-sL(List Scan)
Listahaku on isäntähaun degeneroitunut muoto, jossa yksinkertaisesti luetellaan kaikki määritetyn verkon (määriteltyjen verkkojen) isännät lähettämättä mitään paketteja kohdeisännille. Oletusarvoisesti Nmap tekee edelleen käänteisen DNS-resoluution isännille oppiakseen niiden nimet. On usein yllättävää, kuinka paljon hyödyllistä tietoa pelkät isäntänimet antavat. Esimerkiksi fw.chi on erään yrityksen Chicagon palomuurin nimi. Nmap ilmoittaa lopussa myös IP-osoitteiden kokonaismäärän. Luetteloskannaus on hyvä terveystarkastus, jolla voidaan varmistaa, että kohteilla on oikeat IP-osoitteet. Jos isännät urheilevat verkkotunnuksia, joita et tunnista, kannattaa tutkia asiaa tarkemmin, jotta vältytään väärän yrityksen verkon skannaamiselta.
Koska ideana on vain tulostaa luettelo kohde-isännistä, tähän ei voi yhdistää korkeamman tason toimintoja, kuten porttiskannausta, käyttöjärjestelmän havaitsemista tai isäntäkohteiden löytämistä, koskevia vaihtoehtoja. Jos haluat poistaa isännän löytämisen käytöstä ja silti suorittaa tällaisia korkeamman tason toimintoja, tutustu -Pn (skip host discovery) -vaihtoehtoon.
-sn(No port scan)
Tämä vaihtoehto käskee Nmapia olemaan tekemättä porttiskannausta isännän löytämisen jälkeen ja tulostamaan vain käytettävissä olevat isännät, jotka vastasivat isännän löytämisen luotaimiin. Tämä tunnetaan usein nimellä ”ping-skannaus”, mutta voit myös pyytää, että traceroute- ja NSE-isäntäskriptit suoritetaan. Tämä on oletusarvoisesti askeleen tunkeilevampi kuin listatarkistus, ja sitä voidaan usein käyttää samoihin tarkoituksiin. Se mahdollistaa kohdeverkon kevyen tiedustelun herättämättä suurta huomiota. Tieto siitä, kuinka monta isäntäkohtaa on toiminnassa, on hyökkääjille arvokkaampi kuin lista, jonka listatarkistus tarjoaa jokaisesta yksittäisestä IP-osoitteesta ja isäntäkohteen nimestä.
Järjestelmien ylläpitäjät pitävät usein myös tätä vaihtoehtoa arvokkaana. Sitä voidaan helposti käyttää laskemaan verkon käytettävissä olevia koneita tai seuraamaan palvelinten saatavuutta. Tätä kutsutaan usein ping-pyyhkäisyksi, ja se on luotettavampi kuin broadcast-osoitteen pingaaminen, koska monet isännät eivät vastaa broadcast-kyselyihin.
-sn:lla tehty oletusarvoinen isäntähavainto koostuu oletusarvoisesti ICMP-echo-pyynnöstä, TCP SYN:stä porttiin 443, TCP ACK:sta porttiin 80 ja ICMP-aikaleimapyynnöstä. Kun sen suorittaa etuoikeudeton käyttäjä, vain SYN-paketit lähetetään (käyttämällä connect-kutsua) kohteen portteihin 80 ja 443. Kun etuoikeutettu käyttäjä yrittää skannata kohteita paikallisessa ethernet-verkossa, käytetään ARP-pyyntöjä, ellei --send-ip ole määritetty. -sn-vaihtoehto voidaan yhdistää mihin tahansa löytöluotaustyyppiin (-P*-vaihtoehdot) joustavuuden lisäämiseksi. Jos käytetään mitä tahansa näistä etsintätyyppi- ja porttinumerovaihtoehdoista, oletusluotaimet ohitetaan. Kun Nmapia käyttävän lähdeisännän ja kohdeverkon välillä on tiukat palomuurit, näiden kehittyneiden tekniikoiden käyttö on suositeltavaa. Muuten isännät saattavat jäädä huomaamatta, kun palomuuri hylkää luotaimet tai niiden vastaukset.
