kali學習（四）

nmap掃描命令格式

nmap [Scan Type(s)] [Options] {target specification}

主機掃描

-sL (列表掃描)，-sP (Ping掃描)，-P0 (無ping)，-PS [portlist] (TCP SYN Ping)，-PA [portlist] (TCP ACK Ping)，-PU [portlist] (UDP Ping)，

-PE; -PP; -PM (ICMP Ping Types)，-PR (ARP Ping)

參數：-n (不用域名解析)，-R (為所有目標解析域名)，

可以同時指定多種掃描方式

端口掃描

-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans

-sU: UDP Scan

-sN/sF/sX: TCP Null, FIN, and Xmas scans

--scanflags <flags>: Customize TCP scan flags

-sI <zombie host[:probeport]>: Idle scan

-sY/sZ: SCTP INIT/COOKIE-ECHO scans

-sO: IP protocol scan

-b <FTP relay host>: FTP bounce scan

nmap -sL ***.10.87.1-255

nmap -PE ***.10.87.1-255

nmap -PS80 ***.10.87.1-255指定在80端口進行主機發現SYN PING掃描

nmap -PR 192.168.1.1-255ARP Ping掃描

nmap -Pn ***.10.87.1-255(不使用ping掃描，因internet上一般禁PING，更適合internet）

nmap -sP ***.10.87.1-255(快速ping掃描）

-sn 參數，只探測存活主機，不掃描其他信息，例子：

nmap -Pn  -sn ***.10.87.1-255

Nmap-端口掃描

1.單一主機掃描

2.多主機掃描

3.多端口掃描

nmap –sS ***.10.87.148（默認的1000個端口）

nmap –sS ***.10.87.1-255

nmap –sT ***.10.87.1-255

nmap –sU ***.10.87.1-255

nmap –sU –p 80,445 ***.10.87.1-255

nmap –sT  -v ***.10.87.1-255(啟用細節模式）

nmap –sU –p  ***.10.87.1-255（掃描全部端口）

Nmap-操作系統探測

-O?(啟用操作系統檢測)

--osscan-limit (針對指定的目標進行操作系統檢測，探測不到則停止探測)

--osscan-guess; --fuzzy (推測操作系統檢測結果)

nmap –sT -O ***.10.87.148

nmap –sT  -p 3390 -O  --osscan-limit ***.10.87.148

nmap –sA -O ***.10.87.148

Nmap-服務程序探測

-sV

nmap –sV ***.10.87.148

nmap -sV -p 22，53，110，143，4564 ***.10.87.1-255

Nmap---一些高級選項

nmap --iflist （查看本地路由與接口）

nmap -e 08:00:27:47:63:E6 ***.10.87.148（指定mac和ip地址）

nmap -T4 -F -n -Pn -D192.168.1.100,192.168.1.101,192.168.1.102,ME 192.168.1.***（地址誘騙）

nmap –sV  --spoof-mac 08:00:27:47:63:E6  ***.10.87.148（虛假mac地址）

nmap –sV --source-port  900 ***.10.87.148 --source-port（指定源端口）

nmap -p1-25,80,512-515,2001,4001,6001,9001 10.20.0.1/16（掃描思科路由器）

nmap -sU -p69 -nvv  192.168.1.253（掃描路由器的tftp協議）

nmap -O -F -n ***.10.87.148 （-F快速掃描）

nmap -iR 100000 -sS -PS80 -p 445 -oG nmap.txt（隨機地產生10萬個IP地址，對其445端口進行掃描。將掃描結果以greppable（可用grep命令提取）格式輸出到nmap.txt文件。

　可以使用grep命令從輸出文件提取關心的細節信息）

Nmap---腳本使用

nmap --script=brute ***.10.87.148（暴力破解）

參考資料：

http://drops.wooyun.org/tips/2188

Zmap安裝

apt-get install build-essential cmake libgmp3-dev libpcap-dev gengetopt byacc flex git dwarfdump libjson0 libunistring-dev libunistring0

git clone git://github.com/zmap/zmap.git

cd zmap/

cmake -DENABLE_HARDENING=ON

make

make install

Zmap常用選項

-p,--target-port=port TCP 端口號(比如443)

-o,--output-file=name 我們要保存的掃描結果，用- 表示屏幕輸出

-b,--blacklist-file=path 子網排除使用 CIDR 表示方法，參考 /etc/zmap/blacklist.conf 

Zmap—常規選項

-n,--max-target=n 最大目標數量，可以是一個數字比如-n 1000或者-n 0.1%（可掃描的地

址空間），不包含黑名單中的地址

-N,--max-results=n 接受到多少結果后，推退出

-t,--max-runtime=secs 發送數據包最長時間

-B，--bandwidth=bps 設置發送速率 數據包/秒

-c,--cooldown-time=secs 在發送數據包后多少時間收返回數據(默認8s)

-e,--seed=n 用于選擇地址排序，如果你想運行多個 zmap 對地址進行掃描時使用

-T,--sender-threads=n 發包線程（默認1）

-P，--probes=n 對每個 IP 進行探測的次數（默認每個 IP 一次探測）-d,--dryrun 調試時使用，在屏幕顯示每個數據包，但不發送

Zmap—網絡選項

-s,--source-port=port|range 發送數據包的源端口

-S,--source-ip=ip|range 發送數據包的 IP 地址，可以是單個 ip 也可以是返回(e.g

10.0.1-10.0.0.9)

-G --gateway-mac-addr 發送數據包的網關 MAC 地址(不起作用下會自動檢測)

Zmap—附加選項

-C,--config=filename 加載配置文件

-q,--quit 不再打印每秒更新的狀態

-g,--summary 在掃描完成后打印出結構和總結結果

-v,--verbosity=n 詳細級別(0-5，默認3)

-h,--help 幫助信息

-V，--version 打印出版本信息

Zmap-簡單案例

zmap -B 20M -p 80 -n 1000000 -o results.txt（在20M網速下，隨機100W個ip地址對80端口掃描）

zmap -B 20M -p 80 -n 1000000 -o results.txt -b /etc/zmap/blacklist.conf   (使用黑名單文件）

zmap -B 20M -p 80 -n 1000000 -o results.txt –s 889 (指定源端口)

Zmap icmp掃描

--probe--module=icmp_echoscan

zmap -B 20M -p 80 -n 1000000 -o results.txt  --probe--module=icmp_echoscan

Zmap--udp掃描

--probe-module=udp

zmap -B 20M -p 80 -n 1000000 -o results.txt  --probe--module=udp

Zmap—使用配置文件

/etc/zmap/zmap.conf 

zmap --config=/etc/zmap/zmap.conf