# nmap -A -T4 scanme.nmap.org playground
Starting nmap ( https://nmap.org/ )
Interesting ports on scanme.nmap.org (205.217.153.62):
(The 1663 ports scanned but not shown below are in state: filtered)
PORT    STATE  SERVICE VERSION
22/tcp  open   ssh     OpenSSH 3.9p1 (protocol 1.99)
53/tcp  open   domain
70/tcp  closed gopher
80/tcp  open   http    Apache httpd 2.0.52 ((Fedora))
113/tcp closed auth
Device type: general purpose
Running: Linux 2.4.X|2.5.X|2.6.X
OS details: Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2.6.11
Uptime 33.908 days (since Thu Jul 21 03:38:03 2005)
Interesting ports on playground.nmap.org (192.168.0.40):
(The 1659 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE       VERSION
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn
389/tcp  open  ldap?
445/tcp  open  microsoft-ds  Microsoft Windows XP microsoft-ds
1002/tcp open  windows-icfw?
1025/tcp open  msrpc         Microsoft Windows RPC
1720/tcp open  H.323/Q.931   CompTek AquaGateKeeper
5800/tcp open  vnc-http      RealVNC 4.0 (Resolution 400x250; VNC TCP port: 5900)
5900/tcp open  vnc           VNC (protocol 3.8)
MAC Address: 00:A0:CC:63:85:4B (Lite-on Communications)
Device type: general purpose
Running: Microsoft Windows NT/2K/XP
OS details: Microsoft Windows XP Pro RC1+ through final release
Service Info: OSs: Windows, Windows XP
Nmap finished: 2 IP addresses (2 hosts up) scanned in 88.392 seconds

Pouzitie: nmap [Typ(y) scanu] [Moznosti] {specifikacia cielovej stanice}
SPECIFIKACIE CIELOVEJ STANICE:


  Je mozne zadat hostitelsky nazov stanice, IP adresy, siete atd.


  Priklad: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254


  -iL <inputfilename>: Pouzit ako vstup zoznam hostistelskych stanic alebo sieti


  -iR <num hosts>: Zvolit nahodne cielove stanice


  --exclude <host1[,host2][,host3],...>: Vynechat hostitelske stanice alebo siete


  --excludefile <exclude_file>: Vynechat zoznam zo suboru
ZISTOVANIE HOSTITELSKEJ STANICE:


  -sL: List Scan - zobrazit zoznam cielovych stanic, ktore sa maju scanovat


  -sP: Ping Scan - nevykonat nic ine okrem zistenia, ci je hostitelska stanice online 


  -P0: Treat all hosts as online -- preskocit zistovanie hostitelskych stanic


  -PS/PA/PU [portlist]: pre zadane porty vykonat zistenie protokolov TCP SYN/ACK alebo UDP 


  -PE/PP/PM: vyskusat ICMP echo, parameter timestamp a poziadavku na sietovu masku


  -n/-R: Nikdy nevykonavat DNS preklad/Vzdy vykonavat preklad DNS [povodne nastavenie: niekedy]


  --dns-servers <serv1[,serv2],...>: Zadat vlastne servery DNS


  --system-dns: Pouzit prekladac DNS operacneho systemu 
SPOSOBY SCANOVANIA:


  -sS/sT/sA/sW/sM: Scan typu TCP SYN/Connect()/ACK/Window/Maimon


  -sN/sF/sX: Scany typu TCP Null, FIN a Xmas


  --scanflags <flags>: Nastavit vlastne flagy scanu TCP scan


  -sI <zombie host[:probeport]>: Scan typu Idlescan


  -sO: Scan protokolu IP


  -b <ftp relay host>: Scan vyuzivajuci FTP bounce
SPECIFIKACIA PORTOV A PORADIE SCANOVANIA:


  -p <port ranges>: Len specifikovane porty


    Priklad: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080


  -F: Fast - Vykonat scan len na portoch zahrnutych v subore nmap-services


  -r: Scanovat porty postupne a nie nahodne
DETEKCIA SLUZBY/VERZIE:


  -sV: Testovat otvorene porty na urcenie informacii o sluzbe/verzii


  --version-light: Kvoli rychlejsej identifikacii sluzby/verzie vykonat len tie 


    najpravdepodobnejsie testy


  --version-all: Vykonat vsetky mozne testy


  --version-trace: Zobrazit podrobnosti o priebehu scanovanie verzie (pre ucely debugovania)
DETEKCIA OS:


  -O: Povolit detekciu OS


  --osscan-limit: Zuzit detekciu OS len na slubne vyzerajuce cielove stanice 


  --osscan-guess: Pouzit agresivnejsiu detekciu OS
CASOVANIE A VYKON:


  -T[0-5]: Nastavit casovaciu sablonu (vyssie cislo zodpoveda rychlejsej sablone)


  --min-hostgroup/max-hostgroup <size>: Velkosti skupin paralelnych scanov


  --min-parallelism/max-parallelism <numprobes>: Paralelizacia testu


  --min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <msec>: Udava


      velkost hodnoty RTT testu 


  --max-retries <tries>: Udava pocet retransmisii testu scanovania portov.


  --host-timeout <msec>: Po uplynuti tohoto casoveho limitu ukoncit test cielovej stanice


  --scan-delay/--max-scan-delay <msec>: Prisposobit oneskorenie medzi testami 
OBIDENIE FIREWALLU/IDS A FALSOVANIE:


  -f; --mtu <val>: Fragmentovat pakety ( s pridanou moznostou fragmentovania podla velkosti MTU)


  -D <decoy1,decoy2[,ME],...>: Ukryt scan pouzitim trikov


  -S <IP_Address>: Sfalsovat zdrojovu adresu


  -e <iface>: Pouzit zadane rozhranie


  -g/--source-port <portnum>: Pouzit dane cislo portu


  --data-length <num>: Do odosielanych paketov vlozit nahodne data


  --ttl <val>: Nastavit velkost polozky time-to-live protokolu IP


  --spoof-mac <mac address/prefix/vendor name>: Sfalsovat MAC adresu aktualneho pocitaca


  --badsum: Odoslat pakety s falosnym kontrolnym suctom TCP/UDP 
VYSTUP:


  -oN/-oX/-oS/-oG <file>: Vystup scanu zadaneho suboru vo formate obycajnom, XML, s|<rIpt kIddi3,


     a Grep.


  -oA <basename>: Vystup sucasne vo vsetkych troch hlavnych formatoch


  -v: Zvysit uroven priebezneho vystupu (pre vacsi ucinok pouzit dvakrat)


  -d[level]: Nastavit alebo zvysit uroven debugovania (Zmysel maju hodnoty do 9)


  --packet-trace: Zobrazit vsetky odoslane a prijate pakety


  --iflist: Vytlacit rozhrania hostitelskej stanice a trasy (pre ucely debugovania)


  --append-output: Namiesto vymazania dat suborov pridat vystup k datam zadanych vystupnych suborov


  --resume <filename>: Pokracovat v prerusenom scane


  --stylesheet <path/URL>: Na prenesenie vystupu vo formate XML do formatu HTML pouzit stylesheet XSL


  --webxml: Na ziskanie prenositelnejsieho formatu XML pouzit referencny stylesheet zo stranky Insecure.Org 


  --no-stylesheet: Nepouzivat stylesheet pre vystup v XML
ROZNE:


  -6: Povolit scan pre protokol IPv6


  -A: Povolit detekciu OS a verzie


  --datadir <dirname>: Zadat vlastne umiestnenie datoveho suboru pre Nmap


  --send-eth/--send-ip: Odoslat pouzitim neupravenych ethernetovych ramcov alebo IP paketov


  --privileged: Usudzovat, ze uzivatel ma plne opravnenia 


  -V: zobrazit cislo verzie


  -h: zobrazit suhrn tejto stranky napovedy.
PRIKLADY:


  nmap -v -A scanme.nmap.org


  nmap -v -sP 192.168.0.0/16 10.0.0.0/8


  nmap -v -iR 10000 -P0 -p 80

Nacita specifikacie cielovych stanic z inputfilename. Zadavanie velkeho zoznamu hostitelskych stanic do prikazoveho riadku je casto tazkopadne avsak casto ziadane. Napriklad vas DHCP server moze exportovat zoznam momentalnych 10000 pridelenych adries, ktore sa maju scanovat, alebo je mozne scanovat vsetky IP adresy okrem tychto na zistenie hostitelskych stanic pouzivajucich neopravnene staticke adresy. Vytvorite zoznam hostitelskych stanic, ktore sa maju scanovat a nazov suboru zadate ako argument k parametru-iL. Polozky v subore mozu byt v lubovolnom formate, ktory je akceptovany Nmapom v prikazovom riadku (IP adresa, hostitelsky nazov, IP adresa typu CIDR, IPv6, alebo rozsahy oktetov). Kazda polozka musi musi byt oddelena aspon jednou medzerou, tabulatormi alebo novym riadkom. Ak sa maju hostitelske stanice nacitavat zo standardneho vstupu a nie aktualneho suboru, je mozne pouzit spojitko (-)

Pre rozsiahle internetove prieskumy a dalsi vyskum je mozne zvolit nahodne cielove stanice. Argument num hosts udava, kolko IP adries ma Nmap generovat. Automaticky sa preskocia adresy privatne, multicastove alebo nealokovane. Argument 0 udava scan, ktory sa nikdy neskonci. Je potrebne uvedomit si, ze niektori sietovi administratori s nevolou sleduju neopravnene scanovania sieti a mozu sa stazovat. Pouzitie tejto moznosti je na vlastne nebezpecie! Ak sa budete v jedno dazdive odpoludnie naozaj nudit, pokuste sa prikazom nmap -sS -PS80 -iR 0 -p 80 najst nahodne webove servery.

Specifikuje zoznam cielovych stanic oddelenych ciarkou, ktore sa maju vynechat zo scanu, aj ked su castou celkoveho specifikovaneho sietoveho rozsahu. Zoznam pouziva obvyklu syntax Nmapu, to znamena hostitelske nazvy, bloky adries podla CIDR, rozsahy oktetov, atd. Tato moznost je uzitocna, ak sa v scanovanych sietach vyskytuju nedotknutelne kriticke servery, systemy s nepriaznivou reakciou na scanovanie portov, ci systemy spravovane dalsimi ludmi.

Ponuka podobnu funkcionalitu ako moznost --exclude s tym rozdielom, ze vynechane cielove stanice su namiesto prikazoveho riadku ulozene v exclude_file s polozkami oddelenymi novym riadkom, medzerou alebo tabulatorom.

List scan je neupravena podoba zistovania hostitelskych stanic, ktora jednoducho zobrazi zoznam kazdej hostitelskej stanice specifikovanej sieti bez odoslania paketov cielovym staniciam. V predvolenom nastaveni vykonava Nmap reverzny preklad DNS hostitelskych stanic kvoli ziskaniu nazvov. Je casto prekvapujuce, kolko uzitocnych informacii vydaju jednoduche hostitelske nazvy. Napriklad nazov fw.chi.playboy.com je firewallom spolocnosti Playboy Enterprises kancelarie v Chicagu. Nmap na konci takisto oznami celkovy pocet IP adries. Zoznam scanovania je dobrou kontrolou spravnosti, ze su vybrate nalezite IP adresy. Ak hostitelske stanice vykazuju nazvy domen, ktore nerozponavate, je ich vhodne preskumat hlbsie, aby sa predislo scanovaniu siete nespravnej spolocnosti.

Kedze myslienkou je len jednoduchy vypis zoznamu hostitelskych stanic, parametre funkcionality vyssieho stupna ako scanovanie portov, detekcia OS alebo scanovanie pouzitim pingu nemoze byt kombinovane. Ak chcete zakazat vykonat tieto vyssie funkcie a zakazat scanovanie pouzitim pingu, dalsie informacie su uvedene pri parametri -P0.

