Много написано о nmap-е, многие гайды и руководства были переписаны. Я думаю, это потому что люди не до конца понимают все возможности nmap-а.

И смотрят на него как на инструмент сбора, а не на явный инструмент атаки.

Люди предпочитают сосредоточиться на таких инструментах, как metasploit, хотя этот инструмент лежит в основе почти каждого Pentest-ера, Security Review-ера, и т,д.

В этой статье я попытаюсь осветить основные принципы инструмента.

"Способы подключения"

У nmap-а много способов "подключения" Scan Types.
Эти инструкции "говорят" инструменту как подключится к определенным портам.
Начнем с рассмотрения основных методов сканирования nmap.

Сегодня мы видем множество FireWall-ов и IDS/IPS, разбросанных почти позади каждой организации, на которую мы смотрим.

Идея этих сканирований заключается в том, что системы (FireWall, IPS/IDS), которые получают запросы TCP для закрытых портов, должны отвечать пакетом RST, в то время как на открытые порты, которые получают такие запросы (без начального подключения), реагируют дропом пакета или вообще не реагируют. (При условии что система соблюдает RFC793 TCP/IP)

Дополнительная информация

Тайминг - например, параллельные соединения, которые nmap может удерживать в направлении сканируемого устройства, количество портов, с которыми nmap будет "разговаривать" одновременно, интервал между пакетами тд.

Обнаружение сервисов

Когда мы включаем флаг sV, мы говорим nmap сделать связь и попытатся понять, что за сервис стоит там.
Сначала попытается исполнить "Banner Grabbing", потом nmap попробует, узнать, какой тип сервиса порт имеет, отправляя в соответствии с типом порта или запросы в других протоколах, пока он не сможет идентифицировать сервис.
Если nmap не распознает сервис протокола, мы увидим знак "?" рядом.

Обнаружение ОС

Это не всегда точное обнаружение операционной системы, но NMAP будет пытаться соответствовать ядру "кернель"
[doublepost=1511575811,1511575740][/doublepost]
Decoy Scan - Этот метод обозначается аргументом -sS, это сканирование подделывает сканирование с дополнительных адресов, nmap не скроет ваш реальный адрес, но будет загружать многие другие адреса.

Фрагментация- это не функция nmap, а метод "разбиения" пакетов в сети.
Есть сети где размер MTU (Maximum Transfer Unit) разные, MTU представляет размер пакеты которую сеть может "передать", при движении между сетями, размер MTU может изменится, когда пакет достигает сети, где MTU меньше, то пакет будет разделен на два( или меньше), на первой пакете включается флаг фрагментация IP, указывая что на пути еще пакеты.

Смена порта источника

У каждого FireWall-а есть исключение (особая ситуация) Пакеты с определенных адресов определяются как пакеты, которые можно пропускать и не имеют проблем.

Одно из правил, которое много раз ставится для предотвращения проблем, заключается в том, что пакеты, которые зашли через порт HTTP (80), являются пакетами, которые возвращаются с определенного сайта и разрешены.

Код:


Расширения и добавки

В Nmap есть --script и script-args , чья цель - включить запуск рсширений и добавок для nmap.

К примеру скрипт на брут sql

Код:


Если мы хотим найти цели в сети совершенно тихим способом, мы можем выполнить "Passive Scan"
Идея заключается в том, чтобы запускать NMAP для прослушивания пакетов, отправленных как broadcast в сети, преимущество такого сканирования заключается в том, что оно является полностью пассивным, тоесть FireWall его не видят.

Код:


Заключение

Nmap - отличный инструмент, большинство из нас использует его, не осознавая всего потенциала. Неправильное чтение сканирования может привести к падению теста и может привести к блокировке. Надеюсь, что все читатели статьи смогут лучше изучить инструмент. Удачи в предстоящих тестах.

