Оглавление

• Преамбула
  
• Сводка опций
  
• Определение цели сканирования
  
• Обнаружение хостов
  
• Основы сканирования портов
  
• Различные приемы сканирования портов
  
• Определение портов и порядка сканирования
  
• Обнаружение служб и их версий
  
• Определение ОС
  
• Скриптовый движок Nmap(NSE – Nmap Scripting Engine)
  
• Опции управления временем и производительностью
  
• Обход Брандмауэров/IDS
  
• Вывод результатов
  
• Различные опции
  
• Взаимодействие во время выполнения
  
• Примеры

Преамбула

nmap — Утилита для исследования сети и сканер портов

Nmap (“Network Mapper”) это утилита с открытым исходным кодом для исследования сети и проверки безопасности. Она была разработана для быстрого сканирования больших сетей, хотя прекрасно справляется и с единичными целями. Nmap использует сырые IP пакеты оригинальными способами, чтобы определить какие хосты доступны в сети, какие службы (название приложения и версию) они предлагают, какие операционные системы (и версии ОС) они используют, какие типы пакетных фильтров/брандмауэров используются и еще дюжины других характеристик. В тот время как Nmap обычно используется для проверки безопасности, многие сетевые и системные администраторы находят ее полезной для обычных задач, таких как контролирование структуры сети, управление расписаниями запуска служб и учет времени работы хоста или службы.

Выходные данные Nmap это список просканированных целей с дополнительной информацией по каждой в зависимости от заданных опций. Ключевой информацией является “таблица важных портов”. Эта таблица содержит номер порта, протокол, имя службы и состояние. Состояние может иметь значение open (открыт), filtered (фильтруется), closed (закрыт) или unfiltered (не фильтруется). Открыт означает, что приложение на целевой машине готово для установки соединения/принятия пакетов на этот порт. Фильтруется означает, что брандмауэр, сетевой фильт или какая-то другая помеха в сети блокирует порт, и Nmap не может установить открыт этот порт или закрыт. Закрытые порты не связаны ни с каким приложение, так что они могут быть открыты в любой момент. Порты расцениваются как не фильтрованные, когда они отвечают на запросы Nmap, но Nmap не может определить открыты они или закрыты. Nmap выдает комбинации открыт|фильтруется и закрыт|фильтруется, когда не может определить, какое из этих двух состояний описывает порт. Эта таблица также может предоставлять детали о версии программного обеспечения, если это было запрошено. Когда осуществляется сканирование по IP протоколу (-sO), Nmap предоставляет информацию о поддерживаемых IP протоколах, а не об открытых портах.

В дополнение к таблице важных портов Nmap может предоставлять дальнейшую информацию о целях: преобразованные DNS имена, предположение о используемой операционной системе, типы устройств и MAC адреса.

Типичное сканирование с использованием Nmap показано в Примере 1. Единственные аргументы, использованные в этом примере это -A, для определения версии ОС, сканирования с использованием скриптов и трассировки; -T4 для более быстрого выполнения; затем два целевых хоста.

Пример 1. Типичный пример сканирования с помощью Nmap:

Код:


Сводка опций

Использование:
nmap [Тип(ы) сканирования] [Опции] {заданные_цели}

ОПРЕДЕЛЕНИЕ ЦЕЛИ СКАНИРОВАНИЯ:

Цитата:

Может работать с именами хостов, IP адресами, сетями и т.д.
Например: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-iL : Импорт из списка хостов/сетей
-iR : Выбор случайных целей
–exclude : Исключить хосты/сети
–excludefile : Исключить список из файла

ОБНАРУЖЕНИЕ ХОСТОВ:

Цитата:

-sL: Сканирование с целью составления списка – просто составить список целей для сканирования
-sn: Пинг сканирование – просто определить, работает ли хост
-Pn: Расценивать все хосты как работающие – пропустить обнаружение хостов
-PS/PA/PU/PY[список_портов]: TCP SYN/ACK, UDP или SCTP пингование заданных хостов
-PE/PP/PM: Пингование с использованием ICMP эхо запросов, запросов временной метки и сетевой маски
-PO[список_протоколов]: Пингование с использованием IP протокола
-n/-R: Никогда не производить DNS разрешение/Всегда производить разрешение [по умолчанию: иногда]
–dns-servers : Задать собственные DNS сервера
–system-dns: Использовать системный DNS преобразователь
–traceroute: Провести трассировку (проследить путь) до каждого хоста

РАЗЛИЧНЫЕ ПРИЕМЫ СКАНИРОВАНИЯ:

Цитата:

-sS/sT/sA/sW/sM: TCP SYN/с использованием системного вызова Connect()/ACK/Window/Maimon сканирования
-sU: UDP сканирование
-sN/sF/sX: TCP Null, FIN и Xmas сканирования
–scanflags : Задать собственные TCP флаги
-sI : "Ленивое" (Idle) сканирование
-sY/sZ: SCTP INIT/COOKIE-ECHO сканирование
-sO: Сканирование IP протокола
-b : FTP bounce сканирование

ОПРЕДЕЛЕНИЕ ПОРТОВ И ПОРЯДКА СКАНИРОВАНИЯ:

Цитата:

-p : Сканирование только определенных портов
Пример: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9
-F: Быстрое сканирование – Сканирование ограниченного количества портов
-r: Сканировать порты последовательно – не использовать случайный порядок портов
–top-ports : Сканировать наиболее распространенных портов
–port-ratio : Сканировать порты с рейтингом большим чем

ОПРЕДЕЛЕНИЕ СЛУЖБ И ИХ ВЕРСИЙ:

Цитата:

-sV: Исследовать открытые порты для определения информации о службе/версии
–version-intensity : Устанавливать от 0 (легкое) до 9 (пробовать все запросы)
–version-light: Ограничиться наиболее легкими запросами (интенсивность 2)
–version-all: Использовать каждый единичный запрос (интенсивность 9)
–version-trace: Выводить подробную информацию о процессе сканирования (для отладки)

СКАНИРОВАНИЕ С ИПОЛЬЗОВАНИЕМ СКРИПТОВ:

Цитата:

-sC: эквивалентно опции –script=default
–script=: это разделенный запятыми список директорий, файлов скриптов или категорий скриптов
–script-args=: Передача аргументов скриптам
–script-args-file=filename: Передача NSE скриптам аргументов в файле
–script-trace: Выводить все полученные и отправленные данные
–script-updatedb: Обновить базу данных скриптов
–script-help=: Показ помощи о скриптах. разделённый запятой список скриптов или список категорий скриптов.

ОПРЕДЕЛЕНИЕ ОС:

Цитата:

-O: Активировать функцию определения ОС
–osscan-limit: Использовать функцию определения ОС только для "перспективных" хостов
–osscan-guess: Угадать результаты определения ОС

ОПЦИИ УПРАВЛЕНИЯ ВРЕМЕНЕМ И ПРОИЗВОДИТЕЛЬНОСТЬЮ:

Цитата:

Опции, принимающие аргумент , задаются в миллисекундах, пока вы не добавите 's' (секунды), 'm' (минуты), или 'h' (часы) к значению (напр. 30m).
-T: Установить шаблон настроек управления временем (больше – быстрее)
–min-hostgroup/max-hostgroup : Установить размер групп для параллельного сканирования
–min-parallelism/max-parallelism : Регулирует распараллеливание запросов
–min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout : Регулирует время ожидания ответа на запрос
–max-retries : Задает максимальное количество повторных передач запроса
–host-timeout : Прекращает сканирование медленных целей
–scan-delay/–max-scan-delay : Регулирует задержку между запросами
–min-rate : Посылать запросы с интенсивностью не меньше чем в секунду
–max-rate : Посылать запросы с интенсивностью не больше чем в секунду

