1、指定端口扫描
扫描所有端口耗时很长,通过 -p 参数来指定端口
nmap -Pn 指定主机 -p 指定端口 例:nmap -Pn 47.106.80.112 -p 80,443,22,21,8080,25,53
拓展:当nmap向目标发送报文并根据返回报文认定端口的状态有六种
(1)Open:端口处于开放状态;Closed:端口处于关闭状态;
(2)Filtered(过滤的):由于报文无法到达指定的端口,nmap不能够决定端口的开放状态,这主要是由于网络或者主机安装了一些防火墙所导致的
(3)Unfiltered(未被过滤的),当nmap不能确定端口是否开放的时候所打上的状态,这种状态和filtered的区别在于:unfiltered的端口能被nmap访问,但是nmap根据返回的报文无法确定端口的开放状态,而filtered的端口直接就没就没能够被nmap访问。
(4)Open|filtered状态,这种状态主要是nmap无法区别端口处于open状态还是filtered状态。这种状态只会出现在open端口对报文不做回应的扫描类型中,如:udp,ip protocol ,TCP null,fin,和xmas扫描类型
(5)Closed|filtered状态,这种状态主要出现在nmap无法区分端口处于closed还是filtered时。此状态只会出现在IP ID idle scan中
2、端口区间扫描
nmap -Pn 指定主机 -p 端口区间 区间格式:端口开始-端口结束 例:nmap -Pn 47.106.80.112 -p 100-1000
3、批量主机扫描/ping 扫描
备注:Nmap扫描端口默认会用"ping"扫描,只有主机存活才会继续扫描,所以也可用此命令扫描存活主机
(1)方式一、指定网段
nmap -sP 10.0.0.0/24
(2)方式二、拉取文件列表
nmap -iL ip-address.txt
4、综合扫描
综合扫描:自动扫描包含1-10000的端口ping扫描,操作系统扫描,脚本扫描,路由跟踪,服务探测。是一个非常简单的万能扫描,但是扫描时间非常长长长长
nmap -Pn -A 47.106.80.112
备注:-Pn 依旧是默认主机存活
5、网段扫描
nmap 127.0.0.1-255 nmap 127.0.0.1/24
备注:
(1)两个命令一样
(2)/24表示IP的子网掩码为255.255.255.0,将子网掩码转成4个8位二进制,其中为1的部分是子网地址,为0的是主机地址,修改主机位即访问不同的主机,如 127.0.0 属于网段,127.0.0.1/24就代表了127.0.0.1至127.0.0.255的所有主机
6、输出结果到文件:参数 -oG
nmap -Pn 47.106.80.112 -p 80,443,22,21,8080,25,53 -oG zuoye.txt
7、Tips
(1)已知情况关闭多余操作(-Pn -n)选择合适的速度
(2)选择适当的扫描方式(Ping扫描/TCP扫描/SYN扫描区别)
(3)尝试使用 Nmap 脚本
(4)尝试伪装扫描(混淆与伪装)
(5)一般SRC都会规定一些可以测试的范围
参考:
https://zhishihezi.net/b/03c82a3d82cdf5a1d066e0e2423e48dd#start