traceroute、tr、sed、nmap命令

traceroute 跟踪数据包到达网络主机所经过的路由工具；traceroute 是用来发出数据包的主机到目标主机之间所经过的网关的工具。traceroute 的原理是试图以最小的TTL发出探测包来跟踪数据包到达目标主机所经过的网关，然后监听一个来自网关ICMP的应答。发送数据包的大小默认为 38个字节。

traceroute [参数选项] hostname，域名或 IP地址
参数选项：
-i 指定网络接口，对于多个网络接口有用。比如 -i eth1 或-i ppp1等；
-m 把在外发探测试包中所用的最大生存期设置为max-ttl次转发，默认值为30次；
-n 显示IP地址，不查主机名。当DNS不起作用时常用到这个参数；
-p port 探测包使用的基本UDP端口设置为port ，默认值是33434
-q n 在每次设置生存期时，把探测包的个数设置为值n，默认时为3；
-r 绕过正常的路由表，直接发送到网络相连的主机；
-w n 把对外发探测包的等待响应时间设置为n秒，默认值为3秒；

实例一： traceroute 用法简单、最常用的用法就是后面直接接IP或hostname或域名；比如下面的示例；

[root@localhost ~]# traceroute linuxsir.org
traceroute to linuxsir.org (211.93.98.20), 30 hops max, 40 byte packets
1 sir01.localdomain (192.168.1.1) 0.151 ms 0.094 ms 0.146 ms
2 221.201.88.1 (221.201.88.1) 5.867 ms 7.588 ms 5.178 ms
3 218.25.158.149 (218.25.158.149) 6.546 ms 6.230 ms 8.297 ms
4 218.25.138.133 (218.25.138.133) 7.129 ms 7.644 ms 8.311 ms
......

注： 此例中，记录按序列号从1开始，每个纪录就是一跳 ，每跳表示一个网关，我们看到每行有三个时间，单位是 ms，其实就是-q的默认参数。探测数据包向每个网关发送三个数据包后，网关响应后返回的时间；如果您用 traceroute -q 4 linuxsir.org ，表示向每个网关发送4个数据包；有时我们traceroute 一台主机时，会看到有一些行是以星号表示的。出现这样的情况，可能是防火墙封掉了ICMP的返回信息，所以我们得不到什么相关的数据包返回数据。有时我们在某一网关处延时比较长，有可能是某台网关比较阻塞，也可能是物理设备本身的原因。当然如果某台DNS出现问题时，不能解析主机名、域名时，也会有延时长的现象；您可以加-n 参数来避免DNS解析，以IP格式输出数据；如果在局域网中的不同网段之间，我们可以通过traceroute 来排查问题所在， 是主机的问题还是网关的问题。如果我们通过远程来访问某台服务器遇到问题时，我们用到traceroute 追踪数据包所经过的网关，提交IDC服务商，也有助于解决问题；但目前看来在国内解决这样的问题是比较困难的，就是我们发现问题所在，IDC服务商也不可能帮助我们解决。为什么呢？因为北方网通和南方电信各自为政。以前无论怎么说都是一张网，现在就是两张网，是通而不畅。咱们只能望网兴叹了；实例二：一些参数的用法示例；

[root@localhost ~]# traceroute -m 10 linuxsir.org 把跳数设置为10次；
[root@localhost ~]# traceroute -n linuxsir.org 注：显示IP地址，不查主机名。
[root@localhost ~]# traceroute -p 6888 linuxsir.org 注：探测包使用的基本UDP端口设置6888
[root@localhost ~]# traceroute -q 4 linuxsir.org 注：把探测包的个数设置为值4；
[root@localhost ~]# traceroute -r linuxsir.org 注：绕过正常的路由表，直接发送到网络相连的主机；
[root@localhost ~]# traceroute -w 3 linuxsir.org 注：把对外发探测包的等待响应时间设置为5秒；

