soapffz

Open 表示目标计算机上的应用程序正在侦听该端口上的连接/数据包。
Closed 端口没有应用程序监听它们。
Filtered 意味着防火墙，过滤器，或其他网络障碍物阻塞的端口，使得Nmap不能确定是open或closed。
unfiltered 当端口响应Nmap的探测器时，Nmap无法确定它们是打开还是关闭。
open|filtered、closed|filtered nmap不能确定端口处于这两种状态中的哪种状态

可以传递主机名，IP地址，网络等。
例如：scanme.nmap.org，microsoft.com / 24,192.168.0.1; 10.0.0-255.1-254
-iL <inputfilename>：从主机/网络列表输入
-iR <num hosts>：选择随机目标
--exclude <host1 [，host2] [，host3]，...>：排除主机/网络
--excludefile <exclude_file>：从文件中排除列表

-sL 列表扫描，仅将指定的目标IP列举出来，不进行主机发现
-sn 和 -sP一样，只利用ping扫描进行主机发现，不扫描目标主机的端口
-Pn 将所有指定的主机视为已开启状态，跳过主机发现过程
-PS TCP SYN ping,发送一个设置了SYN标志位的空TCP报文，默认端口为80，也可指定端口
-PA TCP ACK ping,发送一个设置了ACK标志位的空TCP报文，默认端口为80，也可指定端口
-PU UDP ping,发送一个空的UDP报文到指定端口，可穿透只过滤TCP的防火墙
-PR 使用ARP ping
-n/-R -n不用域名解析，加速扫描，-R为目标IP做反向域名解析，扫描较慢一些
-dns-servers 自定义域名解析服务器地址
--system-dns：使用OS的DNS解析器
-traceroute 目标主机路由追踪

-sS / sT / sA / sW / sM：TCP SYN / Connect（）/ ACK / Window / Maimon扫描

-sS TCP 同步扫描 (TCP SYN)，因为不必全部打开一个 TCP 连接，所以这项技术通常称为半开扫描 (half-open)。这项技术最大的好处是，很少有系统能够把这记入系统日志。不过，你需要 root 权限来定制 SYN 数据包(Windows即为管理员权限)。
-sT TCP connect() 扫描，建立TCP的三次握手连接来进行信息的传递。这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息。一般不建议使用。
-sA ACK 扫描，原理是发送一个ACK包给目标主机，不论目标主机的端口是否开启，都会返回相应的RST包，通过判断RST包中的TTL来判断端口是否开启，TTL值小于64端口开启，大于64端口关闭。这项高级的扫描方法通常可以用来穿过防火墙。
-sW 滑动窗口扫描，非常类似于 ACK 的扫描。
-sM 探测报文是 FIN/ACK。 根据 RFC 793 (TCP) ，无论端口开放或者关闭，都应该对这样的探测响应 RST 报文。 然而，Uriel 注意到如果端口开放，许多基于 BSD 的系统只是丢弃该探测报文。

-sU：UDP扫描，唯一的UDP扫描方式。

虽然UDP扫描结果没有 TCP扫描结果的可靠度高，但渗透测试人员不能因此而轻视UDP扫描，毕竟UDP端口代表着可能会有价值的服务端程序。但是UDP扫描的最大问题是性能问题。由干Linux内核限制1秒内最多发送一次ICMP Port Unreachable信息。按照这个速度，对一台主机的65536个UDP端口进行完整扫描，总耗时必定会超过18个小时。
优化方法主要是：
1.进行并发的UDP扫描；
2.优先扫描常用端口；
3.在防火墙后面扫描；
4.启用--host-timeout选项以跳过响应过慢的主机。
假如我们需要找到目标主机开放了哪些 UDP端口。为提高扫描速度，我们仅扫描53端口（DNS）和161端口（SNMP）。
可以使用命令nmap -sU 192.168.56.103 -p 53,161

-sN / sF / sX：TCP Null，FIN和Xmas扫描

NULL 扫描不设置任何控制位； FIN扫描仅设置FIN标志位：XMAS扫描设置FIN、PSH和URG的标识位。如果目标主机返回了含有RST标识位的响应数据，则说明该端口处于关闭状态；如果目标主机没有任何回应，则该端口处于打开｜过滤状态。

NULL扫描是一种反向的扫描方法，通过发送一个没有任何标志位的数据包给服务器，然后等待服务器的返回内容。这种扫描的方法比前面提及的扫描方法要隐蔽很多，但是这种方法的准确度也是较低的， 主要的用途是用来判断操作系统是否为windows，因为windows不遵守RFC 793标准，不论端口是开启还是关闭的都返回RST包

