nmap: en línea en la nube

PROGRAMA:

NOMBRE

nmap: herramienta de exploración de red y escáner de seguridad / puerto

SINOPSIS

nmap [Escanear Type...] [De Seguros] {dirigidos especificación}

DESCRIPCIÓN

Nmap ("Network Mapper") es una herramienta de código abierto para la exploración y seguridad de la red
revisión de cuentas. Fue diseñado para escanear rápidamente grandes redes, aunque funciona bien contra
hosts únicos. Nmap utiliza paquetes de IP sin procesar de formas novedosas para determinar qué hosts están disponibles
en la red, qué servicios (nombre de la aplicación y versión) ofrecen esos hosts,
qué sistemas operativos (y versiones de SO) están ejecutando, qué tipo de paquete
se utilizan filtros / cortafuegos y docenas de otras características. Mientras que Nmap es comúnmente
utilizado para auditorías de seguridad, muchos administradores de sistemas y redes lo encuentran útil para
Tareas rutinarias como inventario de red, gestión de programas de actualización de servicios y
monitorear el tiempo de actividad del host o del servicio.

La salida de Nmap es una lista de objetivos escaneados, con información complementaria sobre cada uno
dependiendo de las opciones utilizadas. Entre esa información, la clave son los “puertos interesantes
tabla ”.. Esa tabla enumera el número de puerto y el protocolo, el nombre del servicio y el estado. El
el estado es abierto, filtrado, cerrado o sin filtrar. Abierto. significa que una aplicación
en la máquina de destino está escuchando conexiones / paquetes en ese puerto. Filtrado. medio
que un cortafuegos, filtro u otro obstáculo de la red está bloqueando el puerto para que Nmap
no puedo decir si está abierto o cerrado. Cerrado. los puertos no tienen ninguna aplicación escuchando
ellos, aunque podrían abrirse en cualquier momento. Los puertos se clasifican como sin filtrar. Cuándo
responden a las sondas de Nmap, pero Nmap no puede determinar si están abiertos o
cerrado. Nmap informa las combinaciones de estados abiertas | filtradas. y cerrado | filtrado. cuando
no se puede determinar cuál de los dos estados describe un puerto. La tabla de puertos también puede incluir
detalles de la versión del software cuando se ha solicitado la detección de la versión. Cuando un protocolo IP
se solicita escaneo (-asi que), Nmap proporciona información sobre los protocolos IP admitidos en lugar de
puertos de escucha.

Además de la interesante tabla de puertos, Nmap puede proporcionar más información sobre
objetivos, incluidos nombres DNS inversos, conjeturas del sistema operativo, tipos de dispositivos y MAC
Direcciones.

En el ejemplo 1 se muestra un escaneo típico de Nmap. Los únicos argumentos de Nmap usados ​​en este ejemplo
están -A, para habilitar la detección de versiones y sistemas operativos, el escaneo de scripts y el rastreo de ruta; -T4 for
ejecución más rápida; y luego el nombre de host.

Ejemplo 1. A representante Nmap escanear

# nmap -A -T4 scanme.nmap.org

Informe de escaneo de Nmap para scanme.nmap.org (74.207.244.221)
El host está activo (latencia de 0.029s).
Registro rDNS para 74.207.244.221: li86-221.members.linode.com
No se muestra: 995 puertos cerrados
VERSIÓN DE SERVICIO DE ESTADO PORTUARIO
22 / tcp open ssh OpenSSH 5.3p1 Debian 3ubuntu7 (protocolo 2.0)
| ssh-hostkey: 1024 8d:60:f1:7c:ca:b7:3d:0a:d6:67:54:9d:69:d9:b9:dd (DSA)
|_2048 79:f8:09:ac:d4:e2:32:42:10:49:d3:bd:20:82:85:ec (RSA)
80 / tcp abierto http Apache httpd 2.2.14 ((Ubuntu))
| _http-title: ¡Adelante, ScanMe!
Ldp filtrado 646 / tcp
1720 / tcp filtrado H.323 / Q.931
9929 / tcp abierto nping-echo Nping echo
Tipo de dispositivo: propósito general
En ejecución: Linux 2.6.X
OS CPE: cpe: / o: linux: linux_kernel: 2.6.39
Detalles del sistema operativo: Linux 2.6.39
Distancia de la red: 11 saltos
Información de servicio: SO: Linux; CPE: cpe: / o: linux: kernel

TRACEROUTE (usando el puerto 53 / tcp)
DIRECCIÓN HOP RTT
[Corta los primeros 10 saltos para abreviar]
11 17.65 ms li86-221.members.linode.com (74.207.244.221)

Nmap hecho: 1 dirección IP (1 host arriba) escaneada en 14.40 segundos

La versión más reciente de Nmap se puede obtener en https://nmap.org. La última versión de
esta página de manual está disponible en https://nmap.org/book/man.html. También se incluye como
capítulo de Nmap Network Scanning: La guía oficial del proyecto Nmap para el descubrimiento de redes y
Escaneo de seguridad (ver https://nmap.org/book/).

OPCIONES RESUMEN

Este resumen de opciones se imprime cuando Nmap se ejecuta sin argumentos y la última versión
siempre está disponible en https://svn.nmap.org/nmap/docs/nmap.usage.txt. Ayuda a la gente
recuerde las opciones más comunes, pero no sustituye a la documentación detallada en
el resto de este manual. Algunas opciones oscuras ni siquiera se incluyen aquí.

Nmap 7.01 (https://nmap.org)
Uso: nmap [Tipo (s) de escaneo] [Opciones] {especificación de destino}
ESPECIFICACIÓN OBJETIVO:
Puede pasar nombres de host, direcciones IP, redes, etc.
Ej .: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-Illinois : Entrada de la lista de hosts / redes
-iR : Elige objetivos aleatorios
--excluir : Excluir hosts / redes
--excludearchivo : Excluir la lista del archivo
DESCUBRIMIENTO DEL ANFITRIÓN:
-sL: Exploración de listas: simplemente enumere los objetivos para explorar
-sn: Ping Scan - deshabilita el escaneo de puertos
-Pn: tratar todos los hosts como en línea - omitir el descubrimiento de host
-PS / PA / PU / PY [lista de puertos]: descubrimiento de TCP SYN / ACK, UDP o SCTP en puertos determinados
-PE / PP / PM: sondas de descubrimiento de solicitudes de eco, marca de tiempo y máscara de red ICMP
-PO [lista de protocolos]: Ping de protocolo IP
-n / -R: Nunca resuelve el DNS / Resuelve siempre [predeterminado: a veces]
--servidores-dns : Especifique servidores DNS personalizados
--system-dns: usa el sistema de resolución de DNS del sistema operativo
--traceroute: Traza la ruta de salto a cada host
TÉCNICAS DE ESCANEO:
-sS / sT / sA / sW / sM: TCP SYN / Connect () / ACK / Window / escaneos de Maimon
-sU: Escaneo UDP
-sN / sF / sX: escaneos TCP Null, FIN y Xmas
- banderas de escaneo : Personaliza los indicadores de escaneo de TCP
-si : Escaneo inactivo
-sY / sZ: escaneos SCTP INIT / COOKIE-ECHO
-sO: escaneo del protocolo IP
-B : Escaneo de rebote de FTP
ESPECIFICACIÓN DEL PUERTO Y ORDEN DE ESCANEO:
-pags : Solo escanea los puertos especificados
Ej .: -p22; -p1-65535; -p U: 53,111,137, T: 21-25,80,139,8080, S: 9
--excluir-puertos : Excluir los puertos especificados del análisis
-F: Modo rápido: escanea menos puertos que el escaneo predeterminado
-r: escanear puertos consecutivamente, no aleatorizar
--puertos superiores : Escanear puertos mas comunes
--port-ratio : Escanear puertos más comunes que
DETECCIÓN DE SERVICIO / VERSIÓN:
-sV: Sonda los puertos abiertos para determinar la información de servicio / versión
--versión-intensidad : Ajuste de 0 (ligero) a 9 (pruebe todas las sondas)
--version-light: límite a las sondas más probables (intensidad 2)
--version-all: Pruebe cada una de las sondas (intensidad 9)
--version-trace: muestra la actividad de escaneo detallada de la versión (para depuración)
ESCANEO DE GUIÓN:
-sC: equivalente a --script = predeterminado
--script = : es una lista separada por comas de
directorios, archivos de script o categorías de script
--script-args = : proporciona argumentos a los scripts
--script-args-file = nombre de archivo: proporciona argumentos de secuencia de comandos NSE en un archivo
--script-trace: muestra todos los datos enviados y recibidos
--script-updatedb: actualiza la base de datos del script.
--script-help = : Muestra ayuda sobre los scripts.
es una lista separada por comas de archivos de script o
categorías de guiones.
DETECCIÓN DEL SO:
-O: habilita la detección del sistema operativo
--osscan-limit: limita la detección del sistema operativo a objetivos prometedores
--osscan-guess: Adivina el sistema operativo de forma más agresiva
TIEMPO Y RENDIMIENTO:
Opciones que toman están en segundos, o agregue 'ms' (milisegundos),
's' (segundos), 'm' (minutos) o 'h' (horas) al valor (por ejemplo, 30 m).
-T <0-5>: Establecer plantilla de tiempo (cuanto más alto, más rápido)
--min-hostgroup / max-hostgroup : Tamaños de grupos de escaneo de host paralelo
--min-paralelismo / máximo-paralelismo : Paralelización de la sonda
--min-rtt-timeout / max-rtt-timeout / initial-rtt-timeout : Especifica
tiempo de ida y vuelta de la sonda.
--max-reintentos : Número máximo de retransmisiones de la sonda de exploración de puertos.
--host-timeout : Renunciar al objetivo después de tanto tiempo
--scan-delay / - max-scan-delay : Ajustar retardo entre sondas
- tasa mínima : Envíe paquetes no más lento que por segundo
--máxima calificación : Envíe paquetes no más rápido que por segundo
FIREWALL / IDS EVASION Y SPOOFING:
-F; --mtu : paquetes de fragmentos (opcionalmente con MTU dado)
-D : Oculte un escaneo con señuelos
-S : Dirección de origen falsa
-mi : Usa la interfaz especificada
-g / - puerto de origen : Usa el número de puerto dado
- apoderados : Conexiones de retransmisión a través de proxies HTTP / SOCKS1
--datos : Agrega una carga útil personalizada a los paquetes enviados
--data-string : Agrega una cadena ASCII personalizada a los paquetes enviados
--longitud de datos : Agrega datos aleatorios a los paquetes enviados
--ip-opciones : Envía paquetes con opciones de ip especificadas
--ttl : Establecer campo de tiempo de vida de IP
--spoof-mac : Falsifique su dirección MAC
--badsum: envía paquetes con una suma de comprobación TCP / UDP / SCTP falsa
SALIDA:
-oN / -oX / -oS / -oG : Escaneo de salida en normal, XML, s |
y formato Grepable, respectivamente, al nombre de archivo dado.
-oA : Salida en los tres formatos principales a la vez
-v: aumenta el nivel de verbosidad (usa -vv o más para un mayor efecto)
-d: aumenta el nivel de depuración (usa -dd o más para un mayor efecto)
--reason: muestra la razón por la que un puerto se encuentra en un estado particular
--open: muestra solo los puertos abiertos (o posiblemente abiertos)
--packet-trace: muestra todos los paquetes enviados y recibidos
--iflist: Imprime interfaces y rutas del host (para depuración)
--append-output: anexa en lugar de clobber archivos de salida especificados
--reanudar : Reanuda un escaneo abortado
- hoja de estilo : Hoja de estilo XSL para transformar la salida XML a HTML
--webxml: hoja de estilo de referencia de Nmap.Org para XML más portátil
--no-stylesheet: Evita la asociación de la hoja de estilo XSL con salida XML
MISC:
-6: habilita el escaneo IPv6
-A: habilita la detección del sistema operativo, la detección de versiones, el escaneo de scripts y el rastreo de ruta
--datadir : Especifique la ubicación del archivo de datos Nmap personalizado
--send-eth / - send-ip: Enviar usando tramas ethernet sin procesar o paquetes IP
--privileged: suponga que el usuario tiene todos los privilegios
--unprivileged: suponga que el usuario carece de privilegios de socket sin formato
-V: Número de versión impresa
-h: Imprime esta página de resumen de ayuda.
EJEMPLOS:
nmap -v -A scanme.nmap.org
nmap -v -sn 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -Pn -p 80
VEA LA PÁGINA DEL HOMBRE (https://nmap.org/book/man.html) PARA OBTENER MÁS OPCIONES Y EJEMPLOS

OBJETIVO Características

Todo en la línea de comandos de Nmap que no es una opción (o argumento de opción) se trata
como una especificación de host de destino. El caso más simple es especificar una dirección IP de destino o
nombre de host para escanear.

A veces, desea escanear una red completa de hosts adyacentes. Para ello, Nmap admite
Estilo CIDR. direccionamiento. Puede agregar /entumecidos a una dirección IPv4 o nombre de host y Nmap
escaneará todas las direcciones IP para las que la primera entumecidos son los mismos que para la referencia
IP o nombre de host proporcionado. Por ejemplo, 192.168.10.0/24 escanearía los 256 hosts entre
192.168.10.0 (binario: 11000000 10101000 00001010 00000000) y 192.168.10.255 (binario:
11000000 10101000 00001010 11111111), inclusive. 192.168.10.40/24 escaneará exactamente el
mismos objetivos. Dado que el host scanme.nmap.org. está en la dirección IP 64.13.134.52, el
La especificación scanme.nmap.org/16 escaneará las 65,536 direcciones IP entre 64.13.0.0 y
64.13.255.255. El valor más pequeño permitido es / 0, que apunta a todo Internet. El
el valor más grande es / 32, que escanea solo el host o la dirección IP nombrados porque todas las direcciones
los bits son fijos.

La notación CIDR es corta pero no siempre lo suficientemente flexible. Por ejemplo, es posible que desee escanear
192.168.0.0/16 pero omita cualquier IP que termine en .0 o .255 porque pueden usarse como subred
direcciones de red y difusión. Nmap admite esto a través del direccionamiento de rango de octetos. Bastante
que especificar una dirección IP normal, puede especificar una lista de números separados por comas o
rangos para cada octeto. Por ejemplo, 192.168.0-255.1-254 omitirá todas las direcciones en el
rango que termina en .0 o .255, y 192.168.3-5,7.1 escaneará las cuatro direcciones
192.168.3.1, 192.168.4.1, 192.168.5.1 y 192.168.7.1. Cualquiera de los lados de un rango puede ser
omitido los valores predeterminados son 0 a la izquierda y 255 a la derecha. Usar - por sí mismo es
lo mismo que 0-255, pero recuerde usar 0- en el primer octeto para que la especificación de destino
no parece una opción de línea de comandos. Los rangos no necesitan limitarse a los octetos finales:
el especificador 0-255.0-255.13.37 realizará un escaneo en Internet para todas las direcciones IP
terminando en 13.37. Este tipo de muestreo amplio puede ser útil para encuestas en Internet y
humana y agrícola.

Las direcciones IPv6 solo se pueden especificar mediante su dirección IPv6 completa o su nombre de host.
Los rangos de octetos y CIDR aún no son compatibles con IPv6.

Las direcciones IPv6 con alcance no global deben tener un sufijo de ID de zona. En los sistemas Unix, esto
es un signo de porcentaje seguido de un nombre de interfaz; una dirección completa podría ser
fe80 :: a8bb: ccff: fedd: eeff% eth0. En Windows, utilice un número de índice de interfaz en lugar de un
nombre de interfaz: fe80 :: a8bb: ccff: fedd: eeff% 1. Puede ver una lista de índices de interfaz por
ejecutando el comando netsh.exe interfaz. ipv6 show interfaz..

Nmap acepta múltiples especificaciones de host en la línea de comando, y no es necesario
el mismo tipo. El comando nmap scanme.nmap.org 192.168.0.0/8 10.0.0,1,3-7.- hace lo que tu
Esperaría.

Si bien los destinos generalmente se especifican en las líneas de comando, las siguientes opciones también son
disponible para controlar la selección de objetivos:

-Illinois nombre del archivo de entrada (Entrada de la lista).
Lee las especificaciones de destino de nombre del archivo de entrada. Pasar una gran lista de hosts suele ser
incómodo en la línea de comandos, sin embargo, es un deseo común. Por ejemplo, su servidor DHCP
podría exportar una lista de 10,000 arrendamientos actuales que desea escanear. O tal vez quieras
para escanear todas las direcciones IP excepto para aquellos para localizar hosts utilizando IP estática no autorizada
direcciones. Simplemente genere la lista de hosts para escanear y pase ese nombre de archivo a Nmap como
un argumento para el -Illinois opción. Las entradas pueden estar en cualquiera de los formatos aceptados por Nmap
en la línea de comando (dirección IP, nombre de host, CIDR, IPv6 o rangos de octetos). Cada entrada
deben estar separados por uno o más espacios, tabulaciones o líneas nuevas. Puede especificar un guion
(-) como nombre de archivo si desea que Nmap lea hosts desde la entrada estándar en lugar de una
archivo real.

El archivo de entrada puede contener comentarios que comienzan con # y se extienden hasta el final del
la línea.

-ir número anfitriones (Elija objetivos aleatorios).
Para encuestas en Internet y otras investigaciones, es posible que desee elegir objetivos en
aleatorio. El número anfitriones El argumento le dice a Nmap cuántas direcciones IP generar. IP indeseables
como los que se encuentran en ciertos rangos de direcciones privados, multidifusión o no asignados
omitido automáticamente. El argumento 0 se puede especificar para un escaneo interminable. Mantenerse
Tenga en cuenta que algunos administradores de red se enfurecen con los escaneos no autorizados de sus
redes y puede quejarse. ¡Utilice esta opción bajo su propio riesgo! Si te encuentras a ti mismo
realmente aburrido una tarde lluviosa, prueba el comando nmap -Pn -SS -p 80 -ir 0 --abierto. a
localizar servidores web aleatorios para navegar.

--excluir host1[,host2[, ...]] (excluir hosts / redes).
Especifica una lista de objetivos separados por comas que se excluirán del análisis incluso si
son parte del rango de red general que especifique. La lista que pasas usa normal
Sintaxis de Nmap, por lo que puede incluir nombres de host, bloques de red CIDR, rangos de octetos, etc.
ser útil cuando la red que desea escanear incluye intocables de misión crítica
servidores, sistemas que se sabe que reaccionan de manera adversa a los escaneos de puertos o subredes
administrado por otras personas.

--excludearchivo excluir_archivo (Excluir lista del archivo).
Esto ofrece la misma funcionalidad que el --excluir opción, excepto que el excluido
los destinos se proporcionan en una nueva línea, espacio o delimitados por tabuladores excluir_archivo más bien que
en la línea de comando.

El archivo de exclusión puede contener comentarios que comienzan con # y se extienden hasta el final del
la línea.

HOST DESCUBRIMIENTO

Uno de los primeros pasos en cualquier misión de reconocimiento de red es reducir un
(a veces enorme) conjunto de rangos de IP en una lista de hosts activos o interesantes. Exploración
cada puerto de cada dirección IP es lento y generalmente innecesario. Por supuesto que
hace que un host sea interesante depende en gran medida de los propósitos del escaneo. Los administradores de red pueden
solo estar interesado en los hosts que ejecutan un determinado servicio, mientras que a los auditores de seguridad les pueden importar
sobre todos los dispositivos con una dirección IP. Un administrador puede sentirse cómodo usando
sólo un ping ICMP para localizar hosts en su red interna, mientras que una penetración externa
El probador puede usar un conjunto diverso de docenas de sondas en un intento de evadir el firewall.
restricciones

Debido a que las necesidades de descubrimiento de hosts son tan diversas, Nmap ofrece una amplia variedad de opciones para
personalizando las técnicas utilizadas. El descubrimiento de host a veces se denomina escaneo de ping, pero va
mucho más allá de los simples paquetes de solicitud de eco ICMP asociados con la omnipresente herramienta de ping.
Los usuarios pueden omitir el paso de ping por completo con un escaneo de lista (-SL) o desactivando ping (-Pn),
o conectar la red con combinaciones arbitrarias de TCP SYN / ACK, UDP, SCTP multipuerto
Sondas INIT e ICMP. El objetivo de estas sondas es solicitar respuestas que demuestren
que una dirección IP está realmente activa (está siendo utilizada por un host o dispositivo de red). En muchos
redes, solo un pequeño porcentaje de direcciones IP están activas en un momento dado. Esto es
particularmente común con espacios de direcciones privados como 10.0.0.0/8. Esa red tiene 16
millones de IP, pero lo he visto utilizado por empresas con menos de mil máquinas. Anfitrión
El descubrimiento puede encontrar esas máquinas en un mar escasamente asignado de direcciones IP.

Si no se proporcionan opciones de detección de host, Nmap envía una solicitud de eco ICMP, un paquete TCP SYN
al puerto 443, un paquete TCP ACK al puerto 80 y una solicitud de marca de tiempo ICMP. (Para IPv6, el
La solicitud de marca de tiempo ICMP se omite porque no es parte de ICMPv6.) Estos valores predeterminados son
equivalente a la -EDUCACIÓN FÍSICA -$443 -PA80 -PÁGINAS opciones. Las excepciones a esto son el ARP (para
IPv4) y descubrimiento de vecinos. (para IPv6) exploraciones que se utilizan para cualquier objetivo en un local
red ethernet. Para los usuarios de shell de Unix sin privilegios, las sondas predeterminadas son un paquete SYN
a los puertos 80 y 443 usando el se unen llamada al sistema .. Este descubrimiento de host a menudo
suficiente al escanear redes locales, pero un conjunto más completo de sondas de descubrimiento
se recomienda para auditorías de seguridad.

