Kali Linux 实战指南：15个你必须掌握的主机扫描命令

为什么我们需要精通主机扫描？

作为网络安全从业者和爱好者，我们深知，在进行任何实质性的渗透测试或安全评估之前，首要的任务是“摸清家底”。这就好比一位战术专家在行动前需要一张详尽的地图。主机扫描正是绘制这张地图的关键步骤。

在 Kali Linux 这个强大的渗透测试平台上，我们拥有多种工具来完成这项任务。掌握这些命令，不仅是为了识别目标网络中哪些主机是“存活”的，更是为了通过高效的侦察手段，为后续的漏洞挖掘和系统加固打下坚实的基础。如果不先确认哪些“大门”是开着的，我们后续的攻击或防御策略就成了无的放矢。因此，让我们一起深入探讨这 15 个最实用的主机扫描命令，提升我们的实战技能。

什么才是真正的主机扫描？

简单来说，主机扫描就像是我们在敲门，看看是否有人应答。从技术上讲，当我们要扫描一个网络时，我们是在向一系列 IP 地址发送探测数据包（无论是 ICMP Echo、TCP SYN 还是 ARP 请求）。如果目标设备在线并配置了响应规则，它就会回复我们。

主机扫描的核心目的有三个：

• 发现存活主机：确定哪些 IP 地址背后有实际的设备在运行。
• 绘制网络拓扑：了解目标的网络结构。
• 筛选攻击面：缩小后续深度扫描的范围，节省时间和资源。

由于现代网络中防火墙和入侵检测系统（IDS）的广泛部署，简单的 Ping 扫描往往会被拦截。因此，我们需要学会使用多种技术（如 ARP 扫描、隐蔽扫描等）来绕过这些限制，获取准确的信息。

—

1. 使用 Nmap 进行主动侦察

这是最基础也是最常用的扫描方式。Nmap（Network Mapper）是我们手中的“瑞士军刀”。当我们执行 Ping 扫描时，Nmap 会向目标发送 ICMP Echo Request（类似 Windows 的 Ping）和 TCP ACK（通常针对端口 80）。

命令示例

# -sn: 禁用端口扫描，仅进行主机发现
# -PE: 使用 ICMP Echo 方式进行探测
sudo nmap -sn -PE 

实战解读

在这个命令中，INLINECODEcd71d751 参数告诉 Nmap 我们只想知道主机是否在线，而不关心端口状态。虽然它默认会发送 ICMP 包，但很多网络管理员会配置防火墙丢弃 ICMP 包。如果此时目标开启了 HTTP 服务（80端口），Nmap 还会尝试发送 TCP SYN 包到 80 端口（即使没有显式指定 INLINECODE11e402a2，Nmap 也有默认的回退机制）。这种方式非常高效，适合快速扫描内网。

输出分析

输出结果中只会列出“Up”（在线）的主机 IP 和 MAC 地址（如果是在同一局域网）。这为我们提供了一个清晰的活跃目标列表。

2. 使用 Netdiscover 查找存活主机

当我们处于局域网内部，或者在 Wifi 渗透测试中时，Netdiscover 是我们的不二之选。与上一条命令不同，Netdiscover 使用的是 ARP（地址解析协议）请求。

为什么 ARP 扫描更可靠？

在局域网中，ARP 协议是不可或缺的。即使主机配置了防火墙禁止 ICMP Ping，它们仍然必须响应 ARP 请求才能进行正常的网络通信。因此，Netdiscover 往往比 Nmap 的 Ping 扫描更难被察觉，也更准确。

命令示例

# -r: 指定扫描的网段范围
# 此命令会持续向目标网段发送 ARP 请求
sudo netdiscover -r 192.168.1.0/24

进阶技巧

如果你想更隐蔽一些，或者只是想快速查看，可以不加 -r 参数让它在混杂模式下被动监听流量，但这在安静的局域网中可能效果不佳。主动发送 ARP 请求（如上述命令）是最快的方式。

3. 使用 Nmap 快速定位常用端口（Top 10）

在渗透测试中，时间就是金钱。我们不需要每次都扫描全端口（65535个），那太慢了。大多数时候，漏洞都出现在最常用的那些端口上。

命令示例

# --top-ports 10: 仅扫描最常用的前 10 个端口
# --open: 仅显示开放的端口，过滤掉关闭和过滤的端口
nmap  --top-ports 10 --open

实战解读

这 10 个端口通常包括 21 (FTP), 22 (SSH), 23 (Telnet), 25 (SMTP), 80 (HTTP), 110 (POP3), 143 (IMAP), 443 (HTTPS), 3306 (MySQL), 3389 (RDP)。这能让我们迅速了解目标提供了哪些主要服务。如果连这些端口都是关的，这台主机要么是工作站，要么防护非常严格。

