table of contents
- NAME
- SYNOPSIS
- DESCRIçãO
- SUMáRIO DAS OPçõES
- ESPECIFICAçãO DE ALVO
- DESCOBERTA DE HOSTS
- FUNDAMENTOS DO RASTREIO(SCAN) DE PORTAS
- TéCNICAS DE RASTREIO(SCAN) DE PORTAS
- ESPECIFICAçãO DE PORTAS E ORDEM DE SCAN
- DETECçãO DE SERVIçO E VERSãO
- DETECçãO DE SO
- TEMPORIZAçãO (TIMING) E DESEMPENHO
- EVITANDO E ENGANANDO O FIREWALL/IDS
- SAíDA (OUTPUT)
- OPçõES DIVERSAS (MISCELLANEOUS)
- INTERAçãO EM TEMPO DE EXECUçãO
- EXEMPLOS
- BUGS
- AUTOR
- TRADUçãO
- AVISOS LEGAIS
- NOTES
| NMAP(1) | [FIXME: manual] | NMAP(1) |
NAME¶
nmap - Ferramenta de exploração de Rede e Rastreio de Segurança / Portas
SYNOPSIS¶
nmap [Tipo de Rastreio(Scan)...] [Opções] {Especificação do Alvo}
DESCRIçãO¶
O Nmap (“Network Mapper”) é uma ferramenta em código aberto para exploração de rede e auditoria de segurança. Foi desenhada para rastrear(Scan) rapidamente redes amplas contudo funciona bem com um único anfitrião(host). Nmap usa pacotes IP em estado bruto(raw) sobre novas formas para determinar que anfitriões(hosts) estão disponíveis na rede, que serviços (nome e versão da aplicação) esses anfitriões(hosts) estão disponibilizando, que sistemas operativos (e versões de SO) estão em uso, que tipo de filtros de pacotes/firewalls estão em uso e dezenas de outras características. Enquanto o Nmap é frequentemente usado para auditorias de segurança, muitos sistemas e administradores de redes consideram-no útil para as tarefas de rotina como o inventário da rede, gestão de actualizações de serviços e monitorizar o uptime de anfitriões ou serviços.
A saída do Nmap é uma lista de alvos rastreados(scanned) com informações adicionais de cada um dependendo das opções utilizadas. Uma informação chave é a “tabela de portas interessantes”. Essa tabela lista o número da porta e o protocolo, o nome do serviço e o estado. O estado pode ser aberto (open), filtrado (filtered), fechado (closed), ou não-filtrado (unfilterd). Aberto (open) significa que uma aplicação na máquina-alvo está escutando as conexões/pacotes nessa porta. Filtrado (filtered) significa que o firewall, filtro ou outro obstáculo de rede está bloqueando a porta de forma que o Nmap não consegue dizer se ela está aberta (open) ou fechada (closed). Portas fechadas (closed)não possuem uma aplicação escutando nelas embora possam abrir a qualquer instante. Portas são classificadas como não filtradas (unfiltered)quando elas respondem às sondagens do Nmap mas o Nmap não consegue determinar se as portas estão abertas ou fechadas. O Nmap reporta as combinações aberta|filtrada (open|filtered)e fechada|filtrada (closed|filtered)quando não consegue determinar qual dos dois estados descrevem melhor a porta. A tabela de portas também pode incluir detalhes de versão de software quando a detecção de versão for solicitada. Quando um rastreio(scan) do protocolo IP é solicitado (-sO) o Nmap fornece informações dos protocolos IP suportados ao invés de portas que estejam abertas.
Além da tabela de portas interessantes o Nmap pode fornecer informações adicionais sobre os alvos, incluíndo nomes de DNS reverso, suposições de sistema operativo, tipos de dispositivos e endereços MAC.
Um rastreio(scan) típico do Nmap é mostrado em Example 1, “Uma amostra de rastreio(scan) do Nmap”. Os únicos argumentos que o Nmap utiliza nesse exemplo são -A para permitir a detecção de SO e a versão -T4 para execução mais rápida e os nomes de anfitrião(hostnames) de dois alvos.
Example 1. Uma amostra de rastreio(scan) do Nmap
# nmap -A -T4 scanme.nmap.org playground Starting nmap ( http://www.insecure.org/nmap/ ) Interesting ports on scanme.nmap.org (205.217.153.62): (The 1663 ports scanned but not shown below are in state: filtered) PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99) 53/tcp open domain 70/tcp closed gopher 80/tcp open http Apache httpd 2.0.52 ((Fedora)) 113/tcp closed auth Device type: general purpose Running: Linux 2.4.X|2.5.X|2.6.X OS details: Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2.6.11 Uptime 33.908 days (since Thu Jul 21 03:38:03 2005) Interesting ports on playground.nmap.org (192.168.0.40): (The 1659 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn 389/tcp open ldap? 445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds 1002/tcp open windows-icfw? 1025/tcp open msrpc Microsoft Windows RPC 1720/tcp open H.323/Q.931 CompTek AquaGateKeeper 5800/tcp open vnc-http RealVNC 4.0 (Resolution 400x250; VNC TCP port: 5900) 5900/tcp open vnc VNC (protocol 3.8) MAC Address: 00:A0:CC:63:85:4B (Lite-on Communications) Device type: general purpose Running: Microsoft Windows NT/2K/XP OS details: Microsoft Windows XP Pro RC1+ through final release Service Info: OSs: Windows, Windows XP Nmap finished: 2 IP addresses (2 hosts up) scanned in 88.392 seconds
A versão mais nova do Nmap pode ser obtida em http://www.insecure.org/nmap/. A versão mais nova da página man está disponível em http://www.insecure.org/nmap/man/.
SUMáRIO DAS OPçõES¶
Este sumário de opções é mostrado quando o Nmap é executado sem argumentos e a última versão está sempre disponível em http://www.insecure.org/nmap/data/nmap.usage.txt. Ele ajuda as pessoas a lembrar-se das opções mais comuns mas não substitui a documentação mais técnica do restante deste manual. Algumas opções mais obscuras nem estão aqui incluídas.
Synopsis: nmap [Tipo(s) de Rastreio(Scan)] [Opções] {especificação do alvo}
ESPECIFICAÇÂO DO ALVO:
Pode-se usar nomes de anfitriões(hostnames), Endereços IP, redes, etc.
Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0-255.0-255.1-254
-iL <inputfilename>: Entrada(Input) de listas de anfitriões(hosts)/redes
-iR <num hosts>: Escolher alvos aleatoriamente
--exclude <host1[,host2][,host3],...>: Excluir anfitriões(hosts)/redes
--excludefile <exclude_file>: Lista de exclusões de um ficheiro
DESCOBERTA DE ANFITRIÕES(HOSTS):
-sL: List Scan - lista simplesmente os alvos para efectuar o rastreio(scan)
-sP: Ping Scan - apenas determnina se o anfitrião está online
-P0: Considera todos os anfitriões como online -- salta a descoberta de anfitriões
-PS/PA/PU [portlist]: rastreio de descoberta TCP SYN/ACK ou UDP para determinadas portas
-PE/PP/PM: Rastreio(scan) de descoberta ICMP echo, timestamp, and netmask request
-n/-R: Nunca resolver/Resolver sempre nomes de DNS [default: resolver algumas vezes]
TÉCNICAS DE SCAN:
-sS/sT/sA/sW/sM: Rastreios(Scans) TCP SYN/Connect()/ACK/Window/Maimon
-sN/sF/sX: Rastreios(Scans) TCP Null, FIN, and Xmas
--scanflags <flags>: Customizar as TCP scan flags
-sI <anfitrião(host) zombie[:probeport]>: Idlescan
-sO: Rastreio(Scan) de protocolo IP
-b <ftp relay host>: FTP bounce scan
ESPECIFICAÇÃO DO PORTO E ORDEM DE RASTREIO:
-p <port ranges>: Apenas efectuar o rastreio(scan) de portas específicas
Ex: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080
-F: Rápido - Efectua o rastreio(Scan) apenas das portas especificadas no ficheiro nmap-services
-r: Efectuar o rastreio(Scan) das portas consecutivas e não aleatoriamente
DETECÇÃO DO SERVIÇO/VERSÃO:
-sV: Rastrear(scan) portas abertas para determinar a informação sobre o serviço/versão
--version-light: Limitar aos rastreios mais prováveis para identificação mais rápida
--version-all: Experimentar todos os rastreios para detectar a versão
--version-trace: Mostrar detalhadamente a actividade do rastreio(scan)
da versão (para debugging)
DETECÇÃO DO SO:
-O: Permite a detecção do SO
--osscan-limit: Limitar a detecção de SO aos alvos promissores
--osscan-guess: Efectuar o rastreio do SO de forma mais agressiva
TIMING AND PERFORMANCE:
-T[0-6]: Ajustar o tempo do modelo(template) (maior é mais rápido)
--min-hostgroup/max-hostgroup <msec>: Tamanho dos grupos de rastreio(scan)
de anfitrião(host) paralelo
--min-parallelism/max-parallelism <msec>: Rastreio paralelismo
--min_rtt_timeout/max-rtt-timeout/initial-rtt-timeout <msec>: Ajustar o
tempo de retorno do rastreio.
--host-timeout <msec>: Desistir de um alvo após este tempo
--scan-delay/--max_scan-delay <msec>: Ajustar esperas entre rastreios
FIREWALL/IDS EVASÃO E DISFARÇE(SPOOFING):
-f; --mtu <val>: fragmentar pacotes (opcional com dado MTU)
-D <decoy1,decoy2[,ME],...>: Disfarça um rastreio(scan) com iscos
-S <IP_Address>: Disfarçar(Spoof) endereço de origem
-e <iface>: Usar um interface especifico
-g/--source-port <portnum>: Usar um determinado numero de porta
--data-length <num>: Acrescentar dados aleatorios aos pacotes enviados
--ttl <val>: Ajustar o campo IP TTL tempo-de-vida
--spoof-mac <mac address, prefix, or vendor name>: Disfarçar(Spoof) o endereço MAC
SAIDA(OUTPUT):
-oN/-oX/-oS/-oG <file>: Retorna os resultados do rastreio(scan) em XML normal, s|<rIpt kIddi3,
e formatados respectivamente para o ficheiro especificado
-oA <basename>: Saida(Output) nos três formatos principais
-v: Aumenta o nivel de informação apresentada(verbosity) (usar 2x para aumentar o efeito)
-d[level]: Ajusta o nivel de debugging (Áté 9 é significativo)
--packet-trace: Mostra todos os pacotes enviados e recebidos
--iflist: Mostra os interfaces do anfitrião e rotas (para debugging)
--append-output: Acrescenta, em vez de destruir/substituir, ficheiros de resultados
--resume <filename>: Continuar um rastreio cancelado(aborted)
--stylesheet <path/URL>: A XSL stylesheet para transformar retorno(output) XML para HTML
--no_stylesheet: Impedir que o Nmap de associar a XSL stylesheet com retorno(output) XML
OUTROS(MISC):
-6: Permitir rastreio(scanning) IPv6
-A: Permitir detecção do SO e versão
--datadir <dirname>: Especifica a localização do ficheiro de dados personalizado do Nmap
--send-eth/--send-ip: Enviar pacotes utilizando "raw ethernet frames" ou pacotes IP
--privileged: Assume que o utilizador possui os previlégios necessários
-V: Mostra a versão
-h: Mostra esta página de sumário de ajuda
EXEMPLOS:
nmap -v -A scanme.nmap.org
nmap -v -sP 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -P0 -p 80
ESPECIFICAçãO DE ALVO¶
Tudo na linha de comando do Nmap que não for uma opção (ou argumento de uma opção) é tratado como uma especificação de um anfitrião (host)-alvo. O caso mais simples é especificar um endereço IP como alvo ou um nome de anfitrião(hostname) para ser rastreado(scaned).
