(guò)這個(gè)比例妒茬，就會(huì)給1/4秒鐘的處罰。solaris的限制更加嚴(yán)格蔚晨，每秒鐘只允許出現(xiàn)大約2條ICMP不可達(dá)消息，這樣肛循，使掃描更加緩慢铭腕。nmap會(huì)檢測(cè)這個(gè)限制的比例，減緩發(fā)送速度多糠，而不是發(fā)送大量的將被目標(biāo)主機(jī)丟棄的無(wú)用數(shù)據(jù)包累舷。不過(guò)Micro$oft忽略了RFC1812的這個(gè)建議，不對(duì)這個(gè)比例做任何的限制夹孔。所以我們可以能夠快速掃描運(yùn)行Win95/NT的主機(jī)上的所有65K個(gè)端口被盈。

-sA ACK掃描：這項(xiàng)高級(jí)的掃描方法通常用來(lái)穿過(guò)防火墻的規(guī)則集。通常情況下搭伤，這有助于確定一個(gè)防火墻是功能比較完善的或者是一個(gè)簡(jiǎn)單的包過(guò)濾程序只怎，只是阻塞進(jìn)入的SYN包。這種掃描是向特定的端口發(fā)送ACK包(使用隨機(jī)的應(yīng)答/序列號(hào))怜俐。如果返回一個(gè)RST包身堡，這個(gè)端口就標(biāo)記為unfiltered狀態(tài)。如果什么都沒(méi)有返回拍鲤，或者返回一個(gè)不可達(dá)ICMP消息贴谎，這個(gè)端口就歸入filtered類。注意季稳，nmap通常不輸出unfiltered的端口擅这，所以在輸出中通常不顯示所有被探測(cè)的端口。顯然景鼠，這種掃描方式不能找出處于打開(kāi)狀態(tài)的端口仲翎。

-sW對(duì)滑動(dòng)窗口的掃描：這項(xiàng)高級(jí)掃描技術(shù)非常類似于ACK掃描，除了它有時(shí)可以檢測(cè)到處于打開(kāi)狀態(tài)的端口，因?yàn)榛瑒?dòng)窗口的大小是不規(guī)則的谭确，有些操作系統(tǒng)可以報(bào)告其大小帘营。這些系統(tǒng)至少包括：某些版本的AIX、Amiga逐哈、BeOS芬迄、BSDI、Cray昂秃、Tru64UNIX禀梳、DG/UX、OpenVMS肠骆、DigitalUNIX算途、OpenBSD、OpenStep蚀腿、QNX嘴瓤、Rhapsody、SunOS4.x莉钙、Ultrix廓脆、VAX、VXWORKS磁玉。從nmap-hackers郵件3列表的文檔中可以得到完整的列表停忿。

-sR RPC掃描。這種方法和nmap的其它不同的端口掃描方法結(jié)合使用蚊伞。選擇所有處于打開(kāi)狀態(tài)的端口向它們發(fā)出SunRPC程序的NULL命令席赂，以確定它們是否是RPC端口，如果是时迫，就確定是哪種軟件及其版本號(hào)颅停。因此你能夠獲得防火墻的一些信息。誘餌掃描現(xiàn)在 還不能和RPC掃描結(jié)合使用掠拳。