El sistema -PAGS* las opciones (que seleccionan los tipos de ping) se pueden combinar. Puede aumentar sus probabilidades de
penetrar cortafuegos estrictos mediante el envío de muchos tipos de sondas utilizando diferentes puertos / banderas TCP
y códigos ICMP. También tenga en cuenta que ARP / Descubrimiento de vecinos (-PR). se hace por defecto contra
destinos en una red Ethernet local incluso si especifica otros -PAGS* opciones, porque es
casi siempre más rápido y más eficaz.

De forma predeterminada, Nmap realiza el descubrimiento de hosts y luego realiza un escaneo de puertos contra cada host
determina está en línea. Esto es cierto incluso si especifica tipos de descubrimiento de host no predeterminados
como sondas UDP (-PU). Leer sobre el -sn opción para aprender a realizar solo host
descubrimiento o uso -Pn para omitir el descubrimiento de host y escanear el puerto de todos los hosts de destino. La siguiente
las opciones controlan el descubrimiento de host:

-SL (Escaneo de lista).
El escaneo de lista es una forma degenerada de descubrimiento de host que simplemente enumera cada host de
las redes especificadas, sin enviar ningún paquete a los hosts de destino. Por defecto,
Nmap todavía realiza una resolución de DNS inverso en los hosts para aprender sus nombres. Es a menudo
Es sorprendente la cantidad de información útil que brindan los nombres de host simples. Por ejemplo, fw.chi
es el nombre del cortafuegos de Chicago de una empresa. Nmap también informa el número total de
Direcciones IP al final. El escaneo de la lista es una buena verificación de cordura para asegurarse de que tiene
direcciones IP adecuadas para sus objetivos. Si los hosts deportivos dominan los nombres
reconocer, vale la pena investigar más a fondo para evitar escanear la empresa incorrecta
red.

Dado que la idea es simplemente imprimir una lista de hosts de destino, las opciones para niveles superiores
funciones como el escaneo de puertos, la detección del sistema operativo o el escaneo de ping no se pueden combinar
con este. Si desea deshabilitar el escaneo de ping mientras sigue realizando un
funcionalidad de nivel, lea sobre el -Pn (omitir ping) opción.

-sn (Sin escaneo de puertos).
Esta opción le dice a Nmap que no realice un escaneo de puertos después del descubrimiento del host y que solo imprima
los hosts disponibles que respondieron a las sondas de descubrimiento de host. Esto se conoce a menudo
como un "escaneo de ping", pero también puede solicitar que los scripts de host Traceroute y NSE sean
correr. Esto es, por defecto, un paso más intrusivo que el escaneo de la lista y, a menudo, puede ser
utilizado para los mismos fines. Permite el reconocimiento ligero de una red objetivo sin
atrayendo mucha atención. Saber cuántos hosts están activos es más valioso para los atacantes.
que la lista proporcionada por el análisis de la lista de cada IP y nombre de host.

Los administradores de sistemas a menudo también encuentran valiosa esta opción. Se puede utilizar fácilmente
para contar las máquinas disponibles en una red o monitorear la disponibilidad del servidor. Esto es a menudo
llamado barrido de ping, y es más confiable que hacer ping a la dirección de transmisión porque
muchos hosts no responden a las consultas de difusión.

El descubrimiento de host predeterminado hecho con -sn consta de una solicitud de eco ICMP, TCP SYN para
puerto 443, TCP ACK al puerto 80 y una solicitud de marca de tiempo ICMP de forma predeterminada. Cuando se ejecuta
por un usuario sin privilegios, solo se envían paquetes SYN (utilizando un se unen llamada) a los puertos 80
y 443 en el objetivo. Cuando un usuario privilegiado intenta escanear objetivos en un local
red Ethernet, las solicitudes ARP se utilizan a menos que --enviar-ip fue especificado. El -sn opción
se puede combinar con cualquiera de los tipos de sonda de descubrimiento (el -PAGS* opciones, excluyendo -Pn)
para una mayor flexibilidad. Si se utiliza alguna de esas opciones de tipo de sonda y número de puerto,
se anulan las sondas predeterminadas. Cuando existen cortafuegos estrictos entre
host de origen que ejecuta Nmap y la red de destino, utilizando esas técnicas avanzadas es
recomendado. De lo contrario, los hosts podrían perderse cuando el firewall descarte las sondas o sus
respuestas.

En versiones anteriores de Nmap, -sn fue conocido como -sp..

-Pn (Sin ping).
Esta opción omite por completo la etapa de descubrimiento de Nmap. Normalmente, Nmap usa esta etapa
para determinar las máquinas activas para un escaneo más pesado. Por defecto, Nmap solo realiza
sondeo pesado como escaneos de puertos, detección de versiones o detección de SO contra hosts
que se encuentran para arriba. Deshabilitar el descubrimiento de host con -Pn hace que Nmap intente
funciones de escaneo solicitadas contra cada dirección IP de destino especificada. Entonces si una clase
El espacio de direcciones de destino B (/ 16) se especifica en la línea de comando, las 65,536 direcciones IP
son escaneados. El descubrimiento de host adecuado se omite como con el escaneo de lista, pero en lugar de
deteniendo e imprimiendo la lista de objetivos, Nmap continúa realizando las funciones solicitadas
como si cada IP de destino estuviera activa. Para omitir el escaneo de ping y escaneo de puertos, sin dejar de permitir
NSE para ejecutar, use las dos opciones -Pn -sn juntos.

Para máquinas en una red Ethernet local, el escaneo ARP aún se realizará (a menos que
--disable-arp-ping or --enviar-ip se especifica) porque Nmap necesita direcciones MAC para
escanear más los hosts de destino. En versiones anteriores de Nmap, -Pn iba -P0. y -PN..

-PD Puerto lista (Ping TCP SYN).
Esta opción envía un paquete TCP vacío con la bandera SYN activada. El destino predeterminado
puerto es 80 (configurable en tiempo de compilación cambiando DEFAULT_TCP_PROBE_PORT_SPEC. en
nmap.h) .. Se pueden especificar puertos alternativos como parámetro. La sintaxis es la misma que
para -p excepto que no se permiten especificadores de tipo de puerto como T :. Ejemplos son
-$22 y -PS22-25,80,113,1050,35000. Tenga en cuenta que no puede haber espacio entre -PD y
la lista de puertos. Si se especifican varias sondas, se enviarán en paralelo.

El indicador SYN sugiere al sistema remoto que está intentando establecer una
conexión. Normalmente, el puerto de destino se cerrará y un paquete RST (reinicio)
devuelto. Si el puerto está abierto, el objetivo dará el segundo paso de un
Protocolo de enlace de tres vías de TCP. respondiendo con un paquete SYN / ACK TCP. La maquina funcionando
Nmap luego derriba la conexión naciente respondiendo con un RST en lugar de
enviar un paquete ACK que completaría el protocolo de enlace de tres vías y establecería un
conexión completa. El paquete RST es enviado por el kernel de la máquina que ejecuta Nmap en
respuesta al SYN / ACK inesperado, no por el propio Nmap.

A Nmap no le importa si el puerto está abierto o cerrado. O el RST o SYN / ACK
La respuesta discutida anteriormente le dice a Nmap que el host está disponible y responde.

En cajas Unix, solo el usuario privilegiado root. generalmente puede enviar y recibir
paquetes TCP sin procesar. Para los usuarios sin privilegios, se emplea automáticamente una solución alternativa.
por el cual el se unen La llamada al sistema se inicia en cada puerto de destino. Esto tiene el
efecto de enviar un paquete SYN al host de destino, en un intento de establecer un
conexión. Si se unen regresa con un éxito rápido o una falla ECONNREFUSED, el
La pila TCP subyacente debe haber recibido un SYN / ACK o RST y el host está marcado
disponible. Si el intento de conexión se deja colgando hasta que se agota el tiempo de espera, el
el host está marcado como inactivo.

-PENSILVANIA Puerto lista (Ping TCP ACK).
El ping TCP ACK es bastante similar al ping SYN que se acaba de comentar. La diferencia, como
lo que probablemente podría adivinar es que el indicador TCP ACK está configurado en lugar del indicador SYN. Semejante
un paquete ACK pretende reconocer datos a través de una conexión TCP establecida,
pero no existe tal conexión. Por lo tanto, los hosts remotos siempre deben responder con un RST
paquete, revelando su existencia en el proceso.

El sistema -PENSILVANIA La opción utiliza el mismo puerto predeterminado que la sonda SYN (80) y también puede tomar una
lista de puertos de destino en el mismo formato. Si un usuario sin privilegios intenta esto, el
se unen Se utiliza la solución alternativa discutida anteriormente. Esta solución es imperfecta porque
se unen en realidad está enviando un paquete SYN en lugar de un ACK.

La razón para ofrecer sondas de ping SYN y ACK es maximizar las posibilidades de
evitando los cortafuegos. Muchos administradores configuran enrutadores y otros cortafuegos simples
para bloquear los paquetes SYN entrantes, excepto los destinados a servicios públicos como el
sitio web de la empresa o servidor de correo. Esto evita otras conexiones entrantes al
organización, al tiempo que permite a los usuarios realizar conexiones salientes sin obstáculos a la
Internet. Este enfoque sin estado consume pocos recursos en el firewall / enrutador y
es ampliamente compatible con filtros de hardware y software. El Netfilter / iptables de Linux.
el software de firewall ofrece la --sin opción de conveniencia para implementar este apátrida
Acercarse. Cuando existen reglas de firewall sin estado como esta, SYN ping sondea
(-PD) es probable que se bloqueen cuando se envían a puertos de destino cerrados. En tales casos, el
La sonda ACK brilla a medida que atraviesa estas reglas.

Otro tipo común de firewall utiliza reglas con estado que eliminan paquetes inesperados. Esta
La característica se encontraba inicialmente principalmente en firewalls de gama alta, aunque se ha convertido en mucho
más común a lo largo de los años. El sistema Linux Netfilter / iptables lo admite a través de
de la forma más --estado opción, que categoriza los paquetes según el estado de la conexión. Una sonda SYN
Es más probable que funcione contra un sistema de este tipo, ya que los paquetes ACK inesperados generalmente
reconocido como falso y abandonado. Una solución a este dilema es enviar SYN y
Sondas ACK especificando -PD y -PENSILVANIA.

-PU Puerto lista (Ping UDP).
Otra opción de descubrimiento de host es el ping UDP, que envía un paquete UDP al
puertos. Para la mayoría de los puertos, el paquete estará vacío, aunque algunos usan un protocolo específico
carga útil que es más probable que provoque una respuesta. Se describe la base de datos de carga útil
at https://nmap.org/book/nmap-payloads.html.. --datos, --cadena de datosy
--longitud de datos .

La lista de puertos toma el mismo formato que con el discutido anteriormente. -PD y -PENSILVANIA
opciones. Si no se especifican puertos, el valor predeterminado es 40125 .. Este valor predeterminado puede ser
configurado en tiempo de compilación cambiando DEFAULT_UDP_PROBE_PORT_SPEC. en nmap.h .. A
El puerto muy poco común se usa de forma predeterminada porque el envío a puertos abiertos a menudo
indeseable para este tipo de escaneo en particular.

Al golpear un puerto cerrado en la máquina de destino, la sonda UDP debe provocar un ICMP
puerto inalcanzable paquete a cambio. Esto significa para Nmap que la máquina está encendida y
disponible. Muchos otros tipos de errores ICMP, como host / red inalcanzables o TTL
excedidos son indicativos de un host inactivo o inalcanzable. La falta de respuesta también es
interpretado de esta manera. Si se alcanza un puerto abierto, la mayoría de los servicios simplemente ignoran el
paquete vacío y no devuelve ninguna respuesta. Esta es la razón por la que el puerto de la sonda predeterminado es
40125, que es muy poco probable que esté en uso. Algunos servicios, como el personaje
El protocolo generador (chargen) responderá a un paquete UDP vacío y, por lo tanto, revelará
a Nmap que la máquina está disponible.

La principal ventaja de este tipo de análisis es que evita los cortafuegos y los filtros que
solo pantalla TCP. Por ejemplo, una vez tuve un Linksys BEFW11S4 de banda ancha inalámbrica
enrutador. La interfaz externa de este dispositivo filtró todos los puertos TCP de forma predeterminada, pero
Las sondas UDP aún generarían mensajes de puerto inalcanzable y, por lo tanto, revelarían el dispositivo.

-PY Puerto lista (Ping SCTP INIT).
Esta opción envía un paquete SCTP que contiene un fragmento mínimo de INIT. El valor por defecto
puerto de destino es 80 (configurable en tiempo de compilación cambiando
DEFAULT_SCTP_PROBE_PORT_SPEC. en nmap.h). Los puertos alternativos se pueden especificar como
parámetro. La sintaxis es la misma que para el -p excepto que los especificadores de tipo de puerto como
S: no están permitidos. Ejemplos son -PY22 y -PY22,80,179,5060. Tenga en cuenta que puede haber
no hay espacio entre -PY y la lista de puertos. Si se especifican varias sondas,
enviado en paralelo.

El fragmento INIT sugiere al sistema remoto que está intentando establecer una
asociación. Normalmente, el puerto de destino se cerrará y se cancelará un fragmento.
devuelto. Si el puerto está abierto, el objetivo dará el segundo paso de una
Apretón de manos de cuatro vías SCTP. respondiendo con un fragmento INIT-ACK. Si la máquina en funcionamiento
Nmap tiene una pila SCTP funcional, luego destruye la asociación naciente al
responder con un fragmento ABORT en lugar de enviar un fragmento COOKIE-ECHO que sería
el siguiente paso en el apretón de manos de cuatro vías. El paquete ABORT es enviado por el kernel del
máquina que ejecuta Nmap en respuesta al INIT-ACK inesperado, no por Nmap en sí.

A Nmap no le importa si el puerto está abierto o cerrado. O el ABORT o INIT-ACK
La respuesta discutida anteriormente le dice a Nmap que el host está disponible y responde.

En cajas Unix, solo el usuario privilegiado root. generalmente puede enviar y recibir
paquetes SCTP sin procesar ... El uso de pings SCTP INIT no es posible actualmente para personas sin privilegios
usuarios ..

-EDUCACIÓN FÍSICA; -PÁGINAS; -PM (Tipos de ping ICMP).
Además de los tipos inusuales de descubrimiento de host TCP, UDP y SCTP discutidos
anteriormente, Nmap puede enviar los paquetes estándar enviados por el programa de ping ubicuo.
Nmap envía un paquete ICMP tipo 8 (solicitud de eco) a las direcciones IP de destino, esperando
un tipo 0 (respuesta de eco) a cambio de los hosts disponibles. Desafortunadamente para la red
exploradores, muchos hosts y firewalls ahora bloquean estos paquetes, en lugar de responder como
Requerido por RFC 1122[2] .. Por esta razón, los escaneos solo ICMP rara vez son lo suficientemente confiables
contra objetivos desconocidos a través de Internet. Pero para los administradores de sistemas que monitorean un
red interna, pueden ser un enfoque práctico y eficiente. Utilizar el -EDUCACIÓN FÍSICA opción
para habilitar este comportamiento de solicitud de eco.

Si bien la solicitud de eco es la consulta de ping ICMP estándar, Nmap no se detiene allí. El ICMP
normas (RFC 792[3]. y RFC 950[4]. ) también especifican la solicitud de marca de tiempo, la información
solicitud, y paquetes de solicitud de máscara de dirección como códigos 13, 15 y 17, respectivamente. Mientras
El propósito aparente de estas consultas es obtener información como máscaras de direcciones.
y en los tiempos actuales, se pueden utilizar fácilmente para el descubrimiento de hosts. Un sistema que responde
está activo y disponible. Nmap no implementa actualmente paquetes de solicitud de información, ya que
no cuentan con un amplio apoyo. RFC 1122 insiste en que "un host NO DEBE implementar
estos mensajes ”. Las consultas de marca de tiempo y máscara de dirección se pueden enviar con el -PÁGINAS y -PM
opciones, respectivamente. Una respuesta de marca de tiempo (código ICMP 14) o una respuesta de máscara de dirección (código
18) revela que el anfitrión está disponible. Estas dos consultas pueden resultar valiosas cuando
Los administradores bloquean específicamente los paquetes de solicitud de eco y olvidan que otros
Las consultas ICMP se pueden utilizar para el mismo propósito.

-CORREOS protocolo lista (Ping del protocolo IP).
Una de las opciones de descubrimiento de host más nuevas es el ping del protocolo IP, que envía IP
paquetes con el número de protocolo especificado establecido en su encabezado IP. La lista de protocolos
toma el mismo formato que las listas de puertos en TCP, UDP y SCTP discutidos anteriormente
opciones de descubrimiento de host. Si no se especifican protocolos, el valor predeterminado es enviar varios
Paquetes IP para ICMP (protocolo 1), IGMP (protocolo 2) e IP-in-IP (protocolo 4). El
Los protocolos predeterminados se pueden configurar en tiempo de compilación cambiando
DEFAULT_PROTO_PROBE_PORT_SPEC. en nmap.h. Tenga en cuenta que para ICMP, IGMP, TCP (protocolo
6), UDP (protocolo 17) y SCTP (protocolo 132), los paquetes se envían con la debida
encabezados de protocolo. mientras que otros protocolos se envían sin datos adicionales más allá del
Encabezado de IP (a menos que alguno de --datos, --cadena de datoso --longitud de datos las opciones son
especificado).

Este método de descubrimiento de host busca respuestas utilizando el mismo protocolo que un
Sonda, o mensajes inalcanzables del protocolo ICMP que significan que el protocolo dado
no es compatible con el host de destino. Cualquiera de los tipos de respuesta significa que el
el host de destino está vivo.

-PR (Ping de ARP).
Uno de los escenarios de uso de Nmap más comunes es escanear una LAN Ethernet. En la mayoría de las LAN,
especialmente aquellos que usan rangos de direcciones privados especificados por RFC 1918[5], el vasto
la mayoría de las direcciones IP no se utilizan en un momento dado. Cuando Nmap intenta enviar un raw
Paquete IP, como una solicitud de eco ICMP, el sistema operativo debe determinar el
dirección de hardware de destino (ARP) correspondiente a la IP de destino para que pueda
direccionar correctamente el marco de Ethernet. Esto suele ser lento y problemático, ya que
Los sistemas operativos no se escribieron con la expectativa de que tendrían que hacer
millones de solicitudes ARP contra hosts no disponibles en un corto período de tiempo.

El escaneo ARP pone a Nmap y sus algoritmos optimizados a cargo de las solicitudes ARP. Y si es
recibe una respuesta, Nmap ni siquiera necesita preocuparse por los paquetes de ping basados ​​en IP
ya que sabe que el host está activo. Esto hace que el escaneo ARP sea mucho más rápido y más
confiable que los escaneos basados ​​en IP. Por lo tanto, se realiza de forma predeterminada al escanear hosts ethernet.
que Nmap detecta están en una red Ethernet local. Incluso si diferentes tipos de ping (como
as -EDUCACIÓN FÍSICA or -PD) se especifican, Nmap usa ARP en su lugar para cualquiera de los objetivos que son
en la misma LAN. Si absolutamente no desea hacer un escaneo ARP, especifique
--disable-arp-ping.

Para IPv6 (opción -6), -PR utiliza ICMPv6 Neighbor Discovery en lugar de ARP. Vecino
El descubrimiento, definido en RFC 4861, puede verse como el equivalente IPv6 de ARP.

--disable-arp-ping (Sin ARP o ND Ping).
Nmap normalmente realiza el descubrimiento ARP o IPv6 Neighbour Discovery (ND) de los
hosts ethernet, incluso si otras opciones de descubrimiento de host, como -Pn or -EDUCACIÓN FÍSICA son usados. A
deshabilitar este comportamiento implícito, utilice el --disable-arp-ping .

El comportamiento predeterminado es normalmente más rápido, pero esta opción es útil en redes que usan
proxy ARP, en el que un enrutador responde especulativamente a todas las solicitudes ARP, haciendo que cada
el objetivo parece estar activo según el escaneo ARP.

--trazar ruta (Rastrear la ruta al host).
Las rutas de seguimiento se realizan después del escaneo utilizando información de los resultados del escaneo para
Determine el puerto y el protocolo con más probabilidades de llegar al objetivo. Funciona con todos
tipos de escaneo excepto escaneos de conexión (-S t) y escaneos inactivos (-si). Todos los rastros usan Nmap
modelo de temporización dinámica y se realizan en paralelo.

Traceroute funciona enviando paquetes con un TTL (tiempo de vida) bajo en un intento de
generar mensajes ICMP Tiempo excedido de saltos intermedios entre el escáner y el
host de destino. Las implementaciones de traceroute estándar comienzan con un TTL de 1 y aumentan
TTL hasta que se alcance el host de destino. El traceroute de Nmap comienza con un alto
TTL y luego disminuye el TTL hasta que llega a cero. Hacerlo al revés permite a Nmap
Emplee algoritmos de almacenamiento en caché inteligentes para acelerar los seguimientos en varios hosts. De media
Nmap envía de 5 a 10 paquetes menos por host, según las condiciones de la red. Si un solo
Se está escaneando la subred (es decir, 192.168.0.0/24) Es posible que Nmap solo tenga que enviar dos paquetes
para la mayoría de los anfitriones.