Что да то да по nmap было горы всего написано

Итак? призываю все группы оценивать статью с помощью систем репутации, "Мне нравится" или комментариев.
Отныне, просто состоять в группе мало для того, чтобы в ней оставаться. Ваша задача, так же наставлять авторов и оценивать их.
Критерии:
Статья достойна репутации +1 балл
Статья отстой и/или не соблюдены правила -1 балл
Статья неплохая, но на репу не катит - поставить лайк - оставить комментарий.
Статья нейтральная не г***о но и не шедевр - оставить комментарий.

Grey
@a113
@AL04E
@Celestial
@d7uk4r3v
@DoberGroup
@ghost
@Ishikawa
@JuicyBrute
@koldonuuchu
@MAdDog719
@nemainthium
@Underwood
@Vertigo
@WIPE
Red
@Dr.Jo.Frink
@Dr.Lafa
@grapf92
@id2746
@IioS
@Ondrik8
@r1991omen
@Sniff
@z3RoTooL
Eleet
@ghostphisher
@kot-gor
@PingVinich
@SooLFaa
@Vander
@~~DarkNode~~

По статье - уважение за первый шаг к стат.мейкингу заслуживает [мне нравится].

Бал выдам, если ТС продолжит описание nmap как минимум с скриншотами (своими ), сделает серию статей, потому как nmap не просто сканер портов - описать скрипты подробно и с применением.Для вводной статьи поверзностно упомянуть норм, для понимания сути нет.

особое пожелание автору - создать свою лабу, и при помощи сканера показать основные моменты работы брута, поиска той же SMB дыры на 445 порт, детект WAF.

Похоже на неполную страницу мануала. И самого интересного с этой страницы тут нету. Я бы с удовольствием почитал бы про опции: -sI, -sW, -b, -sM, да и просто описание описание флагов бы не помешало. Понимаю что с ними и так все понятно, но так можно и про основные опции nmap сказать, а это описание помогло бы в самостоятельном составлении запросов с помощью ключа --scanflags. И картинки, результатов, транспорта пакетов, как и куда они идут то же было бы не плохо.
Вообще тема очень большая, трудно её описать в одном посте.

:
Nmap не сканирует сервиса по названию во всяком случае обычными опциями. Если очень топорно то можно сделать так:

Код:


Порты от 500 до 6000 думаю где то между этим диапазоном и будет RDP. Попытки и группы нужны т.к. если что то повиснет то весь результат пропадет.
Grep serv потому что удаленные сервера обычно в сервисах awk{$3} называются например так "ms-wbt-server" в диапазоне примерно 7 строк будет ip который нужен, можно увеличить, -B 10. В конце стоит регулярное выражение для ip. Если очень нужно то работать будет. Но вообще руками все это смотреть нужно.
Хотя всегда есть правильный путь, например разобраться со скриптовым языком nmap и почитать скрипты которые конкретно расширяют функционал сканера.
https://nmap.org/nsedoc
https://nmap.org/nsedoc/scripts/ip-forwarding.html
https://nmap.org/nsedoc/scripts/rdp-vuln-ms12-020.html
https://nmap.org/nsedoc/scripts/rdp-enum-encryption.html

Доброго времени.

Ув Valkiria, у Вас получилось реализовать правильный синтаксис grep_а конкретных служб/сервисов с нестандартных портов ?
Быстрый скан с выявлением только определённой/указанной службы на любом из портов...
(например SSH 22334)
Пересмотрел и перечитал много манов и гугла, вроде рядом но не то.
Я так понимаю всё упирается в -sV, а он "дотошно-долгий" при переборе всех портов (по порядку или как укажешь).
Как заставить фильтровать/искать только вышеобозначенное ?

nmap -T5 -p500-6000 -Pn -iL /root/diapazon.txt --max-retries 3 --min-hostgroup 100 --max-hostgroup 600 --host-timeout 180s | grep -B 7 'serv' | grep -E -o "([0-9]{1,3}[\.]){3}[0-9]{1,3}"

Так тоже не заводится в разных комбинациях.