簡(jiǎn)單掃描

• nmap 192.168.166.128

image.png

從結(jié)果可以看到開放的端口及其對(duì)應(yīng)的服務(wù)名稱。

Ping掃描

• 參數(shù)：-sP

Ping掃描只進(jìn)行ping，然后顯示出在線的主機(jī)。
使用該選項(xiàng)掃描，可以輕易獲取目標(biāo)信息而不會(huì)被輕易發(fā)現(xiàn)。
在默認(rèn)情況下，Nmap會(huì)發(fā)行一個(gè)ICMP回聲請(qǐng)求和一個(gè)TCP報(bào)文到目標(biāo)端口。
Ping掃描的優(yōu)點(diǎn)是不會(huì)返回太多的信息，且是一種非常高效的掃描方式。

• nmap -sP 192.168.166.128

image.png

• nmap -sP 192.168.166.128/24

image.png

無Ping掃描

• 參數(shù)：-P0

無Ping掃描通常用于防火墻禁止Ping的情況下，它能確定正在運(yùn)行的機(jī)器。
默認(rèn)情況下，Nmap只對(duì)正在運(yùn)行的主機(jī)進(jìn)行高強(qiáng)度的探測(cè)，如端口掃描、版本探測(cè)或操作系統(tǒng)探測(cè)。用P0會(huì)使Nmap對(duì)每一個(gè)指定的的目標(biāo)IP進(jìn)行所要求的掃描，這可以穿透防火墻，也可以避免被防火墻發(fā)現(xiàn)。

• nmap -P0 192.168.166.128

image.png

• nmap -P0 192.168.166.128

image.png

• nmap -P0 192.168.166.128/24

image.png

• 下面對(duì)比一下Ping掃描和無Ping掃描，對(duì)一臺(tái)開啟/關(guān)閉防火墻的掃描結(jié)果
  (1) 關(guān)閉防火墻：
  --> Ping掃描

  
  
  image.png

結(jié)果：發(fā)現(xiàn)主機(jī)。

--> 無Ping掃描

image.png

結(jié)果：發(fā)現(xiàn)主機(jī)，且對(duì)主機(jī)進(jìn)行了端口掃描。

(2) 開啟防火墻：
--> Ping掃描

image.png

結(jié)果：主機(jī)未存活。

-->無Ping掃描

image.png

結(jié)果：發(fā)現(xiàn)主機(jī)。

在新版本的nmap中，-P0選項(xiàng)已被-Pn代替。

TCP SYN Ping掃描

• 參數(shù)：-PS

該選項(xiàng)發(fā)送了一個(gè)設(shè)置了SYN標(biāo)志位的空TCP報(bào)文。默認(rèn)目的端口為80 (可以通過改變nmap.h文件中的DEFAULT_TCP_PROBE_PORT_SPEC的值進(jìn)行配置)，但不同的端口也可以作為選項(xiàng)指定，甚至可以指定一個(gè)以逗號(hào)分隔的端口列表（如， -PS22,23,25,80,115,3306,3389），這種情況下，每個(gè)端口會(huì)被并發(fā)地掃描。

• nmap -PS 192.168.166.138

image.png

注：在Unix系統(tǒng)中，發(fā)送和接收TCP報(bào)文需要root權(quán)限，下面是Nmap官網(wǎng)給出的解釋。

image.png

TCP ACK Ping掃描

• 參數(shù)：-PA

它與TCP SYN Ping掃描類似，不同的只是設(shè)置的TCP報(bào)文的標(biāo)志位是ACK。
很多防火墻會(huì)封鎖SYN報(bào)文，所以Nmap提供了TCP SYN Ping掃描和TCP ACK Ping掃描兩種探測(cè)方式。這兩種方式可以極大地提高通過防火墻的概率。
我們還可以同時(shí)使用-PS和-PA來既發(fā)送SYN又發(fā)送ACK。
在使用TCP ACK Ping掃描時(shí)，Nmap會(huì)發(fā)送一個(gè)ACK標(biāo)志的TCP包給目標(biāo)主機(jī)，如果主機(jī)不是存活狀態(tài)則不響應(yīng)該請(qǐng)求，如果目標(biāo)主機(jī)在線則會(huì)返回一個(gè)RST包。