-n (Sin resolución DNS).
Le dice a Nmap que nunca invierta la resolución de DNS en las direcciones IP activas que encuentre.
Dado que DNS puede ser lento incluso con el solucionador de stub paralelo incorporado de Nmap, esta opción
puede reducir los tiempos de escaneo.

-R (Resolución de DNS para todos los objetivos).
Le dice a Nmap que always invierta la resolución de DNS en las direcciones IP de destino. Normalmente
El DNS inverso solo se realiza contra hosts receptivos (en línea).

--sistema-dns (Utilice el sistema de resolución de DNS).
De forma predeterminada, Nmap resuelve las direcciones IP enviando consultas directamente a los servidores de nombres
configurado en su host y luego escuchar las respuestas. Muchas solicitudes (a menudo decenas)
se realizan en paralelo para mejorar el rendimiento. Especifique esta opción para usar su
resolución del sistema en su lugar (una IP a la vez a través del obtener información de nombre llamar). Esto es mas lento
y rara vez es útil a menos que encuentre un error en el solucionador paralelo de Nmap (por favor, permítanos
saber si lo hace). El solucionador del sistema siempre se utiliza para análisis de IPv6.

--servidores-dns server1[,server2[, ...]] (Servidores a utilizar para consultas DNS inversas).
De forma predeterminada, Nmap determina sus servidores DNS (para la resolución rDNS) desde su
archivo resolv.conf (Unix) o el Registro (Win32). Alternativamente, puede usar este
opción para especificar servidores alternativos. Esta opción no se respeta si está utilizando
--sistema-dns o un escaneo de IPv6. El uso de varios servidores DNS suele ser más rápido, especialmente
si elige servidores autorizados para su espacio de IP de destino. Esta opción también puede
mejorar el sigilo, ya que sus solicitudes pueden rebotar en casi cualquier DNS recursivo
servidor en Internet.

Esta opción también resulta útil al escanear redes privadas. A veces solo unos pocos
Los servidores de nombres proporcionan información adecuada de rDNS, y es posible que ni siquiera sepa dónde
son. Puede escanear la red en busca del puerto 53 (tal vez con detección de versión), luego intente
Escaneos de listas de Nmap (-SL) especificando cada servidor de nombres de uno en uno con --servidores-dns
hasta que encuentre uno que funcione.

PORT EXPLORACIÓN LO ESENCIAL

Si bien Nmap ha crecido en funcionalidad a lo largo de los años, comenzó como un puerto eficiente
escáner, y esa sigue siendo su función principal. El comando simple nmap dirigidos escanea 1,000
Puertos TCP en el host dirigidos. Si bien muchos escáneres de puertos tradicionalmente han agrupado todos los puertos
en los estados abierto o cerrado, Nmap es mucho más granular. Divide los puertos en seis
estados: abierto, cerrado, filtrado, sin filtrar, abierto | filtrado o cerrado | filtrado.

Estos estados no son propiedades intrínsecas del puerto en sí, pero describen cómo ve Nmap
ellos. Por ejemplo, un escaneo de Nmap de la misma red que el objetivo puede mostrar el puerto 135 / tcp
como abierto, mientras que un escaneo al mismo tiempo con las mismas opciones de Internet
podría mostrar ese puerto como filtrado.

El sistema six Puerto afirma reconocido by Nmap

Una aplicación acepta activamente conexiones TCP, datagramas UDP o SCTP
asociaciones en este puerto. Encontrarlos es a menudo el objetivo principal del escaneo de puertos.
Las personas preocupadas por la seguridad saben que cada puerto abierto es una vía de ataque. Atacantes y
Los probadores de lápiz quieren explotar los puertos abiertos, mientras que los administradores intentan cerrar o
protéjalos con cortafuegos sin frustrar a los usuarios legítimos. Los puertos abiertos también son
interesante para los análisis que no son de seguridad porque muestran los servicios disponibles para su uso en el
red.

Se puede acceder a un puerto cerrado (recibe y responde a los paquetes de sondeo de Nmap), pero
no hay ninguna aplicación que lo escuche. Pueden ser útiles para demostrar que un anfitrión es
en una dirección IP (descubrimiento de host o escaneo de ping) y como parte de la detección del sistema operativo.
Debido a que los puertos cerrados son accesibles, puede valer la pena escanear más tarde en caso de que algunos estén abiertos.
arriba. Es posible que los administradores quieran considerar bloquear dichos puertos con un firewall. Entonces ellos
aparecería en el estado filtrado, discutido a continuación.

Nmap no puede determinar si el puerto está abierto porque el filtrado de paquetes evita su
las sondas lleguen al puerto. El filtrado podría ser de un firewall dedicado.
dispositivo, reglas del enrutador o software de firewall basado en host. Estos puertos frustran a los atacantes
porque proporcionan muy poca información. A veces responden con error ICMP
mensajes como tipo 3 código 13 (destino inalcanzable: comunicación
prohibido administrativamente), pero filtros que simplemente sueltan sondas sin responder
son mucho más comunes. Esto obliga a Nmap a reintentar varias veces en caso de que la sonda
se eliminó debido a la congestión de la red en lugar de al filtrado. Esto ralentiza el escaneo
dramáticamente.

El estado sin filtrar significa que se puede acceder a un puerto, pero Nmap no puede determinar
si está abierto o cerrado. Solo el escaneo ACK, que se usa para mapear el firewall
conjuntos de reglas, clasifica los puertos en este estado. Escaneo de puertos sin filtrar con otro escaneo
tipos como el escaneo de ventana, el escaneo SYN o el escaneo FIN, pueden ayudar a resolver si el puerto es
abra.

Nmap coloca los puertos en este estado cuando no puede determinar si un puerto está abierto
o filtrado. Esto ocurre para los tipos de análisis en los que los puertos abiertos no dan respuesta. La falta
de respuesta también podría significar que un filtro de paquetes dejó caer la sonda o cualquier respuesta
provocado. Por lo tanto, Nmap no sabe con certeza si el puerto está abierto o se está filtrando.
Los escaneos UDP, protocolo IP, FIN, NULL y Xmas clasifican los puertos de esta manera.

Este estado se utiliza cuando Nmap no puede determinar si un puerto está cerrado o
filtrado. Solo se utiliza para el escaneo inactivo de ID de IP.

PORT EXPLORACIÓN TÉCNICAS

Como novato que realiza reparaciones automotrices, puedo luchar durante horas tratando de ajustar mi
herramientas rudimentarias (martillo, cinta adhesiva, llave inglesa, etc.) para la tarea en cuestión. Cuando fallo
miserablemente y remolcar mi cacharro a un mecánico real, invariablemente pesca alrededor en una herramienta enorme
cofre hasta sacar el artilugio perfecto que hace que el trabajo parezca sin esfuerzo. El arte de
el escaneo de puertos es similar. Los expertos entienden las docenas de técnicas de escaneo y eligen el
apropiado (o combinación) para una tarea determinada. Guion y usuarios sin experiencia
niños. por otro lado, intente resolver todos los problemas con el escaneo SYN predeterminado. Ya que
Nmap es gratis, la única barrera para el dominio del escaneo de puertos es el conocimiento. Que sin duda late
el mundo de la automoción, donde puede ser necesaria una gran habilidad para determinar que necesita un puntal
compresor de resorte, entonces todavía tiene que pagar miles de dólares por él.

La mayoría de los tipos de análisis solo están disponibles para usuarios privilegiados. Esto se debe a que envían
y recibir paquetes sin procesar. que requiere acceso de root en sistemas Unix. Usando un
Se recomienda una cuenta de administrador en Windows, aunque Nmap a veces funciona para
usuarios sin privilegios en esa plataforma cuando WinPcap ya se ha cargado en el sistema operativo.
Requerir privilegios de root fue una seria limitación cuando se lanzó Nmap en 1997, ya que muchos
los usuarios solo tenían acceso a cuentas shell compartidas. Ahora el mundo es diferente. Las computadoras son
más barato, muchas más personas tienen acceso directo a Internet siempre activo y sistemas Unix de escritorio
(incluidos Linux y Mac OS X) son frecuentes. Ya está disponible una versión para Windows de Nmap,
lo que le permite ejecutarse incluso en más escritorios. Por todas estas razones, los usuarios tienen menos necesidad de
ejecute Nmap desde cuentas de shell compartidas limitadas. Esto es una suerte, ya que las opciones privilegiadas
hacen que Nmap sea mucho más potente y flexible.

Si bien Nmap intenta producir resultados precisos, tenga en cuenta que todos sus conocimientos son
basado en paquetes devueltos por las máquinas de destino (o firewalls frente a ellas). Semejante
los hosts pueden no ser confiables y enviar respuestas destinadas a confundir o engañar a Nmap. Mucho
más comunes son los hosts no compatibles con RFC que no responden como deberían a las sondas de Nmap.
Los escaneos FIN, NULL y Xmas son particularmente susceptibles a este problema. Tales cuestiones son
específicos de ciertos tipos de análisis y, por lo tanto, se analizan en las entradas de tipos de análisis individuales.

Esta sección documenta la docena de técnicas de escaneo de puertos compatibles con Nmap. Solo uno
El método se puede usar a la vez, excepto que el escaneo UDP (-su) y cualquiera de los escaneos SCTP
tipos-sY, -sZ) se puede combinar con cualquiera de los tipos de exploración de TCP. Como ayuda para la memoria, puerto
las opciones de tipo de escaneo son de la forma -sC, donde el C es un personaje destacado en el nombre del escaneo,
generalmente el primero. La única excepción a esto es el escaneo de rebote de FTP obsoleto (-b). Por
Por defecto, Nmap realiza un escaneo SYN, aunque sustituye un escaneo de conexión si el usuario lo hace
no tener los privilegios adecuados para enviar paquetes sin procesar (requiere acceso de root en Unix). De El
escaneos enumerados en esta sección, los usuarios sin privilegios solo pueden ejecutar la conexión y el rebote de FTP
escaneos.

-SS (Escaneo TCP SYN).
El análisis SYN es la opción de análisis predeterminada y más popular por buenas razones. Puede ser
se realiza rápidamente, escaneando miles de puertos por segundo en una red rápida que no
obstaculizado por cortafuegos restrictivos. También es relativamente discreto y sigiloso.
ya que nunca completa las conexiones TCP. El escaneo SYN funciona contra cualquier TCP compatible
apilar en lugar de depender de la idiosincrasia de plataformas específicas como Nmap
FIN / NULL / Xmas, Maimon y los escaneos inactivos sí lo hacen. También permite una clara y confiable
diferenciación entre los estados abierto, cerrado y filtrado.

Esta técnica a menudo se denomina escaneo semiabierto, porque no abre un
conexión TCP completa. Envías un paquete SYN, como si fueras a abrir un
conexión y luego espere una respuesta. Un SYN / ACK indica que el puerto está escuchando
(abierto), mientras que un RST (reinicio) es indicativo de un no escucha. Si no hay respuesta
recibido después de varias retransmisiones, el puerto se marca como filtrado. El puerto es
también marcado como filtrado si un error ICMP inalcanzable (tipo 3, código 0, 1, 2, 3, 9, 10 o
13) se recibe. El puerto también se considera abierto si un paquete SYN (sin el ACK
bandera) se recibe en respuesta. Esto puede deberse a una característica de TCP extremadamente rara conocida
como una conexión de apretón de manos abierta o dividida simultánea (consulte
https://nmap.org/misc/split-handshake.pdf).

-S t (Escaneo de conexión TCP).
El escaneo de conexión TCP es el tipo de escaneo TCP predeterminado cuando el escaneo SYN no es una opción. Esto es
el caso en el que un usuario no tiene privilegios de paquetes sin procesar. En lugar de escribir crudo
paquetes como hacen la mayoría de los otros tipos de escaneo, Nmap le pide al sistema operativo subyacente que
establecer una conexión con la máquina y el puerto de destino emitiendo el se unen te
llamar. Ésta es la misma llamada al sistema de alto nivel que utilizan los navegadores web, los clientes P2P y la mayoría de
otras aplicaciones habilitadas para la red se utilizan para establecer una conexión. Es parte de un
interfaz de programación conocida como Berkeley Sockets API. En lugar de leer paquetes sin procesar
respuestas fuera del cable, Nmap utiliza esta API para obtener información de estado en cada
intento de conexión.

Cuando el escaneo SYN está disponible, generalmente es una mejor opción. Nmap tiene menos control sobre
el alto nivel se unen call que con paquetes sin procesar, lo que lo hace menos eficiente. El
La llamada al sistema completa las conexiones para abrir los puertos de destino en lugar de realizar la
reinicio medio abierto que hace el escaneo SYN. Esto no solo toma más tiempo y requiere más
paquetes para obtener la misma información, pero es más probable que las máquinas de destino registren el
conexión. Un IDS decente también lo detectará, pero la mayoría de las máquinas no tienen tal alarma
sistema. Muchos servicios en su sistema Unix promedio agregarán una nota a syslog, y
a veces un mensaje de error críptico, cuando Nmap se conecta y luego cierra la conexión
sin enviar datos. Los servicios realmente patéticos se bloquean cuando esto sucede, aunque eso es
poco común. Un administrador que ve varios intentos de conexión en sus registros desde un
Un solo sistema debe saber que se ha escaneado la conexión.

-su (Escaneos UDP).
Si bien los servicios más populares en Internet se ejecutan sobre el protocolo TCP, UDP[6] servicios
se despliegan ampliamente. DNS, SNMP y DHCP (puertos registrados 53, 161/162 y 67/68) son
tres de los más comunes. Porque el escaneo UDP es generalmente más lento y más difícil
que TCP, algunos auditores de seguridad ignoran estos puertos. Esto es un error, tan explotable
Los servicios UDP son bastante comunes y los atacantes ciertamente no ignoran todo el protocolo.
Afortunadamente, Nmap puede ayudar a inventariar puertos UDP.

El escaneo UDP se activa con el -su opción. Se puede combinar con un tipo de escaneo TCP
como el escaneo SYN (-SS) para comprobar ambos protocolos durante la misma ejecución.

El escaneo UDP funciona enviando un paquete UDP a cada puerto de destino. Para algunos puertos comunes
como 53 y 161, se envía una carga útil específica del protocolo para aumentar la tasa de respuesta, pero
para la mayoría de los puertos, el paquete está vacío a menos que el --datos, --cadena de datoso --longitud de datos
se especifican las opciones. Si se devuelve un error de puerto ICMP inalcanzable (tipo 3, código 3),
el puerto está cerrado. Otros errores inalcanzables de ICMP (tipo 3, códigos 0, 1, 2, 9, 10 o
13) marque el puerto como filtrado. Ocasionalmente, un servicio responderá con un paquete UDP,
demostrando que está abierto. Si no se recibe respuesta después de las retransmisiones, el puerto es
clasificado como abierto | filtrado. Esto significa que el puerto podría estar abierto, o tal vez paquete
Los filtros están bloqueando la comunicación. Detección de versión (-sv) se puede utilizar para ayudar
diferenciar los puertos verdaderamente abiertos de los filtrados.

Un gran desafío con el escaneo UDP es hacerlo rápidamente. Puertos abiertos y filtrados rara vez
enviar cualquier respuesta, dejando a Nmap en tiempo de espera y luego realizar retransmisiones solo en
caso de que se perdiera la sonda o la respuesta. Los puertos cerrados suelen ser un problema aún mayor.
Por lo general, envían un error de puerto ICMP inalcanzable. Pero a diferencia de los paquetes RST enviados
por puertos TCP cerrados en respuesta a un SYN o un escaneo de conexión, el límite de velocidad de muchos hosts. ICMP
portar mensajes inalcanzables de forma predeterminada. Linux y Solaris son particularmente estrictos sobre
esta. Por ejemplo, el kernel de Linux 2.4.20 limita los mensajes de destino inalcanzables a
uno por segundo (en net / ipv4 / icmp.c).

Nmap detecta la limitación de velocidad y la ralentiza en consecuencia para evitar inundar la red
con paquetes inútiles que caerá la máquina de destino. Desafortunadamente, un estilo Linux
El límite de un paquete por segundo hace que un escaneo de 65,536 puertos tarde más de 18 horas. Ideas
para acelerar sus escaneos UDP, incluya escanear más hosts en paralelo, haciendo un rápido
primero escanear solo los puertos populares, escanear desde detrás del firewall y usar
--host-tiempo de espera para omitir hosts lentos.

-sY (Escaneo SCTP INIT).
SCTP[7] es una alternativa relativamente nueva a los protocolos TCP y UDP, que combina la mayoría
características de TCP y UDP, y también agregando nuevas características como multi-homing y
transmisión múltiple. Se utiliza principalmente para servicios relacionados con SS7 / SIGTRAN, pero tiene la
potencial para ser utilizado también para otras aplicaciones. El escaneo SCTP INIT es el SCTP
equivalente a un escaneo TCP SYN. Se puede realizar rápidamente, escaneando miles de puertos.
por segundo en una red rápida no obstaculizada por cortafuegos restrictivos. Como el escaneo SYN,
El escaneo INIT es relativamente discreto y sigiloso, ya que nunca completa SCTP
asociaciones. También permite una diferenciación clara y fiable entre lo abierto, lo cerrado,
y estados filtrados.

Esta técnica a menudo se denomina escaneo semiabierto, porque no abre un
asociación SCTP completa. Envías un fragmento INIT, como si fueras a abrir un
asociación y luego esperar una respuesta. Un fragmento INIT-ACK indica que el puerto está
escuchando (abierto), mientras que un fragmento ABORT es indicativo de un no escucha. Si no hay respuesta
se recibe después de varias retransmisiones, el puerto se marca como filtrado. El puerto es
también marcado como filtrado si un error ICMP inalcanzable (tipo 3, código 0, 1, 2, 3, 9, 10 o
13) se recibe.

-sN; -sf; -sX (Escaneos TCP NULL, FIN y Xmas).
Estos tres tipos de escaneo (incluso más son posibles con el - banderas de escaneo opción descrita
en la siguiente sección) explotar una laguna sutil en el TCP RFC[8] para diferenciar
entre puertos abiertos y cerrados. La página 65 de RFC 793 dice que "si el puerto [de destino]
el estado está CERRADO ... un segmento entrante que no contiene un RST hace que se envíe un RST
en respuesta." Luego, la página siguiente analiza los paquetes enviados a puertos abiertos sin la
Los bits SYN, RST o ACK se establecen, indicando que: "es poco probable que llegue aquí, pero si lo hace,
suelte el segmento y vuelva ".

Al escanear sistemas que cumplen con este texto RFC, cualquier paquete que no contenga SYN,
Los bits RST o ACK darán como resultado un RST devuelto si el puerto está cerrado y no hay respuesta
en absoluto si el puerto está abierto. Siempre que no se incluya ninguno de esos tres bits,
la combinación de los otros tres (FIN, PSH y URG) está bien. Nmap explota esto con
tres tipos de escaneo:

Escaneo nulo (-sN)
No establece ningún bit (el encabezado de la bandera TCP es 0)

FIN escaneo (-sf)
Establece solo el bit TCP FIN.

Escaneo de Navidad (-sX)
Establece las banderas FIN, PSH y URG, iluminando el paquete como un árbol de Navidad.

Estos tres tipos de escaneo tienen exactamente el mismo comportamiento, excepto por el conjunto de indicadores TCP
en paquetes de sonda. Si se recibe un paquete RST, el puerto se considera cerrado, mientras que no
respuesta significa que está abierto | filtrado. El puerto se marca como filtrado si no se puede alcanzar un ICMP
se recibe un error (tipo 3, código 0, 1, 2, 3, 9, 10 o 13).

La ventaja clave de estos tipos de escaneo es que pueden escabullirse a través de ciertos
cortafuegos sin estado y enrutadores de filtrado de paquetes. Otra ventaja es que estos
Los tipos de escaneo son un poco más sigilosos que incluso un escaneo SYN. No cuentes con esto
sin embargo, la mayoría de los productos IDS modernos se pueden configurar para detectarlos. La gran desventaja es
que no todos los sistemas siguen el RFC 793 al pie de la letra. Varios sistemas envían RST
respuestas a las sondas independientemente de si el puerto está abierto o no. Esto causa todo
de los puertos que se etiquetarán como cerrados. Los principales sistemas operativos que hacen esto son Microsoft
Windows, muchos dispositivos Cisco, BSDI e IBM OS / 400. Este escaneo funciona contra la mayoría
Sin embargo, los sistemas basados ​​en Unix. Otra desventaja de estos escaneos es que no pueden
distinguir los puertos abiertos de ciertos filtrados, dejándote con la respuesta
abierto | filtrado.

-sa (Escaneo TCP ACK).
Este escaneo es diferente a los otros discutidos hasta ahora en que nunca determina
puertos abiertos (o incluso abiertos | filtrados). Se utiliza para trazar conjuntos de reglas de firewall,
determinar si tienen estado o no y qué puertos se filtran.

El paquete de sondeo de escaneo ACK solo tiene el indicador ACK configurado (a menos que use - banderas de escaneo) Cuando
El escaneo de sistemas sin filtrar, puertos abiertos y cerrados, devolverá un paquete RST. Nmap
luego los etiqueta como sin filtrar, lo que significa que son accesibles por el paquete ACK, pero
si están abiertos o cerrados es indeterminado. Puertos que no responden o envían
ciertos mensajes de error ICMP (tipo 3, código 0, 1, 2, 3, 9, 10 o 13), están etiquetados
filtrado.

