Nmap 侦查

使用 Nmap 进行网络侦查和端口扫描。当被要求扫描目标、查找开放端口、检测服务、检查漏洞或执行网络侦查时使用。

触发词

• "扫描 [目标]"，"端口扫描"，"nmap"，"哪些端口是开放的"，"侦查 [目标]"，"服务检测"，"漏洞扫描"

要求

• nmap必须已安装（Kali 系统中标准自带，可通过软件包管理器获取）
• 进行 SYN 扫描和操作系统检测需要 Root/sudo 权限

用法

快速扫描（前 1000 个端口）

nmap -sC -sV -oA scan_$(date +%Y%m%d_%H%M%S) TARGET

全端口扫描

nmap -p- -sC -sV -oA fullscan_$(date +%Y%m%d_%H%M%S) TARGET

快速扫描（快速检查）

nmap -F -T4 TARGET

隐蔽 SYN 扫描（需要 root 权限）

sudo nmap -sS -sV -O -oA stealth_$(date +%Y%m%d_%H%M%S) TARGET

UDP 扫描（前 100 个端口）

sudo nmap -sU --top-ports 100 -oA udp_$(date +%Y%m%d_%H%M%S) TARGET

漏洞扫描

nmap --script vuln -oA vulnscan_$(date +%Y%m%d_%H%M%S) TARGET

主动扫描（操作系统、版本、脚本、路由追踪）

nmap -A -T4 -oA aggressive_$(date +%Y%m%d_%H%M%S) TARGET

输出解析

Nmap 支持多种格式输出，使用-oA参数：

• .nmap- 人类可读
• .xml- 机器可解析
• .gnmap- 可筛选格式

从可筛选输出中解析开放端口：

grep "open" scan.gnmap | awk -F'[/]' '{print $1}' | tr ',' '\n' | sort -u

提取服务版本：

grep -E "^[0-9]+/" scan.nmap | awk '{print $1, $3, $4}'

XML快速摘要：

xmllint --xpath "//port[@state='open']" scan.xml 2>/dev/null

常见扫描方案

脚本类别

# List available scripts
ls /usr/share/nmap/scripts/

# Run specific category
nmap --script=default,safe TARGET
nmap --script=vuln TARGET
nmap --script=exploit TARGET
nmap --script=auth TARGET

# Run specific script
nmap --script=http-title TARGET
nmap --script=smb-vuln* TARGET

目标指定

# Single host
nmap 192.168.1.1

# CIDR range
nmap 192.168.1.0/24

# Range
nmap 192.168.1.1-254

# From file
nmap -iL targets.txt

# Exclude hosts
nmap 192.168.1.0/24 --exclude 192.168.1.1

时序模板

• -T0偏执模式（IDS规避）
• -T1隐蔽模式（IDS规避）
• -T2礼貌模式（慢速）
• -T3正常模式（默认）
• -T4主动模式（快速）
• -T5疯狂模式（极快，可能遗漏端口）

需要授权

⚠️仅扫描您拥有或已获得明确书面测试授权的目标。

切勿扫描：

• 未经许可的公共基础设施
• 不受控制的网络
• 未经批准的生产系统

示例工作流程

# 1. Quick scan to find live hosts
nmap -sn 192.168.1.0/24 -oA live_hosts

# 2. Fast port scan on discovered hosts
nmap -F -T4 -iL live_hosts.gnmap -oA quick_ports

# 3. Deep scan interesting hosts
nmap -p- -sC -sV -oA deep_scan TARGET

# 4. Vulnerability scan
nmap --script vuln -oA vuln_scan TARGET