Nmap从入门到精通

Nmap 是什么？ (What is Nmap?)

你好，未来的网络安全探索者！ 欢迎来到 Nmap 的世界。

想象一下，你是一名城市规划师，在规划一座新城市之前，你需要了解这片土地的每一寸细节：哪里有河流，哪里有山丘，哪里已经有了建筑。Nmap (Network Mapper) 就是你在数字世界中的“勘探工具”，它可以帮助你发现网络上的设备，以及这些设备上开放了哪些“大门”（也就是端口）。

Nmap 的主要用途包括：

• 主机发现 (Host Discovery): 找出网络上有哪些活跃的设备，比如电脑、服务器、路由器、甚至智能冰箱！

• 端口扫描 (Port Scanning): 识别目标设备上哪些网络端口是开放的。端口就像是设备上的不同服务窗口，比如 80 端口通常是网页服务，22 端口通常是远程登录服务。

• 服务与版本探测 (Service and Version Detection): 找出在开放端口上运行的具体网络服务是什么，以及它们的软件版本。这很重要，因为某些特定版本的软件可能存在已知的安全漏洞。

• 操作系统探测 (Operating System Detection): 尝试识别目标设备的操作系统类型和版本。

• 漏洞扫描 (Vulnerability Scanning): 通过 Nmap 脚本引擎 (NSE)，Nmap 还可以执行一些基本的漏洞扫描，帮助发现潜在的安全风险。
为什么学习 Nmap？它为什么这么重要？
Nmap 是网络安全领域中最基础、最强大的工具之一。无论你是想成为一名渗透测试工程师 (Penetration Tester)、安全分析师 (Security Analyst)，还是仅仅想更好地了解你自己的网络环境，Nmap 都是必备技能。

• 对于防御者 (Blue Team): Nmap 可以帮助你了解自己网络的暴露面，及时发现未经授权的设备或开放了不必要端口的服务，从而加固防线。

• 对于攻击者/测试者 (Red Team/Penetration Testers): Nmap 是信息收集阶段的核心工具，帮助他们绘制目标网络的拓扑结构，找到潜在的攻击入口。
Nmap 的合法和道德使用准则

这是一个非常非常重要的话题！Nmap 本身是一个中立的工具，就像一把锤子，你可以用它来盖房子，也可以用它来搞破坏。 我们必须强调：未经授权扫描他人网络是非法且不道德的！

请牢记：始终在获得明确授权的情况下使用 Nmap。 我们学习 Nmap 是为了更好地保护网络，而不是去侵犯他人。

小成就解锁： 你已经了解了 Nmap 的基本概念和重要性！这是成为网络安全高手的第一步！

安装与初识 Nmap (Installation and First Look)

现在我们已经知道了 Nmap 是什么以及它的重要性，是时候亲自动手，把这个强大的工具安装到我们的电脑上了！别担心，安装过程通常很简单。

Nmap 支持多种操作系统。下面我们分别介绍在 Windows、Linux 和 macOS上的安装方法。你可以根据自己的操作系统选择相应的指南。

操作系统安装指南

操作系统	安装方法
Windows	访问 Nmap 官方网站的下载页面 (https://nmap.org/download.html)。找到最新的稳定版 Windows 安装程序 (通常是一个 .exe 文件，例如 nmap-x.yy-setup.exe)。下载并运行该程序，按照安装向导的提示完成安装。安装过程中，请确保勾选了 “Nmap core files” 和 “Command-line Nmap executable”。
Linux	大多数 Linux 发行版都可以通过包管理器轻松安装 Nmap。 - Debian/Ubuntu (及衍生版): 打开终端，输入命令 sudo apt update && sudo apt install nmap - Fedora/CentOS/RHEL (及衍生版): 打开终端，输入命令 sudo dnf install nmap (较新版本) 或 sudo yum install nmap (较老版本)
macOS	方法一 (推荐): 使用 Homebrew 。如果你安装了 Homebrew (macOS 的一个流行包管理器)，打开终端，输入命令 brew install nmap。 方法二: 官方安装包。访问 Nmap 官方网站的下载页面，下载适用于 macOS 的 .dmg 安装包。双击打开 .dmg 文件，然后运行其中的安装程序。