Tento parameter zabezpeci, ze sa vykona len ping scan (zistovanie hostitelskych stanic) a potom sa zobrazia dostupne hostitelske stanice, ktore odpovedali na scan. Ziadne dalsie testovanie ako scan portov alebo detekcia OS, sa nevykona. Je to o krok dotieravejsie ako list scan a casto sa moze pouzit pre rovnake ucely. Dovoluje jemne preskumanie cielovej siete bez vzbudenia velkej pozornosti. Poznatok o pocte aktivnych hostitelskych stanic je pre utocnikov cennejsi ako zoznam poskytnuty list scanom kazdej IP adresy a nazvu host. stanice.

Systemovi administratori tiez casto ocenia tento parameter. Moze sa pouzit jednoducho na zistenie poctu dostupnych pocitacov v sieti alebo monitorovanie dostupnosti servera. Casto sa to nazyva ping sweep a je spolahlivejsie ako vysielanie pingu broadcastovej adrese, pretoze mnoho hostitelskych stanic neodpoveda na broadcastove poziadavky.

Parameter-sP normalne vysle ICMP echo request a TCP paket na port 80. Ak je prikaz spusteny neprivilegovanym pouzivatelom, vysle sa na port 80 cielovej stanice SYN paket (pouzitim volania funkcie connect()). Ak sa privilegovany pouzivatel pokusa scanovat cielove stanice na lokalnej ethernetovej sieti, pouzivaju sa spravy ARP request (-PR) , ak nie je explicitne zadany parameter --send-ip. Parameter-sP sa moze kombinovat s akymkolvek z testov zistovania ( parametre -P*, s vynimkou -P0) kvoli vacsej flexibilite. Ak sa pouziju nejake z tychto typov testov a parametrov cisel portov, prepisu sa tym predvolene testy (ACK a echo request). Ak sa medzi zdrojovou host. stanicou so spustenym Nmapom a cielovou sietou nachadza nekompromisny firewall, odporuca sa pouzitie tychto pokrocilych technik, inac by mohli hostitelske stanice chybat v pripade, ze firewall vyluci spusteny test alebo odpovede hostitelskych stanic.

Tento parameter kompletne preskoci fazu zistovania. Nmap obvykle pouziva tuto fazu na zistenie aktivnych pocitacov pred rozsiahlejsim scanovanim. V predvolenom nastaveni vykonava Nmap len intenzivne testovanie ako scanovania portov, detekciu verzie alebo detekciu OS pri zistenych aktivnych hostitelskych staniciach. Zakazanie zistovania hostitelskych stanic parametrom -P0 sposobi, ze Nmap vykona pozadovanie funkcie scanovania na kazdej specifikovanej IP adrese. Takze ak je v prikazovom riadku zadany adresovy priestor triedy B (/16), bude sa scanovat vsetkych 65 536 IP adries. Druhy znak v parametri -P0 je nula a nie pismeno O. Riadne zistovanie hostitelskych stanic sa vynecha ako pri list scane, ale namiesto zastavenia a zobrazenia cieloveho zoznamu, Nmap pokracuje vo vykonavani pozadovanych funkcii ako keby bola kazda cielova IP adresa aktivna.

Tento parameter vysiela prazdny TCP paket s nastavenym flagom SYN. Predvoleny cielovy port je 80 (konfigurovatelny v case kompilacie zmenou hodnoty premennej DEFAULT_TCP_PROBE_PORT v subore nmap.h), no alternativny port moze byt specifikovany ako parameter. Zoznam portov oddeleny ciarkou moze byt dokonca specifikovany za parametrom (napriklad -PS22,23,25,80,113,1050,35000), a v tomto pripade sa testy budu vykonavat paralelne pre kazdy port.

SYN flag vyjadruje pre vzdialeny system pokus o nadviazanie spojenia. Za normalnych podmienok by bol cielovy port zatvoreny a spat by bol odoslany RST(reset) paket. Ak sa port zda byt otvoreny, ciel vysle druhy stupen mechanizmu TCP 3-way handshake, a teda odpovie SYN/ACK TCP paketom. Pocitac so spustenym Nmapom potom zrusi vznikajuce spojenie odpovedanim RST paketom namiesto ACK paketom, ktory by dokoncil uplny mechanizmus 3-way-handshake a nadviazal plne spojenie. RST paket nie je odoslany Nmapom, ale kernelom pocitaca, na ktorom je spusteny Nmap, ako odpoved na neocakavany paket SYN/ACK.

Nmap sa nestara o to, ci je port otvoreny alebo zatvoreny. Odpoved s flagom RST alebo SYN/ACK opisana vyssie prezradi Nmapu, ci je hostitelska stanica dostupna a ci odpoveda.

Na pocitacoch s UNIXom moze vseobecne len privilegovany pouzivatel root posielat a prijimat neupravene TCP pakety. Pri neprivilegovanych pouzivateloch sa automaticky pouzije systemove volanie funkcie connect() na kazdy cielovy port. Ma to za efekt odoslanie SYN paketu cielovej stanici ako pokusu o nadviazanie spojenia. Ak funkcia connect() vrati rychlo uspesny vysledok alebo chybu ECONNREFUSED, zakladny TCP stack musel prijat SYN/ACK alebo RST paket a hostitelska stanica je oznacena ako dostupna. Ak je pokus o spojenie neukonceny az do dosiahnutia casoveho limitu, hostitelska stanica je oznacena ako nedostupna. To sa pouziva aj pre spojenia pre protokol IPv6, kedze podpora neupravenych IPv6 paketov v Nmape este nie je dostupna.

Ping TCP ACK je dost podoba na prave rozobraty SYN ping. Rozdiel je v tom, ze namiesto SYN flagu je nastaveny ACK flag. Takyto ACK paket znaci potvrdenie dat nad vybudovanym TCP spojenim, ale pritom ziadne taketo spojenie neexistuje, takze vzdialene hostitelske stanice by mali vzdy odpovedat RST paketom, cim v tomto procese prezradia svoju existenciu.

Parameter-PA pouziva rovnaky predvoleny port ako test SYN (80) a takisto moze spracovat zoznam cielovych portov v rovnakom formate. Ak sa o to pokusa neprivilegovany pouzivatel alebo je specifikovany cielova stanica s protokolom IPv6, pouzije sa obvykle systemove volanie funkcie connect(), co nie je bezchybne, pretoze connect() vysiela SYN paket a nie ACK paket.

Pricinou moznosti zvolenia medzi testami SYN a ACK ping je maximalizovat sancu obidenia firewallov. Vela administratorov nastavi router a dalsie jednoduche firewally tak, ze blokuju prichadzajuce SYN pakety okrem tych, ktore su urcene pre verejne sluzby ako napr. webova stranka spolocnosti alebo postovy server. Toto brani pred dalsimi prichodzimi spojeniami k organizacii, zatial co pouzivatelia mozu nadvazovat neobmedzene vychadzajuce spojenia na internet. Tento bezstavovy pristup zabera malo systemovych prostriedkov na firewalle alebo routeri a je siroko podporovany v hardwarovych a softwarovych filtroch. Linuxovsky firewallovy software Netfilter/iptables ponuka parameter --syn na realizaciu tejto bezstavovej metody. Ak su zavedene taketo bezstavove pravidla, je mozne, ze testy SYN ping (-PS) pri zatvorenych cielovych portoch budu blokovane. V takychto pripadoch sa velmi zide test ACK, pretoze je schopny prejst tymito pravidlami.

Dalsi bezny typ firewallu pouziva stavove pravidla, ktore odhadzuju neocakavane pakety. Tato funkcia bola spociatku implementovana hlavne na high-endovych firewalloch, hoci sa v poslednych rokoch stala beznejsou. Linuxovsky system Netfilter/iptables podporuje tuto funkciu cez parameter --state, ktory triedi pakety na zaklade stavu spojenia. Test SYN bude v takychto podmienkach pravdepodobne fungovat, zatial co ACK pakety budu vseobecne povazovane za falosne a budu zahodene. Riesenim tohoto problemu je vykonat oba testy SYN a ACK zadanim parametrov. -PS a -PA.

Dalsou moznostou zistenia hostitelskych stanic je UDP ping, ktory vysiela prazdny UDP paket (v pripade, ze nie je specifikovany parameter --data-length ) na dane cielove porty. Zoznam portov ma rovnaky format ako pri predtym rozoberanych parametroch -PS a -PA. Ak nie je specifikovane inac, predvoleny port je 31338, co je mozne zmenit v case kompilacie zmenou premennej DEFAULT_UDP_PROBE_PORT v suborenmap.h. V predvolenom nastaveni sa pouziva velmi neobvykly port, pretoze odosielanie na otvorene porty je casto nevyziadane v tomto specialnom type scanovania.

Po zisteni zatvoreneho portu na cielovej stanici by mal UDP test vratit spravu ICMP Port unreachable. To indikuje Nmapu, ze pocitac je aktivny a dostupny. Mnoho dalsich chybovych sprav ICMP ako host/network unreachable alebo TTL exceeeded indikuje neaktivnu alebo nedosiahnutelnu hostitelsku stanicu. Touto cestou sa interpretuje aj neobdrzanie ziadnej odpovede. Ak sa dosiahne otvoreny port, vacsina sluzieb jednoducho ignoruje prazdny paket a nevratia ziadnu odpoved. To je dovod, preco je predvolenym portom testu port 31338, u ktoreho je vysoka pravdepodobnost, ze sa nebude pouzivat. Niekolko sluzieb, napr. sluzba chargen, odpovie na prazdny UDP paket a takto prezradi Nmapu, ze pocitac je dostupny.

Hlavna vyhoda tohoto typu scanu je, ze obchadza tie firewally a filtre, ktore presetruju len TCP protokol. Niekedy som napriklad vlastnil bezdratovy broadbandovy router Linksys BEFW11S4. Externe rozhranie tohoto zariadenia filtrovalo vsetky TCP porty v predvolenom nastaveni. ale UDP testy stale dokazali zistit spravy port unreachable a takto prezradit zariadenie.

Okrem neobvyklych, predtym rozoberanych typov TCP a UDP testov, Nmap dokaze odoslat normalne pakety odoslane vsade sa vyskytujucim programom ping. Nmap odosiela paket typu 8(echo request) na cielove IP adresy stanic, ocakavajuc, ze dostupne hostitelske stanice odpovedia spravou typu 0 (Echo Reply). Nanestastie pre sietovych badatelov, mnoho hostitelskych stanic a firewallov v sucasnosti blokuje tieto pakety namiesto odpovede podla normy RFC 1122[3]. Z tohoto dovodu su samotne ICMP scany zriedkavo spolahlive pri nasadeni proti neznamym cielovym staniciam na internete, no pre systemovych administratorov monitorujucich vnutornu siet mozu byt praktickou a efektivnou metodou. Tato moznost sa povoli zadanim parametra -PE.

Aj ked echo request je standardnou poziadavkou ICMP pingu, Nmap pokracuje dalej. Standard ICMP (RFC 792[4]) takisto specifikuje poziadavky timestamp request, information request a address mask request ako spravy s kodmi 13, 15, a 17. Aj ked zdanlivy ucel pre tieto dotazy moze byt ziskanie informacii ako napr. masky adresy alebo momentalny cas, mozu byt lahko pouzite na zistovanie hostitelskych stanic. System, ktory odpovie, je aktivny a dostupny. Nmap v sucanosti neimplementuje poziadavky information request, pretoze nie su siroko podporovane. RFC 1122 trva na tom, ze “hostitelska stanica by NEMALA implementovat tieto spravy”. Dotazy na casove razitko a masku adresy mozu byt odoslane parametrami -PP a -PM. Odpoved timestamp reply (ICMP kod 14) alebo odpoved mask reply (kod 18) prezradi to, ze hostitelska stanica je dostupna. Tieto dve dotazy mozu byt cenne, ked administrator specificky zablokuje pakety poziadavky echo request a zabudne pritom, ze na tento ucel sa daju pouzit dalsie ICMP dotazy.

Jeden z najbeznejsich pouzivatelskych scenarov pouzitia Nmapu je scanovanie lokalnej ethernetovej siete. Vo vacsine takychto sieti, hlavne tych pouzivajucich privatne adresove rozsahy podla RFC1918, je vacsina IP adries nepouzivana v lubovolnom casovom okamihu. Ak sa Nmap pokusi o odoslanie neupraveneho IP paketu ako napr. ICMP echo request, operacny system musi urcit adresu cieloveho zariadenia (ARP) oodpovedajucu cielovej IP adrese, aby sa mohol odoslat ethernetovy ramec s prislusnou adresou. Tento proces je casto pomaly a problematicky, pretoze operacne systemy neboli vytvorene s ocakavanim, ze budu musiet v kratkom casovom intervale vykonat miliony ARP dotazov na nedostupne hostitelske stanice.

