nmap 實例[From]http://www.insecure.org/nmap/man/zh/index.html下面給出一些實例，簡單的、復雜的到深奧的。為更具體，一些例子使用了實際的IP 地址

nmap 實例

[From]http://www.insecure.org/nmap/man/zh/index.html

下面給出一些實例，簡單的、復雜的到深奧的。為更具體，一

些例子使用了實際的IP 地址和域名。在這些位置，可以使用你自己網絡

的地址/域名替換。注意，掃描其它網絡不一定合法，一些網絡管理員不愿看到 未申請過的掃描，會產生報怨。因此，先獲得允許是最好的辦法。

如果是為了測試，scanme.nmap.org

允許被掃描。但僅允許使用Nmap 掃描并禁止測試漏洞或進行DoS 攻擊。為 保證帶寬，對該主機的掃描每天不要超過12次。如果這個免費掃描服務被 濫用，系統(tǒng)將崩潰而且Nmap 將報告解析

指定的主機名/IP地址失敗：scanme.nmap.org 。這些免

費掃描要求也適用于scanme2.nmap.org 、

scanme3.nmap.org 等等，雖然這些

主機目前還不存在。

nmap -v scanme.nmap.org

這個選項掃描主機scanme.nmap.org 中

所有的保留TCP 端口。選項-v 啟用細節(jié)模式。

nmap -sS -O scanme.nmap.org/24

進行秘密SYN 掃描，對象為主機Saznme 所在的“C 類”網段

的255臺主機。同時嘗試確定每臺工作主機的操作系統(tǒng)類型。因為進行SYN 掃描 和操作系統(tǒng)檢測，這個掃描需要有根權限。

nmap -sV -p 22，53，110，143，4564

198.116.0-255.1-127

進行主機列舉和TCP 掃描，對象為B 類188.116網段中255個8位子網。這

個測試用于確定系統(tǒng)是否運行了sshd 、DNS 、imapd 或4564端口。如果這些端口 打開，將使用版本檢測來確定哪種應用在運行。

nmap -v -iR 100000 -P0 -p 80

隨機選擇100000臺主機掃描是否運行Web 服務器(80端口) 。由起始階段

發(fā)送探測報文來確定主機是否工作非常浪費時間，而且只需探測主機的一個端口，因 此使用-P0禁止對主機列表。

nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG

logs/pb-port80scan.gnmap 216.163.128.20/20

掃描4096個IP 地址，查找Web 服務器(不ping) ，將結果以Grep 和XML 格式保存。

host -l company.com | cut -d -f 4 | nmap -v -iL

-

進行DNS 區(qū)域傳輸，以發(fā)現company.com 中的主機，然后將IP 地址提供給

Nmap 。上述命令用于GNU/Linux -- 其它系統(tǒng)進行區(qū)域傳輸時有不同的命令。

========================================================

主機發(fā)現

任何網絡探測任務的最初幾個步驟之一就是把一組IP 范圍(有時該范圍是巨大的) 縮小為 一列活動的或者您感興趣的主機。掃描每個IP 的每個端口很慢，通常也沒必要。

當然，什么樣的主機令您感興趣主要依賴于掃描的目的。網管也許只對運行特定服務的 主機感興趣，而從事安全的人士則可能對一個馬桶都感興趣，只要它有IP 地址:-)。一個系統(tǒng)管理員

也許僅僅使用Ping 來定位內網上的主機，而一個外部入侵測試人員則可能絞盡腦汁用各種方法試圖

突破防火墻的封鎖。

由于主機發(fā)現的需求五花八門，Nmap 提供了一籮筐的選項來定制您的需求。

主機發(fā)現有時候也叫做ping 掃描，但它遠遠超越用世人皆知的ping 工具

發(fā)送簡單的ICMP 回聲請求報文。用戶完全可以通過使用列表掃描(-sL)或者

通過關閉ping (-P0)跳過ping 的步驟，也可以使用多個端口把TPC SYN/ACK，UDP 和ICMP 任意組合起來玩一玩。這些探測的目的是獲得響應以顯示某個IP 地址是否是活動的(正在被某

主機或者網絡設備使用) 。 在許多網絡上，在給定的時間，往往只有小部分的IP 地址是活動的。

這種情況在基于RFC1918的私有地址空間如10.0.0.0/8尤其普遍。

那個網絡有16,000,000個IP ，但我見過一些使用它的公司連1000臺機器都沒有。 主機發(fā)現能夠找到零星分布于IP 地址海洋上的那些機器。

如果沒有給出主機發(fā)現的選項，Nmap

就發(fā)送一個TCP ACK報文到80端口和一個ICMP 回聲請求到每臺目標機器。

一個例外是ARP 掃描用于局域網上的任何目標機器。對于非特權UNIX

shell 用戶，使用connect()系統(tǒng)調用會發(fā)送一個SYN 報文而不是ACK

這些默認行為和使用-PA -PE選項的效果相同。

掃描局域網時，這種主機發(fā)現一般夠用了，但是對于安全審核，建議進行

更加全面的探測。

-P*選項(用于選擇

ping 的類型) 可以被結合使用。 您可以通過使用不同的TCP 端口/標志位和ICMP 碼發(fā)送許多探測報文

來增加穿透防守嚴密的防火墻的機會。另外要注意的是即使您指定了其它

-P*選項，ARP 發(fā)現(-PR)對于局域網上的

目標而言是默認行為，因為它總是更快更有效。

下列選項控制主機發(fā)現。

-sL (列表掃描)

列表掃描是主機發(fā)現的退化形式，它僅僅列出指定網絡上的每臺主機，

不發(fā)送任何報文到目標主機。默認情況下，Nmap 仍然對主機進行反向域名解析以獲取 它們的名字。簡單的主機名能給出的有用信息常常令人驚訝。例如，

fw.chi.playboy.com 是花花公子芝加哥辦公室的

防火墻。Nmap 最后還會報告IP 地址的總數。列表掃描可以很好的確保您擁有正確的目標IP 。

如果主機的域名出乎您的意料，那么就值得進一步檢查以防錯誤地掃描其它組織的網絡。 既然只是打印目標主機的列表，像其它一些高級功能如端口掃描，操作系統(tǒng)探測或者Ping 掃描

的選項就沒有了。如果您希望關閉ping 掃描而仍然執(zhí)行這樣的高級功能，請繼續(xù)閱讀關于 -P0選項的介紹。

-sP (Ping掃描)

該選項告訴Nmap 僅僅

進行ping 掃描 (主機發(fā)現) ，然后打印出對掃描做出響應的那些主機。

沒有進一步的測試 (如端口掃描或者操作系統(tǒng)探測) 。 這比列表掃描更積極，常常用于 和列表掃描相同的目的。它可以得到些許目標網絡的信息而不被特別注意到。

對于攻擊者來說，了解多少主機正在運行比列表掃描提供的一列IP 和主機名往往更有價值。 系統(tǒng)管理員往往也很喜歡這個選項。 它可以很方便地得出

網絡上有多少機器正在運行或者監(jiān)視服務器是否正常運行。常常有人稱它為

本篇文章來源于 黑軟基地-中國最大的黑客軟件安全教程下載站！（技術學院） 原文鏈接：http://www.hackvip.com/article/sort0136/sort0186/Hackvip_146187.html