-sudoeste (Escaneo de ventana TCP).
El escaneo de ventana es exactamente el mismo que el escaneo ACK, excepto que explota una implementación
detalle de ciertos sistemas para diferenciar los puertos abiertos de los cerrados, en lugar de
siempre imprimiendo sin filtrar cuando se devuelve un RST. Lo hace examinando el TCP
Campo de ventana de los paquetes RST devueltos. En algunos sistemas, los puertos abiertos usan un positivo
tamaño de la ventana (incluso para los paquetes RST) mientras que los cerrados tienen una ventana cero. Entonces en lugar de
siempre enumerando un puerto como sin filtrar cuando recibe un RST, el escaneo de Windows enumera los
puerto como abierto o cerrado si el valor de la ventana TCP en ese restablecimiento es positivo o cero,
respectivamente.

Este escaneo se basa en un detalle de implementación de una minoría de sistemas en el
Internet, por lo que no siempre puedes confiar en él. Los sistemas que no lo admiten normalmente
devolver todos los puertos cerrados. Por supuesto, es posible que la máquina realmente no tenga abierto
puertos. Si la mayoría de los puertos escaneados están cerrados pero algunos números de puerto comunes (como 22, 25,
53) se filtran, lo más probable es que el sistema sea susceptible. Ocasionalmente, los sistemas
incluso muestran el comportamiento exactamente opuesto. Si su escaneo muestra 1,000 puertos abiertos y tres
puertos cerrados o filtrados, entonces esos tres pueden ser los verdaderamente abiertos.

-sM (Escaneo TCP Maimon).
El escaneo de Maimón lleva el nombre de su descubridor, Uriel Maimón. Describió el
técnica en Phrack Magazine número 49 (noviembre de 1996) .. Nmap, que incluía este
técnica, se publicó dos números más tarde. Esta técnica es exactamente la misma que NULL,
FIN y exploraciones de Navidad, excepto que la sonda es FIN / ACK. De acuerdo a RFC 793[8] (TCP),
Se debe generar un paquete RST en respuesta a dicha sonda si el puerto está abierto
o cerrado. Sin embargo, Uriel notó que muchos sistemas derivados de BSD simplemente descartan el paquete
si el puerto está abierto.

- banderas de escaneo (Escaneo TCP personalizado).
Los usuarios verdaderamente avanzados de Nmap no necesitan limitarse a los tipos de escaneo enlatados que se ofrecen.
El sistema - banderas de escaneo La opción le permite diseñar su propio escaneo especificando TCP arbitrario
banderas .. Deje fluir sus jugos creativos, evadiendo los sistemas de detección de intrusos.
cuyos proveedores simplemente hojearon la página de manual de Nmap agregando reglas específicas.

El sistema - banderas de escaneo El argumento puede ser un valor de indicador numérico como 9 (PSH y FIN), pero
usar nombres simbólicos es más fácil. Simplemente mezcle cualquier combinación de URG, ACK, PSH,
RST, SYN y FIN. Por ejemplo, - banderas de escaneo URGACKPSHRSTSYNFIN establece todo, aunque
no es muy útil para escanear. El orden en el que se especifican es irrelevante.

Además de especificar los indicadores deseados, puede especificar un tipo de escaneo de TCP (como
-sa or -sf). Ese tipo base le dice a Nmap cómo interpretar las respuestas. Por ejemplo, un SYN
El escaneo considera que no hay respuesta para indicar un puerto filtrado, mientras que un escaneo FIN trata el
lo mismo que abierto | filtrado. Nmap se comportará de la misma manera que lo hace para el tipo de escaneo base,
excepto que utilizará los indicadores TCP que especifique en su lugar. Si no especifica una base
tipo, se utiliza el escaneo SYN.

-sZ (Escaneo SCTP COOKIE ECHO).
El escaneo SCTP COOKIE ECHO es un escaneo SCTP más avanzado. Se aprovecha del hecho
que las implementaciones de SCTP deben eliminar silenciosamente los paquetes que contienen trozos de COOKIE ECHO
en puertos abiertos, pero envíe un ABORT si el puerto está cerrado. La ventaja de este escaneo
tipo es que no es tan obvio un escaneo de puertos como un escaneo INIT. Además, puede haber
conjuntos de reglas de firewall sin estado que bloquean los fragmentos INIT, pero no los fragmentos COOKIE ECHO. No
engañarse pensando que esto hará invisible un escaneo de puertos; un buen IDS será
capaz de detectar escaneos SCTP COOKIE ECHO también. La desventaja es que SCTP COOKIE ECHO escanea
no puede diferenciar entre puertos abiertos y filtrados, dejándolo con el estado
abierto | filtrado en ambos casos.

-si zombi fortaleza[:puerto de sondeo] (escaneo inactivo).
Este método de escaneo avanzado permite un escaneo del puerto TCP verdaderamente ciego del objetivo
(lo que significa que no se envían paquetes al destino desde su dirección IP real). En cambio, un
El ataque de canal lateral único aprovecha la secuencia de ID de fragmentación de IP predecible
generación en el host zombie para obtener información sobre los puertos abiertos en el objetivo.
Los sistemas IDS mostrarán el escaneo como proveniente de la máquina zombie que especifique (que
debe estar activo y cumplir con ciertos criterios). Este fascinante tipo de escaneo es demasiado complejo para
describir completamente en esta guía de referencia, por lo que escribí y publiqué un documento informal con
detalles completos en https://nmap.org/book/idlescan.html.

Además de ser extraordinariamente sigiloso (debido a su naturaleza ciega), este tipo de escaneo
permite trazar relaciones de confianza basadas en IP entre máquinas. La lista de puertos
muestra puertos abiertos obtenidos de de la forma más la perspectiva of de la forma más zombi anfitrión. Entonces puedes intentar escanear un
Apunta con varios zombis en los que crees que se puede confiar. (a través de enrutador / paquete
reglas de filtro).

Puede agregar dos puntos seguidos de un número de puerto al host zombie si desea sondear
un puerto particular en el zombi para cambios de ID de IP. De lo contrario, Nmap usará el puerto que
utiliza de forma predeterminada para los pings TCP (80).

-asi que (Escaneo de protocolo IP).
El escaneo del protocolo IP le permite determinar qué protocolos IP (TCP, ICMP, IGMP, etc.)
son compatibles con las máquinas de destino. Técnicamente, esto no es un escaneo de puertos, ya que cicla
a través de números de protocolo IP en lugar de números de puerto TCP o UDP. Sin embargo, todavía utiliza el
-p opción para seleccionar números de protocolo escaneados, informa sus resultados dentro de la normal
formato de tabla de puertos, e incluso utiliza el mismo motor de escaneo subyacente que el puerto verdadero
métodos de escaneo. Así que está lo suficientemente cerca de un escaneo de puertos que pertenece aquí.

Además de ser útil por derecho propio, el escaneo de protocolos demuestra el poder de
software de código abierto. Si bien la idea fundamental es bastante simple, no había pensado
para agregarlo ni recibió ninguna solicitud para dicha funcionalidad. Luego, en el verano de
2000, Gerhard Rieger. concibió la idea, escribió un excelente parche implementándola,
y lo envió a la lista de distribución de anuncios. (luego llamado nmap-hackers) .. Yo
incorporó ese parche en el árbol de Nmap y lanzó una nueva versión al día siguiente.
Pocas piezas de software comercial tienen usuarios lo suficientemente entusiastas como para diseñar y
contribuir con sus propias mejoras!

El escaneo de protocolo funciona de manera similar al escaneo UDP. En lugar de iterar a través del
campo de número de puerto de un paquete UDP, envía encabezados de paquetes IP e itera a través del
campo de protocolo IP de ocho bits. Los encabezados suelen estar vacíos, no contienen datos y no
incluso el encabezado adecuado para el protocolo reclamado. Las excepciones son TCP, UDP, ICMP,
SCTP e IGMP. Se incluye un encabezado de protocolo adecuado para esos, ya que algunos sistemas
no los enviará de otra manera y porque Nmap ya tiene funciones para crearlos.
En lugar de buscar mensajes de puerto ICMP inalcanzable, el escaneo de protocolo está en el
cuidado con ICMP protocolo mensajes inalcanzables. Si Nmap recibe alguna respuesta en cualquier
protocolo del host de destino, Nmap marca ese protocolo como abierto. Un protocolo ICMP
error inalcanzable (tipo 3, código 2) hace que el protocolo se marque como cerrado mientras
puerto inalcanzable (tipo 3, código 3) marca el protocolo abierto. Otro ICMP inalcanzable
Los errores (tipo 3, código 0, 1, 9, 10 o 13) hacen que el protocolo se marque como filtrado
(aunque prueban que ICMP está abierto al mismo tiempo). Si no se recibe respuesta
después de las retransmisiones, el protocolo se marca como abierto | filtrado

-b FTP relé fortaleza (Escaneo de rebote de FTP).
Una característica interesante del protocolo FTP (RFC 959[9]) es compatible con los llamados proxy
Conexiones FTP. Esto permite que un usuario se conecte a un servidor FTP y luego pida que los archivos
enviarse a un servidor de terceros. Esta característica está lista para el abuso en muchos niveles, por lo que
la mayoría de los servidores han dejado de admitirlo. Uno de los abusos que permite esta función es
haciendo que el servidor FTP escanee el puerto de otros hosts. Simplemente solicite al servidor FTP que envíe un
archivo a cada puerto interesante de un host de destino a su vez. El mensaje de error
describa si el puerto está abierto o no. Esta es una buena forma de eludir los cortafuegos.
porque los servidores FTP organizacionales a menudo se ubican donde tienen más acceso a
otros hosts internos que cualquier host de Internet antiguo. Nmap admite escaneo de rebote de FTP
con el -b opción. Toma un argumento de la forma nombre de usuario:la contraseña@servidor:Puerto.
Server es el nombre o la dirección IP de un servidor FTP vulnerable. Al igual que con una URL normal,
puede omitir nombre de usuario:la contraseña, en cuyo caso credenciales de inicio de sesión anónimo (usuario: anónimo
contraseña: -wwwuser @) se utilizan. El número de puerto (y los dos puntos anteriores) se pueden omitir como
bueno, en cuyo caso el puerto FTP predeterminado (21) en servidor se utiliza.

Esta vulnerabilidad se generalizó en 1997 cuando se lanzó Nmap, pero en gran parte ha sido
reparado. Los servidores vulnerables todavía existen, por lo que vale la pena intentarlo cuando todo lo demás falla.
Si su objetivo es evitar un firewall, escanee la red de destino para el puerto 21 (o incluso para
cualquier servicio FTP si escanea todos los puertos con detección de versión) y usa ftp-bounce.
Secuencia de comandos NSE. Nmap le dirá si el host es vulnerable o no. Si eres solo
tratando de cubrir sus huellas, no necesita (y, de hecho, no debería) limitar
usted mismo a los hosts de la red de destino. Antes de ir a escanear Internet aleatoriamente
direcciones para servidores FTP vulnerables, tenga en cuenta que es posible que los administradores de sistemas no lo aprecien
abusando de sus servidores de esta manera.

PORT Características Y ESCANEAR PEDIR

Además de todos los métodos de escaneo discutidos anteriormente, Nmap ofrece opciones para
especificando qué puertos se escanean y si el orden de escaneo es aleatorio o secuencial.
De forma predeterminada, Nmap escanea los 1,000 puertos más comunes para cada protocolo.

-p Puerto rangos (Solo escanee los puertos especificados).
Esta opción especifica qué puertos desea escanear y anula el predeterminado.
Los números de puerto individuales están bien, al igual que los rangos separados por un guión (por ejemplo, 1-1023).
Los valores iniciales y / o finales de un rango pueden omitirse, lo que hace que Nmap use 1 y
65535, respectivamente. Entonces puedes especificar -pags- para escanear puertos del 1 al 65535.
Puerto de escaneo cero. está permitido si lo especifica explícitamente. Para escaneo de protocolo IP
(-asi que), esta opción especifica los números de protocolo que desea buscar (0-255).

Al escanear una combinación de protocolos (por ejemplo, TCP y UDP), puede especificar un
protocolo particular precediendo los números de puerto por T: para TCP, U: para UDP, S: para
SCTP o P: para Protocolo IP. El calificador dura hasta que especifique otro calificador.
Por ejemplo, el argumento -p U: 53,111,137, T: 21-25,80,139,8080 escanearía los puertos UDP 53,
111 y 137, así como los puertos TCP enumerados. Tenga en cuenta que para escanear tanto UDP como TCP,
tengo que especificar -su y al menos un tipo de escaneo TCP (como -SS, -sfo -S t). Si no
se proporciona un calificador de protocolo, los números de puerto se agregan a todas las listas de protocolos. Puertos
También se puede especificar por nombre de acuerdo con el puerto al que se hace referencia en el
nmap-services. Incluso puede utilizar los comodines * y? con los nombres. Por ejemplo, para
escanear FTP y todos los puertos cuyos nombres comiencen con "http", utilice -p ftp, http *. Ten cuidado
sobre expansiones de shell y cite el argumento para -p si no está seguro.

Los rangos de puertos pueden estar rodeados por corchetes para indicar los puertos dentro de ese
rango que aparece en nmap-services. Por ejemplo, lo siguiente escaneará todos los puertos en
nmap-services igual o inferior a 1024: -p [-uno]. Tenga cuidado con las expansiones de la cáscara y
citar el argumento a -p si no está seguro.

--excluir-puertos Puerto rangos (Excluya los puertos especificados del escaneo).
Esta opción especifica qué puertos desea que Nmap excluya del escaneo. El Puerto
rangos se especifican de forma similar a -p. Para escaneo de protocolo IP (-asi que), esta opción
especifica los números de protocolo que desea excluir (0-255).

Cuando se solicita la exclusión de puertos, se excluyen de todos los tipos de análisis (es decir,
no serán escaneados bajo ninguna circunstancia). Esto también incluye el descubrimiento
fase.

-F (Escaneo rápido (puerto limitado)).
Especifica que desea escanear menos puertos que los predeterminados. Normalmente Nmap escanea el
1,000 puertos más comunes para cada protocolo escaneado. Con -F, esto se reduce a 100.

Nmap necesita un archivo nmap-services con información de frecuencia para saber qué
los puertos son los más comunes. Si la información sobre la frecuencia del puerto no está disponible, tal vez
debido al uso de un archivo nmap-services personalizado, Nmap escanea todos los puertos con nombre más
puertos 1-1024. En ese caso, -F significa escanear solo los puertos que se nombran en los servicios
archivo.

-r (No aleatorice los puertos).
De forma predeterminada, Nmap aleatoriza el orden de los puertos escaneados (excepto que ciertos
los puertos accesibles se mueven cerca del principio por razones de eficiencia). Esta
La aleatorización es normalmente deseable, pero puede especificar -r para secuencial (ordenado
de menor a mayor) escaneo de puertos en su lugar.

--proporción de puerto proporción<decimal número entre 0 y 1>
Escanea todos los puertos en el archivo nmap-services con una proporción mayor que la dada. proporción
debe estar entre 0.0 y 1.1.

--puertos superiores n
Escanea el n los puertos de mayor proporción encontrados en el archivo nmap-services después de excluir todos los puertos
especificado por --excluir-puertos. n debe ser 1 o mayor.

SERVICIO Y VERSION DETECCIÓN

Apunte Nmap a una máquina remota y podría decirle que los puertos 25 / tcp, 80 / tcp y 53 / udp
estan abiertos. Usando sus servicios nmap. base de datos de unos 2,200 servicios conocidos. Nmap
informaría que esos puertos probablemente corresponden a un servidor de correo (SMTP), servidor web
(HTTP) y servidor de nombres (DNS) respectivamente. Esta búsqueda suele ser precisa: la gran
la mayoría de los demonios que escuchan en el puerto TCP 25 son, de hecho, servidores de correo. Sin embargo, tu
¡No deberías apostar tu seguridad a esto! La gente puede ejecutar servicios en puertos extraños.

Incluso si Nmap tiene razón y el servidor hipotético anterior ejecuta SMTP, HTTP y DNS
servidores, eso no es mucha información. Al realizar evaluaciones de vulnerabilidad (o incluso
inventarios de red simples) de sus empresas o clientes, realmente desea saber qué
servidores y versiones de correo y DNS se están ejecutando. Tener un número de versión preciso ayuda
drásticamente para determinar a qué exploits es vulnerable un servidor. Detección de versión
le ayuda a obtener esta información.

Una vez que se descubren los puertos TCP y / o UDP utilizando uno de los otros métodos de escaneo, la versión
La detección interroga a esos puertos para determinar más sobre lo que realmente se está ejecutando. El
nmap-service-probes. La base de datos contiene sondas para consultar varios servicios y coincidencias.
expresiones para reconocer y analizar respuestas. Nmap intenta determinar el protocolo de servicio
(por ejemplo, FTP, SSH, Telnet, HTTP), el nombre de la aplicación (por ejemplo, ISC BIND, Apache httpd, Solaris
telnetd), el número de versión, el nombre de host, el tipo de dispositivo (p. ej., impresora, enrutador), la familia del sistema operativo
(por ejemplo, Windows, Linux). Cuando es posible, Nmap también obtiene la enumeración de plataforma común
(CPE). representación de esta información. A veces, detalles diversos como si
un servidor X está abierto a conexiones, la versión del protocolo SSH o el nombre de usuario de KaZaA son
disponible. Por supuesto, la mayoría de los servicios no brindan toda esta información. Si Nmap fuera
compilado con soporte OpenSSL, se conectará a servidores SSL para deducir el servicio
escuchando detrás de esa capa de cifrado .. Algunos puertos UDP se dejan al aire libre | filtrado
estado después de que un escaneo de puerto UDP no puede determinar si el puerto está abierto o filtrado.
La detección de versiones intentará obtener una respuesta de estos puertos (al igual que lo hace con
puertos abiertos) y cambie el estado a abierto si tiene éxito. abiertos | los puertos TCP filtrados son
tratado de la misma manera. Tenga en cuenta que el Nmap -A La opción habilita la detección de versiones, entre otras
cosas. Un documento que documente el funcionamiento, el uso y la personalización de la detección de versiones.
está disponible en https://nmap.org/book/vscan.html.

Cuando se descubren los servicios RPC, el grinder Nmap RPC. se utiliza automáticamente para
determinar el programa RPC y los números de versión. Toma todos los puertos TCP / UDP detectados como
RPC y los inunda con comandos NULL del programa SunRPC en un intento de determinar si
son puertos RPC y, de ser así, qué programa y número de versión ofrecen. Así puedes
obtener efectivamente la misma información que informaciónrpc -p incluso si el portmapper del objetivo está detrás de un
firewall (o protegido por envoltorios TCP). Los señuelos no funcionan actualmente con el escaneo RPC.

Cuando Nmap recibe respuestas de un servicio pero no puede relacionarlas con su base de datos,
imprime una huella digital especial y una URL para que la envíe si está seguro
lo que se está ejecutando en el puerto. Tómese un par de minutos para enviar el envío para que
su hallazgo puede beneficiar a todos. Gracias a estos envíos, Nmap tiene alrededor de 6,500 patrones
coincide con más de 650 protocolos como SMTP, FTP, HTTP, etc.

La detección de versiones se habilita y controla con las siguientes opciones:

-sv (Detección de versiones).
Habilita la detección de versiones, como se discutió anteriormente. Alternativamente, puede usar -A, cual
permite la detección de versiones, entre otras cosas.

-sR. es un alias para -sv. Antes de marzo de 2011, se utilizaba para activar la amoladora RPC
por separado de la detección de versiones, pero ahora estas opciones siempre se combinan.

--puertos (No excluya ningún puerto de la detección de versiones).
De forma predeterminada, la detección de versiones de Nmap omite el puerto TCP 9100 porque algunas impresoras simplemente
imprimir cualquier cosa enviada a ese puerto, lo que lleva a docenas de páginas de solicitudes HTTP GET,
solicitudes de sesión SSL binarias, etc. Este comportamiento se puede cambiar modificando o
eliminando la directiva Exclude en nmap-service-probes, o puede especificar --puertos
para escanear todos los puertos independientemente de cualquier directiva de exclusión.

--versión-intensidad intensidad (Establecer la intensidad del escaneo de la versión).
Al realizar un escaneo de versión (-sv), Nmap envía una serie de sondas, cada una de las cuales es
asignó un valor de rareza entre uno y nueve. Las sondas de menor número son eficaces
contra una amplia variedad de servicios comunes, mientras que los de números más altos rara vez son
útil. El nivel de intensidad especifica qué sondas se deben aplicar. Cuanto mayor sea el
número, es más probable que el servicio se identifique correctamente. Sin embargo, alto
las exploraciones de intensidad tardan más. La intensidad debe estar entre 0 y 9 .. El valor predeterminado es
7 .. Cuando se registra una sonda en el puerto de destino a través de nmap-service-probesports
directiva, esa sonda se prueba independientemente del nivel de intensidad. Esto asegura que el
Las sondas de DNS siempre se intentarán contra cualquier puerto 53 abierto, la sonda SSL será
hecho contra 443, etc.

--versión-luz (Activar el modo de luz).
Este es un alias de conveniencia para --versión-intensidad 2. Este modo de luz hace que la versión
escanea mucho más rápido, pero es un poco menos probable que identifique servicios.

--versión-todo (Pruebe cada una de las sondas).
Un alias para --versión-intensidad 9, asegurándose de que se intente cada sonda
contra cada puerto.

