Nmap參考文檔> http://www.nmap.com.cn/doc/manual.shtm#7

Regular scan:常規(guī)掃描

nmap

Intense scan:強(qiáng)烈的掃描

nmap -T4 -A -v

-T4：-T選項(xiàng)及其編號(hào)（0-5）或它們的
            名稱。 模板名稱是偏執(zhí)狂（0）沦补，偷偷摸摸（1），禮貌（2）麻惶，
            正常（3）记盒，攻擊性（4）和瘋狂（5）。 前兩個(gè)是
            IDS規(guī)避。 禮貌模式會(huì)減慢掃描速度以使用更少的帶寬
            和目標(biāo)機(jī)器資源想诅。 Normalmode是默認(rèn)值，因此-T3
            什么也沒(méi)做岛心。 積極的模式速度通過(guò)使
            假設(shè)您使用的區(qū)域是快速可靠的網(wǎng)絡(luò)来破。
            終于瘋狂了。 假設(shè)你在
            快速網(wǎng)絡(luò)還是愿意犧牲一些準(zhǔn)確性來(lái)提高速度忘古。
例如徘禁，
            -T4。 禁止TCP的動(dòng)態(tài)掃描延遲超過(guò)10毫秒
            端口和-T5上限為5ms髓堪。
            -T4送朱，執(zhí)行速度更快

Intensescan plus UDP:強(qiáng)烈的掃描,加上udp協(xié)議掃描

nmap -sS -sU -T4-A -v

-sS：-sS（TCP SYN掃描）。
           SYN掃描是默認(rèn)且最受歡迎的掃描選項(xiàng)
           原因干旁∈徽樱可以快速執(zhí)行，掃描數(shù)千個(gè)端口
           在不受受限防火墻阻礙的快速網(wǎng)絡(luò)上每秒傳輸一次争群。
           它也相對(duì)不引人注目和隱秘回怜，因?yàn)樗鼜牟?           完成TCP連接。 SYN scanworks可針對(duì)任何兼容的TCP
           堆棧换薄，而不是取決于特定平臺(tái)的特性
           與Nmap的FIN / NULL / Xmas一樣玉雾，Maimon andidle掃描也是如此。它還允許
           打開(kāi)专控，關(guān)閉和關(guān)閉之間清晰抹凳，可靠的區(qū)別
           過(guò)濾后的狀態(tài)。
 
           該技術(shù)通常稱為半開(kāi)掃描伦腐，因?yàn)?           您沒(méi)有打開(kāi)完整的TCP連接赢底。您發(fā)送一個(gè)SYN數(shù)據(jù)包，就像
           您將要打開(kāi)一個(gè)真實(shí)的連接，然后等待
           響應(yīng)幸冻。 SYN / ACK表示端口正在監(jiān)聽(tīng)（打開(kāi)）粹庞，而
           RST（重置）指示非偵聽(tīng)器。如果沒(méi)有回應(yīng)
           多次重傳后收到的端口被標(biāo)記為
           過(guò)濾洽损。如果無(wú)法訪問(wèn)ICMP庞溜，則該端口也會(huì)被標(biāo)記為已過(guò)濾
           收到錯(cuò)誤（類型3，代碼1碑定、2流码、3、9延刘、10或13）漫试。該端口是
           如果SYN數(shù)據(jù)包（沒(méi)有ACK標(biāo)志）為
           收到回應(yīng)。這可以依賴于極為罕見(jiàn)的TCP
           被稱為同時(shí)打開(kāi)或拆分握手連接的功能
           （請(qǐng)參閱http://nmap.org/misc/split-handshake.pdf）碘赖。

