Nmap的使用说明

1、Nmap的使用说明许多人认为端口扫描器是黑客们才需要关心的工具，其实不然，知己知彼，才能百战不殆，端口扫描器是帮助你了解 自己系统的绝佳助手。象Windows 2K/XP这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信，端口扫描是检测服务器上运行了哪些服务和应用、向Internet或其他网络开放了哪些联系通道的一种办法，不仅速度快，而且效果也很不错。目前支持Win 2K/XP的端口扫描器已经有不少，部分还提供GUI（图形用户界面）。在诸多端口扫描器中，Nmap是其中的佼佼者它提供了大量的命令行选项，能够灵活地满足各种扫描要求，而且输出格式丰富。Nmap原先是为Unix平台

2、开发的，是许多Unix管理员的至爱，后来才被移植到Windows平台。Nmap for Windows最新的稳定版本是3.27，可以从/nmap/免费下载。一、安装NmapNmap要用到一个称为“Windows包捕获库”的驱动程序WinPcap如果你经常从网上下载流媒体电影，可能已经熟悉这个驱动程序某些流媒体电影的地址是加密的，侦测这些电影的真实地址就要用到WinPcap。WinPcap的作用是帮助调用程序（即这里的Nmap）捕获通过网卡传输的原始数据。WinPcap的最新版本在 nmap-os-fingerprints：列出了500多种网络设备和操作系统的堆栈

3、标识信息。 nmap-protocols：Nmap执行协议扫描的协议清单。 nmap-rpc：远程过程调用（RPC）服务清单，Nmap用它来确定在特定端口上监听的应用类型。 nmap-services：一个TCP/UDP服务的清单，Nmap用它来匹配服务名称和端口号。图一二、常用扫描类型解开Nmap命令行版的压缩包之后，进入Windows的命令控制台，再转到安装Nmap的目录（如果经常要用Nmap，最好把它的路径加入到PATH环境变量）。不带任何命令行参数运行Nmap，Nmap显示出命令语法，如图二所示。图二下面是Nmap支持的四种最基本的扫描方式： TCP connect()端口扫描（-sT

4、参数）。 TCP同步（SYN）端口扫描（-sS参数）。 UDP端口扫描（-sU参数）。 Ping扫描（-sP参数）。如果要勾画一个网络的整体情况，Ping扫描和TCP SYN扫描最为实用。Ping扫描通过发送ICMP（Internet Control Message Protocol，Internet控制消息协议）回应请求数据包和TCP应答（Acknowledge，简写ACK）数据包，确定主机的状态，非常适合于检测指定网段内正在运行的主机数量。TCP SYN扫描一下子不太好理解，但如果将它与TCP connect()扫描比较，就很容易看出这种扫描方式的特点。在TCP connect()扫描中，

5、扫描器利用操作系统本身的系统调用打开一个完整的TCP连接也就是说，扫描器打开了两个主机之间的完整握手过程（SYN，SYN-ACK，和ACK）。一次完整执行的握手过程表明远程主机端口是打开的。TCP SYN扫描创建的是半打开的连接，它与TCP connect()扫描的不同之处在于，TCP SYN扫描发送的是复位（RST）标记而不是结束ACK标记（即，SYN，SYN-ACK，或RST）：如果远程主机正在监听且端口是打开的，远程主机用SYN-ACK应答，Nmap发送一个RST；如果远程主机的端口是关闭的，它的应答将是RST，此时Nmap转入下一个端口。图三是一次测试结果，很明显，TCP SYN扫描速

6、度要超过TCP connect()扫描。采用默认计时选项，在LAN环境下扫描一个主机，Ping扫描耗时不到十秒，TCP SYN扫描需要大约十三秒，而TCP connect()扫描耗时最多，需要大约7分钟。图三Nmap支持丰富、灵活的命令行参数。例如，如果要扫描192.168.7网络，可以用192.168.7.x/24或-255的形式指定IP地址范围。指定端口范围使用-p参数，如果不指定要扫描的端口，Nmap默认扫描从1到1024再加上nmap-services列出的端口。如果要查看Nmap运行的详细过程，只要启用verbose模式，即加上-v参数，或者加上-vv参数获得更

