ToB企服应用市场:ToB评测及商务社交产业平台

标题: Nmap渗透测试指南：信息收集与安全扫描全攻略(2025最新版本)＜2025/3/3更新 [打印本页]

作者: 民工心事 时间: 昨天 22:57
标题: Nmap渗透测试指南：信息收集与安全扫描全攻略(2025最新版本)＜2025/3/3更新
目次
安装教程
具体Nmap安装教程与配置指南（最新版）-CSDN博客
Nmap 重要功能点
Nmap 支持的协议与场景应用
常见使用场景：
使用 Nmap 探测时的注意事项
现实场景案例：
Nmap 探测出来的端口状态
TCP 扫描分类与 Nmap 的关联
Nmap防火墙--IDS/IPS绕过语句
现实使用案例：
探测是否存在防火墙 waf
Nmap主机发现命令
现实案例：
Nmap 端口扫描的常用语句
常见的 Nmap 端口扫描命令包括：
Nmap 指纹识别版本探测与 OS 探测命令
参数介绍
Nmap 常用扫描范例及参数阐明
1. 基础扫描范例
2. 主机发现类扫描
3. 快速扫描范例
4. 高级扫描范例
关键参数速查表
Nmap重要参数详解
一、主机发现焦点参数
二、端口探测协议控制
三、ICMP 探测变体
四、DNS 与路由控制
现实案例参数：
案例1
选项表明：
总结对比表

安装教程

具体Nmap安装教程与配置指南（最新版）-CSDN博客

Nmap 重要功能点

Nmap（Network Mapper）是一个开源的网络探测和安全审计工具，具有多个强大的功能，常用于发现网络上的主机、服务、操纵体系、版本信息等。重要功能包括：

主机发现：检测网络上是否有主机在线。

Nmap -sn 192.168.1.0/24 探测一个主机段 ip段

复制代码

端口扫描：探测目的主机的开放端口。
服务版本探测：识别开放端口上的服务以及其版本。
操纵体系检测：推测目的主机的操纵体系范例。
脚本扫描（NSE）：通过内置脚本执行更多的安全检测，如漏洞扫描、服务配置弱点等。
防火墙、IDS/IPS绕过：通过特别扫描方法绕过防火墙或入侵检测/防御体系。
服务指纹识别：通过对开放端口的服务举行识别，推测操纵体系和应用软件的版本，从而查找潜在的漏洞。
弱点识别：使用脚本扫描（NSE）检测已知的漏洞，如未修补的 CVE 漏洞。
漏洞扫描：共同其他工具或脚本，对目的举行漏洞扫描。

Nmap -Po 192.168.1.0/24 探测主机端以及扫描出端口

复制代码

Nmap 支持的协议与场景应用

Nmap 支持多种协议扫描，常见的包括：

TCP：默认使用 TCP 扫描，适合大多数端口扫描使命。通常用于探测常见的服务端口（比方 HTTP 80、SSH 22）。
UDP：用于扫描 UDP 服务端口（比方 DNS 53、NTP 123）。UDP 比 TCP 更容易被防火墙屏蔽，需要谨慎使用。
ICMP：使用 ICMP 探测目的主机是否存活，常用于主机发现。
SCTP：流控制传输协议（SCTP）扫描，适用于某些特别应用。

有些时候ping是无法检测出对方主机是否存活的，由于对方主机可以通过防火墙禁用ping，那么你就ping不同它。
- 好比windows的防火墙，一旦打开就不能ping通了。
  - 能ping通表示肯定在线，ping不通就说不准了。
- telnet也可以判定某个主机的端口是否开放了
  - 好比 telnet 192.168.2.111 22 、 telnet 192.168.2.111 445
- telnet是一种应用层协议，建立在tcp\ip协议之上。
  - icmp协议是网络层协议。
  - SCTP是传输层协议，兼顾了udp和tcp的特点。