ARP scan prenechava zodpovednost pri poziadavkach ARP request na Nmap a jeho optimalizovane algoritmy a ak je ziskana spiatocna odpoved, Nmap sa nezaujima o IP ping pakety, pretoze uz vie, ze prislusna hostitelska stanica je aktivna. Preto je ARP scan omnoho rychlejsi a spolahlivejsi ako scany zalozene na IP. Takto sa to aj bezne vykonava, ked sa scanuju ethernetove hostitelske stanice, ktore Nmap detekuje v lokalnej ethernetovej sieti, a to aj ked su pouzite odlisne typy pingov(napriklad -PE alebo -PS). Ak sa chcete predsa vyhnut ARP scanu, pouzite parameter --send-ip.

Indikuje Nmapu, aby nikdy nevykonaval reverzny preklad DNS aktivnych IP adries, ktore najde. Kedze DNS je casto pomale, proces sa urychli.

Indikuje Nmapu, aby vzdy vykonaval reverzny preklad cielovych IP adries. Za normalnych podmienok sa to vykonava len ak je pocitac povazovany za aktivny.

V predvolenom nastaveni preklada Nmap IP adresy tak, ze odosiela dotazy priamo DNS serverom nastavenym v lokalnej host. stanici a potom caka na odpovede. Vela dotazov (casto tucty) sa vykonava paralelne kvoli vykonu. Specifikovanim toho parametra sa namiesto toho pouzije systemovy prekladac. (jedna IP adresa sucasne prostrednictvom volania getnameinfo()). Je to pomalsie a malokedy pouzivane -- v pripade, ze sa v DNS kode Nmapu vyskytuje chyba, kontaktujte nas prosim. Systemovy prekladac sa vzdy pouziva pre scany IPv6 protokolu.

Za normalnych okolnosti sa Nmap pokusi urcit DNS servery z konfiguracneho suboru (UNIX) alebo registrov (Win32) lokalneho pocitaca, avsak alternativne je mozne pouzit tuto moznost na zadanie vlastnych serverov. Tento parameter sa nedodrzuje, pri pouziti parametra --system-dns alebo scanu protokolu IPv6. Pouzitie viacerych DNS serverov je casto rychlejsie ako odoslanie dotazov na jeden server.

Aplikacia na tomto porte aktivne prijima TCP spojenia alebo UDP pakety. Zistenie tohoto faktu je casto hlavnym cielom scanovania portov. Ludia s bezpecnostou v mysli vedia, ze kazdy otvoreny port je pristupom pre utok. Utocnici a testeri preniknutia chcu vyuzivat otvorene porty, zatial co administratori sa pokusaju zatvorit ich alebo chranit ich firewallmi bez limitovania opravnenych pouzivatelov. Otvorene porty su zaujimave aj pre nebezpecnostne scany, pretoze ukazuju sluzby dostupne v sieti.

Zatvoreny port je pristupny (prijima a odpoveda na pakety testu vykonavaneho Nmapom), ale ziadna aplikacia na nom nepocuva. Mozu sa zist pri zistovani ci je hostitelska stanica aktivna na IP adrese (zistenie hostitelskej stanice alebo ping scan) a ako cast detekcie OS. Pretoze zatvorene porty su dosiahnutelne, moze byt uzitocne vykonat neskorsi scan a niektore mozu byt neskor otvorene. Administratori mozu uvazovat o blokovani takychto portov prostrednictvom firewallu. Tie by sa potom objavili vo filtrovanom stave, ktory je rozobrany nizsie.

Nmap nedokaze urcite, ci je port otvoreny, pretoze filtrovanie paketov zabranuje testom dosiahnut tento port. Filtrovanie moze pochadzat z osobitneho firewalloveho zariadenia, pravidiel routera alebo hostitelskeho softwaroveho firewallu. Tieto porty frustruju utocnikov, pretoze poskytuju malo informacii. Niekedy odpovedia chybovou spravou ICMP ako napriklad typ 3, kod 13 (destination unreachable: communication administratively prohibited), ale filtre, ktore jednoducho zahodia test bez odpovede su ovela beznejsie. Tento jav prinuti Nmap zopakovat pokus niekolkokrat kvoli moznemu pripadu, ze test bol zahodeny kvoli zahlteniu siete. Toto dramaticky spomaluje scan.

Nefiltrovany stav znamena, ze port je pristupny, ale Nmap nedokaze urcite, ci je otvoreny alebo zatvoreny. Len ACK scan, pouzivany na zmapovanie pravidiel firewallu, klasifikuje porty do tohoto stavu. Scanovanie nefiltrovanych portov inymi typmi scanu ako napr. Window scan, SYN scan alebo FIN scan, moze pomoct rozlustit, ci je port otvoreny.

Nmap charakterizuje porty tymto stavom, ak nedokaze urcit, ci je port otvoreny alebo filtrovany. K tomu dochadza pri typoch scanov portov, kde otvorene porty neposkytuju odpoved, co moze tiez znamenat, ze paketovy filter zahodil test alebo vyvolanu odpoved, takze Nmap nedokaze naisto urcit, ci je port otvoreny alebo filtrovany. Protokoly UDP,IP a scany FIN, Null a Xmas vykonavaju takuto klasifikaciu portov.

Tento stav je pouzity, ked Nmap nedokaze urcit ci je port zatvoreny alebo filtrovany. Pouziva sa len pri scane typu IPID Idle.

SYN scan je predvolenym a najoblubenejsim typom scanu a to z dobrych dovodov. Dokaze byt vykonany rychlo, scanujuc tisicky portov za sekundu tam, kde je rychla siet bez obmedzeni dotieravych firewallov. SYN scan je relativne nenapadny a tajny, pretoze nikdy nedokonci fazu nadvazovania TCP spojeni. Funguje aj proti akymkolvek TCP stackom a nezavisi teda na svojraznostiach konkretnych platform ako dalsie Nmapovske scany Fin, Null, Xmas, Maimon a Idle. Umoznuje takisto ciste a spolahlive rozlisenie medzi otvorenymi, zatvorenymi a filtrovanymi stavmi.

Na tuto metodu sa casto odkazuje ako na polootvorene scanovanie,pretoze nie je potrebne otvarat plne TCP spojenie. Odosle sa SYN paket ako keby sa nadvazovalo skutocne spojenie a potom sa caka na spojenie. Prichodzi SYN/ACK paket indikuje, ze port nacuva (je otvoreny), kym RST (reset) naznacuje, ze port nenacuva. Ak sa neodosle ziadna odpoved ani po niekolkych retransmisiach, port sa oznaci ako filtrovany. Taketo oznacenie sa pouzije, aj ked pride chybova sprava ICMP unreachable error (typ 3, kody 1,2, 3, 9, 10, alebo 13).

Scan TCP Connect() je predvolenym typom TCP scanu, ak SYN scan nepatri medzi moznosti. K tomu dochadza, ak pouzivatel nema privilegia na odosielanie neupravenych paketov, alebo pri scanovani sieti s protokolom IPv6. Nmap namiesto vytvorenia neupravenych paketov, ako pri vacsine dalsich scanov, poziada operacny system o vytvorenie spojenia s cielovou stanicou a portom pomocou systemoveho volania connect(). Je to presne to iste volanie na vyssej urovni k vytvoreniu spojenia, ktore vyuzivaju webove prehliadace, klienti P2P a vacsina dalsich aplikacii vyuzivajucich siet a tvori cast programoveho rozhrania znameneho pod menom Berkeley Sockets API. Namiesto prijimania a spracovavania neupravenych odpovedi po sieti, Nmap pri kazdom pokuse o spojenie pouziva toto rozhranie API na ziskanie informacii o stave.

Ak je dostupny SYN scan, je obycajne lepsou volbou. Nmap ma mensiu kontrolu nad vysokourovnovym volanim connect() ako nad neupravenymi paketmi, co sposobuje horsiu efektivnost.Systemove volanie dokoncuje nadvazovanie spojeni k otvorenym portom cieloveho hostitela namiesto vykonania polootvoreneho resetu, ktory vykonava SYN scan. Tento postup nielenze trva dlhsie, ale takisto vyzaduje viac paketov na ziskanie tych istych informacii a cielove pocitace budu spojenie pravdepodobne zaznamenavat do logu. Poriadny IDS to sice tiez zachyti, ale vacsina pocitacov nema takyto system. Ked sa Nmap pripoji a potom zavrie spojenia bez odoslania dat, vacsina sluzieb na priemernom UNIXovom system prida poznamku do syslogu. Niektore fakt ubohe sluzby mozu pritom spadnut, ale to je nezvycajne. Administrator, ktory vidi v logu niekolko pokusov o spojenie od jedneho systemu by mal vediet, ze bol scannovany s ohladom na nadviazanie spojenia.

Zatial co vacsina oblubenych sluzieb na internete funguje na TCP protokole, UDP[5] sluzby su tiez siroko nasadzovane. Tri najbeznejsie z nich su DNS, SNMP a DHCP (registrovane porty 53, 161/162 a 67/68). Pretoze scanovanie UDP je vseobecne pomalsie a narocnejsie ako TCP, niektori spravcovia bezpecnosti si nevsimaju tieto porty a to je chyba, lebo zneuzitelne UDP sluzby su celkom bezne a utocnici iste nebudu ignorovat cely protokol. Nastastie, Nmap dokaze pomoct urobit supis tychto UDP portov.

UDP scan je mozne spustit parametrom -sU. Moze sa kombinovat s TCP scanom ako napr. SYN scan (-sS) a tak sa mozu skontrolovat oba protokoly pocas jedneho spustenia.

UDP scan funguje tak, ze odosle kazdemu cielovemu portu prazdnu hlavicku UDP header bez dat. Ak sa vrati chybova sprava ICMP port unreachable error (typ 3, kod 3) port je zatvoreny. Ostatne chybove spravy ICMP (typ 3, kody 1, 2, 9, 10 alebo 13) oznacuju port ako filtrovany. Prilezitostne moze sluzba odpovedat UDP paketom a tym dokaze, ze port je otvoreny. Ak sa po opakovanych retransmisiach neobjavi ziadna odpoved, port je oznaceny ako otvoreny|filtrovany. To znamena, ze port by mohol byt otvoreny alebo mozno paketove filtre blokuju komunikaciu. Na pomoc pri odliseni otvorenych a filtrovanych portov sa moze pouzit parameter (-sV).

Velkou vyzvou pre scanovanie UDP je rychlost. Otvorene a filtrovane porty malokedy posielaju odpoved a tak pre vyprsi casovy limit, co vyusti v dalsie retransmisie pre pripad, ze sa test alebo odpoved mohli v sieti stratit. Zatvorene porty su casto vacsim problemom. Obycajne odosielaju spat chybovu spravu ICMP port unreachable error, no na rozdiel od RST paketov odosielanych zatvorenymi TCP portmi ako odpoved na SYN alebo Connect scan, , mnoho hostitelskych stanic standardne pouziva limit takychto odoslanych chybovych sprav. Specialne prisne na tento fakt su Linux a Solaris. Napriklad linuxove jadro 2.4.20 dava obmedzenie na spravy typu destination unreachable v pocte jedna sprava za sekundu (v subore net/ipv4/icmp.c).

Nmap detekuje obmedzenie v pocte a podla toho sa spomali, aby sa vyhol zaplaveniu siete nepotrebnymi paketmi, ktore by cielova stanica zahodila. Linuxovske obmedzenie 1 paket za sekundu nanestastie sposobuje, ze by scan 65536 portov trval 18 hodin. Napady ako tento proces urychlit su napr.scanovanie viacerych hostov sucasne , vykonat najprv rychly scan popularnych portov, scanovat spoza firewallu alebo pouzitie parametru --host-timeout na preskocenie pomalych hostitelskych stanic.