但是虽然NULL具有这样的一些用处，但是NULL也有如下缺点
1、NULL方法的精确度不高，端口的状态返回的不是很准确
2、要获取目标主机的运行系统，可以使用参数(-O),来获取对于一些操作系统无法准确判断的，可以加上参数(-osscan-guess)
3、NULL扫描易被过滤

--scanflags <flags>：自定义TCP扫描标志
-sI <zombie host [：probeport]>：空闲扫描

采用-sI选项后，将通过指定的僵尸主机发送扫描数据包。本机并不与目标主机直接通信。如果对方网络里有IDS，IDS将认为发起扫描的主机是僵尸主机。

-sY / sZ：SCTP INIT / COOKIE-ECHO扫描

SCTP INIT 扫描类似 TCP SYN 扫描，他也是打开一个半开的连接，而不是建立一个完整的 SCTP 关联。如果目标端口回复一个 INIT-ACK 数据包，则说明端口是开放的，如果回复一个 ABORT 数据包，端口是关闭的，如果没有回复，端口会被标记标记为被过滤，当然如果收到了 ICMP 不可达的消息（ type 3, code 0, 1, 2, 3, 9, 10, or 13 ）也会被标记为被过滤。
如果目标端口开放，则会丢弃之前没有发起关联请求的 SCTP COOKIE ECHO 数据包，如果端口是关闭的则会返回一个 SCTP ABORT 数据包。所以这个扫描技术，无法分辨过滤和开放，只能分辨出关闭的端口。

-sO：IP协议扫描
-b <FTP中继主机>：FTP反弹扫描

-p <端口范围>：仅扫描指定的端口
例如：-p22; -p1-65535; -p U：53,111,137，T：21-25,80,139,8080，S：9
--exclude-ports <端口范围>：从扫描中排除指定的端口
-F：快速模式 - 扫描比默认扫描更少的端口，一般来说只扫描100个常用端口
-r：连续扫描端口，从小到大扫描端口
--top-ports <number>：扫描<number>最常见的端口，比如扫描最常见的300个端口：--top-ports 300
--port-ratio <ratio>：扫描端口比<ratio>更常见

-sV：探测开放端口以确定服务/版本信息

由于不是所有的 Nmap 侦测都会得到反馈，需要对侦测的强度进行设定，在服务侦测中有三个等级。
等级越高，侦测过程中的尝试次数越多，识别服务的可能性就会越大。

--version-intensity <level>：从0（亮）到9（尝试所有探针）设置
--version-light：限制最可能的探针（强度2）
--version-all：尝试每一个探针（强度9）

--version-trace：显示详细的版本扫描活动（用于调试）

-sC：相当于--script = default
--script = <Lua scripts>：<Lua scripts>是逗号分隔的列表
目录，脚本文件或脚本类别
--script-args = <n1 = v1，[n2 = v2，...]>：为脚本提供参数
--script-args-file = filename：在文件中提供NSE脚本args
--script-trace：显示发送和接收的所有数据
--script-updatedb：更新脚本数据库。
--script-help = <Lua scripts>：显示有关脚本的帮助。
<Lua scripts>是以逗号分隔的脚本文件列表或脚本的类别。

-O：启用OS检测
--osscan-limit：将OS检测限制为有希望的目标
--osscan-guess：更积极地猜测操作系统

采用<time>的选项以秒为单位，或追加'ms'（毫秒），
该值的's'（秒），'m'（分钟）或'h'（小时）（例如30m）。
-T <0-5>：设置时序模板（越高越快）

paranoid（0）：扫描周期为5分钟，且不会以并行方式同时发送多组数据。这种模式 的扫描不会被IDS检测到。
sneaky（1）：扫描周期为15秒，且不会以并行方式同时发送多组数据。
polite（2）：扫描周期为0.4秒，且不会以并行方式同时发送多组数据。
normal（3）：此模式同时向多个目标发送多个数据包，为	Nmap默认的模式，该模式能自动在扫描时间和网络负载之间进行平衡。
aggressive（4）：在这种模式下，Nmap对每个既定的主机只扫描5分钟，然后扫描下一台主机。它等待响应的时间不超过1.25秒。
insane（5）：在这种模式下，Nmap对每个既定的主机仅扫描75秒，然后扫描下一台主机。它等待响应的时间不超过0.3秒。
快的扫描也是有缺点的，扫描的周期过快，会很容易被防火墙和IDS发现并记录
因为防火墙大多数会将端口周期过段识别为扫描从而屏蔽掉