常见使用场景：

TCP 扫描：扫描 Web 服务器的 HTTP（80）、HTTPS（443）端口。
UDP 扫描：扫描 DNS 服务（53）、SNMP（161）端口。
ICMP 扫描：检查网络中哪些主机在线。

使用 Nmap 探测时的注意事项

使用 Nmap 时，有几个注意点：

扫描时长：扫描大型网络或多个端口时，可能需要较长时间。
- 可以通过 -T 参数调整扫描速度，比方 -T4 进步速度。
防火墙和IDS/IPS规避：某些防火墙或 IDS/IPS 会检测到 Nmap 扫描，使用“慢速扫描”或“分片扫描”可以绕过防御。
- 可以使用 -sS（SYN 扫描）或 -sF（FIN 扫描）。
正当性：未经授权的扫描可能违反法律或构造的政策，举行渗透测试时需要获得目的体系的授权。

现实场景案例：

在举行渗透测试时，使用 nmap -sS 192.168.1.1 举行 SYN 扫描
- 发现开放的端口

然后再使用 nmap -sV -p 80,443 192.168.1.1 举行服务版本探测
- 进一步了解目的的 Web 服务。

Nmap 探测出来的端口状态

Nmap 探测结果中的端口状态包括：

Open：端口开放，服务正在监听。
Closed：端口关闭，目的主机未监听该端口。
Filtered：端口被防火墙或路由器过滤，无法确定是否开放。
Unfiltered：端口未被过滤，但无法确认是否开放。
Open|Filtered：无法确定端口状态，可能由于防火墙或网络问题。
Closed|Filtered：无法确认端口状态。

TCP 扫描分类与 Nmap 的关联

Nmap 提供多种 TCP 扫描方式，TCP就会牵扯到UDP 以及应用层的Https的关联包括：

SYN 扫描（-sS）：常见的扫描方法，通过发送 SYN 包并等待响应来检测端口状态，快速且不容易被检测。
全毗连扫描（-sT）：通过建立完整的 TCP 毗连来探测端口，容易被目的主机检测到。
FIN 扫描（-sF）：发送一个 FIN 包，试图通过端口响应方式绕过防火墙。
Xmas 扫描（-sX）：发送带有 FIN、URG 和 PSH 标记的包，某些防火墙可能无法识别这种扫描。
ACK 扫描（-sA）：通过发送带有 ACK 标记的包来绕过过滤装备。

Nmap防火墙--IDS/IPS绕过语句

参数描述使用场景及举例-sSSYN 扫描（半开放扫描），通过发送 SYN 包探测端口，而不完成完整的 TCP 三次握手。场景：绕过防火墙或 IDS 体系的常规端口扫描。该方法隐蔽，不容易被检测。命令：nmap -sS 192.168.1.1-sFFIN 扫描，发送带有 FIN 标记的数据包，通常目的主机不会响应此类包，从而探测端口状态。场景：绕过防火墙和 IDS/IPS 体系的常规扫描。FIN 扫描在某些防火墙下能制止被检测。命令：nmap -sF 192.168.1.1-sXXmas 扫描，发送带有 FIN、URG 和 PSH 标记的数据包。某些防火墙无法识别此类包。场景：绕过防火墙的端口检测，适用于不常见的扫描方式。命令：nmap -sX 192.168.1.1-sAACK 扫描，发送带有 ACK 标记的数据包，用于绕过防火墙检测。ACK 扫描不能准确识别端口状态，但能绕过过滤装备。场景：当防火墙基于状态跟踪规则时，使用 ACK 扫描可以绕过防火墙。命令：nmap -sA 192.168.1.1-T0超低速度扫描，尽可能降低扫描速率，从而减少被 IDS/IPS 体系检测的风险。场景：对目的网络举行极为迟钝的扫描，适用于对抗 IDS 和 IPS。命令：nmap -T0 192.168.1.1-T1低速扫描，仍旧较为迟钝，可以减少被 IDS/IPS 体系触发报警的可能性。场景：扫描过程中制止检测到异常流量，尤其适用于具有实时监控的网络环境。命令：nmap -T1 192.168.1.1--data-length在扫描数据包中添加额外的负载数据，使数据包的大小不同，可以或许绕过基于大小的检测机制。场景：利用不平常的数据包大小通过防火墙或 IDS/IPS 体系。命令：nmap --data-length 50 192.168.1.1-f包分片扫描，将数据包分成较小的片段发送，从而制止某些防火墙和 IDS 体系举行深度包检查。场景：绕过防火墙的包过滤，制止被检测为完整的 TCP/IP 包。命令：nmap -f 192.168.1.1-p-扫描全部端口（0-65535），这可以让 Nmap 扫描网络中的全部端口，减少漏掉某些端口的风险。场景：扫描全部端口时，共同其他绕过选项来增加隐蔽性。命令：nmap -p- 192.168.1.1-O操纵体系检测，通太过析目的主机的 TCP/IP 栈来推测操纵体系范例。场景：结合绕过扫描，推测目的操纵体系并定制后续攻击步骤。命令：nmap -O 192.168.1.1 现实使用案例：

