Nmap用法詳解

nmap是一個網路探測和安全掃描程式，系統管理者和個人可以使用這個軟體掃描大型的網路，獲取那臺主機正在執行以及提供什麼服務等資訊。nmap支援很多掃描技術，例如：UDP、TCP connect()、TCP SYN(半開掃描)、ftp代理(bounce攻擊)、反向標誌、ICMP、FIN、ACK掃描、聖誕樹(Xmas Tree)、SYN掃描和null掃描。從掃描型別一節可以得到細節。nmap還提供了一些高階的特徵，例如：透過TCP/IP協議棧特徵探測作業系統型別，秘密掃描，動態延時和重傳計算，並行掃描，透過並行ping掃描探測關閉的主機，誘餌掃描，避開埠過濾檢測，直接RPC掃描(無須埠影射)，碎片掃描，以及靈活的目標和埠設定.

 

--------------------------------------------------------------------------------

1.名稱

 

nmap-網路探測和安全掃描工具

 

2.語法

 

nmap [Scan Type(s)] [Options]

 

3.描述

 

nmap是一個網路探測和安全掃描程式，系統管理者和個人可以使用這個軟體掃描大型的網路，獲取那臺主機正在執行以及提供什麼服務等資訊。nmap支援很多掃描技術，例如：UDP、TCP connect()、TCP SYN(半開掃描)、ftp代理(bounce攻擊)、反向標誌、ICMP、FIN、ACK掃描、聖誕樹(Xmas Tree)、SYN掃描和null掃描。從掃描型別一節可以得到細節。nmap還提供了一些高階的特徵，例如：透過TCP/IP協議棧特徵探測作業系統型別，秘密掃描，動態延時和重傳計算，並行掃描，透過並行ping掃描探測關閉的主機，誘餌掃描，避開埠過濾檢測，直接RPC掃描(無須埠影射)，碎片掃描，以及靈活的目標和埠設定。

 

為了提高nmap在non-root狀態下的效能，軟體的設計者付出了很大的努力。很不幸，一些核心介面(例如raw socket)需要在root狀態下使用。所以應該儘可能在root使用nmap。

 

nmap執行通常會得到被掃描主機埠的列表。nmap總會給出well known埠的服務名(如果可能)、埠號、狀態和協議等資訊。每個埠的狀態有：open、filtered、unfiltered。open狀態意味著目標主機能夠在這個埠使用accept()系統呼叫接受連線。filtered狀態表示：防火牆、包過濾和其它的網路安全軟體掩蓋了這個埠，禁止nmap探測其是否開啟。unfiltered表示：這個埠關閉，並且沒有防火牆/包過濾軟體來隔離nmap的探測企圖。通常情況下，埠的狀態基本都是unfiltered狀態，只有在大多數被掃描的埠處於filtered狀態下，才會顯示處於unfiltered狀態的埠。

 

根據使用的功能選項，nmap也可以報告遠端主機的下列特徵：使用的作業系統、TCP序列、執行繫結到每個埠上的應用程式的使用者名稱、DNS名、主機地址是否是欺騙地址、以及其它一些東西。

 

4.功能選項

 

功能選項可以組合使用。一些功能選項只能夠在某種掃描模式下使用。nmap會自動識別無效或者不支援的功能選項組合，並向使用者發出警告資訊。

 

如果你是有經驗的使用者，可以略過結尾的示例一節。可以使用nmap -h快速列出功能選項的列表。

 

4.1 掃描型別

 

-sT

TCP connect()掃描：這是最基本的TCP掃描方式。connect()是一種系統呼叫，由作業系統提供，用來開啟一個連線。如果目標埠有程式監聽， connect()就會成功返回，否則這個埠是不可達的。這項技術最大的優點是，你勿需root許可權。任何UNIX使用者都可以自由使用這個系統呼叫。這種掃描很容易被檢測到，在目標主機的日誌中會記錄大批的連線請求以及錯誤資訊。

 

 

-sS

TCP同步掃描(TCP SYN)：因為不必全部開啟一個TCP連線，所以這項技術通常稱為半開掃描(half-open)。你可以發出一個TCP同步包(SYN)，然後等待回應。如果對方返回SYN|ACK(響應)包就表示目標埠正在監聽；如果返回RST資料包，就表示目標埠沒有監聽程式；如果收到一個SYN|ACK包，源主機就會馬上發出一個RST(復位)資料包斷開和目標主機的連線，這實際上有我們的作業系統核心自動完成的。這項技術最大的好處是，很少有系統能夠把這記入系統日誌。不過，你需要root許可權來定製SYN資料包。

