nmap - Online nel cloud

PROGRAMMA:

NOME

nmap - Strumento di esplorazione della rete e sicurezza/port scanner

SINOSSI

Nmap [Scannerizzare Tipologia...] [Opzioni] {bersaglio specificazione}

DESCRIZIONE

Nmap ("Network Mapper") è uno strumento open source per l'esplorazione e la sicurezza della rete
revisione contabile. È stato progettato per scansionare rapidamente reti di grandi dimensioni, sebbene funzioni bene contro
singoli padroni di casa. Nmap utilizza i pacchetti IP grezzi in nuovi modi per determinare quali host sono disponibili
sulla rete, quali servizi (nome e versione dell'applicazione) offrono questi host,
quali sistemi operativi (e versioni del sistema operativo) sono in esecuzione, che tipo di pacchetto
filtri/firewall sono in uso e dozzine di altre caratteristiche. Mentre Nmap è comunemente
utilizzato per i controlli di sicurezza, molti sistemi e amministratori di rete lo trovano utile per
attività di routine come l'inventario della rete, la gestione dei programmi di aggiornamento del servizio e
monitorare il tempo di attività dell'host o del servizio.

L'output di Nmap è un elenco di bersagli scansionati, con informazioni supplementari su ciascuno
a seconda delle opzioni utilizzate. La chiave di queste informazioni sono i "porte interessanti"
table”.. Quella tabella elenca il numero di porta e il protocollo, il nome del servizio e lo stato. Il
lo stato è aperto, filtrato, chiuso o non filtrato. Aprire. significa che un'applicazione
sulla macchina di destinazione è in ascolto di connessioni/pacchetti su quella porta. Filtrato. si intende
che un firewall, un filtro o un altro ostacolo di rete stia bloccando la porta in modo che Nmap
non è possibile dire se è aperto o chiuso. Chiuso. le porte non hanno applicazioni in ascolto
loro, anche se potrebbero aprirsi in qualsiasi momento. Le porte sono classificate come non filtrate. quando
rispondono alle sonde di Nmap, ma Nmap non può determinare se sono aperte o
Chiuso. Nmap riporta le combinazioni di stato open|filtered. e chiuso|filtrato. quando esso
non è possibile determinare quale dei due stati descrive una porta. La tabella del porto può anche includere
dettagli sulla versione del software quando è stato richiesto il rilevamento della versione. Quando un protocollo IP
è richiesta la scansione (-così), Nmap fornisce informazioni sui protocolli IP supportati piuttosto che
porte di ascolto.

Oltre all'interessante tabella dei porti, Nmap può fornire ulteriori informazioni su
target, inclusi nomi DNS inversi, supposizioni del sistema operativo, tipi di dispositivi e MAC
indirizzi.

Una tipica scansione Nmap è mostrata nell'Esempio 1. Gli unici argomenti Nmap usati in questo esempio
sono -A, per abilitare il rilevamento del sistema operativo e della versione, la scansione degli script e il traceroute; -T4 per
esecuzione più rapida; e poi il nome host.

Esempio 1. A rappresentante Nmap scansione

# Nmap -A -T4 scanme.nmap.org

Rapporto di scansione Nmap per scanme.nmap.org (74.207.244.221)
L'host è attivo (latenza di 0.029 secondi).
Record rDNS per 74.207.244.221: li86-221.members.linode.com
Non mostrato: 995 porte chiuse
VERSIONE DEL SERVIZIO PORTUALE
22/tcp apre ssh OpenSSH 5.3p1 Debian 3ubuntu7 (protocollo 2.0)
| ssh-hostkey: 1024 8d:60:f1:7c:ca:b7:3d:0a:d6:67:54:9d:69:d9:b9:dd (DSA)
|_2048 79:f8:09:ac:d4:e2:32:42:10:49:d3:bd:20:82:85:ec (RSA)
80/tcp aperto http Apache httpd 2.2.14 ((Ubuntu))
|_http-title: Vai avanti e ScanMe!
646/tcp ldp filtrato
1720/tcp filtrato H.323/Q.931
9929/tcp apre nping-echo Nping echo
Tipo di dispositivo: uso generale
Esecuzione: Linux 2.6.X
CPE del sistema operativo: cpe:/o:linux:linux_kernel:2.6.39
Dettagli del sistema operativo: Linux 2.6.39
Distanza di rete: 11 hop
Informazioni sul servizio: Sistema operativo: Linux; CPE: cpe:/o:linux:kernel

TRACEROUTE (usando la porta 53/tcp)
INDIRIZZO HOP RTT
[Taglia i primi 10 luppoli per brevità]
11 17.65 ms li86-221.members.linode.com (74.207.244.221)

Nmap completato: 1 indirizzo IP (1 host in su) scansionato in 14.40 secondi

La versione più recente di Nmap può essere ottenuta da https://nmap.org. La versione più recente di
questa pagina man è disponibile su https://nmap.org/book/man.html. È anche incluso come a
capitolo di Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery e
Scansione di sicurezza (vedi https://nmap.org/book/).

VERSIONI SOMMARIO

Questo riepilogo delle opzioni viene stampato quando Nmap viene eseguito senza argomenti e l'ultima versione
è sempre disponibile su https://svn.nmap.org/nmap/docs/nmap.usage.txt. Aiuta le persone
ricorda le opzioni più comuni, ma non sostituisce la documentazione approfondita in
il resto di questo manuale. Alcune opzioni oscure non sono nemmeno incluse qui.

Nmap 7.01 (https://nmap.org)
Utilizzo: nmap [Tipo(i) di scansione] [Opzioni] {specifiche di destinazione}
SPECIFICA OBIETTIVO:
Può passare nomi host, indirizzi IP, reti, ecc.
Es: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-I l : Input dall'elenco di host/reti
-iR : Scegli bersagli casuali
--escludere : Escludi host/reti
--excludefile : Escludi l'elenco dal file
SCOPERTA DELL'OSPITE:
-sL: List Scan - elenca semplicemente gli obiettivi da scansionare
-sn: Ping Scan - disabilita la scansione delle porte
-Pn: considera tutti gli host come online -- salta la scoperta dell'host
-PS/PA/PU/PY[portlist]: rilevamento TCP SYN/ACK, UDP o SCTP su determinate porte
-PE/PP/PM: sonde di rilevamento dell'eco ICMP, del timestamp e della maschera di rete
-PO[elenco protocolli]: Ping protocollo IP
-n/-R: Non esegue mai la risoluzione DNS/Risolvi sempre [predefinito: a volte]
--dns-server : Specifica server DNS personalizzati
--system-dns: usa il risolutore DNS del sistema operativo
--traceroute: traccia il percorso hop di ciascun host
TECNICHE DI SCANSIONE:
-sS/sT/sA/sW/sM: scansioni TCP SYN/Connect()/ACK/Window/Maimon
-sU: Scansione UDP
-sN/sF/sX: scansioni TCP Null, FIN e Xmas
--scanflag : Personalizza i flag di scansione TCP
-sI : Scansione inattiva
-sY/sZ: scansioni SCTP INIT/COOKIE-ECHO
-sO: scansione del protocollo IP
-B : Scansione di rimbalzo FTP
SPECIFICHE DELLA PORTA E ORDINE DI SCANSIONE:
-P : Scansiona solo le porte specificate
Es: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9
--exclude-ports : Esclude le porte specificate dalla scansione
-F: Modalità veloce - Scansiona meno porte rispetto alla scansione predefinita
-r: scansiona le porte consecutivamente - non randomizzare
--top-ports : Scansione porte più comuni
--port-rapporto : Scansiona le porte più comuni di
RILEVAMENTO SERVIZIO/VERSIONE:
-sV: sonda le porte aperte per determinare le informazioni sul servizio/versione
--intensità-versione : Imposta da 0 (luce) a 9 (prova tutte le sonde)
--version-light: limite alle sonde più probabili (intensità 2)
--version-all: prova ogni singola sonda (intensità 9)
--version-trace: mostra l'attività di scansione della versione dettagliata (per il debug)
SCANSIONE SCRITTURA:
-sC: equivalente a --script=default
--script= : è un elenco separato da virgole di
directory, file di script o categorie di script
--script-args= : fornisce argomenti agli script
--script-args-file=nomefile: fornisce argomenti dello script NSE in un file
--script-trace: mostra tutti i dati inviati e ricevuti
--script-updatedb: aggiorna il database degli script.
--script-help= : mostra la guida sugli script.
è un elenco separato da virgole di file di script o
categorie di script.
RILEVAMENTO SO:
-O: Abilita il rilevamento del sistema operativo
--osscan-limit: limita il rilevamento del sistema operativo a obiettivi promettenti
--osscan-guess: indovina il sistema operativo in modo più aggressivo
TEMPI E PRESTAZIONI:
Opzioni che prendono sono in secondi o aggiungi "ms" (millisecondi),
's' (secondi), 'm' (minuti) o 'h' (ore) al valore (es. 30m).
-T<0-5>: imposta il modello di temporizzazione (più alto è più veloce)
--min-hostgroup/max-hostgroup : Dimensioni dei gruppi di scansione host paralleli
--min-parallelismo/max-parallelismo : Parallelizzazione sonda
--min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout : Specifica
tempo di andata e ritorno della sonda.
--max-tentativi : Limita il numero di ritrasmissioni della sonda di scansione delle porte.
--host-timeout : Rinuncia al bersaglio dopo così tanto tempo
--scan-delay/--max-scan-delay : Regola il ritardo tra le sonde
--min-rate : Invia pacchetti non più lenti di al secondo
--max-rate : Invia pacchetti non più velocemente di al secondo
FIREWALL/IDS EVASIONE E SPOFING:
-F; --mtu : frammenti di pacchetti (facoltativamente con MTU fornito)
-D : Maschera una scansione con esche
-S : Indirizzo di origine fittizio
-e : Usa l'interfaccia specificata
-g/--porta-origine : Usa il numero di porta specificato
--proxy : Inoltro di connessioni tramite proxy HTTP/SOCKS1
--dati : aggiungi un payload personalizzato ai pacchetti inviati
--stringa-dati : aggiunge una stringa ASCII personalizzata ai pacchetti inviati
--data-length : Aggiunge dati casuali ai pacchetti inviati
--ip-opzioni : invia pacchetti con opzioni IP specificate
--ttl : Imposta il campo IP time-to-live
--spoof-mac : falsifica il tuo indirizzo MAC
--badsum: invia pacchetti con un checksum TCP/UDP/SCTP fasullo
USCITA:
-oN/-oX/-oS/-oG : Scansione output in normale, XML, s|
e Grepable, rispettivamente, al nome file specificato.
-oA : Output nei tre formati principali contemporaneamente
-v: Aumenta il livello di verbosità (usa -vv o più per un effetto maggiore)
-d: Aumenta il livello di debug (usa -dd o più per un effetto maggiore)
--reason: mostra il motivo per cui una porta si trova in uno stato particolare
--open: mostra solo le porte aperte (o possibilmente aperte)
--packet-trace: mostra tutti i pacchetti inviati e ricevuti
--iflist: stampa le interfacce e le route dell'host (per il debug)
--append-output: aggiunge ai file di output specificati anziché sovraccaricare
--riprendere : riprende una scansione interrotta
--foglio di stile : Foglio di stile XSL per trasformare l'output XML in HTML
--webxml: foglio di stile di riferimento da Nmap.Org per XML più portabile
--no-stylesheet: impedisce l'associazione di fogli di stile XSL con output XML
MISC:
-6: Abilita la scansione IPv6
-A: Abilita il rilevamento del sistema operativo, il rilevamento della versione, la scansione degli script e il traceroute
--datadir : Specifica la posizione del file di dati Nmap personalizzato
--send-eth/--send-ip: invia utilizzando frame ethernet grezzi o pacchetti IP
--privileged: presuppone che l'utente sia pienamente privilegiato
--unprivileged: presuppone che l'utente non disponga dei privilegi di raw socket
-V: numero di versione di stampa
-h: stampa questa pagina di riepilogo della guida.
ESEMPI:
nmap -v -A scanme.nmap.org
nmap -v -sn 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -Pn -p 80
VEDERE LA PAGINA MAN (https://nmap.org/book/man.html) PER ULTERIORI OPZIONI ED ESEMPI

TARGET SPECIFICHE

Tutto sulla riga di comando di Nmap che non è un'opzione (o argomento dell'opzione) viene trattato
come specifica dell'host di destinazione. Il caso più semplice è specificare un indirizzo IP di destinazione o
nome host per la scansione.

A volte si desidera eseguire la scansione di un'intera rete di host adiacenti. Per questo, Nmap supporta
in stile CIDR. indirizzamento. Puoi aggiungere /idiozie a un indirizzo IPv4 o nome host e Nmap
eseguirà la scansione di ogni indirizzo IP per il quale il primo idiozie sono gli stessi del riferimento
IP o nome host fornito. Ad esempio, 192.168.10.0/24 scansiona i 256 host tra
192.168.10.0 (binario: 11000000 10101000 00001010 00000000) e 192.168.10.255 (binario:
11000000 10101000 00001010 11111111), compreso. 192.168.10.40/24 scansiona esattamente il
stessi obiettivi. Dato che l'host scanme.nmap.org. si trova all'indirizzo IP 64.13.134.52, il
la specifica scanme.nmap.org/16 scansiona i 65,536 indirizzi IP tra 64.13.0.0 e
64.13.255.255. Il valore minimo consentito è /0, che ha come target l'intera Internet. Il
il valore più grande è /32, che esegue la scansione solo dell'host o dell'indirizzo IP indicato perché tutti gli indirizzi
i bit sono fissi.

La notazione CIDR è breve ma non sempre sufficientemente flessibile. Ad esempio, potresti voler scansionare
192.168.0.0/16 ma salta tutti gli IP che terminano con .0 o .255 perché potrebbero essere usati come sottorete
indirizzi di rete e di trasmissione. Nmap supporta questo tramite l'indirizzamento dell'intervallo di ottetti. Piuttosto
di specificare un normale indirizzo IP, è possibile specificare un elenco di numeri separati da virgole o
intervalli per ogni ottetto. Ad esempio, 192.168.0-255.1-254 salterà tutti gli indirizzi nel
l'intervallo che termina con .0 o .255 e 192.168.3-5,7.1 eseguirà la scansione dei quattro indirizzi
192.168.3.1, 192.168.4.1, 192.168.5.1 e 192.168.7.1. Entrambi i lati di un intervallo possono essere
omesso; i valori di default sono 0 a sinistra e 255 a destra. Usare - da solo è
lo stesso di 0-255, ma ricorda di usare 0- nel primo ottetto in modo che la specifica di destinazione
non sembra un'opzione della riga di comando. Gli intervalli non devono essere limitati agli ottetti finali:
lo specificatore 0-255.0-255.13.37 eseguirà una scansione a livello di Internet per tutti gli indirizzi IP
termina alle 13.37. Questo tipo di campionamento ampio può essere utile per sondaggi su Internet e
ricerca.

Gli indirizzi IPv6 possono essere specificati solo dall'indirizzo IPv6 completo o dal nome host.
CIDR e gli intervalli di ottetti non sono ancora supportati per IPv6.

Gli indirizzi IPv6 con ambito non globale devono avere un suffisso ID di zona. Sui sistemi Unix, questo
è un segno di percentuale seguito da un nome di interfaccia; un indirizzo completo potrebbe essere
fe80::a8bb:ccff:fedd:eeff%eth0. Su Windows, usa un numero di indice dell'interfaccia al posto di un
nome interfaccia: fe80::a8bb:ccff:fedd:eeff%1. Puoi vedere un elenco di indici di interfaccia di
eseguire il comando netsh.exe interfaccia ipv6 mostrare attraverso le sue creazioni interfaccia.

Nmap accetta più specifiche host sulla riga di comando e non è necessario che lo siano
lo stesso tipo. Il comando Nmap scanme.nmap.org 192.168.0.0/8 10.0.0,1,3-7.- fa quello che fai
si aspetterebbe.

Sebbene gli obiettivi siano generalmente specificati nelle righe di comando, sono disponibili anche le seguenti opzioni
disponibile per controllare la selezione del target:

-I l nomefile di input (Inserimento da elenco) .
Legge le specifiche del target da nomefile di input. Passare un lungo elenco di host è spesso
imbarazzante sulla riga di comando, eppure è un desiderio comune. Ad esempio, il tuo server DHCP
potrebbe esportare un elenco di 10,000 contratti di locazione correnti che desideri scansionare. O forse vuoi
per scansionare tutti gli indirizzi IP con l’esclusione di per coloro che localizzano gli host utilizzando IP statici non autorizzati
indirizzi. Genera semplicemente l'elenco degli host da scansionare e passa quel nome file a Nmap come
un argomento per -I l opzione. Le voci possono essere in uno qualsiasi dei formati accettati da Nmap
sulla riga di comando (indirizzo IP, nome host, CIDR, IPv6 o intervalli di ottetti). ogni voce
devono essere separati da uno o più spazi, tab o newline. Puoi specificare un trattino
(-) come nome del file se vuoi che Nmap legga gli host dall'input standard piuttosto che da un
file effettivo.

Il file di input può contenere commenti che iniziano con # e si estendono fino alla fine del
linea.

-IR num padroni di casa (Scegli obiettivi casuali) .
Per sondaggi su Internet e altre ricerche, potresti voler scegliere obiettivi su
a caso. Il num padroni di casa L'argomento dice a Nmap quanti IP generare. IP indesiderati
come quelli in determinati intervalli di indirizzi privati, multicast o non allocati sono
saltato automaticamente. L'argomento 0 può essere specificato per una scansione senza fine. Mantenere
in mente che alcuni amministratori di rete si irritano per le scansioni non autorizzate dei loro
reti e può lamentarsi. Usa questa opzione a tuo rischio! Se ti ritrovi
davvero annoiato un pomeriggio piovoso, prova il comando Nmap -Pn -ss -p 80 -IR 0 --aprire. a
individuare server Web casuali per la navigazione.

--escludere host1[,host2[,...]] (Escludi host/reti) .
Specifica un elenco separato da virgole di destinazioni da escludere dalla scansione anche se
fanno parte dell'intervallo di rete complessivo specificato. La lista che passi usa normalmente
sintassi Nmap, quindi può includere nomi host, netblock CIDR, intervalli di ottetti, ecc. Questo può
essere utile quando la rete che desideri scansionare include intoccabili mission-critical
server, sistemi noti per reagire negativamente alle scansioni delle porte o sottoreti
amministrato da altre persone.

--excludefile file_escludi (Escludi elenco dal file) .
Offre le stesse funzionalità del --escludere opzione, tranne che gli esclusi
gli obiettivi sono forniti in una nuova riga, spazio o delimitato da tabulazioni file_escludi anziché
sulla riga di comando.

Il file di esclusione può contenere commenti che iniziano con # e si estendono fino alla fine del
linea.

HOST DISCOVERY

Uno dei primissimi passi in qualsiasi missione di ricognizione della rete è ridurre a
(a volte enorme) set di intervalli IP in un elenco di host attivi o interessanti. Scansione
ogni porta di ogni singolo indirizzo IP è lenta e solitamente non necessaria. Certo che cosa?
rende un host interessante dipende molto dagli scopi della scansione. Gli amministratori di rete possono
essere interessato solo agli host che eseguono un determinato servizio, mentre ai revisori della sicurezza potrebbe interessare
su ogni singolo dispositivo con un indirizzo IP. Un amministratore può sentirsi a proprio agio nell'usare
solo un ping ICMP per individuare gli host sulla sua rete interna, mentre una penetrazione esterna
il tester può utilizzare un insieme diversificato di dozzine di sonde nel tentativo di eludere il firewall
restrizioni.

Poiché le esigenze di scoperta degli host sono così diverse, Nmap offre un'ampia varietà di opzioni per
personalizzando le tecniche utilizzate. L'individuazione dell'host viene talvolta chiamata scansione ping, ma funziona
ben oltre i semplici pacchetti di richiesta echo ICMP associati all'onnipresente strumento ping.
Gli utenti possono saltare completamente il passaggio del ping con una scansione dell'elenco (-SH) o disabilitando il ping (-Pn),
o impegnare la rete con combinazioni arbitrarie di TCP SYN/ACK multiporta, UDP, SCTP
Sonde INIT e ICMP. L'obiettivo di queste sonde è sollecitare risposte che dimostrino
che un indirizzo IP è effettivamente attivo (viene utilizzato da un host o da un dispositivo di rete). su molti
reti, solo una piccola percentuale di indirizzi IP è attiva in un dato momento. Questo è
particolarmente comune con lo spazio di indirizzi privato come 10.0.0.0/8. Quella rete ha 16
milioni di IP, ma l'ho visto utilizzato da aziende con meno di mille macchine. Ospite
discovery può trovare quelle macchine in un mare di indirizzi IP allocati in modo sparso.

Se non vengono fornite opzioni di individuazione dell'host, Nmap invia una richiesta echo ICMP, un pacchetto SYN TCP
alla porta 443, un pacchetto ACK TCP alla porta 80 e una richiesta di timestamp ICMP. (Per IPv6, il
La richiesta di timestamp ICMP viene omessa perché non fa parte di ICMPv6.) Queste impostazioni predefinite sono
equivalente al -PIEDE -PS443 -PA80 - PP opzioni. Le eccezioni a questo sono l'ARP (per
IPv4) e Neighbor Discovery. (per IPv6) scansioni che vengono utilizzate per qualsiasi target su un locale
rete ethernet. Per gli utenti di shell Unix non privilegiati, le sonde predefinite sono un pacchetto SYN
alle porte 80 e 443 utilizzando il connect chiamata di sistema.. Questa scoperta dell'host è spesso
sufficiente durante la scansione di reti locali, ma un set più completo di sonde di rilevamento
è consigliato per il controllo di sicurezza.

