nmap

#nmap –R –sS 192.168.0.1

R:truy vấn đến DNS server để thực hiện reverse DNS name lookup. tùy chọn này được sử dụng khi mục tiêu là một server.
trường hợp bạn không cần truy vấn DNS server để lấy name

#nmap –n 192.168.0.1 hoặc #nmap –n –sS 192.168.0.1

theo dõi tiến trình

#nmap –vv –n 192.168.0.1

Scan nhiều mục tiêu

# nmap -vv –n 192.168.0.1,2,3 hoặc # nmap –vv –n 192.168.0.1-3
#nmap –vv –n 192.168.0.1-3,6,12-20
scan tất cả 254 máy

# nmap –vv –n 192.168.0.1-254 hoặc # nmap –vv –n 192.168.0.* hoặc# nmap –vv –n 192.168.0.1/24 

Scan port:

scan 1 port xác định, ta dùng tùy chọn -p

# nmap –vv –p 80 192.168.0.1 sẽ scan port 80

# nmap –vv –p 21,23,25,80-100 192.168.0.1     
  
sẽ scan các port 21,23,25 và từ 80 đến 100

# nmap –vv –n –p 21,23,25 192.168.1-2.*        

 bao gồm:

· Hiện các công việc nmap đang thực hiện

· Loại bỏ chức năng DNS reverse (tăng tốc độ và không để DNS server ghi lại bất cứ điều gì)

· Scanning port

· Scanning các IP từ 192.168.1.0 đến 192.168.2.254 

Các tùy chọn khác :

-sS: SYN scanning 

TCP SYN scan thu thập thông tin về port mà không cần hoàn thành quá trình bắt tay TCP. Khi 1 cổng được xác định, quá trình bắt tay TCP sẽ được reset trước khi chúng hoàn tất. Kỹ thuật này thường được xem như kỹ thuật “half open” scanning.
Điểm mạnh: Một TCP SYN scan không bao giờ tạo ra một phiên truy vấn TCP hoàn chỉnh, do đó nó không bị log lại tại mục tiêu. Đây được xem như một cách scan trong im lằng.

Điểm yếu: Bạn cần có quyền tại hệ thống chạy nmap (trong trường hợp này là quyền root)

# nmap –vv –n –sS 192.168.0.1

-sT: TCP connect scanning

Với tùy chọn này, nmap sẽ thực hiện quá trình bắt tay 3 bước TCP

Điểm mạnh : Bạn không cần quyền tại hệ thống chạy nmap
Điểm yếu : Kết nói của bạn sẽ bị log tại máy đích, do đó không nên sử dụng kỹ thuật này

# nmap –vv –n –sT 192.168.0.1

-sF, -sX, -sN: FIN scan, Xmas tree scan, NULL scan. 

Đây được gọi là các kỹ thuật scan giấu giếm. Chúng gửi 1 frame đơn đến cổng TCP mà không có bất cứ một gói TCP handshake nào. Chúng tỏ ra có khả năng "giấu" nhiều hơn SYN scan và phải được dùng nếu máy đích không phải là máy Windowns.
Một hệ thống Window sẽ trả lời bằng một RST cho tất cả truy vấn này.
Điểm mạnh: Không có phiên TCP sessions được tạo ra.
Điểm yếu: Không thể sử dụng để chống lại hệ thống Windows

# nmap –vv –n –sF 192.168.0.1

# nmap –vv –n –sX 192.168.0.1

# nmap –vv –n –sN 192.168.0.1

-sU: UDP scan.

# nmap –vv –n –sU 192.168.0.1

-sR: RPC scan. 
Tùy chọn này được dùng để xác định ứng dụng RPC. Nó chạy tự động và mặc định trong version scan (được đề cập tiếp theo)

Điểm yếu: RPC scan mở phiên của ứng dụng, do đó nó được log lại.

# nmap –vv –sR 192.168.0.1

-sV: Version scan

Scan này sẽ cho ta biết trạng thái của port và dịch vụ đang chạy trên chúng. Để khai thác dịch vụ bạn cần biết chính xác version của dịch vụ đang chạy trên máy đích.