小提示 : 安装完成后，可以打开你的命令行终端 (Windows 上是 cmd 或 PowerShell，Linux 和 macOS 上是 Terminal)，输入 nmap -V (注意 V 是大写) 并按回车。如果安装成功，你会看到 Nmap 的版本信息。

Nmap 的基本命令行界面

Nmap 主要通过命令行来操作。这意味着你需要打开终端，然后输入 nmap 命令，后面跟着一些参数和目标地址。

基本的命令格式看起来像这样：

 

nmap [扫描类型...] [选项...] {目标规范}

 

别被这个吓到！我们后面会一步步学习各种扫描类型和选项的含义。

第一次扫描：nmap scanme.nmap.org 示例与结果解读

激动人心的时刻到了！让我们进行第一次 Nmap 扫描。Nmap 的开发者提供了一个专门用于测试扫描的网站：scanme.nmap.org。扫描这个网站是完全合法的。

打开你的终端，输入以下命令并按回车：

 

`nmap scanme.nmap.org`

 

请注意： 第一次运行扫描可能需要一点时间，因为它需要下载一些必要的数据文件。请耐心等待。

扫描完成后，你会看到类似下面的输出 (具体结果可能会因 Nmap 版本和网络状况略有不同)：

 

Starting Nmap X.YY ( https://nmap.org ) at YYYY-MM-DD HH:MM ZZZ
Nmap scan report for scanme.nmap.org (45.33.32.156)
Host is up (0.12s latency).
Not shown: 995 closed tcp ports (conn-refused)
PORT      STATE    SERVICE
22/tcp    open     ssh
80/tcp    open     http
9929/tcp  open     nping-echo
31337/tcp open     Elite

Nmap done: 1 IP address (1 host up) scanned in X.XX seconds
plaintext

 

让我们来解读一下这些信息：

• Starting Nmap X.YY ...: 显示你正在使用的 Nmap 版本和启动时间。

• Nmap scan report for scanme.nmap.org (45.33.32.156): 表明这是针对 scanme.nmap.org (其 IP 地址是 45.33.32.156) 的扫描报告。

• Host is up (0.12s latency).: 表示目标主机是活跃的 (在线)，并且网络延迟大约是 0.12 秒。

• Not shown: 995 closed tcp ports (conn-refused): Nmap 默认会扫描最常见的 1000 个 TCP 端口。这里告诉我们，有 995 个被扫描的 TCP 端口是关闭的 (状态是 conn-refused，意味着连接被拒绝)。

• 核心部分来了！ 下面列出的是开放的端口及其服务：

• 22/tcp open ssh: 端口 22 是开放的 (open)，运行的是 ssh (Secure Shell) 服务。

• 80/tcp open http: 端口 80 是开放的，运行的是 http (Hypertext Transfer Protocol) 服务，也就是我们常说的 Web 服务。

• 9929/tcp open nping-echo: 端口 9929 是开放的，运行的是 nping-echo 服务 (Nmap 项目的一个工具)。

• 31337/tcp open Elite: 端口 31337 是开放的，被标记为 Elite (这是一个历史悠久的黑客文化端口)。

• Nmap done: 1 IP address (1 host up) scanned in X.XX seconds: 扫描完成，总共扫描了 1 个 IP 地址，发现 1 个主机是活跃的，耗时 X.XX 秒。

小成就解锁： 你成功安装了 Nmap 并完成了你的第一次网络扫描！是不是很有成就感？

通过这次简单的扫描，我们就发现 scanme.nmap.org 这个服务器对外开放了 SSH、HTTP 等服务。这些信息对于了解一个网络系统至关重要。

在接下来的章节中，我们将学习如何更精确地指定扫描目标，以及探索 Nmap 更多强大的扫描功能。

指定扫描目标 (Specifying Targets)

