Nmap常用命令之端口扫描

chinasll

在前面的教程中我们介绍了Nmap的基础操作，使用Nmap我们可以对单一目标进行扫描，也可以对多个连续的目标或者多个不连续的目标进行扫描。当然Nmap的功能远不止于此，本节教程我们将继续介绍部分Nmap常用的命令。

靶机环境：

owasp：192.168.152.154

win7：192.168.152.130

跳过Ping扫描阶段（无ping扫描）

在默认情况下Nmap在进行其他扫描之前，Nmap都会对目标进行一个Ping扫描。如果目标禁止了Ping，那么Nmap发出的Ping扫描就不会有反应。在接不到如何结果返回的情况下，Nmap就会直接结束整个扫描过程，如果是这样，扫描结果是不准确的。如果遇到这种情况，我们可以使用-PN参数，启用无Ping扫描，跳过Ping扫描这个过程。

nmap -PN 192.168.152.130

仅使用Ping协议进行主机发现

与上面的无Ping扫描正好相反，有的时候我们需要快速扫描大量主机。这个时候我们就可以加参数-sP，加了这个参数Nmap就会仅使用Ping协议进行扫描。虽然这样会有部分主机扫描结果不准确，但相比于整个数量，这部分主机我们可以忽略，加了这个参数后速度会非常快。使用什么样的参数，要根据需求，要有取舍，要速度必然会牺牲准确性。

nmap -sP 192.168.152.130

使用ARP协议进行主机发现

ARP协议扫描只适用于局域网内，使用ARP，不仅速度快，而且结果也会更加准确。

nmap -PR 192.168.152.130

半开扫描和全开扫描

半开扫描和全开扫描与TCP连接的三次握手有关系，所谓三次握手就是建立TCP连接时，需要客户端和服务端总共发送3个包以确认连接的建立。这3个包的发送过程，类似于我们打电话，首先自我介绍，然后对方介绍，最后问好，整个流程如下图所示：

3个过程全部完成叫全开扫描，最后一步不做，叫半开扫描。在实际过程中，半开扫描应用的最多，半开扫描不容易被目标电脑日志记录。半开扫描需要加参数-sS，全开扫描需要加参数-sT。

半开扫描：nmap -sS 192.168.152.130

全开扫描：nmap -sT 192.168.152.130

识别操作系统

Nmap不仅能扫描IP还能扫描端口，同时Nmap还可以识别操作系统的类型。为什么要识别操作系统是什么类型呢？因为系统不一样，渗透的方法就不同，linux系统和Windows系统有区别，安卓系统和苹果系统有区别，所以识别出是什么系统还是非常重要的。

nmap -O 192.168.152.130

端口发现

Nmap默认扫描的端口是1000个，但是实际上电脑的端口范围是0-65535个。Nmap默认扫描的1000个只是Nmap认为比较常用的1000个端口。如果我们想要扫描目标主机的全部端口，我们可以在参数-p后面加上"*"，*在计算机中往往指代全部的意思。需要注意的是，如果我们要扫描全部端口，速度必然会非常慢。

扫描全部端口：

nmap -p "*" 192.168.152.154

扫描指定的端口：

如果我们只是想检测目标主机是否开启某一项服务，比如http服务，此时我们可以指定具体的端口号以加快扫描速度。

nmap -p 80 192.168.152.154