4. 使用 Unicornscan 进行高速扫描

当你面对大范围的网段，或者需要极高的扫描速度时，Unicornscan 是一个利器。它使用异步传输，可以非常激进地发送数据包。

命令示例

# -mT: TCP 扫描模式
# -mU: UDP 扫描模式
# -Iv: 详细信息输出模式
# :a: 扫描所有端口（可指定具体端口如 :1-1000）
# -r 3000: 发包速率设置为每秒 3000 个（非常快！）
# -R 3: 重试次数为 3 次
# &&: 逻辑与，先执行 TCP 扫描，成功后执行 UDP 扫描
sudo us -mT -Iv :a -r 3000 -R 3 && sudo us -mU -Iv :a -r 3000 -R 3

性能警告

请注意，将速率（-r）设置得过高可能会导致网络拥塞，或者触发目标的防火墙/IDS 警报。Unicornscan 非常适合用于初步的信息收集，然后再用 Nmap 对发现的具体端口进行详细探测。

5. 使用 Nmap 进行 TCP SYN 扫描（隐蔽扫描）

这是 Nmap 的默认扫描方式，也是被称为“半开扫描”的技术。它是黑客和专业人士最常用的手段。

命令示例

# -sS: TCP SYN 扫描
# -sV: 探测服务版本信息
# -T4: 加快扫描速度（0-5级，4是常用激进设置）
sudo nmap -sS -sV -T4 

深入解析工作原理

为什么叫“半开”？

• 我们发送一个 SYN 包（表示请求连接）。
• 目标回复 SYN-ACK（表示接受连接）。
• 关键点：我们通常直接发送 RST（复位）包断开连接，而不是发送最后的 ACK。

这样做的好处是，很多传统的日志系统只记录完成了三次握手的连接。由于我们没有完成三次握手，这种扫描通常不会被记录在应用层的日志中，因此具有一定的隐蔽性。同时，它能非常准确地识别端口状态和运行的服务版本。

常见错误与解决方案

• 错误: 需要root权限。如果不加 sudo，Nmap 会回退到 TCP Connect 扫描，效率低且不隐蔽。
• 防火墙干扰: 如果目标防火墙开启了“Stealth”模式，不回复 RST，Nmap 可能会将端口标记为 filtered（被过滤）。

6. 使用 Hping3 进行定制化扫描

Hping3 是一个比 Nmap 更底层的工具，它就像是一个“数据包构造器”。当你需要绕过某些特定的过滤规则，或者进行极度定制化的扫描时，它会派上用场。

命令示例

# -S: 发送 SYN 包
# -p: 指定目标端口（例如 80）
# -c: 发送数量（1个）
# 此命令用于测试特定端口的可达性
sudo hping3 -S -p 80 -c 1 

实战应用

假设标准的 Nmap 扫描被防火墙拦截了，你可以尝试使用 Hping3 伪装成其他数据包（比如 -A 发送 ACK 包，这通常用于探测防火墙状态规则）。通过分析返回的标志位（RST 还是 无响应），我们可以推断出防火墙的具体策略。

7. 使用 Netcat 进行端口扫描

虽然 Netcat (nc) 被称为“网络界的瑞士军刀”，常用于反弹 Shell 或传输文件，但它也可以用来做简单的端口扫描。

命令示例

# -v: 显示详细信息
# -z: 扫描模式（I/O 模式，不发送数据）
# -n: 不进行 DNS 解析（加速扫描）
nc -v -z -n 192.168.1.1 80-443

适用场景

当你在一个受限的环境中，没有安装 Nmap，但系统里有 Netcat 时，这就是你的救命稻草。它非常轻量，适合快速检查单个主机的一系列连续端口是否开放。

8. 服务版本扫描（深入指纹识别）

知道端口开放只是第一步，知道端口后面运行的是什么软件以及版本号才是发现漏洞的关键。OpenSSH 7.2 和 OpenSSH 9.0 的安全性差异巨大。

命令示例

# -sV: 探测服务版本
# --version-intensity 5: 设置探测强度 (0-9)，5是平衡值，9最慢但最准
nmap -sV --version-intensity 5 

工作原理

Nmap 会发送特定的探针数据包到开放端口，根据服务的响应特征与其数据库中的签名进行比对。例如，对 FTP 端口发送特定的乱码，看它如何报错，从而判断出是 Pure-FTPd 还是 vsftpd。