--versión-rastreo (Actividad de escaneo de la versión de seguimiento).
Esto hace que Nmap imprima información de depuración extensa sobre qué versión es el escaneo
haciendo. Es un subconjunto de lo que obtienes con --packet-traza.

OS DETECCIÓN

Una de las características más conocidas de Nmap es la detección remota del sistema operativo mediante la pila TCP / IP
toma de huellas dactilares. Nmap envía una serie de paquetes TCP y UDP al host remoto y examina
prácticamente todas las respuestas. Después de realizar decenas de pruebas como TCP ISN
muestreo, soporte y pedido de opciones de TCP, muestreo de ID de IP y tamaño de ventana inicial
comprobar, Nmap compara los resultados con su nmap-os-db. base de datos de más de 2,600 sistemas operativos conocidos
huellas dactilares e imprime los detalles del sistema operativo si hay una coincidencia. Cada huella dactilar incluye
una descripción textual de forma libre del sistema operativo y una clasificación que proporciona al proveedor
nombre (por ejemplo, Sun), sistema operativo subyacente (por ejemplo, Solaris), generación de sistema operativo (por ejemplo, 10) y tipo de dispositivo
(propósito general, enrutador, conmutador, consola de juegos, etc.). La mayoría de las huellas dactilares también tienen un
Enumeración de plataforma (CPE). representación, como cpe: / o: linux: linux_kernel: 2.6.

Si Nmap no puede adivinar el sistema operativo de una máquina y las condiciones son buenas (por ejemplo, al menos una
se encontró un puerto abierto y un puerto cerrado), Nmap proporcionará una URL que puede usar para enviar
la huella digital si sabe (con seguridad) el sistema operativo que se ejecuta en la máquina. Haciendo esto tu
contribuir al grupo de sistemas operativos conocidos por Nmap y, por lo tanto, será más
precisa para todos.

La detección del sistema operativo permite algunas otras pruebas que utilizan la información recopilada.
durante el proceso de todos modos. Uno de ellos es la clasificación de predictibilidad de secuencias de TCP.
Esto mide aproximadamente qué tan difícil es establecer una conexión TCP falsificada contra
el host remoto. Es útil para explotar las relaciones de confianza basadas en IP de origen (rlogin,
filtros de firewall, etc.) o para ocultar la fuente de un ataque. Este tipo de suplantación es
rara vez se realiza más, pero muchas máquinas aún son vulnerables a él. El actual
El número de dificultad se basa en un muestreo estadístico y puede fluctuar. Es generalmente
mejor usar la clasificación inglesa como “digno desafío” o “broma trivial”.
Esto solo se informa en la salida normal en detallado (-v) modo. Cuando el modo detallado está habilitado
para cada año fiscal junto con la -O, También se informa sobre la generación de secuencias de ID de IP. La mayoría de las máquinas están en el
Clase "incremental", lo que significa que incrementan el campo ID en el encabezado IP para
cada paquete que envían. Esto los hace vulnerables a varias informaciones avanzadas.
recopilación y suplantación de ataques.

Otra información adicional habilitada por la detección del sistema operativo es una suposición sobre el tiempo de actividad de un objetivo.
Esto usa la opción de marca de tiempo TCP (RFC 1323[10]) para adivinar cuándo fue la última vez que una máquina
reiniciado. La suposición puede ser inexacta debido a que el contador de marca de tiempo no se inicializa
a cero o el contador se desborda y se envuelve, por lo que se imprime solo en verboso
modo.

Un documento que documenta el funcionamiento, el uso y la personalización de la detección del sistema operativo está disponible en
https://nmap.org/book/osdetect.html.

La detección de SO está habilitada y controlada con las siguientes opciones:

-O (Habilitar detección de SO).
Habilita la detección del sistema operativo, como se discutió anteriormente. Alternativamente, puede usar -A para habilitar el sistema operativo
detección junto con otras cosas.

--osscan-límite (Limite la detección de SO a objetivos prometedores).
La detección del sistema operativo es mucho más eficaz si al menos un puerto TCP abierto y uno cerrado están
fundar. Establezca esta opción y Nmap ni siquiera intentará la detección del sistema operativo contra hosts que lo hagan.
no cumple con este criterio. Esto puede ahorrar mucho tiempo, especialmente en -Pn escanea
contra muchos anfitriones. Solo importa cuando se solicita la detección del sistema operativo con -O or -A.

--osscan-adivinar; --difuso (Adivina los resultados de la detección del sistema operativo).
Cuando Nmap no puede detectar una coincidencia perfecta del sistema operativo, a veces ofrece casi coincidencias
como posibilidades. La coincidencia tiene que ser muy cercana para que Nmap haga esto por defecto.
Cualquiera de estas opciones (equivalentes) hace que Nmap adivine de manera más agresiva. Nmap lo hará
todavía le dice cuando se imprime una coincidencia imperfecta y muestra su nivel de confianza
(porcentaje) para cada conjetura.

--max-os-intenta (Establezca el número máximo de intentos de detección de SO contra un objetivo).
Cuando Nmap realiza la detección del sistema operativo contra un objetivo y no encuentra una coincidencia perfecta,
Suele repetir el intento. De forma predeterminada, Nmap intenta cinco veces si las condiciones son
favorable para el envío de huellas dactilares del sistema operativo, y dos veces cuando las condiciones no son tan buenas.
Especificando un menor --max-os-intenta valor (como 1) acelera Nmap, aunque se pierde
en reintentos que potencialmente podrían identificar el sistema operativo. Alternativamente, un valor alto
puede configurarse para permitir aún más reintentos cuando las condiciones sean favorables. Esto es raramente
hecho, excepto para generar mejores huellas dactilares para su presentación e integración en el
Base de datos del sistema operativo Nmap.

Nmap ESCRITURA MOTOR (NSE)

Nmap Scripting Engine (NSE) es una de las funciones más potentes y flexibles de Nmap. Eso
permite a los usuarios escribir (y compartir) scripts simples (usando el Lua programación idioma[11].
) para automatizar una amplia variedad de tareas de red. Esos scripts se ejecutan en paralelo.
con la velocidad y la eficiencia que espera de Nmap. Los usuarios pueden confiar en el crecimiento y
diverso conjunto de scripts distribuidos con Nmap, o escribir los suyos propios para satisfacer necesidades personalizadas.

Las tareas que teníamos en mente al crear el sistema incluyen el descubrimiento de redes, más
detección de versiones sofisticadas, detección de vulnerabilidades. NSE incluso se puede utilizar para
explotación de la vulnerabilidad.

Para reflejar esos diferentes usos y simplificar la elección de qué scripts ejecutar, cada
El script contiene un campo que lo asocia con una o más categorías. Actualmente definido
las categorías son auth, broadcast, default. descubrimiento, dos, exploit, externo, fuzzer,
intrusivo, malware, seguro, versión y vuln. Todos estos se describen en
https://nmap.org/book/nse-usage.html#nse-categories.

Los scripts no se ejecutan en una caja de arena y, por lo tanto, podrían dañar accidental o maliciosamente su
sistema o invadir su privacidad. Nunca ejecute scripts de terceros a menos que confíe en el
autores o ha auditado cuidadosamente los guiones usted mismo.

El motor de secuencias de comandos de Nmap se describe en detalle en https://nmap.org/book/nse.html y es
controlado por las siguientes opciones:

-Carolina del Sur .
Realiza un análisis de secuencias de comandos utilizando el conjunto predeterminado de secuencias de comandos. Es equivalente a
--script = predeterminado. Algunos de los scripts de esta categoría se consideran intrusivos y
no debe ejecutarse en una red de destino sin permiso.

--guión nombre de archivo|categoría|directorio|expresión[, ...] .
Ejecuta un escaneo de secuencia de comandos utilizando la lista separada por comas de nombres de archivo, categorías de secuencia de comandos y
directorios. Cada elemento de la lista también puede ser una expresión booleana que describe un
conjunto de guiones más complejo. Cada elemento se interpreta primero como una expresión, luego
como categoría y, finalmente, como nombre de archivo o directorio.

Hay dos funciones especiales solo para usuarios avanzados. Uno es prefijar los nombres de los guiones
y expresiones con + para obligarlos a ejecutar incluso si normalmente no lo harían (por ejemplo, el
el servicio relevante no se detectó en el puerto de destino). El otro es que el argumento
all se puede usar para especificar cada script en la base de datos de Nmap. Ten cuidado con esto
porque NSE contiene scripts peligrosos como exploits, autenticación de fuerza bruta
crackers y ataques de denegación de servicio.

Los nombres de archivos y directorios pueden ser relativos o absolutos. Se utilizan nombres absolutos
directamente. Las rutas relativas se buscan en los scripts de cada uno de los siguientes lugares
hasta que se encuentre: --datadir
$ NMAPDIR.
~ / .nmap (no buscado en Windows).
INICIO\ AppData \ Roaming \ nmap (solo en Windows).
el directorio que contiene el ejecutable nmap
el directorio que contiene el ejecutable nmap, seguido de ../share/nmap
NMAPDATADIR.
el directorio actual.

Cuando se da un nombre de directorio, Nmap carga todos los archivos en el directorio cuyo nombre termina
con .nse. Todos los demás archivos se ignoran y los directorios no se buscan de forma recursiva. Cuándo
se proporciona un nombre de archivo, no es necesario que tenga la extensión .nse; se agregará
automáticamente si es necesario. Los scripts de Nmap se almacenan en un subdirectorio de scripts de Nmap
directorio de datos por defecto (ver https://nmap.org/book/data-files.html). Por eficiencia,
Los scripts se indexan en una base de datos almacenada en scripts / script.db ,. que enumera la categoría
o categorías a las que pertenece cada guión. Cuando se hace referencia a los scripts de script.db por
name, puede usar un comodín '*' estilo shell.

nmap --guión "http- *"
Carga todos los scripts cuyo nombre comienza con http-, como http-auth y http-open-proxy.
El argumento para --guión tenía que estar entre comillas para proteger el comodín del shell.

Se puede realizar una selección de scripts más complicada usando los operadores y, o y no para
construir expresiones booleanas. Los operadores tienen el mismo precedencia[12] como en Lua: no es
el más alto, seguido de y y luego o. Puede modificar la precedencia utilizando paréntesis.
Debido a que las expresiones contienen caracteres de espacio, es necesario citarlos.

nmap --guión "no intruso"
Carga todos los scripts excepto los de la categoría intrusiva.

nmap --guión "defecto or a salvo"
Esto es funcionalmente equivalente a nmap --guión "predeterminado, seguro". Carga todos los scripts
que están en la categoría predeterminada o la categoría segura o ambas.

nmap --guión "defecto y a salvo"
Carga los scripts que están en ambas las categorías predeterminadas y seguras.

nmap --guión "(defecto or ambiente seguro or intruso) y no http- * "
Carga scripts en las categorías predeterminadas, seguras o intrusivas, excepto aquellas cuyo
los nombres comienzan con http-.

--script-args n1=v1,n2={n3=v3},n4={v4,v5} .
Le permite proporcionar argumentos a los scripts de NSE. Los argumentos son una lista separada por comas de
pares nombre = valor. Los nombres y valores pueden ser cadenas que no contengan espacios en blanco o
caracteres '{', '}', '=' o ','. Para incluir uno de estos caracteres en una cadena,
encierre la cadena entre comillas simples o dobles. Dentro de una cadena entre comillas, '\' escapa a un
cita. Una barra invertida solo se usa para escapar de las comillas en este caso especial; en todo
en otros casos, una barra invertida se interpreta literalmente. Los valores también pueden ser tablas adjuntas
en {}, al igual que en Lua. Una tabla puede contener valores de cadena simples o más nombre-valor
pares, incluidas las tablas anidadas. Muchos guiones califican sus argumentos con el guion
name, como en xmpp-info.server_name. Puede usar esa versión calificada completa para afectar
solo el script especificado, o puede pasar la versión no calificada (server_name en
este caso) para afectar a todos los scripts que utilizan ese nombre de argumento. Primero se comprobará un guión
por su nombre de argumento completamente calificado (el nombre especificado en su documentación) antes
acepta un nombre de argumento no calificado. Un ejemplo complejo de argumentos de script es
--script-args
'user = foo, pass = ", {} = bar", whois = {whodb = nofollow + ripe}, xmpp-info.server_name = localhost'.
El portal de documentación de NSE en línea en https://nmap.org/nsedoc/ enumera los argumentos
que acepta cada guión.

--script-args-archivo nombre de archivo .
Le permite cargar argumentos en scripts NSE desde un archivo. Cualquier argumento en la línea de comando
reemplazar a los del archivo. El archivo puede ser una ruta absoluta o una ruta relativa a
Ruta de búsqueda habitual de Nmap (NMAPDIR, etc.) Los argumentos pueden estar separados por comas o
separados por líneas nuevas, pero por lo demás siguen las mismas reglas que para --script-args, sin
requiriendo comillas especiales y escapes, ya que no son analizados por el shell.

--script-ayuda nombre de archivo|categoría|directorio|expresión| todos [, ...] .
Muestra ayuda sobre los scripts. Para cada script que coincida con la especificación dada, Nmap
imprime el nombre del guión, sus categorías y su descripción. Las especificaciones son
los mismos que los aceptados por --guión; así que, por ejemplo, si quieres ayuda sobre el
script ftp-anon, ejecutaría nmap --script-ayuda ftp-anón. Además de conseguir
ayuda para scripts individuales, puede usar esto como una vista previa de los scripts que se ejecutarán
para una especificación, por ejemplo con nmap --script-ayuda tu préstamo estudiantil.

--secuencia de comandos .
Esta opción hace lo que --packet-traza hace, solo una capa ISO más alta. Si esta opcion
Se especifica que se imprimen todas las comunicaciones entrantes y salientes realizadas por un script.
La información mostrada incluye el protocolo de comunicación, la fuente, el objetivo
y los datos transmitidos. Si más del 5% de todos los datos transmitidos no se pueden imprimir,
entonces la salida de seguimiento está en formato de volcado hexadecimal. Especificando --packet-traza permite
rastreo de guiones también.

--script-actualizadob .
Esta opción actualiza la base de datos de scripts que se encuentra en scripts / script.db que es utilizada por
Nmap para determinar las categorías y los scripts predeterminados disponibles. Solo es necesario
para actualizar la base de datos si ha agregado o eliminado scripts NSE de la configuración predeterminada
directorio de scripts o si ha cambiado las categorías de cualquier script. Esta opcion es
generalmente utilizado por sí mismo: nmap --script-actualizadob.

TIEMPO Y ACTUACIÓN

Una de mis principales prioridades de desarrollo de Nmap siempre ha sido el rendimiento. Un escaneo predeterminado
(nmap hostname) de un host en mi red local toma una quinta parte de un segundo. Eso es apenas
tiempo suficiente para parpadear, pero se suma cuando se escanean cientos o miles de hosts.
Además, ciertas opciones de escaneo, como el escaneo UDP y la detección de versiones, pueden aumentar
tiempos de escaneo sustancialmente. Lo mismo ocurre con ciertas configuraciones de firewall, en particular la respuesta
limitación de velocidad. Mientras que Nmap utiliza paralelismo y muchos algoritmos avanzados para acelerar
Estos escaneos, el usuario tiene el control final sobre cómo se ejecuta Nmap. Usuarios expertos con cuidado
crear comandos de Nmap para obtener solo la información que les interesa mientras cumplen con sus
limitaciones de tiempo.

Las técnicas para mejorar los tiempos de escaneo incluyen omitir pruebas no críticas y actualizar a
la última versión de Nmap (las mejoras de rendimiento se realizan con frecuencia). Optimización
Los parámetros de tiempo también pueden marcar una diferencia sustancial. Esas opciones se enumeran a continuación.

Algunas opciones aceptan un parámetro de tiempo. Esto se especifica en segundos de forma predeterminada, aunque
puede agregar 'ms', 's', 'm' o 'h' al valor para especificar milisegundos, segundos, minutos,
u horas. Entonces el --host-tiempo de espera argumentos 900000ms, 900, 900s y 15m todos hacen lo mismo
cosa.

--min-grupo de hosts números de hosts; --max-grupo de hosts números de hosts (Ajuste los tamaños de los grupos de exploración en paralelo).
Nmap tiene la capacidad de escanear puertos o escanear versiones de múltiples hosts en paralelo. Nmap
hace esto dividiendo el espacio de IP de destino en grupos y luego escaneando un grupo en un
hora. En general, los grupos más grandes son más eficientes. La desventaja es que los resultados del host
no se puede proporcionar hasta que todo el grupo haya terminado. Entonces, si Nmap comenzó con un
tamaño de grupo de 50, el usuario no recibiría ningún informe (a excepción de las actualizaciones
se ofrece en modo detallado) hasta que se completen los primeros 50 hosts.

De forma predeterminada, Nmap adopta un enfoque de compromiso para este conflicto. Comienza con un
tamaño del grupo tan bajo como cinco, por lo que los primeros resultados se obtienen rápidamente y luego aumentan el
groupize hasta 1024. Los números predeterminados exactos dependen de las opciones dadas.
Por razones de eficiencia, Nmap utiliza tamaños de grupo más grandes para escaneos UDP o TCP de pocos puertos.

Cuando se especifica un tamaño máximo de grupo con --max-grupo de hosts, Nmap nunca excederá
ese tamaño. Especifique un tamaño mínimo con --min-grupo de hosts y Nmap intentará mantener el grupo
tamaños por encima de ese nivel. Es posible que Nmap tenga que usar grupos más pequeños de los que especifica si hay
no quedan suficientes hosts de destino en una interfaz determinada para cumplir con el
mínimo. Ambos pueden configurarse para mantener el tamaño del grupo dentro de un rango específico, aunque esto
rara vez se desea.

Estas opciones no tienen ningún efecto durante la fase de descubrimiento de host de un análisis. Esta
incluye escaneos de ping simples (-sn). El descubrimiento de hosts siempre funciona en grandes grupos de hosts
para mejorar la velocidad y la precisión.

El uso principal de estas opciones es especificar un tamaño de grupo mínimo grande para que el
el análisis completo se ejecuta más rápidamente. Una opción común es 256 para escanear una red en tamaño Clase C
trozos. Para un escaneo con muchos puertos, es poco probable que exceder ese número ayude mucho.
Para escaneos de solo unos pocos números de puerto, los tamaños de grupos de host de 2048 o más pueden ser útiles.

--min-paralelismo batas de baño; --max-paralelismo batas de baño (Ajustar la paralelización de la sonda).
Estas opciones controlan el número total de sondas que pueden estar pendientes para un host.
grupo. Se utilizan para la exploración de puertos y la detección de hosts. Por defecto, Nmap calcula
un paralelismo ideal en constante cambio basado en el rendimiento de la red. Si los paquetes se
cae, Nmap se ralentiza y permite menos sondas pendientes. El número de sonda ideal
aumenta lentamente a medida que la red demuestra su valía. Estas opciones colocan mínimo o
límites máximos en esa variable. Por defecto, el paralelismo ideal puede caer a uno si
la red resulta poco fiable y se eleva a varios cientos en perfectas condiciones.

El uso más común es configurar --min-paralelismo a un número superior a uno para acelerar
escaneos de redes o hosts de bajo rendimiento. Esta es una opción arriesgada para jugar,
ya que establecerlo demasiado alto puede afectar la precisión. Establecer esto también reduce la capacidad de Nmap
para controlar el paralelismo de forma dinámica en función de las condiciones de la red. Un valor de 10 podría ser
razonable, aunque solo ajusto este valor como último recurso.

El sistema --max-paralelismo La opción a veces se establece en uno para evitar que Nmap envíe más
de una sonda a la vez a los hosts. El - retraso de escaneo opción, discutida más adelante, es
otra forma de hacer esto.

--min-rtt-tiempo de espera time, --max-rtt-tiempo de espera time, --inicial-rtt-tiempo de espera time (Ajustar sonda
tiempos de espera).
Nmap mantiene un valor de tiempo de espera en ejecución para determinar cuánto tiempo esperará una
respuesta de la sonda antes de ceder o retransmitir la sonda. Esto se calcula en base
sobre los tiempos de respuesta de sondas anteriores.

Si la latencia de la red se muestra significativa y variable, este tiempo de espera puede
crecer a varios segundos. También comienza en un nivel conservador (alto) y puede permanecer
de esa manera por un tiempo cuando Nmap escanea hosts que no responden.

Especificando un menor --max-rtt-tiempo de espera y --inicial-rtt-tiempo de espera que los valores predeterminados pueden
reducir significativamente los tiempos de escaneo. Esto es particularmente cierto para pingless (-Pn) exploraciones y
aquellos contra redes fuertemente filtradas. Sin embargo, no seas demasiado agresivo. El escaneo puede
terminan tomando más tiempo si especifica un valor tan bajo que muchas sondas se agotan
y retransmitir mientras la respuesta está en tránsito.

Si todos los hosts están en una red local, 100 milisegundos (--max-rtt-tiempo de espera 100ms) es
un valor agresivo razonable. Si el enrutamiento está involucrado, haga ping a un host en la red
primero con la utilidad de ping ICMP, o con un creador de paquetes personalizado como Nping. ese
es más probable que atraviese un cortafuegos. Mire el tiempo máximo de ida y vuelta fuera de
diez paquetes más o menos. Es posible que desee duplicar eso para el --inicial-rtt-tiempo de espera y
triplicarlo o cuadriplicarlo para el --max-rtt-tiempo de espera. Generalmente no establezco el máximo
RTT por debajo de 100 ms, independientemente de los tiempos de ping. Tampoco sobrepaso los 1000 ms.