Il Marketplace per le -P* le opzioni (che selezionano i tipi di ping) possono essere combinate. Puoi aumentare le tue probabilità di
penetrare firewall rigidi inviando molti tipi di sonda utilizzando diverse porte/flag TCP
e codici ICMP. Si noti inoltre che ARP/Neighbor Discovery (- PR). è fatto per impostazione predefinita contro
target su una rete ethernet locale anche se ne specifichi altro -P* opzioni, perché è
quasi sempre più veloce ed efficace.

Per impostazione predefinita, Nmap esegue il rilevamento dell'host e quindi esegue una scansione delle porte su ciascun host
determina è in linea. Questo è vero anche se specifichi tipi di individuazione dell'host non predefiniti
come le sonde UDP (-PU). Leggi il -sn opzione per imparare a eseguire solo host
scoperta o uso -Pn per saltare il rilevamento dell'host e la scansione delle porte per tutti gli host di destinazione. Il seguente
le opzioni controllano la scoperta dell'host:

-SH (Scansione elenco).
La scansione dell'elenco è una forma degenerata di scoperta dell'host che elenca semplicemente ogni host di
le reti specificate, senza inviare alcun pacchetto agli host di destinazione. Per impostazione predefinita,
Nmap esegue ancora la risoluzione DNS inversa sugli host per apprendere i loro nomi. È spesso
sorprendente quante informazioni utili forniscano i semplici nomi di host. Ad esempio, fw.chi
è il nome del firewall di Chicago di un'azienda. Nmap riporta anche il numero totale di
Indirizzi IP alla fine. La scansione dell'elenco è un buon controllo di integrità per assicurarsi di avere
indirizzi IP corretti per i tuoi obiettivi. Se gli host presentano nomi di dominio non lo fai
riconoscere, vale la pena indagare ulteriormente per evitare la scansione dell'azienda sbagliata
rete.

Poiché l'idea è semplicemente stampare un elenco di host di destinazione, opzioni per un livello superiore
funzionalità come la scansione delle porte, il rilevamento del sistema operativo o la scansione del ping non possono essere combinate
con questo. Se desideri disabilitare la scansione del ping mentre continui a funzionare così in alto
funzionalità di livello, leggere sul -Pn (salta ping).

-sn (Nessuna scansione delle porte).
Questa opzione dice a Nmap di non eseguire una scansione delle porte dopo la scoperta dell'host e di stampare solo
gli host disponibili che hanno risposto alle sonde di individuazione degli host. Questo è spesso noto
come "scansione ping", ma puoi anche richiedere che gli script traceroute e host NSE siano
correre. Questo è per impostazione predefinita un passaggio più invadente della scansione dell'elenco e spesso può essere
utilizzati per gli stessi scopi. Consente la ricognizione leggera di una rete di destinazione senza
attirando molta attenzione. Sapere quanti host sono attivi è più prezioso per gli aggressori
rispetto all'elenco fornito dalla scansione dell'elenco di ogni singolo IP e nome host.

Anche gli amministratori di sistema spesso trovano utile questa opzione. Può essere facilmente utilizzato
per contare le macchine disponibili su una rete o monitorare la disponibilità del server. Questo è spesso
chiamato ping sweep ed è più affidabile del ping dell'indirizzo di trasmissione perché
molti host non rispondono alle query broadcast.

Il rilevamento dell'host predefinito eseguito con -sn consiste in una richiesta echo ICMP, TCP SYN per
porta 443, TCP ACK sulla porta 80 e una richiesta di timestamp ICMP per impostazione predefinita. Quando eseguito
da un utente non privilegiato, vengono inviati solo i pacchetti SYN (usando a connect call) alle porte 80
e 443 sul bersaglio. Quando un utente privilegiato tenta di scansionare i target su un locale
rete ethernet, le richieste ARP vengono utilizzate a meno che --invia-ip è stato specificato. Il -sn opzione
può essere combinato con qualsiasi tipo di sonda di rilevamento (il -P* opzioni, escludendo -Pn)
per una maggiore flessibilità. Se viene utilizzata una di queste opzioni per il tipo di sonda e il numero di porta,
le sonde predefinite vengono sovrascritte. Quando sono presenti firewall rigidi tra i
host di origine che esegue Nmap e la rete di destinazione, l'utilizzo di tali tecniche avanzate è
consigliato. In caso contrario, gli host potrebbero non essere rilevati quando il firewall interrompe i probe o i loro
risposte.

Nelle versioni precedenti di Nmap, -sn era conosciuto come -sP..

-Pn (Nessun segnale acustico).
Questa opzione salta del tutto la fase di scoperta di Nmap. Normalmente, Nmap usa questa fase
per determinare le macchine attive per la scansione più pesante. Per impostazione predefinita, Nmap funziona solo
sondaggi pesanti come scansioni delle porte, rilevamento della versione o rilevamento del sistema operativo contro gli host
che risultano essere in alto. Disabilitare l'individuazione dell'host con -Pn fa in modo che Nmap tenti il
funzioni di scansione richieste contro ogni indirizzo IP di destinazione specificato. Quindi se una classe
Lo spazio dell'indirizzo di destinazione B (/16) è specificato nella riga di comando, tutti i 65,536 indirizzi IP
vengono scansionati. La corretta individuazione dell'host viene saltata come con la scansione dell'elenco, ma invece di
fermandosi e stampando la lista dei bersagli, Nmap continua ad eseguire le funzioni richieste
come se ogni IP di destinazione fosse attivo. Per saltare la scansione ping e scansione delle porte, pur consentendo
NSE per correre, usa le due opzioni -Pn -sn insieme.

Per le macchine su una rete ethernet locale, la scansione ARP verrà comunque eseguita (a meno che
--disable-arp-ping or --invia-ip è specificato) perché Nmap ha bisogno di indirizzi MAC per
scansionare ulteriormente gli host di destinazione. Nelle versioni precedenti di Nmap, -Pn Prima - P0. e -PN..

-PS porto stratagemma (ping SYN TCP) .
Questa opzione invia un pacchetto TCP vuoto con il flag SYN impostato. La destinazione predefinita
la porta è 80 (configurabile in fase di compilazione modificando DEFAULT_TCP_PROBE_PORT_SPEC. in
nmap.h).. Le porte alternative possono essere specificate come parametro. La sintassi è la stessa di
per l' -p tranne che gli identificatori del tipo di porta come T: non sono consentiti. Esempi sono
-PS22 e -PS22-25,80,113,1050,35000. Nota che non può esserci spazio tra -PS e
l'elenco dei porti. Se vengono specificate più sonde, verranno inviate in parallelo.

Il flag SYN suggerisce al sistema remoto che si sta tentando di stabilire un
connessione. Normalmente la porta di destinazione sarà chiusa e un pacchetto RST (reset)
Rimandato indietro. Se la porta è aperta, il bersaglio farà il secondo passo di a
Stretta di mano a tre vie TCP. rispondendo con un pacchetto TCP SYN/ACK. La macchina in funzione
Nmap quindi abbatte la connessione nascente rispondendo con un RST piuttosto che
inviando un pacchetto ACK che completerebbe l'handshake a tre vie e stabilirebbe a
connessione completa. Il pacchetto RST viene inviato dal kernel della macchina che esegue Nmap in
risposta all'inaspettato SYN/ACK, non da Nmap stesso.

A Nmap non importa se la porta è aperta o chiusa. O RST o SYN/ACK
la risposta discussa in precedenza dice a Nmap che l'host è disponibile e reattivo.

Sulle macchine Unix, solo l'utente root con privilegi. è generalmente in grado di inviare e ricevere
pacchetti TCP non elaborati. Per gli utenti non privilegiati, viene utilizzata automaticamente una soluzione alternativa.
per cui il connect la chiamata di sistema viene avviata su ciascuna porta di destinazione. Questo ha il
effetto dell'invio di un pacchetto SYN all'host di destinazione, nel tentativo di stabilire un
connessione. Se connect ritorna con un rapido successo o un fallimento ECONNREFUSED, il
lo stack TCP sottostante deve aver ricevuto un SYN/ACK o RST e l'host è contrassegnato
a disposizione. Se il tentativo di connessione viene lasciato in sospeso fino al raggiungimento di un timeout, il
host è contrassegnato come inattivo.

-PAPÀ porto stratagemma (Ping ACK TCP) .
Il ping TCP ACK è abbastanza simile al ping SYN appena discusso. La differenza, come
potresti probabilmente indovinare, è che il flag TCP ACK è impostato al posto del flag SYN. Tale
un pacchetto ACK pretende di riconoscere i dati su una connessione TCP stabilita,
ma non esiste tale connessione. Quindi gli host remoti dovrebbero sempre rispondere con un RST
pacchetto, rivelando la loro esistenza nel processo.

Il Marketplace per le -PAPÀ l'opzione utilizza la stessa porta predefinita della sonda SYN (80) e può anche prendere un
elenco delle porte di destinazione nello stesso formato. Se un utente non privilegiato prova questo, il
connect viene utilizzata la soluzione alternativa discussa in precedenza. Questa soluzione è imperfetta perché
connect sta effettivamente inviando un pacchetto SYN anziché un ACK.

Il motivo per offrire sonde ping sia SYN che ACK è massimizzare le possibilità di
aggirando i firewall. Molti amministratori configurano router e altri semplici firewall
per bloccare i pacchetti SYN in entrata ad eccezione di quelli destinati a servizi pubblici come il
sito web aziendale o server di posta. Ciò impedisce altre connessioni in entrata al
organizzazione, consentendo agli utenti di effettuare connessioni in uscita senza ostacoli al
Internet. Questo approccio non stateful occupa poche risorse sul firewall/router e
è ampiamente supportato da filtri hardware e software. Netfilter/iptables di Linux.
il software firewall offre il --sin opzione conveniente per implementare questo stateless
approccio. Quando sono in vigore regole firewall senza stato come questa, SYN ping probe
(-PS) rischiano di essere bloccati quando vengono inviati a porte di destinazione chiuse. In tali casi, il
La sonda ACK brilla mentre taglia proprio attraverso queste regole.

Un altro tipo comune di firewall utilizza regole stateful che eliminano i pacchetti imprevisti. Questo
funzionalità è stata inizialmente trovata principalmente su firewall di fascia alta, anche se è diventata molto
più comune negli anni. Il sistema Linux Netfilter/iptables supporta questo tramite
, il --stato opzione, che classifica i pacchetti in base allo stato della connessione. Una sonda SYN
è più probabile che funzioni contro un tale sistema, poiché generalmente i pacchetti ACK imprevisti sono
riconosciuto come falso e abbandonato. Una soluzione a questo dilemma è inviare sia SYN che
ACK sonde specificando -PS e -PAPÀ.

-PU porto stratagemma (UDP Ping).
Un'altra opzione di rilevamento dell'host è il ping UDP, che invia un pacchetto UDP al dato
porti. Per la maggior parte delle porte, il pacchetto sarà vuoto, sebbene alcune utilizzino un protocollo specifico
carico utile che ha maggiori probabilità di suscitare una risposta. Viene descritto il database del carico utile
at https://nmap.org/book/nmap-payloads.html.. --dati, --stringa-datie
--lunghezza dati opzioni.

L'elenco delle porte ha lo stesso formato di quello discusso in precedenza -PS e -PAPÀ
opzioni. Se non vengono specificate porte, il valore predefinito è 40125. Questo valore predefinito può essere
configurato in fase di compilazione modificando DEFAULT_UDP_PROBE_PORT_SPEC. in nmap.h.. A
la porta molto rara viene utilizzata per impostazione predefinita perché l'invio a porte aperte è spesso
indesiderabile per questo particolare tipo di scansione.

Dopo aver colpito una porta chiusa sulla macchina di destinazione, la sonda UDP dovrebbe suscitare un ICMP
porta pacchetto irraggiungibile in cambio. Questo significa per Nmap che la macchina è attiva e
a disposizione. Molti altri tipi di errori ICMP, come host/network irraggiungibili o TTL
superati sono indicativi di un host inattivo o irraggiungibile. Una mancanza di risposta è anche
interpretato in questo modo. Se viene raggiunta una porta aperta, la maggior parte dei servizi ignora semplicemente il
pacchetto vuoto e non restituisce alcuna risposta. Questo è il motivo per cui la porta della sonda predefinita è
40125, che è altamente improbabile che sia in uso. Alcuni servizi, come il Personaggio
Il protocollo del generatore (carica), risponderà a un pacchetto UDP vuoto e quindi divulgherà
a Nmap che la macchina è disponibile.

Il vantaggio principale di questo tipo di scansione è che ignora i firewall e i filtri che
solo schermo TCP. Ad esempio, una volta possedevo una banda larga wireless Linksys BEFW11S4
router. L'interfaccia esterna di questo dispositivo ha filtrato tutte le porte TCP per impostazione predefinita, ma
Le sonde UDP continuerebbero a suscitare messaggi di porta irraggiungibili e quindi a dare via il dispositivo.

-PY porto stratagemma (ping SCTP INIT) .
Questa opzione invia un pacchetto SCTP contenente un blocco INIT minimo. Il predefinito
la porta di destinazione è 80 (configurabile in fase di compilazione modificando
DEFAULT_SCTP_PROBE_PORT_SPEC. in nmap.h). Le porte alternative possono essere specificate come a
parametro. La sintassi è la stessa di -p tranne che gli specificatori del tipo di porta come
S: non sono ammessi. Esempi sono -PY22 e -PY22,80,179,5060. Nota che ci può essere
nessuno spazio tra -PY e l'elenco dei porti. Se vengono specificate più sonde, saranno
inviato in parallelo.

Il blocco INIT suggerisce al sistema remoto che si sta tentando di stabilire un
associazione. Normalmente la porta di destinazione sarà chiusa e un blocco ABORT sarà
Rimandato indietro. Se la porta è aperta, il bersaglio farà il secondo passo di un
Stretta di mano a quattro vie SCTP. rispondendo con un pezzo INIT-ACK. Se la macchina è in funzione
Nmap ha uno stack SCTP funzionale, quindi abbatte l'associazione nascente di
rispondendo con un pezzo ABORT invece di inviare un pezzo COOKIE-ECHO che sarebbe
il passo successivo nella stretta di mano a quattro vie. Il pacchetto ABORT viene inviato dal kernel del
macchina che esegue Nmap in risposta all'inaspettato INIT-ACK, non da Nmap stesso.

A Nmap non importa se la porta è aperta o chiusa. O ABORT o INIT-ACK
la risposta discussa in precedenza dice a Nmap che l'host è disponibile e reattivo.

Sulle macchine Unix, solo l'utente root con privilegi. è generalmente in grado di inviare e ricevere
pacchetti SCTP non elaborati. L'utilizzo di SCTP INIT Pings non è attualmente possibile per i non privilegiati
utenti..

-PIEDE; - PP; -PM (Tipi di ping ICMP) .
Oltre agli insoliti tipi di rilevamento host TCP, UDP e SCTP discussi
in precedenza, Nmap può inviare i pacchetti standard inviati dall'onnipresente programma ping.
Nmap invia un pacchetto ICMP di tipo 8 (echo request) agli indirizzi IP di destinazione, aspettandosi
un tipo 0 (risposta echo) in cambio degli host disponibili.. Sfortunatamente per la rete
esploratori, molti host e firewall ora bloccano questi pacchetti, invece di rispondere come
richiesto dalla RFC 1122[2].. Per questo motivo, le scansioni solo ICMP sono raramente abbastanza affidabili
contro bersagli sconosciuti su Internet. Ma per gli amministratori di sistema che monitorano e
rete interna, possono essere un approccio pratico ed efficiente. Utilizzare il -PIEDE opzione
per abilitare questo comportamento di richiesta di eco.

Sebbene la richiesta echo sia la query ping standard di ICMP, Nmap non si ferma qui. L'ICMP
standard (RFC 792[3]. e RFC 950[4]. ) specificare anche richiesta di marca temporale, informazioni
request e address mask request come codici 13, 15 e 17, rispettivamente. Mentre
lo scopo apparente di queste query è quello di apprendere informazioni come le maschere degli indirizzi
e gli orari attuali, possono essere facilmente utilizzati per l'individuazione dell'host. Un sistema che risponde
è attivo e disponibile. Nmap attualmente non implementa pacchetti di richiesta di informazioni, come
non sono ampiamente supportati. RFC 1122 insiste sul fatto che "un host NON DOVREBBE implementare
questi messaggi”. Le richieste di timestamp e maschera di indirizzo possono essere inviate con il - PP e -PM
opzioni, rispettivamente. Una risposta con timestamp (codice ICMP 14) o una risposta con maschera di indirizzo (codice
18) comunica che l'host è disponibile. Queste due query possono essere preziose quando
gli amministratori bloccano specificamente i pacchetti di richiesta echo dimenticando gli altri
Le query ICMP possono essere utilizzate per lo stesso scopo.

-PO protocollo stratagemma (Ping protocollo IP) .
Una delle nuove opzioni di individuazione dell'host è il ping del protocollo IP, che invia l'IP
pacchetti con il numero di protocollo specificato impostato nella loro intestazione IP. La lista del protocollo
prende lo stesso formato degli elenchi di porte nei precedenti TCP, UDP e SCTP
opzioni di rilevamento dell'host. Se non viene specificato alcun protocollo, l'impostazione predefinita è inviare più
Pacchetti IP per ICMP (protocollo 1), IGMP (protocollo 2) e IP-in-IP (protocollo 4). Il
i protocolli predefiniti possono essere configurati in fase di compilazione modificando
DEFAULT_PROTO_PROBE_PORT_SPEC. in nmap.h. Notare che per ICMP, IGMP, TCP (protocollo
6), UDP (protocollo 17) e SCTP (protocollo 132), i pacchetti vengono inviati con il corretto
intestazioni di protocollo. mentre altri protocolli vengono inviati senza dati aggiuntivi oltre a
Intestazione IP (a meno che nessuno di --dati, --stringa-dati, o --lunghezza dati le opzioni sono
specificato).

Questo metodo di rilevamento dell'host cerca entrambe le risposte utilizzando lo stesso protocollo di a
sonda o protocollo ICMP messaggi irraggiungibili che indicano che il protocollo dato
non è supportato sull'host di destinazione. Entrambi i tipi di risposta indicano che il
l'host di destinazione è vivo.

- PR (Ping ARP).
Uno degli scenari di utilizzo più comuni di Nmap è la scansione di una LAN ethernet. Sulla maggior parte delle LAN,
in particolare quelli che utilizzano intervalli di indirizzi privati ​​specificati da RFC 1918[5], il vasto
la maggior parte degli indirizzi IP non viene utilizzata in un dato momento. Quando Nmap prova a inviare un raw
pacchetto IP come una richiesta echo ICMP, il sistema operativo deve determinare il
indirizzo hardware di destinazione (ARP) corrispondente all'IP di destinazione in modo che possa
indirizzare correttamente il frame ethernet. Questo è spesso lento e problematico, dal momento che
i sistemi operativi non sono stati scritti con l'aspettativa che avrebbero dovuto fare
milioni di richieste ARP contro host non disponibili in un breve periodo di tempo.

La scansione ARP affida a Nmap e ai suoi algoritmi ottimizzati la responsabilità delle richieste ARP. E se è
ottiene una risposta, Nmap non ha nemmeno bisogno di preoccuparsi dei pacchetti di ping basati su IP
poiché sa già che l'host è attivo. Ciò rende la scansione ARP molto più veloce e di più
affidabile rispetto alle scansioni basate su IP. Quindi è fatto per impostazione predefinita durante la scansione degli host ethernet
che Nmap rileva sono su una rete ethernet locale. Anche se diversi tipi di ping (come
as -PIEDE or -PS) sono specificati, Nmap utilizza invece ARP per qualsiasi obiettivo che sia
sulla stessa LAN. Se non vuoi assolutamente fare una scansione ARP, specifica
--disable-arp-ping.

Per IPv6 (opzione -6), - PR utilizza ICMPv6 Neighbor Discovery invece di ARP. Vicino
Discovery, definita nella RFC 4861, può essere vista come l'equivalente IPv6 di ARP.

--disable-arp-ping (Nessun ARP o ND Ping) .
Nmap normalmente esegue il rilevamento ARP o IPv6 Neighbor Discovery (ND) di connessioni locali
host ethernet, anche se altre opzioni di individuazione degli host come -Pn or -PIEDE sono utilizzati. a
disabilita questo comportamento implicito, usa il --disable-arp-ping opzione.

Il comportamento predefinito è normalmente più veloce, ma questa opzione è utile sulle reti che utilizzano
proxy ARP, in cui un router risponde speculativamente a tutte le richieste ARP, effettuando ogni
il target sembra essere in alto secondo la scansione ARP.

--traceroute (Traccia percorso all'host) .
I traceroute vengono eseguiti dopo la scansione utilizzando le informazioni dai risultati della scansione per
determinare la porta e il protocollo con maggiori probabilità di raggiungere l'obiettivo. Funziona con tutti
tipi di scansione eccetto le scansioni di connessione (-st) e scansioni inattive (-si). Tutte le tracce usano Nmap's
modello di temporizzazione dinamico e vengono eseguiti in parallelo.

Traceroute funziona inviando pacchetti con un TTL (time-to-live) basso nel tentativo di
suscitare messaggi ICMP Time Exceeded da hop intermedi tra lo scanner e il
ospite di destinazione. Le implementazioni di traceroute standard iniziano con un TTL di 1 e incrementano
il TTL fino al raggiungimento dell'host di destinazione. Il traceroute di Nmap inizia con un alto
TTL e quindi decrementa il TTL fino a raggiungere lo zero. Facendolo all'indietro lascia che Nmap
impiegare algoritmi di memorizzazione nella cache intelligenti per accelerare le tracce su più host. In media
Nmap invia 5-10 pacchetti in meno per host, a seconda delle condizioni della rete. Se un singolo
è in corso la scansione della sottorete (es. 192.168.0.0/24) Nmap potrebbe dover inviare solo due pacchetti
alla maggior parte degli host.

-n (Nessuna risoluzione DNS) .
Dice a Nmap di mai eseguire la risoluzione DNS inversa sugli indirizzi IP attivi che trova.
Poiché il DNS può essere lento anche con il risolutore stub parallelo integrato di Nmap, questa opzione
può ridurre i tempi di scansione.