7、加详细的信息。例如，nmap -sS -255 -p 20,21,53-110,30000- -v命令，表示执行一次TCP SYN扫描，启用verbose模式，要扫描的网络是192.168.7，检测20、21、53到110以及30000以上的端口（指定端口清单时中间不要插入空格）。再举一个例子，nmap -sS /24 -p 80扫描192.168.0子网，查找在80端口监听的服务器（通常是Web服务器）。 有些网络设备，例如路由器和网络打印机，可能禁用或过滤某些端口，禁止对该设备或跨越该设备的扫描。初步侦测网络情况时，-host_timeout&l

8、t;毫秒数>参数很有用，它表示超时时间，例如nmap sS host_timeout 10000 命令规定超时时间是10000毫秒。网络设备上被过滤掉的端口一般会大大延长侦测时间，设置超时参数有时可以显著降低扫描网络所需时间。Nmap会显示出哪些网络设备响应超时，这时你就可以对这些设备个别处理，保证大范围网络扫描的整体速度。当然，host_timeout到底可以节省多少扫描时间，最终还是由网络上被过滤的端口数量决定。Nmap的手册（man文档）详细说明了命令行参数的用法（虽然man文档是针对UNIX版Nmap编写的，但同样提供了Win32版本的说明）。三、注意事项也

9、许你对其他端口扫描器比较熟悉，但Nmap绝对值得一试。建议先用Nmap扫描一个熟悉的系统，感觉一下Nmap的基本运行模式，熟悉之后，再将扫描范围扩大到其他系统。首先扫描内部网络看看Nmap报告的结果，然后从一个外部IP地址扫描，注意防火墙、入侵检测系统（IDS）以及其他工具对扫描操作的反应。通常，TCP connect()会引起IDS系统的反应，但IDS不一定会记录俗称“半连接”的TCP SYN扫描。最好将Nmap扫描网络的报告整理存档，以便随后参考。如果你打算熟悉和使用Nmap，下面几点经验可能对你有帮助： 避免误解。不要随意选择测试Nmap的扫描目标。许多单位把端口扫描视为恶意行为，所以测

10、试Nmap最好在内部网络进行。如有必要，应该告诉同事你正在试验端口扫描，因为扫描可能引发IDS警报以及其他网络问题。 关闭不必要的服务。根据Nmap提供的报告（同时考虑网络的安全要求），关闭不必要的服务，或者调整路由器的访问控制规则（ACL），禁用网络开放给外界的某些端口。 建立安全基准。在Nmap的帮助下加固网络、搞清楚哪些系统和服务可能受到攻击之后，下一步是从这些已知的系统和服务出发建立一个安全基准，以后如果要启用新的服务或者服务器，就可以方便地根据这个安全基准执行。举例：>nmap -O >nmap O -139>nmap -sP&

11、gt;nmap -sT，135，135Nmap网络安全扫描器说明 名称-*nmap - 网络勘察工具和安全扫描器摘要-*nmap 扫描类型 选项 <主机或网络 #1 . #N>描述-*nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如UDP，TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和Null扫描。你可以从S

12、CAN TYPES一节中察看相关细节。nmap还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。对非ROOT的用户来说，nmap的正式版可以做很多重要的东西了。不幸的是部份关键的核心功能（比如raw sockets）需要root权限。所以尽量以root的身份运行nmap。运行nmap后通常会得到一个关于你扫描的机器的一个实用的端口列表。nmap总是显示该服务的服务名称,端口号，状态以及协议。状态有''open'&#

13、39;,''filtered''和''unfiltered''三种。''open''指的是目标机器将会在该端口接受你的连接请求。''filtered''指的是有防火墙、过滤装置或者其它的网络障碍物在这个端口阻挡了nmap 进一步查明端口是否开放的动作。至于''unfiltered''则只有在大多数的扫描端口都处在''filtered''状态下才会出现的。根据选项的使用，nmap还可以报告远程主机下面的特性

14、：使用的操作系统、TCP连续性、在各端口上绑定的应用程序用户的用户名、DNS名、主机是否是个smurf地址以及一些其它功能。选项-*这些选项通常都是可组合使用的。使用参数可以精确地定义一个扫描模式。nmap将会尽力捕捉并对不规范的参数组合作出提示。如果你急于开始，你可以跳过本文未尾的示例节那儿有最基本的使用方法的示范。你也可以使用nmap -h来打开关于nmap选项参数的简介。扫描类型-*-sT TCP connect()扫描：这是对TCP的最基本形式的侦测。在该操作下，该connect()对目标主机上你感兴趣的端口进行试探，如果该端口被监听，则连接成功否则代表这个端口无法到达。这个技术的很大

