Guia Completo Do Nmap

  • Published on
    12-Jul-2015

  • View
    194

  • Download
    1

Embed Size (px)

Transcript

<p>Guia de Referncia do Nmap (Pgina do Manual) Name nmap Ferramenta de explorao de rede e segurana / scanner de portas Synopsis nmap [ ...] [ ] { } O Nmap (Network Mapper) uma ferramenta de cdigo aberto para explorao de rede e auditoria de segurana. Ela foi desenhada para escanear rapidamente redes amplas, embora tambm funcione muito bem contra hosts individuais. O Nmap utiliza pacotes IP em estado bruto (raw) de maneira inovadora para determinar quais hosts esto disponveis na rede, quais servios (nome da aplicao e verso) os hosts oferecem, quais sistemas operacionais (e verses de SO) eles esto executando, que tipos de filtro de pacotes/firewalls esto em uso, e dezenas de outras caractersticas. Embora o Nmap seja normalmente utilizado para auditorias de segurana, muitos administradores de sistemas e rede consideram-no til para tarefas rotineiras tais como inventrio de rede, gerenciamento de servios de atualizao agendados, e monitoramento de host ou disponibilidade de servio. A sada do Nmap uma lista de alvos escaneados, com informaes adicionais de cada um dependendo das opes utilizadas. Uma informao chave a tabela de portas interessantes. Essa tabela lista o nmero da porta e o protocolo, o nome do servio e o estado. O estado pode ser aberto (open), filtrado (filtered), fechado (closed), ou no-filtrado (unfilterd). Aberto (open) significa que uma aplicao na mquina-alvo est escutando as conexes/pacotes naquela porta. Filtrado (filtered) significa que o firewall, filtro ou outro obstculo de rede est bloqueando a porta de forma que o Nmap no consegue dizer se ela est aberta (open) ou fechada (closed). Portas fechadas (closed)no possuem uma aplicao escutando nelas, embora possam abrir a qualquer instante. Portas so classificadas como no filtradas (unfiltered)quando elas respondem s sondagens do Nmap, mas o Nmap no consegue determinar se as portas esto abertas ou fechadas. O Nmap reporta as combinaes aberta|filtrada (open|filtered)e fechada| filtrada (closed|filtered)quando no consegue determinar qual dos dois estados descrevem melhor a porta. A tabela de portas tambm pode incluir detalhes de verso de software quando a deteco de verso for solicitada. Quando um scan do protocolo IP solicitado (-sO), o Nmap fornece informaes dos protocolos IP suportados ao invs de portas que estejam abertas. Alm da tabela de portas interessantes, o Nmap pode fornecer informaes adicionais sobre os alvos, inclundo nomes de DNS reverso, possvel sistema operacional, tipos de dispositivos e endereos MAC. Um scan tpico do Nmap mostrado em Example 1, Uma amostra de scan do Nmap. Os nicos argumentos que o Nmap utiliza nesse exemplo so -A, para habilitar a deteco de SO e a verso, -T4 para execuo mais rpida, e os hostnames de dois alvos. Especificao de Alvo Tudo na linha de comando do Nmap que no for uma opo (ou argumento de uma opo) tratado como uma especificao de um host-alvo. O caso mais simples especificar um endereo IP como alvo ou um hostname para ser escaneado. Algumas vezes voc pode querer escanear uma rede inteira de hosts adjacentes. Para isso o Nmap suporta o estilo de endereamento CIDR. Voc pode acrescentar / em um endereo ou hostname e o Nmap ir escanear cada endereo IP para o qual os primeiros sejam o mesmo que o IP de referncia ou o hostname dado. Por exemplo, 192.168.10.0/24 escanearia os 256 hosts entre 192.168.10.0 (binrio: 11000000 10101000</p> <p>00001010 00000000) e 192.168.10.255 (binrio: 11000000 10101000 00001010 11111111), inclusive. 192.168.10.40/24 faria exatamente a mesma coisa. Dado que o host scanme.nmap.org est no endereo IP 205.217.153.62, a especificao scanme.nmap.org/16 escanearia os 65.536 endereos IP entre 205.217.0.0 e 205.217.255.255. O menor valor permitido /1, que equivale a escanear metade da Internet. O maior valor 32, que escaneia apenas o host nomeado ou endereo IP porque todos os bits de endereamento esto fixos. A notao CIDR curta mas nem sempre flexvel o suficiente. Por exemplo, voc pode querer escanear 192.168.0.0/16 mas desejar pular todos os IPs terminados em .0 ou .255 porque eles so normalmente endereos de broadcast. O Nmap suporta isso atravs de endereamento por faixa de octeto. Ao invs de especificar um endereo IP normal, voc pode especificar uma lista de nmeros separada por vrgulas ou faixa de nmeros para cada octeto. Por exemplo, 192.168.0-255.1-254 ir pular todos os endereos na faixa que terminarem com .0 e/ou .255. Faixas no precisam ser limitadas ao octeto final: o especificador 0-255.0-255.13.37 ir executar um scan em toda a Internet buscando os endereos IP terminados em 13.37. Esse tipo de amostragem ampla pode ser til em levantamentos e pesquisas da Internet toda. Endereos IPv6 podem apenas ser especificados utilizando o endereo ou hostname IPv6 completamente qualificado. Faixas CIDR e octetos no so suportados para o IPv6 porque eles raramente so teis. O Nmap aceita mltiplas especificaes de host na linha de comando, e elas no precisam ser do mesmo tipo. O comando nmap scanme.nmap.org 192.168.0.0/16 10.0.0,1,3-7.0-255 executa o que se espera que dele. Embora