 

 

-sF -sF -sN

秘密FIN資料包掃描、聖誕樹(Xmas Tree)、空(Null)掃描模式：即使SYN掃描都無法確定的情況下使用。一些防火牆和包過濾軟體能夠對傳送到被限制埠的SYN資料包進行監視，而且有些程式比如synlogger和courtney能夠檢測那些掃描。這些高階的掃描方式可以逃過這些干擾。這些掃描方式的理論依據是：關閉的埠需要對你的探測包回應RST包，而開啟的埠必需忽略有問題的包(參考RFC 793第64頁)。FIN掃描使用暴露的FIN資料包來探測，而聖誕樹掃描開啟資料包的FIN、URG和PUSH標誌。不幸的是，微軟決定完全忽略這個標準，另起爐灶。所以這種掃描方式對Windows95/NT無效。不過，從另外的角度講，可以使用這種方式來分別兩種不同的平臺。如果使用這種掃描方式可以發現開啟的埠，你就可以確定目標註意執行的不是Windows系統。如果使用-sF、-sX或者-sN掃描顯示所有的埠都是關閉的，而使用SYN掃描顯示有開啟的埠，你可以確定目標主機可能執行的是Windwos系統。現在這種方式沒有什麼太大的用處，因為nmap有內嵌的作業系統檢測功能。還有其它幾個系統使用和windows同樣的處理方式，包括Cisco、BSDI、HP/UX、MYS、IRIX。在應該拋棄資料包時，以上這些系統都會從開啟的埠發出復位資料包。

 

 

-sP

ping掃描：有時你只是想知道此時網路上哪些主機正在執行。透過向你指定的網路內的每個IP地址傳送ICMP echo請求資料包，nmap就可以完成這項任務。如果主機正在執行就會作出響應。不幸的是，一些站點例如：microsoft.com阻塞ICMP echo請求資料包。然而，在預設的情況下nmap也能夠向80埠傳送TCP ack包，如果你收到一個RST包，就表示主機正在執行。nmap使用的第三種技術是：傳送一個SYN包，然後等待一個RST或者SYN/ACK包。對於非root使用者，nmap使用connect()方法。

在預設的情況下(root使用者)，nmap並行使用ICMP和ACK技術。

注意，nmap在任何情況下都會進行ping掃描，只有目標主機處於執行狀態，才會進行後續的掃描。如果你只是想知道目標主機是否執行，而不想進行其它掃描，才會用到這個選項。

 

 

-sU

UDP掃描：如果你想知道在某臺主機上提供哪些UDP(使用者資料包協議,RFC768)服務，可以使用這種掃描方法。nmap首先向目標主機的每個埠發出一個0位元組的UDP包，如果我們收到埠不可達的ICMP訊息，埠就是關閉的，否則我們就假設它是開啟的。

有些人可能會想UDP掃描是沒有什麼意思的。但是，我經常會想到最近出現的solaris rpcbind缺陷。rpcbind隱藏在一個未公開的UDP埠上，這個埠號大於32770。所以即使埠111(portmap的眾所周知埠號) 被防火牆阻塞有關係。但是你能發現大於30000的哪個埠上有程式正在監聽嗎?使用UDP掃描就能！cDc Back Orifice的後門程式就隱藏在Windows主機的一個可配置的UDP埠中。不考慮一些通常的安全缺陷，一些服務例如:snmp、tftp、NFS 使用UDP協議。不幸的是，UDP掃描有時非常緩慢，因為大多數主機限制ICMP錯誤資訊的比例(在RFC1812中的建議)。例如，在Linux核心中 (在net/ipv4/icmp.h檔案中)限制每4秒鐘只能出現80條目標不可達的ICMP訊息，如果超過這個比例，就會給1/4秒鐘的處罰。 solaris的限制更加嚴格，每秒鐘只允許出現大約2條ICMP不可達訊息，這樣，使掃描更加緩慢。nmap會檢測這個限制的比例，減緩傳送速度，而不是傳送大量的將被目標主機丟棄的無用資料包。

不過Micro$oft忽略了RFC1812的這個建議，不對這個比例做任何的限制。所以我們可以能夠快速掃描執行Win95/NT的主機上的所有65K個埠。

 

