目前支持Win 2K/XP的端口扫描器已经有不少，部分还提供GUI（图形用户界面）。在诸多端口扫描器中，Nmap是其中的佼佼者——它提供了大量的命令行选项，能够灵活地满足各种扫描要求，而且输出格式丰富。Nmap原先是为Unix平台开发的，是许多Unix管理员的至爱，后来才被移植到Windows平台。Nmap for Windows最新的稳定版本是3.27，可以从www.insecure.org/nmap/免费下载。

　　一、安装Nmap

　　Nmap要用到一个称为“Windows包捕获库”的驱动程序WinPcap——如果你经常从网上下载流媒体电影，可能已经熟悉这个驱动程序——某些流媒体电影的地址是加密的，侦测这些电影的真实地址就要用到WinPcap。WinPcap的作用是帮助调用程序（即这里的Nmap）捕获通过网卡传输的原始数据。WinPcap的最新版本在http://netgroup-serv.polito.it/winpcap，支持XP/2K/Me/9x全系列操作系统，下载得到的是一个执行文件，双击安装，一路确认使用默认设置就可以了，安装好之后需要重新启动。

　　接下来从www.insecure.org/nmap/nmap_download.html下载Nmap（国内各大软件网站也有，但一般版本更新略有滞后）。下载好之后解开压缩，不需要安装。除了执行文件nmap.exe之外，它还有下列参考文档：

　　㈠ nmap-os-fingerprints：列出了500多种网络设备和操作系统的堆栈标识信息。

　　㈡ nmap-protocols：Nmap执行协议扫描的协议清单。

　　㈢ nmap-rpc：远程过程调用（RPC）服务清单，Nmap用它来确定在特定端口上监听的应用类型。

　　㈣ nmap-services：一个TCP/UDP服务的清单，Nmap用它来匹配服务名称和端口号。

　　除了命令行版本之外，www.insecure.org还提供了一个带GUI的Nmap版本。和其他常见的Windows软件一样，GUI版本需要安装，图一就是GUI版Nmap的运行界面。GUI版的功能基本上和命令行版本一样，鉴于许多人更喜欢用命令行版本，本文后面的说明就以命令行版本为主。 下面是Nmap支持的四种最基本的扫描方式： 

图一

　　二、常用扫描类型

　　解开Nmap命令行版的压缩包之后，进入Windows的命令控制台，再转到安装Nmap的目录（如果经常要用Nmap，最好把它的路径加入到PATH环境变量）。不带任何命令行参数运行Nmap，Nmap显示出命令语法，如图二所示。

图二

　　⑴ TCP connect()端口扫描（-sT参数）。

　　⑵ TCP同步（SYN）端口扫描（-sS参数）。

　　⑶ UDP端口扫描（-sU参数）。

　　⑷ Ping扫描（-sP参数）。

　　如果要勾画一个网络的整体情况，Ping扫描和TCP SYN扫描最为实用。Ping扫描通过发送ICMP（Internet Control Message Protocol，Internet控制消息协议）回应请求数据包和TCP应答（Acknowledge，简写ACK）数据包，确定主机的状态，非常适合于检测指定网段内正在运行的主机数量。

　　TCP SYN扫描一下子不太好理解，但如果将它与TCP connect()扫描比较，就很容易看出这种扫描方式的特点。在TCP connect()扫描中，扫描器利用操作系统本身的系统调用打开一个完整的TCP连接——也就是说，扫描器打开了两个主机之间的完整握手过程（SYN，SYN-ACK，和ACK）。一次完整执行的握手过程表明远程主机端口是打开的。

　　TCP SYN扫描创建的是半打开的连接，它与TCP connect()扫描的不同之处在于，TCP SYN扫描发送的是复位（RST）标记而不是结束ACK标记（即，SYN，SYN-ACK，或RST）：如果远程主机正在监听且端口是打开的，远程主机用SYN-ACK应答，Nmap发送一个RST；如果远程主机的端口是关闭的，它的应答将是RST，此时Nmap转入下一个端口。

　　图三是一次测试结果，很明显，TCP SYN扫描速度要超过TCP connect()扫描。采用默认计时选项，在LAN环境下扫描一个主机，Ping扫描耗时不到十秒，TCP SYN扫描需要大约十三秒，而TCP connect()扫描耗时最多，需要大约7分钟。

图三

　　Nmap支持丰富、灵活的命令行参数。例如，如果要扫描192.168.7网络，可以用192.168.7.x/24或192.168.7.0-255的形式指定IP地址范围。指定端口范围使用-p参数，如果不指定要扫描的端口，Nmap默认扫描从1到1024再加上nmap-services列出的端口。

如果要查看Nmap运行的详细过程，只要启用verbose模式，即加上-v参数，或者加上-vv参数获得更加详细的信息。例如，nmap -sS 192.168.7.1-255 -p 20,21,53-110,30000- -v命令，表示执行一次TCP SYN扫描，启用verbose模式，要扫描的网络是192.168.7，检测20、21、53到110以及30000以上的端口（指定端口清单时中间不要插入空格）。再举一个例子，nmap -sS 192.168.7.1/24 -p 80扫描192.168.0子网，查找在80端口监听的服务器（通常是Web服务器）。 

　　有些网络设备，例如路由器和网络打印机，可能禁用或过滤某些端口，禁止对该设备或跨越该设备的扫描。初步侦测网络情况时，-host_timeout<毫秒数>参数很有用，它表示超时时间，例如nmap sS host_timeout 10000 192.168.0.1命令规定超时时间是10000毫秒。

　　网络设备上被过滤掉的端口一般会大大延长侦测时间，设置超时参数有时可以显著降低扫描网络所需时间。Nmap会显示出哪些网络设备响应超时，这时你就可以对这些设备个别处理，保证大范围网络扫描的整体速度。当然，host_timeout到底可以节省多少扫描时间，最终还是由网络上被过滤的端口数量决定。

　　Nmap的手册（man文档）详细说明了命令行参数的用法（虽然man文档是针对UNIX版Nmap编写的，但同样提供了Win32版本的说明）。

　　三、注意事项

　　也许你对其他端口扫描器比较熟悉，但Nmap绝对值得一试。建议先用Nmap扫描一个熟悉的系统，感觉一下Nmap的基本运行模式，熟悉之后，再将扫描范围扩大到其他系统。首先扫描内部网络看看Nmap报告的结果，然后从一个外部IP地址扫描，注意_blank">防火墙、入侵检测系统（IDS）以及其他工具对扫描操作的反应。通常，TCP connect()会引起IDS系统的反应，但IDS不一定会记录俗称“半连接”的TCP SYN扫描。最好将Nmap扫描网络的报告整理存档，以便随后参考。

　　如果你打算熟悉和使用Nmap，下面几点经验可能对你有帮助：

　　㈠ 避免误解。不要随意选择测试Nmap的扫描目标。许多单位把端口扫描视为恶意行为，所以测试Nmap最好在内部网络进行。如有必要，应该告诉同事你正在试验端口扫描，因为扫描可能引发IDS警报以及其他网络问题。

　　㈡ 关闭不必要的服务。根据Nmap提供的报告（同时考虑网络的安全要求），关闭不必要的服务，或者调整路由器的访问控制规则（ACL），禁用网络开放给外界的某些端口。

　　㈢ 建立安全基准。在Nmap的帮助下加固网络、搞清楚哪些系统和服务可能受到攻击之后，下一步是从这些已知的系统和服务出发建立一个安全基准，以后如果要启用新的服务或者服务器，就可以方便地根据这个安全基准执行。下载本文