在上一节中，我们对 scanme.nmap.org 进行了一次扫描。但在实际应用中，你需要告诉 Nmap 具体要扫描哪些设备。Nmap 提供了多种灵活的方式来指定扫描目标。

想象一下，你是一名侦察兵，你需要精确地知道你的侦察范围。同样，在使用 Nmap 时，明确目标至关重要。

以下是一些常用的指定目标的方法：

指定方式	示例命令	说明
单个 IP 地址	nmap 192.168.1.1	直接指定一个 IPv4 地址进行扫描。这是最直接的方式。
主机名	nmap example.com	你也可以使用主机名。Nmap 会自动解析该主机名对应的 IP 地址进行扫描。
IP 地址范围 (CIDR)	nmap 192.168.1.0/24	使用 CIDR (Classless Inter-Domain Routing) 表示法指定一个网段。例如，/24 表示扫描从 192.168.1.0 到 192.168.1.255 的所有 256 个 IP 地址。这是扫描整个子网的常用方法。
IP 地址范围 (八位字节)	nmap 192.168.1.100-150	指定 IP 地址的最后一个八位字节的范围。这个例子会扫描从 192.168.1.100 到 192.168.1.150 的 IP 地址。
	nmap 192.168.1,2,3.1-10	你甚至可以指定多个八位字节的范围或列表。这个例子会扫描 192.168.1.1 到 192.168.1.10，192.168.2.1 到 192.168.2.10，以及 192.168.3.1 到 192.168.3.10。
从文件中读取目标	nmap -iL targets.txt	使用 -iL (Input from List) 参数，Nmap 会从指定的文件 (targets.txt) 中读取目标列表。文件中的每一行可以是一个 IP 地址、主机名或范围。这对于扫描大量目标非常方便。
排除特定目标	nmap 192.168.1.0/24 --exclude 192.168.1.5	使用 --exclude 参数可以从扫描范围中排除一个或多个 IP 地址。
	nmap 192.168.1.0/24 --excludefile exclude.txt	也可以使用 --excludefile 参数，从一个文件中读取要排除的目标列表。

生活化比喻：

• 单个 IP 地址： 就像给快递员一个精确的门牌号码，例如“幸福路 8 号”。

• 主机名： 就像告诉出租车司机要去“市中心广场”，司机会知道具体的地址。

• IP 地址范围 (CIDR)： 就像告诉邮递员派送整个“阳光小区”的信件。

• 从文件中读取目标： 就像你有一张客户名单，需要挨个拜访。

• 排除特定目标： 就像在派对邀请函上注明“除了小明都可以来”。

重要提示： 再次强调，务必确保你拥有扫描目标的明确授权！ 未经许可扫描他人网络是违法的。

思考题 ：

1. 如果你想扫描你家路由器（假设 IP 地址是 192.168.0.1）和你的笔记本电脑（假设 IP 地址是 192.168.0.101），你会使用什么 Nmap 命令？

2. 如果你们公司有一个网段是 10.0.0.0/24，但其中 10.0.0.50 是一台非常敏感的服务器，不希望被扫描到，你会如何设置 Nmap 命令？

小成就解锁： 你现在知道如何告诉 Nmap 要扫描谁了！这是进行有效网络探测的关键一步。

掌握了如何指定目标后，我们下一步将学习 Nmap 如何发现这些目标是否真的“活着”（在线）——也就是主机发现技术。

主机发现 (Host Discovery - Ping Scans)

在我们开始对目标进行详细的端口扫描之前，通常需要先确认哪些目标主机是“活着的”，也就是在线并且可以响应网络请求。这个过程就叫做 主机发现 (Host Discovery)，有时也被称为 Ping 扫描 (Ping Scan)。

为什么主机发现很重要？

想象一下，你要给一个城市的所有住户送信，但你事先不知道哪些房子是空置的。如果你挨家挨户地敲门（进行端口扫描），会浪费大量时间在那些根本没人的空房子上。主机发现就像是先派无人机侦察一下，看看哪些房子亮着灯，然后再针对性地去送信。