 

-sA

ACK掃描：這項高階的掃描方法通常用來穿過防火牆的規則集。通常情況下，這有助於確定一個防火牆是功能比較完善的或者是一個簡單的包過濾程式，只是阻塞進入的SYN包。

這種掃描是向特定的埠傳送ACK包(使用隨機的應答/序列號)。如果返回一個RST包，這個埠就標記為unfiltered狀態。如果什麼都沒有返回，或者返回一個不可達ICMP訊息，這個埠就歸入filtered類。注意，nmap通常不輸出unfiltered的埠，所以在輸出中通常不顯示所有被探測的埠。顯然，這種掃描方式不能找出處於開啟狀態的埠。

 

 

-sW

對滑動視窗的掃描：這項高階掃描技術非常類似於ACK掃描，除了它有時可以檢測到處於開啟狀態的埠，因為滑動視窗的大小是不規則的，有些作業系統可以報告其大小。這些系統至少包括：某些版本的AIX、Amiga、BeOS、BSDI、Cray、Tru64 UNIX、DG/UX、OpenVMS、Digital UNIX、OpenBSD、OpenStep、QNX、Rhapsody、SunOS 4.x、Ultrix、VAX、VXWORKS。從nmap-hackers郵件3列表的文件中可以得到完整的列表。

 

 

-sR

RPC掃描。這種方法和nmap的其它不同的埠掃描方法結合使用。選擇所有處於開啟狀態的埠向它們發出SunRPC程式的NULL命令，以確定它們是否是RPC埠，如果是，就確定是哪種軟體及其版本號。因此你能夠獲得防火牆的一些資訊。誘餌掃描現在還不能和RPC掃描結合使用。

-b

FTP反彈攻擊(bounce attack):FTP協議(RFC 959)有一個很有意思的特徵，它支援代理FTP連線。也就是說，我能夠從evil.com連線到FTP伺服器target.com，並且可以要求這臺 FTP伺服器為自己傳送Internet上任何地方的檔案！1985年，RFC959完成時，這個特徵就能很好地工作了。然而，在今天的Internet 中，我們不能讓人們劫持FTP伺服器，讓它向Internet上的任意節點傳送資料。如同Hobbit在1995年寫的文章中所說的，這個協議"能夠用來做投遞虛擬的不可達郵件和新聞，進入各種站點的伺服器,填滿硬碟，跳過防火牆，以及其它的騷擾活動，而且很難進行追蹤"。我們可以使用這個特徵，在一臺代理FTP伺服器掃描TCP埠。因此，你需要連線到防火牆後面的一臺FTP伺服器，接著進行埠掃描。如果在這臺FTP伺服器中有可讀寫的目錄，你還可以向目標埠任意傳送資料(不過nmap不能為你做這些)。

傳遞給-b功能選項的引數是你要作為代理的FTP伺服器。語法格式為：

-b username:password@server:port。

除了server以外，其餘都是可選的。如果你想知道什麼伺服器有這種缺陷，可以參考我在Phrack 51發表的文章。還可以在nmap的站點得到這篇文章的最新版本。

 

4.2 通用選項

 

這些內容不是必需的，但是很有用。

 

-P0

在掃描之前，不必ping主機。有些網路的防火牆不允許ICMP echo請求穿過，使用這個選項可以對這些網路進行掃描。microsoft.com就是一個例子，因此在掃描這個站點時，你應該一直使用-P0或者-PT 80選項。

 

-PT

掃描之前，使用TCP ping確定哪些主機正在執行。nmap不是透過傳送ICMP echo請求包然後等待響應來實現這種功能，而是向目標網路(或者單一主機)發出TCP ACK包然後等待回應。如果主機正在執行就會返回RST包。只有在目標網路/主機阻塞了ping包，而仍舊允許你對其進行掃描時，這個選項才有效。對於非 root使用者，我們使用connect()系統呼叫來實現這項功能。使用-PT <埠號>來設定目標埠。預設的埠號是80，因為這個埠通常不會被過濾。

 

-PS

對於root使用者，這個選項讓nmap使用SYN包而不是ACK包來對目標主機進行掃描。如果主機正在執行就返回一個RST包(或者一個SYN/ACK包)。

 