Nmapin aiemmissa versioissa -sn tunnettiin nimellä -sP.
-Pn(Ei pingiä)
Tällä vaihtoehdolla ohitetaan isännän löytämisvaihe kokonaan. Normaalisti Nmap käyttää tätä vaihetta aktiivisten koneiden määrittämiseen raskaampaa skannausta varten ja verkon nopeuden mittaamiseen. Oletusarvoisesti Nmap suorittaa vain raskaita luotauksia, kuten porttiskannauksia, versiohavainnointia tai käyttöjärjestelmän havaitsemista, isännille, joiden havaitaan olevan toiminnassa. Isäntien löytämisen poistaminen käytöstä -Pn:llä saa Nmapin yrittämään pyydettyjä skannaustoimintoja jokaista määritettyä kohde-IP-osoitetta vastaan. Jos siis komentorivillä määritetään /16-kokoinen verkko, kaikki 65 536 IP-osoitetta skannataan. Oikea isännän löytäminen jätetään väliin kuten luetteloskannauksessa, mutta sen sijaan, että Nmap pysähtyisi ja tulostaisi kohdeluettelon, se jatkaa pyydettyjen toimintojen suorittamista ikään kuin jokainen kohde-IP-osoite olisi aktiivinen. Käytetään oletusarvoisia ajoitusparametreja, mikä voi johtaa hitaampaan skannaukseen. Jos haluat jättää isäntien löytämisen ja porttiskannauksen väliin ja sallia kuitenkin NSE:n suorittamisen, käytä kahta vaihtoehtoa -Pn -sn yhdessä.
Paikallisessa ethernet-verkossa oleville koneille suoritetaan silti ARP-skannaus (ellei --disable-arp-ping tai --send-ip ole määritetty), koska Nmap tarvitsee MAC-osoitteita, jotta se voi edelleen skannata kohdeisäntiä. Nmapin aiemmissa versioissa -Pn oli -P0 ja -PN.
-PS (TCP SYN Ping)<port list>
Tällä vaihtoehdolla lähetetään tyhjä TCP-paketti, jonka SYN-lippu on asetettu. Oletuskohdeportti on 80 (konfiguroitavissa kääntämisen yhteydessä muuttamalla DEFAULT_TCP_PROBE_PORT_SPEC kohdassa nmap.h). Vaihtoehtoiset portit voidaan määrittää parametrina. Syntaksi on sama kuin -p:llä, paitsi että porttityyppimääritteet kuten T: eivät ole sallittuja. Esimerkkejä ovat -PS22 ja -PS22-25,80,113,1050,35000. Huomaa, että -PS:n ja porttiluettelon välissä ei saa olla välilyöntiä. Jos useita koettimia määritetään, ne lähetetään rinnakkain.
SYN-lippu antaa etäjärjestelmälle ymmärtää, että yrität muodostaa yhteyden. Tavallisesti kohdeportti suljetaan ja takaisin lähetetään RST-paketti (reset). Jos portti sattuu olemaan auki, kohde ottaa TCP:n kolmisuuntaisen kättelyn toisen vaiheen vastaamalla SYN/ACK TCP-paketilla. Tämän jälkeen Nmapia käyttävä kone katkaisee syntymässä olevan yhteyden vastaamalla RST-paketilla sen sijaan, että se lähettäisi ACK-paketin, joka viimeistelisi kolmisuuntaisen kättelyn ja muodostaisi täydellisen yhteyden. RST-paketin lähettää Nmapia käyttävän koneen ydin vastauksena odottamattomaan SYN/ACK-pakettiin, ei Nmap itse.
Nmap ei välitä, onko portti auki vai kiinni. Joko aiemmin käsitelty RST- tai SYN/ACK-vastaus kertoo Nmapille, että isäntä on käytettävissä ja reagoi.
