Tweet
O Nmap fornece, de uma maneira geral, a relação de computadores e serviços ativos, Existem diversas formas e parâmetros a serem informados durante uma “varredura”
Métodos de Varredura
-sP - ping scan: Algumas vezes é necessário saber se um determinado host ou rede esta no ar. Nmap pode enviar pacotes ICMP “echo request” para verificar se um determinado host ou rede esta ativo, existem muitos filtros que rejeitam os pacotes ICMP “echo request”, então envia um pacote TCP ACK pra porta 80 (default)
e caso receba RST o alvo esta ativo, a 3ª técnica é enviar um pacote SYN e espera um RST ou SYN-ACK.
-sR - RCP scan: esse método trabalha em conjunto com varias técnicas do Nmap, ele considera todas as portas tcp e udp abertas e envia comandos NULL SunRPC, pra determinar se realmente são portas RPC, é como se o comando “rpcinfo -p” tivesse sendo utilizado msn através de um firewall (ou protegido por TCPwrapperd)
-sS - TCP SYN scan: técnica q não abre uma conexão tcp completa, é enviado um pacote SYN como se ele fosse uma conexão real e aguarda uma resposta, caso um pacote SYN-ACK seja recebido, a porta esta aberta, enquanto um como resposta indica q a porta esta fechada, a vantagem dessa abordagem é q poucos vão detectar esse scan de portas
-sT - TCP connect() scan: é uma técnica mais básica de tcp scan, é utilizada a chamada de sistema (system call) connect(), é um dos scan mais rapidos só q é facil de ser detectado
-sU - UDP scan: esse método é utilizado pra determinar qual porta udp esta aberta em um host, a técnica envia um pacote udp de 0 bytes(acho q é isso) pra cada porta do host, se for recebido uma mensagem ICMP “port unreachable” então ta fechada senão a porta pode estar aberta
-sV - Version detection: apos as portas tcp ou udp serem descobertas por algum método o Nmap vai determinar qual o serviço ta rodando atualmente o arquivo nmap-service-probes é utilizado pra determinar tipos de protocolos nome da aplicação número da versão e outros detalhes
-D - durante um scan utiliza uma serie de endereços falsificados simulando o scannig tenha vindo desses vários hosts, sendo praticamente impossível de identificar a verdadeira origem da varredura
Ex: Nmap -D ip1, ip2, ip3, seu_ip, ip4 xxx.xxx.xxx.xxx(alvo)
-F
procura pelas portas que estão no /etc/services, método mais rápido, mas aconselho não procurar por todas as portas
Ex: Nmap -F xxx.xxx.xxx.xxx
-I
se o host estiver utilizando o ident é possível identificar o dono dos serviços q estão sendo executados no servidor, usada também com a opção -sT
Ex: Nmap -sT -I xxx.xxx.xxx.xxx
-n
não vai resolver nome de hosts a ser scanneado
Ex: Nmap -n xxx.xxx.xxx.xxx
-O
ativa a identificação do host remoto via tcp/ip, ira apresentar versão do S.O. e tempo ativo.
Ex: Nmap -O xxx.xxx.xxx.xxx
-p especifica quais portas devem ser verificadas na varredura, por default todas as portas entre 1 e 1024 são scanneadas
Ex: Nmap -p 22,80 xxx.xxx.xxx.xxx
ou
Nmap -p U:53,111,137,T:21-25,80,139,8080
-P0
não tenta pingar o host antes de iniciar o scan, isso aí permite o scannear alvos q bloqueiam ICMP “echo request (ou response)” através de firewall
-PS[lista de portas]
usa pacotes SYN pra determinar se o host esta ativo
Ex: Nmap -PS80 xxx.xxx.xxx.xxx
-PT[lista de portas]
igual o de cima só q com pacotes tcp “ping”
Ex: Nmap -PT80 xxx.xxx.xxx.xxx
-R
vai retornar o nome do host a ser scanneado
Ex: Nmap -R xxx.xxx.xxx.xxx
-r
scaneia portas sem ordem crescente ou decrescente, randomicamente.