15、好处就是你无须任何特殊权限，在大多数的UNIX系统下这个命令可以被任何人自由地使用。但是这种形式的探测很容易被目标主机察觉并记录下来。因为服务器接受了一个连接但它却马上断开，于是其记录会显示出一连串的连接及错误信息。-sS TCP SYN 扫描：这类技术通常涉及一种“半开”式的扫描因为你不打开完整的TCP连接，你发送一个SYN信息包就象你要打开一个真正的连接而且你在等待对方的回应。一个SYNACK(应答)会表明该端口是开放监听的。一个RST（空闲?）则代表该端口未被监听。如果SYNACK的回应返回，则会马上发送一个RST包来中断这个连接（事实上是我们的系统核心在干这事）。这种扫描的最大好处是只

16、有极少的站点会对它作出记录，但是你需要有root权限来定制这些SYN包。-sF -sX -sNStealth FIN,Xmas Tree 或者Null扫描模式：有时甚至SYN扫描都不够隐蔽一些防火墙及信息包过滤装置会在重要端口守护，SYN包在此时会被截获，一些应用软件如Synlogger以及Courtney对侦测这类型的扫描都是行家。所以呢，在另一方面要有更进一步的扫描能在不遇到麻烦的情况下通过它们这个主意是关闭的端口会对你发送的探测信息包返回一个RST，而打开的端口则对其忽略不理（你可以参阅RFC 973 PP64）。所以FIN扫描使用空的FIN信息包作为探针、Xmas tree使用FIN，

17、URG，PUSH标记、Null扫描则不用任何标记。但是不幸的是微软以他们一贯的风格不理睬这一标准所以这一扫描在WINDOWS9X以及NT下不能工作。从积极方面来讲，这其实也是一个很好的区分两种平台的办法如果这次扫描发现了打开的端口，那你就能明白这台机器不是运行WINDOWS。如果-sF,-sX,-sN的扫描显示所有端口都是关闭的但一个SYN(-sS)扫描却显示有打开端口，那你就能大致推断它是WINDOWS平台。这只是一个简单应用，因为现在nmap已经有了更彻底的操作系统判别方法当然它的原理类似上面所提到的.这些平台包括Cisco, BSDI, HP/UX, MVS, 和IRIX。-sP Pin

18、g扫描：有时你仅希望了解网络上有哪些主机是开放的，nmap可以通过对你指定的IP地址发送ICMP的echo request信息包来做到这一点，有回应的主机就是开放的啦。但令人讨厌的是一些站点比如对echo request包设置了障碍。这样的话nmap还能发送一个TCP ack包到80端口（默认），如果获得了RST返回，机器是开放的。第三个方法是发送一个SYN信息包并等待RST 或SYN/ACK响应了。作为非root的用户可以使用的，常用connect()模式。对root来说，默认的nmap同时使用ICMP和ACK的方法扫描，当然你也可以改变-P选项。注意你最好先ping一下用户，只有有回应的主

19、机才有必要扫描，只有你不想探测任何的实际端口扫描只想大面积地搜索一下活动的主机，你可以使用此选项。-sU UDP扫描：这一方法是用来确定哪个UDP(User Datagram Protocol,RFC 768)端口在主机端开放。这一技术是以发送零字节的UDP信息包到目标机器的各个端口，如果我们收到一个ICMP端口无法到达的回应，那么该端口是关闭的，否则我们可以认为它是敞开大门的。有些人或许会认为UDP扫描是无意义的，我通常会以最近的Solaris rcpbind漏洞来提醒他们。Rpcbind会隐藏在一个非正式的UDP端口于32770口以上，因此对111进行防火墙过滤是无关紧要的.但你是否查找过

20、在30000以上的端口是否处在监听状态中，用UDP扫描你就能轻松地做到这一点！或者大家还可以想想cDc出品的Back Orifice木马（BO），它可以在Windows的机器中配置一个UDP端口，更不用说如此众多可以利用UDP的、易受攻击的服务如snmp,tftp,NFS等了。但有一点不得不提及的是UDP扫描在目标主机按照RFC 1812（节）建议的那样限制ICMP错误信息的传送速率时会令人痛苦的缓慢。举例来说吧，Linux 的核心配置(在net/ipv4/icmp.h)限制了每4秒产生80次的无法到达信息每次产生1/4秒的延迟。Solaris有着更严格的限制（大约每秒两次就会延