Unix-laitteissa vain etuoikeutettu käyttäjä root voi yleensä lähettää ja vastaanottaa raakoja TCP-paketteja. Etuoikeudettomille käyttäjille käytetään automaattisesti kiertotapaa, jossa connect-järjestelmäkutsu käynnistetään jokaista kohdeporttia vastaan. Tämän seurauksena kohdeisäntään lähetetään SYN-paketti, jolla yritetään muodostaa yhteys. Jos connect palauttaa nopean onnistumisen tai ECONNREFUSED-virheen, taustalla olevan TCP-pinon on täytynyt vastaanottaa SYN/ACK tai RST ja isäntä on merkitty käytettävissä olevaksi. Jos yhteysyritys jää odottamaan aikakatkaisun saavuttamista, isäntä merkitään alhaalla olevaksi.
-PA (TCP ACK-ping)<port list>
TCP ACK-ping on melko samanlainen kuin juuri käsitelty SYN-ping. Erona on, kuten todennäköisesti voitte arvata, se, että TCP ACK -lippu asetetaan SYN-lipun sijasta. Tällainen ACK-paketti väittää kuittaavansa dataa muodostetun TCP-yhteyden kautta, mutta tällaista yhteyttä ei ole olemassa. Etäisten isäntien pitäisi siis aina vastata RST-paketilla ja paljastaa samalla olemassaolonsa.
Vaihtoehto -PA käyttää samaa oletusporttia kuin SYN-luotain (80), ja se voi myös ottaa vastaan luettelon kohdeporteista samassa muodossa. Jos etuoikeudeton käyttäjä yrittää tätä, käytetään aiemmin käsiteltyä connect-torjuntakeinoa. Tämä kiertotie on epätäydellinen, koska connect lähettää itse asiassa SYN-paketin eikä ACK:ta.
Syy siihen, että tarjotaan sekä SYN- että ACK-ping-luotainten tarjoamista, on maksimoida palomuurien ohitusmahdollisuudet. Monet ylläpitäjät konfiguroivat reitittimet ja muut yksinkertaiset palomuurit estämään saapuvat SYN-paketit lukuun ottamatta niitä, jotka on tarkoitettu julkisiin palveluihin, kuten yrityksen verkkosivuille tai sähköpostipalvelimelle. Näin estetään muut organisaatioon saapuvat yhteydet, mutta käyttäjät voivat muodostaa esteettömiä lähteviä yhteyksiä Internetiin. Tämä ei-stateful-lähestymistapa vie palomuurilta/reitittimeltä vain vähän resursseja, ja laitteisto- ja ohjelmistosuodattimet tukevat sitä laajalti. Linuxin Netfilter/iptables-palomuuriohjelmisto tarjoaa --syn-vaihtoehdon tämän tilattoman lähestymistavan toteuttamiseksi. Kun tämän kaltaiset tilattomat palomuurisäännöt ovat käytössä, SYN-ping-luotainten (-PS) lähettäminen suljettuihin kohdeportteihin todennäköisesti estetään. Tällaisissa tapauksissa ACK-luotain loistaa, koska se leikkaa suoraan näiden sääntöjen läpi.
Toinen yleinen palomuurityyppi käyttää tilallisia sääntöjä, jotka pudottavat odottamattomia paketteja. Tämä ominaisuus löytyi aluksi lähinnä huippuluokan palomuureista, vaikka se onkin yleistynyt vuosien mittaan. Linuxin Netfilter/iptables-järjestelmä tukee tätä --state-optiolla, joka luokittelee paketit yhteyden tilan perusteella. SYN-luotain toimii todennäköisemmin tällaista järjestelmää vastaan, sillä odottamattomat ACK-paketit tunnistetaan yleensä vääriksi ja hylätään. Ratkaisu tähän pulmaan on lähettää sekä SYN- että ACK-luotaimia määrittämällä -PS ja -PA.