--min-rtt-tiempo de espera es una opción que se usa con poca frecuencia y que podría ser útil cuando una red es tan
No es confiable que incluso el valor predeterminado de Nmap sea demasiado agresivo. Dado que Nmap solo reduce el
tiempo de espera al mínimo cuando la red parece ser confiable, esta necesidad es
inusual y debería notificarse como un error a la lista de correo nmap-dev.

--max-reintentos numeros (Especifique el número máximo de retransmisiones de la sonda de exploración de puertos).
Cuando Nmap no recibe respuesta a una sonda de escaneo de puertos, podría significar que el puerto está
filtrado. O tal vez la sonda o la respuesta simplemente se perdió en la red. Tambien es
Es posible que el host de destino tenga habilitada la limitación de velocidad que bloqueó temporalmente la
respuesta. Entonces, Nmap vuelve a intentarlo retransmitiendo la sonda inicial. Si Nmap detecta
baja confiabilidad de la red, puede intentarlo muchas más veces antes de renunciar a un puerto. Mientras
esto beneficia la precisión, también alarga los tiempos de escaneo. Cuando el rendimiento es fundamental,
los escaneos pueden acelerarse limitando el número de retransmisiones permitidas. Usted puede incluso
especificar --max-reintentos 0 para evitar retransmisiones, aunque eso es solo
Recomendado para situaciones tales como reconocimientos informales donde ocasionalmente se pierden puertos y
los anfitriones son aceptables.

El predeterminado (sin -T plantilla) es permitir diez retransmisiones. Si una red parece
confiables y los hosts de destino no limitan la velocidad, Nmap generalmente solo hace uno
retransmisión. Por lo tanto, la mayoría de los escaneos de objetivos ni siquiera se ven afectados por la caída --max-reintentos a
un valor bajo como tres. Dichos valores pueden acelerar sustancialmente los escaneos de (tasa
limitado) hosts. Por lo general, pierde algo de información cuando Nmap abandona los puertos antes de tiempo,
aunque eso puede ser preferible a dejar que el --host-tiempo de espera expirar y perder todo
información sobre el objetivo.

--host-tiempo de espera time (Renunciar a los hosts de destino lentos).
Algunos anfitriones simplemente toman un long hora de escanear. Esto puede deberse a un rendimiento deficiente o
hardware o software de red no confiable, limitación de la velocidad de paquetes o una restricción
cortafuegos. El porcentaje más lento de los hosts escaneados puede consumir la mayoría de los
tiempo de escaneo. A veces, es mejor reducir las pérdidas y omitir esos hosts inicialmente.
Especificar --host-tiempo de espera con la máxima cantidad de tiempo que esté dispuesto a esperar. Para
Por ejemplo, especifique 30 m para asegurarse de que Nmap no pierda más de media hora en un
anfitrión único. Tenga en cuenta que Nmap puede estar escaneando otros hosts al mismo tiempo durante ese
media hora, por lo que no es una pérdida completa. Se omite un host que agota el tiempo de espera. Sin puerto
Los resultados de la tabla, detección de SO o detección de versión se imprimen para ese host.

- retraso de escaneo time; --max-escaneo-retraso time (Ajustar retardo entre sondas).
Esta opción hace que Nmap espere al menos la cantidad de tiempo dada entre cada sonda
envía a un host determinado. Esto es particularmente útil en el caso de limitación de velocidad.
Las máquinas Solaris (entre muchas otras) generalmente responderán a los paquetes de sondeo de exploración UDP
con solo un mensaje ICMP por segundo. Más de lo enviado por Nmap será
antieconómico. A - retraso de escaneo de 1s mantendrá Nmap a ese ritmo lento. Nmap intenta detectar
limitar la frecuencia y ajustar el retraso de escaneo en consecuencia, pero no está de más especificarlo
explícitamente si ya sabe qué tarifa funciona mejor.

Cuando Nmap ajusta el retraso de escaneo hacia arriba para hacer frente a la limitación de velocidad, el escaneo se ralentiza
abajo dramáticamente. El --max-escaneo-retraso La opción especifica el mayor retraso que Nmap
permitirá. Un bajo --max-escaneo-retraso puede acelerar Nmap, pero es arriesgado. Configurando esto
un valor demasiado bajo puede provocar un desperdicio de retransmisiones de paquetes y posibles puertos perdidos
cuando el objetivo implementa una limitación de velocidad estricta.

Otro uso de - retraso de escaneo es evadir la detección de intrusiones basada en umbrales y
sistemas de prevención (IDS / IPS).

- tasa mínima número; --máxima calificación número (Controle directamente la velocidad de escaneo).
La sincronización dinámica de Nmap hace un buen trabajo al encontrar una velocidad adecuada a la que
escanear. A veces, sin embargo, es posible que conozca una frecuencia de exploración adecuada para un
red, o puede que tenga que garantizar que un escaneo se terminará en un tiempo determinado.
O quizás deba evitar que Nmap escanee demasiado rápido. El - tasa mínima y --máxima calificación
Las opciones están diseñadas para estas situaciones.

Cuando el - tasa mínima se le da la opción Nmap hará todo lo posible para enviar paquetes tan rápido como
o más rápido que la velocidad indicada. El argumento es un número real positivo que representa un
tasa de paquetes en paquetes por segundo. Por ejemplo, especificando - tasa mínima 300 significa que
Nmap intentará mantener la velocidad de envío a 300 paquetes por segundo o más. Especificando
una tasa mínima no impide que Nmap vaya más rápido si las condiciones lo requieren.

Asimismo, --máxima calificación limita la velocidad de envío de un escaneo a un máximo determinado. Usar --máxima calificación
100, por ejemplo, para limitar el envío a 100 paquetes por segundo en una red rápida. Usar
--máxima calificación 0.1 para un escaneo lento de un paquete cada diez segundos. Usar - tasa mínima y
--máxima calificación juntos para mantener la tasa dentro de un cierto rango.

Estas dos opciones son globales y afectan a un análisis completo, no a hosts individuales. Ellos
solo afectan los análisis de puertos y los análisis de descubrimiento de hosts. Otras características como la detección del sistema operativo
implementar su propia sincronización.

Hay dos condiciones en las que la velocidad de exploración real puede caer por debajo de la solicitada.
mínimo. La primera es si el mínimo es más rápido que la velocidad más rápida a la que Nmap puede
enviar, que depende del hardware. En este caso, Nmap simplemente enviará paquetes como
lo más rápido posible, pero tenga en cuenta que es probable que tasas tan altas provoquen una pérdida de
exactitud. El segundo caso es cuando Nmap no tiene nada que enviar, por ejemplo al final de
un escaneo cuando se han enviado las últimas sondas y Nmap está esperando a que se agote el tiempo de espera o
ser respondido. Es normal ver caer la velocidad de escaneo al final de un escaneo o en
entre grupos de host. La tasa de envío puede exceder temporalmente el máximo para compensar
retrasos impredecibles, pero en promedio la tasa se mantendrá en o por debajo del máximo.

La especificación de una tarifa mínima debe hacerse con cuidado. Escanear más rápido de lo que puede una red
El soporte puede provocar una pérdida de precisión. En algunos casos, usar una tasa más rápida puede hacer que
escanear tomar longer de lo que lo haría con un ritmo más lento. Esto se debe a que el adaptativo de Nmap
Los algoritmos de retransmisión detectarán la congestión de la red causada por un excesivo
velocidad de escaneo y aumentar el número de retransmisiones para mejorar la precisión.
Entonces, aunque los paquetes se envían a una velocidad mayor, se envían más paquetes en general. Gorra
el número de retransmisiones con el --max-reintentos opción si necesita establecer una
límite superior en el tiempo total de exploración.

--derrotar-primer-límite de tasa .
Muchos hosts han utilizado la limitación de velocidad durante mucho tiempo. para reducir el número de mensajes de error ICMP
(como errores de puerto inalcanzable) que envían. Algunos sistemas ahora aplican una tasa similar
límites a los paquetes RST (reinicio) que generan. Esto puede ralentizar Nmap drásticamente
a medida que ajusta su tiempo para reflejar esos límites de tasa. Puedes decirle a Nmap que ignore
esos límites de velocidad (para escaneos de puertos como el escaneo SYN que don't tratar no receptivo
puertos como abiertos) especificando --derrotar-primer-límite de tasa.

El uso de esta opción puede reducir la precisión, ya que algunos puertos parecerán no responder
porque Nmap no esperó lo suficiente para obtener una respuesta RST con velocidad limitada. Con un escaneo SYN,
la falta de respuesta da como resultado que el puerto se etiquete como filtrado en lugar de cerrado
estado que vemos cuando se reciben los paquetes RST. Esta opción es útil cuando solo te importa
sobre puertos abiertos, y distinguir entre puertos cerrados y filtrados no vale la pena
tiempo extra.

- motor pesado epoll | kqueue | poll | seleccionar .
Hacer cumplir el uso de un motor de multiplexación de E / S nsock dado. Solo el selecciona(2) alternativa basada en
Se garantiza que el motor estará disponible en su sistema. Los motores llevan el nombre del nombre
de la facilidad de gestión de IO que aprovechan. Los motores actualmente implementados son epoll,
kqueue, poll y select, pero no todos estarán presentes en ninguna plataforma. Usar nmap -V a
ver qué motores son compatibles.

-T paranoico | disimulado | educado | normal | agresivo | loco (Establecer una plantilla de tiempo).
Si bien los controles de sincronización detallados que se discutieron en la sección anterior son poderosos
y eficaces, algunas personas los encuentran confusos. Además, elegir el adecuado
Los valores a veces pueden llevar más tiempo que el escaneo que está tratando de optimizar. Entonces Nmap
ofrece un enfoque más simple, con seis plantillas de temporización. Puede especificarlos con el -T
opción y su número (0–5) o su nombre. Los nombres de las plantillas son paranoico (0),
furtivo (1), Cortés (2), normal (3), agresivo (4), o demente (5). Los dos primeros son
para la evasión de IDS. El modo educado ralentiza el escaneo para usar menos ancho de banda y objetivo
recursos de la máquina. El modo normal es el predeterminado y por lo tanto -T3 no hace nada. Modo agresivo
acelera los escaneos asumiendo que se encuentra en una velocidad razonablemente rápida y
red confiable. Finalmente modo loco. asume que estás en una situación extraordinaria
red rápida o están dispuestos a sacrificar algo de precisión por velocidad.

Estas plantillas permiten al usuario especificar qué tan agresivo desea ser, mientras
dejando que Nmap elija los valores de tiempo exactos. Las plantillas también hacen algo de velocidad menor.
ajustes para los que actualmente no existen opciones de control detalladas. Para
ejemplo, -T4. prohíbe que el retardo de escaneo dinámico exceda los 10 ms para los puertos TCP y
-T5 limita ese valor a 5 ms. Las plantillas se pueden utilizar en combinación con
controles, y los controles de grano fino que especifique tendrán prioridad sobre los
plantilla de temporización predeterminada para ese parámetro. Recomiendo usar -T4 al escanear
Redes razonablemente modernas y fiables. Mantenga esa opción incluso cuando agregue
controles detallados para que se beneficie de esas optimizaciones menores adicionales que
habilita.

Si tiene una conexión de banda ancha o Ethernet decente, le recomendaría siempre
usando -T4. Algunas personas aman -T5 aunque es demasiado agresivo para mi gusto. Personas
a veces especificar -T2 porque piensan que es menos probable que fallen los hosts o porque
se consideran educados en general. A menudo no se dan cuenta de cómo
slow -T Cortés. realmente es. Su análisis puede tardar diez veces más que un análisis predeterminado.
Los bloqueos de la máquina y los problemas de ancho de banda son raros con las opciones de temporización predeterminadas (-T3)
por lo que normalmente lo recomiendo para escáneres cautelosos. Omitir la detección de versión es
mucho más efectivo que jugar con valores de tiempo para reducir estos problemas.

Aunque la -T0. y -T1. puede ser útil para evitar las alertas de IDS, tomarán una
extraordinariamente largo tiempo para escanear miles de máquinas o puertos. Por tanto tiempo
escanear, es posible que prefiera establecer los valores de tiempo exactos que necesita en lugar de confiar en el
enlatados -T0 y -T1 valores.

Los principales efectos de T0 están serializando el escaneo para que solo se escanee un puerto a la vez,
y esperar cinco minutos entre el envío de cada sonda. T1 y T2 son similares pero ellos
espere sólo 15 segundos y 0.4 segundos, respectivamente, entre sondas. T3. es de Nmap
comportamiento predeterminado, que incluye la paralelización. -T4 hace el equivalente de
--max-rtt-tiempo de espera 1250ms --min-rtt-tiempo de espera 100ms --inicial-rtt-tiempo de espera 500ms
--max-reintentos 6 y establece el retardo máximo de escaneo de TCP en 10 milisegundos. T5 hace el
equivalente de --max-rtt-tiempo de espera 300ms --min-rtt-tiempo de espera 50ms --inicial-rtt-tiempo de espera
250ms --max-reintentos 2 --host-tiempo de espera 15m así como establecer el retardo máximo de escaneo de TCP
a 5 ms.

FIREWALL / IDS EVASION Y suplantación de identidad

Muchos pioneros de Internet imaginaron una red abierta global con un espacio de direcciones IP universal
permitiendo conexiones virtuales entre dos nodos cualesquiera. Esto permite que los hosts actúen como verdaderos
compañeros, sirviendo y recuperando información unos de otros. La gente puede acceder a todos
sus sistemas domésticos desde el trabajo, cambiando la configuración del control de clima o abriendo las puertas
para los primeros huéspedes. Esta visión de conectividad universal ha sido sofocada por el espacio de direcciones
escasez y preocupaciones de seguridad. A principios de la década de 1990, las organizaciones comenzaron a implementar
cortafuegos con el propósito expreso de reducir la conectividad. Se acordonaron enormes redes
fuera de Internet sin filtros mediante proxies de aplicaciones, traducción de direcciones de red y
filtros de paquetes. El flujo irrestricto de información dio paso a una estricta regulación de
canales de comunicación aprobados y el contenido que transmite.

Las obstrucciones de la red, como los cortafuegos, pueden dificultar enormemente el mapeo de una red.
No será más fácil, ya que el sofocante reconocimiento casual es a menudo un objetivo clave de
implementación de los dispositivos. Sin embargo, Nmap ofrece muchas funciones para ayudar a comprender estos
redes complejas y para verificar que los filtros funcionen según lo previsto. Incluso apoya
mecanismos para eludir defensas mal implementadas. Uno de los mejores métodos de
comprender la postura de seguridad de su red es intentar derrotarla. Colóquese en el
mentalidad de un atacante y despliegue las técnicas de esta sección en sus redes.
Inicie un escaneo de rebote de FTP, escaneo inactivo, ataque de fragmentación o intente atravesar uno
de sus propios apoderados.

Además de restringir la actividad de la red, las empresas monitorean cada vez más el tráfico.
con sistemas de detección de intrusos (IDS). Todos los IDS principales se envían con reglas diseñadas para
detectan los escaneos de Nmap porque los escaneos a veces son un precursor de los ataques. Muchos de estos
los productos se han transformado recientemente en intrusión prevención sistemas (IPS). que activamente
bloquear el tráfico considerado malicioso. Desafortunadamente para los administradores de red y los proveedores de IDS,
La detección confiable de malas intenciones mediante el análisis de paquetes de datos es un problema difícil. Atacantes
con paciencia, habilidad y la ayuda de ciertas opciones de Nmap generalmente pueden pasar por IDS
sin ser detectado. Mientras tanto, los administradores deben hacer frente a un gran número de falsos positivos.
resultados en los que se diagnostica erróneamente y se alerta o se bloquea una actividad inocente.

Ocasionalmente, la gente sugiere que Nmap no debería ofrecer funciones para evadir las reglas del firewall.
o escabullirse de los IDS. Argumentan que es muy probable que estas características sean mal utilizadas por
atacantes utilizados por los administradores para mejorar la seguridad. El problema con esta lógica es
que estos métodos todavía serían utilizados por atacantes, que simplemente encontrarían otras herramientas o
parche la funcionalidad en Nmap. Mientras tanto, los administradores lo encontrarían mucho
más difícil de hacer su trabajo. Implementar solo servidores FTP modernos y parcheados es una herramienta mucho más poderosa.
defensa que tratar de evitar la distribución de herramientas que implementan el rebote de FTP
ataque.

No existe una fórmula mágica (u opción Nmap) para detectar y subvertir firewalls e IDS
sistemas. Se necesita habilidad y experiencia. Un tutorial está más allá del alcance de esta referencia.
guía, que solo enumera las opciones relevantes y describe lo que hacen.

-f (paquetes de fragmentos); --mtu (usando el MTU especificado).
El sistema -f La opción hace que el escaneo solicitado (incluidos los escaneos de ping) utilice pequeños fragmentos
Paquetes IP. La idea es dividir el encabezado TCP en varios paquetes para hacerlo
más difícil de detectar para los filtros de paquetes, los sistemas de detección de intrusos y otras molestias
qué estás haciendo. ¡Cuidado con esto! Algunos programas tienen problemas para manejar estos
paquetes diminutos. El sniffer de la vieja escuela llamado Sniffit segmentation falló inmediatamente
al recibir el primer fragmento. Especifique esta opción una vez, y Nmap divide el
paquetes en ocho bytes o menos después del encabezado IP. Entonces, un encabezado TCP de 20 bytes sería
dividir en tres paquetes. Dos con ocho bytes del encabezado TCP y uno con el
los últimos cuatro. Por supuesto, cada fragmento también tiene un encabezado IP. Especificar -f de nuevo para usar 16
bytes por fragmento (reduciendo el número de fragmentos). O puede especificar su propio
tamaño de compensación con el --mtu opción. No especifique también -f si usas --mtu. El desplazamiento
debe ser un múltiplo de ocho. Si bien los paquetes fragmentados no pasarán por los filtros de paquetes y
cortafuegos que ponen en cola todos los fragmentos de IP, como el CONFIG_IP_ALWAYS_DEFRAG en opción
el kernel de Linux, algunas redes no pueden permitirse que el rendimiento afecte a esta causa y, por lo tanto,
déjelo desactivado. Otros no pueden habilitar esto porque los fragmentos pueden tomar diferentes
rutas a sus redes. Algunos sistemas de origen desfragmentan los paquetes salientes en el
núcleo. Linux con iptables. El módulo de seguimiento de conexiones es uno de esos ejemplos. Hacer un
escanear mientras un rastreador como Wireshark. se está ejecutando para garantizar que los paquetes enviados
fragmentado. Si su sistema operativo host está causando problemas, pruebe el --enviar-eth. opción de omitir
la capa de IP y enviar tramas de Ethernet sin procesar.

La fragmentación solo es compatible con las funciones de paquetes sin procesar de Nmap, que incluyen TCP y
Escaneos de puertos UDP (excepto escaneo de conexión y escaneo de rebote de FTP) y detección de SO. Características
como la detección de versiones y Nmap Scripting Engine generalmente no son compatibles
fragmentación porque dependen de la pila TCP de su host para comunicarse con el objetivo
servicios.

-D señuelo1[,señuelo2][,YO][,...] (Encubra un escaneo con señuelos).
Hace que se realice un escaneo de señuelo, lo que le hace parecer al host remoto que el
los hosts que especifique como señuelos también están escaneando la red de destino. Por lo tanto, su IDS
pueden informar de 5 a 10 escaneos de puertos de direcciones IP únicas, pero no sabrán qué IP
los estaba escaneando y cuáles eran señuelos inocentes. Si bien esto puede ser derrotado
seguimiento de la ruta del enrutador, caída de respuesta y otros mecanismos activos, generalmente es
una técnica eficaz para ocultar su dirección IP.

Separe cada anfitrión señuelo con comas y, opcionalmente, puede usar ME. como uno de los
señuelos para representar la posición de su dirección IP real. Si me pones en el sexto
posición o posterior, algunos detectores de escaneo de puertos comunes (como Solar Designer's.
excelente Scanlogd). es poco probable que muestren su dirección IP. Si no usa
YO, Nmap te pondrá en una posición aleatoria. También puede utilizar RND. para generar un
dirección IP aleatoria, no reservada, o RND:número para generar número Direcciones.

Tenga en cuenta que los hosts que usa como señuelos deben estar activos o podría accidentalmente SYN flood
tus objetivos. Además, será bastante fácil determinar qué host está escaneando si solo
uno está realmente en la red. Es posible que desee utilizar direcciones IP en lugar de nombres
(para que las redes señuelo no lo vean en sus registros de servidor de nombres).

Los señuelos se utilizan tanto en el escaneo de ping inicial (usando ICMP, SYN, ACK, o lo que sea) y
durante la fase de escaneo de puertos real. Los señuelos también se utilizan durante la detección remota del sistema operativo
(-O). Los señuelos no funcionan con la detección de versiones o el escaneo de conexión TCP. Cuando un escaneo demora
está en efecto, el retraso se aplica entre cada lote de sondas falsificadas, no entre
cada sonda individual. Debido a que los señuelos se envían como un lote todos a la vez, pueden
violar temporalmente los límites de control de congestión.

Vale la pena señalar que el uso de demasiados señuelos puede ralentizar el escaneo y potencialmente incluso
hacerlo menos preciso. Además, algunos ISP filtrarán los paquetes falsificados, pero muchos
no restrinja los paquetes IP falsificados en absoluto.

-S Dirección IP (Dirección de origen falsa).
En algunas circunstancias, es posible que Nmap no pueda determinar su dirección de origen (Nmap
le dirá si este es el caso). En esta situación, use -S con la dirección IP de
la interfaz a través de la que desea enviar paquetes.