Tieto tri typy scanov (dalsie sa daju vykonat pouzitim parametra --scanflags su opisane v dalsej casti) vyuzivaju malu dieru v standarde TCP RFC[6], aby rozlisili medziotvorenymi a zatvorenymi portmi. Na strane sa 65 hovori, ze “ak je [cielovy] port zatvoreny.... prichadzajuci segment, ktory neobsahuje flag RST sposobi, ze sa ako odpoved odosle RST segment.” Dalsia strana potom rozobera pakety odosielane na otvorene porty bez nastavenych bitov SYN, RST ani ACK a tvrdi: “je nepravdepodobne, ze sa dostanete do tejto situacie, ale ak k nej dojde, zahodte segment a vratte sa.”

Ak sa scanuju systemy zodpovedajuce tomuto textu RFC, lubovolny paket neobsahujuci nastavene bity SYN, RST ani ACK vyvola odpoved s RST bitom, ak bol port zatvoreny a ziadnu odpoved, ak je port zatvoreny. Pokial nie su zahrnute ziadne z tychto troch bitov, je v poriadku lubovolna kombinacia flagov (FIN, PSH a URG). Nmap ich vyuziva pomocou tychto troch typov scanov:

Null scan (-sN)

FIN scan (-sF)

Xmas scan (-sX)

Tieto tri typy scanov maju rovnake spravanie az na to nastavenie TCP flagov. Ak dojde ako odpoved RST paket, port sa povazuje za zatvoreny, kym ziadna odpoved znaci otvoreny|filtrovany. Port sa oznaci ako filtrovany ak dorazi chybova sprava ICMP unreachable (typ 3, kod 1, 2, 3, 9, 10 alebo 13).

Klucovou vyhodou tychto typov scanov je, ze sa dokazu pretlacit cez iste bezstavove firewally a routre s filtrovanim paketov. Okrem toho su este viac tajnejsie ako SYN scan, no neda sa na to spoliehat -- vacsina modernych IDS sa da nastavit tak, aby ich detekovala. Velkou nevyhodou je, ze cely rad systemov sa nedrzi do pismena standardu RFC 793, posielaju odpovede RST bez ohladu na to, ci je port otvoreny alebo zatvoreny. Preto su vsetky taketo porty oznacovane ako closed. Hlavne operacne systemy s takymto spravanim su Microsoft Windows, mnohe zariadenia Cisco , BSDI a IBM OS/400. Tento scan vsak funguje na mnohe UNIXovske systemy. Dalsim hacikom tychto scanov je, ze nedokazu rozlisit otvorene porty od istychfiltrovanych, takze vyvolaju odpoved otvoreny|filtrovany.

Tento scan sa lisi od ostatnych doposial rozoberanych v tom, ze nikdy neurcuje porty v stave otvoreny (dokonca ani otvoreny|filtrovany). Pouziva sa na zmapovanie sad pravidiel firewallu, ci su stavove alebo bezstavove a ktore porty su filtrovane.

Testovaci ACK Paket ma nastaveny len ACK flag (ak nie je pouzity parameter --scanflags). Ak sa scanuju nefiltrovane systemy, stavy portov otvoreny a zatvoreny vratia zhodny RST paket. Nmap ich potom oznaci ako nefiltrovane, co znamena, ze su dostupne pomocou ACK paketu , ale nie je rozpoznane, ci su otvorene alebo zatvorene. Porty, ktore neodpovedia ci odoslu spat nejaku chybovu spravu ICMP (typ 3, kod 1,2,3,9,10 alebo 13) su oznacene ako filtrovane.

Window scan je presne taky isty ako ACK scan az na to, ze vyuziva implementacne detaily istych systemov na rozlisenie otvorenych a zatvorenych portov, namiesto prosteho vypisu nefiltrovany po navrate RST paketu. Realizuje sa to preskumanim polozky RST paketu s nazvom TCP Window. Na niektorych systemoch pouzivaju otvorene porty kladnu velkost okienka, dokonca aj pre RST pakety, kym, zatvorene porty maju nulovu velkost okienka, takze namiesto vypisu stavu portu ako nefiltrovany Window scan zobrazi port v staveotvoreny alebo zatvoreny podla velkosti okienka (kladna resp. nulova).

Tento typ scanu sa spolieha na implementacny detail mensiny systemov na internete, takze mu nie je mozne vzdy doverovat. Systemy ktore to nepodporuju obycajne vratia vsetky porty v stave zatvoreny. Je samozrejme mozne, ze pocitac nema ziadne otvorene porty. Ak je vacsina scanovanych portov zatvorena, ale niekolko beznych portov (napr. 22, 25, 53) je v stave filtrovany system je pravdepodobne nachylny na tento scan. Zriedkavo mozu systemy vykazat presne opacne spravanie. Ak je scan ukaze, ze je 1000 otvorenych portov a 3 zatvorene alebo filtrovane , tieto tri porty mozu byt pokojne tie otvorene.

Maimon scan je pomenovany po svojom objavitelovi, Urielovi Maimonovi. Tuto techniku opisal v casopise Phrack, vydanie #49 (November 1996) Nmap s touto metodou bol vydany o dve vydania neskor. Metoda funguje presne ako scany Null, FIN a Xmas, ale test je typu FIN/ACK. Podla standardu RFC 793 (TCP), RST paket by mal byt generovany ako odpoved na tento test bez ohladu na otvoreny alebo zatvoreny port. Uriel vsak spozoroval, ze mnohe systemy odvodene od BSD jednoducho zahodia paket, ak je port otvoreny.

Naozaj pokrocili pouzivatelia Nmapu sa nemusia obmedzovat len na vopred ponuknute type scanov. Parameter --scanflags vzdy umozni zadanim lubovolnych TCP flagov vytvorit vlastny scan. Neobmedzujte svoju kreativitu pri vyhybani sa systemom IDS, ktorych vyrobcovia jednoducho prelisovali manual k Nmapu a pridali specificke pravidla.

Argumentom parametru--scanflags moze byt hodnota cisla flagu ako napr. 9 (PSH a FIN), no je jednoduchsie pouzivat nazvy, staci zlepit dokopy lubovolnu kombinaciu flagov URG, ACK, PSH, RST, SYN a FIN. Napriklad --scanflags URGACKPSHRSTSYNFIN nastavi vsetko, hoci to nie je prilis uzitocne pre scanovanie. Poradie nazvov nie je dolezite.

Okrem specifikovanie ziadanych flagov je mozne zadat typ TCP scanu (napriklad-sA alebo -sF), co Nmapu napovie ako interpretovat odpovede. Napriklad SYN scan povazuje absenciu odpovede za port so stavom filtrovany, kym FIN scan odpovie na rovnaku situaciu otvoreny|filtrovany. Nmap bude postupovat presne tak ako pri zakladnych typoch scanu, no pouzije TCP flagy, ktore budu zadane. Ak nie je zadany zakladny typ scanu, pouzije sa SYN scan.

Tato pokrocila metoda umoznuje naozaj slepy scan portov cielovej stanice s tym, ze z lokalnej skutocnej IP adresy nie su odosielane ziadne pakety. Namiesto toho sa pouzije utok po bocnom kanale, ktory vyuziva delenie na IP fragmenty a predpovedatelne tvorenie sekvencie ID cisel na zombie hostitelovi. Tym sa zhromazduju informacie o otvorenych portoch na cielovom pocitaci. IDS systemy zobrazia, ze scan pochadza z pocitaca zombie, ktory bol specifikovany, musi byt samozrejme aktivny a splnat urcite kriteria. Tento fascinujuci typ scanu je prilis zlozity na plny popis v tejto prirucke, takze som uplne detaily popisal neformalnym sposobom a ulozil na adresu https://nmap.org/book/idlescan.html.

Okrem toho, ze tento scan je vynimocne nenapadny (kvoli svojej slepej povahe), umoznuje zmapovat doveryhodne vztahy medzi pocitacmi zalozene na IP adrese. Zoznam portov zobrazuje otvorene porty z pohladu zombie hostitela. Takze je mozne pokusit sa o scan cielovej stanice pouzitim roznych zombie pocitacov, o ktorych si myslite, ze su doveryhodne (pomocou pravidiel routra alebo paketoveho filtra).

Ak sa ma na strane zombie pocitaca testovat specificky port kvoli zmenam hodnoty IPID, pridajte dvojbodku nasledovanu cislom portu. Inak Nmap pouzije povodny port urceny na tcp pingovanie - 80.

Scan protokolu IP umoznuje urcite, ktore protokoly IP (TCP, ICMP, IGMP, atd.) su podporovane cielovymi pocitacmi. Technicky to nie je scan portov, pretoze prebieha roznymi cislami protokolov IP a nie cislami portov protokolov TCP a UDP. Aj napriek tomu pouziva parameter -p na vyber scanovanych cisel protokolov, oznamuje vysledky v normalnom formate tabulky portov a dokonca pouziva ten isty mechanizmus scanu ako prave metody scanovania portov, takze je dost blizko scanovaniu portov, a preto patri sem.

Okrem toho, ze je uzitocny vo vlastnom zmysle, scan protokolov demonstruje silu open-source softwaru. Zatial co zakladna myslienka je dost jednoducha, nerozmyslal som nad jej pridanim ani som nedostal poziadavky o takuto funkcionalitu. Potom vsak v lete roku 2000 dostal Gerhard Rieger tento napad, napisal excelentny patch, ktory to implementoval a poslal ho do mailing listu skupiny hackerov nmapu. Tento patch som vlozil do stromu Nmapu a na dalsi den vydal novu verziu. Len malo zastupcov komercneho softwaru ma nadsenych uzivatelov, ktori vytvaraju a prispievaju svojimi vylepseniami.

Scan protokolu funguje podobne ako UDP scan. Namiesto iterovania cez cisla portov v policku UDP paketu vysiela Nmap hlavicky IP paketu a iteruje cez 8-bitove policko IP protokolu. Hlavicky su zvycajne prazdne, neobsahuju data a ani patricnu hlavicku pre vyhlaseny protokol. Troma vynimkami su protokoly TCP, UDP a ICMP. Tu je patricna hlavicka protokolu zahrnuta, pretoze niektore systemy ich inak neodoslu a pretoze uz Nmap obsahuje funkcie na ich vytvorenie. Namiesto pozorovania sprav ICMP port unreachable protocol sa scan zaujima o spravy ICMP protocol unreachable. Ak Nmap prijme od cieloveho hostitela akukolvek odpoved akehokolvek protokolu, Nmap oznaci protokol ako otvoreny. Chybova sprava ICMP protocol unreachable(typ 3, kod 2) sposobi, ze sa protokol oznaci ako zatvoreny Dalsie chybove spravy ICMP unreachable (typ 3, kod 1, 3, 9, 10 alebo 13) sposobia stav protokolu ako filtrovany (hoci v rovnakom momente dokazuju, ze je otvoreny). Ak sa neobdrzi ziadna odpoved po retransmisiach, protokol sa oznaci ako otvoreny|filtrovany.

Zaujimavou funkciou protokolu FTP (RFC 959[7]) je podpora takzvanych proxy ftp spojeni, co umoznuje pouzivatelovi pripojit sa k jednemu FTP serveru a potom ziadat o to, aby sa subory posielali serveru tretej strany. Tato vlastnost je priam idealna pre zneuzitie na mnohych urovniach , takze mnohe servery ju prestali podporovat. Jednym z tychto zneuziti tejto funkcie je vyvolanie situacie, kde FTP server scanuje porty dalsich hostitelskych stanic. Je mozne zaradom jednoducho poziadat FTP server o zaslatie subor na kazdy zaujimavy port cieloveho hostitela. Chybova sprava opise, ci je port otvoreny alebo nie. To je dobry sposob ako obist firewally, pretoze FTP servery organizacii su casto umiestnovane tam, kde maju vacsi pristup k vnutornym hostitelskym staniciam ako kazda ina stanica na internete. Nmap podporuje ftp bounce scan pomocou parametra -b. Ako argumenty pouziva pouzivatelske meno:heslo@server:port. Server je nazvom IP adresy zranitelneho FTP servera. Tak ako aj pri normalnej URL adrese, aj tu sa moze vynechat pouzivatelske meno:heslo, pricom sa pouziju anonymne prihlasovacie udaje (pouzivatel: anonymous heslo:-wwwuser@). Cislo portu (a predchadzajuca dvojbodka ) mozu byt vynechane tiez, pricom sa vtedy pouzije povodny FTP port (21) na serveri.