Algumas vezes pode querer efectuar o rastreio(scan) de uma rede inteira de anfitriões(hosts) adjacentes. Para isso o Nmap suporta o estilo de endereçamento CIDR. Pode acrescentar /númerodebits em um endereço ou hostname e o Nmap irá efectuar o rastreio(scan) de cada endereço IP para o qual os primeiros númerosdebits sejam o mesmo que o IP de referência ou o hostname dado. Por exemplo, 192.168.10.0/24 escanearia os 256 hosts entre 192.168.10.0 (binário: 11000000 10101000 00001010 00000000) e 192.168.10.255 (binário: 11000000 10101000 00001010 11111111), inclusive. 192.168.10.40/24 faria exatamente a mesma coisa. Dado que o afitrião(host) scanme.nmap.org está no endereço IP 205.217.153.62, a especificação scanme.nmap.org/16 efectuaria o rastreio(scan) dos 65.536 endereços IP entre 205.217.0.0 e 205.217.255.255. O menor valor permitido é /1, que equivale ao rastreio(scan) de metada da Internet. O maior valor é 32, que faz o rastreio(scan) de apenas o anfitrião(host) nomeado ou endereço IP porque todos os bits de endereçamento estão fixos.
A notação CIDR é curta mas nem sempre flexível o suficiente. Por exemplo, pode querer fazer o rastreio(scan) de 192.168.0.0/16 mas desejar saltar todos os IPs terminados em .0 ou .255 porque eles são normalmente endereços de broadcast. O Nmap suporta isso através de endereçamento por faixa de octeto. Ao invés de especificar um endereço IP normal, pode especificar uma lista de números separada por vírgulas ou faixa de números para cada octeto. Por exemplo, 192.168.0-255.1-254 irá saltar todos os endereços na faixa que terminarem com .0 e/ou .255. Faixas não precisam ser limitadas ao octeto final: o especificador 0-255.0-255.13.37 irá executar um rastreio(scan) em toda a Internet buscando os endereços IP terminados em 13.37. Esse tipo de amostragem ampla pode ser útil em levantamentos e pesquisas de toda a Internet.
Endereços IPv6 podem apenas ser especificados utilizando o endereço IP ou hostname IPv6 completamente qualificado. Faixas CIDR e octetos não são suportados para o IPv6 porque eles raramente são úteis.
O Nmap aceita múltiplas especificações de anfitrião(host) na linha de comando, e elas não precisam ser do mesmo tipo. O comando nmap scanme.nmap.org 192.168.0.0/8 10.0.0,1,3-7.0-255 executa o que se espera dele.
Embora os alvos sejam normalmente especificados na linha de comando, as seguintes opções também estão disponíveis para controlar a seleção de alvos:
-iL <arquivodeentrada> (Entrada a partir de uma lista)
-iR <número de afitriões(hosts)> (Escolhe alvos aleatórios)
--exclude <host1[,host2][,host3],...> (Exclui anfitriões(hosts)/redes)
--excludefile <arquivo_exclusão> (Exclui a lista do arquivo)
DESCOBERTA DE HOSTS¶
Um dos primeiros passos em qualquer missão de reconhecimento de uma rede é reduzir um conjunto (às vezes enorme) de faixas de endereços IP, em uma lista de anfitriões(hosts) activos e interessantes. Efectuar o rastreio(scan) de cada porta de cada endereço IP é lento e normalmente desnecessário. É claro que o que torna um anfitrião(host) interessante depende muito do propósito do rastreio(scan). Administradores de rede podem estar apenas interessados em hosts que executam um determinado serviço, enquanto os auditores de segurança podem se importar com cada dispositivo que possuir um endereço IP. Um administrador pode se sentir à vontade em usar o ping ICMP para localizar os anfitriões(hosts) na rede interna, enquanto um profissional externo de análise de vulnerabilidades (penetration tester) pode utilizar um conjunto diversificado de dezenas de sondagens numa tentativa de enganar as restrições da firewall.
As necessidades para o descobrimento de anfitrião(host) são muito diversas e, por isso, o Nmap oferece uma ampla variedade de opções para customizar as técnicas utilizadas. A descoberta de anfitrião(host) às vezes é chamada de rastreo ping(ping scan), mas ela vai muito além dos simples pacotes ICMP de echo request associados com a popular ferramenta conhecida como ping. Os usuários podem saltar a etapa do ping inteiramente com uma lista de rastreio(scan) (-sL) ou desactivado o ping (-P0), ou enfrentar a rede com combinações arbitrárias de sondagens multi-portas TCP SYN/ACK, UDP, e ICMP. O objetivo dessas sondagens é solicitar respostas que mostrem que um endereço IP está realmente activo (é utilizado por um afitrião(host) ou dispositivo de rede). Em muitas redes, apenas uma pequena percentagem dos endereços IP está activa em um dado momento. Isso é particularmente comum com o espaço de endereçamento privado ao abrigo do RFC1918 como, por exemplo, 10.0.0.0/8. Essa rede tem 16 milhões de IPs, mas eu já a vi sendo utilizado em empresas com menos de mil máquinas. A descoberta de anfitriões(hosts) pode encontrar essas máquinas escassamente alocadas em um mar de endereços IP.
Se nenhuma opção de descoberta de hosts for dada, o Nmap envia um pacote TCP ACK destinado a porta 80 e uma procura ICMP Echo Request a cada máquina-alvo. Uma exceção a isso é que um rastreio(scan) ARP é utilizado para cada alvo localizado na rede ethernet local. Para usuários Unix sem privilégios de shell, um pacote SYN é enviado ao invés do ack utilizando a chamada de sistema connect(). Esses valores default equivalem às opções -PA -PE. Esta descoberta de anfitrião(host) frequentemente é suficiente para o rastreio(scan) de redes locais, mas um conjunto de sondagens mais abrangentes é recomendado para auditoria de segurança.
As opções -P* (que seleccionam tipos de ping) podem ser combinadas. Você pode aumentar as chances de penetrar numa firewall enviando muitos tipos de sondagens, utilizando diferentes portas/flags TCP e códigos ICMP. Note também que a descoberta por ARP (-PR) é feita por default contra alvos na rede ethernet local mesmo que especifique outras opções -P* , porque é quase sempre mais rápida e mais eficiente.
As seguintes opções controlam a descoberta de anfitriões(hosts).
-sL (Listagem de rastreio(scan))
Uma vez que a idéia é apenas mostrar uma lista dos hosts-alvos, as opções de funcionalidade de nível mais alto tais como o rastreio(scan) de portas, detecção de SO, ou rastreio(scan) utilizando ping, não podem ser combinadas com esta opção. Se deseja desactivar o rastreio(scan) utilizando ping enquanto executa funções de nível elevado, leia a opção -P0.
-sP (Rastreio(scan) usando Ping)
Administradores de sistemas frequentemente acham esta opção valiosa. Ela pode ser facilmente utilizada para contar o número de máquinas disponíveis em uma rede ou monitorar a disponibilidade dos servidores. Isto é normalmente chamado de varredura com ping (ping sweep), e é mais confiável do que fazer um ping num endereço de broadcast, pois muitos anfitriões(rastreio(scan)hosts) não respondem a pesquisas com broadcast.
A opção -sP envia um ICMP echo request e um pacote TCP para a porta 80 por default. Quando executada por um usuário sem privilégios, um pacote SYN é enviado (usando uma chamada connect()) para a porta 80 no alvo. Quando um usuário privilegiado tenta rastrear(scan) alvos na rede ethernet local, requisições ARP (-PR) são utilizadas, a menos que --send-ip tenha sido especificado. A opção -sP pode ser combinada com qualquer um dos tipos de sondagens de descobrimento (as opções -P* , excluindo -P0) para maior flexibilidade. Se qualquer uma dessas opções de tipos de sondagens e número de porta for utilizada, as sondagens default (ACK e echo request) são sobrepostas. Quando firewalls restritivos estão posicionados entre o host de origem que executa o Nmap e a rede-alvo, utilizar essas técnica avançadas é recomendado. Do contrário, hosts podem ser perdidos quando o firewall ignorar as sondagens ou as respostas delas.
-P0 (Sem ping)
-PS [listadeportas] (Ping usando TCP SYN)
A flag SYN sugere aos sistemas remotos que está tentando estabelecer uma comunicação. Normalmente a porta de destino estará fechada e um pacote RST (reset) será enviado de volta. Se a porta estiver aberta, o alvo irá dar o segundo passo do cumprimento-de-três-vias (3-way-handshake) do TCP respondendo com um pacote TCP SYN/ACK TCP. A máquina executando o Nmap então derruba a conexão recém-criada respondendo com um RST ao invés de enviar um pacote ACK que iria completar o cumprimento-de-três-vias e estabelecer uma conexão completa. O pacote RST é enviado pelo kernel da máquina que está executando o Nmap em resposta ao SYN/ACK inesperado, e não pelo próprio Nmap.
O Nmap não se importa se a porta está aberta ou fechada. Tanto a resposta RST ou SYN/ACK discutidas anteriormente dizem ao Nmap se o hosts está disponível e responsivo.
Em máquinas UNIX apenas o usuário privilegiado root é capaz, normalmente, de enviar e receber pacotes TCP em estado bruto(raw packets). Para usuários não privilegiados um contorno é automaticamente empregado em concordância com a chamada de sistema connect() iniciada contra cada porta-alvo. Isso tem o efeito de enviar um pacote SYN ao anfitrião(host) alvo em uma tentativa de estabelecer uma conexão. Se o connect() retornar com sucesso rápido ou com uma falha ECONNREFUSED, a pilha TCP subjacente deve ter recebido um SYN/ACK ou RST e o anfitrião(host) é marcado como disponível. Se a tentativa de conexão for abandonada até que um timeout ocorra, o host é marcado como indisponível. Esse contorno também é usado para conexões IPv6, pois o suporte a construção de pacotes IPv6 em estado bruto(raw) ainda não está disponível no Nmap.
-PA [listadeportas] (Ping usando TCP ACK)
A opção -PA utiliza a mesma porta default que a sondagem SYM (80) e pode também obter uma lista de portas destino no mesmo formato. Se um usuário privilegiado tenta isto, ou se um alvo IPv6 é especificado, o contorno connect() discutido anteriormente é utilizado. Esse contorno é imperfeito pois o connect() está realmente enviando um pacote SYN ao invés de um ACK.
O motivo para oferecer ambas as sondagens ping, que utilizam SYN e ACK, é maximizar as chances de passar por firewalls. Muitos administradores configuram routers e outros firewalls simples para bloquear a entrada de pacotes SYN excepto aqueles destinados a serviços públicos como o site web da empresa ou servidor de correio electrónico. Isso evita as demais conexões entradas na organização, permitindo aos usuários fazer conexões desobstruidas à Internet. Essa aproximação não-orientada à conexão (non-stateful ou stateless) consome poucos recursos no firewall/router e é amplamente suportada por filtros de hardware e software. O firewall de software Netfilter/iptables do Linux oferece a conveniência da opção --syn para implementar essa abordagem stateless. Quando regras stateless do firewall como essas são implementadas, sondagens de ping usando SYN (-PS) muito provavelmente serão bloqueadas quando forem enviadas à portas fechadas. Nesses casos, a sondagem ACK se destaca pois ela simplesmente passa por essas regras.
Outro tipo comum de firewall utiliza regras orientadas a conexão que descartam pacotes inesperados. Esta característica era encontrada inicialmente apenas em firewalls de alto-nível, embora tenha se tornado mais comum com o passar dos anos. O sistema Netfilter/iptables do Linux suporta esta característica através da opção --state, que categoriza os pacotes baseados no estado da conexão. Uma sondagem SYN tem maiores chances de funcionar contra um sistema assim, pois pacotes ACK inesperados são normalmente reconhecidos como falsos e descartados. Uma solução para esse dilema é enviar ambas as sondagens SYN e ACK especificando -PS e -PA.