在windows系统中，用tracert来跟踪路由。

tr命令：通过使用 tr，您可以非常容易地实现 sed 的许多最基本功能。您可以将 tr 看作为 sed 的（极其）简化的变体：它可以用一个字符来替换另一个字符，或者可以完全除去一些字符。您也可以用它来除去重复字符。这就是所有 tr 所能够做的。tr用来从标准输入中通过替换或删除操作进行字符转换。tr主要用于删除文件中控制字符或进行字符转换。使用tr时要转换两个字符串：字符串1用于查询，字符串2用于处理各种转换。tr刚执行时，字符串1中的字符被映射到字符串2中的字符，然后转换操作开始。带有最常用选项的tr命令格式为：tr -c -d -s ["string1_to_translate_from"] ["string2_to_translate_to"] < input-file实例：、将文件file中出现的"abc"替换为"xyz" # cat file | tr "abc" "xyz" > new_file 【注意】这里，凡是在file中出现的"a"字母，都替换成"x"字母，"b"字母替换为"y"字母，"c"字母替换为"z"字母。而不是将字符串"abc"替换为字符串"xyz"。 2、使用tr命令“统一”字母大小写（小写 --> 大写）# cat file | tr [a-z] [A-Z] > new_file（大写 --> 小写）# cat file | tr [A-Z] [a-z] > new_file 3、把文件中的数字0-9替换为a-j # cat file | tr [0-9] [a-j] > new_file4、删除文件file中出现的"Snail"字符 # cat file | tr -d "Snail" > new_file 【注意】这里，凡是在file文件中出现的'S','n','a','i','l'字符都会被删除！而不是紧紧删除出现的"Snail”字符串。 5、删除文件file中出现的换行'\n'、制表'\t'字符 # cat file | tr -d "\n\t" > new_file 不可见字符都得用转义字符来表示的，这个都是统一的。 6、删除“连续着的”重复字母，只保留第一个 # cat file | tr -s [a-zA-Z] > new_file 7、删除空行 # cat file | tr -s "\n" > new_file 8、删除Windows文件“造成”的'^M'字符 # cat file | tr -d "\r" > new_file或者# cat file | tr -s "\r" "\n" > new_file 【注意】这里-s后面是两个参数"\r"和"\n"，用后者替换前者 9、用空格符\040替换制表符\011 # cat file | tr -s "\011" "\040" > new_file 10、把路径变量中的冒号":"，替换成换行符"\n" # echo $PATH | tr -s ":" "\n"sed 功能说明：利用script来处理文本文件。Sed是一个非交互性上下文编辑器，它被设计用来在以下环境中发挥作用：1. 可以直接操作或编辑那些对常规编辑器而言太大的文件。相信很多人都有过打打开一个大文件会拖死你的电脑的情况；2. 编辑命令太复杂（windows上貌似不存在这种情况，用命令行的linux就难说了）很难以在交互模式下编辑文件；3. 要在对输入的一趟扫描中有效的进行多个‘全局’(global)编辑函数在开始介绍sed的控制符与语法之前，先概述几个概念：四个空间：input stream, pattern buffer, output stream和hold buffer基本操作过程：将 input stream的当前行放入 pattern buffer,然后 input stream的指针指向下一行 ;对 pattern buffer 中的行进行处理 ;将上面的处理结果放入 output stream. 然后循环这个过程 .hold buffer是另一个空间,可以通过命令和pattern buffer进行交互.Sed命令介绍：一： 基本命令：字符串替换：’s’1. 