-R (Risoluzione DNS per tutti i target) .
Dice a Nmap di sempre eseguire la risoluzione DNS inversa sugli indirizzi IP di destinazione. Normalmente
il DNS inverso viene eseguito solo su host reattivi (online).

--sistema-dns (Utilizzare il risolutore DNS di sistema) .
Per impostazione predefinita, Nmap risolve gli indirizzi IP inviando query direttamente ai server dei nomi
configurato sul tuo host e quindi in attesa di risposte. Molte richieste (spesso decine)
vengono eseguiti in parallelo per migliorare le prestazioni. Specifica questa opzione per utilizzare il tuo
risolutore di sistema invece (un IP alla volta tramite il getnameinfo chiamata). Questo è più lento
e raramente utile a meno che non trovi un bug nel risolutore parallelo di Nmap (per favore lasciaci
sapere se lo fai). Il risolutore di sistema viene sempre utilizzato per le scansioni IPv6.

--dns-server server1[,server2[,...]] (Server da utilizzare per le query DNS inverse) .
Per impostazione predefinita, Nmap determina i tuoi server DNS (per la risoluzione rDNS) dal tuo
resolv.conf (Unix) o il Registro di sistema (Win32). In alternativa, puoi usare questo
opzione per specificare server alternativi. Questa opzione non è rispettata se stai usando
--sistema-dns o una scansione IPv6. L'utilizzo di più server DNS è spesso più veloce, soprattutto
se scegli server autorevoli per il tuo spazio IP di destinazione. Questa opzione può anche
migliora l'invisibilità, poiché le tue richieste possono essere respinte praticamente da qualsiasi DNS ricorsivo
server su Internet.

Questa opzione è utile anche durante la scansione di reti private. A volte solo pochi
i server dei nomi forniscono informazioni rDNS corrette e potresti non sapere nemmeno dove si trovano
sono. È possibile eseguire la scansione della rete per la porta 53 (magari con il rilevamento della versione), quindi provare
Scansioni dell'elenco Nmap (-SH) specificando ogni name server uno alla volta con --dns-server
finché non ne trovi uno che funziona.

PORT SCANSIONE BASE

Sebbene Nmap sia cresciuto in funzionalità nel corso degli anni, è iniziato come un porto efficiente
scanner, e questa rimane la sua funzione principale. Il semplice comando Nmap bersaglio scansiona 1,000
Porte TCP sull'host bersaglio. Mentre molti port scanner hanno tradizionalmente raggruppato tutte le porte
negli stati aperti o chiusi, Nmap è molto più granulare. Divide le porte in sei
stati: aperto, chiuso, filtrato, non filtrato, aperto|filtrato o chiuso|filtrato.

Questi stati non sono proprietà intrinseche della porta stessa, ma descrivono come vede Nmap
loro. Ad esempio, una scansione Nmap dalla stessa rete del target potrebbe mostrare la porta 135/tcp
come aperto, mentre una scansione allo stesso tempo con le stesse opzioni da Internet
potrebbe mostrare quella porta come filtrata.

Il Marketplace per le sei porto stati riconosciuto by Nmap

Un'applicazione accetta attivamente connessioni TCP, datagrammi UDP o SCTP
associazioni su questo porto. Trovarli è spesso l'obiettivo principale della scansione delle porte.
Le persone attente alla sicurezza sanno che ogni porta aperta è una via per l'attacco. Attaccanti e
i pen-tester vogliono sfruttare le porte aperte, mentre gli amministratori cercano di chiudere o
proteggili con firewall senza ostacolare gli utenti legittimi. Anche le porte aperte sono
interessante per le scansioni non di sicurezza perché mostrano i servizi disponibili per l'uso sul
rete.

Una porta chiusa è accessibile (riceve e risponde ai pacchetti sonda Nmap), ma
non ci sono applicazioni in ascolto su di esso. Possono essere utili per dimostrare che un host è
su un indirizzo IP (rilevamento host o scansione ping) e come parte del rilevamento del sistema operativo.
Poiché le porte chiuse sono raggiungibili, potrebbe valere la pena eseguire la scansione in seguito nel caso in cui alcune siano aperte
su. Gli amministratori possono prendere in considerazione la possibilità di bloccare tali porte con un firewall. Allora loro
apparirebbe nello stato filtrato, discusso di seguito.

Nmap non può determinare se la porta è aperta perché il filtraggio dei pacchetti lo impedisce
sonde dal raggiungere il porto. Il filtraggio potrebbe provenire da un firewall dedicato
dispositivo, regole del router o software firewall basato su host. Queste porte frustrano gli aggressori
perché forniscono così poche informazioni. A volte rispondono con un errore ICMP
messaggi tipo 3 codice 13 (destinazione irraggiungibile: comunicazione
proibito amministrativamente), ma filtri che semplicemente rilasciano sonde senza rispondere
sono molto più comuni. Questo costringe Nmap a riprovare più volte nel caso in cui il probe
è stato eliminato a causa della congestione della rete piuttosto che del filtro. Questo rallenta la scansione
drammaticamente.

Lo stato non filtrato significa che una porta è accessibile, ma Nmap non è in grado di determinarlo
se è aperto o chiuso. Solo la scansione ACK, che viene utilizzata per mappare il firewall
regole, classifica le porte in questo stato. Scansione delle porte non filtrate con altre scansioni
tipi come Windows scan, SYN scan o FIN scan, possono aiutare a risolvere se la porta è
aperto.

Nmap posiziona le porte in questo stato quando non è in grado di determinare se una porta è aperta
o filtrato. Ciò si verifica per i tipi di scansione in cui le porte aperte non danno risposta. La mancanza
di risposta potrebbe anche significare che un filtro di pacchetti ha lasciato cadere la sonda o qualsiasi risposta esso
suscitato. Quindi Nmap non sa con certezza se la porta è aperta o se viene filtrata.
Le scansioni UDP, protocollo IP, FIN, NULL e Xmas classificano le porte in questo modo.

Questo stato viene utilizzato quando Nmap non è in grado di determinare se una porta è chiusa o
filtrato. Viene utilizzato solo per la scansione inattiva dell'ID IP.

PORT SCANSIONE TECNICHE

Come principiante che esegue riparazioni automobilistiche, posso lottare per ore cercando di adattare il mio
strumenti rudimentali (martello, nastro adesivo, chiave inglese, ecc.) per il compito da svolgere. Quando fallisco
miseramente e traino il mio jalopy da un vero meccanico, invariabilmente pesca in giro con un enorme strumento
petto fino a tirare fuori l'aggeggio perfetto che fa sembrare il lavoro senza sforzo. L'arte di
la scansione delle porte è simile. Gli esperti comprendono le dozzine di tecniche di scansione e scelgono il
appropriato (o combinazione) per un dato compito. Utenti inesperti e script
bambini,. d'altra parte, prova a risolvere ogni problema con la scansione SYN predefinita. Da quando
Nmap è gratuito, l'unica barriera alla padronanza della scansione delle porte è la conoscenza. Questo sicuramente batte
il mondo automobilistico, dove potrebbe essere necessaria una grande abilità per determinare che hai bisogno di un puntone
compressore a molla, quindi devi ancora pagare migliaia di dollari per questo.

La maggior parte dei tipi di scansione sono disponibili solo per gli utenti privilegiati. Questo perché inviano
e ricevere pacchetti grezzi,. che richiede l'accesso root sui sistemi Unix. Usando un
l'account amministratore su Windows è consigliato, anche se a volte Nmap funziona
utenti non privilegiati su quella piattaforma quando WinPcap è già stato caricato nel sistema operativo.
Richiedere i privilegi di root era una seria limitazione quando Nmap è stato rilasciato nel 1997, come molti
gli utenti avevano accesso solo agli account shell condivisi. Ora, il mondo è diverso. I computer sono
più economico, molte più persone hanno accesso diretto a Internet sempre attivo e sistemi Unix desktop
(inclusi Linux e Mac OS X) sono prevalenti. È ora disponibile una versione Windows di Nmap,
permettendogli di funzionare su ancora più desktop. Per tutti questi motivi, gli utenti hanno meno bisogno di
eseguire Nmap da account di shell condivisi limitati. Questa è una fortuna, poiché le opzioni privilegiate
rendono Nmap molto più potente e flessibile.

Mentre Nmap tenta di produrre risultati accurati, tieni presente che tutte le sue intuizioni sono
in base ai pacchetti restituiti dalle macchine di destinazione (o dai firewall di fronte ad esse). Tale
gli host possono essere inaffidabili e inviare risposte volte a confondere o fuorviare Nmap. Tanto
più comuni sono gli host non conformi a RFC che non rispondono come dovrebbero alle sonde Nmap.
Le scansioni FIN, NULL e Xmas sono particolarmente soggette a questo problema. Tali problemi sono
specifici per determinati tipi di scansione e quindi sono discussi nelle singole voci del tipo di scansione.

Questa sezione documenta la dozzina di tecniche di port scan supportate da Nmap. Solo uno
può essere utilizzato alla volta, eccetto che la scansione UDP (-SU) e una qualsiasi delle scansioni SCTP
tipi (-sY, -sZ) può essere combinato con uno qualsiasi dei tipi di scansione TCP. Come aiuto per la memoria, port
le opzioni del tipo di scansione sono della forma -sC, Dove C è un carattere prominente nel nome della scansione,
di solito il primo. L'unica eccezione è la scansione di rimbalzo FTP deprecata (-b). Di
impostazione predefinita, Nmap esegue una scansione SYN, sebbene sostituisca una scansione di connessione se l'utente lo fa
non dispone dei privilegi appropriati per inviare pacchetti non elaborati (richiede l'accesso root su Unix). del
scansioni elencate in questa sezione, gli utenti non privilegiati possono eseguire solo la connessione e il rimbalzo FTP
scansioni.

-ss (scansione TCP SYN) .
SYN scan è l'opzione di scansione predefinita e più popolare per buoni motivi. Può essere
eseguito rapidamente, scansionando migliaia di porte al secondo su una rete veloce no
ostacolato da firewall restrittivi. È anche relativamente discreto e furtivo
poiché non completa mai le connessioni TCP. La scansione SYN funziona con qualsiasi TCP conforme
stack piuttosto che dipendere da idiosincrasie di piattaforme specifiche come Nmap's
FIN/NULL/Xmas, Maimon e le scansioni inattive lo fanno. Consente inoltre di essere chiaro, affidabile
differenziazione tra gli stati aperto, chiuso e filtrato.

Questa tecnica viene spesso definita scansione semiaperta, perché non si apre un
connessione TCP completa. Invii un pacchetto SYN, come se stessi per aprire un vero
connessione e quindi attendere una risposta. Un SYN/ACK indica che la porta è in ascolto
(aperto), mentre un RST (reset) è indicativo di un non ascoltatore. Se nessuna risposta è
ricevuta dopo diverse ritrasmissioni, la porta viene contrassegnata come filtrata. Il porto è
contrassegnato anche come filtrato se un errore ICMP irraggiungibile (tipo 3, codice 0, 1, 2, 3, 9, 10 o
13) viene ricevuto. La porta è considerata aperta anche se un pacchetto SYN (senza ACK
flag) viene ricevuto in risposta. Ciò può essere dovuto a una funzionalità TCP estremamente rara nota
come una connessione handshake aperta o divisa simultanea (vedi
https://nmap.org/misc/split-handshake.pdf).

-st (Scansione connessione TCP) .
La scansione della connessione TCP è il tipo di scansione TCP predefinito quando la scansione SYN non è un'opzione. Questo è
il caso in cui un utente non dispone dei privilegi per i pacchetti non elaborati. Invece di scrivere crudo
pacchetti come la maggior parte degli altri tipi di scansione, Nmap chiede al sistema operativo sottostante di
stabilire una connessione con la macchina e la porta di destinazione emettendo il connect sistema
chiamata. Questa è la stessa chiamata di sistema di alto livello utilizzata dai browser Web, dai client P2P e dalla maggior parte
altre applicazioni abilitate alla rete utilizzano per stabilire una connessione. Fa parte di a
interfaccia di programmazione nota come Berkeley Sockets API. Piuttosto che leggere il pacchetto grezzo
risposte via cavo, Nmap usa questa API per ottenere informazioni di stato su ciascuna
tentativo di connessione.

Quando la scansione SYN è disponibile, di solito è una scelta migliore. Nmap ha meno controllo su
l'alto livello connect chiamata rispetto ai pacchetti non elaborati, il che lo rende meno efficiente. Il
la chiamata di sistema completa le connessioni per aprire le porte di destinazione invece di eseguire il
ripristino semiaperto eseguito da SYN scan. Non solo questo richiede più tempo e richiede di più
pacchetti per ottenere le stesse informazioni, ma è più probabile che le macchine di destinazione registrino il
connessione. Anche un IDS decente prenderà, ma la maggior parte delle macchine non ha questo allarme
sistema. Molti servizi sul tuo sistema Unix medio aggiungeranno una nota a syslog e
a volte un messaggio di errore criptico, quando Nmap si connette e poi chiude la connessione
senza inviare dati. I servizi veramente patetici si bloccano quando ciò accade, anche se è così
raro. Un amministratore che vede un mucchio di tentativi di connessione nei suoi log da a
il singolo sistema dovrebbe sapere che è stata scansionata.

-SU (scansioni UDP).
Mentre i servizi più diffusi su Internet funzionano tramite il protocollo TCP, UDP[6] servizi
sono ampiamente diffusi. DNS, SNMP e DHCP (porte registrate 53, 161/162 e 67/68) sono
tre dei più comuni. Perché la scansione UDP è generalmente più lenta e più difficile
rispetto a TCP, alcuni revisori della sicurezza ignorano queste porte. Questo è un errore, in quanto sfruttabile
I servizi UDP sono abbastanza comuni e gli aggressori di certo non ignorano l'intero protocollo.
Fortunatamente, Nmap può aiutare a inventariare le porte UDP.

La scansione UDP si attiva con il -SU opzione. Può essere combinato con un tipo di scansione TCP
come SYN scan (-ss) per controllare entrambi i protocolli durante la stessa corsa.

La scansione UDP funziona inviando un pacchetto UDP a ogni porta di destinazione. Per alcune porte comuni
come 53 e 161, viene inviato un payload specifico del protocollo per aumentare il tasso di risposta, ma
per la maggior parte delle porte il pacchetto è vuoto a meno che non sia --dati, --stringa-dati, o --lunghezza dati
le opzioni sono specificate. Se viene restituito un errore di porta ICMP irraggiungibile (tipo 3, codice 3),
il porto è chiuso. Altri errori ICMP non raggiungibili (tipo 3, codici 0, 1, 2, 9, 10 o
13) contrassegnare la porta come filtrata. Occasionalmente, un servizio risponderà con un pacchetto UDP,
dimostrando che è aperto. Se non si riceve risposta dopo le ritrasmissioni, la porta è
classificato come aperto|filtrato. Ciò significa che la porta potrebbe essere aperta, o forse un pacchetto
i filtri stanno bloccando la comunicazione. Rilevamento versione (-S) può essere usato per aiutare
differenziare le porte veramente aperte da quelle filtrate.

Una grande sfida con la scansione UDP è farlo rapidamente. Porte aperte e filtrate raramente
inviare qualsiasi risposta, lasciando in timeout Nmap e quindi eseguire le ritrasmissioni appena dentro
caso la sonda o la risposta sono state perse. I porti chiusi sono spesso un problema ancora più grande.
Di solito restituiscono un errore irraggiungibile della porta ICMP. Ma a differenza dei pacchetti RST inviati
da porte TCP chiuse in risposta a una scansione SYN o connessione, limite di velocità di molti host. ICMP
porta messaggi non raggiungibili per impostazione predefinita. Linux e Solaris sono particolarmente severi su
questo. Ad esempio, il kernel Linux 2.4.20 limita i messaggi di destinazione irraggiungibile a
uno al secondo (in net/ipv4/icmp.c).

Nmap rileva la limitazione della velocità e rallenta di conseguenza per evitare di allagare la rete
con pacchetti inutili che la macchina di destinazione lascerà cadere. Sfortunatamente, uno stile Linux
il limite di un pacchetto al secondo fa sì che una scansione di 65,536 porte richieda più di 18 ore. Idee
per velocizzare le tue scansioni UDP includi la scansione di più host in parallelo, facendo un veloce
scansiona prima solo le porte più comuni, scansionando da dietro il firewall e usando
--host-timeout per saltare gli host lenti.

-sY (scansione SCTP INIT) .
SCTP[7] è un'alternativa relativamente nuova ai protocolli TCP e UDP, che combina la maggior parte
caratteristiche di TCP e UDP e anche l'aggiunta di nuove funzionalità come multi-homing e
multistreaming. Viene utilizzato principalmente per i servizi relativi a SS7/SIGTRAN ma ha il
possibilità di utilizzo anche per altre applicazioni. La scansione SCTP INIT è SCTP
equivalente di una scansione TCP SYN. Può essere eseguito rapidamente, scansionando migliaia di porte
al secondo su una rete veloce non ostacolata da firewall restrittivi. Come la scansione SYN,
La scansione INIT è relativamente discreta e furtiva, poiché non completa mai SCTP
associazioni. Consente inoltre una differenziazione chiara e affidabile tra aperto, chiuso,
e stati filtrati.

Questa tecnica viene spesso definita scansione semiaperta, perché non si apre un
completa associazione SCTP. Invii un blocco INIT, come se stessi per aprire un vero e proprio
associazione e quindi attendere una risposta. Un blocco INIT-ACK indica che la porta è
ascolto (aperto), mentre un pezzo ABORT è indicativo di un non ascoltatore. Se nessuna risposta
viene ricevuto dopo diverse ritrasmissioni, la porta viene contrassegnata come filtrata. Il porto è
contrassegnato anche come filtrato se un errore ICMP irraggiungibile (tipo 3, codice 0, 1, 2, 3, 9, 10 o
13) viene ricevuto.

-sN; -sF; -sX (TCP NULL, FIN e scansioni di Natale) .
Questi tre tipi di scansione (ancora di più sono possibili con il --scanflag opzione descritta
nella prossima sezione) sfruttano una sottile scappatoia nel TCP RFC[8] differenziare
tra porte aperte e chiuse. La pagina 65 di RFC 793 afferma che "se la porta [di destinazione]
lo stato è CHIUSO .... un segmento in entrata che non contiene un RST provoca l'invio di un RST
in risposta." Quindi la pagina successiva discute i pacchetti inviati alle porte aperte senza il
bit SYN, RST o ACK impostati, affermando che: "è improbabile che tu arrivi qui, ma se lo fai,
lascia cadere il segmento e torna indietro.”

Durante la scansione di sistemi compatibili con questo testo RFC, qualsiasi pacchetto non contenente SYN,
I bit RST o ACK restituiranno un RST se la porta è chiusa e nessuna risposta
se la porta è aperta. Finché nessuno di questi tre bit è incluso, qualsiasi
la combinazione degli altri tre (FIN, PSH e URG) va bene. Nmap sfrutta questo con
tre tipi di scansione:

Scansione nulla (-sN)
Non imposta alcun bit (l'intestazione del flag TCP è 0)

Scansione FIN (-sF)
Imposta solo il bit FIN TCP.

Scansione di Natale (-sX)
Imposta i flag FIN, PSH e URG, illuminando il pacchetto come un albero di Natale.

Questi tre tipi di scansione sono esattamente gli stessi nel comportamento tranne che per i flag TCP impostati
in pacchetti sonda. Se viene ricevuto un pacchetto RST, la porta viene considerata chiusa, mentre no
risposta significa che è aperto|filtrato. La porta è contrassegnata come filtrata se un ICMP non è raggiungibile
errore (tipo 3, codice 0, 1, 2, 3, 9, 10 o 13).

Il vantaggio principale di questi tipi di scansione è che possono intrufolarsi in alcuni
firewall non stateful e router per il filtraggio dei pacchetti. Un altro vantaggio è che questi
i tipi di scansione sono un po' più furtivi anche di una scansione SYN. Non contare su questo
tuttavia, la maggior parte dei prodotti IDS moderni può essere configurata per rilevarli. Il grande svantaggio è
che non tutti i sistemi seguono alla lettera la RFC 793. Un certo numero di sistemi invia RST
risposte alle sonde indipendentemente dal fatto che la porta sia aperta o meno. Questo causa tutto
delle porte da etichettare come chiuse. I principali sistemi operativi che lo fanno sono Microsoft
Windows, molti dispositivi Cisco, BSDI e IBM OS/400. Questa scansione funziona contro la maggior parte
Sistemi basati su Unix però. Un altro aspetto negativo di queste scansioni è che non possono
distinguere le porte aperte da alcune filtrate, lasciando a te la risposta
aperto|filtrato.

-sa (scansione TCP ACK) .
Questa scansione è diversa dalle altre discusse finora in quanto non determina mai
porte aperte (o anche aperte|filtrate). Viene utilizzato per mappare i set di regole del firewall,
determinare se sono stateful o meno e quali porte vengono filtrate.

Il pacchetto della sonda di scansione ACK ha solo il flag ACK impostato (a meno che tu non usi --scanflag). quando
la scansione di sistemi non filtrati, porte aperte e chiuse restituiranno entrambi un pacchetto RST. Nmap
quindi li etichetta come non filtrati, nel senso che sono raggiungibili dal pacchetto ACK, ma
se sono aperti o chiusi è indeterminato. Porte che non rispondono o inviano
alcuni messaggi di errore ICMP indietro (tipo 3, codice 0, 1, 2, 3, 9, 10 o 13), sono etichettati
filtrato.