-PU [listadeportas] (Ping usando UDP)
Ao bater contra uma porta fechada na máquina-alvo, a sondagem UDP deve criar um pacote ICMP de porta inalcançável como resposta. Isso diz ao Nmap que a máquina está activa e disponível. Muitos outros tipos de erros ICMP, tais como anfitrião(host)/rede inalcançável ou TTL excedido são indicativos de um anfitrião(host) inactivo ou inalcançável. A falta de resposta também é interpretada dessa forma. Se uma porta aberta é alcançada, a maioria dos serviços simplesmente ignoram o pacote vazio e falham em retornar qualquer resposta. É por isso que a porta de sondagem default é 31338, que pouco provavelmente estará em uso. Uns poucos serviços, tal como o chargen, irá responder a um pacote UDP vazio, e com isso revelará ao Nmap que a máquina está disponível.
A principal vantagem deste tipo de scan é que ele passa por firewalls e filtros que apenas examinam o TCP. Por exemplo, uma vez eu tive um router broadband sem-fios Linksys BEFW11S4. A interface externa desse dispositivo filtrava todas as portas TCP por default, mas as sondagens UDP ainda causavam mensagens de porta inalcançável, denunciando assim o dispositivo.
-PE; -PP; -PM (Tipos de Ping do ICMP)
Embora o echo request seja a pesquisa padrão de um ping ICMP, o Nmap não pára aqui. A padronização do ICMP (RFC 792[2]) também especifica timestamp request, information request, e pacotes address mask request como códigos 13, 15, e 17, respectivamente. Apesar do propósito ostensivo dessas pesquisas seja obter informações tais como a máscara do endereço e hora corrente, eles podem ser facilmente utilizados para descoberta de anfitriões(hosts). Um sistema que responda está activo e disponível. O Nmap não implementa actualmente os pacotes de requisição de informações, pois eles não são amplamente suportados. A RFC 1122 insiste que “um anfitrião(host) NÃO DEVERIA implementar essas mensagens”. Pesquisas de marcação de hora (Timestamp) e máscara de endereço podem ser enviadas com as opções -PP e -PM , respectivamente. Uma resposta timestamp reply (código ICMP 14) ou uma resposta address mask reply (código 18) revela que o host está disponível. Essas duas pesquisas podem ser valiosas quando os administradores bloqueiam pacotes echo request especificamente e esquecem que outras pesquisas ICMP podem ser usadas com o mesmo propósito.
-PR (Ping usando ARP)
O rastreio(scan) ARP encarrega o Nmap e seus algorítmos optimizados de fazer as requisições ARP. E se ele conseguir uma resposta de volta, o Nmap não precisa de se preocupar com os pacotes ping baseados em IP, uma vez que ele já sabe que o anfitrião(host) está activo. Isso torna o rastreio(sca) ARP muito mais rápido e mais confiável que os rastreios(scans) baseados em IP. Portanto isso é feito por default quando se faz o rastreio(scan) de anfitriões(hosts) ethernet que o Nmap detecta estarem posicionados em uma rede ethernet local. Mesmo se tipos diferentes de ping (tais como -PI ou -PS) sejam especificados, o Nmap usa o ARP em vez, para cada um dos alvos que estiverem na mesma LAN. Se não quiser de forma alguma fazer um ratreio(scan) ARP, especifique --send-ip.
-n (Não faça resolução DNS)
-R (resolução DNS para todos os alvos)
FUNDAMENTOS DO RASTREIO(SCAN) DE PORTAS¶
Embora o Nmap tenha crescido em funcionalidades ao longo dos anos, ele começou como um eficiente scanner de portas e essa permanece a sua função principal. O simples comando nmap alvo faz o rastreio(scan) a mais de 1660 portas TCP no anfitrião(host) alvo. Embora muitos scanner de portas tenham tradicionalmente agrupado todas as portas nos estados aberto ou fechado, o Nmap é muito mais granular. Ele divide as portas em seis estados: aberto(open), fechado(closed),filtrado(filtered), não-filtrado(unfiltered), aberto(open)|filtrado(filtered), ou fechado(closed)|filtrado(filtered).
Esses estados não são propriedades intrínsecas da porta mas descrevem como o Nmap as vê. Por exemplo, um rastreio(scan) do Nmap da mesma rede como alvo pode mostrar a porta 135/tcp como aberta, enquanto um rastreio(scan) ao mesmo tempo com as mesmas opções a partir da Internet poderia mostrar essa porta como filtrada.
Os seis estados de porta reconhecidos pelo Nmap
aberto (open)
fechado (closed)
filtrado(filtered)
não-filtrado(unfiltered)
open|filtered
closed|filtered
TéCNICAS DE RASTREIO(SCAN) DE PORTAS¶
Como um novato executando uma reparação automóvel posso perder horas tentando usar minhas ferramentas rudimentares (martelo, fita adesiva, grifo, etc.) nas tarefas. Quando eu falho miseravelmente e reboco minha lata-velha para um mecânico de verdade ele invariavelmente pesca aqui e ali em um enorme baú de ferramentas até pegar a coisa perfeita que torna a tarefa numa brincadeira. A arte de rastrear(scaning) portas é similar. Os peritos entendem as dezenas de técnicas de rastreio(scan) e escolhem as que são apropriadas (ou uma combinação) para uma dada tarefa. Usuários inexperientes e script kiddies, por outro lado, tentam resolver todos os problemas com o scan SYN default. Uma vez que o Nmap é gratuito a única barreira para a mestria em rastreio(scaning) de portas é o conhecimento. Isso certamente é melhor que no mundo automóvel onde pode ser necessário uma grande habilidade para determinar que precisa de um compressor de molas e então tem que pagar milhares de euros por um.
A maioria dos tipos de rastreio(scan) está disponível apenas para usuários privilegiados. Isso acontece porque eles enviam e recebem pacotes em estado bruto(raw), o que requer acesso de root em sistemas Unix. Utilizar a conta de administrador no Windows é recomendado, embora o Nmap às vêzes funcione com usuários sem privilégios nessa plataforma quando o WinPcap foi carregado no SO. Requerer privilégio de root era uma séria limitação quando o Nmap foi lançado em 1997, pois muitos usuários apenas tinham acesso a contas de shell compartilhadas. Agora o mundo é diferente. Computadores estão mais baratos, muito mais pessoas tem acesso directo e permanente à Internet e computadores desktop Unix (incluindo Linux e MAC OS X) são comuns. Uma versão para o Windows do Nmap se encontra actualmente disponível permitindo que se use em muito mais computadores desktop. Por todas essas razões os usuários têm menos necessidade de executar o Nmap a partir de contas de shell compartilhadas e limitadas. Isso é muito bom pois as opções privilegiadas tornam o Nmap muito mais poderoso e flexível.
Embora o Nmap tente produzir resultados precisos tenha em mente que todas as deduções são baseadas em pacotes devolvidos pelas máquinas-alvo (ou firewalls na frente delas). Tais anfitriões(hosts) podem não ser confiáveis e enviar respostas com o propósito de confundir ou enganar o Nmap. Muito mais comum são os anfitriões(hosts) não-de-acordo-com-a-rfc que não respondem como deveriam às sondagens do Nmap. As sondagens FIN, Null e Xmas são particularmente suscetíveis a esse problema. Tais questões são específicas de determinados tipos de scan e portanto são discutidos nas entradas individuais de cada um dos tipos.
Esta seção documenta as dezenas de técnicas de rastreio(scan) de portas suportadas pelo Nmap. Apenas um método pode ser utilizado de cada vezm excepto que um scan UDP (-sU) pode ser combinado com qualquer um dos tipos de scan TCP. Como uma ajuda para a memória as opções dos tipos de rastreio(scan) de portas estão no formato -sC, onde C é um caracter proeminente no nome do rastreio(scan), normalmente o primeiro. A única excepção a essa regra é para o rastreio(scan) denominado FTP bounce (-b). Por default o Nmap executa um rastreio(scan) SYN, embora ele substitua por um rastreio(scan) Connect() se o usuário não tiver os privilégios adequados para enviar pacotes em estado bruto(raw) (requer acesso de root no UNIX) ou se alvos IPv6 forem especificados. Dos rastreios(scans) listados nesta secção os usuários não privilegiados podem apenas executar os rastreios(scans) connect() e ftp bounce.
-sS (rastreio(scan) TCP SYN)
Esta técnica é freqüentemente chamada de rastreio(scan) de porta entreaberta (half-open scanning), porque não abre uma conexão TCP completamente. Você envia um pacote SYN, como se fosse abrir uma conexão real e então espera uma resposta. Um SYN/ACK indica que a porta está ouvindo (aberta) enquanto um RST (reset) é indicativo de uma não-ouvinte. Se nenhuma resposta é recebida após diversas retransmissões a porta é marcada como filtrada. A porta também é marcada como filtrada se um erro ICMP de inalcançável é recebido (tipo 3, código 1,2, 3, 9, 10, ou 13).
-sT (rastreio(scan) TCP connect())
Quando um rastreio(scan) SYN está disponível é normalmente a melhor escolha. O Nmap tem menos controle sobre a chamada de alto nível connect() do que sobre os pacotes em estado bruto(raw) tornando-o menos eficiente. A chamada de sistema completa as conexões nas portas-alvo abertas ao invés de executar o reset de porta entreaberta que o rastreio(scan) SYN faz. Isso não só leva mais tempo e requer mais pacotes para obter a mesma informação mas também torna mais provável que as máquinas-alvo registrem a conexão. Um sistema IDS decente irá detectar qualquer um deles, mas a maioria das máquinas não tem esse tipo de sistema de alarme. Muitos serviços na maioria dos sistema Unix irão acrescentar uma nota na syslog e às vêzes uma mensagem de erro obscura, quando o Nmap se conecta e então fecha a conexão sem enviar nenhum dado. Serviços verdadeiramente patéticos irão travar quando isso acontecer embora isso seja incomum. Um administrador que vê um punhado de tentativas de conexão nos registros vindos de um único sistema deveria saber que foi rastreado(scanned) com connect.
-sU (rastreios(scans) UDP)
O rastreio(scan) UDP é activado com a opção -sU. Ele pode ser combinado com um tipo de rastreio(scan) TCP como o rastreio(scan) SYN (-sS) para averiguar ambos protocolos na mesma execução.
O SYN UDP funciona enviando um cabeçalho UDP vazio (sem dados) para cada porta pretendida. Se um erro ICMP de porta inalcançável (tipo 3, código 3) é retornado a porta está fechada. Outros erros do tipo inalcançável (tipo 3, códigos 1, 2, 9, 10, ou 13) marcam a porta como filtrada. Ocasionalmente um serviço irá responder com um pacote UDP provando que está aberta. Se nenhuma resposa é recebida após as retransmissões a porta é classificada como aberta|filtrada. Isso significa que a porta poderia estar aberta ou talvez que filtros de pacotes estejam bloqueando a comunicação. Rastreios(scans) de versões (-sV) podem ser utilizados para ajudar a diferenciar as portas verdadeiramente abertas das que estão filtradas.
Um grande desafio com o rastreio(scan) UDP é fazê-lo rapidamente. Portas abertas e filtradas raramente enviam alguma resposta, deixando o Nmap esgotar o tempo (time out) e então efectuar retransmissões para o caso de a sondagem ou a resposta ter sido perdida. Portas fechadas são normalmente um problema ainda maior. Elas costumam enviar de volta um erro ICMP de porta inalcançável. Mas, ao contrário dos pacotes RST enviados pelas portas TCP fechadas em resposta a um rastreio(scan) SYN ou Connect, muitos anfitriões(hosts) limitam a taxa de mensagens ICMP de porta inalcançável por default. O Linux e o Solaris são particularmente rigorosos quanto a isso. Por exemplo, o kernel 2.4.20 do Linux limita a quantidade de mensagens de destino inalcançável a até uma por segundo (no net/ipv4/icmp.c).