基本用法：e.g. sed ‘s/day/night/’ <old >new该例子将文件 old 中的每一行第一次出现的 day 替换成 night, 将结果输出到文件 new对上述例子的说明：s 表示替换命令/../../ 分割符 (Delimiter)，第一个/../表示要搜索的字符或正则表达式，也就是上面例子中的’day’；第二个/../表示要用来替换的字符串，也就是上面例子中的’night’2. 用 & 表示匹配的字符串有时可能会想在匹配到的字符串周围或附近加上一些其它的字符,那么可以像下面这样来操作：sed ‘s/abc/(abc)/’ <old >new该例子从old文件中读取字符，在找到的 abc 前后加上括号，然后协会到文件new。该例子还可以写成sed ‘s/abc/(&)/’ <old >new #效果和上面的一样下面是更复杂的例子 :sed ‘s/[a-z]*/(&)/’ <old >newsed ‘s/[0-9]*/& &/’ <old >new3. 用 /1, /2, …, /9 来表示匹配的字符串先看个例子：sed ‘s//([a-z]*/)[0-9]*//1/’ <old >new #本例中 /1 就是指前面的 /([a-z]*/)#如果在old文件中有内容：abc123 abc123那么在new文件中将会是:abc abc/1, /2, …, /9 也可以出现在搜索字符串中，例如：sed ‘s//([a-z]*/) /1//1/’ <old >new #本例可以去除重复的由字母组成的词替换选项1.4.1 /g 替换所有的sed 默认只替换搜索字符串的第一次出现 , 利用 /g 可以替换搜索字符串所有出现的地方, 例如:sed ‘s//([^ ]*/)/(&)/g’ <old >new1.4.2 用 /1, /2, … 来表明替换哪一次出现sed ‘s/[^ ]*//2′ <old >new #替换搜索到的第二次出现，可以从 /1 用到 /5121.4.3 /p print 选项当 sed 命令有 -n 选项时 , 该命令没有输出，例如，sed -n ‘s//([a-z]*/)[0-9]*//1/’ <old #如果old中包含内容：abc123，如果没有-n选项，则输出abc；有-n则不输出但是如果-n 配合 /p 选项后, 如果该行确实发生了替换 , 则输出该行, 否则不输出。1.4.4 ‘/w filename’ 输出写到文件 filename 中sed ‘s//([0-9]*/) /([a-z]*/)//2/w new’ <old该例子把输出放入文件 new 中5. 替换和插入换行符号替换 (echo a;echo x;echo y) | sed ‘/x$/ {Ns:x/n:x:}’上面的脚本输出：axy插入(echo a;echo x;echo y) | sed ‘s:x:X/:’这条语句结果为：ax y sed ‘s//([^ ]*/)/(&)/g’ <old >newsed ‘s//([^ ]*/)/(&)/g’ <old >new二：只对特定行的处理1. 通过行号限定sed ‘3 s/[0-9][0-9]*//’ <old >new 只处理第 3 行sed ’1,100 s/A/a/’ <old >new 只处理 1 到 100 行sed ’101,$ s/A/a/’ <old >new 处理 101 到文件的最后一行sed ’101,$ !s/A/a/’ <old >new 这里 ! 表示只对 1 到 100 行进行替换 ,! 的作用 是取反2. 通过正规表达式限定sed ‘/start/,/stop/ s/#.*//’ <old >new本例中 ,sed 先找到有 start 的行作为开始 , 找到最近的有 stop 的行作为结束 , 对之间的行进行操作，重复上述过程 ,直到文件结束。下面这个例子是行号和正规表达式配合来限定：sed ’1,/start/ s/#.*//’ <old >new 对第 1 行到含有 start 的行进行处理三：其他的简单命令1. 删除命令： dsed ’11,$ d’ <old >new 删除从 11 行到文件末尾sed ‘/^#/ d’ <old >new 删除所有以 # 开始的行2. print 命令 p (注意 与上面提到的和 s 命令结合使用的 /p 选项的区别)sed ‘p’ <old 每一行将会被输出两次sed -n ‘p’ <old 每一行将会输出一次 (-n 屏蔽掉一次 )sed ‘/^$/ p’ <old 只对空行输出两次 , 其他只输出一次sed -n ’1,10 p’ <old 输出前 10 行sed -n ‘/match/ p’ <old 输出含有 match 的行3. quit 命令： qsed ’11 q’<old 输出前 10 行 ( 在第 11 行退出 )注意 :q 命令不能接收多行 , 例如：sed ’2,5 q’<old 是不正确的4. 