21、迟），所以这要耗费相当长的时间。nmap会侦测到这种限制并自动减缓速度这也胜过用无意义的会被目标主机忽略的大量信息包来填充这个网络。如以往一样，微软还是不在乎RFC所建议的事而且没有任何限制性措施实行于WINDOWS或NT上，这样我们可以把多达65K的端口以极高的速度扫描完毕，欢呼吧！-sR RPC扫描：这一方法是结合nmap多种扫描的一种模式，它取得所有的TCP/UDP开放端口并且用SunRPC程序NULL命令来试图确定是否是RPC端口并且如果是的话，其上运行什么程序，何种版本。这样你可以在目标主机躲在防火墙后或者由TCP wrappers防护着，它都能取得效果近似于''rp

22、cinfo -p''的信息。但Decoys现在还不能正常工作在RPC扫描下，在以后我会在UDP RPC扫描中加入Decoy支持的。-b(ftp relay host)FTP 跳跃攻击：FTP协议的一个有趣的特点是它支持代理FTP连接(RFC 959)，用另一句话说，我可以从连接到一个FTP服务器并且要求目标主机发送文件到因特网的*任何地方*！在1985年这一RFC被写下来后这一特性便渐渐施行，但在现在的网络上我们不允许人们能够随意地“抢劫”一个FTP SERVER并请求数据到任何地方。所以在Hobbit于1995年写下的有关这一协议缺陷时说到“它可以用来从许多站台上发出事实上难

23、以追查的信件、新闻以及攻击性行为填充你的硬盘，试图使防火墙失效或者更多是烦人而无意义的骚扰。我开发出它来是为了通过一个代理FTP服务器察看TCP端口，这样你可以连上一个在防火墙后的FTP服务器然后扫描它看来仿佛堵塞的端口（139是很好的例子）。如果FTP服务器允许你读甚至写进某些目录（比如/incoming），你可以发送任意信息到你发现打开了的端口（当然nmap不干这事）。对于你要通过''b''选项来使主机成为你的代理时，标准的URL格式形式是：username:passwordserver:port。要确定一个服务器是否易受这样的攻击，你可以看看我在Phrac

24、k 51期上的文章。它的更新版本在/nmap。常规选项-*这些选项并非必需的，但有些会非常实用。-P0 在扫描前不尝试或者PING主机，这是用来扫描那些不允许ICMP echo 请求(或应答)的主机。就是这其中的一个例子，我们就必须使用-P0或者-PT80来察看的端口。-PT 用TCP的ping来确定主机是否打开。作为替代发送ICMP echo请求包并等待回应的方式，我们可以大量发送TCP ACK包往目标网络（或者单机）并一点点地等待它的回应，打开的主机会返回一个RST。这一参数可以让你在ping信息包阻塞时仍能高效率地扫描一个网络/主机。对非roo

25、t的用户，我们用connect()，以如下格式设置目标探针-PT,默认的端口是80，因为这相端口往往未被过滤。-PS 这一选项是root用户使用的，能用SYN(连接请求)包替代ACK包,打开的主机会有一个RST(或者SYNACK但比较少见)应答。-PI 这一选项是使用一个真正的ping(ICMP echo request)包。它找到开放的主机并且将该子网中的广播地址全数搜寻该广播地址是能够到达并能正确解析IP包的。如果其会被大量的DoS(denial of service)攻击时，我们就能找到它。-PB 默认的ping形式，它用于ACK(-PT)与ICMP(-PI)并行攻击，以这一形式可以通过

26、防火墙或包过滤。-O 经由TCP/IP获取指纹来判别主机的OS类型，用另一说法，就是用一连串的信息包探测出你所扫描的主机位于操作系统有关堆栈信息并区分其精细差别，以此判别操作系统。它用搜集到的信息建立一个“指纹”用来同已知的操作系统的指印相比较(the nmap-os-fingerprints file)这样判定操作系统就有了依据。如果你发现一台机器开了至少一个端口并得到错误的诊断信息，那么你可以写信告诉我相关细节比如操作系统版本或侦测到的操作系统版本图，如果他有端口开放但nmap返回''不可识别的操作系统''，这可能也是有用的，你可以将它的IP告诉我或者另一个