O Nmap detecta a limitação de taxa e diminui o ritmo de acordo para evitar inundar a rede com pacotes inúteis que a máquina-alvo irá descartar. Infelizmente, um limite como o do Linux de um pacote por segundo faz com que um rastreio(scan) de 65.536 portas leve mais de 18 horas. Idéias para acelerar o rastreio(scan) UDP incluem rastrear(scan) mais anfitriões(hosts) em paralelo, fazer um rastreio(scan) rápido apenas das portas mais comuns primeiro, rastrear(scan) por detrás de um firewall e utilizar --host-timeout para saltar os anfitriões(hosts) lentos.
-sN; -sF; -sX (rastreios(scans) TCP Null, FIN, e Xmas)
Quando se rastreia(scan) sistemas padronizados com o texto desta RFC, qualquer pacote que não contenha os bits SYN, RST ou ACK irá resultar em um RST como resposta se a porta estiver fechada e nenhuma resposta se a porta estiver aberta. Contanto que nenhum desses três bits esteja incluídos qualquer combinação dos outros três (FIN, PSH e URG) é válida. O Nmap explora isso com três tipos de rastreio(scan):
rastreio(scan) Null (-sN)
rastreio(scan) FIN (-sF)
rastreio(scan) Xmas(-sX)
Estes três tipos de rastreio(scan) são exatamente os mesmos em termos de comportamento exceto pelas flags TCP marcadas no pacotes de sondagem. Se um pacote RST for recebido a porta é considerada fechada e nenhuma resposta significa que está aberta|filtrada. A porta é marcada como filtrada se um erro ICMP do tipo inalcançável (tipo 3, código 1, 2, 3, 9, 10, ou 13) for recebido.
A vantagem principal destes tipos de rastreio(scan) é que eles podem bisbilhotar através de alguns firewalls não-orientados à conexão e de routers que filtram pacotes. Outra vantagem é que esses tipos de rastreio(scan) são um pouco mais camuflados do que o rastreio(scan) SYN. Mas não conte com isso -- a maioria dos produtos IDS modernos podem ser configurados para detectá-los. O maior problema é que nem todos os sistemas seguem a RFC 793 ao pé-da-letra. Diversos sistemas enviam respostas RST para as sondagens independentemente do facto da porta estar aberta ou não. Isso faz com que todas as portas sejam classificadas como fechadas. A maioria dos sistemas operativos que fazem isso são Microsoft Windows, muitos dispositivos Cisco, BSDI e o IBM OS/400. Esse rastreio(scan) funciona realmente contra a maioria dos sistemas baseados em Unix. Outro ponto negativo desses rastreios(scans) é que eles não conseguem diferenciar portas abertas de alguns tipos de portas filtradas deixando com a resposta abera|filtrada.
-sA (rastreio(scan) TCP ACK)
O pacote de sondagem do rastreio(scan) ACK tem apenas a flag ACK marcada (a menos que use --scanflags). Quando se rastreia(scan) sistemas não-filtrados as portas abertas e fechadas irão devolver um pacote RST. O Nmap então coloca nelas o rótulo não-filtradas (unfiltered) significando que elas estão alcançáveis pelo pacote ACK, mas se elas estão abertas ou fechadas é indeterminado. Portas que não respondem ou que devolvem certas mensagens de erro ICMP (tipo 3, código 1, 2, 3, 9, 10, ou 13), são rotuladas como filtradas.
-sW (rastreio(scan) da Janela TCP)
Este rastreio(scan) se baseia em um detalhe de implementação de uma minoria de sistemas na Internet, portanto não se pode confiar sempre nele. Sistemas que não suportam isso irão normalmente devolver todas as portas como fechadas. É claro que é possível que a máquina realmente não tenha nenhuma porta aberta. Se a maioria das portas rastreadas(scaned) estiver fechada mas uns poucos números de portas comuns (tais como 22, 25, 53) estão filtrados, o sistema muito provavelmente está vulnerável. De vez em quando os sistemas irão mostrar exatamente o comportamento oposto. Se o seu rastreio(scan) mostrar 1000 portas abertas e 3 fechadas ou filtradas, então essas três podem muito bem ser as verdadeiramente abertas.
-sM (rastreio(scan) TCP Maimon)
--scanflags (rastreio(scan) TCP Customizado)
O argumento do --scanflags pode ser um valor numérico da marca (flag) como o 9 (PSH e FIN), mas usar nomes simbólicos é mais fácil. Apenas esprema alguma combinação de URG, ACK, PSH, RST, SYN, e FIN. Por exemplo, --scanflags URGACKPSHRSTSYNFIN marca tudo, embora não seja muito útil para rastreio(scan). A ordem em que essas marcas são especificadas é irrelevante.
Além de especificar as marcas desejadas pode especificar um tipo de rastreio(scan) TCP (como o -sA ou -sF). Esse tipo-base diz ao Nmap como interpretar as respostas. Por exemplo, um rastreio(scan) SYN considera nenhuma-resposta como uma indicação de porta filtrada enquanto que um rastreio(scan) FIN trata a mesma como aberta|filtrada. O Nmap irá se comportar da mesma forma que o tipo de rastreio(scan)-base escolhido, excepto que ele irá usar as marcas TCP que especificar. Se não escolher um tipo-base, o rastreio(scan) SYN é utilizado.
-sI <hostzumbi[:portadesondagem]> (rastreio(scan) Idle)
Além de ser extraordinariamente camuflado (devido à sua natureza cega), este tipo de rastreio(scan) permite mapear relações de confiança baseadas em IP entre máquinas. A listagem de portas mostra as portas abertas da perspectiva do anfitrião(host) zumbi. Portanto pode tentar rastrear(scan) um alvo usando vários zumbis que acha que podem ser confiáveis (via regras de router/filtro de pacotes).
Você pode adicionar os dois-pontos seguindo do número da porta ao nome do anfitrião(host) zumbi, se quiser sondar uma porta em particular no zumbi verificando as mudanças de IPID. Do contrário o Nmap irá utilizar a porta que ele normalmente usa por default para pings tcp (80).
-sO (Rastreios(Scans) do protocolo IP)
Além de ser útil de certa forma, o rastreio(scan) de protocolo mostra o poder do software de código aberto. Embora a idéia fundamental seja bastante simples, eu não tinha pensado em adicioná-la e nem havia recebido nenhuma solicitação para essa funcionalidade. Então, no verão de 2000, Gerhard Rieger concebeu a idéia, escreveu uma excelente alteração (patch) implementando-a e enviou-a para a lista de discussão nmap-hackers. Eu incorporei a alteração na árvore do Nmap e lancei uma nova versão no dia seguinte. Poucos produtos de software comercial tem usuários entusiasmados o suficiente para desenhar e contribuir com melhorias!
O rastreio(scan) de protocolo funciona de uma forma similar a um rastreio(scan) UDP. Ao invés de ficar repetindo alternando o campo de número de porta de um pacote UDP, ele envia cabeçalhos de pacote IP e faz a repetição alternando o campo de protocolo IP de 8 bits. Os cabeçalhos normalmente estão vazios, sem conter dados, nem mesmo o cabeçalho apropriado do suposto protocolo. As três excepções são o TCP, o UDP e o ICMP. Um cabeçalho de protocolo apropriado para estes é incluído, uma vez que alguns sistemas não os enviarão caso não tenham e porque o Nmap tem as funções para criá-los ao invés de observar as mensagens de erro ICMP de porta inalcançável, o rastreio(scan) de protocolo fica de olho nas mensagens ICMP de protocolo inalcançável. Se o Nmap recebe qualquer resposta de qualquer protocolo do anfitrião(host)-alvo, o Nmap marca esse protocolo como aberto. Um erro ICMP de protocolo não-alcançável (tipo 3, código 2) faz com que o protocolo seja marcado como fechado. Outros erros ICMP do tipo inalcançável (tipo 3, código 1, 3, 9, 10, ou 13) fazem com que o protocolo seja marcado como filtrado (embora eles provem, ao mesmo tempo, que o ICMP está aberto). Se nenhuma resposta for recebida após as retransmissões, o protocolo é marcado como aberto|filtrado.
-b <anfitrião(host) para relay de ftp> (Rastreio(Scan) de FTP bounce)
Esta vulnerabilidade espalhou-se em 1997 quando o Nmap foi lançado mas foi corrigida amplamente. Servidores vulneráveis ainda estão por aí, então pode valer a pena tentar se tudo o mais falhar. Se passar por cima de um firewall é o seu objetivo, faça o rastreio(scan) da rede-alvo procurando por uma porta 21 aberta (ou mesmo por qualquer serviço FTP se rastrear(scan) todas as portas com a detecção de versão), então tente um rastreio(scan) bounce usando-as. O Nmap irá dizer se o anfitrião(host) é vulnerável ou não. Se estiver apenas tentando encobrir suas pegadas, não precisa (e, na verdade, não deveria) limitar-se a anfitriões(hosts) na rede-alvo. Antes de sair rastreando endereços aleatórios na Internet procurando por servidores FTP, considere que os administradores de sistemas podem não apreciar o seu abuso nos servidores deles.
ESPECIFICAçãO DE PORTAS E ORDEM DE SCAN¶
Somado a todos os métodos de rastreio(scan) discutidos anteriormente, o Nmap oferece opções para especificar quais portas são rastreadas(scaned) e se a ordem de rastreio(scan) é aleatória ou sequencial. Por default, o Nmap rastreia(scan) todas as portas até, e incluindo, 1024, bem como portas com numeração alta listadas no arquivo nmap-services para o(s) protocolo(s) rastreados(scaned).
-p <faixa de portas> (Rastreia apenas as portas especificadas)
Quando rastrear(scan) ambas as portas TCP e UDP, pode especificar um protocolo em particular precedendo os números de portas com T: ou U:. O qualificador dura até que especifique um novo qualificador. Por exemplo, o argumento -p U:53,111,137,T:21-25,80,139,8080 faria o rastreio(scan) das portas UDP 53, 111 e 137, bem como as portas TCP listadas. Note que para rastrear(scan) ambas as portas UDP & TCP, tem que especificar -sU e pelo menos um tipo de rastreio(scan) TCP (tal como -sS, -sF ou -sT). Se nenhum qualificador de protocolo for informado, os números de portas serão acrescentados à todas as listas de protocolos.
-F (rastreio(scan) Rápido (portas limitadas))
-r (Não usa as portas de forma aleatória)
DETECçãO DE SERVIçO E VERSãO¶
Aponte o Nmap para uma máquina remota e ele poderá lhe dizer que as portas 25/tcp, 80/tcp e 53/udp estão abertas. Utilizar o banco de dados nmap-services com cerca de 2.200 serviços bastante conhecidos do Nmap iria relatar que aquelas portas provavelmente correspondem a um servidor de correio eletrônico (SMTP), a um servidor de páginas web (HTTP) e a um servidor de nomes (DNS) respectivamente. Essa pesquisa normalmente é precisa -- a grande maioria de daemons escutando na porta TCP 25 é de facto de servidores de correio eletrónico. Entretanto não deveria apostar a sua segurança nesta informação! As pessoas podem e executam serviços em portas estranhas.
Mesmo que o Nmap esteja certo e o servidor hipotético acima esteja executando os serviços SMTP, HTTP e DNS, isso não é informação o bastante. Quando fizer uma avaliação de vulnerabilidades (ou mesmo um simples inventário da rede) de sua empresa ou clientes, realmente deseja saber qual o programa-servidor de correio eletrónico ou de nomes e as versões que estão rodando. Ter um número de versão exacto ajuda substancialmente na determinação de quais explorações (exploits) o servidor está vulnerável. A detecção de versão ajuda a obter esta informação.