• nmap -PA 192.168.166.138

image.png

• 同時(shí)使用-PS 和 -PA 選項(xiàng)

image.png

UDP Ping掃描

• 參數(shù)：-PU

該選項(xiàng)是發(fā)送一個(gè)空的UDP報(bào)文到指定端口。如果不指定端口則默認(rèn)是40125。
該默認(rèn)值可以通過在編譯時(shí)修改nmap.h文件中的DEFAULT_UDP_PROBE_PORT_SPEC值進(jìn)行配置。默認(rèn)使用這樣一個(gè)奇怪的端口是因?yàn)閷?duì)于開放端口，很少會(huì)使用這種掃描方式。

image.png

ICMP Ping Types掃描

• 參數(shù)：-PE;-PP;-PM

使用這幾個(gè)選項(xiàng)可以進(jìn)行ICMP Ping Types掃描。
Nmap發(fā)送一個(gè)ICMP type 8（回聲請(qǐng)求）報(bào)文到目標(biāo)IP地址，從運(yùn)行的主機(jī)得到一個(gè)type 0（回聲響應(yīng)）報(bào)文。
-PE選項(xiàng)簡(jiǎn)單地來說是通過向目標(biāo)發(fā)送ICMP Echo數(shù)據(jù)包來探測(cè)目標(biāo)主機(jī)是否在線，正因?yàn)樵S多主機(jī)的防火墻會(huì)禁止這些報(bào)文，所以僅僅ICMP掃描對(duì)于互聯(lián)網(wǎng)上的目標(biāo)通常是不夠的。但對(duì)于系統(tǒng)管理員監(jiān)視一個(gè)內(nèi)部網(wǎng)絡(luò)，它們可能是實(shí)際有效的途徑。使用-PE選項(xiàng)打開該回聲請(qǐng)求的功能。
-PP選項(xiàng)是ICMP時(shí)間戳Ping掃描，雖然大多數(shù)的防火墻配置不允許ICMP Echo請(qǐng)求，但由于配置不當(dāng)可能回復(fù)ICMP時(shí)間戳請(qǐng)求，所以可以使用ICMP時(shí)間戳來確定主機(jī)是否存活。
-PM選項(xiàng)可以進(jìn)行ICMP地址掩碼Ping掃描。這種掃描方式會(huì)試圖用備選的ICMP等級(jí)Ping指定主機(jī)，通常有不錯(cuò)的穿透防火墻的效果。

• (1) 使用ICMP Echo掃描方式

image.png

• (2) 使用ICMP時(shí)間戳Ping掃描

image.png

• (3) 使用ICMP地址掩碼Ping掃描

image.png

ARP Ping掃描

• 參數(shù)：-PR

該選項(xiàng)通常在掃描局域網(wǎng)時(shí)使用。ARP協(xié)議的功能是：主機(jī)將ARP請(qǐng)求廣播到網(wǎng)絡(luò)上的所有主機(jī)，并接收返回消息，確定目標(biāo)IP地址的物理地址，同時(shí)將IP地址和物理地址存入本機(jī)的ARP緩存中，下次請(qǐng)求時(shí)直接查詢ARpP緩存。

尤其在內(nèi)網(wǎng)的情況下，使用ARP Ping掃描方式是最有效的，因?yàn)樵诒镜鼐钟蚓W(wǎng)中防火墻不會(huì)禁止ARP請(qǐng)求，這就使得它比其他Ping掃描都更加高效，在內(nèi)網(wǎng)中使用ARP Ping是非常有效的。
默認(rèn)情況下，如果Nmap發(fā)現(xiàn)目標(biāo)主機(jī)就在它所在的局域網(wǎng)上，會(huì)進(jìn)行ARP Ping掃描。即使指定了不同的Ping類型（如-PS），Nmap也會(huì)對(duì)任何相同局域網(wǎng)上的目標(biāo)使用ARP。如果不想使用ARP掃描，可以指定 --send-ip。

image.png