-bFTP反彈攻擊(bounceattack):FTP協(xié)議(RFC959)有一個(gè)很有意思的特征便监，它支持代理FTP連接。也就是說(shuō)碳想，我能夠從evil.com連接到FTP服務(wù)器target.com烧董，并且可以要求這臺(tái)FTP服務(wù)器為自己發(fā)送Internet上任何地方的文件！1985年胧奔，RFC959完成時(shí)逊移，這個(gè)特征就能很好地工作了。然而龙填，在今天的Internet中胳泉，我們不能讓人們劫持FTP服務(wù)器拐叉，讓它向Internet上的任意節(jié)點(diǎn)發(fā)送數(shù)據(jù)。如同Hobbit在1995年寫的文章中所說(shuō)的扇商，這個(gè)協(xié)議"能夠用來(lái)做投遞虛擬的不可達(dá)郵件和新聞凤瘦，進(jìn)入各種站點(diǎn)的服務(wù)器,填滿硬盤，跳過(guò)防火墻案铺，以及其它的騷擾活動(dòng)蔬芥，而且很難進(jìn)行追蹤"。我們可以使用這個(gè)特征控汉，在一臺(tái)代理FTP服務(wù)器掃描TCP端口笔诵。因此，你需要連接到防火墻后面的一臺(tái)FTP服務(wù)器姑子，接著進(jìn)行端口掃描乎婿。如果在這臺(tái)FTP服務(wù)器中有可讀寫的目錄，你還可以向目標(biāo)端口任意發(fā)送數(shù)據(jù)(不過(guò)nmap不能為你做這些)街佑。傳遞給-b功能選項(xiàng)的參數(shù)是你要作為代理的FTP服務(wù)器谢翎。語(yǔ)法格式為：-busername:password@server:port。除了server以外沐旨，其余都是可選的森逮。如果你想知道什么服務(wù)器有這種缺陷，可以參考我在Phrack51發(fā)表的文章希俩。還可以在nmap的站點(diǎn)得到這篇文章的最新版本。

通用選項(xiàng)這些內(nèi)容不是必需的纲辽，但是很有用颜武。

-P0在掃描之前，不必ping主機(jī)拖吼。有些網(wǎng)絡(luò)的防火墻不允許ICMPecho請(qǐng)求穿過(guò)鳞上，使用這個(gè)選項(xiàng)可以對(duì)這些網(wǎng)絡(luò)進(jìn)行掃描。microsoft.com就是一個(gè)例子吊档，因此在掃描這個(gè)站點(diǎn)時(shí)篙议，你應(yīng)該一直使用-P0或者-PT80選項(xiàng)。

-PT掃描之前怠硼，使用TCPping確定哪些主機(jī)正在運(yùn)行鬼贱。nmap不是通過(guò)發(fā)送ICMPecho請(qǐng)求包然后等待響應(yīng)來(lái)實(shí)現(xiàn)這種功能，而是向目標(biāo)網(wǎng)絡(luò)(或者單一主機(jī))發(fā)出TCPACK包然后等待回應(yīng)香璃。如果主機(jī)正在運(yùn)行就會(huì)返回RST包这难。只有在目標(biāo)網(wǎng)絡(luò)/主機(jī)阻塞了ping包，而仍舊允許你對(duì)其進(jìn)行掃描時(shí)葡秒，這個(gè)選項(xiàng)才有效姻乓。對(duì)于非root用戶嵌溢，我們使用connect()系統(tǒng)調(diào)用來(lái)實(shí)現(xiàn)這項(xiàng)功能。使用-PT來(lái)設(shè)定目標(biāo)端口蹋岩。默認(rèn)的端口號(hào)是80赖草，因?yàn)檫@個(gè)端口通常不會(huì)被過(guò)濾。

-PS對(duì)于root用戶剪个，這個(gè)選項(xiàng)讓nmap使用SYN包而不是ACK包來(lái)對(duì)目標(biāo)主機(jī)進(jìn)行掃描秧骑。如果主機(jī)正在運(yùn)行就返回一個(gè)RST包(或者一個(gè)SYN/ACK包)。

-PI設(shè)置這個(gè)選項(xiàng)禁偎，讓nmap使用真正的ping(ICMPecho請(qǐng)求)來(lái)掃描目標(biāo)主機(jī)是否正在運(yùn)行腿堤。使用這個(gè)選項(xiàng)讓nmap發(fā)現(xiàn)正在運(yùn)行的主機(jī)的同時(shí)，nmap也會(huì)對(duì)你的直接子網(wǎng)廣播地址進(jìn)行觀察如暖。直接子網(wǎng)廣播地址一些外部可達(dá)的IP地址笆檀，把外部的包轉(zhuǎn)換為一個(gè)內(nèi)向的IP廣播包，向一個(gè)計(jì)算機(jī)子網(wǎng)發(fā)送盒至。這些IP廣播包應(yīng)該刪除酗洒，因?yàn)闀?huì)造成拒絕服務(wù)攻擊(例如smurf)。

來(lái)源： http://jingyan.baidu.com/article/47a29f24312010c0142399f1.html