-sw (Scansione finestra TCP) .
La scansione della finestra è esattamente la stessa della scansione ACK tranne per il fatto che sfrutta un'implementazione
dettaglio di alcuni sistemi per differenziare le porte aperte da quelle chiuse, piuttosto che
stampa sempre non filtrata quando viene restituito un RST. Lo fa esaminando il TCP
Campo della finestra dei pacchetti RST restituiti. Su alcuni sistemi, le porte aperte utilizzano un positivo
dimensione della finestra (anche per i pacchetti RST) mentre quelli chiusi hanno una finestra zero. Quindi invece di
elenca sempre una porta come non filtrata quando riceve un RST indietro, la scansione di Windows elenca il
porta come aperta o chiusa se il valore della finestra TCP in quel ripristino è positivo o zero,
rispettivamente.

Questa scansione si basa su un dettaglio di implementazione di una minoranza di sistemi sul
Internet, quindi non puoi sempre fidarti. I sistemi che non lo supportano di solito lo faranno
restituire tutte le porte chiuse. Certo, è possibile che la macchina non abbia davvero aperto
porti. Se la maggior parte delle porte scansionate è chiusa ma alcuni numeri di porta comuni (come 22, 25,
53) vengono filtrati, il sistema è molto probabilmente suscettibile. Occasionalmente, i sistemi lo faranno
mostrano anche l'esatto comportamento opposto. Se la scansione mostra 1,000 porte aperte e tre
porte chiuse o filtrate, allora quelle tre potrebbero benissimo essere quelle veramente aperte.

-sm (scansione TCP Maimon) .
La scansione Maimon prende il nome dal suo scopritore, Uriel Maimon. Ha descritto il
tecnica nel Phrack Magazine numero 49 (novembre 1996).. Nmap, che includeva questo
tecnica, è stato rilasciato due numeri dopo. Questa tecnica è esattamente la stessa di NULL,
FIN e Xmas scansioni, tranne che la sonda è FIN/ACK. Secondo RFC 793[8] (TCP),
un pacchetto RST dovrebbe essere generato in risposta a tale sonda se la porta è aperta
o chiuso. Tuttavia, Uriel ha notato che molti sistemi derivati ​​da BSD semplicemente rilasciano il pacchetto
se la porta è aperta.

--scanflag (Scansione TCP personalizzata) .
Gli utenti veramente avanzati di Nmap non devono limitarsi ai tipi di scansione predefiniti offerti.
Il Marketplace per le --scanflag l'opzione ti consente di progettare la tua scansione specificando TCP arbitrario
bandiere.. Lascia fluire la tua creatività, eludendo i sistemi di rilevamento delle intrusioni.
i cui venditori hanno semplicemente sfogliato la pagina man di Nmap aggiungendo regole specifiche!

Il Marketplace per le --scanflag l'argomento può essere un valore di flag numerico come 9 (PSH e FIN), ma
usare nomi simbolici è più facile. Basta unire qualsiasi combinazione di URG, ACK, PSH,
RST, SYN e FIN. Per esempio, --scanflag URGACKPSHRTSYNFIN imposta tutto, però
non è molto utile per la scansione. L'ordine in cui sono specificati è irrilevante.

Oltre a specificare i flag desiderati, è possibile specificare un tipo di scansione TCP (come
-sa or -sF). Quel tipo di base dice a Nmap come interpretare le risposte. Ad esempio, un SYN
la scansione considera la mancata risposta per indicare una porta filtrata, mentre una scansione FIN tratta la
come aperto|filtrato. Nmap si comporterà allo stesso modo del tipo di scansione di base,
tranne per il fatto che utilizzerà invece i flag TCP specificati. Se non specifichi una base
tipo, viene utilizzata la scansione SYN.

-sZ (scansione SCTP COOKIE ECHO) .
La scansione SCTP COOKIE ECHO è una scansione SCTP più avanzata. Approfitta del fatto
che le implementazioni SCTP dovrebbero eliminare silenziosamente i pacchetti contenenti pezzi di COOKIE ECHO
sulle porte aperte, ma invia un ABORT se la porta è chiusa. Il vantaggio di questa scansione
tipo è che non è così ovvio una scansione delle porte di una scansione INIT. Inoltre, potrebbe esserci
set di regole firewall non stateful che bloccano i blocchi INIT, ma non i blocchi COOKIE ECHO. non farlo
essere ingannato nel pensare che questo renderà invisibile una scansione delle porte; un buon IDS sarà
in grado di rilevare anche le scansioni SCTP COOKIE ECHO. Il rovescio della medaglia è che SCTP COOKIE ECHO esegue la scansione
non è possibile distinguere tra porte aperte e filtrate, lasciandoti con lo stato
open|filtrato in entrambi i casi.

-si zombie host[:sonda port] (scansione inattiva) .
Questo metodo di scansione avanzato consente una scansione della porta TCP veramente cieca del bersaglio
(il che significa che nessun pacchetto viene inviato al target dal tuo vero indirizzo IP). Invece, a
L'attacco side-channel unico sfrutta la prevedibile sequenza di ID di frammentazione IP
generazione sull'host zombie per raccogliere informazioni sulle porte aperte sul bersaglio.
I sistemi IDS mostreranno la scansione come proveniente dalla macchina zombie specificata (che
deve essere attivo e soddisfare determinati criteri). Questo affascinante tipo di scansione è troppo complesso per
descrivere completamente in questa guida di riferimento, quindi ho scritto e pubblicato un documento informale con
tutti i dettagli su https://nmap.org/book/idlescan.html.

Oltre ad essere straordinariamente furtivo (a causa della sua natura cieca), questo tipo di scansione
consente di mappare le relazioni di fiducia basate su IP tra le macchine. L'elenco dei porti
mostra le porte aperte da , il prospettiva of , il zombie ospite. Quindi puoi provare a scansionare un
mira usando vari zombi che ritieni possano essere considerati attendibili. (tramite router/pacchetto
regole di filtro).

Puoi aggiungere due punti seguiti da un numero di porta all'host zombi se desideri sondare
una porta particolare sullo zombie per le modifiche all'ID IP. Altrimenti Nmap userà la porta it
utilizza per impostazione predefinita per i ping TCP (80).

-così (scansione del protocollo IP).
La scansione del protocollo IP consente di determinare quali protocolli IP (TCP, ICMP, IGMP, ecc.)
sono supportati dalle macchine di destinazione. Questa non è tecnicamente una scansione delle porte, poiché è ciclica
tramite numeri di protocollo IP anziché numeri di porta TCP o UDP. Eppure usa ancora il
-p opzione per selezionare i numeri di protocollo scansionati, riporta i suoi risultati entro il normale
formato della tabella delle porte e utilizza persino lo stesso motore di scansione sottostante della vera porta
metodi di scansione. Quindi è abbastanza vicino a una scansione delle porte da appartenere a questo posto.

Oltre ad essere utile di per sé, la scansione del protocollo dimostra la potenza di
software open source. Anche se l'idea fondamentale è piuttosto semplice, non ci avevo pensato
di aggiungerlo né ha ricevuto alcuna richiesta per tale funzionalità. Poi nell'estate del
2000, Gerhard Rieger. ha concepito l'idea, ha scritto un'ottima patch per implementarla,
e lo ha inviato alla mailing list di annuncio. (allora chiamato nmap-hacker).. I
ha incorporato quella patch nell'albero di Nmap e ha rilasciato una nuova versione il giorno successivo.
Pochi software commerciali hanno utenti abbastanza entusiasti da progettare e
contribuire con i propri miglioramenti!

La scansione del protocollo funziona in modo simile alla scansione UDP. Invece di scorrere il
campo del numero di porta di un pacchetto UDP, invia le intestazioni del pacchetto IP e scorre il
campo del protocollo IP a otto bit. Le intestazioni sono solitamente vuote, non contengono dati e non
anche l'intestazione corretta per il protocollo rivendicato. Le eccezioni sono TCP, UDP, ICMP,
SCTP e IGMP. Un'intestazione di protocollo adeguata per questi è inclusa poiché alcuni sistemi
non li invierà altrimenti e perché Nmap ha già funzioni per crearli.
Invece di guardare i messaggi irraggiungibili della porta ICMP, la scansione del protocollo è sul
attenzione all'ICMP protocollo messaggi irraggiungibili. Se Nmap riceve una risposta in qualsiasi
protocollo dall'host di destinazione, Nmap contrassegna quel protocollo come aperto. Un protocollo ICMP
errore irraggiungibile (tipo 3, codice 2) fa sì che il protocollo venga contrassegnato come chiuso mentre
porta irraggiungibile (tipo 3, codice 3) contrassegna il protocollo aperto. Altro ICMP irraggiungibile
errori (tipo 3, codice 0, 1, 9, 10 o 13) fanno sì che il protocollo venga contrassegnato come filtrato
(sebbene dimostrino che ICMP è aperto allo stesso tempo). Se non si riceve risposta
dopo le ritrasmissioni, il protocollo viene contrassegnato come aperto|filtrato

-b FTP relé host (scansione di rimbalzo FTP) .
Una caratteristica interessante del protocollo FTP (RFC 959[9]) è il supporto per il cosiddetto proxy
Connessioni FTP. Ciò consente a un utente di connettersi a un server FTP, quindi chiedere a quei file
essere inviato a un server di terze parti. Una tale caratteristica è matura per gli abusi a molti livelli, quindi
la maggior parte dei server ha smesso di supportarlo. Uno degli abusi consentiti da questa funzione è
facendo in modo che il server FTP esegua la scansione delle porte di altri host. Chiedi semplicemente al server FTP di inviare a
file a ciascuna porta interessante di un host di destinazione a turno. Il messaggio di errore sarà
descrivere se la porta è aperta o meno. Questo è un buon modo per aggirare i firewall
perché i server FTP organizzativi sono spesso posizionati dove hanno più accesso a
altri host interni rispetto a qualsiasi vecchio host Internet. Nmap supporta la scansione del rimbalzo FTP
con la -b opzione. Ci vuole un argomento della forma nome utente:password@server:porto.
server è il nome o l'indirizzo IP di un server FTP vulnerabile. Come con un normale URL, tu
può omettere nome utente:password, nel qual caso credenziali di accesso anonime (utente: anonimo
password:-wwwuser@). Il numero della porta (e i due punti precedenti) può essere omesso come
bene, nel qual caso la porta FTP predefinita (21) è attiva server viene utilizzato.

Questa vulnerabilità era molto diffusa nel 1997, quando Nmap è stato rilasciato, ma è stata in gran parte
fisso. I server vulnerabili sono ancora in circolazione, quindi vale la pena provare quando tutto il resto fallisce.
Se il tuo obiettivo è bypassare un firewall, scansiona la rete di destinazione per la porta 21 (o anche per
qualsiasi servizio FTP se si esegue la scansione di tutte le porte con rilevamento della versione) e si utilizza ftp-bounce.
Script NSE. Nmap ti dirà se l'host è vulnerabile o meno. Se sei solo
cercando di coprire le tue tracce, non è necessario (e, in effetti, non dovresti) limitare
te stesso agli host sulla rete di destinazione. Prima di andare a scansionare Internet a caso
indirizzi per server FTP vulnerabili, considera che gli amministratori di sistema potrebbero non apprezzarti
abusando dei loro server in questo modo.

PORT SPECIFICHE E SCAN ORDINE

Oltre a tutti i metodi di scansione discussi in precedenza, Nmap offre opzioni per
specificando quali porte vengono scansionate e se l'ordine di scansione è casuale o sequenziale.
Per impostazione predefinita, Nmap scansiona le 1,000 porte più comuni per ciascun protocollo.

-p porto gamme (Scansiona solo le porte specificate) .
Questa opzione specifica quali porte si desidera scansionare e sovrascrive l'impostazione predefinita.
I singoli numeri di porta sono OK, così come gli intervalli separati da un trattino (es. 1-1023).
I valori di inizio e/o fine di un intervallo possono essere omessi, facendo sì che Nmap utilizzi 1 e
65535, rispettivamente. Quindi puoi specificare -P- per scansionare le porte da 1 a 65535.
Scansione porta zero. è consentito se lo specifichi esplicitamente. Per la scansione del protocollo IP
(-così), questa opzione specifica i numeri di protocollo di cui si desidera eseguire la scansione (0–255).

Quando si esegue la scansione di una combinazione di protocolli (ad es. TCP e UDP), è possibile specificare a
particolare protocollo facendo precedere i numeri di porta da T: per TCP, U: per UDP, S: per
SCTP, o P: per protocollo IP. Il qualificatore dura finché non si specifica un altro qualificatore.
Ad esempio, l'argomento -p U: 53,111,137, T: 21-25,80,139,8080 scansiona le porte UDP 53,
111 e 137, nonché le porte TCP elencate. Nota che per scansionare sia UDP che TCP, tu
devo specificare -SU e almeno un tipo di scansione TCP (come -ss, -sF, o -st). se no
viene fornito il qualificatore di protocollo, i numeri di porta vengono aggiunti a tutti gli elenchi di protocolli. porti
può essere specificato anche per nome in base a quello a cui si fa riferimento il porto nel
nmap-servizi. Puoi anche usare i caratteri jolly * e ? con i nomi. Ad esempio, a
scansiona FTP e tutte le porte i cui nomi iniziano con "http", usa -p ftp, http*. Stai attento
sulle espansioni della shell e cita l'argomento per -p se incerto.

Gli intervalli di porte possono essere racchiusi tra parentesi quadre per indicare le porte al loro interno
intervallo che appare in nmap-services. Ad esempio, quanto segue eseguirà la scansione di tutte le porte in
nmap-services uguale o inferiore a 1024: -p [-1024]. Fai attenzione con le espansioni della shell e
citare l'argomento a -p se incerto.

--exclude-porte porto gamme (Escludi le porte specificate dalla scansione) .
Questa opzione specifica quali porte vuoi che Nmap escluda dalla scansione. Il porto
gamme sono specificati simili a -p. Per la scansione del protocollo IP (-così), questa opzione
specifica i numeri di protocollo che si desidera escludere (0–255).

Quando viene chiesto di escludere le porte, vengono escluse da tutti i tipi di scansioni (ad es
non verranno in nessun caso scansionati). Questo include anche la scoperta
fase.

-F (Scansione veloce (porta limitata)) .
Specifica che si desidera eseguire la scansione di un numero inferiore di porte rispetto a quello predefinito. Normalmente Nmap scansiona il
più comuni 1,000 porte per ogni protocollo scansionato. Con -F, questo è ridotto a 100.

Nmap ha bisogno di un file nmap-services con informazioni sulla frequenza per sapere quale
le porte sono le più comuni. Se le informazioni sulla frequenza della porta non sono disponibili, forse
a causa dell'uso di un file nmap-services personalizzato, Nmap esegue la scansione di tutte le porte denominate plus
porte 1-1024. In quel caso, -F significa scansionare solo le porte che sono nominate nei servizi
file.

-r (Non randomizzare le porte) .
Per impostazione predefinita, Nmap randomizza l'ordine delle porte scansionate (tranne che alcune comunemente
le porte accessibili vengono spostate vicino all'inizio per motivi di efficienza). Questo
la randomizzazione è normalmente desiderabile, ma puoi specificare -r per sequenziale (ordinato
dal più basso al più alto) invece la scansione delle porte.

--port-rapporto rapporto<decimale numero fra 0 e 1>
Esegue la scansione di tutte le porte nel file nmap-services con un rapporto maggiore di quello indicato. rapporto
deve essere compreso tra 0.0 e 1.1.

--top-port n
Scansiona il n porte con il rapporto più alto trovate nel file nmap-services dopo aver escluso tutte le porte
specificato da --exclude-porte. n deve essere 1 o maggiore.

SERVIZIO E VERSIONE RILEVAMENTO

Punta Nmap su una macchina remota e potrebbe dirti che le porte 25/tcp, 80/tcp e 53/udp
sono aperti. Usando i suoi servizi nmap. database di circa 2,200 servizi noti,. Nmap
segnalerebbe che quelle porte probabilmente corrispondono a un server di posta (SMTP), server web
(HTTP) e server dei nomi (DNS) rispettivamente. Questa ricerca è solitamente accurata: il vasto
la maggior parte dei demoni in ascolto sulla porta TCP 25 sono, infatti, server di posta. Tuttavia, tu
non dovresti scommettere la tua sicurezza su questo! Le persone possono e fanno eseguire servizi su porte strane..

Anche se Nmap ha ragione e l'ipotetico server sopra sta eseguendo SMTP, HTTP e DNS
server, non sono molte informazioni. Quando si eseguono valutazioni di vulnerabilità (o anche
semplici inventari di rete) delle tue aziende o clienti, vuoi davvero sapere quale
i server e le versioni di posta e DNS sono in esecuzione. Avere un numero di versione accurato aiuta
drammaticamente nel determinare a quali exploit è vulnerabile un server. Rilevamento versione
ti aiuta a ottenere queste informazioni.

Dopo che le porte TCP e/o UDP sono state scoperte utilizzando uno degli altri metodi di scansione, versione
rilevamento interroga quelle porte per determinare di più su ciò che è effettivamente in esecuzione. Il
nmap-service-sonde. il database contiene sonde per interrogare vari servizi e corrispondere
espressioni per riconoscere e analizzare le risposte. Nmap cerca di determinare il protocollo di servizio
(es. FTP, SSH, Telnet, HTTP), il nome dell'applicazione (es. ISC BIND, Apache httpd, Solaris
telnetd), il numero di versione, il nome host, il tipo di dispositivo (ad es. stampante, router), la famiglia del sistema operativo
(es. Windows, Linux). Quando possibile, Nmap ottiene anche l'enumerazione della piattaforma comune
(CPE). rappresentazione di queste informazioni. A volte dettagli vari come se
un server X è aperto alle connessioni, la versione del protocollo SSH o il nome utente KaZaA sono
a disposizione. Naturalmente, la maggior parte dei servizi non fornisce tutte queste informazioni. Se Nmap fosse
compilato con il supporto OpenSSL, si collegherà ai server SSL per dedurre il servizio
in ascolto dietro quel livello di crittografia. Alcune porte UDP sono lasciate aperte|filtrate
stato dopo una scansione della porta UDP non è in grado di determinare se la porta è aperta o filtrata.
Il rilevamento della versione cercherà di ottenere una risposta da queste porte (proprio come fa con
porte aperte) e modificare lo stato in open se ha esito positivo. le porte TCP aperte|filtrate sono
trattati allo stesso modo. Nota che Nmap -A l'opzione abilita il rilevamento della versione tra l'altro
cose. Un documento che documenta il funzionamento, l'utilizzo e la personalizzazione del rilevamento della versione
è disponibile presso https://nmap.org/book/vscan.html.

Quando vengono scoperti i servizi RPC, il grinder Nmap RPC. viene utilizzato automaticamente per
determinare il programma RPC e i numeri di versione. Prende tutte le porte TCP/UDP rilevate come
RPC e li riempie di comandi NULL del programma SunRPC nel tentativo di determinare se
sono porte RPC e, in caso affermativo, quale programma e numero di versione servono. Così puoi
ottenere effettivamente le stesse informazioni di rpcinfo -p anche se il portmapper del bersaglio è dietro a
firewall (o protetto da wrapper TCP). I richiami attualmente non funzionano con la scansione RPC..

Quando Nmap riceve risposte da un servizio ma non riesce ad associarle al suo database,
stampa un'impronta digitale speciale e un URL da inviare se lo sai per certo
cosa è in esecuzione sulla porta. Si prega di dedicare un paio di minuti per effettuare la presentazione in modo che
la tua scoperta può giovare a tutti. Grazie a questi contributi, Nmap ha circa 6,500 pattern
corrisponde a più di 650 protocolli come SMTP, FTP, HTTP, ecc.

Il rilevamento della versione è abilitato e controllato con le seguenti opzioni:

-S (Rilevamento versione) .
Abilita il rilevamento della versione, come discusso sopra. In alternativa, puoi usare -A, quale
consente, tra le altre cose, il rilevamento della versione.

-sR. è un alias per -S. Prima di marzo 2011, veniva utilizzato per attivare il grinder RPC
separatamente dal rilevamento della versione, ma ora queste opzioni sono sempre combinate.

--tutti i porti (Non escludere nessuna porta dal rilevamento della versione) .
Per impostazione predefinita, il rilevamento della versione di Nmap salta la porta TCP 9100 perché alcune stampanti semplicemente
stampare qualsiasi cosa inviata a quella porta, portando a dozzine di pagine di richieste HTTP GET,
richieste di sessione SSL binarie, ecc. Questo comportamento può essere modificato modificando o
rimuovendo la direttiva Exclude in nmap-service-probes, oppure puoi specificare --tutti i porti
per scansionare tutte le porte indipendentemente da qualsiasi direttiva Exclude.

--intensità-versione l'intensità (Imposta l'intensità della scansione della versione) .
Quando si esegue una scansione della versione (-S), Nmap invia una serie di probe, ognuno dei quali è
assegnato un valore di rarità compreso tra uno e nove. Le sonde con il numero inferiore sono efficaci
contro un'ampia varietà di servizi comuni, mentre quelli a numero più elevato sono raramente
utile. Il livello di intensità specifica quali sonde devono essere applicate. Più alto è il
numero, più è probabile che il servizio venga identificato correttamente. Tuttavia, alto
le scansioni di intensità richiedono più tempo. L'intensità deve essere compresa tra 0 e 9.. L'impostazione predefinita è
7. Quando un probe è registrato sulla porta di destinazione tramite nmap-service-probesports
direttiva, quella sonda viene provata indipendentemente dal livello di intensità. Ciò garantisce che il
Le sonde DNS verranno sempre tentate contro qualsiasi porta aperta 53, la sonda SSL sarà
fatto contro 443, ecc.

--versione-luce (Abilita modalità luce) .
Questo è un comodo alias per --intensità-versione 2. Questa modalità luce rende la versione
scansione molto più veloce, ma è leggermente meno probabile che identifichi i servizi.

--versione-tutto (Prova ogni singola sonda) .
Un alias per --intensità-versione 9, assicurandosi che ogni singola sonda venga tentata
contro ogni porto.

--versione-traccia (Traccia attività di scansione della versione) .
Questo fa sì che Nmap stampi informazioni di debug estese su quale sia la scansione della versione
facendo. È un sottoinsieme di ciò che ottieni --packet-traccia.