27、办法是用nmap的-d参数并告诉我它返回的“指印”操作系统和版本号，这样做，也算是对nmap在判定操作系统的进一步开发中做了些事情，以便后续版本中它能更精确地判别系统类型。-I 这是用ident扫描方式的参数，如Dave Goldsmith于1996年在Bugtraq中所说的，这个ident协议(rfc 1413)允许通过TCP连接得到拥有进程的用户名即使这个连接不是由该进程发起的。所以呢，举个例吧，你可以通过ident连接到一个http端口并找出该进程是否由root运行，但这只能在“全开”的对目标端口的TCP连接中使用（象-sT扫描参数）。当你用-I参数时，远程主机的identd在开放的端口

28、接受连接质询很明显的，如果主机不运行identd的话，那它就无法正常工作。-f 这个参数配置以细小的IP碎片包实现SYN，FIN，XMAS或NULL扫描请求。这个想法是把TCP包头分别放在几个不同的信息包中，使包过滤器难于运作，而后你就可以闯入系统做你想做的事了。但要注意，部份程序可能会对这些小信息包处理错误。比方说我最喜欢的sniffer segmentation在接收第一个36字节的信息碎片时就出现麻烦，之后又来了个24字节的！当包过滤器和能将IP碎片排列的防火墙没有获得此顺序时（就象linux内核中的CON-FIG_IP_ALWAYS_DEFRAG选项），一些网络系统就不能反映出找到目标

29、，并且放弃。记住这个参数不一定能很好地工作在任何系统上,它在我的Linux,FreeBSD以及OpenBSD下是正常的,当然也有一些人说它能在部份不同的*NIX环境下工作。-v 详细模式。这是被强烈推荐的选项，因为它能带来你想要的更多信息。你可以重复使用它以获得更大效果。如果你需要大量翻动屏幕请使用 -d 命令两次-h 这是一个快捷的帮助选项，可以在屏幕上显示nmap的参数使用方法象你注意到的那样，这个man page实在不是一个“快速入门参考”:)-o 这是用来指定一个放置扫描结果的文件的参数这个结果是易于阅读的。-m 这也是存放扫描结果的参数，但它是存放机器可解析（machine pars

30、eable）结果的，你可以用-m 带''-''(引号不用）将其输出到标准输出里（用shell的管道符）。在这种形式下，正常的输出被禁止了，你需要察看一些错误信息来了解情况。 -i 从指定文件而不是从命令行读取数据。该文件可以存放一个主机或网络的列表，中间用空格、TAB键或者换行来分隔。如果希望从标准输入设备（文件）读取比如在管道符的末端，你要将连字号(-)用于文件名。你可以从目标规格里找到更多关于写这一文件的资料。-p 这一参数可以指定你希望扫描的端口，举例来说吧''-p 23''则只会对主机的23端口进行探测，默认扫描的是从1到

31、1024端口，或者也可以用nmap里带的services file里的端口列表。-F 快速扫描模式。指定只希望扫描nmap里提供的services file中列出的端口列表里的端口。这明显会比扫描所有65535个端口来得快。-D 这是一种带有诱骗模式的扫描，在远程主机的连接记录里会记下所有你所指定的诱骗性的地址。这样的话他们的数据存储器会显示有一些端口扫描从某个IP发起，然而他们无法辩别哪个是真正的IP而哪个是用来作为掩护的，这可以击败一些通过路由进行跟踪的行为，所以它是一项隐藏你的IP的很实用的技术。用逗号分隔各个欺骗地址，你可以随意地将''me''放进任意一

32、个你希望显示真实IP的地方，如果你将''ME''放在第六位甚至最后，有些端口扫描记录器（比如Solar Designer''s excellent scanlogd）可能根本就不会显示你的IP，如果你不用''ME''的话，nmap将会将它随机放置。记住你用来诱骗的主机必须是开放的或者你可以半开扫描一下你的目标。因为要从一堆实际上没有用的IP地址里判别出哪个是真正的入侵者是相当容易的。你还可能要用IP地址来代替名字，这样诱骗主机的nameserver logs里才不会记录下你来。还要记得有些（愚蠢的）"端口

33、扫描探测器"会拒绝到达主机的端口扫描尝试。这样你无意中就会导致你扫描的主机与“诱骗主机”连接的丢失，这样可能会带来一个很大的问题是如果这个“诱骗主机”是一个网上的网关或者甚至就是其本地的机子，其连接一样会断开！所以大家最好小心使用这个参数从道德上的原因这仅仅是一个诱骗，不是么？这种诱骗可以用在最初的ping扫描（用ICMP,SYN,ACK或其它）与实际的端口状态扫描中，它还可以用于远程OS的判别(-O)。当然如果你写入太多的诱骗地址也是没什么用处的，那只能减缓扫描速度以及降低一些精确度。而且一些指令处理系统还可能会过滤掉你的欺骗包，虽然多数（几乎是全部了）不会对欺骗包作出任何限制。-

