1) 获取远程主机的端口信息和识别主机操作系统(Get info about remote host ports and OS detection)nmap
-sS -P0 -sV -O &target&&
& target & 可以是独立IP, 一个主机名 或一个子网
-sS TCP SYN扫描(也叫半开或隐蔽扫描)
-P0 选项允许你关闭ICMP ping
-sV 选项启用版本检测
-O 表示试图识别远程操作系统
-A 选项启用OS指纹和版本检测
-v 使用两次-v查看细节信息
nmap -sS -P0 -A -v & target &
2) 获取开放指定端口的服务器列表(Get list of servers with a specific port open)
nmap -sT -p 80 -oG – 192.168.1.* | grep open
改变-p的参数可指定端口，查看nmap主页寻找指定地址范围的不同方式。
3) 获取网络中所有存活的主机：Find all active IP addresses in a network
nmap -sP 192.168.0.*
还有许多其它的选项，这个只是一个简单的例子。
另一个选项:
nmap -sP 192.168.0.0/24&
针对特定子网
4)& ping一个范围内的IP地址(Ping a range of IP addresses)
nmap -sP 192.168.1.100-254
namp接受多种类型的地址符号，多个目录/范围等。
5)寻找一个给定子网中未使用的ip(Find unused IPs on a given subnet)
nmap -T4 -sP 192.168.2.0/24 && egrep “00:00:00:00:00:00″ /proc/net/arp
6)&扫描本地网络中的conficker病毒(Scan for the Conficker virus on your LAN ect.)
nmap -PN -T4 -p139,445 -n -v –script=smb-check-vulns –script-args safe=1 192.168.0.1-254
可以把192.168.0.1-256替换成你想要检测的地址。
7) 扫描网络中的非法接入点(Scan Network for Rogue APs.)
nmap -A -p1-85,113,443, -T4 –min-hostgroup 50 –max-rtt-timeout 2000 –initial-rtt-timeout 300 –max-retries 3 –host-timeout 20m –max-scan-delay 1000 -oA wapscan 10.0.0.0/8
我使用这个在非常巨大的网络中成功找出多个非法接入点。
8) 在扫描时使用诱骗技术避免引起管理员的注意(Use a decoy while scanning ports to avoid getting caught by the sys admin)
sudo nmap -sS 192.168.0.10 -D 192.168.0.2
扫描目标设备/计算机(192.168.0.10）的开放端口并设置一个诱骗地址(192.168.0.2)，在目标的安全日志中将会显示诱骗地址而不是你的IP地址。诱骗地址必须是存活的，检查目标主机的安全日志( /var/log/)确定它是否工作。
9) 列出一个子网中的DNS反向记录(List of reverse DNS records for a subnet)
nmap -R -sL 209.85.229.99/27 | awk ‘{if($3==”not”)print”(“$2″) no PTR”;else print$3″ is “$2}’ | grep ‘(‘
这个命令是使用nmap字在子网中查询DNS反向信息。它会生成子网中的ip地址列表和相应的PTR纪录。你可以在CDIR符号中输入子网 (i.e. /24 for a Class C)，如果你需要查询一个特定的DNS服务器，你可以在-sL后边添加“–dns-servers x.x.x.x”，一些安装版的namp可能需要sudo，我也希望awk是大多数发行版的标准。
10) 你的网络中有多少Linux和Windows设备？(How Many Linux And Windows Devices Are On Your Network?)
sudo nmap -F -O 192.168.0.1-255 | grep “Running: ” & /tmp/ echo “$(cat /tmp/os | grep Linux | wc -l) Linux device(s)”; echo “$(cat /tmp/os | grep Windows | wc -l) Window(s) devices”
目前支持Win&2K/XP&的端口扫描器已经有不少，部分还提供GUI（图形用户界面）。在诸多端口扫描其中，Nmap是其中的佼佼者——它提供了大量的命令行选项，能够灵活地满足各种扫描要求，而且输出格式丰富。Namp原先是为了Unix平台开发的，是许多Unix管理员的至爱，后来才被移植到Windows平台。Nmap&for&Windows最新的稳定版本是3.27，可以从www.insecure.org/nmap/免费下载。
Nmap支持的四种最基本的扫描方式：
TCP&connect()端口扫描（-sT参数）
TCP同步（SYN）端口扫描（-sS参数）
UDP端口同步（-sU参数）
Ping扫描（-sP参数）