Depois que as portas TCP e/ou UDP forem descobertas usando qualquer um dos outros métodos de rastreio(scan), a detecção de versão interroga essas portas para determinar mais informações sobre o que realmente sendo executado nessas portas. O banco de dados nmap-service-probes do Nmap contém sondagens para pesquisar diversos serviços e expressões de acerto (match expressions) para reconhecer e destrinchar as respostas. O Nmap tenta determinar os protocolos de serviços (p.ex.: ftp, ssh, telnet, http), o nome da aplicação (p.ex.: ISC Bind, Apache httpd, Solaris telnetd), o número da versão, o nome do anfitrião(host), tipo de dispositivo (p.ex.: impressora, router), a família do SO (p.ex.: Windows, Linux) e às vezes detalhes diversos do tipo, se um servidor X está aberto para conexões, a versão do protocolo SSH ou o nome do usuário do KaZaA. É claro que a maioria dos serviços não fornece todas essas informações. Se o Nmap foi compilado com o suporte ao OpenSSL ele irá se conectar aos servidores SSL para deduzir qual o serviço que está escutando por trás da camada criptografada. Quando os serviços RPC são descobertos, o "amolador" de RPC (RPC grinder) do Nmap (-sR) é automaticamente utilizado para determinar o nome do programa RPC e o número da versão. Algumas portas UDP são deixadas no estado aberta|filtrada depois que rastreio(scan) de porta UDP não consegue determinar se a porta está aberta ou filtrada. A detecção de versão irá tentar provocar uma resposta dessas portas (do mesmo jeito que faz com as portas abertas) e alterar o estado para aberta se conseguir. Portas TCP do tipo aberta|filtrada são tratadas da mesma forma. Note que a opção -A do Nmap habilita a detecção de versão entre outras coisas. Um trabalho documentando o funcionamento, uso e customização da detecção de versão está disponível em http://www.insecure.org/nmap/versionscan.html.
Quando o Nmap recebe uma resposta de um serviço mas não consegue encontrá-la em seu banco de dados, ele mostra uma identificação (fingerprint) especial e uma URL para que envie informações se souber com certeza o que está rodando nessa porta. Por favor considere dispor de alguns minutos para mandar essa informação de forma que sua descoberta possa beneficiar a todos. Graças a esses envios o Nmap tem cerca de 3.000 padrões de acerto para mais de 350 protocolos, tais como o smtp, ftp, http, etc.
A detecção de versão é habilitada e controlada com as seguintes opções:
-sV (detecção de versão)
--allports (Não exclui nenhuma porta da detecção de versão)
--version-intensity <intensidade> (Estabelece a intensidade do rastreio(scan) de versão)
--version-light (Habilita o modo leve (light))
--version-all (Tenta simplesmente todas as sondagens)
--version-trace (Monitora as atividades do rastreio(scan) de versão)
-sR (Scan RPC)
DETECçãO DE SO¶
Uma das características mais conhecidas do Nmap é a detecção remota de SO utilizando a identificação da pilha (stack fingerprinting) do TCP/IP. O Nmap envia uma série de pacotes TCP e UDP ao anfitrião(host) remoto e examina praticamente todos os bits das respostas. Após executar dezenas de testes como a amostragem TCP ISN, suporte e ordenamento das opções do TCP, amostragem IPID e a observação do tamanho inicial da janela, o Nmap compara os resultados com o banco de dados nmap-os-fingerprints com mais de 1500 identificações de SO conhecidas e mostra os detalhes do SO se houver uma correspondência. Cada identificação inclui uma descrição textual livre do SO e uma classificação que fornece o nome do fabricante (p.ex.: Sun), SO base (p.ex.: Solaris), geração do SO (p.ex.: 10) e tipo de dispositivo (genérico, router, switch, consola de jogo, etc.).
Se o Nmap não conseguir identificar o SO da máquina e as condições forem favoráveis (p.ex.: pelo menos uma porta aberta e uma porta fechada foram encontradas), o Nmap irá fornecer uma URL onde poderá enviar a identificação se souber (com certeza) o SO em execução na máquina. Fazendo isso, contribui para o pool de sistemas operacionais conhecidos pelo Nmap e, com isso, ele será mais preciso para todos.
A detecção de SO habilita diversos outros testes que usam as informações coletadas durante o processo. Um deles é a medição de uptime, que utiliza a opção timestamp do TCP (RFC 1323) para supor quando uma máquina foi reiniciada pela última vez. Isso apenas é mostrado para as máquinas que fornecem essa informação. Outro é a Classificação de Previsibilidade da Seqüencia do TCP. Ele mede aproximadamente o grau de dificuldade de se estabelecer uma conexão TCP forjada contra um anfitrião(host) remoto. É útil para se explorar relações de confiança baseadas no IP de origem (rlogin, filtros de firewall, etc.) ou para ocultar a origem de um ataque. Esse tipo de enganação (spoofing) raramente é executada hoje em dia, mas muitas máquinas ainda estão vulneráveis a ele. O número de dificuldade real é baseado em amostragens estatísticas e pode variar. Normalmente é melhor usar a classificação em inglês, do tipo “worthy challenge” (um desafio que vale a pena) ou “trivial joke” (uma piada, muito fácil). Isso só é mostrado na saída normal do modo verbose (-v). Quando o modo verbose é habilitado juntamente com o -O, a Geração de Seqüencia IPID também é mostrada. A maioria das máquinas é classificada como “incremental” , o que significa que elas incrementam o campo ID no cabeçalho IP para cada pacote que envia. Isso torna-as vulnerável a diversos ataques avançados de levantamento e forjamento de informações.
Um trabalho documentando o funcionamento, utilização e customização da datecção de versão está disponível em mais de uma dezena de línguas em http://www.insecure.org/nmap/osdetect/.
A deteção de SO é habilitada e controlada com as seguintes opções:
-O (Habilita a detecção de SO)
--osscan-limit (Limitar a detecção de SO a alvos promissores)
--osscan-guess; --fuzzy (Resultados de tentativas de detecção de SO)
TEMPORIZAçãO (TIMING) E DESEMPENHO¶
Uma das minhas mais altas prioridades no desenvolvimento do Nmap tem sido o desempenho. Um rastreio(scan) default (nmap hostname) de um anfitrião(host) em minha rede local leva apenas um quinto de segundo. Isso mal dá tempo de piscar o olho, mas esse tempo conforme está rastreando dezenas ou centenas de milhares de anfitriões(hosts). Além disso, certos tipos de rastreio(scan) como o rastreio(scan) UDP ou a detecção de versão, aumentam o tempo de rastreio(scan) substancialmente. Da mesma forma algumas configurações de firewall fazem o mesmo, particularmente quando limitam a taxa de resposta. Embora o Nmap se utilize de paralelismo e muitos outros algoritmos avançados para acelerar esses rastreios(scans) o usuário tem o controle final sobre como o Nmap executa. Usuários avançados elaboram comandos do Nmap cuidadosamente para obter apenas as informações que importam, sempre se preocupando com as restrições de tempo.
Técnicas para melhorar os tempos de rastreio(scan) incluem omitir testes não-críticos e atualizar até a versão mais recente do Nmap (melhorias de desempenho são feitas freqüentemente). Otimizar os parâmetros de tempo também podem fazer uma grande diferença. Essas opções estão listadas abaixo.
--min-hostgroup <milissegundos>; --max-hostgroup <milissegundos> (Ajuste dos tamanhos dos grupos de rastreio(scan) paralelos)
Por default, o Nmap assume um compromisso para resolver esse conflito. Ele começa com um tamanho de grupo pequeno, igual a cinco, para que os primeiros resultados venham rápido e então aumenta o tamanho até que chegue em 1024. O número default exacto depende das opções fornecidas. Por questões de eficiência o Nmap usa tamanhos de grupo maiores para o UDP ou para rastreios(scans) TCP com poucas portas.
Quando o tamanho de grupo máximo é especificado com --max-hostgroup, o Nmap nunca irá exceder esse tamanho. Especifique um tamanho mínimo com --min-hostgroup e o Nmap irá tentar manter o tamanho dos grupos acima desse nível. O Nmap pode ter que usar tamanhos menores do que especificou, se não houverem anfitriões(hosts)-alvo suficientes restando em uma dada interface para completar o mínimo especificado. Ambos podem ser configurados para manter o tamanho do grupo dentro de uma faixa específica, embora isso raramente seja desejado.
O uso primário destas opções é especificar um tamanho de grupo mínimo grande de forma que o rastreio(scan) completo seja executado mais rapidamente. Uma escolha comum é 256 para rastrear(scan) uma rede em blocos de tamanho Classe C. Para um rastreio(scan) com muitas portas exceder esse número não irá ajudar muito. Para rastreios(scans) com poucos números de portas um tamanho de grupo de anfitriões(hosts) de 2048 ou mais pode ser útil.
--min-parallelism <milissegundos>; --max-parallelism <milissegundos> (Ajuste da paralelização das sondagens)
O uso mais comum é estabelecer --min-parallelism em um número maior que um para melhorar a velocidade dos rastreios(scans) de anfitriões(hosts) ou redes com desempenho ruim. Esta é uma opção arriscada para se ficar brincando pois configurar um valor alto demais pode afetar a precisão. Configurar isso também reduz a habilidade do Nmap de controlar o paralelismo dinamicamente baseado nas condições da rede. Um valor igual a dez pode ser razoável, embora eu só ajuste esse valor como última alternativa.
A opção --max-parallelism às vêzes é configurada para evitar que o Nmap envie aos anfitriões(hosts) mais do que uma sondagem de cada vez. Isso pode ser útil em conjunto com --scan-delay (discutido mais tarde), embora esta última normalmente sirva bem ao propósito por si só.
--min_rtt_timeout <milissegundos>, --max-rtt-timeout <milissegundos>, --initial-rtt-timeout <milissegundos> (Ajuste de tempo de expiração (timeouts) das sondagens)
Estas opções recebem um valor em milissegundos. Especificar um --max-rtt-timeout e --initial-rtt-timeout mais baixos que o default pode reduzir o tempo de rastreio(scan) significativamente. Isso é particularmente verdade para rastreios(scans) sem ping (-P0) e para aqueles contra redes bastante filtradas. Mas não se torne muito agressivo. O rastreio(scan) pode acabar levando mais tempo se especificar um valor tão baixo que muitas sondagens irão expirar o tempo e serem retransmitidas enquanto a resposta ainda está em trânsito.
Se todos os anfitriões(hosts) estão em uma rede local, 100 milissegundos é um valor de --max-rtt-timeout razoavelmente agressivo. Se houver roteamento envolvido faça um ping de um anfitrião(host) da rede primeiro com o utilitário ICMP ping ou com um formatador de pacotes customizados como o hping2, que pode passar por um firewall mais facilmente. Descubra o tempo máximo de round trip em dez pacotes mais ou menos. Coloque o dobro desse valor em --initial-rtt-timeout e o triplo ou quádruplo para o --max-rtt-timeout. Normalmente eu não configuro o rtt máximo abaixo de 100ms, não importa quais os tempos de ping. Eu também não excedo o valor 1000ms.
--min_rtt_timeout é uma opção raramente utilizada que poderia ser útil quando uma rede é tão não-confiável que mesmo o default do Nmap é muito agressivo. Considerando que o Nmap apenas reduz o tempo de expiração para um valor mínimo quando a rede parece ser confiável, esta necessidade não é comum e deveria ser reportada à lista de discussão nmap-dev como um bug.
--host-timeout <milissegundos> (Desiste em anfitriões(hosts)-alvo lentos)
--scan-delay <milissegundos>; --max_scan-delay <milissegundos> (Ajusta o atraso entre sondagens)
Outro uso do --scan-delay é para evitar os sistemas de prevenção e deteção de intrusão (IDS/IPS) baseados em limites.