-PU (UDP-ping)<port list>
Toinen isäntäkohteen löytämisvaihtoehto on UDP-ping, joka lähettää UDP-paketin annettuihin portteihin. Useimmissa porteissa paketti on tyhjä, mutta joissakin käytetään protokollakohtaista hyötykuormaa, joka todennäköisemmin saa vastauksen.Katso kohta ”UDP:n hyötykuormat: nmap-payloads”, jossa on kuvaus hyötykuormien tietokannasta.Paketin sisältöön voidaan vaikuttaa myös vaihtoehdoilla --data,--data-string ja --data-length.
Porttiluettelo on samassa muodossa kuin aiemmin käsitellyt vaihtoehdot -PS ja -PA. Jos portteja ei määritetä, oletusarvo on 40125. Tämä oletusarvo voidaan määrittää kääntämisaikana muuttamalla DEFAULT_UDP_PROBE_PORT_SPEC kohdassa nmap.h. Oletusarvoisesti käytetään hyvin harvinaista porttia, koska lähettäminen avoimiin portteihin ei useinkaan ole toivottavaa tässä nimenomaisessa skannaustyypissä.
Kohdekoneen suljettuun porttiin osuessaan UDP-luotaimen pitäisi saada vastineeksi ICMP-portin tavoittamaton paketti. Tämä merkitsee Nmapille, että kone on toiminnassa ja käytettävissä. Monet muut ICMP-virhetyypit, kuten host/network unreachables tai TTL exceeded, viittaavat siihen, että isäntä on alhaalla tai tavoittamattomissa. Myös vastauksen puuttuminen tulkitaan näin. Jos saavutetaan avoin portti, useimmat palvelut yksinkertaisesti jättävät tyhjän paketin huomiotta eivätkä palauta mitään vastausta. Tämän vuoksi oletusarvoisesti testiportti on 40125, joka on erittäin epätodennäköisesti käytössä. Muutamat palvelut, kuten Character Generator (chargen) -protokolla, vastaavat tyhjään UDP-pakettiin ja paljastavat siten Nmapille, että kone on käytettävissä.
Tämän skannaustyypin ensisijainen etu on, että se ohittaa palomuurit ja suodattimet, jotka seulovat vain TCP:tä. Omistin esimerkiksi kerran Linksys BEFW11S4 -langattoman laajakaistareitittimen. Tämän laitteen ulkoinen käyttöliittymä suodatti oletusarvoisesti kaikki TCP-portit, mutta UDP-luotaukset saisivat silti aikaan porttien tavoittamattomat viestit ja siten paljastaisivat laitteen.
-PY (SCTP INIT Ping)<port list>
Tämä vaihtoehto lähettää SCTP-paketin, joka sisältää minimaalisen INIT-kappaleen. Oletuskohdeportti on 80 (konfiguroitavissa kääntämisen yhteydessä muuttamalla DEFAULT_SCTP_PROBE_PORT_SPEC kohdassa nmap.h). Vaihtoehtoiset portit voidaan määrittää parametrina. Syntaksi on sama kuin -p:llä, paitsi että porttityyppimääritteet kuten S: eivät ole sallittuja. Esimerkkejä ovat -PY22 ja -PY22,80,179,5060. Huomaa, että -PY:n ja porttiluettelon välissä ei saa olla välilyöntiä. Jos useita koettimia määritetään, ne lähetetään rinnakkain.
INIT-kappale antaa etäjärjestelmälle ymmärtää, että yrität luoda yhteyttä. Tavallisesti kohdeportti suljetaan, ja takaisin lähetetään ABORT-kappale. Jos portti sattuu olemaan auki, kohde ottaa SCTP:n nelisuuntaisen kättelyn toisen vaiheen vastaamalla INIT-ACK-kappaleella. Jos Nmapia käyttävällä koneella on toimiva SCTP-pino, se katkaisee syntymässä olevan yhteyden vastaamalla ABORT-komennolla sen sijaan, että se lähettäisi COOKIE-ECHO-komennon, joka olisi seuraava askel nelisuuntaisessa kättelyssä. ABORT-paketin lähettää Nmapia käyttävän koneen ydin vastauksena odottamattomaan INIT-ACK-pakettiin, ei Nmap itse.
