1、Nmap的使用說明許多人認(rèn)為端口掃描器是黑客們才需要關(guān)心的工具，其實(shí)不然，知己知彼，才能百戰(zhàn)不殆，端口掃描器是幫助你了解 自己系統(tǒng)的絕佳助手。象Windows 2K/XP這樣復(fù)雜的操作系統(tǒng)支持應(yīng)用軟件打開數(shù)百個(gè)端口與其他客戶程序或服務(wù)器通信，端口掃描是檢測服務(wù)器上運(yùn)行了哪些服務(wù)和應(yīng)用、向Internet或其他網(wǎng)絡(luò)開放了哪些聯(lián)系通道的一種辦法，不僅速度快，而且效果也很不錯(cuò)。目前支持Win 2K/XP的端口掃描器已經(jīng)有不少，部分還提供GUI（圖形用戶界面）。在諸多端口掃描器中，Nmap是其中的佼佼者它提供了大量的命令行選項(xiàng)，能夠靈活地滿足各種掃描要求，而且輸出格式豐富。Nmap原先是為Unix平臺

2、開發(fā)的，是許多Unix管理員的至愛，后來才被移植到Windows平臺。Nmap for Windows最新的穩(wěn)定版本是3.27，可以從/nmap/免費(fèi)下載。一、安裝NmapNmap要用到一個(gè)稱為“Windows包捕獲庫”的驅(qū)動程序WinPcap如果你經(jīng)常從網(wǎng)上下載流媒體電影，可能已經(jīng)熟悉這個(gè)驅(qū)動程序某些流媒體電影的地址是加密的，偵測這些電影的真實(shí)地址就要用到WinPcap。WinPcap的作用是幫助調(diào)用程序（即這里的Nmap）捕獲通過網(wǎng)卡傳輸?shù)脑紨?shù)據(jù)。WinPcap的最新版本在 nmap-os-fingerprints：列出了500多種網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)的堆棧

3、標(biāo)識信息。 nmap-protocols：Nmap執(zhí)行協(xié)議掃描的協(xié)議清單。 nmap-rpc：遠(yuǎn)程過程調(diào)用（RPC）服務(wù)清單，Nmap用它來確定在特定端口上監(jiān)聽的應(yīng)用類型。 nmap-services：一個(gè)TCP/UDP服務(wù)的清單，Nmap用它來匹配服務(wù)名稱和端口號。圖一二、常用掃描類型解開Nmap命令行版的壓縮包之后，進(jìn)入Windows的命令控制臺，再轉(zhuǎn)到安裝Nmap的目錄（如果經(jīng)常要用Nmap，最好把它的路徑加入到PATH環(huán)境變量）。不帶任何命令行參數(shù)運(yùn)行Nmap，Nmap顯示出命令語法，如圖二所示。圖二下面是Nmap支持的四種最基本的掃描方式： TCP connect()端口掃描（-sT

4、參數(shù)）。 TCP同步（SYN）端口掃描（-sS參數(shù)）。 UDP端口掃描（-sU參數(shù)）。 Ping掃描（-sP參數(shù)）。如果要勾畫一個(gè)網(wǎng)絡(luò)的整體情況，Ping掃描和TCP SYN掃描最為實(shí)用。Ping掃描通過發(fā)送ICMP（Internet Control Message Protocol，Internet控制消息協(xié)議）回應(yīng)請求數(shù)據(jù)包和TCP應(yīng)答（Acknowledge，簡寫ACK）數(shù)據(jù)包，確定主機(jī)的狀態(tài)，非常適合于檢測指定網(wǎng)段內(nèi)正在運(yùn)行的主機(jī)數(shù)量。TCP SYN掃描一下子不太好理解，但如果將它與TCP connect()掃描比較，就很容易看出這種掃描方式的特點(diǎn)。在TCP connect()掃描中，

5、掃描器利用操作系統(tǒng)本身的系統(tǒng)調(diào)用打開一個(gè)完整的TCP連接也就是說，掃描器打開了兩個(gè)主機(jī)之間的完整握手過程（SYN，SYN-ACK，和ACK）。一次完整執(zhí)行的握手過程表明遠(yuǎn)程主機(jī)端口是打開的。TCP SYN掃描創(chuàng)建的是半打開的連接，它與TCP connect()掃描的不同之處在于，TCP SYN掃描發(fā)送的是復(fù)位（RST）標(biāo)記而不是結(jié)束ACK標(biāo)記（即，SYN，SYN-ACK，或RST）：如果遠(yuǎn)程主機(jī)正在監(jiān)聽且端口是打開的，遠(yuǎn)程主機(jī)用SYN-ACK應(yīng)答，Nmap發(fā)送一個(gè)RST；如果遠(yuǎn)程主機(jī)的端口是關(guān)閉的，它的應(yīng)答將是RST，此時(shí)Nmap轉(zhuǎn)入下一個(gè)端口。圖三是一次測試結(jié)果，很明顯，TCP SYN掃描速