Otro uso posible de esta bandera es falsificar el escaneo para hacer que los objetivos piensen que
alguien más los está escaneando. Imagine que una empresa es escaneada repetidamente por un puerto
¡competidor! El -e opción y -Pn son generalmente necesarios para este tipo de uso. Nota
que normalmente no recibirá paquetes de respuesta (se dirigirán a la dirección IP
está falsificando), por lo que Nmap no producirá informes útiles.

-e interfaz. (Utilice la interfaz especificada).
Le dice a Nmap en qué interfaz enviar y recibir paquetes. Nmap debería poder
detectar esto automáticamente, pero le dirá si no puede.

--Puerto de origen número de puerto; -g número de puerto (Número de puerto de origen falso).
Una mala configuración sorprendentemente común es confiar en el tráfico basado solo en la fuente
número de puerto. Es fácil comprender cómo ocurre esto. Un administrador establecerá
instalar un nuevo y brillante firewall, solo para ser inundado con quejas de usuarios ingratos
cuyas aplicaciones dejaron de funcionar. En particular, el DNS puede estar roto porque el UDP
Las respuestas DNS de servidores externos ya no pueden ingresar a la red. FTP es otro
ejemplo común. En transferencias FTP activas, el servidor remoto intenta establecer una
conexión de nuevo al cliente para transferir el archivo solicitado.

Existen soluciones seguras para estos problemas, a menudo en forma de nivel de aplicación.
proxies o módulos de firewall de análisis de protocolos. Desafortunadamente también hay más fáciles,
soluciones inseguras. Teniendo en cuenta que las respuestas de DNS provienen del puerto 53 y FTP activo del puerto
20, muchos administradores han caído en la trampa de permitir simplemente el tráfico entrante
de esos puertos. A menudo asumen que ningún atacante notaría y explotaría tales
agujeros del cortafuegos. En otros casos, los administradores consideran que esto es una solución temporal a corto plazo.
medir hasta que puedan implementar una solución más segura. Entonces se olvidan de la seguridad
mejorar.

Los administradores de red con exceso de trabajo no son los únicos que caen en esta trampa.
Numerosos productos se han enviado con estas reglas inseguras. Incluso Microsoft ha sido
culpable. Los filtros IPsec que se enviaron con Windows 2000 y Windows XP contienen un
regla implícita que permite todo el tráfico TCP o UDP desde el puerto 88 (Kerberos). En otro
caso bien conocido, las versiones del cortafuegos personal Zone Alarm hasta la 2.1.25 permitían
paquetes UDP entrantes con el puerto de origen 53 (DNS) o 67 (DHCP).

Nmap ofrece la -g y --Puerto de origen opciones (son equivalentes) para explotar estas
debilidades. Simplemente proporcione un número de puerto y Nmap enviará paquetes desde ese puerto
donde sea posible. La mayoría de las operaciones de escaneo que utilizan sockets sin procesar, incluidos SYN y UDP
escaneos, admite la opción por completo. La opción, en particular, no tiene ningún efecto para
cualquier operación que utilice sockets normales del sistema operativo, incluidas las solicitudes de DNS, TCP
se unen escanear,. detección de versiones y escaneo de scripts. Configurar el puerto de origen también
no funciona para la detección del sistema operativo, porque Nmap debe usar diferentes números de puerto para
determinadas pruebas de detección del sistema operativo para que funcionen correctamente.

--datos hexagonal cadena (Agregue datos binarios personalizados a los paquetes enviados).
Esta opción le permite incluir datos binarios como carga útil en los paquetes enviados. hexagonal cadena pueden
especificarse en cualquiera de los siguientes formatos: 0xAABBCCDDEEFF..., AABBCCDDEEFF... or
\ xAA \ xBB \ xCC \ xDD \ xEE \ xFF.... Ejemplos de uso son --datos 0xcarne muerta y --datos
\ xCA \ xFE \ x09. Tenga en cuenta que si especifica un número como 0x00ff no hay conversión de orden de bytes
es interpretado. Asegúrese de especificar la información en el orden de bytes esperado por el
receptor.

--cadena de datos cadena (Agregue una cadena personalizada a los paquetes enviados).
Esta opción le permite incluir una cadena regular como carga útil en los paquetes enviados. cadena can
contener cualquier cadena. Sin embargo, tenga en cuenta que algunos caracteres pueden depender del sistema
Es posible que la configuración regional y el receptor no vean la misma información. Además, asegúrese de incluir
la cadena entre comillas dobles y escape cualquier carácter especial del shell.
Ejemplos: --cadena de datos "Escanear llevado a cabo by Security operaciones, extensión 7192" or
--cadena de datos "Ph34r my l33t habilidades". Tenga en cuenta que es probable que nadie
ver cualquier comentario dejado por esta opción a menos que estén monitoreando cuidadosamente la red
con un rastreador o reglas IDS personalizadas.

--longitud de datos número (Agregue datos aleatorios a los paquetes enviados).
Normalmente, Nmap envía paquetes minimalistas que contienen solo un encabezado. Entonces sus paquetes TCP
son generalmente 40 bytes y las solicitudes de eco ICMP son solo 28. Algunos puertos UDP. e IP
protocolos. obtener una carga útil personalizada de forma predeterminada. Esta opción le dice a Nmap que agregue el
dado el número de bytes aleatorios a la mayoría de los paquetes que envía, y no usar ningún
cargas útiles específicas del protocolo. (Usar --longitud de datos 0 para ningún protocolo aleatorio o específico
cargas útiles ... detección de SO (-O) los paquetes no se ven afectados. porque hay precisión
requiere coherencia de la sonda, pero la mayoría de los paquetes de escaneo de puertos y ping lo admiten. Eso
ralentiza un poco las cosas, pero puede hacer que un escaneo sea un poco menos llamativo.

--ip-opciones S | R [ruta] | L [ruta] | T | U ... ; --ip-opciones hexagonal cadena (Envíe paquetes con
opciones de ip especificadas).
El sistema IP protocolo[13] ofrece varias opciones que pueden colocarse en los encabezados de los paquetes.
A diferencia de las omnipresentes opciones de TCP, las opciones de IP rara vez se ven debido a la practicidad y
preocupaciones de seguridad. De hecho, muchos enrutadores de Internet bloquean las opciones más peligrosas.
como el enrutamiento de origen. Sin embargo, las opciones pueden ser útiles en algunos casos para determinar
y manipular la ruta de la red a las máquinas de destino. Por ejemplo, es posible que pueda
utilice la opción de registro de ruta para determinar una ruta a un objetivo incluso cuando sea más tradicional
Los enfoques de estilo traceroute fallan. O si sus paquetes son descartados por un determinado
firewall, es posible que pueda especificar una ruta diferente con la fuente estricta o flexible
opciones de enrutamiento.

La forma más poderosa de especificar opciones de IP es simplemente pasar valores como el
argumento para --ip-opciones. Anteponga \ x a cada número hexadecimal y luego los dos dígitos. Puedes
repetir ciertos caracteres siguiéndolos con un asterisco y luego el número de
veces que desee que se repitan. Por ejemplo, \ x01 \ x07 \ x04 \ x00 * 36 \ x01 es una cadena hexadecimal
que contiene 36 bytes NUL.

Nmap también ofrece un mecanismo de atajo para especificar opciones. Simplemente pasa la carta
R, T o U para solicitar la ruta de registro. registro de fecha y hora. o ambas opciones juntas,
respectivamente. Enrutamiento de origen flexible o estricto. se puede especificar con una L o S
seguido de un espacio y luego una lista de direcciones IP separadas por espacios.

Si desea ver las opciones en los paquetes enviados y recibidos, especifique --packet-traza.
Para obtener más información y ejemplos del uso de opciones de IP con Nmap, consulte
http://seclists.org/nmap-dev/2006/q3/52.

--ttl propuesta de (Establecer campo de tiempo de vida de IP).
Establece el campo de tiempo de vida de IPv4 en los paquetes enviados en el valor dado.

- aleatorio-hosts (Aleatorizar el orden de host de destino).
Le dice a Nmap que mezcle cada grupo de hasta 16384 hosts antes de escanearlos. Esto puede
hacer que los escaneos sean menos obvios para varios sistemas de monitoreo de red, especialmente cuando
combínelo con opciones de sincronización lenta. Si desea distribuir al azar en grupos de mayor tamaño,
incrementar PING_GROUP_SZ. en nmap.h. y recompilar. Una solución alternativa es
generar la lista de IP de destino con un escaneo de lista (-SL -n -sobre nombre de archivo), aleatorizarlo con
un script de Perl, luego proporcione la lista completa a Nmap con -Illinois..

--parodia-mac dirección MAC dirección, prefijo, or vendedor nombre (Dirección MAC falsa).
Pide a Nmap que utilice la dirección MAC proporcionada para todas las tramas de Ethernet sin procesar que envía.
Esta opción implica --enviar-eth. para asegurarse de que Nmap realmente envíe a nivel ethernet
paquetes. El MAC proporcionado puede tomar varios formatos. Si es simplemente el número 0, Nmap
elige una dirección MAC completamente aleatoria para la sesión. Si la cadena dada es una
número par de dígitos hexadecimales (con los pares separados opcionalmente por dos puntos), Nmap
utilícelos como MAC. Si se proporcionan menos de 12 dígitos hexadecimales, Nmap rellena el
resto de los seis bytes con valores aleatorios. Si el argumento no es cero o hexadecimal
cadena, Nmap busca a través de nmap-mac-prefixes para encontrar un nombre de proveedor que contenga el
cadena dada (no distingue entre mayúsculas y minúsculas). Si se encuentra una coincidencia, Nmap usa el OUI del proveedor
(prefijo de tres bytes). y completa los tres bytes restantes al azar. Válido
--parodia-mac ejemplos de argumentos son Apple, 0, 01: 02: 03: 04: 05: 06, deadbeefcafe, 0020F2,
y Cisco. Esta opción solo afecta a los escaneos de paquetes sin procesar, como el escaneo SYN o la detección del sistema operativo,
características no orientadas a la conexión, como la detección de versiones o Nmap Scripting
Motor.

- apoderados Separado por comas lista of apoderado URL (Retransmitir conexiones TCP a través de una cadena de
apoderados).
Pide a Nmap que establezca conexiones TCP con un objetivo final a través de la cadena de
uno o más proxies HTTP o SOCKS4. Los proxies pueden ayudar a ocultar la verdadera fuente de un escaneo o
evadir ciertas restricciones de firewall, pero pueden obstaculizar el rendimiento del escaneo al
latencia creciente. Es posible que los usuarios necesiten ajustar los tiempos de espera de Nmap y otros parámetros de escaneo
respectivamente. En particular, un menor --max-paralelismo puede ayudar porque algunos proxies
rehúsa manejar tantas conexiones concurrentes como abre Nmap por defecto.

Esta opción toma una lista de proxies como argumento, expresada como URL en el formato
proto: // host: puerto. Use comas para separar las URL de los nodos en una cadena. No hay autenticación
soportado todavía. Los protocolos válidos son HTTP y SOCKS4.

Advertencia: esta función aún está en desarrollo y tiene limitaciones. Está
implementado dentro de la biblioteca nsock y, por lo tanto, no tiene ningún efecto en el ping, escaneo de puertos
y fases de descubrimiento del sistema operativo de un escaneo. Solo NSE y el escaneo de versiones se benefician de esta opción
hasta ahora, otras características pueden revelar su verdadera dirección. Las conexiones SSL aún no están
ni tampoco la resolución de DNS del lado del proxy (los nombres de host siempre los resuelve Nmap).

--badsum (Envíe paquetes con sumas de comprobación TCP / UDP falsas).
Pide a Nmap que utilice una suma de comprobación TCP, UDP o SCTP no válida para los paquetes enviados al destino
Hospedadores. Dado que prácticamente todas las pilas de IP de host eliminan correctamente estos paquetes, cualquier respuesta
recibidos probablemente provengan de un firewall o IDS que no se molestó en verificar el
suma de comprobación. Para obtener más detalles sobre esta técnica, consulte https://nmap.org/p60-12.html

--adler32 (Utilice Adler32 obsoleto en lugar de CRC32C para sumas de comprobación SCTP).
Pide a Nmap que utilice el algoritmo Adler32 obsoleto para calcular la suma de comprobación SCTP.
If --adler32 no se administra, se utiliza CRC-32C (Castagnoli). RFC 2960[14] originalmente
definió Adler32 como algoritmo de suma de comprobación para SCTP; RFC 4960[7] luego redefinió el SCTP
sumas de comprobación para utilizar CRC-32C. Las implementaciones actuales de SCTP deberían utilizar CRC-32C, pero en
Para obtener respuestas de implementaciones SCTP antiguas y heredadas, puede ser preferible
utilizar Adler32.

SALIDA

Cualquier herramienta de seguridad es tan útil como la salida que genera. Pruebas complejas y
Los algoritmos tienen poco valor si no se presentan de forma organizada y comprensible.
Moda. Dada la cantidad de formas en que las personas y otro software usan Nmap, ninguna
El formato puede complacer a todos. Entonces Nmap ofrece varios formatos, incluido el modo interactivo
para que los humanos lean directamente y XML para un fácil análisis por software.

Además de ofrecer diferentes formatos de salida, Nmap proporciona opciones para controlar
la verbosidad de la salida, así como los mensajes de depuración. Los tipos de salida se pueden enviar a
salida estándar o archivos con nombre, a los que Nmap puede agregar o eliminar. Los archivos de salida pueden
también se puede utilizar para reanudar las exploraciones abortadas.

Nmap hace que la salida esté disponible en cinco formatos diferentes. El predeterminado se llama interactivo
producción,. y se envía a la salida estándar (stdout). También hay una salida normal.
que es similar a interactivo excepto que muestra menos información de tiempo de ejecución y
advertencias, ya que se espera que se analice después de que se complete el escaneo en lugar de
interactivamente.

Salida XML. es uno de los tipos de salida más importantes, ya que se puede convertir a HTML,
fácilmente analizados por programas como las interfaces gráficas de usuario de Nmap, o importados a
bases de datos.

Los dos tipos de salida restantes son la salida grepable simple. que incluye la mayoría
información para un host de destino en una sola línea, y sCRiPt KiDDi3 0utPUt. para los usuarios que
se consideran a sí mismos | <-r4d.

Si bien la salida interactiva es la predeterminada y no tiene opciones de línea de comandos asociadas, la
otras cuatro opciones de formato utilizan la misma sintaxis. Toman un argumento, que es el
nombre de archivo en el que se deben almacenar los resultados. Se pueden especificar varios formatos, pero cada
El formato solo se puede especificar una vez. Por ejemplo, es posible que desee guardar la salida normal para
su propia revisión mientras guarda XML del mismo escaneo para análisis programático. Tu podrías hacer
esto con las opciones -buey myscan.xml -sobre myscan.nmap. Si bien este capítulo utiliza el sencillo
nombres como myscan.xml para abreviar, generalmente se recomiendan nombres más descriptivos. El
Los nombres elegidos son una cuestión de preferencia personal, aunque utilizo nombres largos que incorporan
la fecha del escaneo y una palabra o dos que describen el escaneo, colocadas en un directorio con el nombre del
empresa que estoy escaneando.

Si bien estas opciones guardan los resultados en archivos, Nmap aún imprime resultados interactivos en stdout
como siempre. Por ejemplo, el comando nmap -buey myscan.xml dirigidos imprime XML en myscan.xml y
llena la salida estándar con los mismos resultados interactivos que habría impreso si -buey
no se especificó en absoluto. Puede cambiar esto pasando un carácter de guión como argumento
a uno de los tipos de formato. Esto hace que Nmap desactive la salida interactiva y, en su lugar,
imprimir los resultados en el formato que especificó para el flujo de salida estándar. Entonces el comando
nmap -buey - dirigidos enviará solo salida XML a stdout. Es posible que aún se produzcan errores graves
impreso en el flujo de error normal, stderr ..

A diferencia de algunos argumentos de Nmap, el espacio entre el indicador de opción del archivo de registro (como -buey) y
el nombre del archivo o el guion es obligatorio. Si omite las banderas y da argumentos como -oG-
or -oXscan.xml, una función de compatibilidad con versiones anteriores de Nmap provocará la creación de
normal formato archivos de salida denominados G- y Xscan.xml respectivamente.

Todos estos argumentos apoyan Strftime-me gusta. conversiones en el nombre del archivo. % H,% M,% S,
% m,% d,% y y% Y son todos exactamente iguales que en Strftime. % T es lo mismo que% H% M% S,% R
es lo mismo que% H% M y% D es lo mismo que% m% d% y. Un% seguido de cualquier otro carácter
solo da ese carácter (%% le da un símbolo de porcentaje). Entonces -buey 'escanear-% T-% D.xml' will
utilice un archivo XML con un nombre con el formato scan-144840-121307.xml.

Nmap también ofrece opciones para controlar la verbosidad del escaneo y para agregar a los archivos de salida en lugar de
que golpearlos. Todas estas opciones se describen a continuación.

Nmap Salida Formatos

-sobre especificaciónarchivo (salida normal).
Solicita que la salida normal se dirija al nombre de archivo dado. Como se discutió anteriormente,
esto difiere ligeramente de la salida interactiva.

-buey especificaciónarchivo (Salida XML).
Solicita que la salida XML se dirija al nombre de archivo especificado. Nmap incluye un documento
definición de tipo (DTD) que permite a los analizadores XML validar la salida XML de Nmap. Mientras que
está diseñado principalmente para uso programático, también puede ayudar a los humanos a interpretar Nmap XML
producción. La DTD define los elementos legales del formato y, a menudo, enumera los
atributos y valores que pueden asumir. La última versión siempre está disponible en
https://svn.nmap.org/nmap/docs/nmap.dtd.

XML ofrece un formato estable que el software puede analizar fácilmente. Los analizadores XML gratuitos son
disponible para todos los lenguajes informáticos principales, incluidos C / C ++, Perl, Python y Java.
La gente incluso ha escrito enlaces para la mayoría de estos lenguajes para manejar la salida de Nmap
y ejecución específicamente. Ejemplos son Nmap :: Escáner[15]. y Nmap :: Analizador[dieciséis]. en
Perl CPAN. En casi todos los casos en que una aplicación no trivial interactúa con Nmap,
XML es el formato preferido.

La salida XML hace referencia a una hoja de estilo XSL que se puede utilizar para formatear los resultados como
HTML. La forma más fácil de usar esto es simplemente cargar la salida XML en un navegador web
como Firefox o IE. De forma predeterminada, esto solo funcionará en la máquina en la que ejecutó Nmap
(o uno configurado de manera similar) debido a la ruta del sistema de archivos nmap.xsl codificada de forma rígida. Usar
de la forma más --webxml or - hoja de estilo opciones para crear archivos XML portátiles que se representan como HTML
en cualquier máquina conectada a la web.

-os especificaciónarchivo (ScRipT KIdd | 3 SALIDAS).
La salida de script para niños es como una salida interactiva, excepto que se procesa posteriormente para
se adapta mejor al l33t HaXXorZ que anteriormente despreciaba a Nmap debido a su constante
mayúsculas y ortografía. Las personas con problemas de humor deben tener en cuenta que esta opción es
burlándose de los niños del guión antes de criticarme por supuestamente "ayudarlos".

-oG especificaciónarchivo (salida grepable).
Este formato de salida se cubre en último lugar porque está obsoleto. El formato de salida XML es
mucho más potente y casi tan conveniente para usuarios experimentados. XML es un
estándar para el que están disponibles docenas de analizadores excelentes, mientras que la salida grepable es
mi propio truco simple. XML es extensible para admitir nuevas funciones de Nmap tal como están
publicado, mientras que a menudo debo omitir esas características de la salida grepable por falta de un
lugar para ponerlos.

Sin embargo, la salida grepable sigue siendo bastante popular. Es un formato simple que enumera
cada host en una línea y se puede buscar y analizar trivialmente con Unix estándar
herramientas como grep, awk, cut, sed, diff y Perl. Incluso yo lo uso habitualmente para una sola vez
pruebas realizadas en la línea de comandos. Encontrar todos los hosts con el puerto SSH abierto o que
están ejecutando Solaris solo se necesita un simple grep para identificar los hosts, conectado a un awk o
comando de corte para imprimir los campos deseados.

La salida grepable consta de comentarios (líneas que comienzan con una almohadilla (#)). y objetivo
líneas. Una línea de destino incluye una combinación de seis campos etiquetados, separados por pestañas
y seguido de dos puntos. Los campos son Host, Puertos, Protocolos, Estado ignorado, SO,
Índice de secuencia, ID de IP y estado.

El más importante de estos campos es generalmente Puertos, que proporciona detalles sobre cada
puerto interesante. Es una lista de entradas de puerto separadas por comas. Cada entrada de puerto
representa un puerto interesante y toma la forma de siete barras (/) separadas
subcampos. Esos subcampos son: número de puerto, estado, protocolo, propietario, servicio, SunRPC
info e información de la versión.

Al igual que con la salida XML, esta página de manual no permite documentar el formato completo. A
una mirada más detallada al formato de salida grepable de Nmap está disponible en
https://nmap.org/book/output-formats-grepable-output.html.

-oA nombre base (Salida a todos los formatos).
Para su conveniencia, puede especificar -oA nombre base para almacenar los resultados del escaneo en XML normal,
y formatos grepables a la vez. Se almacenan en nombre base.nmap, nombre base.xml y
nombre base.gnmap, respectivamente. Como con la mayoría de los programas, puede prefijar los nombres de archivo con
una ruta de directorio, como ~ / nmaplogs / foocorp / en Unix o c: \ hacking \ sco en Windows.