Nmap ei välitä, onko portti auki vai kiinni. Joko aiemmin käsitelty ABORT- tai INIT-ACK-vastaus kertoo Nmapille, että isäntä on käytettävissä ja reagoi.
Unix-laitteissa vain etuoikeutettu käyttäjä root voi yleensä lähettää ja vastaanottaa raakoja SCTP-paketteja. SCTP INIT Pingsin käyttäminen ei ole tällä hetkellä mahdollista etuoikeudettomille käyttäjille.
-PE;-PP;-PM(ICMP-ping-tyypit)
Aiemmin käsiteltyjen epätavallisten TCP-, UDP- ja SCTP-isäntähavaintotyyppien lisäksi Nmap pystyy lähettämään tavallisia paketteja, joita lähettää kaikkialla läsnä oleva ping-ohjelma. Nmap lähettää ICMP-tyypin 8 (echo request) paketin kohde-IP-osoitteisiin odottaen vastauksena käytettävissä olevilta isänniltä tyypin 0 (echo reply) pakettia. Verkkotutkijoiden valitettavasti monet isännät ja palomuurit estävät nykyään nämä paketit sen sijaan, että ne vastaisivat RFC 1122:n edellyttämällä tavalla. Tästä syystä pelkät ICMP-tarkistukset ovat harvoin riittävän luotettavia tuntemattomia kohteita vastaan Internetissä. Sisäverkkoa valvoville järjestelmänvalvojille ne voivat kuitenkin olla käytännöllinen ja tehokas lähestymistapa. Käytä -PE-vaihtoehtoa ottaaksesi tämän echo request -käyttäytymisen käyttöön.
Vaikka echo request on tavallinen ICMP-ping-kysely, Nmap ei lopeta siihen. ICMP-standardit (RFC 792 ja RFC 950 ) määrittelevät myös aikaleimapyyntö-, tietopyyntö- ja osoitemaskipyyntöpaketit koodeiksi 13, 15 ja 17. Vaikka näiden kyselyjen näennäisenä tarkoituksena on saada tietoa, kuten osoitemaskit ja nykyiset kellonajat, niitä voidaan helposti käyttää myös isäntien löytämiseen. Järjestelmä, joka vastaa, on toiminnassa ja käytettävissä. Nmap ei tällä hetkellä toteuta tietopyyntöpaketteja, koska niitä ei tueta laajasti. RFC 1122 vaatii, että ”isännän EI SAA toteuttaa näitä viestejä”. Aikaleima- ja osoitemaskikyselyt voidaan lähettää optioilla -PP ja -PM. Timestamp-vastaus (ICMP-koodi 14) tai address mask -vastaus (koodi 18) paljastaa, että isäntä on käytettävissä. Nämä kaksi kyselyä voivat olla arvokkaita silloin, kun ylläpitäjät estävät nimenomaan echo request -paketteja unohtaen, että muitakin ICMP-kyselyjä voidaan käyttää samaan tarkoitukseen.
-PO (IP-protokolla-ping)<protocol list>
Yksi uudemmista isännän löytämisvaihtoehdoista on IP-protokolla-ping, joka lähettää IP-paketteja, joiden IP-otsikkoon on asetettu määritetty protokollanumero. Protokollaluettelo on samassa muodossa kuin porttiluettelot aiemmin käsitellyissä TCP-, UDP- ja SCTP-isäntähavaintovaihtoehdoissa. Jos mitään protokollaa ei määritetä, oletusarvoisesti lähetetään useita IP-paketteja ICMP:lle (protokolla 1), IGMP:lle (protokolla 2) ja IP-in-IP:lle (protokolla 4). Oletusprotokollat voidaan määrittää kääntämisen yhteydessä muuttamalla DEFAULT_PROTO_PROBE_PORT_SPEC kohdassa nmap.h. Huomaa, että ICMP:n, IGMP:n, TCP:n (protokolla 6), UDP:n (protokolla 17) ja SCTP:n (protokolla 132) osalta paketit lähetetään oikeilla protokollaotsakkeilla, kun taas muut protokollat lähetetään ilman lisätietoa IP-otsakkeen lisäksi (ellei jotain --data, --data-string tai --data-length -vaihtoehdoista ole määritetty).