6、度要超過TCP connect()掃描。采用默認(rèn)計(jì)時(shí)選項(xiàng)，在LAN環(huán)境下掃描一個(gè)主機(jī)，Ping掃描耗時(shí)不到十秒，TCP SYN掃描需要大約十三秒，而TCP connect()掃描耗時(shí)最多，需要大約7分鐘。圖三Nmap支持豐富、靈活的命令行參數(shù)。例如，如果要掃描192.168.7網(wǎng)絡(luò)，可以用192.168.7.x/24或-255的形式指定IP地址范圍。指定端口范圍使用-p參數(shù)，如果不指定要掃描的端口，Nmap默認(rèn)掃描從1到1024再加上nmap-services列出的端口。如果要查看Nmap運(yùn)行的詳細(xì)過程，只要啟用verbose模式，即加上-v參數(shù)，或者加上-vv參數(shù)獲得更

7、加詳細(xì)的信息。例如，nmap -sS -255 -p 20,21,53-110,30000- -v命令，表示執(zhí)行一次TCP SYN掃描，啟用verbose模式，要掃描的網(wǎng)絡(luò)是192.168.7，檢測20、21、53到110以及30000以上的端口（指定端口清單時(shí)中間不要插入空格）。再舉一個(gè)例子，nmap -sS /24 -p 80掃描192.168.0子網(wǎng)，查找在80端口監(jiān)聽的服務(wù)器（通常是Web服務(wù)器）。 有些網(wǎng)絡(luò)設(shè)備，例如路由器和網(wǎng)絡(luò)打印機(jī)，可能禁用或過濾某些端口，禁止對該設(shè)備或跨越該設(shè)備的掃描。初步偵測網(wǎng)絡(luò)情況時(shí)，-host_timeout&l

8、t;毫秒數(shù)>參數(shù)很有用，它表示超時(shí)時(shí)間，例如nmap sS host_timeout 10000 命令規(guī)定超時(shí)時(shí)間是10000毫秒。網(wǎng)絡(luò)設(shè)備上被過濾掉的端口一般會大大延長偵測時(shí)間，設(shè)置超時(shí)參數(shù)有時(shí)可以顯著降低掃描網(wǎng)絡(luò)所需時(shí)間。Nmap會顯示出哪些網(wǎng)絡(luò)設(shè)備響應(yīng)超時(shí)，這時(shí)你就可以對這些設(shè)備個(gè)別處理，保證大范圍網(wǎng)絡(luò)掃描的整體速度。當(dāng)然，host_timeout到底可以節(jié)省多少掃描時(shí)間，最終還是由網(wǎng)絡(luò)上被過濾的端口數(shù)量決定。Nmap的手冊（man文檔）詳細(xì)說明了命令行參數(shù)的用法（雖然man文檔是針對UNIX版Nmap編寫的，但同樣提供了Win32版本的說明）。三、注意事項(xiàng)也

9、許你對其他端口掃描器比較熟悉，但Nmap絕對值得一試。建議先用Nmap掃描一個(gè)熟悉的系統(tǒng)，感覺一下Nmap的基本運(yùn)行模式，熟悉之后，再將掃描范圍擴(kuò)大到其他系統(tǒng)。首先掃描內(nèi)部網(wǎng)絡(luò)看看Nmap報(bào)告的結(jié)果，然后從一個(gè)外部IP地址掃描，注意防火墻、入侵檢測系統(tǒng)（IDS）以及其他工具對掃描操作的反應(yīng)。通常，TCP connect()會引起IDS系統(tǒng)的反應(yīng)，但I(xiàn)DS不一定會記錄俗稱“半連接”的TCP SYN掃描。最好將Nmap掃描網(wǎng)絡(luò)的報(bào)告整理存檔，以便隨后參考。如果你打算熟悉和使用Nmap，下面幾點(diǎn)經(jīng)驗(yàn)可能對你有幫助： 避免誤解。不要隨意選擇測試Nmap的掃描目標(biāo)。許多單位把端口掃描視為惡意行為，所以測