写入文件命令： w filename( 注意与 s 命令的 /w 选项的区别 )sed -n ‘/^[0-9]*[02468]/ w even’ <old 将以偶数开始的行写入文件 even5. 输出行号命令： =sed -n ‘/PATTERN/ =’ <old 遇到含有 PATTERN 的行时 , 同时输出行号追加 , 改变 , 插入新行追加命令 a：#!/bin/shsed ‘/WORD/ a/Add this line after every line with WORD‘改变命令 c#!/bin/shsed ‘/WORD/ c/Replace the current line with the line‘插入命令 i#!/bin/shsed ‘/WORD/ i/Add this line before every line with WORD‘7. 变换命令： ysed ‘y/abcdef/ABCDEF/’ <old 该例将字符 abcdef 分别变成大写8. 将本行的控制符也显示出来的命令： lsed ’1,10 l’ <old9. d 命令和 D 命令d 命令删除 pattern buffer 中的内容进入下一次操作循环D 命令删除 pattern buffer 中第一个换行符之前的内容进入下一次操作循环 , 如果 pattern buffer 中还有内容, 则不用从 input stream 中读入。10. p 命令和 P 命令p 命令输出 pattern buffer 中的内容P 命令输出 pattern buffer 中第一个换行符之前的内容11. n 命令和 N 命令n 命令把下一行读入 pattern buffer 中 ( 如果没用 -n 选项 , 将原来行输出 )N 命令把下一行追加到 pattern buffer 中12. 流程控制命令b label 命令 : 在指定行跳到 labelt label 命令 : 如果在某行发生了替换 , 跳到 labelT label 命令 : 如果在某行没有发生了替换 , 跳到 label四：调用sed时的参数1. -e script： 执行 script 这个脚本e.g. sed -e ‘s/a/A/’ -e ‘s/b/B/’ <old >new对每一行分别执行 ‘s/a/A/’ 和 ‘s/b/B/’2. -n： 禁止输出这里的 -n 与前面的 /p 配合 , 可以只输出被修改了的行 .-f scriptname 把 scriptname 文件中的 sed 命令加入本次 sed 的调用中e.g. sed -f sedscript <old >newsedscript 的内容可能是这样的:# sed comment – This script changes lower case vowels to upper cases/a/A/gs/e/E/gs/i/I/gs/o/O/gs/u/U/g五：Hold Bufferx 命令 : 将 pattern buffer 放入 hold buffer, 而将 hold buffer 的内容输出 , pattern buffer 的内容变成下一行h 命令 : 将 pattern buffer 放入 hold buffer, 并将 pattern buffer 的内容输出, pattern buffer 的内容变成下一行H 命令 : 将 pattern buffer 追加到 hold bufferg 和 G 命令 :g 用 hold buffer 的内容替换 pattern buffer 的内容 , 而 G 将 hold buffer 内容追加到 pattern bufferNmap是一款网络扫描和主机检测的非常有用的工具。Nmap是不局限于仅仅收集信息和枚举，同时可以用来作为一个漏洞探测器或安全扫描器。它可以适用于winodws,linux,mac等操作系统Nmap是一款非常强大的实用工具,可用于：检测活在网络上的主机（主机发现）检测主机上开放的端口（端口发现或枚举）检测到相应的端口（服务发现）的软件和版本检测操作系统，硬件地址，以及软件版本检测脆弱性的漏洞（Nmap的脚本）Nmap是一个非常普遍的工具，它有命令行界面和图形用户界面。