默认情况下，当你指定一个目标给 Nmap 时（例如 nmap target.com），Nmap 会先进行主机发现。如果主机被认为是离线的，Nmap 通常就不会再对其进行端口扫描了，这样可以大大提高扫描效率，尤其是在扫描大范围网段时。

常用的主机发现技术

Nmap 使用多种技术来判断主机是否在线。这些技术就像是侦察兵的不同工具，各有特点：

• ICMP Echo Request (Ping): 这是最常见的方式，就像我们平时在命令行里用 ping 命令一样。Nmap 发送一个 ICMP Echo 请求包到目标主机，如果收到 Echo 回复，就认为主机在线。

• TCP SYN Ping: Nmap 向目标主机的特定端口（默认是 80 端口，HTTP 服务）发送一个 TCP SYN 包（请求建立连接的第一个包）。如果收到 SYN/ACK 包（表示端口开放并同意建立连接）或 RST 包（表示端口关闭但主机在线），都认为主机在线。

• TCP ACK Ping: Nmap 向目标主机的特定端口（默认是 80 端口）发送一个 TCP ACK 包（确认包）。如果收到 RST 包，通常意味着主机在线，因为只有在线的主机才会响应一个它未曾期望的 ACK 包。

• UDP Ping: Nmap 向目标主机的特定高位 UDP 端口发送一个空的 UDP 包。如果收到 ICMP Port Unreachable 错误，说明主机在线但该 UDP 端口关闭。如果没有任何响应，也可能意味着主机在线（因为 UDP 是无连接的，不保证响应）。

• ARP Ping (仅限局域网): 当 Nmap 扫描与你处于同一个局域网 (LAN) 内的目标时，它会使用 ARP (Address Resolution Protocol) 请求来发现主机。ARP 请求直接在链路层工作，非常快速和可靠。如果目标主机回复了 ARP 响应，Nmap 就知道它在线了。

-sn (Ping Scan - No port scan) 参数详解

如果你只想进行主机发现，而不进行后续的端口扫描，可以使用 -sn 参数 (可以记作 “Scan No ports” 或者 “Skip port scan”)。

例如，要发现 192.168.1.0/24 网段中哪些主机在线，但不扫描它们的端口，可以使用：

 

`nmap -sn 192.168.1.0/24`

 

这个命令会列出所有响应了 Nmap 主机发现探测的主机，并报告它们的状态 (Host is up)。

更多主机发现选项 (Ping Types)

Nmap 允许你更精细地控制使用哪些主机发现技术。以下是一些常用的选项：

选项	技术说明	示例命令
-PE	ICMP Echo Ping  (默认选项之一，如果 Nmap 有权限发送原始套接字)	nmap -PE target.com
-PP	ICMP Timestamp Ping  (发送时间戳请求)	nmap -PP target.com
-PM	ICMP Address Mask Ping  (发送地址掩码请求)	nmap -PM target.com
-PS[portlist]	TCP SYN Ping 。可以指定端口列表，例如 -PS22,80,443。默认是端口 80。	nmap -PS80,443 scanme.nmap.org
-PA[portlist]	TCP ACK Ping 。可以指定端口列表，默认是端口 80。	nmap -PA21,22 192.168.1.1
-PU[portlist]	UDP Ping 。可以指定端口列表，默认是端口 40125。	nmap -PU53 192.168.1.1
-PR	ARP Ping  (仅限局域网，通常是默认行为，如果 Nmap 检测到目标在本地网络)	nmap -PR 192.168.1.0/24
-Pn	No Ping - Treat all hosts as online.  这个选项会跳过主机发现阶段，直接对所有指定的目标进行端口扫描，即使它们可能并不在线。谨慎使用，因为它可能会对大量离线主机进行耗时的端口扫描。在你知道目标肯定在线，但它们可能屏蔽了 Ping 请求时比较有用。	nmap -Pn scanme.nmap.org