Điểm yếu: Nó mở phiên với máy đích nên sẽ bị log.

# nmap –vv –sV 192.168.0.1

-sA: ACK scan 
ACK scan tỏ ra rất hữu ích khi có các firewall hay thiết bị lọc gói tin. Nó không xác định một port đang mở, nó chỉ xác định port đó đang bị chặn bởi firewall. Nó không mở bất cứ phiên ứng dụng nào, do đó việc liên lạc giữa nmap và thiết bị lọc gói tin thật sự đơn giản.
Điểm yếu: Nó chỉ có thể xác định port bị chặn hoặc không chặn chứ không xác định đc port mở hay không.

# nmap –vv –sA 192.168.0.1

 -sP: Ping scan:

# nmap –vv –sP 192.168.0.10

Ping scan sẽ check xem host đó đang up hay down

# nmap –vv –sP 192.168.0.*

Được dùng để phát hiện các host đang hoạt động trong subnet.

Điểm yếu: Ping scan không thể kết hợp được với các tùy chọn khác
O/S fingerprinting and version detection

-O: Operating system fingerprinting.

# nmap –vv –O 192.168.0.1

Nó sẽ cho bạn biết ít hệ điều hành và version đang chạy ở mục tiêu. Nó cần ít nhất một port đóng và một port mở để xác định chính xác, nếu không có điều kiện này nó không thể đưa ra một kết quả chính xác nhất được. Trong trường hợp đó bạn nên dùng các ứng dụng thứ 3 bổ xung.

Điểm yếu : Một tool theo dõi sẽ nhanh chóng phát hiện ra có ai đó đang nhòm ngó hệ thống

-sV: Version detection 

Như đã trình bày, nó sẽ giúp bạn biết được version của dịch vụ đang chạy tại máy đích.

# nmap –vv –sV 192.168.0.1

-A: thêm

Tùy chọn này bao gồm cả -O và -sV, do đó 2 cầu lệnh sau sẽ như nhau :

# nmap –vv –sV –O 192.168.0.1 

# nmap –vv –A 192.168.01.

Ping Scan 

-PE ICMP Echo Request 

Nó chỉ đơn giản là ICMP Echo request và ICMP Echo reply tương ứng là cách tốt nhất để xác định tĩnh sẵn sàng của máy đích. Nhược điểm là nó là giao thức phổ biến nhất bị lọc bởi bức tường lửa / bộ lọc gói. Nếu bạn nhận được trả lời với kiều ping này, nó sẽ chỉ ra rằng có rất ít bộ lọc giữa bạn và đích.. 

-PA[port number] TCP ACK Ping

Hữu ích để xác định bộ lọc / cổng không lọc, do đó rất hữu ích khi có một số bức tường lửa bảo vệ máy. 

# nmap-vv 192.168.0.1-PA23, 110

nmap sẽ ping cổng 23 và 110 của máy đích với các gói ACK. Nếu máy đích up hoặc không có bộ lọc, nó sẽ trả lời với các gói RST. Nhưng trong trường hợp nó down hoặc có bộ lọc, sẽ không có trả lời và do đó quá trình quét sẽ dừng lại. Vì vậy để qua được tường lửa, ta phải thử cổng khác.

Nếu không có cổng được chỉ định, cổng số 80 sẽ được chọn (thông thường các bộ lọc gói cho phép traffic qua cổng 80). 

-PS[port number] TCP SYN Ping

Chức năng của nó là giống SYN Scan. Máy Nmap gửi gói tin SYN đến máy đích.Cổng mở sẽ trả lời với ACK / SYN và cổng đóng sẽ trả lời với RST. Do đó có thể được sử dụng để xác định xem máy đích là up hay ko. Cổng có thể được chỉ định, 80 là cổng mặc định. 