-PI

設定這個選項，讓nmap使用真正的ping(ICMP echo請求)來掃描目標主機是否正在執行。使用這個選項讓nmap發現正在執行的主機的同時，nmap也會對你的直接子網廣播地址進行觀察。直接子網廣播地址一些外部可達的IP地址，把外部的包轉換為一個內向的IP廣播包，向一個計算機子網傳送。這些IP廣播包應該刪除，因為會造成拒絕服務攻擊(例如smurf)。

 

-PB

這是預設的ping掃描選項。它使用ACK(-PT)和ICMP(-PI)兩種掃描型別並行掃描。如果防火牆能夠過濾其中一種包，使用這種方法，你就能夠穿過防火牆。

 

-O

這個選項啟用對TCP/IP指紋特徵(fingerprinting)的掃描，獲得遠端主機的標誌。換句話說，nmap使用一些技術檢測目標主機作業系統網路協議棧的特徵。nmap使用這些資訊建立遠端主機的指紋特徵，把它和已知的作業系統指紋特徵資料庫做比較，就可以知道目標主機作業系統的型別。

 

-I

這個選項開啟nmap的反向標誌掃描功能。Dave Goldsmith 1996年向bugtap發出的郵件注意到這個協議，ident協議(rfc 1413)允許使用TCP連線給出任何程式擁有者的使用者名稱，即使這個程式並沒有初始化連線。例如，你可以連線到HTTP埠，接著使用identd確定這個伺服器是否由root使用者執行。這種掃描只能在同目標埠建立完全的TCP連線時(例如：-sT掃描選項)才能成功。使用-I選項是，遠端主機的 identd精靈程式就會查詢在每個開啟的埠上監聽的程式的擁有者。顯然，如果遠端主機沒有執行identd程式，這種掃描方法無效。

 

-f

這個選項使nmap使用碎片IP資料包傳送SYN、FIN、XMAS、NULL。使用碎片資料包增加包過濾、入侵檢測系統的難度，使其無法知道你的企圖。不過，要慎重使用這個選項！有些程式在處理這些碎片包時會有麻煩，我最喜歡的嗅探器在接受到碎片包的頭36個位元組時，就會發生segmentation faulted。因此，在nmap中使用了24個位元組的碎片資料包。雖然包過濾器和防火牆不能防這種方法，但是有很多網路出於效能上的考慮，禁止資料包的分片。

注意這個選項不能在所有的平臺上使用。它在Linux、FreeBSD、OpenBSD以及其它一些UNIX系統能夠很好工作。

 

-v

冗餘模式。強烈推薦使用這個選項，它會給出掃描過程中的詳細資訊。使用這個選項，你可以得到事半功倍的效果。使用-d選項可以得到更加詳細的資訊。

 

-h

快速參考選項。

 

-oN

把掃描結果重定向到一個可讀的檔案logfilename中。

 

-oM

把掃描結果重定向到logfilename檔案中，這個檔案使用主機可以解析的語法。你可以使用-oM -來代替logfilename，這樣輸出就被重定向到標準輸出stdout。在這種情況下，正常的輸出將被覆蓋，錯誤資訊荏苒可以輸出到標準錯誤 stderr。要注意，如果同時使用了-v選項，在螢幕上會列印出其它的資訊。

-oS thIs l0gz th3 r3suLtS of YouR ScanZ iN a s| THe fiL3 U sPecfy 4s an arGuMEnT! U kAn gIv3 the 4rgument -

(wItHOUt qUOteZ) to sh00t output iNT0 stDouT!@!! 莫名其妙，下面是我猜著翻譯的，相形字？

把掃描結果重定向到一個檔案logfilename中，這個檔案使用一種"駭客方言"的語法形式(作者開的玩笑?)。同樣，使用-oS -就會把結果重定向到標準輸出上。

 

-resume

某個網路掃描可能由於control-C或者網路損失等原因被中斷，使用這個選項可以使掃描接著以前的掃描進行。logfilename是被取消掃描的日誌檔案，它必須是可讀形式或者機器可以解析的形式。而且接著進行的掃描不能增加新的選項，只能使用與被中斷的掃描相同的選項。nmap會接著日誌檔案中的最後一次成功掃描進行新的掃描。

 

-iL

從inputfilename檔案中讀取掃描的目標。在這個檔案中要有一個主機或者網路的列表，由空格鍵、製表鍵或者Enter鍵作為分割符。如果使用-iL -，nmap就會從標準輸入stdin讀取主機名字。你可以從指定目標一節得到更加詳細的資訊。