本人包括以下方面的内容:介绍Nmap扫描中的重要参数操作系统检测Nmap使用教程Nmap使用不同的技术来执行扫描，包括：TCP的connect（）扫描，TCP反向的ident扫描，FTP反弹扫描等。所有这些扫描的类型有自己的优点和缺点，我们接下来将讨论这些问题。 Nmap的使用取决于目标主机,因为有一个简单的（基本）扫描和预先扫描之间的差异。我们需要使用一些先进的技术来绕过防火墙和***检测/防御系统，以获得正确的结果。下面是一些基本的命令和它们的用法的例子：扫描单一的一个主机，命令如下：代码如下:#nmap nxadmin.com#nmap 192.168.1.2扫描整个子网,命令如下:代码如下:#nmap 192.168.1.1/24扫描多个目标,命令如下：代码如下:#nmap 192.168.1.2 192.168.1.5扫描一个范围内的目标,如下：代码如下:#nmap 192.168.1.1-100 (扫描IP地址为192.168.1.1-192.168.1.100内的所有主机)如果你有一个ip地址列表，将这个保存为一个txt文件，和namp在同一目录下,扫描这个txt内的所有主机，命令如下：代码如下:#nmap -iL target.txt如果你想看到你扫描的所有主机的列表，用以下命令:代码如下:#nmap -sL 192.168.1.1/24扫描除过某一个ip外的所有子网主机,命令：代码如下:#nmap192.168.1.1/24-exclude192.168.1.1扫描除过某一个文件中的ip外的子网主机命令代码如下:#nmap192.168.1.1/24-excludefilexxx.txt(xxx.txt中的文件将会从扫描的主机中排除)扫描特定主机上的80,21,23端口,命令如下代码如下:#nmap-p80,21,23192.168.1.1从上面我们已经了解了Nmap的基础知识，下面我们深入的探讨一下Nmap的扫描技术Tcp SYN Scan (sS) 这是一个基本的扫描方式,它被称为半开放扫描，因为这种技术使得Nmap不需要通过完整的握手，就能获得远程主机的信息。Nmap发送SYN包到远程主机，但是它不会产生任何会话.因此不会在目标主机上产生任何日志记录,因为没有形成会话。这个就是SYN扫描的优势.如果Nmap命令中没有指出扫描类型,默认的就是Tcp SYN.但是它需要root/administrator权限.代码如下:#nmap -sS 192.168.1.1Tcp connect() scan(sT)如果不选择SYN扫描,TCP connect()扫描就是默认的扫描模式.不同于Tcp SYN扫描,Tcp connect()扫描需要完成三次握手,并且要求调用系统的connect().Tcp connect()扫描技术只适用于找出TCP和UDP端口.代码如下:#nmap -sT 192.168.1.1Udp scan(sU)顾名思义,这种扫描技术用来寻找目标主机打开的UDP端口.它不需要发送任何的SYN包，因为这种技术是针对UDP端口的。UDP扫描发送UDP数据包到目标主机，并等待响应,如果返回ICMP不可达的错误消息，说明端口是关闭的，如果得到正确的适当的回应，说明端口是开放的.代码如下:#nmap -sU 192.168.1.1FINscan(sF)有时候TcpSYN扫描不是最佳的扫描模式,因为有防火墙的存在.目标主机有时候可能有IDS和IPS系统的存在,防火墙会阻止掉SYN数据包。发送一个设置了FIN标志的数据包并不需要完成TCP的握手.代码如下:<a href="mailto:root@bt:~#nmap-sF192.168.1.8">root@bt:~#nmap-sF192.168.1.8</a></p> <p>StartingNmap5.51at2012-07-0819:21PKTNmapscanreportfor192.168.1.8Hostisup(0.000026slatency).Notshown:999closedportsPORTSTATESERVICE111/tcpopen|filteredrpcbindFIN扫描也不会在目标主机上创建日志(FIN扫描的优势之一).