Ping扫描和TCP&SYN扫描最为实用。Ping扫描通过发送ICMP（internet&Control&Message&Protocol，Internet控制消息协议）回应请求数据包和TCP应答（Acknpwledge，简写ACK）数据包，确定主机的状态，非常适合于检测指定网段内正在运行的主机数量。
TCP&SYN扫描一下不太好理解，但是如果将它与TCP&connect()扫描比较，就比较容易看出这种扫描的方式特点。在TCP&connect()扫描中，扫描器利用操作系统本身的系统条用打开一个完整的TCP链接——也就是说，扫描器打开了两个主机之间的完整握手过程（SYN,SUN-ACK,和ACK）。一次完整的执行的握手过程表明远程主机端口是打开的。
TCP&SYN扫描创建的是打开的链接，他一TCP&connect90扫描的不同之处在于。TCP&SYN扫描发送的是复位（RST）标记而不是结束ACK标记（即&SYN,SYN-ACK,或RST）；如果远程主机正在监听且端口是打开的，远程主机用SYN-ACK应答，Nmap发送一个RST；如果远程主机的端口是关闭的，它的应答将是RST，此时Nmap转入下一个端口。
Nmap支持丰富，灵活的命令行参数。例如：要扫描192.168.7网络，可以用192.168.7.x/24或192.168.7.0-255的形式制定IP地址范围。指定端口范围使用-p参数，如果不制定要扫描的端口，Nmap默认扫描从1-1024再加上nmao-services列出的端口。
如果要查看Nmap运行的详细过程，只要启用verbose模式，即加上-v参数。或者加上-w参数获得更加详细的信息。例如：nmap&-sS&192.168.7.1-255&-p&20,21,53-110,30000-v命令，表示执行一个TCP&SYN扫描，启用verbose模式，要扫描的网络是192.168.7，检测20、21、53到100以及30000以上的端口（指定端口清单时中间不要插入空格）。再举一个例子：namp&-sS&192.168.7.1/24&-p&80扫描192.168.0子网，查找在80端口监听的服务器（通常是web服务器）。
建议先用Nmap扫描一个熟悉的系统，感受一下Nmap的基本运行模式然后在将范围扩大到其他系统。注意防火墙、入侵检测系统（IDS）以及其他工具对扫描操作的反映。通常，TCP&connect()会引起IDS系统的反映，但IDS不一定会记录俗称“半链接”的TCP&SYN扫描。最好将Nmap扫描网络的报告整理存档，以便随后参考。
-sS&使用SYN＋ACK的方法，使用TCP&SYN，
-sT&使用TCP的方法，&3次握手全做
-sU&使用UDP的方法
-sP&ICMP&ECHO&Request&送信，有反应的端口进行调查
-sF&FIN&SCAN
-sN&全部FLAG&OFF的无效的TCP包送信，根据错误代码判断端口情况
-P0&无视ICMP&ECHO&request的结果，SCAN
-p&scan&port&range&指定SCAN的目端口的范围1-100,&或者使用25,100的方式
-O&侦测OS的种类
-oN&文件名&通常格式文件输出
-oX&文件名&通过DTD，使用XML格式输出结果
-oG&文件名，grep容易的格式输出
-sV&服务的程序名和版本SCAN
-P0&告诉nmap不ping&主机，只进行扫描
-PT&告诉nmap使用TCP的ping
-PS&发送SYN报文。
-PU&发送一个udp&ping
-PE&强制执行直接的ICMP&ping
-PB&这是默认类型，可以使用ICMP&ping&也可以使用TCP&ping&.
-6&该标志允许IPv6支持
-v&-d&使用-v选项可得到更详细的输出，而-d选项则增加调试输出。
-oN&按照人们阅读的格式记录屏幕上的输出，如果是在扫描多台机器，则该选项很有用。
-oX&以xml格式向指定的文件记录信息
-oG&以一种易于检索的格式记录信息，即每台主机都以单独的行来记录所有的端口和0s信息。
-oA&使用为基本文件名，以普通格式(-oN)、XML格式(-oX)和易于检索的格式（-oG）jilu&xinxi
-oM&把输出格式化为机器可阅读的文件
-oS&把输出进行傻瓜型排版
--resume如果你取消了扫描，但生成了供人或者供机器阅读的文件，那么可以把该文件提供给nmap继续让它扫描。
本文已收录于以下专栏：
相关文章推荐
nmap常用命令集合
Tcpdump-转储网络上的数据流
Tcpdump能够截获当前所有通过本机网卡的数据包。它拥有灵活的过滤机制，可以确保得到想要的数据。由于Tcpdump
只能收集通过本机的数据，因此它的应用受到了...
nmap命令详解，net命令远程磁盘映射，其他windows Ubuntu常用命令详解
nmap xx.xx.x.x
Host is up (0.0012s latency).
Not shown: 994 closed ports
STATE SERVICE
版本检测(sV)版本检测是用来扫描目标主机和端口上运行的软件的版本.它不同于其它的扫描技术，它不是用来扫描目标主机上开放的端口，不过它需要从开放的端口获取信息来判断软件的版本.使用版本检测扫描之前需要...
nmap是一个网络探测和安全扫描程序，系统管理者和个人可以使用这个软件扫描大型的网络，获取被扫描主机正在运行以及提供什么服务等信息
nmap是一个网络探测和安全扫描程序，系统管理者和个人可以使用这个软...
他的最新文章
讲师：王哲涵
讲师：韦玮
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)