OS RILEVAMENTO

Una delle funzionalità più note di Nmap è il rilevamento remoto del sistema operativo utilizzando lo stack TCP/IP
impronte digitali. Nmap invia una serie di pacchetti TCP e UDP all'host remoto ed esamina
praticamente ogni bit nelle risposte. Dopo aver eseguito decine di test come TCP ISN
campionamento, supporto e ordinamento delle opzioni TCP, campionamento ID IP e dimensione della finestra iniziale
check, Nmap confronta i risultati con il suo nmap-os-db. database di oltre 2,600 OS conosciuti
impronte digitali e stampa i dettagli del sistema operativo se c'è una corrispondenza. Ogni impronta digitale include
una descrizione testuale in forma libera del sistema operativo e una classificazione che fornisce il fornitore
nome (es. Sun), sistema operativo sottostante (es. Solaris), generazione del sistema operativo (es. 10) e tipo di dispositivo
(uso generico, router, switch, console di gioco, ecc.). La maggior parte delle impronte digitali ha anche un comune
Enumerazione della piattaforma (CPE). rappresentazione, come cpe:/o:linux:linux_kernel:2.6.

Se Nmap non riesce a indovinare il sistema operativo di una macchina e le condizioni sono buone (ad esempio almeno una
sono state trovate una porta aperta e una chiusa), Nmap fornirà un URL che puoi usare per inviare
l'impronta digitale se conosci (per certo) il sistema operativo in esecuzione sulla macchina. Facendo questo tu
contribuire al pool di sistemi operativi noti a Nmap e quindi sarà più
preciso per tutti.

Il rilevamento del sistema operativo consente altri test che utilizzano le informazioni raccolte
durante il processo comunque. Uno di questi è la classificazione di prevedibilità della sequenza TCP.
Questo misura approssimativamente quanto sia difficile stabilire una connessione TCP contraffatta contro
l'host remoto. È utile per sfruttare le relazioni di fiducia basate sull'IP sorgente (rlogin,
filtri firewall, ecc.) o per nascondere la fonte di un attacco. Questo tipo di spoofing è
raramente eseguito più, ma molte macchine sono ancora vulnerabili ad esso. L'attuale
il numero di difficoltà si basa su un campionamento statistico e può variare. È generalmente
meglio usare la classificazione inglese come “worthy challenge” o “trivial joke”.
Questo è riportato solo nell'output normale in verbose (-v) modalità. Quando la modalità dettagliata è abilitata
con -O, viene riportata anche la generazione della sequenza di ID IP. La maggior parte delle macchine sono nel
classe "incrementale", il che significa che incrementano il campo ID nell'intestazione IP per
ogni pacchetto che inviano. Questo li rende vulnerabili a diverse informazioni avanzate
raccolta e spoofing di attacchi.

Un'altra informazione aggiuntiva abilitata dal rilevamento del sistema operativo è un'ipotesi sul tempo di attività di un obiettivo.
Questo usa l'opzione timestamp TCP (RFC 1323[10]) per indovinare quando una macchina è stata l'ultima
riavviato. L'ipotesi può essere imprecisa a causa della mancata inizializzazione del contatore del timestamp
a zero o il contatore trabocca e avvolge, quindi viene stampato solo in verbose
modalità.

Un documento che documenta il funzionamento, l'utilizzo e la personalizzazione del rilevamento del sistema operativo è disponibile all'indirizzo
https://nmap.org/book/osdetect.html.

Il rilevamento del sistema operativo è abilitato e controllato con le seguenti opzioni:

-O (Abilita il rilevamento del sistema operativo) .
Abilita il rilevamento del sistema operativo, come discusso sopra. In alternativa, puoi usare -A per abilitare il sistema operativo
rilevamento insieme ad altre cose.

--osscan-limite (Limitare il rilevamento del sistema operativo a obiettivi promettenti) .
Il rilevamento del sistema operativo è molto più efficace se sono presenti almeno una porta TCP aperta e una chiusa
fondare. Imposta questa opzione e Nmap non proverà nemmeno il rilevamento del sistema operativo contro gli host che lo fanno
non soddisfare questo criterio. Ciò può far risparmiare molto tempo, in particolare su -Pn scansioni
contro molti padroni di casa. È importante solo quando viene richiesto il rilevamento del sistema operativo con -O or -A.

--osscan-indovina; --sfocato (Indovina i risultati del rilevamento del sistema operativo) .
Quando Nmap non è in grado di rilevare una corrispondenza perfetta del sistema operativo, a volte offre corrispondenze simili
come possibilità. La corrispondenza deve essere molto ravvicinata affinché Nmap possa farlo per impostazione predefinita.
Entrambe queste opzioni (equivalenti) fanno indovinare Nmap in modo più aggressivo. Nmap lo farà
ti dice ancora quando viene stampata una corrispondenza imperfetta e ne mostra il livello di confidenza
(percentuale) per ogni ipotesi.

--max-os-prove (Imposta il numero massimo di tentativi di rilevamento del sistema operativo contro un obiettivo) .
Quando Nmap esegue il rilevamento del sistema operativo contro un bersaglio e non riesce a trovare una corrispondenza perfetta,
di solito ripete il tentativo. Per impostazione predefinita, Nmap prova cinque volte se le condizioni sono
favorevole per l'invio delle impronte digitali del sistema operativo e due volte quando le condizioni non sono così buone.
Specificare un valore inferiore --max-os-prove valore (come 1) accelera Nmap, anche se ti manca
su tentativi che potrebbero potenzialmente identificare il sistema operativo. In alternativa, un valore alto
può essere impostato per consentire ancora più tentativi quando le condizioni sono favorevoli. Questo è raramente
fatto, tranne che per generare impronte digitali migliori per la presentazione e l'integrazione nel
Database del sistema operativo Nmap.

Nmap SCRIPT Engine (NSE)

Nmap Scripting Engine (NSE) è una delle funzionalità più potenti e flessibili di Nmap. Esso
consente agli utenti di scrivere (e condividere) semplici script (usando il prendere programmazione Lingua[11].
) per automatizzare un'ampia varietà di attività di rete. Questi script vengono eseguiti in parallelo
con la velocità e l'efficienza che ti aspetti da Nmap. Gli utenti possono contare sulla crescita e
diversi set di script distribuiti con Nmap o scrivine di propri per soddisfare le esigenze personalizzate.

Le attività che avevamo in mente durante la creazione del sistema includono il rilevamento della rete, altro
rilevamento della versione sofisticata, rilevamento della vulnerabilità. NSE può essere utilizzato anche per
sfruttamento della vulnerabilità.

Per riflettere questi diversi usi e per semplificare la scelta di quali script eseguire, ciascuno
script contiene un campo associandolo ad una o più categorie. Attualmente definito
le categorie sono auth, broadcast, default. scoperta, dos, sfruttare, esterno, fuzzer,
invadente, malware, sicuro, versione e vuln. Questi sono tutti descritti a
https://nmap.org/book/nse-usage.html#nse-categories.

Gli script non vengono eseguiti in una sandbox e quindi potrebbero danneggiare accidentalmente o intenzionalmente il tuo
sistema o invadere la tua privacy. Non eseguire mai script di terze parti a meno che non ti fidi di loro
autori o hai verificato tu stesso attentamente gli script.

Il motore di script Nmap è descritto in dettaglio su https://nmap.org/book/nse.html ed è
controllato dalle seguenti opzioni:

-ns .
Esegue una scansione degli script utilizzando il set di script predefinito. È equivalente a
--script=predefinito. Alcuni degli script in questa categoria sono considerati invadenti e
non deve essere eseguito su una rete di destinazione senza autorizzazione.

- script Nome del file|categoria|elenco|espressione[,...] .
Esegue una scansione dello script utilizzando l'elenco separato da virgole di nomi di file, categorie di script e
directory. Ogni elemento della lista può anche essere un'espressione booleana che descrive a
set di script più complesso. Ogni elemento viene interpretato prima come espressione, poi
come categoria e infine come nome di file o directory.

Ci sono due funzioni speciali solo per utenti avanzati. Uno è anteporre i nomi degli script
ed espressioni con + per forzare l'esecuzione anche se normalmente non lo farebbero (ad es
servizio pertinente non è stato rilevato sulla porta di destinazione). L'altro è che l'argomento
all può essere usato per specificare ogni script nel database di Nmap. Sii cauto con questo
perché NSE contiene script pericolosi come exploit, autenticazione a forza bruta
cracker e attacchi Denial of Service.

I nomi di file e directory possono essere relativi o assoluti. Vengono utilizzati nomi assoluti
direttamente. I percorsi relativi vengono cercati negli script di ciascuno dei seguenti luoghi
fino a quando non viene trovato: --dir.dati
$NMAPDIR.
~/.nmap (non cercato su Windows).
HOME\AppData\Roaming\nmap (solo su Windows).
la directory contenente l'eseguibile nmap
la directory contenente l'eseguibile nmap, seguito da ../share/nmap
NMAPDATADIR.
la directory corrente.

Quando viene dato il nome di una directory, Nmap carica tutti i file nella directory il cui nome finisce
con .nse. Tutti gli altri file vengono ignorati e la ricerca nelle directory non viene eseguita in modo ricorsivo. quando
viene dato un nome di file, non deve avere l'estensione .nse; sarà aggiunto
automaticamente se necessario. Gli script di Nmap sono memorizzati in una sottodirectory degli script di Nmap
directory dei dati per impostazione predefinita (vedi https://nmap.org/book/data-files.html). Per l'efficienza,
gli script sono indicizzati in un database archiviato in scripts/script.db,. che elenca la categoria
o categorie a cui appartiene ogni script. Quando si fa riferimento a script da script.db di
nome, è possibile utilizzare un carattere jolly '*' in stile shell.

Nmap - script "http-*"
Carica tutti gli script il cui nome inizia con http-, come http-auth e http-open-proxy.
L'argomento a - script doveva essere tra virgolette per proteggere il carattere jolly dalla shell.

La selezione degli script più complicata può essere eseguita utilizzando gli operatori and, or, and not to
costruire espressioni booleane. Gli operatori hanno lo stesso precedenza[12] come in Lua: non è
il più alto, seguito da e e poi o. È possibile modificare la precedenza utilizzando le parentesi.
Poiché le espressioni contengono caratteri spazio, è necessario citarli.

Nmap - script "non invadente"
Carica tutti gli script tranne quelli nella categoria intrusivo.

Nmap - script "predefinito or sicuro"
Questo è funzionalmente equivalente a Nmap - script "predefinito,sicuro". Carica tutti gli script
che si trovano nella categoria predefinita o nella categoria sicura o in entrambe.

Nmap - script "predefinito e sicuro"
Carica gli script che sono in entrambi le categorie predefinite e sicure.

Nmap - script "(predefinito or sicura or invadente) e non è un http-*"
Carica gli script nelle categorie predefinite, sicure o intrusive, ad eccezione di quelli la cui
i nomi iniziano con http-.

--script-args n1=v1,n2={n3=v3},n4={v4,v5} .
Consente di fornire argomenti agli script NSE. Gli argomenti sono un elenco separato da virgole di
nome=coppie di valori. I nomi e i valori possono essere stringhe che non contengono spazi o il
caratteri '{', '}', '=' o ','. Per includere uno di questi caratteri in una stringa,
racchiudere la stringa tra virgolette singole o doppie. All'interno di una stringa tra virgolette, '\' esegue l'escape a
Citazione. Una barra rovesciata viene utilizzata solo per evitare le virgolette in questo caso speciale; in tutto
in altri casi una barra rovesciata viene interpretata letteralmente. I valori possono anche essere tabelle racchiuse
in {}, proprio come in Lua. Una tabella può contenere semplici valori di stringa o più valori-nome
coppie, comprese le tabelle nidificate. Molti script qualificano i loro argomenti con lo script
nome, come in xmpp-info.server_name. Puoi usare quella versione completa per influenzare
solo lo script specificato, oppure puoi passare la versione non qualificata (server_name in
questo caso) per influenzare tutti gli script che utilizzano quel nome di argomento. Uno script controllerà prima
per il suo nome argomento completo (il nome specificato nella sua documentazione) prima
accetta un nome di argomento non qualificato. Un esempio complesso di argomenti di script è
--script-args
'user=foo,pass=",{}=bar",whois={whodb=nofollow+ripe},xmpp-info.server_name=localhost'.
Il portale online di documentazione NSE su https://nmap.org/nsedoc/ elenca gli argomenti
che ogni script accetta.

--file-args-script Nome del file .
Consente di caricare argomenti negli script NSE da un file. Qualsiasi argomento sulla riga di comando
sostituiscono quelli nel file. Il file può essere un percorso assoluto o un percorso relativo a
Il solito percorso di ricerca di Nmap (NMAPDIR, ecc.) Gli argomenti possono essere separati da virgole o
separato da una nuova riga, ma per il resto segui le stesse regole di --script-args, senza
richiedono virgolette speciali e caratteri di escape, poiché non vengono analizzati dalla shell.

--script-aiuto Nome del file|categoria|elenco|espressione|tutti[,...] .
Mostra la guida sugli script. Per ogni script che corrisponde alla specifica data, Nmap
stampa il nome dello script, le sue categorie e la sua descrizione. Le specifiche sono
le stesse di quelle accettate da - script; quindi per esempio se vuoi aiuto per il
script ftp-anon, eseguiresti Nmap --script-aiuto ftp-anon. Oltre a ottenere
aiuto per i singoli script, puoi usarlo come anteprima di quali script verranno eseguiti
per una specifica, ad esempio con Nmap --script-aiuto difetto.

--script-traccia .
Questa opzione fa cosa --packet-traccia fa, solo un livello ISO più alto. Se questa opzione
viene specificato che tutte le comunicazioni in entrata e in uscita eseguite da uno script vengono stampate.
Le informazioni visualizzate includono il protocollo di comunicazione, la fonte, il target
e i dati trasmessi. Se più del 5% di tutti i dati trasmessi non è stampabile,
quindi l'output della traccia è in un formato dump esadecimale. Specificando --packet-traccia al
anche il tracciamento degli script.

--script-aggiornatob .
Questa opzione aggiorna il database degli script trovato in scripts/script.db che è usato da
Nmap per determinare gli script e le categorie predefiniti disponibili. È solo necessario
per aggiornare il database se hai aggiunto o rimosso script NSE dall'impostazione predefinita
directory degli script o se sono state modificate le categorie di qualsiasi script. Questa opzione è
generalmente usato da solo: Nmap --script-aggiornatob.

TIMING E PERFORMANCE

Una delle mie più alte priorità nello sviluppo di Nmap è sempre stata la performance. Una scansione predefinita
(Nmap hostname) di un host sulla mia rete locale impiega un quinto di secondo. Questo è a malapena
tempo sufficiente per lampeggiare, ma si somma quando si scansionano centinaia o migliaia di host.
Inoltre, alcune opzioni di scansione come la scansione UDP e il rilevamento della versione possono aumentare
tempi di scansione sostanzialmente. Lo stesso vale per alcune configurazioni del firewall, in particolare per la risposta
limitazione della velocità. Mentre Nmap utilizza il parallelismo e molti algoritmi avanzati per accelerare
queste scansioni, l'utente ha il controllo finale su come viene eseguito Nmap. Utenti esperti con attenzione
crea comandi Nmap per ottenere solo le informazioni a cui tengono mentre incontrano i loro
vincoli di tempo.

Le tecniche per migliorare i tempi di scansione includono l'omissione di test non critici e l'aggiornamento a
l'ultima versione di Nmap (i miglioramenti delle prestazioni vengono apportati frequentemente). Ottimizzazione
anche i parametri di temporizzazione possono fare una differenza sostanziale. Queste opzioni sono elencate di seguito.

Alcune opzioni accettano un parametro temporale. Questo è specificato in secondi per impostazione predefinita, sebbene tu
può aggiungere "ms", "s", "m" o "h" al valore per specificare millisecondi, secondi, minuti,
o ore. Così il --host-timeout argomenti 900000ms, 900, 900s e 15m fanno tutti lo stesso
cosa.

--min-gruppo-host numhost; --max-gruppohost numhost (Regolare le dimensioni del gruppo di scansione parallela) .
Nmap ha la capacità di eseguire la scansione delle porte o la scansione delle versioni di più host in parallelo. Nmap
lo fa dividendo lo spazio IP di destinazione in gruppi e quindi scansionando un gruppo in a
volta. In generale, i gruppi più grandi sono più efficienti. Il rovescio della medaglia è che i risultati dell'host
non può essere fornito fino a quando l'intero gruppo non è finito. Quindi, se Nmap è iniziato con a
dimensione del gruppo di 50, l'utente non riceverà alcun rapporto (tranne gli aggiornamenti
offerti in modalità dettagliata) fino al completamento dei primi 50 host.

Per impostazione predefinita, Nmap adotta un approccio di compromesso a questo conflitto. Inizia con a
dimensione del gruppo a partire da cinque, quindi i primi risultati arrivano rapidamente e poi aumenta il
groupsize fino a 1024. I numeri predefiniti esatti dipendono dalle opzioni fornite.
Per motivi di efficienza, Nmap utilizza gruppi di dimensioni maggiori per le scansioni UDP o TCP con poche porte.

Quando viene specificata una dimensione massima del gruppo con --max-gruppohost, Nmap non supererà mai
quella dimensione. Specificare una taglia minima con --min-gruppo-host e Nmap proverà a mantenere il gruppo
dimensioni superiori a tale livello. Nmap potrebbe dover utilizzare gruppi più piccoli di quelli specificati se presenti
non ci sono abbastanza host di destinazione rimasti su una data interfaccia per soddisfare lo specificato
minimo. Entrambi possono essere impostati per mantenere la dimensione del gruppo entro un intervallo specifico, anche se questo
è raramente desiderato.

Queste opzioni non hanno effetto durante la fase di rilevamento dell'host di una scansione. Questo
include semplici scansioni ping (-sn). L'individuazione degli host funziona sempre in grandi gruppi di host
per migliorare velocità e precisione.

L'uso principale di queste opzioni è specificare una dimensione minima del gruppo grande in modo che il
la scansione completa viene eseguita più rapidamente. Una scelta comune è 256 per eseguire la scansione di una rete di dimensioni di Classe C
pezzi. Per una scansione con molte porte, è improbabile che il superamento di quel numero sia di grande aiuto.
Per le scansioni di pochi numeri di porta, possono essere utili dimensioni del gruppo host di 2048 o più.

--min-parallelismo sonde numeriche; --max-parallelismo sonde numeriche (Regolare la parallelizzazione della sonda) .
Queste opzioni controllano il numero totale di sonde che possono essere in sospeso per un host
gruppo. Sono utilizzati per la scansione delle porte e il rilevamento dell'host. Per impostazione predefinita, Nmap calcola
un parallelismo ideale in continua evoluzione basato sulle prestazioni della rete. Se i pacchetti sono in corso
caduto, Nmap rallenta e consente un minor numero di sonde in sospeso. Il numero di sonda ideale
sale lentamente man mano che la rete si dimostra degna. Queste opzioni mettono minimo o
limiti massimi su quella variabile. Per impostazione predefinita, il parallelismo ideale può scendere a uno se
la rete si rivela inaffidabile e salgono a diverse centinaia in perfette condizioni.

L'uso più comune è quello di impostare --min-parallelismo a un numero maggiore di uno per velocizzare
eseguire scansioni di host o reti con prestazioni scadenti. Questa è un'opzione rischiosa con cui giocare,
poiché l'impostazione di un valore troppo alto può influire sulla precisione. L'impostazione di questo riduce anche l'abilità di Nmap
per controllare il parallelismo dinamicamente in base alle condizioni della rete. Un valore di 10 potrebbe essere
ragionevole, anche se aggiusto questo valore solo come ultima risorsa.

Il Marketplace per le --max-parallelismo l'opzione a volte è impostata su uno per impedire a Nmap di inviarne altri
di una sonda alla volta agli host. Il --ritardo-scansione opzione, discussa in seguito, è
un altro modo per farlo.

--min-rtt-timeout tempo, --max-rtt-timeout tempo, --initial-rtt-timeout tempo (Regola sonda
timeout).
Nmap mantiene un valore di timeout in esecuzione per determinare quanto tempo aspetterà a
risposta della sonda prima di rinunciare o ritrasmettere la sonda. Questo è calcolato in base
sui tempi di risposta delle sonde precedenti.

Se la latenza di rete si rivela significativa e variabile, questo timeout può
crescere fino a diversi secondi. Inizia anche a un livello conservativo (alto) e potrebbe rimanere
in questo modo per un po' quando Nmap scansiona gli host che non rispondono.

Specificare un valore inferiore --max-rtt-timeout e --initial-rtt-timeout rispetto alle impostazioni predefinite
ridurre notevolmente i tempi di scansione. Questo è particolarmente vero per pingless (-Pn) esegue la scansione e
quelli contro le reti pesantemente filtrate. Non essere troppo aggressivo però. La scansione può
finiscono per impiegare più tempo se si specifica un valore così basso che molte sonde stanno andando in timeout
e ritrasmettere mentre la risposta è in transito.

Se tutti gli host sono su una rete locale, 100 millisecondi (--max-rtt-timeout 100ms) è
un ragionevole valore aggressivo. Se è coinvolto il routing, eseguire il ping di un host sulla rete
prima con l'utilità ping ICMP o con un creatore di pacchetti personalizzato come Nping. quello
è più probabile che passi attraverso un firewall. Guarda il tempo massimo di andata e ritorno fuori da
dieci pacchetti o giù di lì. Potresti volerlo raddoppiare per il --initial-rtt-timeout e
triplicarlo o quadruplicarlo per il --max-rtt-timeout. In genere non imposto il massimo
RTT inferiore a 100 ms, indipendentemente dai tempi di ping. Né supero i 1000 ms.

--min-rtt-timeout è un'opzione usata raramente che potrebbe essere utile quando una rete è così
inaffidabile che anche l'impostazione predefinita di Nmap sia troppo aggressiva. Poiché Nmap riduce solo il
timeout fino al minimo quando la rete sembra essere affidabile, questa necessità è
insolito e dovrebbe essere segnalato come un bug alla mailing list nmap-dev..