绕过 IDS/IPS，SYN 扫描：在举行渗透测试时，可以使用 SYN 扫描来绕过一些 IDS 体系的流量监控：
1. nmap -sS -p 80,443 192.168.1.1
复制代码
该命令会扫描目的的 HTTP 和 HTTPS 端口，且不会完整建立 TCP 毗连。
绕过防火墙，使用 ACK 扫描：为了制止被防火墙检测，可以使用 ACK 扫描探测端口状态：
1. nmap -sA -p 22,53 192.168.1.1
复制代码
通过 ACK 扫描，可以或许绕过一些防火墙的端口过滤策略。
低速扫描，制止被 IDS 监控：如果目的网络有严格的流量监控，可以使用低速扫描来减少被检测的风险：
1. nmap -T1 -p 80,443 192.168.1.1
复制代码
该命令会以低速举行端口扫描，从而制止触发 IDS 体系的警报。

探测是否存在防火墙 waf

nmap -p 80,443 --script=http-waf-detect <目标>
nmap -p 80,443 --script=http-waf-fingerprint <目标>

复制代码

Nmap主机发现命令

参数描述使用场景案例-snPing 扫描（不举行端口扫描），仅检查目的主机是否在线。场景：快速检查网络中哪些主机在线，制止举行完整的端口扫描。命令：nmap -sn 192.168.1.0/24
-Pn跳过主机发现，直接举行端口扫描。适用于网络中不响应 ICMP 请求的装备。场景：目的主机可能被防火墙屏蔽了 ICMP 响应。使用此参数可跳过主机发现，直接扫描端口。命令：nmap -Pn 192.168.1.1-PS使用 SYN 包举行 Ping 扫描（TCP ping），常用于检测是否可以与目的主机建立毗连。场景：检查目的主机的 TCP 服务是否开启，如端口 80 或 443。命令：nmap -PS80 192.168.1.1
-PA使用 ACK 包举行 Ping 扫描。通过发送 ACK 包探测目的是否可达，适用于绕过防火墙过滤。场景：目的主机可能存在防火墙，制止平凡的 SYN 或 ICMP 响应。使用 ACK 包扫描可以绕过防火墙检测。命令：nmap -PA80 192.168.1.1
-PE使用 ICMP Echo 请求举行 Ping 扫描（常见的 Ping）。场景：当网络中没有防火墙或 IDS/IPS 时，使用 ICMP Echo 请求举行简单的主机存活探测。命令：nmap -PE 192.168.1.1-PP使用 ICMP 时间戳请求举行 Ping 扫描。场景：适用于某些防火墙配置可以制止 ICMP Echo，但允许 ICMP 时间戳请求。命令：nmap -PP 192.168.1.1-PM使用 ICMP 装备信息请求举行主机发现。场景：用于探测主机是否存在，特别是在网络中装备信息协议（比方 ARP）可用时。命令：nmap -PM 192.168.1.1-PU使用 UDP 包举行 Ping 扫描。场景：目的主机的防火墙可能允许 UDP 数据包，但制止 ICMP 或 TCP 数据包。命令：nmap -PU53 192.168.1.1 现实案例：

