Nmap（Network Mapper）是網路偵測與滲透測試領域最常用的工具之一。它能幫助我們從「找出存活主機」→「找出開放埠」→「辨識服務版本/作業系統」→「進一步列舉與弱點探測」完成整套偵察流程。掌握 Nmap 的操作與輸出解讀，對紅隊（滲透）、藍隊（防守）與日常管理都非常實用。

嚴肅提醒：請僅對你有授權的主機或實驗環境執行掃描（例如自建靶場、測試伺服器、或已取得書面同意之目標）。未經授權的掃描可能違反法律與合約。

⸻

一、基本偵察流程（實務順序）
1. 主機存活確認（Host discovery）：確認哪些 IP/網段有活躍主機。
2. 埠掃描（Port scan）：找出目標主機上哪些 TCP/UDP 埠是 open/filtered/closed。
3. 服務與版本偵測（Service & Version detection）：辨識埠上運行的服務與版本號。
4. 作業系統辨識（OS fingerprinting）：推斷目標作業系統與網路堆疊特徵。
5. 腳本/弱點檢測（NSE scripts / vuln scan）：使用 Nmap Script Engine 執行額外檢測（例如列舉、已知弱點檢測）。
6. 結果分析與後續列舉：根據發現進一步做身份列舉、目錄掃描或滲透測試。

⸻

二、常用指令與參數（實務說明與範例）
• 主機發現（Ping sweep）
nmap -sn 10.0.0.0/24
只做存活偵測（不掃埠），快速列出哪些 IP 回應 ICMP/ARP/TCP。
• SYN 掃描（半開/Stealth，需 root）
sudo nmap -sS -p 1-65535 -T4 10.0.0.10
掃描所有 TCP 埠（1-65535），SYN 掃描速度與可靠度平衡較好。-T4 調整速度。
• TCP Connect 掃描（非 root）
nmap -sT -p 22,80,443 10.0.0.10
若沒有原始封包權限，使用完整三次握手方式（較易被記錄）。
• UDP 掃描
sudo nmap -sU -p 53,161 10.0.0.10
UDP 掃描慢且噪聲大，常與 TCP 掃描混合使用。
• 服務與版本偵測
sudo nmap -sV -p 80,443 10.0.0.10
嘗試連接並解析服務 banner、回應特徵來辨識軟體版本。
• 作業系統辨識
sudo nmap -O 10.0.0.10
根據 TCP/IP 堆疊特徵猜測 OS，準確度受網路中間設備與封包修改影響。
• Aggressive 掃描（綜合）
sudo nmap -A -p- 10.0.0.10
-A 包含 -sV -O --script=default，-p- 掃描全部埠。功能齊全但較「吵」，會產生明顯流量。
• NSE（Nmap Scripting Engine） 使用
sudo nmap --script vuln -p 80,443 10.0.0.10
使用內建腳本掃描已知弱點或進行更深入列舉。可以使用 --script http-enum、--script smb-enum-users 等專用腳本。
• 跳過主機發現（對 PING 會被阻擋的目標）
nmap -Pn 10.0.0.10
跳過 ping 步驟直接掃埠（適用於 ICMP 被封鎖的情境）。
• 輸出結果到檔案
sudo nmap -A -oA scan_result 10.0.0.10
產生 scan_result.nmap、scan_result.gnmap、scan_result.xml 三種格式，便於後續分析或整合工具。

⸻

三、掃描結果常見狀態解釋
• open：該埠對外提供服務並響應連線。
• closed：埠存在但目前沒有服務在監聽（容易被掃描器發現為封閉）。
• filtered：無法判定是否 open，因為封包被防火牆或過濾機制丟棄或阻擋。
• open|filtered：常見於 UDP 或延遲較高場景，無法判定需進一步測試。

解讀時要結合回應時間（RTT）、重傳/重試次數與封包標頭（TCP flags）來判斷真實情況。

⸻

四、進階用法與注意事項
• 節奏控制（Timing）：-T0 到 -T5，數字越大速度越快但噪聲與誤判提高。滲透測試時常用 -T3/-T4，對生產環境請保守使用。
• 避免被 IDS/IPS 偵測：降低掃描速率、隨機化掃描順序或分散來源 IP（多點掃描），但請注意法律與合約限制。
• 版本偵測與指紋誤差：banner 可能被修改（偽造），作業系統指紋受 NAT/負載平衡器影響，結果需結合其他資料判斷。
• NSE 腳本庫非常強大：可做弱點檢測、認證列舉、Web 內容列舉等。但別把 NSE 的「警告」直接當成可被利用的漏洞，需人工復核。

⸻

五、防禦觀點（藍隊應對）
1. 限制管理介面只允許內部或特定管理 IP 存取：避免公開 SSH、RDP 等管理埠。
2. 啟用速率限制與連線限制：對異常掃描行為（短時間大量連線）做封鎖或觸發告警。
3. IDS/IPS 規則：建立對常見掃描特徵（SYN 洪水、掃描序列）的偵測規則並整合告警。
4. 封包過濾與 honeypot：配置黑洞路由或蜜罐捕捉攻擊者活動以取得 IOCs。
5. 中央化日誌與行為分析（UEBA/SIEM）：把 Nmap 掃描行為列入異常模式，及時通知資安團隊。
6. 白名單存取：對關鍵服務實施白名單存取，減少被掃描可發現的暴露面。

⸻

六、實務範例工作流程（可直接採用）
1. 用 nmap -sn 先做主機發現，確定存活清單。
2. 針對存活主機以 sudo nmap -sS -p- -T4 掃描全部 TCP 埠（若需快速可改 --top-ports 1000）。
3. 針對 open 埠執行版本與服務偵測 sudo nmap -sV -p <open_ports> 。
4. 使用 NSE 腳本（非侵入）做列舉 nmap --script "default or safe" -p 。
5. 根據結果選擇進一步漏洞掃描或手動驗證（例如利用專用工具或手工測試）。

⸻

結語

Nmap 不只是攻擊者的工具，也是一個強大的防守與資產盤點工具。真正專業的使用方式是：在明確授權下，系統化地做偵察、把可見面減到最小、並把掃描結果轉化為具體的修補與防護行動。掌握 Nmap，等於掌握網路可視性，這對於提升組織整體資安韌性至關重要。