--max-tentativi numtry (Specificare il numero massimo di ritrasmissioni della sonda di scansione delle porte) .
Quando Nmap non riceve risposta a una sonda di scansione delle porte, potrebbe significare che la porta è
filtrato. O forse la sonda o la risposta è stata semplicemente persa nella rete. È altresì
possibile che l'host di destinazione abbia abilitato la limitazione della velocità che ha bloccato temporaneamente il
risposta. Quindi Nmap riprova ritrasmettendo la sonda iniziale. Se Nmap rileva
scarsa affidabilità della rete, potrebbe provare molte altre volte prima di rinunciare a una porta. Mentre
questo va a vantaggio della precisione, inoltre allunga i tempi di scansione. Quando le prestazioni sono critiche,
le scansioni possono essere velocizzate limitando il numero di ritrasmissioni consentite. puoi anche
specificare --max-tentativi 0 per prevenire eventuali ritrasmissioni, anche se questo è solo
consigliato per situazioni come sondaggi informali in cui occasionali porti mancati e
gli host sono accettabili.

L'impostazione predefinita (senza no -T modello) è quello di consentire dieci ritrasmissioni. Se una rete sembra
affidabile e gli host di destinazione non limitano la velocità, Nmap di solito ne fa solo uno
ritrasmissione. Quindi la maggior parte delle scansioni di destinazione non è nemmeno interessata dalla caduta --max-tentativi a
un valore basso come tre. Tali valori possono sostanzialmente velocizzare le scansioni di lenti (rate
limitato) host. Di solito perdi alcune informazioni quando Nmap rinuncia presto alle porte,
anche se potrebbe essere preferibile lasciare che --host-timeout scade e perde tutto
informazioni sul bersaglio.

--host-timeout tempo (Rinuncia agli host di destinazione lenti) .
Alcuni host prendono semplicemente un lungo tempo per la scansione. Ciò può essere dovuto a prestazioni scadenti o
hardware o software di rete inaffidabile, limitazione della velocità dei pacchetti o restrizione
firewall. La percentuale più lenta degli host scansionati può consumare la maggior parte dei
tempo di scansione. A volte è meglio ridurre le perdite e saltare inizialmente quegli host.
Specificare --host-timeout con il tempo massimo che sei disposto ad aspettare. Per
esempio, specifica 30m per assicurarti che Nmap non perda più di mezz'ora su a
unico ospite. Nota che Nmap potrebbe scansionare altri host contemporaneamente durante questo
mezz'ora, quindi non è una perdita completa. Un host in timeout viene ignorato. Nessun porto
la tabella, il rilevamento del sistema operativo o i risultati del rilevamento della versione vengono stampati per quell'host.

--ritardo-scansione tempo; --max-ritardo-scansione tempo (Regolare il ritardo tra le sonde) .
Questa opzione fa in modo che Nmap attenda almeno il periodo di tempo specificato tra ciascuna sonda
invia a un determinato host. Ciò è particolarmente utile in caso di rate limiting..
Le macchine Solaris (tra molte altre) di solito rispondono ai pacchetti di scan probe UDP
con un solo messaggio ICMP al secondo. Non sarà più di quello inviato da Nmap
dispendioso. UN --ritardo-scansione di 1s manterrà Nmap a quel ritmo lento. Nmap cerca di rilevare
limitare la velocità e regolare di conseguenza il ritardo di scansione, ma non fa male specificarlo
esplicitamente se sai già quale tariffa funziona meglio.

Quando Nmap regola il ritardo di scansione verso l'alto per far fronte alla limitazione della velocità, la scansione rallenta
giù drasticamente. Il --max-ritardo-scansione opzione specifica il ritardo maggiore che Nmap
permetterà. un basso --max-ritardo-scansione può velocizzare Nmap, ma è rischioso. Impostazione di questo
un valore troppo basso può portare a inutili ritrasmissioni di pacchetti e possibili porte perse
quando l'obiettivo implementa una limitazione della velocità rigorosa.

Un altro uso di --ritardo-scansione consiste nell'eludere il rilevamento delle intrusioni basato sulla soglia e
sistemi di prevenzione (IDS/IPS)..

--tasso minimo numero; --tasso massimo numero (Controllare direttamente la velocità di scansione) .
Il tempismo dinamico di Nmap fa un buon lavoro nel trovare una velocità adeguata alla quale
scansione. A volte, tuttavia, può capitare di conoscere una velocità di scansione appropriata per a
rete o potrebbe essere necessario garantire che la scansione venga completata entro un certo tempo.
O forse devi impedire a Nmap di scansionare troppo velocemente. Il --tasso minimo e --tasso massimo
le opzioni sono progettate per queste situazioni.

Quando il --tasso minimo viene data l'opzione Nmap farà del suo meglio per inviare i pacchetti il ​​più velocemente possibile
o più veloce della velocità data. L'argomento è un numero reale positivo che rappresenta a
velocità dei pacchetti in pacchetti al secondo. Ad esempio, specificando --tasso minimo 300 significa che
Nmap proverà a mantenere la velocità di invio pari o superiore a 300 pacchetti al secondo. Specificando
una tariffa minima non impedisce a Nmap di andare più veloce se le condizioni lo richiedono.

Analogamente, --tasso massimo limita la velocità di invio di una scansione a un determinato massimo. Uso --tasso massimo
100, ad esempio, per limitare l'invio a 100 pacchetti al secondo su una rete veloce. Uso
--tasso massimo 0.1 per una scansione lenta di un pacchetto ogni dieci secondi. Uso --tasso minimo e
--tasso massimo insieme per mantenere il tasso all'interno di un certo intervallo.

Queste due opzioni sono globali e interessano un'intera scansione, non i singoli host. Essi
interessano solo le scansioni delle porte e le scansioni di rilevamento dell'host. Altre funzionalità come il rilevamento del sistema operativo
implementare i propri tempi.

Ci sono due condizioni in cui la velocità di scansione effettiva può scendere al di sotto di quella richiesta
minimo. Il primo è se il minimo è più veloce del tasso più veloce con cui Nmap può
send, che dipende dall'hardware. In questo caso Nmap invierà semplicemente i pacchetti come
il più velocemente possibile, ma tieni presente che tassi così elevati possono causare una perdita di
precisione. Il secondo caso è quando Nmap non ha nulla da inviare, ad esempio alla fine di
una scansione quando le ultime sonde sono state inviate e Nmap sta aspettando che scadano o
essere risposto. È normale vedere la velocità di scansione diminuire alla fine di una scansione o in
tra hostgroup. La velocità di invio può temporaneamente superare il massimo da compensare
ritardi imprevedibili, ma in media il tasso rimarrà pari o inferiore al massimo.

Specificare un tasso minimo dovrebbe essere fatto con cura. Scansione più veloce di una rete
supporto può portare a una perdita di precisione. In alcuni casi, l'utilizzo di un tasso più veloce può fare un
scansione prendere più a lungo di quanto farebbe con un ritmo più lento. Questo perché Nmap è adattivo
gli algoritmi di ritrasmissione rileveranno la congestione della rete causata da un'eccessiva
velocità di scansione e aumentare il numero di ritrasmissioni per migliorare la precisione.
Quindi, anche se i pacchetti vengono inviati a una velocità maggiore, nel complesso vengono inviati più pacchetti. Cap
il numero di ritrasmissioni con il --max-tentativi opzione se è necessario impostare un
limite superiore del tempo di scansione totale.

--defeat-first-ratelimit .
Molti host utilizzano da tempo la limitazione della velocità. per ridurre il numero di messaggi di errore ICMP
(come errori di porta irraggiungibile) che inviano. Alcuni sistemi ora applicano tariffe simili
limiti ai pacchetti RST (reset) che generano. Questo può rallentare notevolmente Nmap
in quanto adegua la propria tempistica per riflettere tali limiti tariffari. Puoi dire a Nmap di ignorare
quei limiti di velocità (per le scansioni delle porte come la scansione SYN che non trattare non reattivo
porte come aperte) specificando --defeat-first-ratelimit.

L'uso di questa opzione può ridurre la precisione, poiché alcune porte sembreranno non reattive
perché Nmap non ha aspettato abbastanza a lungo per una risposta RST a velocità limitata. Con una scansione SYN,
la mancata risposta fa sì che la porta venga etichettata come filtrata anziché chiusa
stato che vediamo quando vengono ricevuti i pacchetti RST. Questa opzione è utile quando ti interessa solo
sulle porte aperte e non vale la pena distinguere tra porte chiuse e filtrate
tempo extra.

--nsock-motore epoll|kqueue|sondaggio|seleziona .
Imponi l'uso di un determinato motore di multiplexing IO nsock. Solo il select(2) fallback basato su
motore è garantito per essere disponibile sul tuo sistema. I motori prendono il nome dal nome
della struttura di gestione IO che sfruttano. I motori attualmente implementati sono epoll,
kqueue, poll e select, ma non tutti saranno presenti su qualsiasi piattaforma. Uso Nmap -V a
vedere quali motori sono supportati.

-T paranoico|subdolo|educato|normale|aggressivo|folle (Imposta un modello di temporizzazione) .
Sebbene i controlli di temporizzazione a grana fine discussi nella sezione precedente siano potenti
ed efficaci, alcune persone li trovano confusi. Inoltre, scegliendo l'appropriato
i valori a volte possono richiedere più tempo rispetto alla scansione che si sta tentando di ottimizzare. Quindi Nmap
offre un approccio più semplice, con sei modelli di temporizzazione. Puoi specificarli con il -T
opzione e il loro numero (0-5) o il loro nome. I nomi dei modelli sono paranoico (0),
subdolo (1), educato (2), normale (3), aggressivo (4), E pazzo (5). I primi due sono
per l'evasione dell'IDS. La modalità "polite" rallenta la scansione per utilizzare meno larghezza di banda e target
risorse della macchina. La modalità normale è l'impostazione predefinita e quindi -T3 non fa nulla. Modalità aggressiva
accelera la scansione partendo dal presupposto che sei su un percorso ragionevolmente veloce e
rete affidabile. Finalmente modalità folle. presuppone che tu sia in una straordinaria
rete veloce o sono disposti a sacrificare una certa precisione per la velocità.

Questi modelli consentono all'utente di specificare quanto desidera essere aggressivo, mentre
lasciando Nmap per scegliere i valori di temporizzazione esatti. I modelli rendono anche una certa velocità minore
rettifiche per le quali attualmente non esistono opzioni di controllo a grana fine. Per
esempio, -T4. impedisce al ritardo della scansione dinamica di superare i 10 ms per le porte TCP e
-T5 limita quel valore a 5 ms. I modelli possono essere utilizzati in combinazione con grana fine
controlli, e i controlli a grana fine che specificherai avranno la precedenza sui
predefinito del modello di temporizzazione per quel parametro. consiglio di usare -T4 durante la scansione
reti ragionevolmente moderne e affidabili. Mantieni quell'opzione anche quando aggiungi
controlli dettagliati in modo da poter beneficiare di quelle ottimizzazioni minori extra che
Abilita.

Se hai una connessione a banda larga o ethernet decente, ti consiglio sempre
utilizzando -T4. Alcune persone amano -T5 anche se è troppo aggressivo per i miei gusti. Persone
a volte specificare -T2 perché pensano che sia meno probabile che gli host vadano in crash o perché
si considerano educati in generale. Spesso non si rendono conto di come
rallentare -T educato. davvero è. La loro scansione potrebbe richiedere dieci volte più tempo di una scansione predefinita.
Gli arresti anomali della macchina e i problemi di larghezza di banda sono rari con le opzioni di temporizzazione predefinite (-T3)
e quindi di solito lo consiglio per scanner prudenti. L'omissione del rilevamento della versione è
molto più efficace che giocare con i valori di temporizzazione per ridurre questi problemi.

Mentre -T0. e -T1. possono essere utili per evitare avvisi IDS, richiederanno un
tempo straordinariamente lungo per scansionare migliaia di macchine o porte. Per così tanto tempo
scansione, potresti preferire impostare i valori di temporizzazione esatti di cui hai bisogno piuttosto che fare affidamento sul
in scatola -T0 e -T1 valori.

I principali effetti di T0 stanno serializzando la scansione in modo che venga scansionata solo una porta alla volta,
e aspettando cinque minuti tra l'invio di ogni sonda. T1 e T2 sono simili ma sono
attendere solo 15 secondi e 0.4 secondi, rispettivamente, tra le sonde. T3. è Nmap's
comportamento predefinito, che include la parallelizzazione. -T4 fa l'equivalente di
--max-rtt-timeout 1250ms --min-rtt-timeout 100ms --initial-rtt-timeout 500ms
--max-tentativi 6 e imposta il ritardo di scansione TCP massimo a 10 millisecondi. T5 fa il
equivalente a --max-rtt-timeout 300ms --min-rtt-timeout 50ms --initial-rtt-timeout
250ms --max-tentativi 2 --host-timeout 15m oltre a impostare il ritardo di scansione TCP massimo
a 5 ms.

FIREWALL/ID EVASION E spoofing

Molti pionieri di Internet hanno immaginato una rete aperta globale con uno spazio di indirizzi IP universale
consentendo connessioni virtuali tra due nodi qualsiasi. Ciò consente agli host di agire come true
coetanei, servendo e recuperando informazioni gli uni dagli altri. Le persone potrebbero accedere a tutti
i loro sistemi domestici dal lavoro, modificando le impostazioni del climatizzatore o sbloccando le porte
per i primi ospiti. Questa visione di connettività universale è stata soffocata dallo spazio degli indirizzi
carenze e problemi di sicurezza. All'inizio degli anni '1990, le organizzazioni hanno iniziato a implementare
firewall con l'esplicito scopo di ridurre la connettività. Enormi reti sono state transennate
fuori da Internet non filtrato da proxy applicativi, traduzione di indirizzi di rete e
filtri di pacchetto. Il flusso illimitato di informazioni ha lasciato il posto a una rigida regolamentazione di
canali di comunicazione approvati e il contenuto che li attraversa.

Gli ostacoli alla rete come i firewall possono rendere estremamente difficile la mappatura di una rete.
Non sarà più facile, poiché soffocare la ricognizione casuale è spesso un obiettivo chiave di
implementare i dispositivi. Tuttavia, Nmap offre molte funzionalità per aiutarci a capirle
reti complesse e per verificare che i filtri funzionino come previsto. Supporta anche
meccanismi per aggirare le difese mal implementate. Uno dei migliori metodi di
comprendere la propria posizione di sicurezza della rete è cercare di sconfiggerla. Mettiti nel
mentalità di un aggressore e implementa le tecniche di questa sezione contro le tue reti.
Avvia una scansione di rimbalzo FTP, una scansione inattiva, un attacco di frammentazione o prova a passare attraverso un tunnel
dei propri proxy.

Oltre a limitare l'attività di rete, le aziende monitorano sempre più il traffico
con sistemi di rilevamento delle intrusioni (IDS). Tutti i principali IDS vengono forniti con regole progettate per
rileva le scansioni Nmap perché a volte le scansioni sono un precursore degli attacchi. Alcuni di questi
i prodotti si sono recentemente trasformati in intrusione prevenzione sistemi (IPS). che attivamente
bloccare il traffico ritenuto dannoso. Sfortunatamente per gli amministratori di rete e i fornitori di IDS,
rilevare in modo affidabile cattive intenzioni analizzando i dati dei pacchetti è un problema difficile. attaccanti
con pazienza, abilità e l'aiuto di alcune opzioni di Nmap di solito possono passare dagli IDS
non rilevato. Nel frattempo, gli amministratori devono far fronte a un gran numero di falsi positivi
risultati in cui attività innocenti vengono erroneamente diagnosticate e segnalate o bloccate.

Occasionalmente le persone suggeriscono che Nmap non dovrebbe offrire funzionalità per eludere le regole del firewall
o sgattaiolare oltre gli IDS. Sostengono che queste caratteristiche hanno la stessa probabilità di essere utilizzate in modo improprio da
aggressori utilizzati dagli amministratori per migliorare la sicurezza. Il problema con questa logica è
che questi metodi sarebbero ancora utilizzati dagli aggressori, che troverebbero semplicemente altri strumenti o
patchare la funzionalità in Nmap. Nel frattempo, gli amministratori lo troverebbero così tanto
più difficile fare il loro lavoro. La distribuzione solo di server FTP moderni e con patch è molto più potente
difesa che cercare di impedire la distribuzione di strumenti che implementano il rimbalzo FTP
attacco.

Non esiste una bacchetta magica (o un'opzione Nmap) per rilevare e sovvertire firewall e IDS
sistemi. Ci vuole abilità ed esperienza. Un tutorial va oltre lo scopo di questo riferimento
guida, che elenca solo le opzioni pertinenti e descrive ciò che fanno.

-f (pacchetti di frammenti); --mtu (usando l'MTU specificato) .
Il Marketplace per le -f l'opzione fa sì che la scansione richiesta (incluse le scansioni ping) utilizzi tiny frammentato
pacchetti IP. L'idea è di suddividere l'intestazione TCP su più pacchetti per renderla
più difficile da rilevare per filtri di pacchetti, sistemi di rilevamento delle intrusioni e altri disturbi
cosa stai facendo. Stai attento con questo! Alcuni programmi hanno problemi a gestirli
piccoli pacchetti. Lo sniffer della vecchia scuola chiamato Sniffit segmentation fallì immediatamente
dopo aver ricevuto il primo frammento. Specifica questa opzione una volta e Nmap divide il
pacchetti in otto byte o meno dopo l'intestazione IP. Quindi un'intestazione TCP a 20 byte sarebbe
suddivisa in tre pacchetti. Due con otto byte dell'intestazione TCP e uno con
le ultime quattro. Ovviamente ogni frammento ha anche un'intestazione IP. Specificare -f di nuovo per usare 16
byte per frammento (riducendo il numero di frammenti).. Oppure puoi specificare il tuo
compensare la dimensione con il --mtu opzione. Non specificare anche -f se usi --mtu. L'offset
deve essere un multiplo di otto. Mentre i pacchetti frammentati non verranno ricevuti dai filtri dei pacchetti e
firewall che accodano tutti i frammenti IP, come il CONFIG_IP_ALWAYS_DEFRAG opzione
il kernel Linux, alcune reti non possono permettersi le prestazioni che questo provoca e quindi
lascialo disabilitato. Altri non possono abilitarlo perché i frammenti potrebbero richiedere diversi
percorsi nelle loro reti. Alcuni sistemi di origine deframmentano i pacchetti in uscita nel
nocciolo. Linux con iptables. il modulo di monitoraggio della connessione è un esempio di questo tipo. fare un
scansiona mentre uno sniffer come Wireshark. è in esecuzione per garantire che i pacchetti inviati siano
frammentato. Se il sistema operativo del tuo host sta causando problemi, prova il --send-eth. opzione per bypassare
il livello IP e inviare frame Ethernet non elaborati.

La frammentazione è supportata solo per le funzionalità del pacchetto raw di Nmap, che include TCP e
Scansioni delle porte UDP (eccetto Connect Scan e FTP bounce scan) e rilevamento del sistema operativo. Caratteristiche
come il rilevamento della versione e il motore di script Nmap generalmente non supportano
frammentazione perché si basano sullo stack TCP del tuo host per comunicare con il target
servizi.

-D decoy1[,decoy2][,ME][,...] (Nascondi una scansione con esche) .
Provoca l'esecuzione di una scansione esca, che fa sembrare all'host remoto che il
host che specifichi come esche stanno scansionando anche la rete di destinazione. Così il loro IDS
potrebbero segnalare 5-10 scansioni delle porte da indirizzi IP univoci, ma non sapranno quale IP
li stava scansionando e che erano esche innocenti. Anche se questo può essere sconfitto attraverso
tracciamento del percorso del router, eliminazione della risposta e altri meccanismi attivi, è generalmente
una tecnica efficace per nascondere il tuo indirizzo IP.

Separa ogni host di esca con virgole e puoi facoltativamente usare ME. come uno dei
esche per rappresentare la posizione del tuo vero indirizzo IP. Se mi metti in sesta
posizione o versioni successive, alcuni comuni rilevatori di scansione delle porte (come Solar Designer's.
eccellente Scanlogd). è improbabile che mostri il tuo indirizzo IP. Se non usi
ME, Nmap ti metterà in una posizione casuale. Puoi anche usare RND. per generare a
indirizzo IP casuale, non riservato o RND:numero generare numero indirizzi.

Nota che gli host che usi come esche dovrebbero essere attivi o potresti accidentalmente SYN flood
i tuoi obiettivi. Inoltre sarà abbastanza facile determinare quale host sta eseguendo la scansione se solo
uno è effettivamente in rete. Potresti voler usare gli indirizzi IP invece dei nomi
(quindi le reti esca non ti vedono nei log dei loro server dei nomi).

I richiami vengono utilizzati sia nella scansione ping iniziale (usando ICMP, SYN, ACK o altro) e
durante l'effettiva fase di scansione delle porte. I richiami vengono utilizzati anche durante il rilevamento remoto del sistema operativo
(-O). I richiami non funzionano con il rilevamento della versione o la scansione della connessione TCP. Quando una scansione ritarda
è in effetti, il ritardo viene applicato tra ogni lotto di sonde contraffatte, non tra
ogni singola sonda. Poiché i richiami vengono inviati in batch tutti in una volta, potrebbero
violare temporaneamente i limiti di controllo della congestione.

Vale la pena notare che l'uso di troppi richiami può rallentare la scansione e potenzialmente persino
renderlo meno preciso. Inoltre, alcuni ISP filtreranno i tuoi pacchetti contraffatti, ma molti
non limitare affatto i pacchetti IP contraffatti.

-S Indirizzo IP (Indirizzo sorgente contraffatto) .
In alcune circostanze, Nmap potrebbe non essere in grado di determinare il tuo indirizzo di origine (Nmap
ti dirà se è così). In questa situazione, utilizzare -S con l'indirizzo IP di
l'interfaccia attraverso la quale si desidera inviare i pacchetti.