小提示 :

• 在扫描本地网络时，ARP Ping (-PR) 通常是最快和最可靠的主机发现方法。

• 如果目标网络有防火墙，它们可能会阻止某些类型的 Ping 请求。这时你可能需要尝试不同的 Ping 类型 (-PS, -PA, -PU 等) 或者使用 -Pn (但要小心)。

小成就解锁： 你现在理解了主机发现的原理和常用方法！这能帮助你更高效地进行网络扫描。

思考题 ：

1. 如果你想快速检查你家局域网 (192.168.0.0/24) 中有哪些设备在线，你会使用哪个 Nmap 命令？为什么？

2. 你正在对一个已知的 Web 服务器进行安全评估，你知道它肯定在线，但它似乎屏蔽了所有 ICMP Ping 请求。为了扫描它的端口，你会使用哪个 Nmap 参数来确保 Nmap 不会因为 Ping 不通而跳过它？

了解了如何发现活跃主机后，我们就可以开始探索这些主机上到底开放了哪些“大门”了。下一节，我们将进入端口扫描的世界！

教程的第六部分：服务与版本探测 (Service and Version Detection)。

6. 服务与版本探测 (Service and Version Detection)

仅仅知道端口是开放的还不够，更重要的是了解这些端口上究竟运行着什么服务以及它们的具体版本。这就像我们不仅知道一扇门开着，还想知道门后是客厅、卧室还是厨房，以及里面的电器是什么品牌和型号。这些信息对于评估潜在的安全风险至关重要，因为很多漏洞都是特定于软件的某个版本的。

Nmap通过向开放端口发送一系列精心构造的探测报文，并分析返回的数据来识别服务和版本信息。这个过程有点像一位经验丰富的侦探，通过询问和观察来判断一个人的职业和背景。

6.1 为什么服务与版本探测如此重要？

• 精确识别服务：标准的端口号并不总是可靠。例如，一个Web服务器可能运行在80端口，但也可能运行在8080或其他非标准端口。服务探测可以帮助我们确认端口上运行的真实服务，而不是仅仅依赖于端口号的约定。

• 发现潜在漏洞：知道了服务的具体版本，我们就可以查询该版本是否存在已知的安全漏洞。例如，如果发现目标运行着一个过时的Apache Web服务器版本，那么它可能容易受到某些已知漏洞的攻击。

• 制定后续渗透策略：版本信息可以帮助我们选择更具针对性的攻击载荷或利用工具。

6.2 如何进行服务与版本探测？

Nmap中使用 -sV 选项来启用服务与版本探测。这个选项会告诉Nmap在完成端口扫描后，对所有识别出的开放端口进行更深入的探测。

基本命令格式：

 

nmap -sV 

 

示例：

让我们尝试对 scanme.nmap.org 进行服务与版本探测：

 

`nmap -sV scanme.nmap.org`

 

预期输出解读：

您会看到类似以下的输出（具体版本号可能会有所不同）：

 

Starting Nmap X.XX ( https://nmap.org ) at YYYY-MM-DD HH:MM ZZZ
Nmap scan report for scanme.nmap.org (45.33.32.156)
Host is up (0.18s latency).
Not shown: 995 closed ports
PORT      STATE SERVICE      VERSION
22/tcp    open  ssh          OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.13 (Ubuntu Linux; protocol 2.0)
25/tcp    open  smtp         Postfix smtpd
80/tcp    open  http         Apache httpd 2.4.7 ((Ubuntu))
9929/tcp  open  nping-echo   Nping echo
31337/tcp open  Elite        ?