个类型的扫描都是具有差异性的,FIN扫描发送的包只包含FIN标识,NULL扫描不发送数据包上的任何字节,XMAS扫描发送FIN、PSH和URG标识的数据包.PINGScan(sP)PING扫描不同于其它的扫描方式，因为它只用于找出主机是否是存在在网络中的.它不是用来发现是否开放端口的.PING扫描需要ROOT权限，如果用户没有ROOT权限,PING扫描将会使用connect()调用.代码如下:#nmap-sP192.168.1.1版本检测(sV)版本检测是用来扫描目标主机和端口上运行的软件的版本.它不同于其它的扫描技术，它不是用来扫描目标主机上开放的端口，不过它需要从开放的端口获取信息来判断软件的版本.使用版本检测扫描之前需要先用TCPSYN扫描开放了哪些端口.代码如下:#nmap-sV192.168.1.1Idlescan(sL)Idlescan是一种先进的扫描技术，它不是用你真实的主机Ip发送数据包，而是使用另外一个目标网络的主机发送数据包.代码如下:#nmap-sL192.168.1.6192.168.1.1Idlescan是一种理想的匿名扫描技术,通过目标网络中的192.168.1.6向主机192.168.1.1发送数据，来获取192.168.1.1开放的端口有需要其它的扫描技术，如FTPbounce（FTP反弹）,fragmentationscan（碎片扫描）,IPprotocolscan（IP协议扫描）,以上讨论的是几种最主要的扫描方式.Nmap的OS检测（O）Nmap最重要的特点之一是能够远程检测操作系统和软件，Nmap的OS检测技术在***测试中用来了解远程主机的操作系统和软件是非常有用的，通过获取的信息你可以知道已知的漏洞。Nmap有一个名为的nmap-OS-DB数据库，该数据库包含超过2600操作系统的信息。Nmap把TCP和UDP数据包发送到目标机器上，然后检查结果和数据库对照。代码如下:InitiatingSYNStealthScanat10:21Scanninglocalhost(127.0.0.1)[1000ports]Discoveredopenport111/tcpon127.0.0.1CompletedSYNStealthScanat10:21,0.08selapsed(1000totalports)InitiatingOSdetection(try#1)againstlocalhost(127.0.0.1)RetryingOSdetection(try#2)againstlocalhost(127.0.0.1)上面的例子清楚地表明，Nmap的首次发现开放的端口，然后发送数据包发现远程操作系统。操作系统检测参数是O（大写O）Nmap的操作系统指纹识别技术：设备类型（路由器，工作组等）运行（运行的操作系统）操作系统的详细信息（操作系统的名称和版本）网络距离（目标和***者之间的距离跳）如果远程主机有防火墙，IDS和IPS系统，你可以使用-PN命令来确保不ping远程主机，因为有时候防火墙会组织掉ping请求.-PN命令告诉Nmap不用ping远程主机。代码如下:#nmap-O-PN192.168.1.1/24以上命令告诉发信主机远程主机是存活在网络上的，所以没有必要发送ping请求,使用-PN参数可以绕过PING命令,但是不影响主机的系统的发现.Nmap的操作系统检测的基础是有开放和关闭的端口，如果OSscan无法检测到至少一个开放或者关闭的端口，会返回以下错误：代码如下:Warning:OSScanresultsmaybeunreliablebecausewecouldnotfindatleast1openand1closedportOSScan的结果是不可靠的，因为没有发现至少一个开放或者关闭的端口这种情况是非常不理想的，应该是远程主机做了针对操作系统检测的防范。如果Nmap不能检测到远程操作系统类型，那么就没有必要使用-osscan_limit检测。想好通过Nmap准确的检测到远程操作系统是比较困难的，需要使用到Nmap的猜测功能选项,–osscan-guess猜测认为最接近目标的匹配操作系统类型。代码如下:#nmap-O--osscan-guess192.168.1.1下面是扫描类型说明-sTTCPconnect()扫描：这是最基本的TCP扫描方式。connect()是一种系统调用，由操作系统提供，用来打开一个连接。如果目标端口有程序监听，connect()就会成功返回，否则这个端口是不可达的。这项技术最大的优点是，你勿需root权限。任何UNIX用户都可以自由使用这个系统调用。