Un altro possibile uso di questo flag è falsificare la scansione per far pensare ai bersagli che
qualcuno altro li sta scansionando. Immagina che un'azienda venga ripetutamente scansionata da a
concorrente! Il -e opzione e -Pn sono generalmente richiesti per questo tipo di utilizzo. Nota
che di solito non riceverai indietro i pacchetti di risposta (saranno indirizzati all'IP
stai falsificando), quindi Nmap non produrrà report utili.

-e interfaccia (Usa l'interfaccia specificata) .
Dice a Nmap su quale interfaccia inviare e ricevere i pacchetti. Nmap dovrebbe essere in grado di
rilevalo automaticamente, ma ti dirà se non è possibile.

--porta-sorgente numero di porta; -g numero di porta (Numero porta di origine contraffatto) .
Un errore di configurazione sorprendentemente comune è quello di fidarsi del traffico basato solo sulla fonte
numero di porta. È facile capire come ciò avvenga. Un amministratore imposterà
un nuovo brillante firewall, solo per essere inondato di lamentele da utenti ingrati
le cui applicazioni hanno smesso di funzionare. In particolare, il DNS potrebbe essere rotto perché l'UDP
Le risposte DNS da server esterni non possono più entrare in rete. FTP è un altro
esempio comune. Nei trasferimenti FTP attivi, il server remoto tenta di stabilire un
connessione al client per trasferire il file richiesto.

Esistono soluzioni sicure a questi problemi, spesso a livello di applicazione
proxy o moduli firewall per l'analisi del protocollo. Purtroppo ci sono anche più facili,
soluzioni insicure. Notando che le risposte DNS provengono dalla porta 53 e FTP attivo dalla porta
20, molti amministratori sono caduti nella trappola di consentire semplicemente il traffico in entrata
da quei porti. Spesso presumono che nessun aggressore se ne accorgerebbe e sfrutterebbe tali
buchi del firewall. In altri casi, gli amministratori considerano questo un ripiego a breve termine
misura fino a quando non possono implementare una soluzione più sicura. Poi dimenticano la sicurezza
l'aggiornamento.

Gli amministratori di rete oberati di lavoro non sono gli unici a cadere in questa trappola.
Numerosi prodotti sono stati spediti con queste regole insicure. Anche Microsoft è stata
colpevole. I filtri IPsec forniti con Windows 2000 e Windows XP contengono un
regola implicita che consente tutto il traffico TCP o UDP dalla porta 88 (Kerberos). In un altro
caso noto, le versioni del firewall personale Zone Alarm fino alla 2.1.25 consentite qualsiasi
pacchetti UDP in entrata con la porta di origine 53 (DNS) o 67 (DHCP).

Nmap offre il -g e --porta-sorgente opzioni (sono equivalenti) per sfruttarle
debolezze. Fornisci semplicemente un numero di porta e Nmap invierà i pacchetti da quella porta
dove possibile. La maggior parte delle operazioni di scansione che utilizzano socket non elaborati, inclusi SYN e UDP
scansioni, supporta completamente l'opzione. L'opzione in particolare non ha effetto per
qualsiasi operazione che utilizzi i normali socket del sistema operativo, incluse le richieste DNS, TCP
connect scansione,. rilevamento della versione e scansione degli script. Impostare anche la porta sorgente
non funziona per il rilevamento del sistema operativo, perché Nmap deve utilizzare numeri di porta diversi per
determinati test di rilevamento del sistema operativo per funzionare correttamente.

--dati hex stringa (Aggiungi dati binari personalizzati ai pacchetti inviati) .
Questa opzione consente di includere dati binari come payload nei pacchetti inviati. hex stringa può
essere specificato in uno dei seguenti formati: 0xAABBCCDDEEFF..., AABBCCDEEFF... or
\xAA\xBB\xCC\xDD\xEE\xFF.... Esempi di utilizzo sono --dati 0x carne morta e --dati
\xCA\xFE\x09. Nota che se specifichi un numero come 0x00ff nessuna conversione dell'ordine dei byte
viene eseguita. Assicurati di specificare le informazioni nell'ordine dei byte previsto dal
ricevitore.

--stringa-dati stringa (Aggiungi una stringa personalizzata ai pacchetti inviati) .
Questa opzione ti consente di includere una stringa normale come payload nei pacchetti inviati. stringa può
contenere qualsiasi stringa. Tuttavia, tieni presente che alcuni caratteri potrebbero dipendere dal sistema
locale e il destinatario potrebbero non vedere le stesse informazioni. Inoltre, assicurati di allegare
la stringa tra virgolette ed evita qualsiasi carattere speciale dalla shell.
Esempi: --stringa-dati "Scansione condotto by Sicurezza operazioni, estensione 7192 " or
--stringa-dati "Ph34r my l33 t abilità". Tieni presente che è probabile che nessuno lo faccia effettivamente
vedere eventuali commenti lasciati da questa opzione a meno che non stiano monitorando attentamente la rete
con uno sniffer o regole IDS personalizzate.

--lunghezza dati numero (Aggiungi dati casuali ai pacchetti inviati) .
Normalmente Nmap invia pacchetti minimalisti contenenti solo un'intestazione. Quindi i suoi pacchetti TCP
sono generalmente 40 byte e le richieste echo ICMP sono solo 28. Alcune porte UDP. e IP
protocolli. ottenere un payload personalizzato per impostazione predefinita. Questa opzione dice a Nmap di aggiungere il
dato il numero di byte casuali alla maggior parte dei pacchetti che invia e di non usarne nessuno
payload specifici del protocollo. (Uso --lunghezza dati 0 per nessun caso o specifico del protocollo
payload.. Rilevamento del sistema operativo (-O) i pacchetti non sono interessati. perché la precisione c'è
richiede la consistenza della sonda, ma la maggior parte dei pacchetti di ping e di porting lo supportano. Esso
rallenta un po' le cose, ma può rendere una scansione leggermente meno evidente.

--ip-opzioni S|R [percorso]|L [percorso]|T|U ... ; --ip-opzioni hex stringa (Inviare i pacchetti con
opzioni IP specificate).
Il Marketplace per le IP protocollo[13] offre diverse opzioni che possono essere inserite nelle intestazioni dei pacchetti.
A differenza delle onnipresenti opzioni TCP, le opzioni IP si vedono raramente a causa della praticità e
problemi di sicurezza. In effetti, molti router Internet bloccano le opzioni più pericolose
come il routing della sorgente. Eppure le opzioni possono ancora essere utili in alcuni casi per determinare
e manipolare il percorso di rete verso le macchine di destinazione. Ad esempio, potresti essere in grado di
utilizzare l'opzione di registrazione del percorso per determinare un percorso verso un obiettivo anche quando è più tradizionale
gli approcci in stile traceroute falliscono. O se i tuoi pacchetti vengono lasciati cadere da un certo
firewall, potresti essere in grado di specificare un percorso diverso con l'origine rigorosa o libera
opzioni di instradamento.

Il modo più potente per specificare le opzioni IP è semplicemente passare i valori come
argomento a --ip-opzioni. Precedere ogni numero esadecimale con \x poi le due cifre. Potresti
ripetere alcuni caratteri seguendoli con un asterisco e poi il numero di
volte che desideri che si ripetano. Ad esempio, \x01\x07\x04\x00*36\x01 è una stringa esadecimale
contenente 36 byte NUL.

Nmap offre anche un meccanismo di scorciatoia per specificare le opzioni. Passa semplicemente la lettera
R, T o U per richiedere record-route. record di data e ora,. o entrambe le opzioni insieme,
rispettivamente. Instradamento della sorgente allentato o rigoroso. può essere specificato con L o S
seguito da uno spazio e quindi da un elenco di indirizzi IP separati da spazi.

Se desideri vedere le opzioni nei pacchetti inviati e ricevuti, specifica --packet-traccia.
Per maggiori informazioni ed esempi sull'uso delle opzioni IP con Nmap, vedere
http://seclists.org/nmap-dev/2006/q3/52.

--ttl APPREZZIAMO (Imposta campo IP time-to-live) .
Imposta il campo time-to-live IPv4 nei pacchetti inviati al valore specificato.

--randomize-host (Randomizza l'ordine host di destinazione) .
Dice a Nmap di mescolare ogni gruppo di un massimo di 16384 host prima di scansionarli. questo può
rendere le scansioni meno ovvie ai vari sistemi di monitoraggio della rete, soprattutto quando si
combinalo con opzioni di tempismo lento. Se vuoi randomizzare su gruppi di dimensioni maggiori,
aumentare PING_GROUP_SZ. in nmap.h. e ricompilare. Una soluzione alternativa è
generare l'elenco IP di destinazione con una scansione dell'elenco (-SH -n -Su Nome del file), randomizzalo con
uno script Perl, quindi fornire l'intera lista a Nmap con -I l..

--spoof-mac MAC indirizzo, prefisso, or venditore Nome (Indirizzo MAC contraffatto) .
Chiede a Nmap di utilizzare l'indirizzo MAC fornito per tutti i frame Ethernet non elaborati che invia.
Questa opzione implica --send-eth. per garantire che Nmap invii effettivamente il livello ethernet
pacchetti. Il MAC fornito può assumere diversi formati. Se è semplicemente il numero 0, Nmap
sceglie un indirizzo MAC completamente casuale per la sessione. Se la stringa data è an
numero pari di cifre esadecimali (con le coppie opzionalmente separate da due punti), Nmap lo farà
usa quelli come MAC. Se vengono fornite meno di 12 cifre esadecimali, Nmap riempie il
resto dei sei byte con valori casuali. Se l'argomento non è zero o esadecimale
string, Nmap cerca tra i prefissi nmap-mac per trovare un nome di fornitore che contenga il
data stringa (non fa distinzione tra maiuscole e minuscole). Se viene trovata una corrispondenza, Nmap utilizza l'OUI . del fornitore
(prefisso a tre byte). e riempie casualmente i tre byte rimanenti. Valido
--spoof-mac esempi di argomenti sono Apple, 0, 01:02:03:04:05:06, deadbeefcafe, 0020F2,
e Cisco. Questa opzione ha effetto solo sulle scansioni dei pacchetti non elaborati come la scansione SYN o il rilevamento del sistema operativo,
funzionalità non orientate alla connessione come il rilevamento della versione o Nmap Scripting
Motore.

--proxy Separato da virgola stratagemma of delega URL (Ritrasmette le connessioni TCP attraverso una catena di
proxy).
Chiede a Nmap di stabilire connessioni TCP con un obiettivo finale tramite la catena fornita di
uno o più proxy HTTP o SOCKS4. I proxy possono aiutare a nascondere la vera fonte di una scansione o
eludere determinate restrizioni del firewall, ma possono ostacolare le prestazioni di scansione di
latenza crescente. Gli utenti potrebbero dover regolare i timeout di Nmap e altri parametri di scansione
di conseguenza. In particolare, un basso --max-parallelismo può aiutare perché alcuni proxy
rifiuta di gestire tante connessioni simultanee quante Nmap si apre per impostazione predefinita.

Questa opzione accetta un elenco di proxy come argomento, espresso come URL nel formato
proto://host:porta. Utilizza le virgole per separare gli URL dei nodi in una catena. Nessuna autenticazione è
supportato ancora. I protocolli validi sono HTTP e SOCKS4.

Attenzione: questa funzionalità è ancora in fase di sviluppo e presenta limitazioni. è
implementato all'interno della libreria nsock e quindi non ha alcun effetto sul ping, scansione delle porte
e le fasi di individuazione del sistema operativo di una scansione. Solo NSE e la scansione della versione beneficiano di questa opzione
finora, altre funzionalità potrebbero rivelare il tuo vero indirizzo. Le connessioni SSL non sono ancora
supportata, né la risoluzione DNS lato proxy (i nomi host sono sempre risolti da Nmap).

--badsum (Invia pacchetti con checksum TCP/UDP fasulli) .
Chiede a Nmap di utilizzare un checksum TCP, UDP o SCTP non valido per i pacchetti inviati al target
padroni di casa. Poiché praticamente tutti gli stack IP dell'host rilasciano correttamente questi pacchetti, qualsiasi risposta
ricevuti provengono probabilmente da un firewall o IDS che non si è preoccupato di verificare il
checksum. Per maggiori dettagli su questa tecnica, vedere https://nmap.org/p60-12.html

--adler32 (Utilizzare Adler32 deprecato invece di CRC32C per i checksum SCTP) .
Chiede a Nmap di utilizzare l'algoritmo Adler32 deprecato per calcolare il checksum SCTP.
If --adler32 non viene fornito, viene utilizzato CRC-32C (Castagnoli). RFC 2960[14] originariamente
definito Adler32 come algoritmo di checksum per SCTP; RFC 4960[7] in seguito ha ridefinito l'SCTP
checksum per usare CRC-32C. Le attuali implementazioni SCTP dovrebbero utilizzare CRC-32C, ma in
per ottenere risposte da vecchie implementazioni SCTP legacy, potrebbe essere preferibile
per usare Adler32.

USCITA

Qualsiasi strumento di sicurezza è utile tanto quanto l'output che genera. Test complessi e
gli algoritmi hanno poco valore se non sono presentati in modo organizzato e comprensibile
la moda. Dato il numero di modi in cui Nmap viene utilizzato da persone e altri software, nessun singolo
il formato può piacere a tutti. Quindi Nmap offre diversi formati, inclusa la modalità interattiva
per consentire agli umani di leggere direttamente e XML per una facile analisi da parte del software.

Oltre a offrire diversi formati di output, Nmap fornisce opzioni per il controllo
la verbosità dell'output e dei messaggi di debug. I tipi di output possono essere inviati a
standard output o a file denominati, che Nmap può aggiungere o sovraccaricare. I file di output potrebbero
essere utilizzato anche per riprendere le scansioni interrotte.

Nmap rende disponibile l'output in cinque diversi formati. Il valore predefinito è chiamato interattivo
produzione,. e viene inviato allo standard output (stdout).. Esiste anche un output normale.
che è simile a interattivo tranne per il fatto che visualizza meno informazioni di runtime e
avvisi poiché dovrebbe essere analizzato dopo il completamento della scansione anziché
in modo interattivo.

Uscita XML. è uno dei tipi di output più importanti, poiché può essere convertito in HTML,
facilmente analizzato da programmi come le interfacce utente grafiche Nmap o importato in
banche dati.

I due tipi di output rimanenti sono il semplice output grepable. che include la maggior parte
informazioni per un host di destinazione su una singola riga e sCRiPt KiDDi3 0utPUt. per gli utenti che
si considerano |<-r4d.

Sebbene l'output interattivo sia l'impostazione predefinita e non abbia opzioni della riga di comando associate,
altre quattro opzioni di formato utilizzano la stessa sintassi. Prendono un argomento, che è il
nome del file in cui devono essere archiviati i risultati. È possibile specificare più formati, ma ciascuno
il formato può essere specificato solo una volta. Ad esempio, potresti voler salvare l'output normale per
la tua recensione salvando XML della stessa scansione per l'analisi programmatica. potresti farlo
questo con le opzioni -bue myscan.xml -Su myscan.nmap. Anche se questo capitolo usa il semplice
nomi come myscan.xml per brevità, generalmente si consigliano nomi più descrittivi. Il
i nomi scelti sono una questione di preferenze personali, anche se uso quelli lunghi che incorporano
la data di scansione e una o due parole che descrivono la scansione, collocate in una directory che prende il nome dal
azienda che sto scansionando.

Mentre queste opzioni salvano i risultati su file, Nmap stampa comunque l'output interattivo su stdout
come di solito. Ad esempio, il comando Nmap -bue myscan.xml bersaglio stampa XML su myscan.xml e
riempie l'output standard con gli stessi risultati interattivi che avrebbe stampato se -bue
non era affatto specificato. Puoi cambiarlo passando un trattino come argomento
a uno dei tipi di formato. Questo fa sì che Nmap disattivi l'output interattivo e invece
stampa i risultati nel formato specificato per il flusso di output standard. Quindi il comando
Nmap -bue - bersaglio invierà solo l'output XML a stdout.. Potrebbero esserci ancora errori gravi
stampato nel flusso di errore normale, stderr..

A differenza di alcuni argomenti di Nmap, lo spazio tra il flag dell'opzione logfile (come -bue) e
il nome del file o il trattino è obbligatorio. Se ometti i flag e fornisci argomenti come -oG-
or -oXscan.xml, una funzione di retrocompatibilità di Nmap causerà la creazione di
normale formato file di output denominati rispettivamente G- e Xscan.xml.

Tutti questi argomenti supportano strftime-Piace. conversioni nel nome del file. %H, %M, %S,
%m, %d, %y e %Y sono tutti esattamente uguali a in strftime. %T è uguale a %H%M%S, %R
è uguale a %H%M e %D è uguale a %m%d%y. Un % seguito da qualsiasi altro carattere
restituisce solo quel carattere (%% ti dà un simbolo percentuale). Così -bue 'scan-%T-%D.xml' andrete a
utilizzare un file XML con un nome nel formato scan-144840-121307.xml.

Nmap offre anche opzioni per controllare la verbosità della scansione e per aggiungere piuttosto ai file di output
piuttosto che picchiarli. Tutte queste opzioni sono descritte di seguito.

Nmap Uscita formati

-Su specifica file (uscita normale).
Richiede che l'output normale sia diretto al nome file specificato. Come discusso sopra,
questo differisce leggermente dall'output interattivo.

-bue specifica file (uscita XML).
Richiede che l'output XML sia diretto al nome file specificato. Nmap include un documento
definizione del tipo (DTD) che consente ai parser XML di convalidare l'output XML di Nmap. mentre è
è principalmente inteso per l'uso programmatico, può anche aiutare gli umani a interpretare Nmap XML
produzione. Il DTD definisce gli elementi legali del formato e spesso enumera i
attributi e valori che possono assumere. L'ultima versione è sempre disponibile da
https://svn.nmap.org/nmap/docs/nmap.dtd.

XML offre un formato stabile che può essere facilmente analizzato dal software. I parser XML gratuiti sono
disponibile per tutti i principali linguaggi per computer, inclusi C/C++, Perl, Python e Java.
Le persone hanno persino scritto collegamenti per la maggior parte di questi linguaggi per gestire l'output di Nmap
ed esecuzione nello specifico. Esempi sono Nmap::Scanner[15]. e Nmap:: Analizzatore[16]. In
Perl CPAN. Nella quasi totalità dei casi che un'applicazione non banale si interfaccia con Nmap,
XML è il formato preferito.

L'output XML fa riferimento a un foglio di stile XSL che può essere utilizzato per formattare i risultati come
HTML. Il modo più semplice per usarlo è semplicemente caricare l'output XML in un browser web
come Firefox o IE. Per impostazione predefinita, funzionerà solo sulla macchina su cui hai eseguito Nmap
(o uno configurato in modo simile) a causa del percorso del filesystem nmap.xsl hardcoded. Uso
, il --webxml or --foglio di stile opzioni per creare file XML portatili che vengono visualizzati come HTML
su qualsiasi macchina connessa al web.

-os specifica file (ScRipT KIdd|3 output) .
L'output di script kiddie è come un output interattivo, tranne per il fatto che è post-elaborato per
si adatta meglio al l33t HaXXorZ che in precedenza guardava dall'alto in basso Nmap a causa della sua coerenza
maiuscole e ortografiche. Le persone con problemi di umorismo dovrebbero notare che questa opzione è
prendendo in giro i ragazzini della sceneggiatura prima di infuriarmi per aver presumibilmente "aiutato loro".

-oG specifica file (uscita gradevole).
Questo formato di output è coperto per ultimo perché è deprecato. Il formato di output XML è
molto più potente ed è quasi altrettanto conveniente per gli utenti esperti. XML è un
standard per il quale sono disponibili dozzine di eccellenti parser, mentre l'output grepable è
il mio semplice trucco. XML è estensibile per supportare le nuove funzionalità di Nmap così come sono
rilasciato, mentre spesso devo omettere quelle funzionalità dall'output grepable per mancanza di a
posto dove metterli.

Tuttavia, l'output grepable è ancora abbastanza popolare. È un formato semplice che elenca
ogni host su una riga e può essere banalmente cercato e analizzato con Unix standard
strumenti come grep, awk, cut, sed, diff e Perl. Anche io di solito lo uso per una tantum
test eseguiti dalla riga di comando. Trovare tutti gli host con la porta SSH aperta o quella
sono in esecuzione Solaris richiede solo un semplice grep per identificare gli host, reindirizzato a un awk o
comando cut per stampare i campi desiderati.

L'output Grepable è costituito da commenti (righe che iniziano con un cancelletto (#)). e obiettivo
Linee. Una linea di destinazione include una combinazione di sei campi etichettati, separati da tab
e seguito da due punti. I campi sono Host, Porte, Protocolli, Stato ignorato, Sistema operativo,
Indice Seq, ID IP e Stato.

Il più importante di questi campi è generalmente Ports, che fornisce dettagli su ciascuno
porto interessante. È un elenco separato da virgole di voci di porta. Ogni entrata in porto
rappresenta una porta interessante e assume la forma di sette barre (/) separate
sottocampi. Questi sottocampi sono: Numero porta, Stato, Protocollo, Proprietario, Servizio, SunRPC
informazioni e Informazioni sulla versione.

Come per l'output XML, questa pagina man non consente di documentare l'intero formato. UN
uno sguardo più dettagliato al formato di output grepable di Nmap è disponibile da
https://nmap.org/book/output-formats-grepable-output.html.

-oA nome di base (Uscita in tutti i formati) .
Per comodità, puoi specificare -oA nome di base per memorizzare i risultati della scansione in formato normale, XML,
e formati grepable contemporaneamente. Sono memorizzati in nome di base.nmap, nome di base.xml e
nome di base.gnmap, rispettivamente. Come con la maggior parte dei programmi, puoi anteporre i nomi dei file con
un percorso di directory, come ~/nmalogs/foocorp/ su Unix o c:\hacking\sco su Windows.