Service Info: OS: Linux; CPE: cpe:/olinux_kernel

Nmap done: 1 IP address (1 host up) scanned in XX.XX seconds

 

关键信息解读：

• VERSION 列：这是 -sV 选项的核心价值所在。它显示了Nmap识别出的运行在对应端口上的服务的具体名称和版本号。

• 例如，在 22/tcp 端口，我们看到 OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.13，这告诉我们目标运行的是OpenSSH服务，版本为6.6.1p1，并且是Ubuntu系统上的一个特定构建版本。

• 在 80/tcp 端口，我们看到 Apache httpd 2.4.7 ((Ubuntu))，表明这是一个Apache Web服务器，版本为2.4.7，运行在Ubuntu上。

• 有时，如果Nmap无法精确识别版本，或者服务比较特殊，版本列可能会显示 ? 或者一些描述性信息，如 31337/tcp open Elite ?。

• SERVICE 列：显示了Nmap根据端口号和探测结果初步判断的服务类型。

• Service Info 行：有时Nmap还会提供一些额外的服务相关信息，比如操作系统类型（OS: Linux）和通用平台枚举（CPE）标识符（cpe:/olinux_kernel）。CPE是一种标准化的命名方式，用于唯一标识IT平台和产品，这对于自动化漏洞管理非常有用。

6.3 服务探测的强度与精细控制

Nmap的服务探测功能非常强大，但也可能比较耗时，因为它需要与每个开放端口进行多次交互。

• --version-intensity ：您可以控制版本探测的强度，级别从0到9，默认是7。较高的级别会尝试更多的探测报文，可能识别出更冷门的服务，但也更耗时，并且可能更容易被入侵检测系统（IDS）发现。

例如，进行一次轻量级的版本扫描：

 

nmap -sV --version-light 

 

• --version-light (强度2)

• --version-all (强度9)

• --version-trace：如果您想了解Nmap是如何进行版本探测的，可以使用这个选项。它会显示详细的探测过程和Nmap与目标服务的交互数据，这对于调试或深入理解探测原理非常有帮助。

思考题：

1. 为什么在进行安全评估时，仅仅知道一个端口是开放的是不够的？服务和版本信息能提供哪些额外的价值？

2. 如果您扫描一个目标，发现其80端口开放，SERVICE列显示为http，但VERSION列显示为Microsoft IIS httpd 10.0。这与您预期的Linux服务器上的Apache服务不符，这可能意味着什么？您会如何进一步分析？

3. 在什么情况下，您可能会选择使用 --version-light 而不是默认强度的服务探测？

服务与版本探测是Nmap的核心功能之一，它能为我们提供关于目标系统极其宝贵的信息。掌握好这一节的内容，将大大提升您的网络侦察能力。

接下来是第七部分：操作系统探测 (Operating System Detection)。

7. 操作系统探测 (Operating System Detection)

了解目标主机运行的操作系统是网络侦察中的另一个关键环节。不同的操作系统有其独特的特性、默认配置和潜在的漏洞。Nmap可以通过分析目标主机对特定TCP/IP探测报文的响应方式来猜测其操作系统。

想象一下，不同国家的人说同一种语言时可能会有不同的口音和用词习惯。Nmap就像一位语言学家，通过分析这些细微的“网络口音”来判断对方的“国籍”（操作系统）。

7.1 为什么操作系统探测很重要？

• 定制攻击策略：针对特定操作系统的漏洞利用成功率更高。例如，一个针对Windows SMB服务的漏洞利用，对Linux系统就无效。

• 了解系统环境：操作系统信息有助于我们推断目标可能安装的软件、默认服务以及安全配置。

• 评估安全基线：某些操作系统版本可能已知存在未修补的漏洞，或者默认安全设置较弱。

7.2 如何进行操作系统探测？

Nmap中使用 -O (大写字母O) 选项来启用操作系统探测。为了获得准确的结果，Nmap通常需要找到至少一个开放和一个关闭的TCP端口。

基本命令格式：

 

nmap -O 

 

示例：

让我们尝试对 scanme.nmap.org 进行操作系统探测：

 

`nmap -O scanme.nmap.org`

 

预期输出解读：

您可能会看到类似以下的输出：

 