-T
essa opção seta a prioridade de scannig do Nmap:
* paranoid (-T5) é muito lento na esperança de prevenir a detecção pelo sistema IDS
* Sneaky (-T4) [/i] é igual ao paranoid, só q espera 15 segundos entre o envio de pacotes contra os 5 minutos do paranoid.
* polite (-T3) tem significado para facilitar a carga na rede e reduzir as chances de um pau na maquina, ele serializa os testes e espera uns 0.8 segundos entre eles
* normal (-T2) é o comportamento default do Nmap, o qual tenta executar tão rápido quanto possível sem sobrecarregar a rede ou perder host/portas
* aggressive (-T1) esse modo adiciona um timeout de 5 min, por host e nunca espera mais de 1 segundo e meio pra testar as respostas
* insane (-T0) é somente adequando pra redes muito rápidas ou onde você não importa em perder algumas informações, nessa opção o timeout dos hosts acontecem em uns 75 a 80 segundos (não sei) e espera menos de 1 segundo por teste individual
-ttl
altera o valor do TTL (time to live) dessa forma dificulta um pouco a origem do pacote
Ex: Nmap -ttl 55 alvo
-v
mostra tudo o q esta se passando
Ex: Nmap -v alvo
–scanflags
com essa opção você pode especificar flags arbitrarias usando nomes de flags ou números, no exemplo a seguir vou usar uma varredura SYN-FIN
Nmap -sS –scanflags SYNFIN -O xxx.xxx.xxx.xxx
Alguns exemplos
1* Nmap - v xxx.xxx.xxx.xxx
isso faz o scan de todas as portas tcp reservadas
2* Nmap -sS -O xxx.xxx.xxx.xxx/24
faz um scan tcp syn contra cada pc q esta na ativa, abrangendo todos os pcs 255 de classe C de onde o host alvo faz parte, e também retorna o SO de cada host
3* Nmap -sX =p 22.53.110.143 xxx.xxx.xxx.xxx
faz um scan Xmas Tree pro alvo,e também scaneia somente os serviços se sshd, dns, pop3d e imapd.
Métodos de Varredura
-sP - ping scan: Algumas vezes é necessário saber se um determinado host ou rede esta no ar. Nmap pode enviar pacotes ICMP “echo request” para verificar se um determinado host ou rede esta ativo, existem muitos filtros que rejeitam os pacotes ICMP “echo request”, então envia um pacote TCP ACK pra porta 80 (default)
e caso receba RST o alvo esta ativo, a 3ª técnica é enviar um pacote SYN e espera um RST ou SYN-ACK.
-sR - RCP scan: esse método trabalha em conjunto com varias técnicas do Nmap, ele considera todas as portas tcp e udp abertas e envia comandos NULL SunRPC, pra determinar se realmente são portas RPC, é como se o comando “rpcinfo -p” tivesse sendo utilizado msn através de um firewall (ou protegido por TCPwrapperd)
-sS - TCP SYN scan: técnica q não abre uma conexão tcp completa, é enviado um pacote SYN como se ele fosse uma conexão real e aguarda uma resposta, caso um pacote SYN-ACK seja recebido, a porta esta aberta, enquanto um como resposta indica q a porta esta fechada, a vantagem dessa abordagem é q poucos vão detectar esse scan de portas
-sT - TCP connect() scan: é uma técnica mais básica de tcp scan, é utilizada a chamada de sistema (system call) connect(), é um dos scan mais rapidos só q é facil de ser detectado
-sU - UDP scan: esse método é utilizado pra determinar qual porta udp esta aberta em um host, a técnica envia um pacote udp de 0 bytes(acho q é isso) pra cada porta do host, se for recebido uma mensagem ICMP “port unreachable” então ta fechada senão a porta pode estar aberta
-sV - Version detection: apos as portas tcp ou udp serem descobertas por algum método o Nmap vai determinar qual o serviço ta rodando atualmente o arquivo nmap-service-probes é utilizado pra determinar tipos de protocolos nome da aplicação número da versão e outros detalhes
-D - durante um scan utiliza uma serie de endereços falsificados simulando o scannig tenha vindo desses vários hosts, sendo praticamente impossível de identificar a verdadeira origem da varredura
Ex: Nmap -D ip1, ip2, ip3, seu_ip, ip4 xxx.xxx.xxx.xxx(alvo)
-F
procura pelas portas que estão no /etc/services, método mais rápido, mas aconselho não procurar por todas as portas
Ex: Nmap -F xxx.xxx.xxx.xxx
-I
se o host estiver utilizando o ident é possível identificar o dono dos serviços q estão sendo executados no servidor, usada também com a opção -sT
Ex: Nmap -sT -I xxx.xxx.xxx.xxx
-n
não vai resolver nome de hosts a ser scanneado
Ex: Nmap -n xxx.xxx.xxx.xxx
-O
ativa a identificação do host remoto via tcp/ip, ira apresentar versão do S.O. e tempo ativo.