Verbosidad y depuración opciones

-v (Aumentar el nivel de verbosidad).
Aumenta el nivel de verbosidad, lo que hace que Nmap imprima más información sobre el escaneo.
en curso. Los puertos abiertos se muestran a medida que se encuentran y las estimaciones de tiempo de finalización son
siempre que Nmap crea que un escaneo llevará más de unos minutos. Úselo dos veces o
más para una verbosidad aún mayor: -vv, o dar un nivel de verbosidad directamente, por ejemplo
-v3..

La mayoría de los cambios solo afectan a la salida interactiva, y algunos también afectan la normalidad y la secuencia de comandos.
salida para niños. Los otros tipos de salida están destinados a ser procesados ​​por máquinas, por lo que Nmap
puede dar detalles sustanciales por defecto en esos formatos sin fatigar a un humano
usuario. Sin embargo, hay algunos cambios en otros modos en los que se puede reducir el tamaño de salida.
sustancialmente omitiendo algunos detalles. Por ejemplo, una línea de comentario en grepable
la salida que proporciona una lista de todos los puertos escaneados solo se imprime en modo detallado
porque puede ser bastante largo.

-d (Aumentar el nivel de depuración).
Cuando incluso el modo detallado no le proporciona suficientes datos, la depuración está disponible
para inundarte de mucho más! Al igual que con la opción de verbosidad (-v), la depuración está habilitada
con una bandera de línea de comandos (-d) y el nivel de depuración se puede aumentar especificándolo
varias veces,. como en -ddo estableciendo un nivel directamente. Por ejemplo, -d9 conjuntos
nivel nueve. Ese es el nivel efectivo más alto y producirá miles de líneas
a menos que ejecute un escaneo muy simple con muy pocos puertos y destinos.

La salida de depuración es útil cuando se sospecha un error en Nmap, o si simplemente está
confundido en cuanto a lo que está haciendo Nmap y por qué. Como esta función está destinada principalmente a
desarrolladores, las líneas de depuración no siempre se explican por sí mismas. Puede obtener algo como:
Valores de tiempo de espera: srtt: -1 rttvar: -1 a: 1000000 delta 14987 ==> srtt: 14987 rttvar:
14987 a: 100000. Si no entiende una línea, sus únicos recursos son ignorar
, búsquelo en el código fuente o solicite ayuda en la lista de desarrollo
(nmap-dev) .. Algunas líneas se explican por sí mismas, pero los mensajes se vuelven más oscuros a medida que
aumenta el nivel de depuración.

--razón (Motivos del Estado anfitrión y del Estado rector del puerto).
Muestra la razón por la que cada puerto está configurado en un estado específico y la razón por la que cada host está activo
o hacia abajo. Esta opción muestra el tipo de paquete que determinó un puerto o hosts
Expresar. Por ejemplo, un paquete RST de un puerto cerrado o una respuesta de eco de un
anfitrión. La información que Nmap puede proporcionar está determinada por el tipo de escaneo o ping. El
SYN escaneo y SYN ping (-SS y -PD) son muy detallados, pero el escaneo de conexión TCP (-S t)
está limitado por la implementación de la se unen llamada al sistema. Esta característica es
habilitado automáticamente por la opción de depuración (-d). y los resultados se almacenan en el registro XML
archivos incluso si no se especifica esta opción.

- estadísticas-cada time (Imprime estadísticas de cronometraje periódicas).
Imprime periódicamente un mensaje de estado de temporización después de cada intervalo de time. El tiempo es un
especificación del tipo descrito en la sección denominada "TIEMPO Y RENDIMIENTO"; entonces
por ejemplo, use - estadísticas-cada Los 10s para obtener una actualización de estado cada 10 segundos. Actualizaciones
se imprimen en una salida interactiva (la pantalla) y una salida XML.

--packet-traza (Rastrear paquetes y datos enviados y recibidos).
Hace que Nmap imprima un resumen de cada paquete enviado o recibido. Esto se usa a menudo
para depurar, pero también es una forma valiosa para que los nuevos usuarios comprendan exactamente qué
Nmap lo está haciendo bajo las sábanas. Para evitar imprimir miles de líneas, es posible que desee
especificar un número limitado de puertos para escanear, como -p20-30. Si solo te preocupas por el
sucesos del subsistema de detección de versiones, utilice --versión-rastreo en lugar de. Si tu solo
preocuparse por el rastreo de secuencias de comandos, especificar --secuencia de comandos. Con --packet-traza, obtienes todo
Lo anterior.

--abierto (Mostrar solo puertos abiertos (o posiblemente abiertos)).
A veces, solo te preocupan los puertos a los que realmente puedes conectarte (abiertos), y no
quiere resultados abarrotados de puertos cerrados, filtrados y cerrados | filtrados. Producción
La personalización se realiza normalmente después del escaneo utilizando herramientas como grep, awk y Perl,
pero esta función se agregó debido a solicitudes abrumadoras. Especificar --abierto solo para ver
hosts con al menos un puerto abierto, abierto | filtrado o sin filtrar, y solo ven puertos en
esos estados. Estos tres estados se tratan como normalmente, lo que significa
que abierto | filtrado y sin filtrar puede condensarse en recuentos si hay un
abrumador número de ellos.

--iflista (Lista de interfaces y rutas).
Imprime la lista de interfaces y las rutas del sistema detectadas por Nmap. Esto es útil para
depurar problemas de enrutamiento o caracterización errónea del dispositivo (como Nmap que trata un PPP
conexión como Ethernet).

Misceláneos salida opciones

--append-salida (Agregue en lugar de clobber archivos de salida).
Cuando especifica un nombre de archivo para una marca de formato de salida como -buey or -sobre, ese archivo es
sobrescrito por defecto. Si prefiere mantener el contenido existente del archivo y
anexar los nuevos resultados, especificar el --append-salida opción. Todos los nombres de archivo de salida
especificado en que la ejecución de Nmap se agregará en lugar de golpear. Esta
no funciona bien para XML (-buey) escanear datos ya que el archivo resultante generalmente no analizará
correctamente hasta que lo arregle a mano.

--reanudar nombre de archivo (Reanudar escaneo abortado).
Algunas ejecuciones extensas de Nmap toman mucho tiempo, del orden de días. Tales escaneos no
siempre corre hasta el final. Las restricciones pueden evitar que Nmap se ejecute durante el trabajo
horas, la red podría fallar, la máquina en la que se está ejecutando Nmap podría sufrir un
reinicio planeado o no planeado, o el propio Nmap podría fallar. El administrador corriendo
Nmap también podría cancelarlo por cualquier otro motivo, presionando ctrl-C. Reiniciando el
El escaneo completo desde el principio puede no ser deseable. Afortunadamente, si es normal (-sobre) o
grepable-oG) se mantuvieron registros, el usuario puede pedir a Nmap que reanude el escaneo con el
objetivo en el que estaba trabajando cuando cesó la ejecución. Simplemente especifique el --reanudar opción y
pasar el archivo de salida normal / grepable como argumento. No hay otros argumentos
permitido, ya que Nmap analiza el archivo de salida para usar los mismos especificados anteriormente.
Simplemente llame a Nmap como nmap --reanudar nombre de archivo de registro. Nmap agregará nuevos resultados al
archivos de datos especificados en la ejecución anterior. La reanudación no es compatible con XML
formato de salida porque combinar las dos ejecuciones en un archivo XML válido sería
difícil.

- hoja de estilo camino or Enlance (Configure la hoja de estilo XSL para transformar la salida XML).
Nmap se envía con un XSL. hoja de estilo. llamado nmap.xsl. para ver o traducir XML
salida a HTML. La salida XML incluye una directiva de hoja de estilo xml que apunta a
nmap.xml donde fue instalado inicialmente por Nmap. Ejecute el archivo XML a través de un XSLT
procesador como xsltproc[17]. para producir un archivo HTML. Abrir directamente el XML
archivo en un navegador ya no funciona bien porque los navegadores modernos limitan las ubicaciones a
la hoja de estilo se puede cargar desde. Si desea utilizar una hoja de estilo diferente, especifíquela
como el argumento para - hoja de estilo. Debe pasar el nombre de ruta completo o la URL. Uno en común
la invocación es - hoja de estilo https://nmap.org/svn/docs/nmap.xsl. Esto le dice a un XSLT
procesador para cargar la última versión de la hoja de estilo de Nmap.Org. El --webxml
La opción hace lo mismo con menos escritura y memorización. Cargando el XSL desde
Nmap.Org hace que sea más fácil ver los resultados en una máquina que no tiene Nmap (y por lo tanto
nmap.xsl) instalado. Por tanto, la URL suele ser más útil, pero el sistema de archivos local
La ubicación de nmap.xsl se utiliza de forma predeterminada por motivos de privacidad.

--webxml (Cargar hoja de estilo de Nmap.Org).
Esta es una opción conveniente, nada más que un alias para - hoja de estilo
https://nmap.org/svn/docs/nmap.xsl.

--sin hoja de estilo (Omita la declaración de la hoja de estilo XSL de XML).
Especifique esta opción para evitar que Nmap asocie cualquier hoja de estilo XSL con su XML
producción. Se omite la directiva xml-stylesheet.

OTRO OPCIONES

Esta sección describe algunas opciones importantes (y no tan importantes) que realmente no encajan
en cualquier otro lugar.

-6 (Habilite el escaneo IPv6).
Nmap tiene soporte para IPv6 para sus funciones más populares. Escaneo de ping, escaneo de puertos,
detección de versiones y Nmap Scripting Engine son compatibles con IPv6. La sintaxis del comando
es el mismo que de costumbre, excepto que también agrega el -6 opción. Por supuesto, debes usar
Sintaxis de IPv6 si especifica una dirección en lugar de un nombre de host. Una dirección puede parecer
como 3ffe: 7501: 4819: 2000: 210: f3ff: fe03: 14d0, por lo que se recomiendan los nombres de host. La salida
tiene el mismo aspecto que de costumbre, con la dirección IPv6 en la línea "puertos interesantes" siendo
el único sorteo de IPv6.

Si bien IPv6 no ha conquistado al mundo exactamente, tiene un uso significativo en algunos
Los países (generalmente asiáticos) y la mayoría de los sistemas operativos modernos lo admiten. Para usar Nmap
con IPv6, tanto el origen como el destino de su escaneo deben estar configurados para IPv6. Si
su ISP (como la mayoría de ellos) no le asigna direcciones IPv6, túnel libre
los corredores están ampliamente disponibles y funcionan bien con Nmap. Yo uso el túnel IPv6 gratuito
corredor. servicio en http://www.tunnelbroker.net. Otros intermediarios de túneles son enlistan at
Wikipedia [18]. Los túneles 6to4 son otro enfoque gratuito y popular.

En Windows, los escaneos de IPv6 de socket sin procesar solo se admiten en dispositivos ethernet (no
túneles) y solo en Windows Vista. y después. Utilizar el - desfavorecidos. opción en
otras situaciones.

-A (Opciones de escaneo agresivo).
Esta opción habilita opciones adicionales avanzadas y agresivas. Actualmente esto permite
Detección de SO (-O), escaneo de versiones (-sv), escaneo de secuencias de comandos (-Carolina del Sur) y traceroute
(--trazar ruta) .. Es posible que se agreguen más funciones en el futuro. El punto es habilitar un
conjunto completo de opciones de escaneo sin que las personas tengan que recordar un gran conjunto de
banderas. Sin embargo, dado que el análisis de secuencias de comandos con el conjunto predeterminado se considera intrusivo,
no deberías usar -A contra redes objetivo sin permiso. Esta opción solamente
habilita funciones, y no opciones de tiempo (como -T4) o opciones de verbosidad (-v) ese
es posible que desee también. Opciones que requieren privilegios (por ejemplo, acceso de root) como SO
la detección y traceroute solo se habilitarán si esos privilegios están disponibles.

--datadir nombre del directorio (Especifique la ubicación del archivo de datos Nmap personalizado).
Nmap obtiene algunos datos especiales en tiempo de ejecución en archivos llamados nmap-service-probes,
nmap-services, nmap-protocol, nmap-rpc, nmap-mac-prefixes y nmap-os-db. Si el
se ha especificado la ubicación de cualquiera de estos archivos (utilizando el --serviciodb or
--versiondb opciones), esa ubicación se utiliza para ese archivo. Después de eso, Nmap busca
estos archivos en el directorio especificado con el --datadir opción (si existe). Cualquier archivo
que no se encuentran allí, se buscan en el directorio especificado por el NMAPDIR.
Variable ambiental. Luego viene ~ / .nmap. para UID reales y efectivos; o en Windows,
INICIO\ AppData \ Roaming \ nmap (donde INICIO es el directorio de inicio del usuario, como
C: \ Usuarios \ usuario). A esto le sigue la ubicación del ejecutable nmap y lo mismo
ubicación con ../share/nmap adjunto. Luego, una ubicación compilada como
/ usr / local / share / nmap o / usr / share / nmap.

--serviciodb servicios presentar (Especifique el archivo de servicios personalizados).
Pide a Nmap que utilice el archivo de servicios especificado en lugar del archivo de datos de nmap-services
que viene con Nmap. El uso de esta opción también provoca un escaneo rápido (-F) para ser utilizado. Ver
la descripción de --datadir para obtener más información sobre los archivos de datos de Nmap.

--versiondb Service sondas presentar (Especifique el archivo de sondeos de servicio personalizados).
Pide a Nmap que utilice el archivo de sondas de servicio especificado en lugar de nmap-service-probes
archivo de datos que viene con Nmap. Consulte la descripción de --datadir para obtener más información.
en los archivos de datos de Nmap.

--enviar-eth (Utilice el envío de Ethernet sin procesar).
Pide a Nmap que envíe paquetes a la capa de ethernet sin procesar (enlace de datos) en lugar de a la superior
Capa de IP (red). Por defecto, Nmap elige el que generalmente es mejor para el
plataforma en la que se está ejecutando. Sockets sin procesar (capa IP). son generalmente más eficientes para
Máquinas Unix, mientras que los marcos de Ethernet son necesarios para el funcionamiento de Windows, ya que
Microsoft deshabilitó el soporte de socket sin formato. Nmap todavía usa paquetes IP sin procesar en Unix a pesar de
esta opción cuando no hay otra opción (como conexiones que no sean Ethernet).

--enviar-ip (Enviar a nivel de IP sin procesar).
Pide a Nmap que envíe paquetes a través de sockets IP sin procesar en lugar de enviar ethernet de nivel inferior
marcos. Es el complemento de la --enviar-eth opción discutida anteriormente.

--privilegiado (Suponga que el usuario tiene todos los privilegios).
Le dice a Nmap que simplemente asuma que tiene el privilegio de realizar envíos de sockets sin procesar,
detección de paquetes y operaciones similares que normalmente requieren privilegios de root. en Unix
sistemas. Por defecto, Nmap se cierra si se solicitan tales operaciones pero geteuid no es
cero. --privilegiado es útil con las capacidades del kernel de Linux y sistemas similares que
se puede configurar para permitir que los usuarios sin privilegios realicen análisis de paquetes sin procesar. Asegúrate de
proporcionar este indicador de opción antes de cualquier indicador para las opciones que requieren privilegios (SYN
escaneo, detección de SO, etc.). El NMAP_PRIVILEGADO. La variable de entorno se puede establecer como una
alternativa equivalente a --privilegiado.

- desfavorecidos (Suponga que el usuario carece de privilegios de socket sin formato).
Esta opción es la opuesta a --privilegiado. Le dice a Nmap que trate al usuario como
carece de privilegios de rastreo y conexión sin procesar de la red. Esto es útil para probar,
depuración, o cuando la funcionalidad de red sin procesar de su sistema operativo es de alguna manera
roto. los NMAP_UNPRIVILEGED. La variable de entorno se puede establecer como equivalente
alternativa a - desfavorecidos.

--liberar-memoria (Liberar memoria antes de salir).
Esta opción solo es útil para la depuración de pérdidas de memoria. Hace que Nmap se libere
memoria asignada justo antes de que se cierre para que las fugas de memoria reales sean más fáciles de detectar.
Normalmente, Nmap omite esto ya que el sistema operativo lo hace de todos modos al finalizar el proceso.

-V; --versión (Número de versión impresa).
Imprime el número de versión de Nmap y sale.

-h; --ayuda (Imprimir página de resumen de ayuda).
Imprime una breve pantalla de ayuda con los indicadores de comando más comunes. Ejecutando Nmap sin
cualquier argumento hace lo mismo.

TIEMPO DE FUNCIONAMIENTO INTERACCIÓN

Durante la ejecución de Nmap, se capturan todas las pulsaciones de teclas. Esto te permite interactuar
con el programa sin abortarlo y reiniciarlo. Ciertas teclas especiales cambiarán
opciones, mientras que cualquier otra tecla imprimirá un mensaje de estado informándole sobre el escaneo.
La convención es que minúscula letters incrementar la cantidad de impresiones, y mayúscula
letters disminuir La impresión. También puede presionar '?'en busca de ayuda.

v / V
Aumentar / disminuir el nivel de verbosidad

d / D
Aumentar / disminuir el nivel de depuración

p / P
Activar / desactivar el seguimiento de paquetes

?
Imprimir una pantalla de ayuda de interacción en tiempo de ejecución

Algo más
Imprima un mensaje de estado como este:

Estadísticas: 0:00:07 transcurrido; 20 hosts completados (1 arriba), 1 sometido a exploración de servicio
Tiempo de escaneo del servicio: Aproximadamente el 33.33% realizado; ETC: 20:57 (0:00:12 restantes)

EJEMPLOS

Aquí hay algunos ejemplos de uso de Nmap, desde lo simple y rutinario hasta un poco más complejo.
y esotérico. Algunas direcciones IP y nombres de dominio reales se utilizan para hacer las cosas más
hormigón. En su lugar, debe sustituir las direcciones / nombres de a tu manera propia del sistema,.
Aunque no creo que el escaneo de puertos en otras redes sea o deba ser ilegal, algunas redes
los administradores no aprecian el escaneo no solicitado de sus redes y pueden quejarse.
Obtener el permiso primero es el mejor enfoque.

Con fines de prueba, tiene permiso para escanear el host scanme.nmap.org .. Este
El permiso solo incluye escaneo a través de Nmap y no prueba de exploits o denegación de servicio
ataques. Para conservar ancho de banda, no inicie más de una docena de análisis contra
ese anfitrión por día. Si se abusa de este servicio de objetivo de escaneo gratuito, se eliminará
y Nmap informará Error al resolver el nombre de host / IP dado: scanme.nmap.org. Estos
los permisos también se aplican a los hosts scanme2.nmap.org, scanme3.nmap.org, etc., aunque
esos hosts no existen actualmente.

nmap -v scanme.nmap.org.

Esta opción escanea todos los puertos TCP reservados en la máquina scanme.nmap.org. El -v opción
habilita el modo detallado.

nmap -SS -O scanme.nmap.org/24.

Lanza un escaneo SYN sigiloso contra cada máquina que está arriba de las 256 IP en el
Red de tamaño clase C donde reside Scanme. También trata de determinar qué
el sistema se está ejecutando en cada host que está en funcionamiento. Esto requiere privilegios de root
debido al escaneo SYN y la detección del sistema operativo.

nmap -sv -p 22,53,110,143,4564 198.116.0-255.1-127.

Inicia la enumeración de hosts y un escaneo de TCP en la primera mitad de cada uno de los 255 posibles
subredes de ocho bits en el espacio de direcciones de clase B 198.116. Esto prueba si los sistemas funcionan
SSH, DNS, POP3 o IMAP en sus puertos estándar, o cualquier cosa en el puerto 4564. Para cualquiera de
estos puertos se encuentran abiertos, la detección de versión se utiliza para determinar qué aplicación es
funcionando.

nmap -v -ir 100000 -Pn -p 80.

Pide a Nmap que elija 100,000 hosts al azar y los escanee en busca de servidores web (puerto 80). Anfitrión
la enumeración está deshabilitada con -Pn desde el primer envío de un par de sondas para determinar si
un host está activo es un desperdicio cuando solo está probando un puerto en cada host de destino de todos modos.

nmap -Pn -p80 -buey registros / pb-port80scan.xml -oG logs / pb-port80scan.gnmap 216.163.128.20/20.

Esto escanea 4096 IP para cualquier servidor web (sin hacer ping) y guarda la salida en
formatos grepable y XML.

Nmap RESERVAS

Si bien esta guía de referencia detalla todas las opciones de materiales de Nmap, no puede demostrar completamente
cómo aplicar esas funciones para resolver rápidamente tareas del mundo real. Para eso, lanzamos Nmap
Escaneo de red: la guía oficial del proyecto Nmap para el descubrimiento y la seguridad de la red
Exploración. Los temas incluyen subvertir firewalls y sistemas de detección de intrusos, optimizar
Rendimiento de Nmap y automatización de tareas de red comunes con Nmap Scripting Engine.
Se proporcionan sugerencias e instrucciones para tareas comunes de Nmap, como tomar la red.
inventario, pruebas de penetración, detección de puntos de acceso inalámbricos no autorizados y anulación
brotes de gusanos de red. Los ejemplos y diagramas muestran la comunicación real en el cable. Más
más de la mitad del libro está disponible gratis en línea. Ver https://nmap.org/book

Use nmap en línea usando los servicios de onworks.net