--min-hostgroup / max-hostgroup <size>：并行主机扫描组大小
--min-parallelism / max-parallelism <numprobes>：探测并行化
--min-rtt-timeout / max-rtt-timeout / initial-rtt-timeout <time>：指定探测往返时间。
--max-retries <tries>：端口扫描探测重传的上限数量。
--host-timeout <time>：在此之后放弃目标
--scan-delay /  -  max-scan-delay <time>：调整探针之间的延迟
--min-rate <number>：发送数据包的速度不低于每秒<number>
--max-rate <number>：发送数据包的速度不超过<number>每秒

-f; --mtu <val>：分段数据包（可选择w /给定MTU），这个选项可避免对方识别出我们探测的数据包。

指定这个选项之后， Nmap将使用8字节甚至更小数据体的数据包。

-D <decoy1，decoy2 [，ME]，...>：用诱饵披露扫描，这个选项应指定假IP，即诱饵的IP。

启用这个选项之后，Nmap在发送侦测数据包的时候会掺杂一些源地址是假IP（诱饵）的数据包。这种功能意在以藏木于林的方法掩盖本机的真实IP。也就是说，对方的log还会记录下本机的真实IP。您可使用RND生成随机的假IP地址，或者用RND：number的参数生成<number>个假IP地址。您所指定的诱饵主机应当在线，否则很容易击溃目标主机。另外，使用了过多的诱饵可能造成网络拥堵。尤其是在扫描客户的网络的时候，您应当极力避免上述情况。

-S <IP_Address>：欺骗源地址

源地址欺骗的原理是：通过将自己的IP伪装成为其他的IP去扫描目标主机从而骗过目标主机的追踪
假设要伪装成为1.1.1.1：参数-S 1.1.1.1 使用1.1.1.1进行扫描，让防火墙误以为是来自1.1.1.1的扫描行为
在使用的时候要注意与-e进行使用，因为除了制定要伪装成为的对象IP外，还要指定返回的IP地址

-e <iface>：使用指定的接口
-g /  -  source-port <portnum>：使用给定的端口号
--proxies <url1，[url2]，...>：通过HTTP / SOCKS4代理的中继连接
--data <hex string>：为发送的数据包附加自定义有效负载
--data-string <string>：为发送的数据包附加自定义ASCII字符串
--data-length <num>：将随机数据附加到已发送的数据包
--ip-options <options>：发送带有指定ip选项的数据包
--ttl <val>：设置IP生存时间字段
--spoof-mac <mac address / prefix / vendor name>：欺骗你的MAC地址
--badsum：使用伪TCP / UDP / SCTP校验和发送数据包

nmap -F -D 140.143.2.176,ME nmap.org

-oN / -oX / -oS / -oG <file>：正常输出扫描，XML，s | <rIpt kIddi3，和Grepable格式，分别为给定的文件名。
-oA <basename>：一次输出三种主要格式

-oN：正常输出，不显示runtime信息和警告信息。
-oX：生成的XML格式文件可以转换成HTML格式文件，还可被Nmap的图形用户界面解析，也便于导入数据库。
所以建议将结果都保存为XML文件。
-oS：输出类似于交互工具输出
-oG：生成便于Grep使用的文件，虽然这种文件格式已经过时，但仍然很受欢迎。这种格式的文件，其内容由注释（由#开始）和信息行组成。信息行包含6个字段，每个字段的字段 名称和字段值以冒号分割，字段之间使用制表符隔开。这些字段的名称分别为Host、Ports、Protocols、Ignored State、OS、Seq Index、IP ID Seq 和Status。这种格式的文件便于grep或awk之类的UNIX指令整理扫描结果。
为使用方便，利用-oA选项可将扫描结果以标准格式、XML格式和Grep格式一次性输出。分别存放在.nmap，.xml和.gnmap文件中。

-v：增加详细级别（使用-vv或更高级别以获得更好的效果）
-d：提高调试级别（使用-dd或更多以获得更好的效果）
--reason：显示端口处于特定状态的原因
--open：仅显示打开（或可能打开）的端口，这个很推荐使用。
--packet-trace：显示发送和接收的所有数据包
--iflist：打印主机接口和路由（用于调试）
--append-output：附加到而不是clobber指定的输出文件
--resume <filename>：恢复中止扫描
--stylesheet <path / URL>：用于将XML输出转换为HTML的XSL样式表
--webxml：来自Nmap.Org的参考样式表，用于更多可移植的XML
--no-stylesheet：防止与XML输出相关联的XSL样式表