-sU：-sU（UDP掃描）驾荣。
           互聯(lián)網(wǎng)上最流行的服務(wù)運(yùn)行在TCP上
           協(xié)議，UDP [6]服務(wù)得到了廣泛的應(yīng)用普泡。 DNS播掷，SNMP和DHCP
           （注冊(cè)的端口53、161 / 162和67/68）是最多的三個(gè)
           共同撼班。因?yàn)閁DP掃描通常較慢且較困難
           與TCP相比歧匈，一些安全審核員會(huì)為這些端口簽名。這是一個(gè)
           錯(cuò)誤权烧，因?yàn)榭衫玫腢DP服務(wù)非常普遍眯亦，并且攻擊者
           當(dāng)然，不要忽略整個(gè)協(xié)議般码。幸運(yùn)的是妻率，Nmap可以
           幫助盤點(diǎn)UDP端口。
 
           UDP掃描通過(guò)-sU選項(xiàng)激活板祝。它可以與
           TCP掃描類型宫静，例如SYN scan（-sS），用于檢查兩個(gè)協(xié)議
           在同一運(yùn)行中券时。
 
           UDP掃描通過(guò)將UDP數(shù)據(jù)包發(fā)送到每個(gè)目標(biāo)端口而起作用孤里。對(duì)于
           一些常見(jiàn)的端口，例如53和161橘洞，特定于協(xié)議的有效負(fù)載
           已發(fā)送捌袜，但對(duì)于大多數(shù)端口，數(shù)據(jù)包為空炸枣。
           --data-length選項(xiàng)可用于發(fā)送固定長(zhǎng)度的隨機(jī)數(shù)
           每個(gè)端口的有效負(fù)載或（如果您指定的值為0）禁用
           有效載荷虏等。如果ICMP端口不可達(dá)錯(cuò)誤（類型3弄唧，代碼3）為
           返回時(shí)，端口關(guān)閉霍衫。其他ICMP無(wú)法到達(dá)的錯(cuò)誤（類型
           3候引，代碼1、2敦跌、9澄干、10或13）將端口標(biāo)記為已過(guò)濾。
           有時(shí)柠傍，服務(wù)會(huì)以UDP數(shù)據(jù)包響應(yīng)麸俘，證明
           它是開(kāi)放的。如果重傳后沒(méi)有收到回應(yīng)惧笛，
           端口被分類為已過(guò)濾疾掰。這意味著端口
           可能是開(kāi)放的，或者也許數(shù)據(jù)包過(guò)濾器阻止了
           通訊徐紧。版本檢測(cè)（-sV）可用于幫助
           區(qū)分真正開(kāi)放的端口和過(guò)濾的端口。
 
           UDP掃描面臨的一大挑戰(zhàn)是如何快速進(jìn)行掃描炭懊。打開(kāi)并
           過(guò)濾的端口很少發(fā)送任何響應(yīng)并级，從而使Nmap超時(shí)
           然后進(jìn)行重新傳輸以防探測(cè)或響應(yīng)
           輸了。封閉的港口通常是更大的問(wèn)題侮腹。他們
           通常會(huì)發(fā)回ICMP portunreachable錯(cuò)誤嘲碧。但與
           關(guān)閉的TCP端口發(fā)送的RST數(shù)據(jù)包響應(yīng)SYN或
           連接掃描，許多主機(jī)速率限制父阻。 ICMP端口不可達(dá)
           郵件默認(rèn)情況下愈涩。 Linux和Solaris特別嚴(yán)格
           對(duì)這個(gè)。例如加矛，Linux2.4.20內(nèi)核限制目標(biāo)
           每秒無(wú)法到達(dá)的消息（在net / ipv4 / icmp.c中）履婉。
 
           Nmap檢測(cè)到速率限制并相應(yīng)降低速度，以避免
           使用目標(biāo)機(jī)器的無(wú)用數(shù)據(jù)包淹沒(méi)網(wǎng)絡(luò)
           將下降斟览。不幸的是毁腿，Linux風(fēng)格的限制是每個(gè)數(shù)據(jù)包一個(gè)數(shù)據(jù)包
           秒掃描65,536端口需要18個(gè)小時(shí)以上。的想法
           加快UDP掃描速度包括并行屏蔽更多主機(jī)苛茂，
           首先對(duì)流行端口進(jìn)行快速掃描已烤，然后從
           在防火墻后面，并使用--host-timeout跳過(guò)慢速主機(jī)妓羊。