场景 1：在一个网络环境中，管理员想要快速检查网络中哪些装备在线，可以使用 -sn 参数：
1. nmap -sn 192.168.1.0/24
复制代码
该命令仅举行主机发现，不扫描端口，可以或许快速判定网络中哪些主机响应。
场景 2：对于被防火墙保护的主机，可能会丢弃 ICMP 响应。管理员可以使用 SYN Ping 来检查开放的 TCP 端口，比方检测端口 80：
1. nmap -PS80 192.168.1.1
复制代码
该命令会发送 SYN 包到端口 80，判定该端口是否响应。
场景 3：为了绕过防火墙的过滤，使用 ACK 包举行主机存活检测：
1. nmap -PA80 192.168.1.1
复制代码
这会发送 ACK 包到端口 80，帮助绕过某些防火墙的防护。

Nmap 端口扫描的常用语句

常见的 Nmap 端口扫描命令包括：

扫描单个端口：nmap -p 80 192.168.1.1
扫描多个端口：nmap -p 80,443,22 192.168.1.1
扫描端口范围：nmap -p 1-1000 192.168.1.1
扫描全部常见端口：nmap -F 192.168.1.1
举行快速扫描：nmap -T4 192.168.1.1
TCP 扫描：nmap -sS 192.168.1.1
UDP 扫描：nmap -sU 192.168.1.1

Nmap 指纹识别版本探测与 OS 探测命令

版本探测：

命令：nmap -sV 10.10.16.8
作用：探测开放端口上的服务及其版本号。

操纵体系探测：

命令：nmap -O 192.168.1.1
作用：通太过析主机的 TCP/IP 栈，推测操纵体系范例和版本。

综合命令：

命令：nmap -sS -sV -O 10.10.16.8
作用：举行 TCP 扫描、服务版本探测和操纵体系探测，常用于渗透测试。

使用场景：

版本探测：对目的 Web 服务器的 HTTP 服务举行版本探测，确认是否有已知漏洞。
OS 探测：识别目的主机的操纵体系，并根据操纵体系选择符合的攻击策略。

参数介绍

参数描述使用场景及举例-sV服务版本探测，探测开放端口上的服务并获取其版本信息。场景：识别目的主机上开放端口的服务版本，帮助分析服务是否有已知漏洞。
命令：nmap -sV 192.168.1.1--version-all扩展版本探测，尝试通过更多方法识别服务版本。场景：用于更深度的版本识别，尤其在标准版本探测失败时，使用此参数进一步尝试识别服务。
命令：nmap -sV --version-all 192.168.1.1-p指定扫描的端口。场景：仅对指定端口举行服务版本探测，节流扫描时间。
命令：nmap -sV -p 80,443 192.168.1.1-A举行全面探测，包括操纵体系检测、服务版本探测、脚本扫描等。场景：在举行渗透测试时，全面扫描目的的操纵体系、开放端口及其服务版本。
命令：nmap -A 192.168.1.1-sT完全毗连扫描，用于与服务版本探测结合。场景：当 SYN 扫描无法获取版本信息时，可以使用全毗连扫描来获取服务版本。
命令：nmap -sT -sV 192.168.1.1-sUUDP 扫描，用于探测 UDP 服务的版本。场景：识别目的主机上运行的 UDP 服务及其版本。
命令：nmap -sU -p 53,161 -sV 192.168.1.1--version-intensity设置版本探测强度，1 是最低，9 是最高。场景：根据目的网络环境调整版本探测的强度，制止过于猛烈的扫描导致被检测。
命令：nmap -sV --version-intensity 5 192.168.1.1-O操纵体系探测，结合服务版本识别一起使用。场景：获取目的主机的操纵体系信息，并与服务版本识别一起使用。
命令：nmap -sV -O 192.168.1.1