-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> (Estabelece um padrão de temporização)
Estes padrões permitem que o usuário especifique o quão agressivo desejam ser, ao mesmo tempo que deixam o Nmap escolher os valores de temporização exactos. Os padrões também fazem ajustes pequenos na velocidade onde ainda não existem opções para controle de ajuste fino. Por exemplo, -T4 proibe que o atraso dinâmico de rastreio(scan) exceda 10ms para portas TCP e -T5 corta esse valor para 5 milissegundos. Padrões podem ser utilizados em conjunto com controles de ajuste fino desde que o padrão seja especificado primeiramente. Do contrário os valores default para os padrões irão se sobrepor aos valores que especificar. Eu recomendo usar -T4 quando rastrear(scan) redes razoavelmente modernas e confiáveis. Mantenha essa opção (no começo da linha de comando) mesmo que adicione controles de ajuste fino, de forma que possa se beneficiar com as pequenas otimizações extras que ela habilita.
Se tiver uma conexão ethernet ou de banda-larga decente, eu recomendaria sempre utilizar -T4. Algumas pessoas adoram o -T5 embora seja agressivo demais para o meu gosto. As pessoas às vêzes especificam -T2 porque acham que diminui a probabilidade de travar os anfitriões(hosts) ou porque elas consideram-se educadas em geral. Normalmente elas não percebem o quão lento o -T Polite realmente é. Esses rastreios(scans) podem levar dez vêzes mais tempo que um rastreio(scan) default. Travamento de máquinas e problemas com a banda são raros com as opções de temporização default (-T3) e portanto, eu normalmente as recomendo para escaneadores precavidos. Omitir a detecção de versão é bem mais eficaz do que ficar brincando com os valores de temporização para reduzir esses problemas.
Embora o -T0 e o -T1 possam ser usados para evitar alertas no IDS, eles irão leva muito mais tempo para rastrear(scan) milhares de máquinas ou portas. Para um rastreio(scan) tão amplo prefira estabelecer os valores exatos de temporização que precisa ao invés de depender dos valores "engessados" de -T0 e -T1.
Os principais efeitos de T0 é serializar o rastreio(scan) de forma que apenas uma porta é rastreada de cada vez e então aguardar cinco minutos entre o envio de cada sondagem. T1 e T2 são similares mas aguardam apenas 15 segundos e 0,4 segundos, respectivamente, entre as sondagens. T3 é o comportamento default do Nmap, que inclui o paralelismo. T4 faz o mesmo que --max-rtt-timeout 1250 --initial-rtt-timeout 500 e estabelece o atraso máximo de rastreio(scan) TCP em 10 milissegundos. T5 faz o mesmo que --max-rtt-timeout 300 --min_rtt_timeout 50 --initial-rtt-timeout 250 --host-timeout 900000 e estabelece o atraso máximo de rastreio(scan) TCP em 5ms.
EVITANDO E ENGANANDO O FIREWALL/IDS¶
Muitos pioneiros da Internet vislumbraram uma rede mundial aberta com um espaço de endereçamento IP universal que permitisse conexões virtuais entre quaisquer dois nós. Isso permite que os anfitriões(hosts) actuem como verdadeiros semelhantes, servindo e obtendo informações uns dos outros. As pessoas poderiam aceder a seus computadores domésticos do trabalho, mudando os ajustes do controle de climatização ou abrindo as portas para convidados. Essa visão de conectividade universal foi sufocada pela falta de espaço de endereçamento e preocupações com a segurança. No início dos anos 1990 as empresas começaram a instalar firewalls para o propósito claro de reduzir a conectividade. Rede enormes foram isoladas da Internet-sem-fronteiras por proxies de aplicativos, tradução de endereçamento de rede (network address translation) e filtros de pacotes. O fluxo irrestrito de informações deu a vez à regulamentação acirrada de canais de comunicação autorizados e ao conteúdo que neles trafegam.
As obstruções de rede como o firewall podem tornar o mapeamente de uma rede extremamente difícil. E isso não vai se tornar mais fácil, pois sufocar as sondagens casuais é freqüentemente o objetivo principal de se instalar esses dispositivos. Apesar disso o Nmap oferece muitas ferramentas para ajudar a entender essas redes complexas e para verificar que os filtros estão funcionando como esperado. Ele até suporta mecanismos para passar por cima de defesas mal implementadas. Um dos melhores métodos para se entender a postura de segurança de uma rede é tentar derrubá-la. Pense com a mente de uma pessoa que quer atacá-lo e aplique técnicas desta seção contra a sua rede. Lance um rastreio(scan) FTP bounce, um rastreio(scan) idle, um ataque de fragmentação ou tente "tunelar" (criar um túnel) através de um de seus próprios proxies.
Além de restringir a atividade de rede as empresas estão monitorando o tráfego cada vez mais com sistemas de detecção de intrusão (IDS). Todos os principais IDS vêm com regras designadas para detectar rastreios(scans) feitos com o Nmap porque os rastreios(scans) são, às vêzes, precursores de ataques. Muitos desses produtos foram recentemente metamorfoseados em sistemas de prevenção de intrusão (IPS) que bloqueiam o tráfego considerado malicioso de forma activa. Infelizmente para administradores de rede e vendedores de IDS, detectar confiavelmente as más intenções através da análise de dados de pacotes é um problema difícil. Atacantes com paciência, habilidade e a ajuda de certas opções do Nmap podem normalmente passar por um IDS sem serem detectados. Enquanto isso, os administradores devem lidar com um alto número de resultados do tipo falso-positivo onde actividades inocentes são diagnosticadas erradamente e recebem alertas ou são bloqueadas.
De vez em quando as pessoas sugerem que o Nmap não deveria oferecer opções que permitam evitar as regras de firewalls ou passar desapercebidos por IDSs. Elas argumentam que essas características são tão sujeitas à má-utilização por atacantes quanto são utilizadas por administradores para aumentar a segurança. O problema com esta lógica é que esses métodos ainda assim seriam utilizados pelos atacantes que encontrariam outras ferramentas ou então acrescentariam essa funcionalidade no Nmap. Enquanto isso os administradores achariam muito mais difícil executar suas tarefas. Instalar apenas servidores FTP modernos e corrigidos é uma defesa muito melhor do que tentar evitar a distribuição de ferramentas que implementem o ataque FTP bounce.
Não existe uma carta mágica (ou opção do Nmap) para detectar e subverter firewalls e sistemas IDS. É necessário habilidade e experiência. Um tutorial está além do objectivo deste guia de referência que apenas lista as opções relevantes e descreve suas funções.
-f (fragmenta os pacotes); --mtu (usando a MTU especificada)
-D <chamariz1 [,chamariz2][,ME],...> (Disfarça um rastreio(scan) usando chamarizes)
Separe cada anfitrião(host)-chamariz com vírgulas e pode opcionalmente usar ME como um dos chamarizes para representar a posição do seu endereço IP real. Se colocar ME na 6a. posição ou acima, alguns detectores de rastreio(scan) de portas comuns (como o excelente scanlogd da Solar Designer) pouco provavelmente irão mostrar o seu endereço IP. Se não utilizar o ME o nmap irá colocá-lo em uma posição aleatória.
Observe que os anfitriões(hosts) que utilizar como chamarizes devem estar activos ou poderá acidentamente inundar com SYN os seus alvos. Também será bastante fácil determinar qual é o anfitrião(host) que está a efectuar o rastreio(scan) se houver apenas um anfitrião(host) realmente activo na rede. Você pode preferir usar endereços IP ao invés de nomes (de forma que as redes chamarizes não vejam em seus logs dos servidores de nomes).
Chamarizes são utilizados tanto no rastreio(scan) com ping inicial (usando ICMP, SYN, ACK ou qualquer outro) como também durante a fase real de rastreio(scan) de portas. Chamarizes também são usados durante a detecção de SO remoto (-O). Chamarizes não funcionam com a detecção de versão ou com o rastreio(scan) TCP connect().
Vale a pena observar que usar chamarizes demais pode deixar seu rastreio(scan) lento e potencialmente até torná-lo menos preciso. Outra coisa, alguns provedores ISP irão filtrar os seus pacotes disfarçados mas muitos não restringem pacotes IP disfarçados.
-S <Endereço_IP> (Disfarça o endereço de origem)
Outro uso possível para esta flag é para disfarçar o rastreio(scan) e fazer com que os alvos achem que alguma outra pessoa está fazendo o rastreio(scan). Imagine uma empresa que está constantemente sofrendo rastreios(scans) de portas de um concorrente! A opção -e normalmente seria requerida para este tipo de uso e -P0 seria recomendável.
-e <interface> (Usa a interface especificada)
--source-port <númerodaporta>; -g <númerodaporta> (Disfarça o número de porta de origem)
Soluções seguras para esses problemas existem frequentemente na forma de proxies no nível da aplicação ou módulos de firewall para análise de protocolo. Infelizmente também há soluções mais fáceis e inseguras. Observando que as respostas DNS chegam pela porta 53 e o FTP activo pela porta 20 muitos administradores caem na armadilha de apenas permitir tráfego vindo dessas portas. Eles normalmente assumem que nenhum atacante irá notar e explorar essas brechas no firewall. Em outros casos os administradores consideram isso uma medida provisória de curto prazo até que eles possam implementar uma solução mais segura. Normalmente ele esquecem-se de fazer as actualizações de segurança.
Administradores de rede sobrecarregados não são os únicos a caírem nessa armadilha. Diversos produtos foram empacotados com essas regras inseguras. Mesmo a Microsoft é culpada. Os filtros IPsec que vieram com o Windows 2000 e com o Windows XP contém uma regra implícita que permite todo o tráfego TCP ou UDP da porta 88 (Kerberos). Em outro caso bastante conhecido, versões do firewall pessoal Zone Alarm, até a versão 2.1.25, permitiam qualquer pacote UDP entrante com a porta de origem 53 (DNS) ou 67 (DHCP).
O Nmap oferece as opções -g e --source-port (elas são equivalentes) para explorar essas fraquezas. Apenas forneça um número de porta e o Nmap irá enviar pacotes dessa porta onde for possível. O Nmap utiliza números de porta diferentes para que certos testes de detecção de SO funcionem direito e as requisições DNS ignoram a flag --source-port porque o Nmap confia nas bibliotecas de sistema para lidar com isso. A maioria dos rastreios(scans) TCP, incluindo o rastreio(scan) SYN, suportam a opção completamente assim como o rastreio(scan) UDP.
--data-length <número> (Acrescenta dados aleatórios nos pacotes enviados)
--ttl <valor> (Establece o valor do campo time-to-live)
--randomize-hosts (Torna aleatória a ordem dos anfitriões(hosts)-alvo)
--spoof-mac <endereço mac, prefixo, ou nome do fabricante> (Disfarça o endereço MAC)
SAíDA (OUTPUT)¶
Qualquer ferramenta de segurança só é útil se a saída que ela gera também o for. Testes e algorítmos complexos são de pouco valor se não forem apresentados de uma forma organizada e compreensível. Dado o número de formas que o Nmap é utilizado pelas pessoas e por outros softwares, nenhum formato irá agradar a todos. Então o Nmap oferece diversos formatos incluindo o modo interativo para humanos lerem diretamente e o XML para fácil interpretação por um software.
Além de oferecer diversos formatos de saída, o Nmap fornece opções para controlar a verbosidade da saída assim como as mensagens de depuração. Os tipos de saída podem ser enviados para a saída padrão (standard output) ou para arquivos, o qual o Nmap pode acrescentar ou então sobrescrever. Arquivos de saída também podem ser utilizados para se retomar rastreios(scans) abortados.
O Nmap torna a saída disponível em cinco formatos diferentes. O default é chamado de saída interativa (interactive output) e é enviada para a saída padrão (stdout). Há também a saída normal (normal output) que é similar à interativa excepto pelo facto de mostrar menos informações e alertas sobre a execução uma vez que se espera que seja feita uma análise somente após o rastreio(scan) completar, ao invés de interativamente.
A saída XML é um dos tipos de saída mais importantes pois permite a conversão para HTML, é facilmente analisada por programas como a interface gráfica do Nmap ou pode ser importada em banco de dados.