这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息。-sSTCP同步扫描(TCPSYN)：因为不必全部打开一个TCP连接，所以这项技术通常称为半开扫描(half-open)。你可以发出一个TCP同步包(SYN)，然后等待回应。如果对方返回SYN|ACK(响应)包就表示目标端口正在监听；如果返回RST数据包，就表示目标端口没有监听程序；如果收到一个SYN|ACK包，源主机就会马上发出一个RST(复位)数据包断开和目标主机的连接，这实际上有我们的操作系统内核自动完成的。这项技术最大的好处是，很少有系统能够把这记入系统日志。不过，你需要root权限来定制SYN数据包。-sF-sX-sN秘密FIN数据包扫描、圣诞树(XmasTree)、空(Null)扫描模式：即使SYN扫描都无法确定的情况下使用。一些防火墙和包过滤软件能够对发送到被限制端口的SYN数据包进行监视，而且有些程序比如synlogger和courtney能够检测那些扫描。这些高级的扫描方式可以逃过这些干扰。些扫描方式的理论依据是：关闭的端口需要对你的探测包回应RST包，而打开的端口必需忽略有问题的包(参考RFC793第64页)。FIN扫描使用暴露的FIN数据包来探测，而圣诞树扫描打开数据包的FIN、URG和PUSH标志。不幸的是，微软决定完全忽略这个标准，另起炉灶。所以这种扫描方式对Windows95/NT无效。不过，从另外的角度讲，可以使用这种方式来分别两种不同的平台。如果使用这种扫描方式可以发现打开的端口，你就可以确定目标注意运行的不是Windows系统。如果使用-sF、-sX或者-sN扫描显示所有的端口都是关闭的，而使用SYN扫描显示有打开的端口，你可以确定目标主机可能运行的是Windwos系统。现在这种方式没有什么太大的用处，因为nmap有内嵌的操作系统检测功能。还有其它几个系统使用和windows同样的处理方式，包括Cisco、BSDI、HP/UX、MYS、IRIX。在应该抛弃数据包时，以上这些系统都会从打开的端口发出复位数据包。　-sPping扫描：有时你只是想知道此时网络上哪些主机正在运行。通过向你指定的网络内的每个IP地址发送ICMPecho请求数据包，nmap就可以完成这项任务。如果主机正在运行就会作出响应。不幸的是，一些站点例如：microsoft.com阻塞ICMPecho请求数据包。然而，在默认的情况下nmap也能够向80端口发送TCPack包，如果你收到一个RST包，就表示主机正在运行。nmap使用的第三种技术是：发送一个SYN包，然后等待一个RST或者SYN/ACK包。对于非root用户，nmap使用connect()方法。在默认的情况下(root用户)，nmap并行使用ICMP和ACK技术。注意，nmap在任何情况下都会进行ping扫描，只有目标主机处于运行状态，才会进行后续的扫描。如果你只是想知道目标主机是否运行，而不想进行其它扫描，才会用到这个选项。-sUUDP扫描：如果你想知道在某台主机上提供哪些UDP(用户数据报协议,RFC768)服务，可以使用这种扫描方法。nmap首先向目标主机的每个端口发出一个0字节的UDP包，如果我们收到端口不可达的ICMP消息，端口就是关闭的，否则我们就假设它是打开的。有些人可能会想UDP扫描是没有什么意思的。但是，我经常会想到最近出现的solarisrpcbind缺陷。rpcbind隐藏在一个未公开的UDP端口上，这个端口号大于32770。所以即使端口111(portmap的众所周知端口号)被防火墙阻塞有关系。但是你能发现大于30000的哪个端口上有程序正在监听吗?使用UDP扫描就能！cDcBackOrifice的后门程序就隐藏在Windows主机的一个可配置的UDP端口中。不考虑一些通常的安全缺陷，一些服务例如:snmp、tftp、NFS使用UDP协议。不幸的是，UDP扫描有时非常缓慢，因为大多数主机限制ICMP错误信息的比例(在RFC1812中的建议)。例如，在Linux内核中(在net/ipv4/icmp.h文件中)限制每4秒钟只能出现80条目标豢纱锏腎CMP消息，如果超过这个比例，就会给1/4秒钟的处罚。solaris的限制更加严格，每秒钟只允许出现大约2条ICMP不可达消息，这样，使扫描更加缓慢。nmap会检测这个限制的比例，减缓发送速度，而不是发送大量的将被目标主机丢弃的无用数据包。