Nmap 常用扫描范例及参数阐明

1. 基础扫描范例

扫描范例命令焦点参数阐明特点Intense Scannmap -T4 -A -v-T4 加速扫描 -A 综合检测（OS/版本/脚本） -v 具体输出平衡速度与信息收集，适用于常规渗透测试Intense Scan + UDPnmap -sS -sU -T4 -A -v-sS TCP SYN 隐蔽扫描 -sU UDP 端口探测覆盖 TCP/UDP 端口，检测防火墙绕过能力Full TCP Port Scannmap -p 1-65535 -T4 -A -v-p 1-65535 全端口扫描全面但耗时，用于深度资产发现

2. 主机发现类扫描

扫描范例命令焦点参数阐明特点No-Ping Scannmap -T4 -A -v -Pn-Pn 跳过主机存活检测强制扫描指定 IP，规避防火墙 ICMP 封锁Ping Scannmap -sn-sn 仅主机发现（无端口扫描）快速定位存活主机，但易受防火墙干扰

3. 快速扫描范例

扫描范例命令焦点参数阐明特点Quick Scannmap -T4 -F-F 快速模式（仅扫描常用 100 端口）极速完成，适合初步资产盘货Enhanced Quick Scannmap -sV -T4 -O -F --version-light-sV 服务版本探测 -O OS 检测 --version-light 轻量级版本检测在速度与信息深度间折衷，适用于红队快速谍报收集

4. 高级扫描范例

扫描范例命令焦点参数阐明特点Traceroute Scannmap -sn --traceroute--traceroute 路由追踪网络路径分析，辅助定位安全界限Comprehensive Scannmap -sS -sU -T4 -A -v -PE -PP -PS80,443 -PA3389 -PU40125 -PY -g 53 --script all-PE/PP/PS/PA/PU/PY 多协议主机发现 -g 53 绑定 DNS 端口 --script all 全脚本扫描全面但极慢，用于高代价目的深度渗透

关键参数速查表

参数功能描述-T4优化扫描速度（共 0-5 级，T4 为常用平衡模式）-A启用高级检测（OS 识别、版本探测、脚本扫描）-sSTCP SYN 隐蔽扫描（半开毗连，规避日记记录）-sUUDP 端口扫描（需 root 权限）-Pn禁用主机存活检测（强制扫描指定目的）--script调用 NSE 脚本引擎（例：--script vuln 检测漏洞）

Nmap重要参数详解

一、主机发现焦点参数

参数及命令示例功能描述典范应用场景注意事项-sL nmap -sL 192.168.1.0/24列表扫描：仅解析目的 IP/域名，生成扫描列表，不发送任何探测包。预扫描目的清单确认无现实探测举动，适合测试目的范围定义。-sn nmap -sn 10.0.0.1-100主机发现：发送多范例探测包（ICMP+TCP SYN/ACK+ARP），不扫描端口。快速定位网络内存活主机可能被防火墙拦截；探测包范例取决于目的网络配置。-Pn nmap -Pn 192.168.1.5跳过主机发现：假设目的存活，直接举行端口扫描。目的屏蔽 ICMP 或防火墙严格过滤时使用需共同端口扫描参数（如 -p）以进步服从。

二、端口探测协议控制

参数及命令示例功能描述协议细节-PS[portlist] nmap -PS80,443 10.0.0.1TCP SYN 探测：向指定端口发送 SYN 包，检测主机存活。（默认端口：80）无完整 TCP 毗连，隐蔽性较高。-PA[portlist] nmap -PA3389 10.0.0.1TCP ACK 探测：发送 ACK 包，用于绕过无状态防火墙。触发防火墙规则时可能误判存活。-PU[portlist] nmap -PU40125 10.0.0.1UDP 探测：发送空 UDP 包，依赖目的返回 ICMP 不可达错误判定存活。需 root 权限；响应时间较长。-PY[portlist] nmap -PY12345 10.0.0.1SCTP INIT 探测：使用 SCTP 协议 INIT 块检测主机。适用于特定网络装备（如蜂窝网络）。