Os dois tipos restantes de saída são a simples saída para o grep (grepable output) que inclui a maioria das informações de um anfitrião(host)-alvo em uma única linha e a s4íd4 sCRiPt KiDDi3 (sCRiPt KiDDi3 0utPUt) para usuários que se consideram 1r4d0z (|<-r4d).
Embora a saída interativa seja a default e não tenha associada nenhuma opção de linha de comando, as outras quatro opções de formato utilizam a mesma sintaxe. Elas recebem um argumento que é o nome do arquivo onde os resultados devem ser armazenados. Formatos múltiplos podem ser especificados mas cada formato só pode ser especificado uma vez. Por exemplo, pode querer armazenar a saída normal para seu uso enquanto grava a saída XML do mesmo rastreio(scan) para análise utilizando programas. Você pode fazer isso com as opções -oX myscan.xml -oN myscan.nmap. Embora este capítulo use nomes simples como myscan.xml por uma questão de brevidade, nomes mais descritivos normalmente são recomendados. Os nomes escolhidos são uma questão de preferência pessoal, embora eu use nomes longos que incorporam da data do rastreio(scan) e uma palavra ou duas que descrevam o rastreio(scan), colocados em um diretório com o nome da empresa que eu estou rastreando.
Mesmo que essas opções gravem os resultados em arquivos, o Nmap ainda assim mostra a saída interativa na stdout como de costume. Por exemplo, o comando nmap -oX myscan.xml target grava em XML no myscan.xml e enche a saída padrão com os mesmos resultados interativos que teria mostrado se a opção -oX não tivesse sido especificada. Você pode mudar isso passando um caracter hífen como argumento de um dos tipos de formato. Isso faz com que o Nmap desactive a saída interativa e apenas grave os resultados no formato que especificou para a saída padrão. Dessa forma, o comando nmap -oX - target irá enviar apenas a saída XML para a stdout. Erros sérios ainda podem ser mostrados na saída padrão de erros, stderr.
Ao contrário de alguns argumentos do Nmap o espaço em branco entre a flag da opção (como a -oX) e o nome do arquivo ou hífen é obrigatório. Se omitir as flags e informar argumentos como -oG- ou -oXscan.xml, uma característica de compatibilidade retroactiva do Nmap irá causar a criação de arquivos de saída do tipo normal format chamados G- e Xscan.xml respectivamente.
O Nmap também oferece opções para controlar a verbosidade do rastreio(scan) e para acrescentar informações nos arquivos de saída ao invés de sobrepor. Todas essas opções estão descritas abaixo.
Formatos de Saída do Nmap
-oN <especificaçãodearquivo> (Saída normal)
-oX <especificaçãodearquivo> (Saída em XML)
O XML oferece um formato estável que é facilmente interpretado por software. Interpretadores (parsers) XML gratuitos estão disponível para as principais linguagens de computador, incluindo C/C++, Perl, Python e Java. As pessoas até já escreveram extensões para a maioria dessas linguagens para manipular a saída e a execução especificamente do Nmap. Exemplos são o Nmap::Scanner[6] e o Nmap::Parser[7] em Perl CPAN. Em quase todos os casos em que uma aplicação não-trivial faz interface com o Nmap, o XML é o formato preferido.
A saída XML faz referência a uma folha de estilo que pode ser usada para formatar os resultados em HTML. A forma mais fácil de se utilizar isso é simplesmente carregar a saída XML em um navegador web como o Firefox ou o IE. Por default, isso só irá funcionar na máquina onde rodou o Nmap (ou em uma máquina similarmente configurada) devido ao caminho (path) do sistema de arquivos (filesystem) gravado de forma inalterável do nmap.xsl. Veja a opção --stylesheet para ver uma forma de criar um arquivo XML portável que possa ser interpretado como um HTML em qualquer máquina conectada à web.
-oS <especificaçãodearquivo> (S4íd4 ScRipT KIdd|3)
-oG <especificaçãodearquivo> (Saída para o grep)
Apesar disso a saída para o grep é bastante popular. É um formato simples que lista cada anfitrião(host) em uma linha e pode ser pesquisado de forma trivial e interpretado por qualquer ferramenta padrão do Unix como o grep, awk, cut, sed, diff e Perl. Eu mesmo uso-a para testes rápidos feitos na linha de comando. Descobrir todos os anfitriões(hosts) com a porta ssh aberta ou que estão com o SO Solaris requer apenas um simples grep para identificá-los, concatenado via pipe a um comando awk ou cut para mostrar os campos desejados.
A saída para o grep consiste de comentários (linhas começadas com o símbolo #) e linhas-alvo. Uma linha-alvo inclui uma combinação de 16 campos rotulados, separados por tab e seguidos por dois-pontos. Os campos são Host, Portas (Ports),Protocolos (Protocols), Estado Ignorado (Ignored State), SO (OS), Índice de Seqüência (Seq Index), IPID e Estado (Status).
O campo mais importante é normalmente Portas (Ports), que fornece detalhes de cada porta interessante. É uma lista com a relação de portas separada por vírgula. Cada porta representa uma porta interessante e tem o formato de sete sub-campos separados por barra (/). Esses sub-campos são: Número da Porta (Port number), Estado (State), Protocolo (Protocol), Proprietário (Owner), Serviço (Service), informação sobre o SunRPC (SunRPC info) e informação sobre a Versão (Version info).
Assim como na saída XML, esta página man não permite que se documente o formato todo. Uma visão mais detalhada sobre o formato de saída para o grep do Nmap está disponível em http://www.unspecific.com/nmap-oG-output.
-oA <nome-base> (Saída para todos os formatos)
Opções de Verbosidade e depuração (debugging)
-v (Aumenta o nível de verbosidade)
A maioria das alterações afectam apenas a saída interactiva e algumas também afectam a saída normal e script kiddie. Os outros tipos de saída foram feitos para serem processados por máquinas, então o Nmap pode dar informações bastante detalhadas por default nesse formatos sem cansarem o usuário humano. Entretanto, existem algumas mudanças nos outros modos onde o tamanho da saída pode ser reduzido substancialmente pela omissão de alguns detalhes. Por exemplo, uma linha de comentário na saída para o grep que fornece uma lista de todas as portas rastreadas só é mostrada no modo verboso porque ela pode ser bem longa.
-d [nível] (Aumenta ou estabelece o nível de depuração)
A saída da depuração é útil quando há a suspeita de um bug no Nmap ou se está simplesmente confuso com o que o Nmap está fazendo e porquê. Como esta opção é na maioria das vêzes destinada a programadores, as linhas de depuração nem sempre são auto-explicativas. Pode obter algo como: Timeout vals: srtt: -1 rttvar: -1 to: 1000000 delta 14987 ==> srtt: 14987 rttvar: 14987 to: 100000. Se não entender alguma linha suas únicas opções serão ignorá-la, procurar no código-fonte ou pedir ajuda na lista de discussão de desenvolvimento (nmap-dev). Algumas linhas são auto-explicativas mas as mensagens ficam cada vez mais obscuras conforme o nível de depuração é aumentado.
--packet-trace (Rastreia pacotes e dados enviados e recebidos)
--iflist (Lista as interfaces e rotas)
Opções diversas (miscellaneous) de saída
--append-output (Acrescenta no arquivo de saída ao invés de sobrepor)
--resume <nomedoarquivo> (Retoma um rastreio(scan) abortado)
--stylesheet <caminho ou URL> (Informa a folha de estilo XSL usada para transformar a saída XML)
--no_stylesheet (Omite do XML a declaração da folha de estilo XSL)
OPçõES DIVERSAS (MISCELLANEOUS)¶
Esta seção descreve algumas opções importantes (e não-tão-importantes) que realmente não couberam em nenhum outro lugar.
-6 (Habilita o rastreio(scan) IPv6)
Muito embora o IPv6 não tenha exactamente se alastrado pelo mundo, seu uso se torna mais significativo em alguns países (normalmente asiáticos) e a maioria dos sistemas operativos modernos passaram a suportá-lo. Para usar o Nmap com o IPv6, tanto a origem quanto o alvo de seu rastreio(scan), devem estar configurados para IPv6. Se o seu provedor (ISP) (como a maioria) não aloca endereços IPv6 para si, alguns intermediários que fazem o túnel gratuitamente estão amplamente disponíveis e funcionam bem com o Nmap. Um dos melhores é disponibilizado pela BT Exact. Também tenho utilizado um fornecido pela Hurricane Electric em http://ipv6tb.he.net/. Túneis 6para4 são outra abordagem gratuita e popular.
-A (Opções agressivas de rastreio(scan))
--datadir <nomedodiretório> (Especifica a localização dos arquivos de dados do rastreio(scan))
--send-eth (Usa a transmissão pela ethernet em estado bruto(raw))
--send-ip (Envia no nível do IP em estado bruto(raw))
--privileged (Assume que o usuário é altamente privilegiado)
--interactive (Inicia em modo interactivo)
-V; --version (Mostra o número da versão)
-h; --help (Mostra a página do sumário de ajuda)
INTERAçãO EM TEMPO DE EXECUçãO¶
Durante a execução do Nmap todas as teclas pressionadas são capturadas. Isso permite que interaja com o programa sem abortá-lo ou reiniciá-lo. Algumas teclas especiais irão mudar as opções enquanto outras irão mostrar uma mensagem de estado dando informações sobre o rastreio(scan). A convenção é que letras minúsculas aumentam a quantidade de informação e letras maiúsculas diminuem.
v / V
d / D
p / P
Qualquer outra letra
Stats: 0:00:08 elapsed; 111 anfitriões(hosts) completed (5 up), 5 undergoing Service Scan
Service rastreio(scan) Timing: About 28.00% done; ETC: 16:18 (0:00:15 remaining)
EXEMPLOS¶
Aqui estão alguns exemplos de utilização do Nmap desde o simples e rotineiro, até ao mais complexo e esotérico. Alguns endereços IP reais e nomes de domínio foram utilizados para tornar as coisas mais concretas. Nesses lugares deve substituir os endereços/nomes pelos da sua própria rede. Embora eu não ache que o rastreio(scan) de portas de outras redes seja ou deva ser considerado ilegal, alguns administradores de rede não apreciam o rastreio(scan) não-solicitado de suas redes e podem reclamar. Obter a permissão antecipadamente é a melhor opção.
Para fins de teste tem permissão para rastrear(scan) o anfitrião(host) scanme.nmap.org. Esta permissão inclui apenas o rastreio(scan) via Nmap e não tentativas de explorar vulnerabilidades ou ataques de negação de serviço (denial of service). Para preservar a banda, por favor não inicie mais do que uma dúzia de rastreios(scans) contra o anfitrião(host) por dia. Se esse serviço de alvo livre para rastreio(scan) for abusado, será derrubado e o Nmap irá reportar Failed to resolve given hostname/IP: scanme.nmap.org. Essas permissões também se aplicam aos anfitriões(hosts) scanme2.nmap.org, scanme3.nmap.org e assim por diante, embora esses anfitriões(hosts) ainda não existam.
nmap -v scanme.nmap.org
Esta opção rastreia(scan) todas as portas TCP reservadas na máquina scanme.nmap.org. A opção -v habilita o modo verboso (verbose).
nmap -sS -O scanme.nmap.org/24
Inicia um rastreio(scan) SYN camuflado contra cada máquina que estiver activa das 255 possíveis da rede “classe C” onde o Scanme reside. Ele também tenta determinar qual o sistema operativo que está sendo executado em cada anfitrião(host) activo. Isto requer privilégio de root por causa do rastreio(scan) SYN e da detecção de SO.
nmap -sV -p 22,53,110,143,4564 198.116.0-255.1-127
Inicia uma enumeração de anfitriões(hosts) e um rastreio(scan) TCP na primeira metade de cada uma das 255 sub-redes de 8 bits possíveis na classe B do espaço de endereçamento 198.116. Também testa se os sistemas estão executando sshd, DNS, pop3d, imapd ou a porta 4564. Para cada uma destas portas encontradas abertas a detecção de versão é usada para determinar qual aplicação está em execução.
nmap -v -iR 100000 -P0 -p 80
Pede ao Nmap para escolher 100.000 anfitriões(hosts) de forma aleatória e rastreia-os procurando por servidores web (porta 80). A enumeração de anfitriões(hosts) é desabilitada com -P0 uma vez que enviar primeiramente um par de sondagens para determinar se um anfitriões(hosts) está activo é um desperdício quando se está sondando uma porta em cada anfitrião(host) alvo.
nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20
Este exemplo rastreia(scan) 4096 endereços IP buscando por servidores web (sem usar o ping) e grava a saída nos formatos XML e compatível com o programa grep.
anfitrião(host) -l company.com | cut -d -f 4 | nmap -v -iL -
Faz uma transferência de zona DNS para descobrir os anfitriões(hosts) em company.com e então alimenta o Nmap com os endereços IP. Os comandos acima são para a minha máquina GNU/Linux -- outros sistemas têm comandos diferentes para executar a transferência de zona.