Intense scan, all TCP ports：對(duì)目標(biāo)的所有端口進(jìn)行強(qiáng)烈的掃描

nmap -p 1-65535 -T4 -A -v

Intensescan, no ping：對(duì)目標(biāo)進(jìn)行強(qiáng)烈的掃描胯究，不進(jìn)行主機(jī)發(fā)現(xiàn)

nmap -T4 -A -v -Pn

-Pn：將所有主機(jī)視為聯(lián)機(jī)-跳過(guò)主機(jī)發(fā)現(xiàn)
-Pn（無(wú)ping）。
           此選項(xiàng)完全跳過(guò)Nmap發(fā)現(xiàn)階段躁绸。一般裕循，
           Nmapuse在此階段確定較重的活動(dòng)機(jī)器
          掃描臣嚣。默認(rèn)情況下，Nmap僅執(zhí)行繁重的探測(cè)费韭，例如端口
          對(duì)主機(jī)進(jìn)行掃描茧球，版本檢測(cè)或操作系統(tǒng)檢測(cè)
           發(fā)現(xiàn)起來(lái)了。使用-Pn禁用主機(jī)發(fā)現(xiàn)會(huì)導(dǎo)致Nmap
          嘗試針對(duì)每個(gè)目標(biāo)IP請(qǐng)求的掃描功能
          指定的地址星持。因此抢埋，如果B類目標(biāo)地址空間（/ 16）為
          在命令行中指定，將掃描所有65,536個(gè)IP地址督暂。
          與列表掃描一樣揪垄，跳過(guò)了正確的主機(jī)發(fā)現(xiàn)，但是
           停止并打印目標(biāo)列表逻翁，Nmap繼續(xù)執(zhí)行
          請(qǐng)求的功能就好像每個(gè)目標(biāo)IP都處于活動(dòng)狀態(tài)饥努。跳過(guò)ping
           掃描和端口掃描，同時(shí)仍允許NSE運(yùn)行八回，請(qǐng)使用兩者
          選項(xiàng)-Pn -sn一起酷愧。
 
           對(duì)于本地以太網(wǎng)上的計(jì)算機(jī)，ARP掃描仍將
           表現(xiàn)良好（除非指定了--disable-arp-ping或--send-ip）
          因?yàn)镹map需要MAC地址才能進(jìn)一步掃描目標(biāo)主機(jī)缠诅。在
          Nmap的早期版本-Pn為-P0溶浴。和-PN ..

Ping scan 在發(fā)現(xiàn)主機(jī)后，不進(jìn)行端口掃描

nmap -sn

sn：Ping掃描-禁用端口掃描
-sn（無(wú)端口掃描）管引。
           此選項(xiàng)告訴Nmap在主機(jī)發(fā)現(xiàn)后不要進(jìn)行端口掃描士败，
           并且僅打印出響應(yīng)掃描的可用主機(jī)。
           這通常稱為“ ping掃描”褥伴，但您也可以要求
          運(yùn)行traceroute和NSE主機(jī)腳本谅将。默認(rèn)情況下，這是一個(gè)步驟
           比列表掃描更具侵入性重慢，通臣⒈郏可用于
           相同的目的。它允許對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行偵察
          沒(méi)有引起太多的關(guān)注似踱。知道有多少主機(jī)在運(yùn)行
           對(duì)攻擊者而言擅笔，比列表掃描提供的列表更有價(jià)值
           每個(gè)IP和主機(jī)名。
 
          系統(tǒng)管理員經(jīng)常發(fā)現(xiàn)此選項(xiàng)也很有價(jià)值屯援。它
           可以輕松地用于計(jì)算網(wǎng)絡(luò)上的可用計(jì)算機(jī)或
          監(jiān)視服務(wù)器可用性猛们。這通常稱為ping掃描，
           比ping廣播地址更可靠狞洋，因?yàn)樵S多
           主機(jī)不回復(fù)廣播查詢弯淘。
 