三、ICMP 探测变体

参数及命令示例功能描述适用场景-PE nmap -PE 10.0.0.1ICMP Echo 请求：传统 Ping 探测，依赖目的响应 ICMP Echo Reply。允许 ICMP 的内网环境。-PP nmap -PP 10.0.0.1ICMP Timestamp 请求：通过时间戳请求探测存活。规避简单 ICMP Echo 过滤。-PM nmap -PM 10.0.0.1ICMP Netmask 请求：查询目的子网掩码信息。老旧装备兼容性探测。

四、DNS 与路由控制

参数及命令示例功能描述技术细节-n nmap -n 10.0.0.1禁用 DNS 解析：仅使用 IP 地址，加速扫描。制止因 DNS 延迟影响扫描服从。-R nmap -R 10.0.0.1强制反向 DNS 解析：为全部 IP 执行 PTR 记录查询。用于获取目的域名信息。--dns-servers nmap --dns-servers 8.8.8.8 10.0.0.1指定 DNS 服务器：覆盖体系默认 DNS 设置。规避污染或访问内网专用 DNS。--system-dns nmap --system-dns 10.0.0.1使用体系 DNS：绕过 Nmap 内置解析器，依赖操纵体系配置。解决自定义 DNS 兼容性问题。--traceroute nmap --traceroute 10.0.0.1路由追踪：扫描后附加路径跳数分析。需先通过主机发现或 -Pn 跳过探测。

现实案例参数：

案例1

nmap -sC -sV -A -v -p- 10.10.16.7

复制代码

选项表明：

-sC：启用 Nmap 的默认脚本扫描（Script Scan）。这个选项会执行一组默认的 NSE（Nmap Scripting Engine）脚本，通常包括对服务、版本、漏洞和安全配置的检查。比方，检查是否存在常见的漏洞或不安全的服务配置。
-sV：启用服务版本检测。此选项会让 Nmap 尝试检测开放端口上的服务及其版本。通过这个选项，Nmap 可以或许返回目的主机上开放端口对应的应用程序和版本号（比方 Apache、nginx、SSH 等），帮助了解服务的具体范例和潜在的漏洞。
-A：启用高级扫描功能，包括以下几个方面：
- 操纵体系检测（OS detection）：尝试识别目的主机的操纵体系及其版本。
- 版本检测（Version detection）：与 -sV 雷同，尝试检测服务版本。
- 脚本扫描（Script scanning）：与 -sC 雷同，运行 NSE 脚本。
- traceroute：追踪到目的主机的路径，可以显示中心的路由器和网络跳点。
总的来说，-A 是一个包罗多个高级扫描选项的开关，可以或许获取更多关于目的的信息。
-v：启用具体输出模式。这个选项会使 Nmap 显示更多的扫描细节，比方端口状态、服务信息、运行的脚本结果等。
-p-：扫描全部端口。-p 后接端口范围，-p- 表示扫描 1 到 65535 之间的全部端口。这有助于发现目的主机上可能开放的全部端口，而不仅仅是默认端口（如 80、443、22 等）。
10.10.16.7：这是扫描的目的主机 IP 地址。在这个例子中，Nmap 会对 10.10.16.7 这个主机举行全面扫描。

总结对比表

需求场景推荐参数组合优势快速内网存活检测nmap -sn -PE 192.168.1.0/24低延迟，兼容性强防火墙绕过探测nmap -Pn -PS443,8080 -PA3389 10.0.0.1多协议组合规避过滤深度隐蔽扫描nmap -sS -T2 -D RND:5 --max-parallelism 1降低流量特性，规避 IDS 检测

喜欢本文的请动动小手点个赞，收藏一下，有问题请下方评论，转载请注明出处，并附有原文链接，谢谢！

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)