10、試Nmap最好在內(nèi)部網(wǎng)絡(luò)進(jìn)行。如有必要，應(yīng)該告訴同事你正在試驗(yàn)端口掃描，因?yàn)閽呙杩赡芤l(fā)IDS警報(bào)以及其他網(wǎng)絡(luò)問題。 關(guān)閉不必要的服務(wù)。根據(jù)Nmap提供的報(bào)告（同時(shí)考慮網(wǎng)絡(luò)的安全要求），關(guān)閉不必要的服務(wù)，或者調(diào)整路由器的訪問控制規(guī)則（ACL），禁用網(wǎng)絡(luò)開放給外界的某些端口。 建立安全基準(zhǔn)。在Nmap的幫助下加固網(wǎng)絡(luò)、搞清楚哪些系統(tǒng)和服務(wù)可能受到攻擊之后，下一步是從這些已知的系統(tǒng)和服務(wù)出發(fā)建立一個(gè)安全基準(zhǔn)，以后如果要啟用新的服務(wù)或者服務(wù)器，就可以方便地根據(jù)這個(gè)安全基準(zhǔn)執(zhí)行。舉例：>nmap -O >nmap O -139>nmap -sP&

11、gt;nmap -sT，135，135Nmap網(wǎng)絡(luò)安全掃描器說明 名稱-*nmap - 網(wǎng)絡(luò)勘察工具和安全掃描器摘要-*nmap 掃描類型 選項(xiàng) <主機(jī)或網(wǎng)絡(luò) #1 . #N>描述-*nmap被開發(fā)用于允許系統(tǒng)管理員察看一個(gè)大的網(wǎng)絡(luò)系統(tǒng)有哪些主機(jī)以及其上運(yùn)行何種服務(wù)。它支持多種協(xié)議的掃描如UDP，TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和Null掃描。你可以從S

12、CAN TYPES一節(jié)中察看相關(guān)細(xì)節(jié)。nmap還提供一些實(shí)用功能如通過tcp/ip來甄別操作系統(tǒng)類型、秘密掃描、動態(tài)延遲和重發(fā)、平行掃描、通過并行的PING偵測下屬的主機(jī)、欺騙掃描、端口過濾探測、直接的RPC掃描、分布掃描、靈活的目標(biāo)選擇以及端口的描述。對非ROOT的用戶來說，nmap的正式版可以做很多重要的東西了。不幸的是部份關(guān)鍵的核心功能（比如raw sockets）需要root權(quán)限。所以盡量以root的身份運(yùn)行nmap。運(yùn)行nmap后通常會得到一個(gè)關(guān)于你掃描的機(jī)器的一個(gè)實(shí)用的端口列表。nmap總是顯示該服務(wù)的服務(wù)名稱,端口號，狀態(tài)以及協(xié)議。狀態(tài)有''open'&#

13、39;,''filtered''和''unfiltered''三種。''open''指的是目標(biāo)機(jī)器將會在該端口接受你的連接請求。''filtered''指的是有防火墻、過濾裝置或者其它的網(wǎng)絡(luò)障礙物在這個(gè)端口阻擋了nmap 進(jìn)一步查明端口是否開放的動作。至于''unfiltered''則只有在大多數(shù)的掃描端口都處在''filtered''狀態(tài)下才會出現(xiàn)的。根據(jù)選項(xiàng)的使用，nmap還可以報(bào)告遠(yuǎn)程主機(jī)下面的特性

14、：使用的操作系統(tǒng)、TCP連續(xù)性、在各端口上綁定的應(yīng)用程序用戶的用戶名、DNS名、主機(jī)是否是個(gè)smurf地址以及一些其它功能。選項(xiàng)-*這些選項(xiàng)通常都是可組合使用的。使用參數(shù)可以精確地定義一個(gè)掃描模式。nmap將會盡力捕捉并對不規(guī)范的參數(shù)組合作出提示。如果你急于開始，你可以跳過本文未尾的示例節(jié)那兒有最基本的使用方法的示范。你也可以使用nmap -h來打開關(guān)于nmap選項(xiàng)參數(shù)的簡介。掃描類型-*-sT TCP connect()掃描：這是對TCP的最基本形式的偵測。在該操作下，該connect()對目標(biāo)主機(jī)上你感興趣的端口進(jìn)行試探，如果該端口被監(jiān)聽，則連接成功否則代表這個(gè)端口無法到達(dá)。這個(gè)技術(shù)的很大

15、好處就是你無須任何特殊權(quán)限，在大多數(shù)的UNIX系統(tǒng)下這個(gè)命令可以被任何人自由地使用。但是這種形式的探測很容易被目標(biāo)主機(jī)察覺并記錄下來。因?yàn)榉?wù)器接受了一個(gè)連接但它卻馬上斷開，于是其記錄會顯示出一連串的連接及錯(cuò)誤信息。-sS TCP SYN 掃描：這類技術(shù)通常涉及一種“半開”式的掃描因?yàn)槟悴淮蜷_完整的TCP連接，你發(fā)送一個(gè)SYN信息包就象你要打開一個(gè)真正的連接而且你在等待對方的回應(yīng)。一個(gè)SYNACK(應(yīng)答)會表明該端口是開放監(jiān)聽的。一個(gè)RST（空閑?）則代表該端口未被監(jiān)聽。如果SYNACK的回應(yīng)返回，則會馬上發(fā)送一個(gè)RST包來中斷這個(gè)連接（事實(shí)上是我們的系統(tǒng)核心在干這事）。這種掃描的最大好處是只