Starting Nmap X.XX ( https://nmap.org ) at YYYY-MM-DD HH:MM ZZZ
Nmap scan report for scanme.nmap.org (45.33.32.156)
Host is up (0.18s latency).
Not shown: 995 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
25/tcp    open  smtp
80/tcp    open  http
9929/tcp  open  nping-echo
31337/tcp open  Elite
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/olinux_kernel:3 cpe:/olinux_kernel:4
OS details: Linux 3.2 - 4.9

Nmap done: 1 IP address (1 host up) scanned in XX.XX seconds

 

关键信息解读：

• Device type：Nmap尝试猜测设备类型，例如 general purpose (通用服务器/工作站), router, printer 等。

• Running：Nmap列出的最有可能的操作系统。这里可能是具体的发行版和内核版本，例如 Linux 3.X|4.X 表示可能是Linux内核3系列或4系列。

• OS CPE：操作系统的通用平台枚举（CPE）标识符。这对于自动化脚本和漏洞数据库查询非常有用。

• OS details：更详细的操作系统猜测信息。Nmap会根据其指纹数据库中的匹配情况给出最可能的几个候选项。例如 Linux 3.2 - 4.9。

重要提示： 操作系统探测并非100%准确。它依赖于目标主机对特定探测报文的响应，而这些响应可能会受到防火墙、负载均衡器或操作系统本身配置的影响。如果Nmap无法获得足够的信息，它可能无法给出准确的猜测，或者会给出多个可能的选项。

7.3 操作系统探测的进阶选项

• --osscan-limit：如果目标主机没有任何开放和关闭的TCP端口符合Nmap进行操作系统探测的要求，Nmap通常会跳过对该主机的操作系统探测。使用此选项可以强制Nmap即使在不理想的情况下也尝试进行探测。

• --osscan-guess 或 --fuzzy：当Nmap的操作系统探测结果不理想时，它会尝试进行更积极（或说更模糊）的猜测。这可能会提高识别率，但也可能导致错误的猜测。

• 可以把它想象成，如果初步判断不出来，Nmap会说：“嗯，虽然细节对不上，但它看起来很像一个Linux系统。”

• --max-os-tries ：设置Nmap在放弃操作系统探测前尝试的次数。默认值通常是合理的，但如果网络条件非常差，或者目标响应很慢，可以适当增加此值。

7.4 操作系统探测的原理简述 (选读)

Nmap的操作系统探测技术非常复杂，它基于一个庞大的指纹数据库 (nmap-os-db)。这个数据库包含了数千种已知操作系统和服务对特定TCP/IP探测报文的响应特征。

Nmap会向目标发送一系列精心设计的TCP、UDP和ICMP探测报文，并分析以下特征：

• TCP ISN (Initial Sequence Number) 采样：不同操作系统生成TCP初始序列号的方式可能不同。

• TCP 选项支持和顺序：例如窗口缩放选项、时间戳选项等。

• IP ID 采样：IP包头中的ID字段的生成方式。

• 显式拥塞通知 (ECN) 支持。

• 对特定标志位组合的响应：例如，对SYN/FIN/URG/PSH同时设置的TCP报文的响应。

• ICMP 报文处理：例如，对不可达端口的ICMP响应。

Nmap收集这些响应特征，然后与数据库中的指纹进行比对，找出最匹配的操作系统。

思考题：

1. 在哪些情况下，操作系统探测的结果可能不准确？你会如何应对这种情况？

2. 如果你扫描一个网络，发现大部分主机都是Windows系统，但有一台主机Nmap无法识别其操作系统，或者给出了非常模糊的猜测（例如 unknown device）。这可能暗示了什么？

3. --osscan-guess 选项的潜在好处和风险是什么？

操作系统探测是Nmap工具箱中非常强大的一个功能，它能帮助我们更全面地了解目标网络环境。熟练运用它，将使您的安全评估工作更加高效和精准。

我们现在进入Nmap中一个非常强大且灵活的部分——Nmap脚本引擎。这部分将极大地扩展Nmap的功能。

8. Nmap脚本引擎 (NSE - Nmap Scripting Engine)

Nmap脚本引擎（NSE）是Nmap最强大的功能之一。它允许用户编写（或使用现有的）Lua脚本来自动化各种网络任务。这些脚本可以用于更高级的漏洞检测、更深入的服务发现、利用某些已知的漏洞、收集更多目标信息等等。