ОБХОД БРАНДМАУЭРОВ/IDS:

Цитата:

-f; –mtu : Фрагментировать пакеты (опционально с заданным значениме MTU)
-D : Маскировка сканирования с помощью фиктивных хостов
-S : Изменить исходный адрес
-e : Использовать конкретный интерфейс
-g/–source-port : Использовать заданный номер порта
–proxies : Ретранслировать соединения через прокси HTTP/SOCKS4
–data-length : Добавить произвольные данные к посылаемым пакетам
–ip-options : Посылать пакет с заданным ip опциями
–ttl : Установить IP поле time-to-live (время жизни)
–spoof-mac : Задать собственный MAC адрес
–badsum: Посылать пакеты с фиктивными TCP/UDP/SCTP контрольными суммами

ВЫВОД РЕЗУЛЬТАТОВ:

Цитата:

-oN/-oX/-oS/-oG Выводить результаты нормального, XML, s|: Использовать сразу три основных формата вывода
-v: Увеличить уровень вербальности (задать дважды или более для увеличения эффекта)
-d: Увеличить или установить уровень отладки (до 9)
–reason: Показать причину нахождения порта в определённом состоянии
–open: Показывать только открытые (или возможно открытые) порты
–packet-trace: Отслеживание принятых и переданных пакетов
–iflist: Вывести список интерфейсов и роутеров (для отладки)
–log-errors: Записывать ошибки/предупреждения в выходной файл нормального режима
–append-output: Добавлять в конец, а не перезаписывать выходные файлы
–resume : Продолжить прерванное сканирование
–stylesheet : Устанавливает XSL таблицу стилей для преобразования XML вывода в HTML
–webxml: Загружает таблицу стилей с Nmap.Org
–no-stylesheet: Убрать объявление XSL таблицы стилей из XML

РАЗЛИЧНЫЕ ОПЦИИ:

Цитата:

-6: Включить IPv6 сканирование
-A: Активировать функции определения ОС и версии, сканирование с использованием скриптов и трассировку
–datadir : Определяет место расположения файлов Nmap
–send-eth/–send-ip: Использовать сырой уровень ethernet/IP
–privileged: Подразумевать, что у пользователя есть все привилегии
–unprivileged: Подразумевать, что у пользователя нет привилегий для использования сырых сокетов
-V: Вывести номер версии
-h: Вывести эту страницу помощи

ИНТЕРАКТИВНЫЕ КОМАНДЫ:

Цитата:

СПРАВКА: Не будет работать с “sudo nmap”, поэтому используйте “sudo –i”
Во время работы вы можете делать запросы в nmap следующими ключами:
? Показать эту информацию
v/V увеличить/уменьшить вербальность
d/D увеличить/уменьшить отладку
p/P включить/отключить трассировку пакетов
и другие ключи, которые будут напечатаны в статусе

ПРИМЕРЫ:

Цитата:

nmap -v -A scanme.nmap.org
nmap -v -sn 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -Pn -p 80

Определение цели сканирования

В командной строке Nmap все, что не является опцией (или аргументом опции), рассматривается как цель сканирования. В простейшем случае для сканирования используется IP адрес или сетевое имя целевой машины.

Иногда необходимо просканировать целую сеть. Для этого Nmap поддерживает CIDR адресацию. Вы можете добавить / к IP адресу или сетевому имени и Nmap просканирует каждый IP адрес, для которого первые такие же как и у заданного хоста. Например, 192.168.10.0/24 просканирует 256 хостов между 192.168.10.0 (бинарное: 11000000 10101000 00001010 00000000) и 192.168.10.255 (бинарное: 11000000 10101000 00001010 11111111) включительно. 192.168.10.40/24 сделает абсолютно то же самое. Зная, что IP адрес scanme.nmap.org 64.13.134.52, при записи типа scanme.nmap.org/16 будет произведено сканирование 65,536 IP адресов между 64.13.0.0 и 64.13.255.255. Наименьшее допустимое значение /0, при котором будет просканирован весь Интернет. Наибольшее значение /32, при котором будет просканирован только заданный хост или IP адрес, т.к. все адресные биты заблокированы.

