二、常用扫描类型

　　解开nmap命令行版的压缩包之后，进入windows的命令控制台，再转到安装nmap的目录（如果经常要用nmap，最好把它的路径加入到path环境变量）。不带任何命令行参数运行nmap，nmap显示出命令语法，如图二所示。

　　

　　下面是nmap支持的四种最基本的扫描方式：

　　⑴ tcp connect()端口扫描（-st参数）。

　　　　⑵ tcp同步（syn）端口扫描（-ss参数）。

　　　　⑶ udp端口扫描（-su参数）。

　　　　⑷ ping扫描（-sp参数）。

　　如果要勾画一个网络的整体情况，ping扫描和tcp syn扫描最为实用。ping扫描通过发送icmp（internet control message protocol，internet控制消息协议）回应请求数据包和tcp应答（acknowledge，简写ack）数据包，确定主机的状态，非常适合于检测指定网段内正在运行的主机数量。

　　tcp syn扫描一下子不太好理解，但如果将它与tcp connect()扫描比较，就很容易看出这种扫描方式的特点。在tcp connect()扫描中，扫描器利用操作系统本身的系统调用打开一个完整的tcp连接——也就是说，扫描器打开了两个主机之间的完整握手过程（syn，syn-ack，和ack）。一次完整执行的握手过程表明远程主机端口是打开的。

　　tcp syn扫描创建的是半打开的连接，它与tcp connect()扫描的不同之处在于，tcp syn扫描发送的是复位（rst）标记而不是结束ack标记（即，syn，syn-ack，或rst）：如果远程主机正在监听且端口是打开的，远程主机用syn-ack应答，nmap发送一个rst；如果远程主机的端口是关闭的，它的应答将是rst，此时nmap转入下一个端口。

　　图三是一次测试结果，很明显，tcp syn扫描速度要超过tcp connect()扫描。采用默认计时选项，在lan环境下扫描一个主机，ping扫描耗时不到十秒，tcp syn扫描需要大约十三秒，而tcp connect()扫描耗时最多，需要大约7分钟。
　　

　　
　　 nmap支持丰富、灵活的命令行参数。例如，如果要扫描192.168.7网络，可以用192.168.7.x/24或192.168.7.0-255的形式指定ip地址范围。指定端口范围使用-p参数，如果不指定要扫描的端口，nmap默认扫描从1到1024再加上nmap-services列出的端口。

　　如果要查看nmap运行的详细过程，只要启用verbose模式，即加上-v参数，或者加上-vv参数获得更加详细的信息。例如，nmap -ss 192.168.7.1-255 -p 20,21,53-110,30000- -v命令，表示执行一次tcp syn扫描，启用verbose模式，要扫描的网络是192.168.7，检测20、21、53到110以及30000以上的端口（指定端口清单时中间不要插入空格）。再举一个例子，nmap -ss 192.168.7.1/24 -p 80扫描192.168.0子网，查找在80端口监听的服务器（通常是web服务器）。

　　有些网络设备，例如路由器和网络打印机，可能禁用或过滤某些端口，禁止对该设备或跨越该设备的扫描。初步侦测网络情况时，-host_timeout<毫秒数>参数很有用，它表示超时时间，例如nmap ss host_timeout 10000 192.168.0.1命令规定超时时间是10000毫秒。

　　网络设备上被过滤掉的端口一般会大大延长侦测时间，设置超时参数有时可以显著降低扫描网络所需时间。nmap会显示出哪些网络设备响应超时，这时你就可以对这些设备个别处理，保证大范围网络扫描的整体速度。当然，host_timeout到底可以节省多少扫描时间，最终还是由网络上被过滤的端口数量决定。

　　nmap的手册（man文档）详细说明了命令行参数的用法（虽然man文档是针对unix版nmap编写的，但同样提供了win32版本的说明）。

　　三、注意事项

　　也许你对其他端口扫描器比较熟悉，但nmap绝对值得一试。建议先用nmap扫描一个熟悉的系统，感觉一下nmap的基本运行模式，熟悉之后，再将扫描范围扩大到其他系统。首先扫描内部网络看看nmap报告的结果，然后从一个外部ip地址扫描，注意防火墙、入侵检测系统（ids）以及其他工具对扫描操作的反应。通常，tcp connect()会引起ids系统的反应，但ids不一定会记录俗称“半连接”的tcp syn扫描。最好将nmap扫描网络的报告整理存档，以便随后参考。

　　如果你打算熟悉和使用nmap，下面几点经验可能对你有帮助：

　　㈠ 避免误解。不要随意选择测试nmap的扫描目标。许多单位把端口扫描视为恶意行为，所以测试nmap最好在内部网络进行。如有必要，应该告诉同事你正在试验端口扫描，因为扫描可能引发ids警报以及其他网络问题。

　　㈡ 关闭不必要的服务。根据nmap提供的报告（同时考虑网络的安全要求），关闭不必要的服务，或者调整路由器的访问控制规则（acl），禁用网络开放给外界的某些端口。

　　㈢ 建立安全基准。在nmap的帮助下加固网络、搞清楚哪些系统和服务可能受到攻击之后，下一步是从这些已知的系统和服务出发建立一个安全基准，以后如果要启用新的服务或者服务器，就可以方便地根据这个安全基准执行。