34、S 在某些环境下nmap可能无法确定你的源地址这种情况下nmap会有提示，这时你就要用-S带IP地址来标注。另一种使用的可能性是用来欺骗目标使它认为某人在扫描它。设想一下，某个公司发现被竞争者持续不断的扫描:),这是一个不被支持的用法，或者说，不是主要目的。我只是用它来提醒人们在发现一个端口扫描者时别光顾责难，可能他是无辜的呢。-e能够说明这个参数的一般用法。-e 告诉nmap哪个界面要发送或接收。nmap能够自动探测它，如果无法做到，亦会有提示信息。-g 在扫描中设定源端口号。许多“天真”的防火墙或包过滤器除了它们建立的允许DNS(53)或FTP-DATA(20)的包进来建立连接之外，其余一

35、概过滤，显然这是很轻率的做法，因为入侵者能够轻易地编辑一个来自FTP或DNS的源端口。比如说，你如果无法从一个主机的host:port通过TCP ISN取得信息，那么通过用-g 命令，nmap会改变源端口再次尝试。需要了解的是，使用这个选项可能会有小小的延迟，因为我有时需要在源端口号中存储有用信息.-M 设定用来并行进行TCP connect()扫描的最大的sockets数目（默认）。这对将扫描适度减缓是相当有效的，它可以避免把远程主机crashing。另一个途径是用-sS。定时选项-*虽然nmap在一般情况下都能够很好地在运行时间里尽可能迅速地完成扫描任务，但偶尔还是会有一些主机/端口无法侦

36、测，这可能是nmap默认的时间策略和你的目标不太一致（相当于timeout的设定），下面就是一些选项能对扫描的时间进行控制：-T 这是一个可以用来便利地表达nmap时间策略优先权的参数设置。Paranoid模式用极慢的速度来扫描以避免被数字记录系统记录。它使扫描连续而不是并发而且通常等待至少五分钟才发送一个信息包。Sneaky也是类似的，只是它是每15秒发送一个信息包。Polite模式是用来减轻网络负载以减少当机的可能性，它是连续发送探针并在两个包的间隙等待0.4秒。Normal是nmap的常规用法，是尽其所能地快速扫描除非主机或端口连接丢失。Aggressive模式是对每台主机设定了五分钟的

37、timeout，并且等待每个探针应答不超过1.25秒。Insane模式是适应非常快的网络或者你不在乎丢失一些信息因为太快！它的timeout设定于75秒并且只等待回应0.3秒，它允许对一个很快的网络系统进行“扫荡”:)，你也可以用数字(0-5)来代表参数，比如''-t 0''表示Paranoid而''-t 5''代表Insane模式。注意，这些时间设定无法在底层的控制中联合使用。(NOT be used in combination with the lower level controls given below.)-host_

38、timeout 具体指定nmap对某个IP的扫描时间总量，超过则作不通处理，默认是不做设定。-max_rtt_timeout 指定nmap对一个探针从远程端返回回应的最大时间，默认是9000。-initial_rtt_timeout 指定最初探针的timeout时间，这通常在用-P0扫描有防火墙保护的主机时很有效，nmap会通过ping得到一个好的RTT评估以及最初少数的探针。默认值为6000。-max_parallelism 指定nmap允许的最大并行扫描数目，设定为1表明nmap每次只扫描个端口，它同样会对其它扫描如ping sweep, RPC scan等产生影响。 -scan_delay 指定nmap必须等待的两个探针间的最小的时间。这是减少网络负载及使扫描在综合数据存储的记录下不那么显眼的办法。目标说明-*所有不带参数的选项都会被视为是nmap的目标主机描述。最简单的实例是仅仅在命令行列出单一的主机名或IP地址。如果你希望扫描一个IP地址的子网，你可以在主机名和IP地址中加入''/mask''。mask必需是在0（扫描整个网络）和32（特定的单一主机）。用/24则表明扫找一个C类地址，而/16则是扫描B类nmap还有一些更有用的符号说明方式可以让你用list/ranges来为每个元