Ex: Nmap -O xxx.xxx.xxx.xxx
-p especifica quais portas devem ser verificadas na varredura, por default todas as portas entre 1 e 1024 são scanneadas
Ex: Nmap -p 22,80 xxx.xxx.xxx.xxx
ou
Nmap -p U:53,111,137,T:21-25,80,139,8080
-P0
não tenta pingar o host antes de iniciar o scan, isso aí permite o scannear alvos q bloqueiam ICMP “echo request (ou response)” através de firewall
-PS[lista de portas]
usa pacotes SYN pra determinar se o host esta ativo
Ex: Nmap -PS80 xxx.xxx.xxx.xxx
-PT[lista de portas]
igual o de cima só q com pacotes tcp “ping”
Ex: Nmap -PT80 xxx.xxx.xxx.xxx
-R
vai retornar o nome do host a ser scanneado
Ex: Nmap -R xxx.xxx.xxx.xxx
-r
scaneia portas sem ordem crescente ou decrescente, randomicamente.
-T
essa opção seta a prioridade de scannig do Nmap:
* paranoid (-T5) é muito lento na esperança de prevenir a detecção pelo sistema IDS
* Sneaky (-T4) [/i] é igual ao paranoid, só q espera 15 segundos entre o envio de pacotes contra os 5 minutos do paranoid.
* polite (-T3) tem significado para facilitar a carga na rede e reduzir as chances de um pau na maquina, ele serializa os testes e espera uns 0.8 segundos entre eles
* normal (-T2) é o comportamento default do Nmap, o qual tenta executar tão rápido quanto possível sem sobrecarregar a rede ou perder host/portas
* aggressive (-T1) esse modo adiciona um timeout de 5 min, por host e nunca espera mais de 1 segundo e meio pra testar as respostas
* insane (-T0) é somente adequando pra redes muito rápidas ou onde você não importa em perder algumas informações, nessa opção o timeout dos hosts acontecem em uns 75 a 80 segundos (não sei) e espera menos de 1 segundo por teste individual
-ttl
altera o valor do TTL (time to live) dessa forma dificulta um pouco a origem do pacote
Ex: Nmap -ttl 55 alvo
-v
mostra tudo o q esta se passando
Ex: Nmap -v alvo
–scanflags
com essa opção você pode especificar flags arbitrarias usando nomes de flags ou números, no exemplo a seguir vou usar uma varredura SYN-FIN
Nmap -sS –scanflags SYNFIN -O xxx.xxx.xxx.xxx
Alguns exemplos
1* Nmap - v xxx.xxx.xxx.xxx
isso faz o scan de todas as portas tcp reservadas
2* Nmap -sS -O xxx.xxx.xxx.xxx/24
faz um scan tcp syn contra cada pc q esta na ativa, abrangendo todos os pcs 255 de classe C de onde o host alvo faz parte, e também retorna o SO de cada host
3* Nmap -sX =p 22.53.110.143 xxx.xxx.xxx.xxx
faz um scan Xmas Tree pro alvo,e também scaneia somente os serviços se sshd, dns, pop3d e imapd.
Comment