Nmap

用法：nmap[扫描类型][选项]{目标规范}

SYN扫描(只是知道运行了某个服务程序)
是一种模拟TCP握手的端口扫描技术。向远程主机发送SYN数据包并等待对方的SYN-ACK数据，不过即使对方发送了SYN-ACK数据，它也不会恢复ACK数据完成握手。
-o 将扫描结果存储为文件
-oA 把扫描结果存储为他所支持的全部文件格式
nmap -sS 192.168.20.10-12 -oA booknmap

版本扫描（揭示程序的确切信息）
nmap -sV 192.168.20.10-12 -oA bookversionnmap
UDP扫描
在远程主机正常回复该数据的情况下，能够确定既定端口处于开放状态。如果既定端口处于关闭状态，那么nmap应当能收到ICMP协议的“端口不可到达”信息。
但是如果没有从远程主机收到任何数据的情况就比较复杂了：端口可能处于开放状态，但是相应的应用程序没有回复nmap发送的查询数据；或者，远程主机回复信息被过滤了。由此可见，在区分“开放端口”和被“防火墙过滤的端口”方面nmap存在天生的短板。
nmap -sU 192.168.20.10-12 -oA bookudp

扫描指定端口
nmap -sS -p 3232 192.168.20.10
nmap -p 3232 -sV 192.168.20.10 (检测指定端口的版本)

nmap脚本引擎（NSE）
NSE自带的各种脚本存放于Kali系统的/usr/share/nmap/scripts目录下。
nmap --script-help default (查看默认类脚本的详细信息)
nmap -sC 192.168.20.10-12
(-sC将令nmap在完成端口扫描之后运行default类中的全部脚本)

扫描技术：
-sS/sT/sA/sW/sM:TCP SYN/Connect（）/ACK/Window/Maimon扫描

-sU:UDP扫描

-sN/sF/sX:TCP Null、FIN和Xmas扫描

–scanflags：自定义TCP扫描标志

-sI<僵尸主机[：probeport]>：空闲扫描

-sY/sZ: SCTP初始化/COOKIE-ECHO扫描

一、扫描多个目标

nmap 10.73.31.1 10.73.31.58 10.73.31.100
nmap 10.73.31.1,15,255
nmap 10.73.31.1-100
nmap -iL list.txt    (list.txt文件中的所有地址)

二、排除特定目标

nmap 10.73.31.0/24 --exclude 10.73.31.184
nmap 10.73.31.0/24 --exclude 10.73.31.180-190
nmap 10.73.31.0/24 --exclude file list.txt

三、使用可选包扫描

nmap -PN 10.73.31.145    (深度扫描)
nmap -sP 10.73.31.0/24    (简单ping扫描)
nmap -PS 10.73.31.145     (SYN包)
nmap -PO 10.73.31.145     (IP包)
nmap -R 10.73.31.145      （DNS反向查找）
nmap --system-dns 10.73.31.145    (使用系统域名解析系统)
nmap --dns-servers 208.67.222.222 10.73.31.145 (指定dns服务器)
nmap -SL 10.73.31.1/24      (确定ip地址和dns名称)

四、扫描开放网络端口

nmap -A 10.73.31.64       (全面扫描)
nmap  --traceroute 50.28.75.103   （路由跟踪）

五、

全面扫描/综合扫描
nmap -A 192.168.1.103

Ping 扫描
nmap -sP 192.168.1.1/24

免 Ping 扫描，穿透防火墙，避免被防火墙发现 
nmap -P0 192.168.1.103 

TCP SYN Ping 扫描
nmap -PS -v 192.168.1.103 
nmap -PS80,10-100 -v 192.168.1.103 （针对防火墙丢弃 RST 包）

TCP ACK Ping 扫描 
nmap -PA -v 192.168.1.103 

UDP Ping 扫描
nmap -PU -v 192.168.1.103

ICMP Ping Types 扫描
nmap -PU -v 192.168.1.103

(ICMP ECHO)
nmap -PP -v 192.168.1.103      (ICMP 时间戳)
nmap -PM -v 192.168.1.103      (ICMP 地址掩码)

ARP Ping 扫描
nmap -PR -v 192.168.1.103

列表 扫描
nmap -sL -v 192.168.1.103

路由跟踪
nmap --traceroute -v www.sunbridgegroup.com

六、端口扫描

时序扫描
nmap -T(0-5) 192.168.1.103

常用扫描方式
nmap -p 80 192.168.1.103
nmap -p 80-100 192.168.1.103
nmap -p T:80,U:445 192.168.1.103
nmap -F 192.168.1.1.103      (快速扫描)
nmap --top-ports 100 192.168.1.103

TCP SYN 扫描 （高效的扫描方式）
nmap -sS -v 192.168.1.103

TCP 连接扫描
nmap -sT -v 192.168.1.103

UDP 连接扫描
nmap -sU -p 80-100 192.168.1.103

七、指纹识别与探测

版本探测
nmap -sV 192.168.1.103 nmap -sV -A 192.168.1.103

全端口版本探测
nmap -sV --allports 192.168.1.103

推测系统并识别
nmap -O --osscan-guess 192.168.1.103