           使用-sn完成的默認(rèn)主機(jī)發(fā)現(xiàn)包括ICMP回顯
          請(qǐng)求，TCP SYN到端口443吉懊，TCP ACK到端口80和ICMP
          默認(rèn)情況下的時(shí)間戳請(qǐng)求庐橙。由無(wú)特權(quán)的人執(zhí)行時(shí)
           用戶假勿，僅SYN數(shù)據(jù)包（使用連接調(diào)用）發(fā)送到端口80
           和443在目標(biāo)上。當(dāng)特權(quán)用戶嘗試掃描目標(biāo)時(shí)
           在本地以太網(wǎng)上态鳖，除非使用--send-ip转培，否則將使用ARP請(qǐng)求。
           被指定浆竭。 -sn選項(xiàng)可以與任何
          發(fā)現(xiàn)探針類型（-P *選項(xiàng)浸须，-Pn除外），以實(shí)現(xiàn)更大的發(fā)現(xiàn)
          靈活性邦泄。如果其中任何探針類型和端口號(hào)選項(xiàng)為
           使用時(shí)删窒，默認(rèn)探針將被覆蓋。當(dāng)使用嚴(yán)格的防火墻時(shí)
           在運(yùn)行Nmap的源主機(jī)和目標(biāo)之間
           網(wǎng)絡(luò)顺囊，建議使用那些高級(jí)技術(shù)肌索。除此以外
           當(dāng)防火墻掉下探針或它們的主機(jī)時(shí)，主機(jī)可能會(huì)丟失
          回應(yīng)特碳。
 
           Nmap的先前版本-sn被稱為-sP诚亚。

Quick scan：快速掃描

nmap -T4 -F

-F：-F：快速模式-掃描的端口少于默認(rèn)掃描
            -F（快速（受限端口）掃描）。
           指定您希望掃描的端口數(shù)少于默認(rèn)端口數(shù)午乓。
           通常亡电，Nmap每次掃描都會(huì)掃描最常見(jiàn)的1,000個(gè)端口
           協(xié)議。 使用-F時(shí)硅瞧，該值減少為100。
 
            Nmap需要一個(gè)包含頻率信息的nmap-services文件
            以便了解最常見(jiàn)的端口恕汇。 如果端口頻率
           信息不可用腕唧，可能是因?yàn)槭褂昧俗远x
           nmap-services文件，Nmap掃描所有命名的端口以及端口1-1024瘾英。
            在這種情況下枣接，-F表示僅掃描在
           服務(wù)文件。

Slow comprehensive scan：慢速綜合性掃描

nmap -sS -sU -T4 -A -v -PE -PP -PS80,443 -PA3389-PU40125 -PY -g 53 --script "default or (discovery and safe)"

-PE / PP：ICMP回顯缺谴，時(shí)間戳
-PS端口列表（TCP SYN Ping）但惶。
           此選項(xiàng)發(fā)送設(shè)置了SYN標(biāo)志的空TCP數(shù)據(jù)包。的
          默認(rèn)目標(biāo)端口為80（可在編譯時(shí)配置為
          更改DEFAULT_TCP_PROBE_PORT_SPEC湿蛔。在nmap.h中）膀曾。
           可以將端口指定為參數(shù)。語(yǔ)法與
           對(duì)于-p阳啥，除了端口類型說(shuō)明符（如T :）不是
          允許的添谊。示例為-PS22和-PS22-25,80,113,1050,35000。注意
           -PS和端口列表之間不能有空格察迟。如果
          指定了多個(gè)探測(cè)斩狱，它們將并行發(fā)送耳高。
 
           SYN標(biāo)志向遠(yuǎn)程系統(tǒng)建議您正在嘗試
           建立連接。通常所踊，目標(biāo)端口為
           關(guān)閉泌枪，然后發(fā)送回RST（重置）數(shù)據(jù)包。如果端口碰巧
           首先秕岛，目標(biāo)將采取TCP的第二步
          三向握手碌燕。通過(guò)響應(yīng)SYN / ACK TCP數(shù)據(jù)包。的
          運(yùn)行Nmap的計(jì)算機(jī)瓣蛀，然后通過(guò)斷開(kāi)連接的新生連接
          用RST響應(yīng)而不是發(fā)送ACK數(shù)據(jù)包
          完成三向握手并建立完整連接陆蟆。
           RST數(shù)據(jù)包由運(yùn)行Nmap的計(jì)算機(jī)的內(nèi)核發(fā)送
          對(duì)意外SYN / ACK的響應(yīng)，而不是Nmap本身惋增。
 