不过Micro$oft忽略了RFC1812的这个建议，不对这个比例做任何的限制。所以我们可以能够快速扫描运行Win95/NT的主机上的所有65K个端口。-sAACK扫描：这项高级的扫描方法通常用来穿过防火墙的规则集。通常情况下，这有助于确定一个防火墙是功能比较完善的或者是一个简单的包过滤程序，只是阻塞进入的SYN包。这种扫描是向特定的端口发送ACK包(使用随机的应答/序列号)。如果返回一个RST包，这个端口就标记为unfiltered状态。如果什么都没有返回，或者返回一个不可达ICMP消息，这个端口就归入filtered类。注意，nmap通常不输出unfiltered的端口，所以在输出中通常不显示所有被探测的端口。显然，这种扫描方式不能找出处于打开状态的端口。-sW对滑动窗口的扫描：这项高级扫描技术非常类似于ACK扫描，除了它有时可以检测到处于打开状态的端口，因为滑动窗口的大小是不规则的，有些操作系统可以报告其大小。这些系统至少包括：某些版本的AIX、Amiga、BeOS、BSDI、Cray、Tru64UNIX、DG/UX、OpenVMS、DigitalUNIX、OpenBSD、OpenStep、QNX、Rhapsody、SunOS4.x、Ultrix、VAX、VXWORKS。从nmap-hackers邮件3列表的文档中可以得到完整的列表。-sRRPC扫描。这种方法和nmap的其它不同的端口扫描方法结合使用。选择所有处于打开状态的端口向它们发出SunRPC程序的NULL命令，以确定它们是否是RPC端口，如果是，就确定是哪种软件及其版本号。因此你能够获得防火墙的一些信息。诱饵扫描现在还不能和RPC扫描结合使用。-bFTP反弹***(bounceattack):FTP协议(RFC959)有一个很有意思的特征，它支持代理FTP连接。也就是说，我能够从evil.com连接到FTP服务器target.com，并且可以要求这台FTP服务器为自己发送Internet上任何地方的文件！1985年，RFC959完成时，这个特征就能很好地工作了。然而，在今天的Internet中，我们不能让人们劫持FTP服务器，让它向Internet上的任意节点发送数据。如同Hobbit在1995年写的文章中所说的，这个协议"能够用来做投递虚拟的不可达邮件和新闻，进入各种站点的服务器,填满硬盘，跳过防火墙，以及其它的骚扰活动，而且很难进行追踪"。我们可以使用这个特征，在一台代理FTP服务器扫描TCP端口。因此，你需要连接到防火墙后面的一台FTP服务器，接着进行端口扫描。如果在这台FTP服务器中有可读写的目录，你还可以向目标端口任意发送数据(不过nmap不能为你做这些)。传递给-b功能选项的参数是你要作为代理的FTP服务器。语法格式为：-busername:password@server:port。除了server以外，其余都是可选的。如果你想知道什么服务器有这种缺陷，可以参考我在Phrack51发表的文章。还可以在nmap的站点得到这篇文章的最新版本。通用选项这些内容不是必需的，但是很有用。-P0在扫描之前，不必ping主机。有些网络的防火墙不允许ICMPecho请求穿过，使用这个选项可以对这些网络进行扫描。microsoft.com就是一个例子，因此在扫描这个站点时，你应该一直使用-P0或者-PT80选项。-PT扫描之前，使用TCPping确定哪些主机正在运行。nmap不是通过发送ICMPecho请求包然后等待响应来实现这种功能，而是向目标网络(或者单一主机)发出TCPACK包然后等待回应。如果主机正在运行就会返回RST包。只有在目标网络/主机阻塞了ping包，而仍旧允许你对其进行扫描时，这个选项才有效。对于非root用户，我们使用connect()系统调用来实现这项功能。使用-PT来设定目标端口。默认的端口号是80，因为这个端口通常不会被过滤。-PS对于root用户，这个选项让nmap使用SYN包而不是ACK包来对目标主机进行扫描。如果主机正在运行就返回一个RST包(或者一个SYN/ACK包)。-PI设置这个选项，让nmap使用真正的ping(ICMPecho请求)来扫描目标主机是否正在运行。使用这个选项让nmap发现正在运行的主机的同时，nmap也会对你的直接子网广播地址进行观察。直接子网广播地址一些外部可达的IP地址，把外部的包转换为一个内向的IP广播包，向一个计算机子网发送。这些IP广播包应该删除，因为会造成拒绝服务***(例如smurf)。