Nmap常用命令有哪些？

网络扫描工具Nmap早已成为网络安全从业者的必备利器，但面对它琳琅满目的参数选项，新手往往感到无从下手。其实掌握几个核心命令组合，就足以应对80%的日常渗透测试场景。

基础探测：从主机发现开始

当需要快速识别网络内存活主机时，-sn参数堪称效率之王。这个看似简单的参数背后，实际上同时发送了ICMP Echo请求、TCP SYN包到443端口和ACK包到80端口。在最近一次内网渗透测试中，技术人员仅用nmap -sn 192.168.1.0/24这条命令，就在23秒内完成了256个IP地址的存活检测，准确率高达98%。

nmap -sn 192.168.1.0/24

端口扫描的艺术

TCP SYN扫描（-sS）是默认的扫描方式，它能在不建立完整TCP连接的情况下探测端口状态。这种"半开式"扫描的优势在于速度快且不易被日志记录。而当你需要更详细的服务信息时，加上-sV参数就能获取服务版本，配合-O参数还能进行操作系统识别。

nmap -sS -sV -O target.com

全端口扫描的实战价值

常规扫描只检查常见端口，但真正的威胁往往隐藏在高端口。使用-p-参数进行全端口扫描虽然耗时较长，却经常能发现意外收获。某次红队演练中，安全团队就是在扫描到63333端口时，发现了一个未授权访问的Jenkins服务，从而找到了突破口。

nmap -p- --min-rate 5000 target.com

脚本引擎的妙用

Nmap的脚本引擎（NSE）是其最强大的功能之一。通过--script参数，可以调用数百个预置脚本进行漏洞检测、服务枚举和信息收集。比如nmap --script vuln target.com能够自动检测常见漏洞，而nmap --script http-enum target.com则专门用于枚举Web应用目录。

nmap --script smb-vuln-ms17-010 192.168.1.100

输出格式的选择

根据使用场景选择合适的输出格式至关重要。-oN生成易于阅读的普通文本，-oX输出结构化的XML格式便于程序解析，而-oG格式则适合用grep进行快速筛选。成熟的渗透测试报告通常同时保存多种格式的输出结果。

nmap -sS target.com -oN result.txt -oX result.xml

将这些命令组合使用，就像搭积木一样灵活。比如一次完整的安全评估可能以nmap -sS -sV -O --script default -oA full_scan target.com开始，其中-oA参数会同时生成三种格式的输出文件。熟练运用这些命令组合，足以让你在网络 reconnaissance 阶段游刃有余。