           Nmap不在乎端口是打開(kāi)還是關(guān)閉叠殷。要么
           先前討論的RSTor SYN / ACK響應(yīng)告訴Nmap
           hostis可用并且響應(yīng)迅速。
 
           在Unix上诈皿，只有特權(quán)用戶root林束。通常能夠
           發(fā)送和接收原始TCP數(shù)據(jù)包。
          解決方法是自動(dòng)采用的稽亏。從而連接系統(tǒng)
           針對(duì)每個(gè)目標(biāo)端口啟動(dòng)愈傷組織壶冒。具有以下效果
          向目標(biāo)主機(jī)發(fā)送SYN數(shù)據(jù)包，以嘗試建立
           連接截歉。如果連接返回成功或快速
           ECONNREFUSED失敗胖腾，基礎(chǔ)TCPstack必須已收到
          SYN / ACK或RST，主機(jī)標(biāo)記為可用瘪松。如果連接
          嘗試掛起咸作，直到達(dá)到超時(shí)為止，主機(jī)是
          標(biāo)記為向下宵睦。
-PA -PA端口列表（TCP ACK Ping）记罚。
           TCP ACK ping與剛剛討論的SYN ping非常相似。
           您可能會(huì)猜到的區(qū)別是TCP ACK標(biāo)志
           isset而不是SYN標(biāo)志壳嚎。這種ACK封包據(jù)稱是
          通過(guò)已建立的TCP連接確認(rèn)數(shù)據(jù)桐智，但沒(méi)有這種方法
          連接存在。因此烟馅，遠(yuǎn)程主機(jī)應(yīng)始終以RST響應(yīng)
          數(shù)據(jù)包说庭，公開(kāi)它們?cè)谶^(guò)程中的存在。
 
           -PA選項(xiàng)使用與SYN探針（80）相同的默認(rèn)端口郑趁，并且
           也可以采用相同格式的目標(biāo)端口列表口渔。如果
          非特權(quán)用戶嘗試此操作，討論了連接解決方??法
          以前使用穿撮。此解決方法不完善缺脉，因?yàn)閏onnect是
          實(shí)際上是發(fā)送SYN數(shù)據(jù)包而不是ACK痪欲。
 
           同時(shí)提供SYN和ACK ping探針的原因是
           繞過(guò)防火墻的機(jī)會(huì)。許多管理員配置
          路由器和其他簡(jiǎn)單的防火墻來(lái)阻止傳入的SYN數(shù)據(jù)包
          除了那些打算用于公共服務(wù)（例如公司網(wǎng)站）的網(wǎng)站
           站點(diǎn)或郵件服務(wù)器攻礼。這樣可以防止其他傳入連接
           組織业踢，同時(shí)允許用戶暢通無(wú)阻
          到Internet的傳出連接。這種無(wú)狀態(tài)方法
           占用防火墻/路由器上的少量資源礁扮，并且分布廣泛
          受硬件和軟件過(guò)濾器支持知举。的Linux
          Netfilter / iptables。防火墻軟件提供--syn便利
          實(shí)現(xiàn)這種無(wú)狀態(tài)方法的選擇太伊。無(wú)狀態(tài)時(shí)
          這樣的防火墻規(guī)則已經(jīng)到位雇锡，SYN ping探針（-PS）
          發(fā)送到封閉的目標(biāo)端口時(shí)很可能被阻止。在這樣的
          在這種情況下僚焦，ACK探針會(huì)在遵循這些規(guī)則時(shí)發(fā)光锰提。
 