16、有極少的站點(diǎn)會對它作出記錄，但是你需要有root權(quán)限來定制這些SYN包。-sF -sX -sNStealth FIN,Xmas Tree 或者Null掃描模式：有時(shí)甚至SYN掃描都不夠隱蔽一些防火墻及信息包過濾裝置會在重要端口守護(hù)，SYN包在此時(shí)會被截獲，一些應(yīng)用軟件如Synlogger以及Courtney對偵測這類型的掃描都是行家。所以呢，在另一方面要有更進(jìn)一步的掃描能在不遇到麻煩的情況下通過它們這個(gè)主意是關(guān)閉的端口會對你發(fā)送的探測信息包返回一個(gè)RST，而打開的端口則對其忽略不理（你可以參閱RFC 973 PP64）。所以FIN掃描使用空的FIN信息包作為探針、Xmas tree使用FIN，

17、URG，PUSH標(biāo)記、Null掃描則不用任何標(biāo)記。但是不幸的是微軟以他們一貫的風(fēng)格不理睬這一標(biāo)準(zhǔn)所以這一掃描在WINDOWS9X以及NT下不能工作。從積極方面來講，這其實(shí)也是一個(gè)很好的區(qū)分兩種平臺的辦法如果這次掃描發(fā)現(xiàn)了打開的端口，那你就能明白這臺機(jī)器不是運(yùn)行WINDOWS。如果-sF,-sX,-sN的掃描顯示所有端口都是關(guān)閉的但一個(gè)SYN(-sS)掃描卻顯示有打開端口，那你就能大致推斷它是WINDOWS平臺。這只是一個(gè)簡單應(yīng)用，因?yàn)楝F(xiàn)在nmap已經(jīng)有了更徹底的操作系統(tǒng)判別方法當(dāng)然它的原理類似上面所提到的.這些平臺包括Cisco, BSDI, HP/UX, MVS, 和IRIX。-sP Pin

18、g掃描：有時(shí)你僅希望了解網(wǎng)絡(luò)上有哪些主機(jī)是開放的，nmap可以通過對你指定的IP地址發(fā)送ICMP的echo request信息包來做到這一點(diǎn)，有回應(yīng)的主機(jī)就是開放的啦。但令人討厭的是一些站點(diǎn)比如對echo request包設(shè)置了障礙。這樣的話nmap還能發(fā)送一個(gè)TCP ack包到80端口（默認(rèn)），如果獲得了RST返回，機(jī)器是開放的。第三個(gè)方法是發(fā)送一個(gè)SYN信息包并等待RST 或SYN/ACK響應(yīng)了。作為非root的用戶可以使用的，常用connect()模式。對root來說，默認(rèn)的nmap同時(shí)使用ICMP和ACK的方法掃描，當(dāng)然你也可以改變-P選項(xiàng)。注意你最好先ping一下用戶，只有有回應(yīng)的主

19、機(jī)才有必要掃描，只有你不想探測任何的實(shí)際端口掃描只想大面積地搜索一下活動的主機(jī)，你可以使用此選項(xiàng)。-sU UDP掃描：這一方法是用來確定哪個(gè)UDP(User Datagram Protocol,RFC 768)端口在主機(jī)端開放。這一技術(shù)是以發(fā)送零字節(jié)的UDP信息包到目標(biāo)機(jī)器的各個(gè)端口，如果我們收到一個(gè)ICMP端口無法到達(dá)的回應(yīng)，那么該端口是關(guān)閉的，否則我們可以認(rèn)為它是敞開大門的。有些人或許會認(rèn)為UDP掃描是無意義的，我通常會以最近的Solaris rcpbind漏洞來提醒他們。Rpcbind會隱藏在一個(gè)非正式的UDP端口于32770口以上，因此對111進(jìn)行防火墻過濾是無關(guān)緊要的.但你是否查找過