Tato zranitelnost bola siroko rozsirena v roku 1997, ked bol Nmap vydany, no bola do velkej miery opravena. Zranitelne servery su stale naokolo, takze stoji to za to vyskusat ich. Ak je cielom obist firewall, je mozne scanovat cielovu siet s cielovym portom 21 (alebo aj akekolvek ftp sluzby ak sa scanuju vsetky porty s detekciou verzie) a potom vyskusat spustit scan bounce scan ftp. Nmap prezradi, ci je hostitelska stanica zranitelna alebo nie. Ak sa pokusate len zakryt svoje stopy, nie je nevyhnutne (a v skutocnosti by sa ani nemalo) obmedzovat sa na hostitelske stanice v cielovej sieti. Pred scanovanim nahodnych internetovych adries na zistenie zranitelnych FTP serverov zoberte do uvahy, ze systemovym administratorom sa nemusi pacit zneuzitie ich serverov takymto sposobom.

Tento parameter specifikuje, ktore porty sa maju scanovat a prepise povodne nastavenie. Mozu byt pouzite jednotlive cisla portov, ako aj rozsahy oddelene spojovnikom, napr. 1-1023. Zaciatocne a konecne hodnoty rozsahu mozu byt vynechane, cim budu Nmapom pouzite hodnoty 1 resp. 65535. Je teda mozne specifikovat parameter -p- cim sa budu scanovat porty od 1 po 65535. Po explicitnom specifikovani je mozne scanovat aj port 0. Pri scanovani protokolu IP ,(-sO), tento parameter specifikuje cisla protokolov, ktore sa maju scanovat (0-255).

Ak sa scanuju TCP aj UDP porty, mozete prislusny protokol charakterizovat pismenami T: alebo U: predchadzajucimi cislo portu. Toto pismeno plati az kym nespecifikujete dalsie pismeno. Napriklad argument -p U:53,111,137,T:21-25,80,139,8080 bude scanovat UDP porty 53,111 a 137 a takisto spomenute TCP porty. Na to, aby sa scanovali TCP aj UDP, je potrebne zadat parameter -sU a aspon jeden typ TCP scanu (napriklad -sS, -sF alebo -sT). Ak nie je zadane ziadne urcujuce pismeno, cisla portov su pridane do zoznamu vsetkych protokolov.

Udava, ze je nutne scanovat len porty uvedene v subore nmap-services ktory je dodavany spolu s Nmapom(alebo subor s protokolmi pomocou parametra -sO). Tento sposob je ovela rychlejsi ako scannovanie vsetkych 655535 portov na hostitelskej stanici. Pretoze tento zoznam obsahuje viac ako TCP portov, nie je tu vyrazny rozdiel oproti povodnemu TCP scanu s okolo 1650 portmi. Rozdiel je dramaticky, ak specifikujete svoj vlastny maly subor nmap-services pouzitim parametru --datadir.

V predvolenom nastaveni vybera Nmap poradie scanovanych portov nahodne (okrem toho, ze iste vseobecne pristupne porty su z dovodov efektivnosti na zaciatok). Tento proces randomizacie je za normalnych okolnosti ziadany, ale parametrom -r je mozne specifikovat sekvencne scanovanie portov.

Umoznuje detekciu verziu ako bolo spomenute vyssie. Je mozne pouzit namiesto toho parameter -A, ktorym sa povoli aj detekcia OS.

V predvolenom nastaveni Nmap pri detekcii verzie vynechava TCP port 9100, pretoze niektore tlaciarne tlacia vsetko co pride na tento port a vedie to k hromade vytlacenych stran poziadaviek HTTP get request, poziadaviek SSL session request, atd.. Toto spravanie sa da zmenit upravenim alebo odstranenim direktivy Exclude v suborenmap-service-probes alebo mozete zadat parameter--allports, aby sa scanovali vsetky porty nehladiac na direktivu Exclude.

Ak sa vykonava scan verzie (-sV), Nmap odosiela seriu testov , pricom kazdemu z nich je priradena vynimocna hodnota medzi 1 az 9. Kym testy z nizsou hodnotou su ucinne na testovanie sirokej skalu beznych sluzieb, vyssie cisla su len zriedkavo uzitocne. Stupen intenzity udava, ktore testy sa maju pouzit. Cim vyssie je cislo, tym vacsia je pravdepodobnost, ze sluzba bude spravne indentifikovana, taketo scany vsak trvaju dlhsie. Predvolena hodnota je 7. Ak je test registrovany na cielovy port v subore nmap-service-probes pomocou direktivy ports, tento test sa vykona bez ohladu na stupen intenzity. Zaistuje to to, ze DNS testy sa budu vzdy robit vhladom na lubovolny otvoreny port 53, SSL skuska vzhladom na port 443, atd..

Je to pohodlny alias pre parameter --version-intensity 2. Tento light mod znacne urychluje scanovanie verzie, no znizuje sa pravdepodobnost spravnej identifikacie sluzieb.

Alias pre parameter --version-intensity 9, cim sa zaisti vykonanie kazdeho testu voci kazdemu portu.

Nmap zobrazi rozsiahle debugovacie informacie cinnosti scanovania verzie. Je to podmnozina vystupu pri zadani parametra --packet-trace.

Tato metoda funguje v spojeni s rozlicnymi scanmi portov Nmapu, vsetky zistene otvorene TCP/UDP porty zahlti NULL prikazmi programu SunRPC za ucelom zistenia, ci su to porty sluzby RPC a ak ano, ktoremu programu a cisle verzii sluzia. Rovnake informacie sa daju efektivne ziskat pomocou parametru rpcinfo -p aj ked je mapovac portov cielovej stanice za firewallom alebo chraneny TCP wrappermi. Decoye momentalne nefunguju s RPC scanom. Toto je automaticky povolene ako cast scanu verzie pri zadani parametra (-sV). Kedze detekcie verzie obsahuje okrem tohoto este ovela viac veci, parameter -sR sa pouziva zriedka.

Umozni detekciu OS podla vyssie opisaneho rozboru. Alternativne sa pouzitim parametra -A umozni detekciu OS aj verzie.

Detekcia OS je ovela efektivnejsie, ak je zisteny aspon 1 port otvoreny a 1 port zatvoreny. Po nastaveni tohoto parametra sa nebude vykonavat detekcia OS na pocitacoch, ktore nesplnaju tieto kriteria, cim sa da usetrit podstatny cas, hlavne pri scanoch s parametrom -P0 aplikovanych na mnohych hostitelskych staniciach, no je to dolezite len ak sa pre detekciu OS zada parameter -O alebo -A.

Ak je Nmap nedokaze detekovat uplnu zhodu s OS, niekedy navrhne dalsie co najblizsie zhody ako moznosti. Nmap to normalne vykonava, len ak je zhoda velmi podobna. Kazda z tychto dvoch ekvivalentnych moznosti sposobi agresivnejsi odhad Nmapu.

Nmap ma schopnost sucasne scanovat porty alebo verzie viacerych hostitelskych stanic a to takym, sposobom, ze sa cielovy rozsah IP adries rozdeli do skupin a potom sa scanuje jedna skupina sucasne. Vo vseobecnosti su efektivnejsie vacsie skupiny, no nevyhodou je, ze vysledky nemozu byt poskytnute, kym nie je ukoncene cela skupina. cize ak Nmap zacne so skupinou velkosti 50, pouzivatel nedostane ziadnu spravu (okrem updatov v mode verbose) az kym nie je ukoncenych vsetkych 50 hostitelskych stanic.

V predvolenom nastaveni riesi Nmap tento konflikt kompromisom. Zacne skupinou o pocte 5, takze prve vysledky sa dostavia rychlo a potom sa velkost skupiny zvysi na 1024. Presne predvolene cisla zavisia od zadanych parametroch. Z dovodov efektivity pouziva Nmap rozsiahle skupiny pre UDP scany alebo malo portove TCP scany.

Po zadani maximalnej velkosti skupiny pomocou parametra --max-hostgroup Nmap nikdy neprokroci tuto hodnotu. Po zadani minimalnej velkosti skupiny parametrom --min-hostgroup nebude Nmap pouzivat mensie skupiny ako bolo zadane. Ak vsak nie je dostatok hostitelskych stanic, Nmap moze pracovat s mensimi skupinami ako specifikovane parametrom. Aj ked je to zriedkavo vyuzivane, oba parametre mozu byt pouzite sucasne na specifikovanie rozsahu skupiny.

Hlavne pouzitie tychto parametrov je specifikacia vacsieho minima velkosti skupiny, takze plny scan pobezi rychlejsie. Vseobecna volba velkosti minima na scan porcii siete triedy C je cislo 256. Nie je obvykle prilis uzitocne zvysovat toto cislo, ak sa jedna o scan s mnohymi portmi. Pri scanoch s par cislami portov je velkost skupiny hostitelskych pocitacov rovna 2048 alebo viac prospesna.

Tieto parametre ovladaju absolutny pocet testov, co moze byt nedokoncene pre skupinu hostitelskych pocitacov. Pouzivaju sa pri scanovani portov a zistovenie hostitelskych pocitacov. V povodnom nastaveni pocita vzdy sa meniaci idealny stav paralelizmu v zavislosti na vykone siete. Ak su pakety zahadzovane, Nmap spomali a povoli menej neukoncenych scanov. Idealny pocet testov pri dobrych podmienkach v sieti pomaly stupa. Tieto parametre urcuju na tuto premennu minimalnu a maximalnu hranicu. V predvolenom nastaveni sa idealny paralelizmus moze znizit az na 1, ak sa sietove testy javia ako nespolahlive a na druhej strane idealizmus stupa pri vybornych podmienkach.

Najcastejsim pouzitim je nastavenie parametra --min-parallelism na vyssiu hodnotu ako je 1 kvoli urychleniu scanovania pomalych hostitelskych stanic alebo sieti. Je to riskantny parameter na zabavu, pretoze prilis vysoka hodnota moze ovplyvnit presnost a takisto schopnost Nmapu ovladat paralelizmus dynamicky podla sietovych podmienok. Hodnota desat moze byt rozumna, hoci tuto hodnotu nastavujem len ako poslednu moznost.

Parameter --max-parallelism je niekedy nastaveny na 1, aby sa predislo odosielaniu viac ako jedneho testu sucasne. Moze sa to hodit v kombinacii s parametrom --scan-delay (rozoberanom nizsie), hoci tento druhy parameter je dostatocne silny, aby sam sluzil svojmu ucelu.

Nmap si uchovava hodnotu casoveho intervalu kvoli urceniu, ako dlho bude cakat na odpoved testu predtym ako to vzda alebo vykona retransmisiu testu. Pocita sa to na zaklade casov odpovedi predchadzajucich testov. Ak je latencia siete vyznamnym faktorom a meni sa, tento casovy interval narastie na niekolko sekund. Takisto zacina na opatrnej(vysokej) urovni a ak Nmap scanuje neodpovedajuce hostitelske stanice, moze to na nej aj chvilu ostat.

Tieto parametre maju hodnotu v milisekundach alebo je mozne pridat argument jednotky s, maleboh to a takto sa cas specifuje v sekundach, minutach alebo hodinach. Specifikovanie nizsich hodnot parametrov--max-rtt-timeout a --initial-rtt-timeout ako predvolene hodnoty moze vyznamne skratit casy scanov, co plati hlavne pre scany bez pingu (-P0) a dalej pre velmi filtrovane siete, nie je vsak dobre zadavat prilis kratke hodnoty, pretoze potom moze scan pozadovat viac casu ako je specifikovane a pre vela testov vyprsi casovy interval, zatial co odpoved je stale na ceste.

