与大多数事情一样 - 这与工具无关，而在于您如何使用它。

以 nmap 为例。

工具或脚本小子的初学者可能会使用默认选项运行扫描。

地图 192.168.1.0/24

在不指定任何附加标志的情况下，nmap 的默认行为是执行同步扫描，因此上述查询将等于。

nmap -sS 192.168.1.0/24

同步扫描相当隐蔽。然而，大多数现代防火墙/IDS 应该能够检测同步数据包，因为它是一种非常常见的扫描技术。

稍微好一点但仍然缺乏经验的用户可能会使用 nmap 执行更噪声的扫描。

nmap -sV 192.168.1.0/24

nmap -A 192.168.1.0/24

使用这两个扫描标志触发的 nmap 扫描非常嘈杂。除了发送各种数据包类型和获取横幅信息外，nmap 还将使用 nmap 脚本引擎执行其他任务，例如在适用的情况下对 SNMP 社区字符串进行暴力破解。这样的扫描很容易被检测到。

更有经验的用户可以通过指定某些标志来执行更隐蔽的扫描类型。nmap 是一个非常强大的工具，因为它允许您在 TCP 数据包中设置不同的标志来规避防火墙规则。ACK 和 FIN 是规避防火墙的两种非常常用的技术。

其他高级技术（如空闲扫描）也可以使用 nmap 执行。它是一种非常通用的网络扫描仪，在高级用户手中可以非常安静。

一些技巧

除非需要，否则不要对整个子网执行同步扫描或版本扫描。它缓慢而嘈杂。相反，使用 ping 扫描选项来找出子网上哪些主机处于活动状态。

nmap -sn 192.168.1.0/24

此选项将返回子网中活动主机 IP 和 MAC 地址的列表。

获得活动主机列表后，有选择地扫描您认为有趣的主机。例如，IP 地址 192.168.1.1 对我来说似乎很有趣，我可能想了解更多。执行同步扫描。

nmap -sS 192.168.1.1

默认情况下，nmap 根据作者整理的列表扫描最流行的上千个左右的端口。这对于大多数用途来说已经足够了。但是，在某些情况下，您可能需要指定特定端口。您可以使用 -p 标志来做到这一点。

nmap -sS -p 80 192.168.1.0/24

此扫描会将同步数据包发送到整个子网，搜索开放端口 80 的活动 IP 地址。这是确定哪个主机可能具有活动 HTTP 服务器的有用扫描。

nmap -sV 192.168.1.1

-sV 标志指定版本扫描选项。此选项指示 nmap 向主机发送各种数据包并扫描返回的数据包的标头以检查主机正在运行的服务的确切版本。

这是一个非常强大但嘈杂的版本。谨慎使用。

nmap -A 192.168.1.1

-A 标志指示 nmap 使用积极扫描。这是版本扫描的一个步骤，并利用了 nmap 脚本引擎。这很吵。

nmap 是一个非常强大的工具。如果你想了解更多，我强烈建议你拿起作者写的书。

实际上，我想说避免被 IDS 检测到的最好方法是根本不使用扫描仪。大多数扫描工具都有 IDS 可以识别的签名，因此可以合并到它们的规则库中。有些（如 nmap）可以选择减慢扫描速度或以更随机的方式扫描以尝试避免检测，但 IDS 是否跳闸取决于它的配置方式。

我希望绕过 IDS 有两种类型的流量。

1. 合法流量 - 例如连接到 Web 服务器上的端口 80/443。如果您正在查看外部网络，那么尝试手动连接到 Web 端口上的系统不太可能触发 IDS，除非您尝试非常快速地完成此操作。
2. 明显的垃圾流量——同样在外部网络上，为了避免被误报淹没，IDS 可能会被调整为丢弃特定的扫描类型（例如对端口 445/TCP 的扫描）。虽然这些不太可能成功，但您可以使用对该端口的扫描来尝试在某个范围内建立活动主机，并且您可能会绕过 IDS，因为它将被视为每个系统上的常规扫描之一互联网得到..

她可以使用标准的非侵入式扫描仪，例如 Nmap。应该将其调整为足够慢以不触发警报的方式。收集到的信息是：

• 活动主机
• 操作系统版本
• 运行服务（端口）
• 这些服务的横幅/版本

此外，您可以执行非侵入式 Nessus 扫描，它不会尝试运行漏洞利用或身份验证，而只是 ping、连接到端口并检查横幅。关键要素：

• 扫描慢，可能来自多个 ip 号码
• 不要尝试登录，而只是阅读横幅

在最简单的情况下，是发现它们的子网，然后通过浏览器访问每个主机。它效率高，几乎没有引起警报。

您可以将 nmap 与tortunnel和 proxychains 一起使用。但是通过tor扫描非常非常慢。

请记住创建一个规则，从您的真实 IP 中丢弃数据包，这样您的真实 IP 地址就不会被泄露。

（如果你在 linux iptables -A OUTPUT --dest "target" -j DROP）