Verbosità e debug Opzioni

-v (Aumenta il livello di verbosità) .
Aumenta il livello di verbosità, facendo in modo che Nmap stampi più informazioni sulla scansione
in corso. Le porte aperte vengono mostrate man mano che vengono trovate e le stime dei tempi di completamento sono
fornito quando Nmap pensa che una scansione richieda più di qualche minuto. Usalo due volte o
more per una verbosità ancora maggiore: -vv, o fornire direttamente un livello di verbosità, ad esempio
-v3..

La maggior parte delle modifiche ha effetto solo sull'output interattivo e alcune riguardano anche normale e script
uscita per bambini. Gli altri tipi di output sono pensati per essere elaborati dalle macchine, quindi Nmap
può fornire dettagli sostanziali per impostazione predefinita in quei formati senza affaticare un essere umano
utente. Tuttavia, ci sono alcuni cambiamenti in altre modalità in cui le dimensioni dell'output possono essere ridotte
sostanzialmente omettendo qualche dettaglio. Ad esempio, una riga di commento nel grepable
l'output che fornisce un elenco di tutte le porte scansionate viene stampato solo in modalità dettagliata
perché può essere piuttosto lungo.

-d (Aumenta il livello di debug) .
Quando anche la modalità dettagliata non fornisce dati sufficienti per te, è disponibile il debug
per inondarti di molto di più! Come con l'opzione verbosità (-v), il debug è abilitato
con un flag della riga di comando (-d) e il livello di debug può essere aumentato specificandolo
più volte,. come in -DDo impostando direttamente un livello. Per esempio, -d9 set
livello nove. Questo è il livello effettivo più alto e produrrà migliaia di linee
a meno che non si esegua una scansione molto semplice con pochissime porte e target.

L'output di debug è utile quando si sospetta un bug in Nmap, o se lo sei semplicemente
confuso su cosa sta facendo Nmap e perché. Poiché questa funzione è principalmente destinata a
sviluppatori, le righe di debug non sono sempre autoesplicative. Potresti ottenere qualcosa come:
Timeout vals: srtt: -1 rttvar: -1 to: 1000000 delta 14987 ==> srtt: 14987 rttvar:
14987 a: 100000. Se non capisci una riga, le tue uniche risorse sono ignorare
esso, cercalo nel codice sorgente o richiedi aiuto dall'elenco di sviluppo
(nmap-dev).. Alcune righe sono autoesplicative, ma i messaggi diventano più oscuri man mano che
il livello di debug è aumentato.

--Motivo (Motivi dello stato dell'host e del porto) .
Mostra il motivo per cui ogni porta è impostata su uno stato specifico e il motivo per cui ogni host è attivo
o giù. Questa opzione mostra il tipo di pacchetto che ha determinato una porta o host
stato. Ad esempio, un pacchetto RST da una porta chiusa o una risposta eco da un vivo
ospite. Le informazioni che Nmap può fornire sono determinate dal tipo di scansione o ping. Il
Scansione SYN e ping SYN (-ss e -PS) sono molto dettagliate, ma la scansione della connessione TCP (-st)
è limitato dall'attuazione del connect chiamata di sistema. Questa funzione è
abilitato automaticamente dall'opzione di debug (-d). e i risultati vengono archiviati nel registro XML
file anche se questa opzione non è specificata.

--stats-ogni tempo (Stampa statistiche di temporizzazione periodiche) .
Stampa periodicamente un messaggio di stato di temporizzazione dopo ogni intervallo di tempo. Il tempo è un
specificazione del tipo descritto nella sezione denominata “TEMPI E PRESTAZIONI”; così
ad esempio, usa --stats-ogni 10 secondi per ottenere un aggiornamento di stato ogni 10 secondi. Aggiornamenti
vengono stampati sull'output interattivo (lo schermo) e sull'output XML.

--packet-traccia (Traccia pacchetti e dati inviati e ricevuti) .
Fa in modo che Nmap stampi un riepilogo di ogni pacchetto inviato o ricevuto. Questo è spesso usato
per il debug, ma è anche un modo prezioso per i nuovi utenti di capire esattamente cosa
Nmap sta facendo sotto le coperte. Per evitare di stampare migliaia di righe, potresti volerlo fare
specificare un numero limitato di porte da scansionare, ad esempio - p20-30. Se ti interessa solo il
andamento del sottosistema di rilevamento della versione, utilizzare --versione-traccia invece. Se solo tu
preoccuparsi della traccia degli script, specificare --script-traccia. Con --packet-traccia, ottieni tutto
quanto sopra.

--aprire (Mostra solo porte aperte (o possibilmente aperte)) .
A volte ti interessano solo le porte a cui puoi effettivamente connetterti (quelle aperte) e non lo fai
vogliono risultati pieni di porte chiuse, filtrate e chiuse|filtrate. Produzione
la personalizzazione viene normalmente eseguita dopo la scansione utilizzando strumenti come grep, awk e Perl,
ma questa funzione è stata aggiunta a causa di richieste travolgenti. Specificare --aprire solo per vedere
host con almeno una porta aperta, open|filtrata o non filtrata e vedono solo le porte in
quegli stati. Questi tre stati sono trattati proprio come sono normalmente, il che significa
che open|filtrato e non filtrato possono essere condensati in conteggi se sono presenti un
numero schiacciante di loro.

--iflist (Elenca interfacce e percorsi) .
Stampa l'elenco delle interfacce e i percorsi di sistema rilevati da Nmap. Questo è utile per
debugging di problemi di routing o errata caratterizzazione del dispositivo (come Nmap che tratta un PPP
connessione come ethernet).

Miscellanea produzione Opzioni

--append-output (Aggiungi a file di output piuttosto che clobber) .
Quando si specifica un nome file in un flag di formato di output come -bue or -Su, quel file è
sovrascritto per impostazione predefinita. Se preferisci mantenere il contenuto esistente del file e
aggiungere i nuovi risultati, specificare il --append-output opzione. Tutti i nomi dei file di output
specificato in che l'esecuzione di Nmap verrà quindi aggiunta anziché clobberata. Questo
non funziona bene per XML (-bue) scansiona i dati poiché il file risultante generalmente non viene analizzato
correttamente fino a quando non lo si risolve a mano.

--riprendere Nome del file (Riprendere la scansione interrotta) .
Alcune esecuzioni estese di Nmap richiedono molto tempo, nell'ordine dei giorni. Tali scansioni non lo fanno
corri sempre fino al completamento. Le restrizioni possono impedire l'esecuzione di Nmap durante il lavoro
ore, la rete potrebbe interrompersi, la macchina su cui è in esecuzione Nmap potrebbe subire a
riavvio pianificato o non pianificato, oppure Nmap stesso potrebbe bloccarsi. L'amministratore in esecuzione
Nmap potrebbe cancellarlo anche per qualsiasi altro motivo, premendo ctrl-C. Riavvio del
l'intera scansione dall'inizio potrebbe essere indesiderabile. Fortunatamente, se normale (-Su) o puoi
appetitoso (-oG) sono stati conservati, l'utente può chiedere a Nmap di riprendere la scansione con il file
obiettivo su cui stava lavorando quando l'esecuzione è cessata. Specificare semplicemente il --riprendere opzione e
passa il file di output normale/grepable come argomento. Nessun altro argomento lo è
consentito, poiché Nmap analizza il file di output per utilizzare gli stessi specificati in precedenza.
Chiama semplicemente Nmap come Nmap --riprendere nomefile di log. Nmap aggiungerà nuovi risultati al file
file di dati specificati nell'esecuzione precedente. La ripresa non supporta l'XML
formato di output perché la combinazione delle due esecuzioni in un file XML valido sarebbe
difficile.

--foglio di stile sentiero or URL (Imposta foglio di stile XSL per trasformare l'output XML) .
Nmap viene fornito con un XSL. foglio di stile. chiamato nmap.xsl. per la visualizzazione o la traduzione di XML
output in HTML.. L'output XML include una direttiva xml-stylesheet che punta a
nmap.xml dove è stato inizialmente installato da Nmap. Esegui il file XML tramite un XSLT
processore come xsltproc[17]. per produrre un file HTML. Apertura diretta dell'XML
file in un browser non funziona più bene perché i browser moderni limitano le posizioni a
il foglio di stile può essere caricato da. Se desideri utilizzare un foglio di stile diverso, specificalo
come argomento per --foglio di stile. Devi passare il percorso completo o l'URL. Uno comune
l'invocazione è --foglio di stile https://nmap.org/svn/docs/nmap.xsl. Questo dice a un XSLT
processore per caricare l'ultima versione del foglio di stile da Nmap.Org. Il --webxml
l'opzione fa la stessa cosa con meno digitazione e memorizzazione. Caricamento dell'XSL da
Nmap.Org semplifica la visualizzazione dei risultati su una macchina che non dispone di Nmap (e quindi
nmap.xsl) installato. Quindi l'URL è spesso più utile, ma il filesystem locale
la posizione di nmap.xsl viene utilizzata per impostazione predefinita per motivi di privacy.

--webxml (Carica foglio di stile da Nmap.Org) .
Questa è un'opzione conveniente, nient'altro che un alias per --foglio di stile
https://nmap.org/svn/docs/nmap.xsl.

--nessun foglio di stile (Ometti la dichiarazione del foglio di stile XSL da XML) .
Specifica questa opzione per impedire a Nmap di associare qualsiasi foglio di stile XSL al suo XML
produzione. La direttiva xml-stylesheet viene omessa.

VARIE VERSIONI

Questa sezione descrive alcune opzioni importanti (e non così importanti) che non si adattano davvero
da qualsiasi altra parte.

-6 (Abilita scansione IPv6) .
Nmap ha il supporto IPv6 per le sue funzionalità più popolari. Scansione ping, scansione porte,
rilevamento della versione e Nmap Scripting Engine supportano tutti IPv6. La sintassi del comando
è lo stesso del solito tranne per il fatto che aggiungi anche il -6 opzione. Certo, devi usare
Sintassi IPv6 se si specifica un indirizzo anziché un nome host. Potrebbe sembrare un indirizzo
come 3ffe:7501:4819:2000:210:f3ff:fe03:14d0, quindi i nomi host sono consigliati. Il risultato
ha lo stesso aspetto del solito, con l'indirizzo IPv6 sulla riga "porte interessanti".
l'unico regalo IPv6.

Sebbene IPv6 non abbia esattamente preso d'assalto il mondo, in alcuni viene utilizzato in modo significativo
I paesi (di solito asiatici) e la maggior parte dei sistemi operativi moderni lo supportano. Per usare Nmap
con IPv6, sia l'origine che la destinazione della scansione devono essere configurate per IPv6. Se
il tuo ISP (come la maggior parte di loro) non ti assegna indirizzi IPv6, tunnel gratuito
i broker sono ampiamente disponibili e funzionano bene con Nmap. Uso il tunnel IPv6 gratuito
broker. servizio presso http://www.tunnelbroker.net. Altri broker di tunnel lo sono elencato at
wikipedia[18]. I tunnel 6to4 sono un altro approccio popolare e gratuito.

In Windows, le scansioni IPv6 raw-socket sono supportate solo su dispositivi Ethernet (non
tunnel) e solo su Windows Vista. e più tardi. Utilizzare il --senza privilegi. opzione dentro
altre situazioni.

-A (Opzioni di scansione aggressiva) .
Questa opzione consente ulteriori opzioni avanzate e aggressive. Attualmente questo consente
Rilevamento del sistema operativo (-O), scansione della versione (-S), scansione degli script (-ns) e traceroute
(--traceroute.. Altre funzionalità potrebbero essere aggiunte in futuro. Il punto è abilitare a
set completo di opzioni di scansione senza che le persone debbano ricordare un ampio set di
bandiere. Tuttavia, poiché la scansione degli script con l'impostazione predefinita è considerata invadente,
non dovresti usare -A contro reti di destinazione senza autorizzazione. Solo questa opzione
abilita le funzioni e non le opzioni di temporizzazione (come -T4) o opzioni di verbosità (-v) quello
potresti volerlo anche tu. Opzioni che richiedono privilegi (es. accesso root) come OS
rilevamento e traceroute saranno abilitati solo se tali privilegi sono disponibili.

--dir.dati nomedirectory (Specificare la posizione del file di dati Nmap personalizzato) .
Nmap ottiene alcuni dati speciali in fase di esecuzione in file denominati nmap-service-probes,
nmap-services, nmap-protocols, nmap-rpc, nmap-mac-prefixes e nmap-os-db. Se la
è stata specificata la posizione di uno di questi file (utilizzando il file --servicedb or
--versionedb opzioni), quella posizione viene utilizzata per quel file. Successivamente, Nmap cerca
questi file nella directory specificata con --dir.dati opzione (se presente). Qualsiasi file
non trovati lì, vengono cercati nella directory specificata dal NMAPDIR.
variabile d'ambiente. Il prossimo arriva ~/.nmap. per UID reali ed efficaci; o su Windows,
HOME\AppData\Roaming\nmap (dove HOME è la home directory dell'utente, come
C:\Utenti\utente). Questo è seguito dalla posizione dell'eseguibile nmap e lo stesso
posizione con ../share/nmap aggiunto. Quindi una posizione compilata come
/usr/local/share/nmap o /usr/share/nmap.

--servicedb servizi filetto (Specificare il file dei servizi personalizzati) .
Chiede a Nmap di utilizzare il file services specificato anziché il file di dati nmap-services
che viene fornito con Nmap. L'utilizzo di questa opzione provoca anche una scansione veloce (-F) da essere usato. Vedere
la descrizione per --dir.dati per ulteriori informazioni sui file di dati di Nmap.

--versionedb servizio sonde filetto (Specificare il file delle sonde di servizio personalizzato) .
Chiede a Nmap di utilizzare il file delle sonde di servizio specificato anziché nmap-service-probes
file di dati fornito con Nmap. Vedere la descrizione per --dir.dati per maggiori informazioni
sui file di dati di Nmap.

--send-eth (Utilizzare l'invio ethernet grezzo) .
Chiede a Nmap di inviare pacchetti al livello ethernet grezzo (collegamento dati) anziché al livello superiore
Livello IP (rete). Per impostazione predefinita, Nmap sceglie quello che è generalmente migliore per il
piattaforma su cui è in esecuzione. Socket grezzi (strato IP). sono generalmente più efficienti per
Macchine Unix, mentre i frame Ethernet sono necessari per il funzionamento di Windows da allora
Microsoft ha disabilitato il supporto per socket raw. Nmap utilizza ancora pacchetti IP grezzi su Unix nonostante
questa opzione quando non c'è altra scelta (come connessioni non ethernet).

--invia-ip (Invia a livello IP grezzo) .
Chiede a Nmap di inviare pacchetti tramite socket IP grezzi piuttosto che inviare ethernet di livello inferiore
cornici. È il complemento del --send-eth opzione discussa in precedenza.

--privilegiato (Si supponga che l'utente sia pienamente privilegiato) .
Dice a Nmap di presumere semplicemente che abbia i privilegi sufficienti per eseguire invii socket grezzi,
sniffing dei pacchetti e operazioni simili che di solito richiedono i privilegi di root. su Unix
sistemi. Per impostazione predefinita Nmap si chiude se tali operazioni sono richieste ma geteuid non è
zero. --privilegiato è utile con le funzionalità del kernel Linux e sistemi simili che
può essere configurato per consentire agli utenti senza privilegi di eseguire scansioni di pacchetti non elaborati. Essere sicuri di
fornire questo flag di opzione prima di qualsiasi flag per le opzioni che richiedono privilegi (SYN
scansione, rilevamento del sistema operativo, ecc.). Il NMAP_PRIVILEGED. la variabile d'ambiente può essere impostata come an
alternativa equivalente a --privilegiato.

--senza privilegi (Supponiamo che l'utente non disponga dei privilegi di raw socket) .
Questa opzione è l'opposto di --privilegiato. Dice a Nmap di trattare l'utente come
privo di socket raw di rete e privilegi di sniffing. Questo è utile per i test,
debugging, o quando la funzionalità di rete grezza del tuo sistema operativo è in qualche modo
rotte. Il NMAP_UNPRIVILEGED. la variabile di ambiente può essere impostata come equivalente
in alternativa a --senza privilegi.

--rilascio-memoria (Rilascia la memoria prima di uscire) .
Questa opzione è utile solo per il debug di perdite di memoria. Fa rilasciare Nmap
memoria allocata appena prima che si chiuda in modo che le perdite di memoria effettive siano più facili da individuare.
Normalmente Nmap lo salta poiché il sistema operativo lo fa comunque al termine del processo.

-V; --versione (Numero di versione di stampa) .
Stampa il numero di versione di Nmap ed esce.

-h; --Aiuto (Stampa la pagina di riepilogo della guida) .
Stampa una breve schermata della guida con i flag di comando più comuni. Esecuzione di Nmap senza
qualsiasi argomento fa la stessa cosa.

DURATA INTERAZIONE

Durante l'esecuzione di Nmap, vengono catturate tutte le pressioni dei tasti. Questo ti permette di interagire
con il programma senza interromperlo e riavviarlo. Alcuni tasti speciali cambieranno
opzioni, mentre qualsiasi altro tasto stamperà un messaggio di stato che ti informa sulla scansione.
La convenzione è quella minuscolo lettere aumentare la quantità di stampa e lettere maiuscole
lettere diminuire la stampa. Puoi anche premere '?' per un aiuto.

v / V
Aumenta/diminuisci il livello di verbosità

d / D
Aumenta/diminuisci il livello di debug

p / P
Attiva / disattiva la traccia dei pacchetti

?
Stampa una schermata di aiuto per l'interazione di runtime

Qualunque altra cosa
Stampa un messaggio di stato come questo:

Statistiche: 0:00:07 trascorse; 20 host completati (1 attivo), 1 in fase di scansione del servizio
Tempi di scansione del servizio: circa il 33.33% eseguito; ETC: 20:57 (0:00:12 rimanenti)

ESEMPI

Ecco alcuni esempi di utilizzo di Nmap, da quelli semplici e di routine a quelli un po' più complessi
ed esoterico. Alcuni indirizzi IP e nomi di dominio effettivi vengono utilizzati per migliorare le cose
calcestruzzo. Al loro posto dovresti sostituire indirizzi/nomi da il tuo proprio Rete.
Anche se non penso che la scansione delle porte di altre reti sia o debba essere illegale, alcune reti
gli amministratori non apprezzano la scansione non richiesta delle loro reti e potrebbero lamentarsi.
Ottenere prima il permesso è l'approccio migliore.

A scopo di test, hai il permesso di scansionare l'host scanme.nmap.org.. Questo
l'autorizzazione include solo la scansione tramite Nmap e non il test di exploit o denial of service
attacchi. Per risparmiare larghezza di banda, non avviare più di una dozzina di scansioni
quell'ospite al giorno. Se questo servizio di destinazione della scansione gratuito viene abusato, verrà rimosso
e Nmap segnalerà Impossibile risolvere dato hostname/IP: scanme.nmap.org. Queste
le autorizzazioni si applicano anche agli host scanme2.nmap.org, scanme3.nmap.org e così via, anche se
questi host non esistono attualmente.

Nmap -v scanme.nmap.org.

Questa opzione esegue la scansione di tutte le porte TCP riservate sulla macchina scanme.nmap.org . Il -v opzione
abilita la modalità dettagliata.

Nmap -ss -O scanme.nmap.org/24.

Avvia una scansione SYN invisibile su ogni macchina che supera i 256 IP su
rete di dimensioni di classe C in cui risiede Scanme. Cerca anche di determinare cosa sta operando
il sistema è in esecuzione su ogni host attivo e funzionante. Ciò richiede i privilegi di root
a causa della scansione SYN e del rilevamento del sistema operativo.

Nmap -S -p 22,53,110,143,4564 198.116.0-255.1-127.

Avvia l'enumerazione host e una scansione TCP nella prima metà di ciascuno dei 255 possibili
sottoreti a otto bit nello spazio degli indirizzi di classe B 198.116. Questo verifica se i sistemi funzionano
SSH, DNS, POP3 o IMAP sulle loro porte standard o qualsiasi altra cosa sulla porta 4564. Per qualsiasi
queste porte sono state trovate aperte, il rilevamento della versione viene utilizzato per determinare quale sia l'applicazione
esecuzione.

Nmap -v -IR 100000 -Pn -p 80.

Chiede a Nmap di scegliere 100,000 host a caso e di scansionarli alla ricerca di server Web (porta 80). Ospite
l'enumerazione è disabilitata con -Pn dal primo invio di un paio di sonde per determinare se
un host è attivo è uno spreco quando stai comunque sondando solo una porta su ciascun host di destinazione.

Nmap -Pn -p80 -bue logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20.

Questo esegue la scansione di 4096 IP per qualsiasi server Web (senza eseguire il ping) e salva l'output in
formati grepable e XML.

Nmap Iscriviti

Sebbene questa guida di riferimento descriva in dettaglio tutte le opzioni materiali di Nmap, non può essere completamente dimostrata
come applicare queste funzionalità per risolvere rapidamente le attività del mondo reale. Per questo, abbiamo rilasciato Nmap
Scansione di rete: la guida ufficiale del progetto Nmap alla scoperta e alla sicurezza della rete
Scansione. Gli argomenti includono la sovversione dei firewall e dei sistemi di rilevamento delle intrusioni, l'ottimizzazione
Prestazioni di Nmap e automazione delle attività di rete comuni con Nmap Scripting Engine.
Suggerimenti e istruzioni vengono forniti per attività comuni di Nmap come prendere rete
inventario, test di penetrazione, rilevamento di punti di accesso wireless non autorizzati e annullamento
focolai di worm di rete. Esempi e diagrammi mostrano la comunicazione effettiva sul filo. Di più
della metà del libro è disponibile gratuitamente online. Vedere https://nmap.org/book per maggiori
informazioni.

Usa nmap online utilizzando i servizi onworks.net