Ak su vsetky hostitelske stanice v lokalnej sieti, rozumna hodnota intervalu je 100 milisekund --max-rtt-timeout. Ak je zahrnute routovanie, je potrebne najprv vykonat ping hosta bud pomocnym programom ICMP ping alebo prisposobenym programom pre tvorenie paketov ako napr. hping2, ktory sa pravdepodobnejsie dostane cez firewall. Vsimnite si maximalny cas hodnoty RTT (Maximum Round Trip) asi 10 paketov. Tuto hodnotu mozete zdvojnasobit pre --initial-rtt-timeout a stroj- alebo stvornasobit pre parameter--max-rtt-timeout. Vseobecne nenastavujem tento parameter maximum rtt pod 100ms, bez ohladu na hodnoty pingov, a ani ich nezvysujem nad 1000ms.

Parameter --min-rtt-timeout je malokedy pouzivany. Moze sa zist, ked je siet taka nespolahliva, ze aj predvolena hodnota Nmapu je prilis agresivna. Kedze vsak Nmap pri spolahlivej sieti znizuje casovy interval na minimum, tento parameter nie je potrebny a jeho pouzitie by sa malo nahlasit ako bug do mailingu listu nmap-dev.

Ak Nmap nedostane odpoved na test scanu portov, moze to znamenat , ze port je filtrovany alebo ze bol test alebo odpoved jednoducho stratena po sieti. Je mozne tiez, ze cielova stanica obmedzenie poctu odpovedi a to docasne zablokovalo odpoved, takze sa Nmap opatovna pokusi poslat pociatocny test. Ak Nmap detekuje slabu sietovu spolahlivost, moze sa pokusit o retransmissiu viackrat pred ukoncenim snahy. Na jednej strane to zvysuje presnost, no takisto aj cas scanov. Ak je kriticky vykon, scany mozu byt urychlenie limitovanim povoleneho poctu retransmisii. Retransmisiam sa zabrani parametrom --max-retries 0, no zriedkakedy sa to odporuca.

Predvolena hodnota (bez parametru-T) je 10 ten retransmisii. Ak sa siet zda byt spolahliva a cielove stanice neobmedzuju pocet odpovedi, Nmap obycajne vykona len jednu retransmisiu, takze vacsina scanov ani nie je ovplyvnena, ak sa parameter --max-retries znizi na 3. Tieto hodnoty dokazy podstatne zrychlit scany pomalych (s obmedzenim poctu odpovedi) hostitelskych stanic. Ak Nmap prilis skoro zanechava testy portov, obycajne sa stracaju nejake informacie, hoci moze to stale moze byt uprednostnovane pred situaciou, kde uplynie interval parametru --host-timeout a stratia sa vsetky informacie o cielovej stanici.

Niektore hostitelske stanice jednoducho potrebuju dlhy cas na to, aby boli prescanovane, co moze byt dosledkom zleho vykonu alebo nespolahliveho sietoveho hardwaru/softwaru, obmedzeniu poctu paketov alebo obmedzujuceho firewallu. Najpomalsich malo percent scanovanych hostitelskych stanic moze zabrat podstatu casu scanu. Niekedy je lepsie orezat tieto straty casu a preskocit taketo stanice uz na zaciatku. Da sa to dosiahnut zadanim parametra --host-timeout s pozadovanym poctom milisekund cakania. Alternativne je mozne pripojit argument jednotky s, m aleboh to , cim sa casovy interval specifikuje v sekundach, minutach alebo hodinach. Ja casto specifikujem hodnotu 30m, aby Nmap neplytval viac ako polhodinou na 1 stanicu. Vsimnite si, ze Nmap moze sucasne scanovat dalsie hostitelske stanice, takze to nie je uplna strata casu. Hostitelska stanica, ktorej casovy interval vyprsi sa vynecha a nezobrazi sa pre nu tabulka portov, detekcia OS, ani detekcia verzie.

Tento parameter sposobi, ze Nmap bude cakat aspon zadany hodnotu v milisekundach medzi odoslanim dalsieho testu hostitelskej stanice. Tak ako aj pri inych parametroch casu, aj tu je mozne pripojit s, maleboh ako argument na specifikovanie oneskorenia v sekundach, minutach alebo hodinach namiesto ms. Hodi sa to hlavne v pripade obmedzenia poctu odpovedi. Pocitace so systemom Solaris ako aj niektore ine obycajne na test UDP scanu odpovedia jednou ICMP spravou za sekundu. Vsetko co sa odosle Nmapom navyse, bude stratene. Parameter --scan-delay nastaveny na 1s udrzi Nmap na takejto pomalej rychlosti. Nmap sa pokusi detekovat obmedzenie a priposobit oneskorenie scanu podla toho, ale nie je na skodu specifikovat to explicitne, ak uz viete, aka rychlost je najvhodnejsia.

Ak Nmap prisposobuje oneskorenie scanu smerom nahor pri obmedzeni rychlosti odpovedi, scan sa dramaticky spomali. Parameter--max-scan-delay specifikuje najvacsie oneskorenie, ktore povoli Nmap. Nastavenie prilis nizkej hodnoty moze pri zavedenej obmedzenej rychlosti odpovedi viest k zbytocnym retransmisiam paketov a moznym vynechanym portom.

Dalsie pouzitie parametra --scan-delay je vyhnut sa systemom detekcie (IDS) a narusenia (IPS) zalozenych na prahovej hodnote.

Je sice pravda, ze vyssie rozoberane jemne casove ovladanie scanov je mocne a ucinne, no niektori ludia to povazuju za dezorientujuce. Niekedy dokonca moze volenie primeranych hodnot zabrat viac casu ako scan, ktory sa pokusat optimalizovat, a tak Nmap ponuka jednoduchsi pristup so siestimi sablonami. Je ich mozne specifikovat parametrom -T a ich cislami(0 - 5) ci menami. Nazvy sablon tu paranoid (0), sneaky (1), polite (2), normal (3), aggressive (4) a insane (5). Prve dve su urcene pre obidenie systemov IDS. Mod Polite sa spomali, ked scan pouziva mensiu sirky pasma a prostriedkov cieloveho pocitaca. Mod Normal je predvolenym a teda -T3 neurobi ziadnu zmenu. Mod Aggressive urychli scan predpokladom, ze ste na rozumne rychlej a spolahlivej sieti. Konecne mod Instane predpoklada, ze ste na vynimocne rychlej sieti alebo chcete obetovat presnost za rychlost.

Tieto sablony dovoluju pouzivatelovi specifikovat agresivitu, zatial co, Nmap sam vyberie presne hodnoty casovania. Sablony takisto vykonavaju male prisposobenia rychlosti, na ktore momentalne neexistuju jemne ovladacie parametre. Napriklad moznost -T4 zakazuje, aby dynamicke oneskorenie scanu prekrocilo 10ms pre TCP porty a-T5 ohranici tuto hodnotu 5 milisekundami. Pokial sa sablona specifikuje ako prva, moze byt pouzita v kombinacii s jemnym ovladanim, inak sa povodne hodnoty pre sablony prepisat vami specifikovanymi hodnotami. Odporucam pouzitie parametra -T4 ak sa scanuju moderne a spolahlive siete. Aj ked zadate dalsie jemne ovladanie kvoli dodatocnym malym povolenym optimalizaciam, zachovajte tento parameter (na zaciatok prikazoveho riadku).

Ak ste na poriadnej sieti s broadbandovym alebo ethernetovym pripojenim, vzdy by som odporucal pouzitie parametra-T4. Niektori ludia preferuju moznost -T5, hoci pre mna je prilis agresivna. Ini zasa niekedy zadaju -T2, pretoze si myslia, ze tymto je mensia pravdepodobnost sposobenia spadnutia pocitaca alebo pretoze sa sami vo vseobecnosti povazuju za zdvorilych. Casto si pritom neuvedomuju, za moznost -T Polite je skutocne velmi pomala. Takyto scan moze trvat desatkrat viac ako povodny scan. Spadnutia pocitacov a problemy so sirkou pasma su zriedkave pri pouziti predvoleneho parametra casovania (-T3) a tak ho normalne odporucam pre pozornych scannerov. Vynechanie detekcie verzie je vsak casovo ovela ucinnejsie ako hranie sa s hodnotami casovania.

Zatial co moznosti -T0a-T1 mozu byt uzitocne pre vyhnutie sa upozorneni systemov IDS, scanovanie tisicov portov pocitacov bude trvat vynimocne dlho. Pri takomto dlhom scane je mozno lepsie nastaveni presnych hodnot casovania namiesto spolahnutia sa na vopred pripravene moznosti-T0a-T1 .

Hlavnymi nasledkami pouzitia parametruT0 je serializacia scanovania portov, takze sa sucasne scanuje len jeden port, a pred vyslanim dalsieho testu sa caka 5 minut. Moznosti T1 a T2 su podobne, ale medzi jednotlivymi testami cakaju len 15 resp. 0.4 sekund. MoznostT3 je predvolenou pre Nmap a zahrna paralelizaciu. Moznost T4 je ekvivalentna zadaniu--max-rtt-timeout 1250 --initial-rtt-timeout 500 --max-retries 6 a nastavuje maximalne oneskorenie TCP scanu na 10 ms. MoznostT5 je ekvivalentna zadaniu --max-rtt-timeout 300 --min-rtt-timeout 50 --initial-rtt-timeout 250 --max-retries 2 --host-timeout 900000 a takisto nastavenia maximalneho oneskorenia TCP scanu na 5ms.

Parameter -f sposobi, ze pozadovany scan(vratane scanov pingu) pouzije male fragmentovane IP pakety. Myslienka je rozdelit hlavicku TCP na niekolko paketov, cim sa stazi detekcia aktivity pre paketove filtre, systemy IDS a ine. Je nutne byt pri tomto opatrny. Niektore programy nedokazu korektne prijat male pakety. Sniffer zo starej skoly s nazvom Sniffit po prijati prveho segmetu okamzite zahlasil chybu "segmentation fault". Po jednom zadani tohoto parametra Nmap rozdeli pakety po hlavicke IP na maximalne 8 bajtov dlhe, takze 20-bajtova hlavicka TCP sa rozdeli na 3 pakety, dva s velkostou hlavicky TCP osem bajtov a posledny o velkosti styri. Samozrejme, ze kazdy fragment ma takisto hlavicku IP. Po opatovnom zadani moznosti -f sa na jeden fragment pouzije 16 bajtov, cim sa znizi pocet fragmentov. Dalej je mozne specifikovat vlastnu velkost offsetu zadanim parametra --mtu. Nezadavajte sucasne parametre-f a --mtu. Offset musi byt nasobkom cisla 8. Zatial co fragmentovane pakety neprejdu cez paketove filtre a firewally, ktore zhromazduju vsetky IP fragmenty v rade, ako napriklad parameter CONFIG_IP_ALWAYS_DEFRAG v jadre Linuxu, niektore siete si nemozu dovolit takyto zasah do vykonu siete a preto nechavaju parameter zakazany. Ine to zase neumoznuju, pretoze fragmenty mozu putovat do siete roznymi cestami. Niektore zdrojove systemy defragmentuju vychadzajuce pakety v jadre, jednym z nich Linux s modulom ip tables. Pocas vykonavania scanu je mozne pouzit sniffer napr. Ethereal a tym sa da sledovat, ci su odosielane pakety fragmentovane. Ak sa v lokalnom OS na lokalnom pocitaci vyskytnu problemy, skuste zadat parameter--send-eth cim sa to obide vrstva IP a odoslu sa neupravene ethernetove ramce.

Spusti sa scan pomocou obetnych stanic(decoys), cim sa pre vzdialenu hostitelsku stanicu bude specifikovana scanovacia hostitelska stanica/stanice javit ako decoy, ktora takisto ako ozajstna stanica scanuje cielovu siet. Ich system IDS preto moze zahlasit 5-10 scanov portov z roznych IP adries, no nebude vediet, ktore scany boli prave, a z ktorej IP adresy sa naozaj scanovalo. Zatial co sa tato metoda porazit pouzitim mechanizmov sledovania drah routerov, zahodenia odpovedi a dalsich aktivnych mechanizmov, je to stale ucinny sposob ako zakryt pravu IP adresu.