20、在30000以上的端口是否處在監(jiān)聽狀態(tài)中，用UDP掃描你就能輕松地做到這一點(diǎn)！或者大家還可以想想cDc出品的Back Orifice木馬（BO），它可以在Windows的機(jī)器中配置一個(gè)UDP端口，更不用說如此眾多可以利用UDP的、易受攻擊的服務(wù)如snmp,tftp,NFS等了。但有一點(diǎn)不得不提及的是UDP掃描在目標(biāo)主機(jī)按照RFC 1812（節(jié)）建議的那樣限制ICMP錯(cuò)誤信息的傳送速率時(shí)會令人痛苦的緩慢。舉例來說吧，Linux 的核心配置(在net/ipv4/icmp.h)限制了每4秒產(chǎn)生80次的無法到達(dá)信息每次產(chǎn)生1/4秒的延遲。Solaris有著更嚴(yán)格的限制（大約每秒兩次就會延

21、遲），所以這要耗費(fèi)相當(dāng)長的時(shí)間。nmap會偵測到這種限制并自動減緩速度這也勝過用無意義的會被目標(biāo)主機(jī)忽略的大量信息包來填充這個(gè)網(wǎng)絡(luò)。如以往一樣，微軟還是不在乎RFC所建議的事而且沒有任何限制性措施實(shí)行于WINDOWS或NT上，這樣我們可以把多達(dá)65K的端口以極高的速度掃描完畢，歡呼吧！-sR RPC掃描：這一方法是結(jié)合nmap多種掃描的一種模式，它取得所有的TCP/UDP開放端口并且用SunRPC程序NULL命令來試圖確定是否是RPC端口并且如果是的話，其上運(yùn)行什么程序，何種版本。這樣你可以在目標(biāo)主機(jī)躲在防火墻后或者由TCP wrappers防護(hù)著，它都能取得效果近似于''rp

22、cinfo -p''的信息。但Decoys現(xiàn)在還不能正常工作在RPC掃描下，在以后我會在UDP RPC掃描中加入Decoy支持的。-b(ftp relay host)FTP 跳躍攻擊：FTP協(xié)議的一個(gè)有趣的特點(diǎn)是它支持代理FTP連接(RFC 959)，用另一句話說，我可以從連接到一個(gè)FTP服務(wù)器并且要求目標(biāo)主機(jī)發(fā)送文件到因特網(wǎng)的*任何地方*！在1985年這一RFC被寫下來后這一特性便漸漸施行，但在現(xiàn)在的網(wǎng)絡(luò)上我們不允許人們能夠隨意地“搶劫”一個(gè)FTP SERVER并請求數(shù)據(jù)到任何地方。所以在Hobbit于1995年寫下的有關(guān)這一協(xié)議缺陷時(shí)說到“它可以用來從許多站臺上發(fā)出事實(shí)上難

23、以追查的信件、新聞以及攻擊性行為填充你的硬盤，試圖使防火墻失效或者更多是煩人而無意義的騷擾。我開發(fā)出它來是為了通過一個(gè)代理FTP服務(wù)器察看TCP端口，這樣你可以連上一個(gè)在防火墻后的FTP服務(wù)器然后掃描它看來仿佛堵塞的端口（139是很好的例子）。如果FTP服務(wù)器允許你讀甚至寫進(jìn)某些目錄（比如/incoming），你可以發(fā)送任意信息到你發(fā)現(xiàn)打開了的端口（當(dāng)然nmap不干這事）。對于你要通過''b''選項(xiàng)來使主機(jī)成為你的代理時(shí)，標(biāo)準(zhǔn)的URL格式形式是：username:passwordserver:port。要確定一個(gè)服務(wù)器是否易受這樣的攻擊，你可以看看我在Phrac

24、k 51期上的文章。它的更新版本在/nmap。常規(guī)選項(xiàng)-*這些選項(xiàng)并非必需的，但有些會非常實(shí)用。-P0 在掃描前不嘗試或者PING主機(jī)，這是用來掃描那些不允許ICMP echo 請求(或應(yīng)答)的主機(jī)。就是這其中的一個(gè)例子，我們就必須使用-P0或者-PT80來察看的端口。-PT 用TCP的ping來確定主機(jī)是否打開。作為替代發(fā)送ICMP echo請求包并等待回應(yīng)的方式，我們可以大量發(fā)送TCP ACK包往目標(biāo)網(wǎng)絡(luò)（或者單機(jī)）并一點(diǎn)點(diǎn)地等待它的回應(yīng)，打開的主機(jī)會返回一個(gè)RST。這一參數(shù)可以讓你在ping信息包阻塞時(shí)仍能高效率地掃描一個(gè)網(wǎng)絡(luò)/主機(jī)。對非roo