# nmap-vv-n 192.168.0.1-PS (sẽ ping cổng 80) 

# nmap-vv-n 192.168.0.1-PS23, 110 (sẽ ping cổng 23 và 110 ) 

-PU[port number] TCP UDP Ping
Theo mặc định nó sẽ gửi các frame UDP tại cổng 31338. Các frame UDP được gửi đến cổng đóng sẽ nhận được thông điệp "ICMP port unreachable". Nếu cổng mở , nó có thể hoặc không trả lời, vì nhiều ứng dụng UDP không gửi trả lời với bất kỳ khung đến ngẫu nhiên. Vì vậy cần cố gắng để gửi khung UDP đến cổng đóng. Do cách ping này dựa rất nhiều vào các gói ICMP, vì thế nếu ICMP bị lọc có thể không trả lời.

# nmap-vv-n 192.168.0.1-PU (cổng mặc định là 31338) 

# nmap-vv-n 192.168.0.1-PU 

-PP ICMP Timestamp Ping 

ICMP Timestamp Ping được sử dụng để cho phép hai hệ thống riêng biệt để điều phối thời gian. Nó không hữu ích khi có tường lửa vì nó dựa chủ yếu vào ICMP. 

-PM ICMP Address Mask Ping
Nó hoạt động bằng cách gửi một yêu cầu ICMP Address Mask đến một thiết bị đích. Hầu hết các hệ điều hành hiện đại và các router sẽ không đáp ứng yêu cầu này, do đó loại ping ICMP này không hoạt động trên hầu hết hệ thống hiện đại. 

Một vài điều về thu thập thông tin hệ điều hành (OS fingerprinting)

- osscan_limit 

Tùy chọn này sẽ hủy bỏ OS fingerprinting nếu cả hai cổng mở và đóng đều không có, vì thế sẽ tiết kiệm rất nhiều thời gian thay vì nhận được kết quả không chính xác. 

-A (Additional, Advanced, and Aggressive)

Là sự kết hợp của "-O" và "-sV" tức là OS fingerprinting và service

# nmap-vv-n 192.168.0.1-O-sV 

là tương tự như 

# nmap-vv-n 192.168.0.1-A 

Bao gồm và Loại trừ các máy chủ và Ports 

Loại trừ mục tiêu (-exclude ) 

Các địa chỉ IP được chỉ định sẽ không được quét bằng Nmap. 

#nmap –vv –n –sS 192.168.0.1/24 --exclude 192.168.0.2-4, 192.168.0.7

Điều này sẽ quét toàn bộ mạng con trừ 192.168.0.2, 192.168.0.3, 192.168.0.4, và 192.168.0.7. 
Loại trừ các mục tiêu trong tệp (- excludefile ) 

# nmap-vv-n-sS 192,168 .*.* - excludefile filename.txt Nội dung của filename.txt thể như sau:

192.168.0.1-4 //(loại trừ 192.168.0.1-192.168.0.4)

192.168.3-5 .* // (loại trừ 192.168.3.0 à 192.168.5.255)

192.168.6 .* // (loại trừ 192.168.6.0 à 192.168.6.255) 
Lợi ích của tùy chọn -excludefile là một tập tin loại trừ có thể được tạo ra bao gồm địa chỉ IP của các tổ chức, cá nhân mà bạn không bao giờ muốn để quét 

- excludefile và –exclude là các lựa chọn không thể được sử dụng trên cùng một lần scan.
Đọc dữ liệu từ File (-il ) Thay vì cung cấp địa chỉ IP tại dòng lệnh của Nmap, một tập tin có thể được duy trì có chứa địa chỉ IP cách nhau bằng tab, khoảng trống, hoặc dòng riêng lẻ. Khi tùy chọn này được sử dụng, bất kỳ địa chỉ IP được chỉ định trên dòng lệnh sẽ bị bỏ qua mà không có bất kỳ thông báo nào.# nmap-vv-n-il input.txt

# nmap-vv-n-il input.txt 192.168.1.1 (ở đây 192.168.1.1 sẽ bị bỏ qua)

Nếu lựa chọn loại trừ host, --exclude hay –excludefile, được sử dụng với tùy chọn-il, các địa chỉ bị loại trừ sẽ ghi đè lên bất cứ dòng lệnh hoặc tập tin. 
Quét mục tiêu với số lượng ngẫu nhiên 
-iR Bạn có thể tìm kiếm chỉ web của máy chủ hoặc một số máy chủ khác , ví dụ các máy chạy một dịch vụ cụ thể trên một cổng cụ thể.