Adresu kazdej decoy je potrebne oddelit ciarkami a je mozne pouzit parameter ME urcujuci, ktora z decoys reprezentuje vasu realnu IP adresu. Ak sa ME ME vlozi na vzdialenejsiu ako 6.poziciu, niektore bezne detektory scanov portov (napr. vyborny scanlogd spolocnosti Solar Designer) by nemali byt vobec dokazat zobrazit vasu IP adresu. Ak pouzijete ME , nmap vlozi vasu IP adresu na nahodnu poziciu.

Vsimnite si, ze hostitelske stanice pouzite ako falosne scannery teda decoys by mali byt aktivne, inak mozete nahodne zahltit cielove stanice SYN paketmi. Ak bude aktivna len jedna hostitelska stanica, bude velmi jednoduche zistit, ktora z decoys vykonala scan. Namiesto DNS nazvov moze byt uzitocne pouzit IP adresy (takze vas siete pocitacov decoys nebudu vidiet v logu nameserveru.)

Decoys su pouzivane pri pociatocnom ping scane (pouzijuc ICMP, SYN, ACK alebo ine) tak ako aj pocas samotnej fazy scanovania, a pouzivaju sa aj pri detekcii vzdialeneho OS (-O). Decoys nefunguju pri detekcii verzie alebo scane typu TCP connect().

Prilis mnoho decoys moze spomalit scan a potencialne ho znepresnit. Niektori internetovi provideri mozu filtrovat falosne pakety, no mnohi ich vobec neobmedzuju.

Pri niektorych okolnostiach nedokaze Nmap urcit lokalnu zdrojovu IP adresu ( ak je s tym problen, Nmap to oznami). V tejto situacii je nutne pouzit parameter-S s IP adresou, cez ktoru sa maju odosielat pakety.

Dalsim moznym sposobom pouzitia tohoto flagu je falsovanie scanu, cim sa cielove stanice budu domnievat, ze ich scanuje niekto iny. Predstavte si firmu, ktora je opakovane scanovana konkurencnou firmou. Parameter -e bude pre tento typ pouzitia vsobecne vyzadovany a parameter -P0 je tiez vhodny.

Povie Nmapu, cez ktore rozhranie sa maju odosielat a prijimat pakety. Nmap by to mal vediet detekovat automaticky, ale v opacnom pripade to oznami.

Jednou z bezne nespravnej konfiguracie je ak sa doveruje trafficu zalozenom na zdrojovom cisle portu. Nie je tazke pochopit ako k tomu dochadza. Administrator nastavi nablyskany novy firewall a bude zahlteny staznostami nevdacnych pouzivatelov, ktorych aplikacie prestali fungovat. Specialnym pripadom moze byt pokazeny DNS server, pretoze odpovede na DNS request z vonkajsich serverov uz nemozu vstupovat do siete. Dalsim castym prikladom je FTP. Pri aktivnych prenosoch FTP sa vzdialeny server pokusa o spatne spojenie ku klientovi, aby dodal pozadovany subor.

Bezpecnymi rieseniami na tieto problemy su casto vo forme proxy serverov na aplikacnej urovni alebo firewallove moduly skumajuce protokoly. Existuju nanestastie aj jednoduchsie a nebezpecne riesenia. Vediac, ze DNS odpovede prichadzaju z portu 53 a aktivne ftp z portu 20, vela administratorov sa chytilo do pasce a jednoducho povolilo prichadzajuci traffic z tychto portov, pricom castu beru do uvahy, ze to ziadny utocnik nespozoruje a ani nezneuzije tuto dieru vo firewalle. V inych pripadoch to administrator povazuje za kratkodobe opatrenie az kym sa neimplementuje bezpecnejsie riesenie, a potom na tento upgrade zabudnu.

Prepracovani sietovi administratori vsak nie su jedinymi, kto sa chyti do tejto pasce. Mnohe produkty sa dodavaju s tymito nebezpecnymi pravidlami, dokonca aj Microsoft bol vinny. Filtre protokolu IPsec dodavane so systemami Windows 2000 a Windows XO obsahuju implicitne pravidlo, ktore povoluje cely neobmedzeny TCP a UDP traffic z portu 88 (Kerberos). Dalsim dobre znamym pripadom povolovali verzie osobneho firewallu Zone Alarm az do verzie 2.1.25 vsetky prichadzajuce UDP pakety so zdrojovym portom 53(DNS) alebo 67 (DHCP).

Nmap ponuka na objavenie tychto zranitelnosti ekvivalentne parametere-g a --source-port. Jednoducho zadate cislo portu a Nmap z neho odosle pakety. Pri niektorych testoch detekcie OS kvoli ich spravnej funkcii musi Nmap pouzivat odlisne cisla portov a DNS poziadavky ignoruju parameter --source-port, pretoze Nmap ich nechava na pleciach systemovych kniznic. Vacsina TCP scanov vratane SYN scanu ako aj UDP scan podporuju tento parameter uplne.

Za normalnych okolnosti odosiela Nmap minimalne pakety obsahujuce len hlavicku, takze TCP pakety maju obycajne 40 bajtov a ICMP echo poziadavky len 28. Tento parameter napoveda Nmapu, aby pripojil nahodne bajty nahodnej dlzky do odosielanych paketov. Pakety detekcie OS(-O) nie su ovplyvnene na rozdiel od vacsiny ping a portscan paketov. Spomaluje to proces, ale trochu znenapadnuje scan.

Nastavi hodnotu pola IPv4 time-to-live odosielanych paketov na udanu hodnotu.

Nmap premiesa kazdu skupinu o velkosti az do 8096 hostitelskych stanic pred ich scanovanim, co moze znenapadnit scany pre rozne sietove moniturujuce systemy, hlavne ked sa skombinuju s parametrami pomaleho casovania. Ak chcete nahodne premiesat vacsie velkosti skupin, zvyste hodnotu premennej PING_GROUP_SZ v subore nmap.h a znovu skompilujte. Dalsim riesenim je vytvorit zoznam cielovych stanic pomocou list scanu An alternative solution is to generate the target IP list (-sL -n -oN filename), premiesat ho nahodne pomocoou scriptu napisaneho v Perli a potom tento zoznam predat Nmapu parametrom -iL.

Nmap pouzije zadanu MAC adresu pre vsetky odosielane neupravene ethernetove ramce. Zahrna to v sebe parameter --send-eth, cim sa zaisti, ze Nmap vlastne odosle pakety na urovni ethernetu. Zadana MAC adresa moze byt v roznych formatoch. Ak je to jednoducho znak “0”, Nmap zvoli uplne nahodnu mac adresu. Ak je zadanym retazcom parny pocet hexadecimalnych cislic (s parmi dvoch nepovinne oddelenymi ciarkami), Nmap ich pouzije ako MAC adresu. Ak je zadanych menej ako 12 hexadec. cisel, Nmap vyplni zbytok zvyskom 6 byteov nahodnych hodnot. Ak sa nepouzije ani jedna z tycho moznosti, Nmap prehlada subor nmap-mac-prefixes pri pokuse najst nazov vyrobcu obsahujuci dany retazec (nezavisi na velkosti velkych a malych pismen). Ak je najdena zhoda, Nmap pouzije OUI vyrobcu (3-bajtova predpona) a nahodne vyplne 3 zostavajuce bajty. Spravne zadanymi prikladmi pre parameter--spoof-mac su Apple, 0, 01:02:03:04:05:06, deadbeefcafe, 0020F2 ci Cisco.

Nmap pouzije neplatny kontrolny sucet TCP alebo UDP na odoslanie paketov cielovej stanici. Kedze prakticky vsetky hostitelske IP stacky dokladne zahadzuju taketo pakety, ak pride odpoved, pochadza pravdepodobne od firewallu alebo systemu IDS, ktory neoveroval kontrolny sucet. Viac podrobnosti o tejto metode najdete na adrese https://nmap.org/p60-12.txt

Sposobi, zenormal output sa presmeruje do suboru so zadanym nazvom. Ako bolo rozobrate vyssie, tento vystup sa mierne lisi od interaktivneho - interactive output.

Sposobi, ze XML output sa presmeruje do suboru so zadanym nazvom. Nmap zahrna definiciu typu dokumentu (DTD), co umoznuje XML parserom vytvarat korektny XML vystup Nmapu. Je to sice urcene hlavne pre programove ucely, moze takisto pomoct ludom interpretovat XML vystup Nmapu. DTD definuje platne prvky formatu a casto vymenuva atributy a hodnoty, ktore mozu nadobudat. Posledna verzia je dostupna z adresy https://nmap.org/data/nmap.dtd.

XML ponuka stabilny format lahko spracovatelny softwarom. Volne XML parsery su dostupne vo vsetkych hlavnych programovacich jazykoch vratane C/C++,Perl, Python a Java. Su ponukane napojenia pre vacsinu tychto jazykov tak, ze si vedia specificky poradit s vystupom a behom Nmapu. Prikladmi su Nmap::Scanner[8] a Nmap::Parser[9] v Perl CPAN. Skoro vo vsetkych pripadoch rozhrania netrivialnej aplikacie s Nmapom, XML je preferovanym formatom.

XML vystup sa odkazuje na XSL stylesheet, ktory moze byt pouzity na formatovanie vysledkov do HTML. Najjednoduchsim sposobom ako ho pouzit je jednoducho nahrat vystup v XML do weboveho prehliadaaca akym je Firefox alebo IE. Za normalnych okolnosti to bude fungovat len na pocitaci, na ktorom bezi Nmap (alebo na podobne nastavenom) kvoli napevno zadanej ceste suboru nmap.xsl suboroveho systemu. Zadanim parametrov --webxml alebo --stylesheet vytvorite prenosne XML subory, ktore sa na kazdom pocitaci s webovym prehliadacom zobrazia v HTML formate.

Vystup formatu Script kiddie je podobny interaktivnemu, no dodatocne sa spracuvava, aby vyhovoval skupine l33t HaXXorZ, ktori predtym opovrhovali Nmapom kvoli jeho doslednemu formatovaniu velkych pismen a hlaskovaniu. Ludia s nedostatkom zmyslu pre humor by si mali uvedomit, ze tento parameter je mysleny ako vtip pre script kiddies, predtym ako ma zacnu flamovat za to, ze im udajne “pomaham”.

Tento format vystupu je spomenuty ako posledny, pretoze je zastaraly. Vystup vo formate XML je ovela mocnejsi a takmer tak isto vhodny a pohodlny pre skusenych pouzivatelov. XML je standardom, pre ktory je dostupnych mnoho excelentnych parserov, kym vystup typu grep je len moj vlastny vymysel. XML je rozsiritelne na podporu novych vydanych funkcii Nmapu, zatial co tieto funkcie musim casto vynechat pri vystupe formatu grep kvoli nedostatku miesta na ich umiestnenie.

Aj tak je vsak tento format stale dost oblubeny. Je to jednoduchy format, ktory zobrazuje kazdy hostitelsku stanicu na jeden riadok a moze byt jednoducho prehladavany a parsovany standardnymi UNIXovymi nastrojmi ako grep, awk, cut, sed, diff ci Perl. Aj ja ho dokonca pouzivam pre jednorazove testy na prikazovom riadku. Najst vsetky hostitelske stanice s otvorenym portom ssh alebo s beziacim systemom Solaris si vyzaduje jednoduchy grep na identifikaciu hostitelskych stanic, napojeny rurou - pipe na prikaz awk alebo cut, cim sa zobrazia pozadovane polia.

Vystup vo formate Grep sa sklada z komentara (riadky zacinajuce sa znakom) a riadkami cielov. Riadok ciela zahrnuje kombinaciu 6 oznacenych poli, oddelenych tabulatorom a nasledovanym dvojbodkou, Host, Ports, Protocols, Ignored State, OS, Seq Index, IPID a Status.

Najdolezitejsim z tychto poli je vo vseobecnosti Ports, ktore poskytuje podrobnosti o kazdom zaujimavom porte a obsahuje zoznam poloziek portov oddelenenych ciarkou, pricom kazda polozka reprezentuje jednotlivy port a zaujima podobu siedmych mensich poli oddelenych znakom /. Su nimi: Port number, State, Protocol, Owner, Service, SunRPC info a Version info.

Tak ako pri vystupe XML, ani tento manual nemoze pokryvat dokumentaciu celeho formatu. Podrobnejsi pohlad na format typu grep Nmapu je dostupny z adresy http://www.unspecific.com/nmap-oG-output.