25、t的用戶，我們用connect()，以如下格式設(shè)置目標(biāo)探針-PT,默認(rèn)的端口是80，因?yàn)檫@相端口往往未被過濾。-PS 這一選項(xiàng)是root用戶使用的，能用SYN(連接請求)包替代ACK包,打開的主機(jī)會有一個(gè)RST(或者SYNACK但比較少見)應(yīng)答。-PI 這一選項(xiàng)是使用一個(gè)真正的ping(ICMP echo request)包。它找到開放的主機(jī)并且將該子網(wǎng)中的廣播地址全數(shù)搜尋該廣播地址是能夠到達(dá)并能正確解析IP包的。如果其會被大量的DoS(denial of service)攻擊時(shí)，我們就能找到它。-PB 默認(rèn)的ping形式，它用于ACK(-PT)與ICMP(-PI)并行攻擊，以這一形式可以通過

26、防火墻或包過濾。-O 經(jīng)由TCP/IP獲取指紋來判別主機(jī)的OS類型，用另一說法，就是用一連串的信息包探測出你所掃描的主機(jī)位于操作系統(tǒng)有關(guān)堆棧信息并區(qū)分其精細(xì)差別，以此判別操作系統(tǒng)。它用搜集到的信息建立一個(gè)“指紋”用來同已知的操作系統(tǒng)的指印相比較(the nmap-os-fingerprints file)這樣判定操作系統(tǒng)就有了依據(jù)。如果你發(fā)現(xiàn)一臺機(jī)器開了至少一個(gè)端口并得到錯(cuò)誤的診斷信息，那么你可以寫信告訴我相關(guān)細(xì)節(jié)比如操作系統(tǒng)版本或偵測到的操作系統(tǒng)版本圖，如果他有端口開放但nmap返回''不可識別的操作系統(tǒng)''，這可能也是有用的，你可以將它的IP告訴我或者另一個(gè)

27、辦法是用nmap的-d參數(shù)并告訴我它返回的“指印”操作系統(tǒng)和版本號，這樣做，也算是對nmap在判定操作系統(tǒng)的進(jìn)一步開發(fā)中做了些事情，以便后續(xù)版本中它能更精確地判別系統(tǒng)類型。-I 這是用ident掃描方式的參數(shù)，如Dave Goldsmith于1996年在Bugtraq中所說的，這個(gè)ident協(xié)議(rfc 1413)允許通過TCP連接得到擁有進(jìn)程的用戶名即使這個(gè)連接不是由該進(jìn)程發(fā)起的。所以呢，舉個(gè)例吧，你可以通過ident連接到一個(gè)http端口并找出該進(jìn)程是否由root運(yùn)行，但這只能在“全開”的對目標(biāo)端口的TCP連接中使用（象-sT掃描參數(shù)）。當(dāng)你用-I參數(shù)時(shí)，遠(yuǎn)程主機(jī)的identd在開放的端口

28、接受連接質(zhì)詢很明顯的，如果主機(jī)不運(yùn)行identd的話，那它就無法正常工作。-f 這個(gè)參數(shù)配置以細(xì)小的IP碎片包實(shí)現(xiàn)SYN，F(xiàn)IN，XMAS或NULL掃描請求。這個(gè)想法是把TCP包頭分別放在幾個(gè)不同的信息包中，使包過濾器難于運(yùn)作，而后你就可以闖入系統(tǒng)做你想做的事了。但要注意，部份程序可能會對這些小信息包處理錯(cuò)誤。比方說我最喜歡的sniffer segmentation在接收第一個(gè)36字節(jié)的信息碎片時(shí)就出現(xiàn)麻煩，之后又來了個(gè)24字節(jié)的！當(dāng)包過濾器和能將IP碎片排列的防火墻沒有獲得此順序時(shí)（就象linux內(nèi)核中的CON-FIG_IP_ALWAYS_DEFRAG選項(xiàng)），一些網(wǎng)絡(luò)系統(tǒng)就不能反映出找到目標(biāo)

29、，并且放棄。記住這個(gè)參數(shù)不一定能很好地工作在任何系統(tǒng)上,它在我的Linux,FreeBSD以及OpenBSD下是正常的,當(dāng)然也有一些人說它能在部份不同的*NIX環(huán)境下工作。-v 詳細(xì)模式。這是被強(qiáng)烈推薦的選項(xiàng)，因?yàn)樗軒砟阆胍母嘈畔ⅰＤ憧梢灾貜?fù)使用它以獲得更大效果。如果你需要大量翻動屏幕請使用 -d 命令兩次-h 這是一個(gè)快捷的幫助選項(xiàng)，可以在屏幕上顯示nmap的參數(shù)使用方法象你注意到的那樣，這個(gè)man page實(shí)在不是一個(gè)“快速入門參考”:)-o 這是用來指定一個(gè)放置掃描結(jié)果的文件的參數(shù)這個(gè)結(jié)果是易于閱讀的。-m 這也是存放掃描結(jié)果的參數(shù)，但它是存放機(jī)器可解析（machine pars