想象一下，Nmap本身是一个多功能工具箱，而NSE脚本就是各种定制的、专用的工具头，可以装在工具箱的工具上，执行特定的高级任务。

8.1 NSE能做什么？

NSE脚本的用途非常广泛，Nmap自带了数百个脚本，涵盖以下主要类别：

• auth：尝试绕过认证机制或获取目标系统上的凭据（例如，尝试默认密码）。

• broadcast：利用广播发现网络中的主机和服务，收集信息。

• brute：对服务进行暴力破解（例如，FTP、SSH、Telnet的用户名和密码）。

• default：一组被认为是安全且有用的默认脚本，通常与 -sC 或 -A 选项一起运行。

• discovery：尝试发现关于网络的更多信息（例如，DNS服务器、SNMP信息、目录服务等）。

• dos：检测或利用拒绝服务漏洞（使用时需格外小心，并获得授权）。

• exploit：尝试利用已知的安全漏洞（同样，使用时需格外小心，并获得授权）。

• external：与第三方服务交互以获取信息（例如，查询Whois数据库、Shodan等）。

• fuzzer：向目标发送异常或随机数据，以测试其健壮性或发现潜在漏洞。

• intrusive：被认为具有侵入性，可能导致目标系统崩溃或留下明显痕迹的脚本（不建议在未授权的情况下使用）。

• malware：检测目标系统上是否存在已知的恶意软件或后门。

• safe：被认为是安全的脚本，不太可能对目标系统造成负面影响。

• version：用于增强版本探测 -sV 的脚本，尝试获取更详细的服务版本信息。

• vuln：专门用于检测已知漏洞的脚本。

8.2 如何使用NSE脚本？

主要通过 --script 选项来指定要运行的脚本或脚本类别。

基本命令格式：

• 运行单个脚本：

 

nmap --script  

例如，运行 http-title 脚本来获取Web服务器的标题：

`nmap --script http-title scanme.nmap.org`

 

• 运行指定类别的所有脚本：

 

nmap --script  

例如，运行所有 default 类别的脚本：

`nmap --script default scanme.nmap.org`

或者，更常用的方式是使用 -sC 选项，它等同于 --script default：

`nmap -sC scanme.nmap.org`

 

• 运行多个脚本或类别：
使用逗号分隔脚本名或类别名。

 

nmap --script http-title,ftp-anon 
nmap --script default,vuln 

 

• 运行所有脚本 (不推荐，除非您知道自己在做什么并且已获得授权)：

 

nmap --script all 

这会运行Nmap脚本目录中的所有脚本，可能非常耗时且具有侵入性。

 

• 使用通配符指定脚本：

 

nmap --script "http-*"   # 运行所有以 http- 开头的脚本

注意：在某些shell中，可能需要将通配符表达式放在引号内。

 

8.3 脚本参数 (--script-args)

一些NSE脚本接受参数，以定制其行为。可以使用 --script-args 选项来传递这些参数。

命令格式：

 

nmap --script  --script-args  

 

例如，http-brute 脚本可以接受用户名列表和密码列表作为参数：

 

nmap --script http-brute --script-args userdb=users.txt,passdb=passwords.txt 

 

要了解特定脚本支持哪些参数，可以查阅Nmap的官方文档，或者使用以下命令查看脚本的帮助信息：

 

nmap --script-help 

 

8.4 更新NSE脚本数据库

Nmap的脚本库会定期更新，添加新的脚本和修复。可以使用以下命令更新脚本数据库：

 

`sudo nmap --script-updatedb`

 

(在Windows上可能不需要 sudo，直接以管理员权限运行命令提示符即可)

8.5 常用且有用的脚本示例

• http-title: 获取HTTP服务器的