BUGS¶
Como o seu autor, o Nmap não é perfeito. Mas pode ajudar a torná-lo melhor enviando relatórios de erros (bug reports) ou mesmo escrevendo correções. Se o Nmap não se comporta da forma que espera, primeiro actualize para a versão mais atual disponível em http://www.insecure.org/nmap/. Se o problema persistir, pesquise um pouco para determinar se o problema já foi descoberto e encaminhado. Tente procurar no Google pela mensagem de erro ou navegar nos arquivos da Nmap-dev em http://seclists.org/. Se não encontrar nada envie uma mensagem com um relatório do erro para dev@nmap.org. Por favor inclua tudo o que souber sobre o problema bem como a versão do Nmap que está executando e em qual versão e sistema operativo que está a usar.
Correções codificadas para concertar os erros são ainda melhores que os relatórios de erro. Instruções básicas para a criação de arquivos de correções com as suas alterações estão disponíveis em http://www.insecure.org/nmap/data/HACKING.
AUTOR¶
Fyodor fyodor@nmap.org (http://www.insecure.org)
Centenas de pessoas fizeram contribuições valiosas para o Nmap ao longo dos anos. Isso está detalhado no arquivo CHANGELOG que é distribuído com o Nmap e também está disponível em http://www.insecure.org/nmap/changelog.html.
TRADUçãO¶
Português (Portugal) : José Domingos jd_pt@yahoo.com Português (Portugal) : Andreia Gaita shana.ufie@gmail.com
Translation Disclaimer: The translation attempts to achieve the highest possible accuracy. The official text is the English version available at [url]. Any discrepancies or differences created in translations are not binding and have no legal effect or compliance or enforcement purposes. If any questions arise in regard to the accuracy of information contained in any translated portion of text, please refer to the official English version. Slangs and language structures in English are not easily translated into another language. Source text that includes jargon common to an industry, may not be translated accurately. Insecure.Com LLC is not responsible for translation errors. We apologize for any translation that is not correct.
Desobrigação da Tradução: A tradução tenta alcançar a maior precisão possível. O texto oficial é a versão em inglês disponível em [url]. Quaisquer discrepâncias ou diferenças criadas pelas traduções não são obrigações e não tem efeito legal, conformidade ou propósitos impositivos. Se qualquer dúvida surgir em relação à precisão da informação contida em qualquer parte traduzida do texto, por favor verifique a versão oficial em inglês. Gírias e estruturas de linguagem em inglês não são facilmente traduzidas em outra língua. Texto original que inclui jargão comum a uma atividade pode não ser traduzido com precisão. A Insecure.Com LLC não é responsável por erros de tradução. Nós pedimos desculpas se alguma parte da tradução não estiver correcta.
AVISOS LEGAIS¶
Copyright e Licenciamento¶
O Nmap Security Scanner é (C) 1996-2005 Insecure.Com LLC. O Nmap também é uma marca registada de Insecure.Com LLC. Este programa é um software livre; pode redistribuí-lo e/ou modificá-lo sob os termos da Licença Pública Geral GNU (GNU General Public License) conforme publicado pela Free Software Foundation; Versão 2. Isso garante o seu direito de usar, modificar e redistribuir este software sob certas condições. Se desejar embutir a tecnologia do Nmap em um software proprietário poderemos querer vender licenças alternativas (contate sales@insecure.com). Muitos vendedores de scanner de segurança já licenciam a tecnologia do Nmap, tal como a descoberta de anfitriões(hosts), rastreio(scan) de portas, detecção de SO e detecção de serviços/versões.
Observe que a GPL impõe restrições importantes em “trabalhos derivados” embora ela não forneça uma definição detalhada desse termo. Para evitar más-interpretações consideramos que uma aplicação constitui um “trabalho derivado” para o propósito desta licença, se ela se enquadra em um dos seguintes ítens:
O termo “Nmap” deve ser considerado como contendo parte ou sendo trabalho derivado do Nmap. Esta lista não é definitiva mas deve ser entendida como uma forma de esclareçer nossa interpretação de trabalho derivado com alguns exemplos comuns. Estas restrições apenas se aplicam quando realmente redistribui o Nmap. Por exemplo, nada impede que escreva e venda um front-end proprietário para o Nmap. Apenas redistribua o seu produto isoladamente e mostre às pessoas onde elas podem descarregar(download) o Nmap.
Nós não consideramos isso como restrições adicionais à GPL mas apenas uma elucidação de como nós interpretamos “trabalhos derivados” pois elas se aplicam ao nosso produto Nmap licenciado no formato GPL. Isso é idêntico à forma como Linus Torvalds anunciou sua interpretação de como os “trabalhos derivados” se aplicam aos módulos do kernel do Linux. A nossa interpretação refere-se apenas ao Nmap - não respondemos por qualquer outro produto GPL.
Se tiver qualquer dúvida quanto às restrições do licenciamento GPL na utilização do Nmap em produtos não-GPL, ficaríamos felizes em ajudar. Como mencionado acima, também oferecemos licenças alternativas para a integração do Nmap em aplicações e dispositivos proprietários. Esses contratos foram vendidos para muitas empresas de segurança e geralmente incluem uma licença perpétua, disponibiliza um suporte para actualizações prioritários, e também nos ajuda financeiramente o desenvolvimento contínuo da tecnologia do Nmap. Por favor, envie um e-mail para sales@insecure.com se desejar mais informações.
Como uma exceção especial aos termos da GPL, a Insecure.Com LLC permite que uma ligação (link) do código deste program seja feito com qualquer versão da biblioteca do OpenSSL que seja distribuída sob uma licença idêntica àquela listada no arquivo Copying.OpenSSL incluido e distribuir combinações de ligação incluindo os dois. Deve obedecer à GPL GNU em todos os aspectos para todo o código utilizado que não seja OpenSSL. Se modificar este aquivo pode estender esta excepção para a sua versão do arquivo mas não é obrigado a fazer isso.
Se recebeu estes arquivos com um acordo de licenciamento por escrito ou um contrato ditando termos que não sejam diferentes dos em cima então essa licença alternativa tem precedência sobre estes comentários.
Disponibilidade de código fonte e contribuições da comunidade¶
O código fonte é fornecido com este software porque acreditamos que os usuários tem o direito de saber exactamente o que um programa irá fazer antes de executá-lo. Isso também permite que vaudite o software procurando por falhas na segurança (nenhuma foi encontrada até agora).
O código fonte também permite que porte o Nmap para novas plataformas consserte problemas e adicione novas características. E altamente encorajado a enviar suas alterações para fyodor@nmap.org para uma possível incorporação na distribuição principal. Enviar essas alterações para Fyodor ou para alguém da lista de mensagens de desenvolvimento da Insecure.Org, pressupõe que está oferecendo a Fyodor e à Insecure.Com LLC o direito ilimitado e não-exclusivo para reutilizar, modificar e relicenciar o código. O Nmap sempre estará disponível como um Open Source mas isto é importante porque a impossibilidade de relicenciar o código causou problemas devastadores para outros projetos de Software Livre (tal como o KDE e o NASM). Nós também relicenciamos ocasionalmente o código para terceiros conforme discutido anteriormente. Se deseja especificar condições de licenciamento especiais das suas contribuições deixe isso claro quando enviá-las.
Nenhuma Garantia¶
Este programa é distribuído na esperança de que será útil mas SEM QUALQUER GARANTIA; sem sequer a garantia implícita de COMERCIALIZAÇÃO ou ADEQUAÇÃO A QUALQUER PROPÓSITO PARTICULAR. Veja a Licença Pública Geral GNU para mais detalhes em http://www.gnu.org/copyleft/gpl.html ou no arquivo COPYING incluído com o Nmap.
Também deve ser observado que o Nmap reconhecidamente trava certas aplicações mal-escritas, a pilha TCP/IP e mesmo alguns sistemas operativos. O Nmap nunca deve ser executado contra sistemas de missão-crítica a menos que esteja preparado para lidar com o serviço fora do ar (downtime). Nós reconhecemos aqui que o Nmap pode travar os seus sistemas ou redes e nós renunciamos toda e qualquer responsabilidade por qualquer dano ou problema que o Nmap possa causar.
Uso inapropriado¶
Pelo facto de haver o menor risco de travamento e porque existem pessoas mal-intencionadas (black hats) que gostam de usar o Nmap para reconhecimento antes atacar um sistema, existem administradores que ficam chateados e podem reclamar quando o sistema deles é rastreado. Portanto é normalmente aconselhável que solicite a permissão antes de fazer um rastreio(scan) de uma rede por mais leve que seja.
O Nmap nunca deveria ser instalado com privilégios especiais (p.ex.: suid root) por questões de segurança.
Software de Terceiros¶
Este produto inclui software desenvolvido pela Apache Software Foundation[8]. Uma versão modificada da biblioteca portátil de captura de pacotes Libpcap[9] é distribuída junto com o Nmap. A versão para o Windows do Nmap por outro lado utiliza biblioteca WinPcap[10], derivada da libpcap. O suporte a expressões regulares é fornecido pela biblioteca PCRE[11] que é um software de código aberto escrito por by Philip Hazel. Algumas funções de rede em estado bruto utilizam a biblioteca de rede Libdnet[12] que foi escrita por Dug Song. Uma versão modificada é distribuída com o Nmap. O Nmap pode opcionalmente ser ligado ao conjunto de ferramentas de criptografia do OpenSSL[13] para o suporte à detecção de versão do SSL. Todos os softwares de terceiros descritos neste parágrafo são distribuídos gratuitamente sob o licenciamento de software no estilo BSD.
Classificação do Controle de Exportação dos EUA¶
Controle de Exportação dos EUA: A Insecure.Com LLC acredita que o Nmap se enquadra no US ECCN (número de classificação para controle de exportação) 5D992. Essa categoria é chamada de “software de Segurança da Informação não-controlado pela 5D002”. A única restrição a essa classificação é o AT (anti-terrorismo) que se aplica a quase todos os produtos e nega a exportação a um punhado de nações não-confiáveis tais como o Irão e a Coreia do Norte. Portanto, exportar o Nmap não requer nenhuma licença ou permissão especial ou qualquer outro tipo de autorização governamental.
NOTES¶
- 1.
- RFC 1122
- 2.
- RFC 792
- 3.
- UDP
- 4.
- RFC do TCP
- 5.
- RFC 959
- 6.
- Nmap::Scanner
- 7.
- Nmap::Parser
- 8.
- Apache Software Foundation
- 9.
- biblioteca portátil de captura de pacotes Libpcap
- 10.
- biblioteca WinPcap
- 11.
- biblioteca PCRE
- 12.
- Libdnet
- 13.
- conjunto de ferramentas de criptografia do OpenSSL
| 12/09/2012 | [FIXME: source] |