30、eable）結(jié)果的，你可以用-m 帶''-''(引號不用）將其輸出到標(biāo)準(zhǔn)輸出里（用shell的管道符）。在這種形式下，正常的輸出被禁止了，你需要察看一些錯(cuò)誤信息來了解情況。 -i 從指定文件而不是從命令行讀取數(shù)據(jù)。該文件可以存放一個(gè)主機(jī)或網(wǎng)絡(luò)的列表，中間用空格、TAB鍵或者換行來分隔。如果希望從標(biāo)準(zhǔn)輸入設(shè)備（文件）讀取比如在管道符的末端，你要將連字號(-)用于文件名。你可以從目標(biāo)規(guī)格里找到更多關(guān)于寫這一文件的資料。-p 這一參數(shù)可以指定你希望掃描的端口，舉例來說吧''-p 23''則只會對主機(jī)的23端口進(jìn)行探測，默認(rèn)掃描的是從1到

31、1024端口，或者也可以用nmap里帶的services file里的端口列表。-F 快速掃描模式。指定只希望掃描nmap里提供的services file中列出的端口列表里的端口。這明顯會比掃描所有65535個(gè)端口來得快。-D 這是一種帶有誘騙模式的掃描，在遠(yuǎn)程主機(jī)的連接記錄里會記下所有你所指定的誘騙性的地址。這樣的話他們的數(shù)據(jù)存儲器會顯示有一些端口掃描從某個(gè)IP發(fā)起，然而他們無法辯別哪個(gè)是真正的IP而哪個(gè)是用來作為掩護(hù)的，這可以擊敗一些通過路由進(jìn)行跟蹤的行為，所以它是一項(xiàng)隱藏你的IP的很實(shí)用的技術(shù)。用逗號分隔各個(gè)欺騙地址，你可以隨意地將''me''放進(jìn)任意一

32、個(gè)你希望顯示真實(shí)IP的地方，如果你將''ME''放在第六位甚至最后，有些端口掃描記錄器（比如Solar Designer''s excellent scanlogd）可能根本就不會顯示你的IP，如果你不用''ME''的話，nmap將會將它隨機(jī)放置。記住你用來誘騙的主機(jī)必須是開放的或者你可以半開掃描一下你的目標(biāo)。因?yàn)橐獜囊欢褜?shí)際上沒有用的IP地址里判別出哪個(gè)是真正的入侵者是相當(dāng)容易的。你還可能要用IP地址來代替名字，這樣誘騙主機(jī)的nameserver logs里才不會記錄下你來。還要記得有些（愚蠢的）"端口

33、掃描探測器"會拒絕到達(dá)主機(jī)的端口掃描嘗試。這樣你無意中就會導(dǎo)致你掃描的主機(jī)與“誘騙主機(jī)”連接的丟失，這樣可能會帶來一個(gè)很大的問題是如果這個(gè)“誘騙主機(jī)”是一個(gè)網(wǎng)上的網(wǎng)關(guān)或者甚至就是其本地的機(jī)子，其連接一樣會斷開！所以大家最好小心使用這個(gè)參數(shù)從道德上的原因這僅僅是一個(gè)誘騙，不是么？這種誘騙可以用在最初的ping掃描（用ICMP,SYN,ACK或其它）與實(shí)際的端口狀態(tài)掃描中，它還可以用于遠(yuǎn)程OS的判別(-O)。當(dāng)然如果你寫入太多的誘騙地址也是沒什么用處的，那只能減緩掃描速度以及降低一些精確度。而且一些指令處理系統(tǒng)還可能會過濾掉你的欺騙包，雖然多數(shù)（幾乎是全部了）不會對欺騙包作出任何限制。-

34、S 在某些環(huán)境下nmap可能無法確定你的源地址這種情況下nmap會有提示，這時(shí)你就要用-S帶IP地址來標(biāo)注。另一種使用的可能性是用來欺騙目標(biāo)使它認(rèn)為某人在掃描它。設(shè)想一下，某個(gè)公司發(fā)現(xiàn)被競爭者持續(xù)不斷的掃描:),這是一個(gè)不被支持的用法，或者說，不是主要目的。我只是用它來提醒人們在發(fā)現(xiàn)一個(gè)端口掃描者時(shí)別光顧責(zé)難，可能他是無辜的呢。-e能夠說明這個(gè)參數(shù)的一般用法。-e 告訴nmap哪個(gè)界面要發(fā)送或接收。nmap能夠自動探測它，如果無法做到，亦會有提示信息。-g 在掃描中設(shè)定源端口號。許多“天真”的防火墻或包過濾器除了它們建立的允許DNS(53)或FTP-DATA(20)的包進(jìn)來建立連接之外，其余一