CIDR нотация коротка, однако не всегда достаточно гибка. Например, вы хотите просканировать 192.168.0.0/16, но пропустить все IP-ки оканчивающиеся на .0 или .255, т.к. обычно это широковещательные адреса. Nmap может осуществить такое сканирование путем задания диапазонов в октетах. Вместо определния обычного IP адреса, вы можете определить для каждого октета либо разделенный запятыми список чисел, либо диапазон. Например, 192.168.0-255.1-254 пропустит все адреса в диапазоне оканчивающиеся на .0 и .255. Диапазоны не обязательно задавать только в последних октетах: при записи 0-255.0-255.13.37 будет произведено сканирование всех адресов в Интернете оканчивающихся на 13.37. Такой тип сканирования может быть полезен для обозрения просторов Интернета и различных исследований.

IPv6 адреса могут быть определны только в форме, полностью соответствующей правильной форме записи IPv6 адресов. CIDR и использование диапазонов в октетах не применимо к IPv6 адресам, т.к. они редко используются.

Вы можете передавать в командной строке Nmap различные варианты определения целей, не обязательно одного типа. Команда nmap scanme.nmap.org 192.168.0.0/16 10.0.0,1,3-7.0-255 сделает то, что вы ожидаете.

Цели сканирования обычно задаются в командной строке, и существуют различные опции контроля выбора целей:

Код:


Считывает цели из . Хотя передача большого списка хостов для сканирования является обычным явлением, это не удобно. Например, ваш DHCP сервер передают вам список из 10,000 используемых им на данный момент адресов, и вы хотите его просканировать. Или, возможно, вы хотите просканировать все IP адреса, кроме переданных им, чтобы выявить несанкционированное использование статических IP адресов. Просто сгенерируйте список хостов для сканирования и передайте имя файла в Nmap как аргумент для -iL опции. Записи в файле могут находиться в любой приемлимой для Nmap форме (IP адреса, сетевые имена, CIDR, IPv6, или диапазоны в октетах). Каждая запись должна быть отделена пробелом или несколькими, символами табуляции или символами перехода на новую строку. Вы можете передать в качестве аргумента дефис(-) как имя файла, если хотите, чтобы Nmap считывала список хостов из стандартного ввода, а не из файла.

Код:


Для сканирования в пределах всего Интернета или каких-либо исследований, вам, возможно, понадобится выбрать цели произвольно. Аргумент определяет сколько необходимо сгенерировать IP адресов. Неподходящие IP адреса, такие как частные, широковещательные или нелокализованные диапазоны адресов автоматически пропускаются. Аргумент 0 может быть передан для бесконечного сканирования. Имейте в виду, что некоторым системным администраторам может не понравиться неразрешенное сканирование их сетей и они могут пожаловаться. Используйте эту опцию на свой страх и риск! Если в дождливый денек вам будет скучно, попробуйте команду nmap -sS -PS80 -iR 0 -p 80 для сканирования произвольных веб-серверов.

Код:


Определяет разделенный запятыми список целей, которые необходимо исключить из сканирования, даже если они являются частью заданного вами диапазона сканирования. Передаваемый список использует стандартный синтаксис Nmap, поэтому может содержать сетевые имена, CIDR адресацию, диапазоны в октетах и т.д. Эта опция может быть полезна, если сеть, которую вы хотите просканировать, содержит сервера или системы, негативно реагирующие на сканирование портов, или подсети, администрируемые другими людьми.

Код:


Эта опция делает то же самое, что и –exclude, за исключением того, что цели для исключения находятся в разделенном пробелами, символами табуляции или символами перехода на новую строку , а не в командной строке.

К следующей части книги Как обнаружить хосты с помощью nmap