Tämä isäntäkohteen etsintämenetelmä etsii joko vastauksia, jotka käyttävät samaa protokollaa kuin luotain, tai ICMP-protokollaan perustuvia ei-tiedonantoja (ICMP Protocol Unreal) viestejä, jotka merkitsevät sitä, että kyseistä protokollaa ei tueta kohdehostissa. Kumpikin vastaustyyppi merkitsee, että kohdeisäntä on elossa.
--disable-arp-ping(Ei ARP- tai ND-pingiä)
Nmap tekee normaalisti ARP- tai IPv6 Neighbor Discovery (ND) -löytämisen paikallisesti kytketyille ethernet-isännille, vaikka käytettäisiin muita isännänlöytämisvaihtoehtoja, kuten -Pn tai -PE. Jos haluat poistaa tämän epäsuoran käyttäytymisen käytöstä, käytä --disable-arp-ping-vaihtoehtoa.
Vakiokäyttäytyminen on yleensä nopeampaa, mutta tämä vaihtoehto on hyödyllinen verkoissa, joissa käytetään proxy-ARP:tä, jossa reititin vastaa spekulatiivisesti kaikkiin ARP-pyyntöihin ja saa jokaisen kohteen näyttämään olevan toiminnassa ARP-skannauksen mukaan.
--discovery-ignore-rst
Jossain tapauksissa palomuurit saattavat väärentää TCP:n reset-vastauksia (RST) vastauksena koettimiin, jotka kohdistuvat miehittämättömiin tai kiellettyihin osoitteisiin. Koska Nmap pitää RST-vastauksia tavallisesti todisteena siitä, että kohde on toiminnassa, tämä voi johtaa hukkaan heitettyyn aikaan skannatessaan kohteita, joita ei ole olemassa. Käyttämällä --discovery-ignore-rst estetään Nmapia huomioimasta näitä vastauksia isännän löytämisen aikana. Sinun on ehkä valittava ylimääräisiä isäntähavaintovaihtoehtoja varmistaaksesi, ettet missaa kohteita tässä tapauksessa.
--traceroute(Trace path to host)
Traceroute suoritetaan skannauksen jälkeen käyttämällä skannaustuloksista saatuja tietoja kohteen todennäköisimmin tavoittavan portin ja protokollan määrittämiseksi. Se toimii kaikkien skannaustyyppien kanssa lukuun ottamatta connect-skannauksia (-sT) ja idle-skannauksia (-sI). Kaikki jäljitykset käyttävät Nmapin dynaamista ajoitusmallia, ja ne suoritetaan rinnakkain.
Traceroute toimii lähettämällä paketteja, joilla on alhainen TTL (time-to-live), yrittäen saada ICMP Time Exceeded -viestejä skannerin ja kohdeisäntäkoneen välissä olevilta väliportailta. Tavalliset traceroute-toteutukset alkavat TTL:llä 1 ja kasvattavat TTL:ää, kunnes kohdeisäntä on saavutettu. Nmapin traceroute alkaa suurella TTL:llä ja pienentää TTL:ää, kunnes se on nolla. Takaperin tekeminen antaa Nmapille mahdollisuuden käyttää älykkäitä välimuistialgoritmeja nopeuttaakseen jäljitystä useiden isäntien yli. Nmap lähettää keskimäärin 5-10 pakettia vähemmän per isäntä, riippuen verkko-olosuhteista. Jos skannataan yhtä aliverkkoa (esim. 192.168.0.0/24), Nmapin tarvitsee ehkä lähettää vain kaksi pakettia useimmille isännille.