35、概過濾，顯然這是很輕率的做法，因?yàn)槿肭终吣軌蜉p易地編輯一個(gè)來自FTP或DNS的源端口。比如說，你如果無法從一個(gè)主機(jī)的host:port通過TCP ISN取得信息，那么通過用-g 命令，nmap會改變源端口再次嘗試。需要了解的是，使用這個(gè)選項(xiàng)可能會有小小的延遲，因?yàn)槲矣袝r(shí)需要在源端口號中存儲有用信息.-M 設(shè)定用來并行進(jìn)行TCP connect()掃描的最大的sockets數(shù)目（默認(rèn)）。這對將掃描適度減緩是相當(dāng)有效的，它可以避免把遠(yuǎn)程主機(jī)crashing。另一個(gè)途徑是用-sS。定時(shí)選項(xiàng)-*雖然nmap在一般情況下都能夠很好地在運(yùn)行時(shí)間里盡可能迅速地完成掃描任務(wù)，但偶爾還是會有一些主機(jī)/端口無法偵

36、測，這可能是nmap默認(rèn)的時(shí)間策略和你的目標(biāo)不太一致（相當(dāng)于timeout的設(shè)定），下面就是一些選項(xiàng)能對掃描的時(shí)間進(jìn)行控制：-T 這是一個(gè)可以用來便利地表達(dá)nmap時(shí)間策略優(yōu)先權(quán)的參數(shù)設(shè)置。Paranoid模式用極慢的速度來掃描以避免被數(shù)字記錄系統(tǒng)記錄。它使掃描連續(xù)而不是并發(fā)而且通常等待至少五分鐘才發(fā)送一個(gè)信息包。Sneaky也是類似的，只是它是每15秒發(fā)送一個(gè)信息包。Polite模式是用來減輕網(wǎng)絡(luò)負(fù)載以減少當(dāng)機(jī)的可能性，它是連續(xù)發(fā)送探針并在兩個(gè)包的間隙等待0.4秒。Normal是nmap的常規(guī)用法，是盡其所能地快速掃描除非主機(jī)或端口連接丟失。Aggressive模式是對每臺主機(jī)設(shè)定了五分鐘的

37、timeout，并且等待每個(gè)探針應(yīng)答不超過1.25秒。Insane模式是適應(yīng)非常快的網(wǎng)絡(luò)或者你不在乎丟失一些信息因?yàn)樘欤∷膖imeout設(shè)定于75秒并且只等待回應(yīng)0.3秒，它允許對一個(gè)很快的網(wǎng)絡(luò)系統(tǒng)進(jìn)行“掃蕩”:)，你也可以用數(shù)字(0-5)來代表參數(shù)，比如''-t 0''表示Paranoid而''-t 5''代表Insane模式。注意，這些時(shí)間設(shè)定無法在底層的控制中聯(lián)合使用。(NOT be used in combination with the lower level controls given below.)-host_

38、timeout 具體指定nmap對某個(gè)IP的掃描時(shí)間總量，超過則作不通處理，默認(rèn)是不做設(shè)定。-max_rtt_timeout 指定nmap對一個(gè)探針從遠(yuǎn)程端返回回應(yīng)的最大時(shí)間，默認(rèn)是9000。-initial_rtt_timeout 指定最初探針的timeout時(shí)間，這通常在用-P0掃描有防火墻保護(hù)的主機(jī)時(shí)很有效，nmap會通過ping得到一個(gè)好的RTT評估以及最初少數(shù)的探針。默認(rèn)值為6000。-max_parallelism 指定nmap允許的最大并行掃描數(shù)目，設(shè)定為1表明nmap每次只掃描個(gè)端口，它同樣會對其它掃描如ping sweep, RPC scan等產(chǎn)生影響。 -scan_delay 指定nmap必須等待的兩個(gè)探針間的最小的時(shí)間。這是減少網(wǎng)絡(luò)負(fù)載及使掃描在綜合數(shù)據(jù)存儲的記錄下不那么顯眼的辦法。目標(biāo)說明-*所有不帶參數(shù)的選項(xiàng)都會被視為是nmap的目標(biāo)主機(jī)描述。最簡單的實(shí)例是僅僅在命令行列出單一的主機(jī)名或IP地址。如果你希望掃描一個(gè)IP地址的子網(wǎng)，你可以在主機(jī)名和IP地址中加入''/mask''。mask必需是在0（掃描整個(gè)網(wǎng)絡(luò)）和32（特定的單一主機(jī)）。用/24則表明掃找一個(gè)C類地址，而/16則是掃描B類nmap還有一些更有用的符號說明方式可以讓你用list/ranges來為每個(gè)元