9. 防火墙与 IDS 绕过技巧

在现代网络环境中，直接扫描很容易被 Ban。我们需要学会“低调”。

技巧：Decoy (诱饵) 扫描

# -D: 使用诱饵 IP（ME 表示真实 IP）
# 这会让目标看起来是被多台主机同时扫描
sudo nmap -sS -D RND:10 -T4 

技巧：分片扫描

# -f: 将数据包分片，使得小包能穿透某些防火墙规则
sudo nmap -sS -f 

注意：诱饵扫描需要你有真实的 IP 地址可用（RND 是随机生成，可能不可用）。这是一种高级技术，用于混淆视听。

10. 使用 Masscan 进行互联网级扫描

Masscan 是为了能在 6 分钟内扫描整个互联网而设计的工具。它采用了 Nmap 的命令行参数风格，但底层实现完全不同。

命令示例

# -p: 指定端口范围
# --rate: 指定发包速率（每秒 1000 包）
# 注意：这需要 root 权限，且会占用大量带宽
sudo masscan -p80,8000-8100 10.0.0.0/8 --rate=1000

何时使用？

当你有一个大范围的网段（比如 /16 或 /8）需要快速发现资产时。不要在生产环境的小网段滥用，可能会导致交换机 MAC 地址表溢出或网络瘫痪。

11. 特定端口扫描

如果你只关心数据库端口（如 3306）或 SSH（22），就不要浪费时间扫其他。

# -p: 明确指定端口
nmap -p 22,80,443,3389 

这能让你的行为在日志中看起来更有针对性，像是一个正常的业务请求，而不是全网的踩点。

12. 开放端口扫描

这实际上是 Nmap 的默认行为，但我们可以组合命令。

# 默认不加参数就是 TCP SYN 扫描，查找 open 端口
nmap 

13. 活跃远程主机扫描

除了 Ping，我们还可以利用 IP 协议的 Ping。

# -PO: 使用 IP 协议 Ping
# 这对于允许 IP 协议通过但阻断 ICMP 的防火墙有效
sudo nmap -PO 

14. 操作系统指纹识别

识别目标的操作系统（OS）对于选择正确的 Exploit 至关重要。

# -O: 启用操作系统检测
sudo nmap -O 

原理：利用 TCP/IP 协议栈实现的细微差异。例如，Windows 和 Linux 在处理分片包、窗口大小、初始序列号等方面有不同的“习惯”。Nmap 通过这些特征来猜测 OS。
局限性：防火墙的干扰会使 OS 检测极其不准确（例如显示 INLINECODEd4287be8），通常需要结合 INLINECODEa50c6a3f 使用。

15. 执行详细扫描（综合大检）

这是我们在拿到授权后，对单个目标进行的终极扫描。

命令示例

# -A: 激进模式扫描（包括 OS 识别、版本探测、脚本扫描和 Traceroute）
# -v: 增加详细度
# -T4: 速度控制
sudo nmap -A -v -T4 

实战见解

这条命令是“核武器”。它会调用 Nmap 的脚本引擎 (NSE) 对常见漏洞进行探测，并画出网络拓扑图。警告：它产生的流量非常大，且非常容易被入侵检测系统发现，请仅在确认对目标拥有完全权限或处于隐蔽需求较低的阶段使用。

—

总结与下一步建议

通过这篇文章，我们从基础的网络层存活探测，深入到了应用层的版本识别，甚至涉及了绕过防火墙的高级技巧。这 15 个命令构成了 Kali Linux 下的主机扫描核心技能树。

给你的实战建议：

• 不要一上来就全端口扫描：先用 Netdiscover 或 Nmap 的 Ping 扫描确认目标。
• 遵守法律：绝对不要在未获得明确书面授权的情况下，对生产环境或互联网上的真实目标运行这些扫描命令。这不仅是不道德的，也是违法的。
• 组合使用：先用 Masscan 或 Unicornscan 快速画个圈，再用 Nmap 的 -sV 进行精细打击。
• 理解输出：看到 INLINECODE5b893270 并不代表你可以连接，看到 INLINECODEc49bca0d 也不代表机器不存在，要学会像黑客一样思考网络流量的走向。

网络扫描是持续学习的过程。接下来，建议你在自己的本地实验室（如 Metasploitable 或 OWASP BWA 虚拟机）上搭建靶场，尝试上述每一条命令，观察不同的输出结果，并尝试修改参数以获得最佳效果。祝你探索愉快！