-6：启用IPv6扫描
-A：启用操作系统检测，版本检测，脚本扫描和跟踪路由
--datadir <dirname>：指定自定义Nmap数据文件位置
--send-eth /  -  send-ip：使用原始以太网帧或IP数据包发送
--privileged：假设用户具有完全特权
--unprivileged：假设用户缺少原始套接字权限
-V：打印版本号
-h：打印此帮助摘要页面。

服务版本识别（-sV）
操作系统识别（-O）；
脚本扫描（-sC）；
Traceroute（–traceroute）。

nmap -sT -F -vv 140.143.2.176

nmap -vv -Pn -sS -T4 -sV --top-ports 1000 -n 140.143.2.176

nmap -vv -Pn -sA -T5 -sV -p1-65535 -O --osscan-guess -n 140.143.2.176

nmap -v -Pn -sS -T5 -sV -p1-13000 --version-light -O --osscan-guess -n 140.143.2.176

-p, –target-port=port:需要扫描的TCP 端口号 (比如443)
-o, –output-file=name:将扫描结果输出到文件
-b, –blacklist-file=path:黑名单文件，即排除在扫描范围外的地址。在conf/blacklist.example文件中有实例，每同一行写一个网段，比如192.168.0.0/16。
-n, –max-targets=n，检测的上限范围，可以是一个数字如-n 10000，也可以是扫描地址空间中的百分比
-N, –max-results=n:接收到一定数量的结果后退出扫描
-t, –max-runtime=secs:最大扫描（发包）时间
-r, –rate=pps:设置发包速率（packets/sec）
-B, –bandwidth=bps:设置发包带宽（bits/second
-c, –cooldown-time=secs:接受返回的时间(default=8)
-T, –sender-threads=n:发包的线程数 (默认为1):-P, –probes=n
送达每个IP的探测器数量(默认为1):网络选项
-s, –source-port=port|range:发包的源端口(s)
-S, –source-ip=ip|range:发包的源IP，也可以是IP地址段
-G, –gateway-mac=addr:发包的网关MAC地址
-i, –interface=name:网络端口
–list-probe-modules:列出可用的探测器模块
-M, –probe-module=name:选择探测器模块 (默认为tcp_synscan)
–probe-args=args:设置探测器模块的参数
–list-output-fields:列出所选择的探测器模块
输出选项:ZMap 允许用户定义和编写自己的输出模块。输出模块负责处理探测器模块的返回结果并且展示给用户。
–list-output-modules:列出所有输出模块
-O, –output-module=name:设置输出模块
–output-args=args:设置输出模块的参数
-f, –output-fields=fields
列出所选择的输出模块:–output-filter
输出模块过滤器:附加选项
-C, –config=filename:读一个配置文件，其中可以包含特殊的选项
-q, –quiet:安静模式
-g, –summary:在扫描结束后，打印配置和结果汇总
-v, –verbosity=n:log的等级 (0-5, 默认为3)
-h, –help:显示帮助
-V, –version:打印版本

zmap -p 80 1.2.3.4 10.0.0.3:扫描1.2.3.4,10.0.0.3这两个ip的80端口
zmap -p 80 10.0.0.0/8 192.168.0.0/16：扫描扫描两个子网的80端口
zmap -p 80:在Internet上查找tcp/ 80上的主机并输出到stdout
zmap -N 5 -B 10M -p 80:找到5个HTTP服务器，以10 Mb/s扫描

sudo apt-get install git gcc make libpcap-dev -y
git clone https://github.com/robertdavidgraham/masscan
cd masscan
make

cd ~
cp masscan/bin/masscan /bin

-p               指定要扫描的端口,同时指定多个端口要用逗号隔开
--rate           指定发包速率,根据你自己的实际带宽来定,我自己是20M的光纤,一般给1000足矣,一两兆的vpn,给100就差不多了,都是粗略估计的,懒的算
--open-only      仅显示开放的端口
--banners        获取banners
-c               使用自定义的扫描配置文件
--ping           扫之前是否要先ping下目标
-oL              把扫描结果存到指定文件中
--excludefile    排除不扫描的ip段

masscan -p1-65535 140.143.2.176

masscan -p1-65535 140.143.2.176 --rate 1000 > 1.txt
masscan -p1-65535 140.143.2.176 > 2.txt

默认的扫描方式-sT不推荐，建议使用-sS选项
默认时-T3级别，日常扫描可以使用-T4
-A选项扫描太多东西了，一般使用-sV和-O --osscan-guess即可
端口扫描时