 

-iR

讓nmap自己隨機挑選主機進行掃描。

 

-p <埠範圍>

這個選項讓你選擇要進行掃描的埠號的範圍。例如，-p 23表示：只掃描目標主機的23號埠。-p 20-30,139,60000-表示：掃描20到30號埠，139號埠以及所有大於60000的埠。在預設情況下，nmap掃描從1到1024號以及nmap-services檔案(如果使用RPM軟體包，一般在/usr/share/nmap/目錄中)中定義的埠列表。

 

-F

快速掃描模式，只掃描在nmap-services檔案中列出的埠。顯然比掃描所有65535個埠要快。

 

-D

使用誘餌掃描方法對目標網路/主機進行掃描。如果nmap使用這種方法對目標網路進行掃描，那麼從目標主機/網路的角度來看，掃描就象從其它主機(decoy1,等)發出的。從而，即使目標主機的IDS(入侵檢測系統)對埠掃描發出報警，它們也不可能知道哪個是真正發起掃描的地址，哪個是無辜的。這種掃描方法可以有效地對付例如路由跟蹤、response- dropping等積極的防禦機制，能夠很好地隱藏你的IP地址。

每個誘餌主機名使用逗號分割開，你也可以使用ME選項，它代表你自己的主機，和誘餌主機名混雜在一起。如果你把ME放在第六或者更靠後的位置，一些埠掃描檢測軟體幾乎根本不會顯示你的IP地址。如果你不使用ME選項，nmap會把你的IP地址隨機夾雜在誘餌主機之中。

注意:你用來作為誘餌的主機應該正在執行或者你只是偶爾向目標傳送SYN資料包。很顯然，如果在網路上只有一臺主機執行，目標將很輕鬆就會確定是哪臺主機進行的掃描。或許，你還要直接使用誘餌的IP地址而不是其域名，這樣誘餌網路的域名伺服器的日誌上就不會留下關於你的記錄。

還要注意：一些愚蠢的埠掃描檢測軟體會拒絕路由試圖進行埠掃描的主機。因而，你需要讓目標主機和一些誘餌斷開連線。如果誘餌是目標主機的閘道器或者就是其自己時，會給目標主機造成很大問題。所以你需要慎重使用這個選項。

誘餌掃描既可以在起始的ping掃描也可以在真正的掃描狀態下使用。它也可以和-O選項組合使用。

使用太多的誘餌掃描能夠減緩你的掃描速度甚至可能造成掃描結果不正確。同時，有些ISP會把你的欺騙包過濾掉。雖然現在大多數的ISP不會對此進行限制。

 

-S

在一些情況下，nmap可能無法確定你的源地址(nmap會告訴你)。在這種情況下，可以使用這個選項給出你的IP地址。

在欺騙掃描時，也使用這個選項。使用這個選項可以讓目標認為是其它的主機對自己進行掃描。

 

-e

告訴nmap使用哪個介面傳送和接受資料包。nmap能夠自動對此介面進行檢測，如果無效就會告訴你。

 

-g

設定掃描的源埠。一些天真的防火牆和包過濾器的規則集允許源埠為DNS(53)或者FTP-DATA(20)的包透過和實現連線。顯然，如果攻擊者把源埠修改為20或者53，就可以摧毀防火牆的防護。在使用UDP掃描時，先使用53號埠；使用TCP掃描時，先使用20號埠。注意只有在能夠使用這個埠進行掃描時，nmap才會使用這個埠。例如，如果你無法進行TCP掃描，nmap會自動改變源埠，即使你使用了-g選項。

對於一些掃描，使用這個選項會造成效能上的微小損失，因為我有時會儲存關於特定源埠的一些有用的資訊。

 

-r

告訴nmap不要打亂被掃描埠的順序。

 

--randomize_hosts

使nmap在掃描之前，打亂每組掃描中的主機順序，nmap每組可以掃描最多2048臺主機。這樣，可以使掃描更不容易被網路監視器發現，尤其和--scan_delay 選項組合使用，更能有效避免被發現。

 

-M

設定進行TCP connect()掃描時，最多使用多少個套接字進行並行的掃描。使用這個選項可以降低掃描速度，避免遠端目標當機。

 

4.3 適時選項

 