Pre ucel pohodlnosti je mozne zadat -oA basename, cim sa vysledky scanu naraz ulozia v normalnom, XML a grep formate. Ulozia sa do suborov v tvare are stored in basename.nmap, basename.xml a basename.gnmap. Tak ako pri vacsine programov je aj tu mozne pridat predponu adresarovej cesty, napr. ~/nmaplogs/foocorp/ na UNIXovych systemoch alebo c:\hacking\sco na Windows.

Zvysi stupen miery vypisu, cim Nmap zobrazi viac informacii o vykonavanom scane. Otvorene porty su zobrazovane hned pri ich najdeni. Ak Nmap odhaduje, ze scan zabere viac ako niekolko minut, zobrazi tento odhad. Pri dvojnasobnom pouziti parametru sa este viac zvysi miera vypisu. Viacnasobne pouzitie nema ziadny efekt.

Vacsina zmien ovplyvnuje len interaktivny vystup a niektore tiez normalny a script kiddie format vystupu. Ostatne typy vystupov su spracovavane pocitacmi, takze Nmap poskytuje podstatne podrobnosti predvolene bez unavovania cloveka. Existuje vsak niekolko zmien v dalsich modoch, kde sa moze velkost vystupu podstatne zmensit vynechanim niektorych podrobnosti. Napriklad riadok s komentarom vo formate grep poskytujuci vsetkych scanovanych portov sa zobrazi len v mode verbose - s velkou mierou vypisu - pretoze moze byt dost dlhy.

Ak ani mod verbose neposkytuje dostatocne udaje, je vhodne pouzit debugovanie, cim sa doda omnoho viac informacii. Tak ako pri parametri stupna urovne vypisu, (-v), debugovanie sa povoli riadkovym parametrom(-d) a jeho stupen sa da zvysit jeho niekolkonasobnym zadanim. Alternativne je mozne nastavit stupen debugovania dosadenim argumentu za parameter -d, napriklad -d9 nastavi uroven na devat, co predstavuje najvyssi platny stupen a v pripade, ze sa nevykonava velmi jednoduchy scan s par portmi a cielovymi stanicami vyprodukuje tisicky riadkov.

Vystup debugovania je uzitocny, ak je podozrive, ze Nmap obsahuje bug, alebo ak ste proste zmateni, co Nmap robi a preco. Riadky debuggovania nie su prilis samo vysvetlujuce, kedze su urcene pre vyvojarov. Je mozne dopracovat sa k niecomu takemu: Timeout vals: srtt: -1 rttvar: -1 to: 1000000 delta 14987 ==> srtt: 14987 rttvar: 14987 to: 100000. Ak nerozumiete ani jednemu riadku, jedinym riesenim je ignorovat vypis alebo si ho vyhladat v zdrojovom kode, pripadne si vyziadat pomoc zo development listu (nmap-dev). Niektore riadku su samovysvetlujuce, no zvysovanim stupna debugovania sa straca prehlad.

Nmap zobrazi obsah kazdeho odoslaneho alebo prijateho paketu. Casto sa to pouziva pre debugovanie, ale zide sa tiez novacikom, ktori su presne rozumiet, co sa deje pod pokryvkou Nmapu. Ak chcete predist zobrazovaniu tisicov riadkov, je mozne specifikovat obmedzeny pocet portov na scanovanie, napr.-p20-30. Ak vas zaujima len priebeh detekcie verzie, zadajte --version-trace.

Zobrazi zoznam rozhrani a systemovych ciest tak ako boli detekovane Nmapom, co sa hodi pre debugovanie problemov s routovanim alebo nespravnou charakterizaciou zariadenia, napr. ak Nmap povazuje pripojenie PPP za ethernetovske. .

Pri specifikacii nazvu suboru za parametrom formatu vystupu napr. -oX alebo -oNsa v predvolenom nastaveni subor prepise. Ak chcete zachovat obsah suboru a pripojit nove vysledky, zadajte parameter --append-output a vsetky zadane nazvy suborov sa namiesto prepisovania budu rozsirovat o nove data. Nefunguje to pre data scanu pre format XML(-oX), pretoze sa vysledny subor nespracuje spravne, az kym ho neopravite rucne.

Niektore rozsiahle scany trvaju Nmapu velmi dlho - radovo aj dni. Taketo scany nebezia stale do konca. Mozu existovat obmedzenia, ze Nmap nesmie byt spusteny pocas pracovneho casu, mohla by spadnut siet, pocitac so spustenym Nmapom by mohol planovane ci neplanovane restartovat alebo by Nmap sam mohol zhavarovat. Administrator ho moze zrusit takisto a to stlacenim kombinacie ctrl-C. Restartovat cely scan od zaciatku moze byt neprijatelne. Nastastie, ak sa uchovavali logovacie zaznamy typu normal (-oN) alebo grep (-oG) , pouzivatel moze pokracovat v scanovani s tymi istymi cielovymi stanicami ako predtym pred prerusenim scanu. Docieli sa to zadanim parametra --resume a vystupneho suboru vo formate normal/grep ako argumentu. Ziadne dalsie argumenty nie su povolene, pretoze Nmap spracuvava subor pomocou predchadzajucich parametrov. Je teda potrebne zadat nmap --resume logfilename. Nmap pripoji nove vysledky do suborov specifikovanych v predchadzajucom vykonavani scanu. Taketo obnovenie scanu nepodporuje vystup v XML formate, pretoze miesanie vysledkov dvoch spusteni scanu do jedneho spolocneho spravneho XML suboru by bolo narocne.

Nmap je dodavany s XSL stylesheetom nazvanym nmap.xsl na prezeranie a preklad XML formatu do HTML. Vystup XML zahrna direktivu xml-stylesheet , ktora ukazuje na subor nmap.xml, kde bola pocitatocne nainstalovana Nmapom (vo Windowse aktualnym pracovnym adresarom). Nahrajete XML vystup Nmapu do moderneho weboveho prehliadaca a ten by mal zo suboroveho systemu najst subor nmap.xsl a pouzit ho na preklad vysledkov. Ak si zelate pouzit odlisny stylesheet, zadajte ho ako argument za parametrom --stylesheet. Je nutne zadat plnu cestu alebo adresu URL. Jednym z beznych prikladov je --stylesheet https://nmap.org/data/nmap.xsl, co sposobi, ze browser nahra najnovsiu verziu stylesheetu z adresy Insecure.Org. Parameter --webxml robi to iste bez tolkeho pisania a memorovania. Nahratie XSL stylesheetu z Insecure.Org ulahcuje prezeranie vysledkov na pocitaci, ktory nema Nmap (a preto ani nmap.xsl). URL je teda casto uzitocnejsia, ale ulozenie suboru v lokalnom suborovom systeme sa pouziva predvolene kvoli bezpecnosti.

Tento pohodlny parameter je jednoducho alternativou k zadaniu --stylesheet https://nmap.org/data/nmap.xsl.

Tento parameter zabrani Nmapu spajat XSL stylesheet s XML vystupom. Vynecha sa direktiva xml-stylesheet.

Od roku 2002 ponuka Nmap podporu protokolu IPv6 pre svoje najpopularnejsie funkcie, specialne pre ping scan (len pri TCP), scanovani typu connect() a detekcii verzie. Syntax prikazov je rovnaka, len sa este prida parameter -6. Pri zadavani IP adresy je samozrejme nutne pouzit syntax IPv6. Adresa moze byt napr. v tvare 3ffe:7501:4819:2000:210:f3ff:fe03:14d0, a preto je odporucane pouzit hostitelske nazvy. Vystup vyzera podobne ako zvycajne, s adresou v tvare IPv6 v riadku “interesting ports”, ktory IPv6 prezradza ako jediny.

Aj ked sa IPv6 stale nerozsiril poriadne, pouziva sa vyznamne v niektorych krajinach, zvycajne azijskych, a vacsina modernych operacnych systemov ho podporuju. Ak chcete pouzit Nmap s protokolom IPv6, musia byt zdrojovy aj cielovy pocitac scanu nastavene na tento protokol. Ak vam vas ISP, ako vacsina, nepriradi IPv6 adresy, su zdarma dostupne tunelovacie programy pre IPv6 a dobre spolupracuju s Nmapom. Jeden z tych lepsich je BT Exact. Pouzil som aj jeden poskytovany spolocnostou na adresehttp://ipv6tb.he.net/. Dalsou metodou zdarma su tunely IPv6 na IPv4.

Tento parameter umoznuje dalsie pokrocile a agresivne moznosti. Este som sa nerozhodol presne, co vsetko to predstavuje. V sucasnosti umoznuje detekciu OS (-O) a scan verzie(-sV). Viac funkcii sa moze pridat v buducnosti. Dovodom je umoznit rozsiahlu mnozinu moznosti scanu bez toho, aby si ludia museli pamatat mnozstvo flagov. Tento parameter povoluje len funkcie, no nie casovacie moznosti (napr.-T4) alebo parametre miery vystupu (-v), ktore by tiez mohli byt potrebne.

Nmap ziskava specialne data pocas behu zo suborovnmap-service-probes, nmap-services, nmap-protocols, nmap-rpc, nmap-mac-prefixes a nmap-os-fingerprints. Najprv ich hlada v adresari zadanom volitelne parametrom --datadir. Ak tam nie su najdene vsetky subory, chybajuce su hladane v adresari specifikovanom premennou NMAPDIR. Dalsim v poradi je adresar ~/.nmap, kde sa hladaju pre systemy POSIX realne a efektivne UID a pre systemy Win32 umiestnenia spustitelneho suboru Nmapu. Potom sa hlada nakompilovane umiestnenie napr. /usr/local/share/nmap ci /usr/share/nmap . Ako posledna moznost pri hladani sa pouzije aktualny adresar.

Nmap bude odosielat pakety na neupravenej druhej, ethernetovej vrstve (vrstva data link) namiesto vyssej sietovej vrstvy. V predvolenom nastaveni zvoli Nmap sposob, ktory sa lepsie hodi pre danu platformu. Neupravene sockety (sietova vrstva) su efektivnejsie pre UNIXovske pocitace, kym ethernetovske ramce sa vyzaduju pre operacie na platforme Windows, pretoze Microsoft nepodporuje neupravene sockety. Nmap pouziva na UNIXoch vzdy neupravene IP pakety, napriek tejto moznosti, aj ked neexistuje ina volba.

Nmap bude odosielat pakety prostrednictvom neupravenych IP socketov a nebude odosielat nizkourovnove ethernetove ramce. Je to doplnkom parametra --send-eth rozoberaneho predtym.

Nmap bude predpokladat, ze ma dost privilegii, aby mohol odosielat neupravene sockety, vykonavat sniffing paketov a podobne operacie, ktore obycajne na UNIXovych systemoch vyzaduju privilegia roota. Za normalnych okolnosti Nmap skonci, ak su taketo operacie pozadovane, no funkcia geteuid() nevrati nulu. Parameter --privileged sa hodi pri schopnostiach kernelu Linuxu a pri podobnych systemoch, ktore mozu byt konfigurovane, aby umoznili neprivilegovanym pouzivatelom vykonavat scany pouzitim neupravenych paketov. Tento parameter je potrebne zadat pred vsetkymi parametrami, ktore vyzaduju privilegia (SYN scan, detekcia OS, atd.). Premenna NMAP_PRIVILEGED moze byt nastavena ako ekvivalentna alternativa k parametru --privileged.

Zobrazi cislo verzie Nmapu a ukonci sa.

Zobrazi kratku obrazovku napovedy s najbeznejsimi prikazmi. To iste sa dosiahne pri spusteni Nmapu bez argumentov.

Poznámka

Funkcia interakcie s behom programu este na systemoch Windows nie je plne podporovana.

Zvysit / Znizit mieru zobrazovania

Zvysit / Znizit stupen debugovania

Zapnut/ Vypnut sledovanie paketov

Zobrazi stavovu spravu, napr.:

Stats: 0:00:08 elapsed; 111 hosts completed (5 up), 5 undergoing Service Scan

Service scan Timing: About 28.00% done; ETC: 16:18 (0:00:15 remaining)