-n(No DNS resolution)
Määrittää Nmapille, ettei se koskaan tee käänteistä DNS-ratkaisua löytämilleen aktiivisille IP-osoitteille. Koska DNS voi olla hidas jopa Nmapin sisäänrakennetulla rinnakkaisella stub-resolverilla, tämä vaihtoehto voi lyhentää skannausaikoja.
-R(DNS-resoluutio kaikille kohteille)
Käskee Nmapia tekemään aina käänteisen DNS-resoluution kohteen IP-osoitteille. Normaalisti käänteinen DNS suoritetaan vain reagoiville (verkossa oleville) isännille.
--resolve-all(Skannaa jokainen ratkaistu osoite)
Jos isäntänimen kohde ratkaisee useampaan kuin yhteen osoitteeseen, skannaa ne kaikki. Oletuskäyttäytyminen on skannata vain ensimmäinen ratkaistu osoite. Siitä huolimatta vain asianmukaiseen osoiteperheeseen kuuluvat osoitteet skannataan: IPv4 oletusarvoisesti, IPv6 -6:llä.
--system-dns(Käytä järjestelmän DNS-resolveria)
Oletusarvoisesti Nmap ratkaisee IP-osoitteet käänteisesti lähettämällä kyselyitä suoraan isäntäasemalle määritetyille nimipalvelimille ja kuuntelemalla vastauksia. Monet pyynnöt (usein kymmeniä) suoritetaan rinnakkain suorituskyvyn parantamiseksi. Määritä tämä vaihtoehto käyttääksesi sen sijaan järjestelmän resolveria (yksi IP-osoite kerrallaan getnameinfo-kutsun kautta). Tämä on hitaampi ja harvoin käyttökelpoinen, ellet löydä vikaa Nmapin rinnakkaisresolverista (kerro meille, jos löydät). Järjestelmän resolveria käytetään aina eteenpäinhakuun (IP-osoitteen saaminen isäntänimestä).
--dns-servers (Käänteisiin DNS-kyselyihin käytettävät palvelimet)<server1>]
Oletusarvoisesti Nmap määrittää DNS-palvelimet (rDNS-resolveria varten) resolv.conf-tiedostosta (Unix) tai rekisteristä (Win32). Vaihtoehtoisesti voit käyttää tätä vaihtoehtoa vaihtoehtoisten palvelimien määrittämiseen. Tätä vaihtoehtoa ei hyväksytä, jos käytät --system-dns. Useiden DNS-palvelimien käyttäminen on usein nopeampaa, varsinkin jos valitset arvovaltaiset palvelimet kohde-IP-alueellesi. Tämä vaihtoehto voi myös parantaa huomaamattomuutta, sillä pyynnöt voivat kimpoilla miltei mistä tahansa Internetin rekursiivisesta DNS-palvelimesta.
Tämä vaihtoehto on kätevä myös skannattaessa yksityisiä verkkoja. Joskus vain muutamat nimipalvelimet tarjoavat kunnollisia rDNS-tietoja, etkä ehkä edes tiedä, missä ne ovat. Voit skannata verkon portin 53 (ehkä versiotunnistuksella) ja kokeilla sitten Nmap-luetteloskannausta (-sL) määrittelemällä jokaisen nimipalvelimen yksi kerrallaan --dns-servers:llä, kunnes löydät yhden, joka toimii.
Tätä vaihtoehtoa ei ehkä noudateta, jos DNS-vastaus ylittää UDP-paketin koon. Tällaisessa tilanteessa DNS-resolverimme tekee parhaansa saadakseen vastauksen lyhennetystä paketista, ja jos se ei onnistu, se palaa käyttämään järjestelmän resolveria. Myös vastaukset, jotka sisältävät CNAME-peitenimiä, palaavat takaisin järjestelmän resolveriin.