          防火墻的另一種常見(jiàn)類型使用狀態(tài)規(guī)則，該規(guī)則會(huì)丟棄
          意外的數(shù)據(jù)包芳悲。最初發(fā)現(xiàn)此功能主要是在
          高端防火墻立肘，盡管它在
          年份。 Linux Netfilter / iptables系統(tǒng)通過(guò)以下方式支持此功能
           --state選項(xiàng)名扛，可根據(jù)連接對(duì)數(shù)據(jù)包進(jìn)行分類
           州谅年。 SYN探針更有可能在這樣的系統(tǒng)上工作，例如
          意外的ACK數(shù)據(jù)包通常被識(shí)別為偽造的
          下降肮韧。解決這個(gè)難題的方法是同時(shí)發(fā)送SYN和ACK
          通過(guò)指定-PS和-PA進(jìn)行探測(cè)融蹂。
-PS和PA一起使用來(lái)最大限度的避過(guò)防火墻等安全設(shè)備的檢測(cè)
-g/--source-port : Use given portnumber
 
nmap --script "default or safe"
           Thisis functionally equivalent to nmap --script "default,safe". It
           loadsall scripts that are in the default category or the safe
          category or both.

• 1. 獲取遠(yuǎn)程主機(jī)的系統(tǒng)類型及開(kāi)放端口
     nmap -sS -P0 -sV -O
     這里的 < target > 可以是單一 IP, 或主機(jī)名，或域名弄企，或子網(wǎng)
     -sS TCP SYN 掃描 (又稱半開(kāi)放,或隱身掃描)
     -P0 允許你關(guān)閉 ICMP pings.
     -sV 打開(kāi)系統(tǒng)版本檢測(cè)
     -O 嘗試識(shí)別遠(yuǎn)程操作系統(tǒng)
     其它選項(xiàng):
     -A 同時(shí)打開(kāi)操作系統(tǒng)指紋和版本檢測(cè)
     -v 詳細(xì)輸出掃描情況.
     nmap -sS -P0 -A -v < target >
• 2. 列出開(kāi)放了指定端口的主機(jī)列表
     nmap -sT -p 80 -oG – 192.168.1.* | grep open
• 3. 在網(wǎng)絡(luò)尋找所有在線主機(jī)
     nmap -sP 192.168.0.*
     或者也可用以下命令:
     nmap -sP 192.168.0.0/24
     指定 subnet
• 4. Ping 指定范圍內(nèi)的 IP 地址
     nmap -sP 192.168.1.100-254
• 5. 在某段子網(wǎng)上查找未占用的 IP
     nmap -T4 -sP 192.168.2.0/24 && egrep “00:00:00:00:00:00″ /proc/net/arp
• 6. 在局域網(wǎng)上掃找 Conficker 蠕蟲(chóng)病毒
     nmap -PN -T4 -p139,445 -n -v –script=smb-check-vulns –script-args safe=1 192.168.0.1-254
• 7. 掃描網(wǎng)絡(luò)上的惡意接入點(diǎn) （rogue APs）.
     nmap -A -p1-85,113,443,8080-8100 -T4 –min-hostgroup 50 –max-rtt-timeout 2000 –initial-rtt-timeout 300 –max-retries 3 –host-
     timeout 20m –max-scan-delay 1000 -oA wapscan 10.0.0.0/8
• 8 ) 使用誘餌掃描方法來(lái)掃描主機(jī)端口
  sudo nmap -sS 192.168.0.10 -D 192.168.0.2
• 9. 為一個(gè)子網(wǎng)列出反向 DNS 記錄
     nmap -R -sL 209.85.229.99/27 | awk ‘{if(2″) no PTR”;else print2}’ | grep ‘(‘
• 10. 顯示網(wǎng)絡(luò)上共有多少臺(tái) Linux 及 Win 設(shè)備?
      sudo nmap -F -O 192.168.0.1-255 | grep “Running: ” > /tmp/os; echo “(cat /tmp/os | grep Windows | wc -l) Window(s) device”
• 11.最終掃描結(jié)果可以通過(guò)-oG -oX等輸出

附：簡(jiǎn)書上比較好的文章：> http://www.reibang.com/p/dc0a9b3eae77?_wv=1031