通常，nmap在執行時，能夠很好地根據網路特點進行調整。掃描時，nmap會盡量減少被目標檢測到的機會，同時儘可能加快掃描速度。然而，nmap預設的適時策略有時候不太適合你的目標。使用下面這些選項，可以控制nmap的掃描timing：

 

-T

設定nmap的適時策略。Paranoid:為了避開IDS的檢測使掃描速度極慢，nmap序列所有的掃描，每隔至少5分鐘傳送一個包；Sneaky：也差不多，只是資料包的傳送間隔是15秒；Polite：不增加太大的網路負載，避免宕掉目標主機，序列每個探測，並且使每個探測有0.4秒種的間隔；Normal:nmap預設的選項，在不是網路過載或者主機/埠丟失的情況下儘可能快速地掃描；Aggressive:設定5分鐘的超時限制，使對每臺主機的掃描時間不超過5分鐘，並且使對每次探測回應的等待時間不超過1.5秒鐘；b>Insane:只適合快速的網路或者你不在意丟失某些資訊，每臺主機的超時限制是75 秒，對每次探測只等待0.3秒鐘。你也可是使用數字來代替這些模式，例如：-T 0等於-T Paranoid，-T 5等於-T Insane。

這些適時模式不能下面的適時選項組合使用。

 

--host_timeout

設定掃描一臺主機的時間，以毫秒為單位。預設的情況下，沒有超時限制。

 

--max_rtt_timeout

設定對每次探測的等待時間，以毫秒為單位。如果超過這個時間限制就重傳或者超時。預設值是大約9000毫秒。

 

--min_rtt_timeout

當目標主機的響應很快時，nmap就縮短每次探測的超時時間。這樣會提高掃描的速度，但是可能丟失某些響應時間比較長的包。使用這個選項，可以讓nmap對每次探測至少等待你指定的時間，以毫秒為單位。

 

--initial_rtt_timeout

設定初始探測的超時值。一般這個選項只在使用-P0選項掃描有防火牆保護的主機才有用。預設值是6000毫秒。

 

--max_parallelism

設定最大的並行掃描數量。--max_parallelism 1表示同時只掃描一個埠。這個選項對其它的並行掃描也有效，例如ping sweep, RPC scan。

 

--scan_delay

設定在兩次探測之間，nmap必須等待的時間。這個選項主要用於降低網路的負載。

 

4.4 目標設定

 

在nmap的所有引數中，只有目標引數是必須給出的。其最簡單的形式是在命令列直接輸入一個主機名或者一個IP地址。如果你希望掃描某個IP地址的一個子網，你可以在主機名或者IP地址的後面加上/掩碼。掩碼在0(掃描整個網路)到32(只掃描這個主機)。使用/24掃描C類地址，/16掃描B類地址。

 

除此之外，nmap還有更加強大的表示方式讓你更加靈活地指定IP地址。例如，如果要掃描這個B類網路128.210.*.*，你可以使用下面三種方式來指定這些地址:128.210.*.*、128.21-.0-255.0-255或者128.210.0.0/16這三種形式是等價的。

 

5.例子

 

本節將由淺入深地舉例說明如何使用nmap。

 

nmap -v target.example.com

掃描主機target.example.com的所有TCP埠。-v開啟冗餘模式。

 

nmap -sS -O target.example.com/24

發起對target.example.com所在網路上的所有255個IP地址的秘密SYN掃描。同時還探測每臺主機作業系統的指紋特徵。需要root許可權。

 

nmap -sX -p 22,53,110,143,4564 128.210.*.1-127

對B類IP地址128.210中255個可能的8位子網的前半部分發起聖誕樹掃描。確定這些系統是否開啟了sshd、DNS、pop3d、imapd和4564埠。注意聖誕樹掃描對Micro$oft的系統無效，因為其協議棧的TCP層有缺陷。

 

nmap -v --randomize_hosts -p 80 *.*.2.3-5

只掃描指定的IP範圍，有時用於對這個Internet進行取樣分析。nmap將尋找Internet上所有後兩個位元組是.2.3、.2.4、.2.5的IP地址上的WEB伺服器。如果你想發現更多有意思的主機，你可以使用127-222，因為在這個範圍內有意思的主機密度更大。

 

host -l company.com | cut -d -f 4 | ./nmap -v -iL -

列出company.com網路的所有主機，讓nmap進行掃描。注意：這項命令在GNU/Linux下使用。如果在其它平臺，你可能要使用 其它的命令/選項。