Ví dụ
telet tại cổng 23
SMTP : 25
Máy chủ web : 80 vv # nmap-vv-n-iR 100-p 80

Quét ngẫu nhiên 100 máy tại cổng 80 

# nmap-vv-n-iR 0-p 80 (đó là số không, không phải 'O') 
Quét "không giới hạn" số máy tại cổng 80. Vì vậy, ở đây bạn thấy, Nmap sẽ quét hàng ngàn và hàng ngàn máy. Scan sẽ không báo cáo bất kỳ kết quả nào cho đến khi 500 máy được xác định. Do đó kiểu quét này sẽ được dùng với một tùy chọn đăng nhập .# nmap-sS-PS80-iR 0-p 80 Nó sẽ chạy một TCP SYN quét bằng cách sử dụng một ping SYN trên cổng 80 đến một số lượng không giới hạn của ngẫu nhiên các địa chỉ IP. Việc quét SYN chỉ quét cổng 80.

-iL, --exclude, --excludefile, không được sử dụng với tùy chọn -iR. 

- randomize_hosts # nmap-vv-randomize_hosts-p 80 192,168 .*.* 
nmap sẽ quét ngẫu nhiên.

-iL, --exclude, and –excludefile có thể được sử dụng với tùy chọn này. 2.048 máy tại một thời điểm được chọn ngẫu nhiên
Lựa chọn log
để lưu trữ các kết quả của Nmap. Lý do có thể là:

1. Bạn đang quét hàng trăm máy , do đó, không muốn nhìn màn hình suốt quá trình scan.
2. Bạn bắt đầu quét trong đêm và muốn thấy kết quả vào buổi sáng.
3. Bạn có thể muốn giữ các hồ sơ để tham khảo trong tương lai
4. Bạn muốn pause/stop Nmap và tiếp tục quá trình quét vào một lúc khác.

... .. Và rất nhiều lý do khác.

Vì vậy, đây là cách đăng nhập tùy chọn khác nhau cho NmapĐịnh dạng thông thường: 

-oNNó lưu lại kết quả nhìn giống như hiển thị trên màn hình khi scan. Không cần phải chỉ định đuôi mở rộng của tập tin đầu ra. Nó sẽ có phần mở rộng. Nmap.

Định dạng XML 

-oX Đầu ra là file *.XLM có thể view trên các trình duyệt khác nhau. Trên thực tế Nmap có một tập tin XSL biên dịch thông tin XML thành một định dạng HTML có thể xem được, có thể hiển thị được trong bất kỳ trình duyệt nào.Grepable Format

-oG 
Các tập tin đầu ra sẽ có phần mở rộng. Gnmap. 

Tất cả các định dạng

-oA 

Sẽ tạo ra ba file xuất, bình thường, XML và Grepable.

Giả sử tên của tập tin là target, do đó, bạn sẽ nhận được trong ba tập tin sau:
target.nmap
target.xml
target.gnmap

Script Kiddie Format

-oS 

Đầu ra sẽ là ngôn ngữ Kiddie

Resuming the scan

Giả sử bạn đang quét một mạng con là 100 máy và đang scan máy 45 khi bạn ngừng quét. Khi bạn tiếp tục quá trình quét thời gian tới, tất cả các máy có được quét trước máy 45 sẽ không được quét lại. Nhưng các chức năng quét của máy 45 sẽ bắt đầu từ đầu một lần nữa.
Do đó không sử dụng tùy chọn khôi phục khi bạn chỉ scan có một máy

--resume 

Tập tin này có thể là dạng thường (-oN) hoặc Grepable (-oG).XML không được sử dụng

Không sử dụng nó với lựa chọn --randomize_hosts.

Một vài lựa chọn mà nói chung luôn luôn cần dùng trong tất cả scan là:

-vv tiết chế độ

-n tăng tốc quá trình quét và file log được tạo trên các máy chủ DNS.

-oA để có được các tập tin đầu ra để quét có thể resume.