os alvos sejam normalmente especificados na linha de comando, as seguintes opes tambm esto disponveis para controlar a seleo de alvos: -iL (Entrada partir de uma lista) L a especificao de alvos partir de um . Passar uma lista enorme de hosts na linha de comando muito ruim, ainda que seja comumente desejvel. Por exemplo, seu servidor DHCP pode exportar uma lista de 10.000 endereos correntes em uso que voc deseja escanear. Ou talvez voc deseje escanear todos os endereos IP exceto aqueles usados para localizar hosts que usam endereos IP estticos no-autorizados. Simplesmente gere uma lista de hosts a escanear e passe o nome do arquivo para o Nmap como um argumento opo -iL. As entradas podem estar em qualquer um dos formatos aceitos pelo Nmap na linha de comando (endereo IP, hostname, CIDR, IPv6, ou faixas de octetos). Cada entrada deve ser separada por um ou mais espaos em branco, tabulaes ou quebra de linhas. Voc pode especificar um hfen (-) como nome de arquivo se quiser que o Nmap leia os nomes de hosts da entrada padro (standard input) ao invs de um arquivo. -iR (Escolhe alvos aleatrios) Para levantamentos na Internet toda e outras pesquisas, voc pode querer escolher alvos de forma aleatria. O argumento diz ao Nmap quantos IPs ele dever gerar. IPs indesejveis, tais como aqueles de certas redes privativas, multicast e faixas de endereos noalocadas so automaticamente desconsideradas. O argumento 0 (zero) pode ser especificado caso deseje um scan sem fim. Tenha em mente que alguns administradores de rede "torcem o nariz" para scans no-autorizados de suas redes e podem reclamar. Use esta opo por sua conta e risco! Se voc estiver realmente entediado em uma tarde chuvosa, tente o comando nmap -sS -iR 0 -p 80 para localizar servidores web aleatrios para navegar. --exclude (Exclui hosts/redes) Especifica uma lista de alvos, separados por vrgula, a serem excludos do scan mesmo que</p> <p>faam parte da faixa de rede especificada. A lista que voc fornece utiliza a sintaxe normal do Nmap, portanto ela pode incluir nomes de hosts, blocos de rede CIDR, faixas de octetos, etc. Isso pode ser til quando a rede que voc deseja escanear inclui servidores de misso crtica intocveis, sistemas que reajam contrariamente a escaneamento de portas ou sub-redes administradas por outras pessoas. --excludefile (Exclui a lista do arquivo) Oferece a mesma funcionalidade que a opo --exclude, exceto que os alvos a excluir so fornecidos em um , delimitados por quebra de linhas, espao em branco ou tabulao, ao invs de na linha de comando. Descoberta de Hosts Um dos primeiros passos em qualquer misso de reconhecimento de uma rede reduzir um conjunto (s vezes enorme) de faixas de endereos IP, em uma lista de hosts ativos e interessantes. Escanear cada porta de cada endereo IP vagaroso e normalmente desnecessrio. claro que o que torna um host interessante depende muito do propsito do scan. Administradores de rede podem estar apenas interessados em hosts que executam um determinado servio, enquanto os auditores de segurana podem se importar com cada dispositivo que possuir um endereo IP. Um administrador pode se sentir vontade em usar o ping ICMP para localizar os hosts na rede interna, enquanto um profissional externo de anlise de vulnerabilidades (penetration tester) pode utilizar um conjunto diversificado de dezenas de sondagens em uma tentativa de burlar as restries do firewall. As necessidades para o descobrimento de host so muito diversas e, por isso, o Nmap oferece uma ampla variedade de opes para customizar as tcnicas utilizadas. A descoberta de host s vezes chamada de ping scan, mas ela vai muito alm dos simples pacotes ICMP de echo request associados com a ferramenta onipresente conhecida como ping. Os usurios podem pular a etapa do ping inteiramente com uma lista de scan (-sL) ou desabilitanto o ping (-P0), ou enfrentar a rede com combinaes arbitrrias de sondagens multi-portas TCP SYN/ACK, UDP e ICMP. O objetivo dessas sondagens solicitar respostas que mostrem que um endereo IP est realmente ativo ( utilizado por um host ou dispositivo de rede). Em muitas redes, apenas uma pequena percentagem dos endereos IP est ativa em um dado momento. Isso particularmente comum com o espao de endereamento privativo abenoado pela RFC1918 como, por exemplo, 10.0.0.0/8. Essa rede tem 16 milhes de IPs, mas eu j a vi sendo utilizado em empresas com menos de mil mquinas. A descoberta de hosts pode encontrar essas mquinas escassamente alocadas em um mar de endereos IP. Se nenhuma opo de descoberta de hosts for dada, o Nmap envia um pacote TCP ACK destinado a porta 80 e uma procura ICMP Echo Request a cada mquina-alvo. Uma exceo a isso que um scan ARP utilizado para cada alvo localizado na rede ethernet local. Para usurios Unix sem privilgios, com shell, um pacote SYN enviado ao invs do ack utilizando a chamada de sistema connect(). Esses valores padro equivalem s opes -PA -PE. Esta descoberta de host freqentemente suficiente para escanear redes locais, mas um conjunto de sondagens mais abrangentes recomendado para auditoria de segurana. As opes -P* (que selecionam tipos de ping) podem ser combinadas. Voc pode aumentar as chances de penetrar em um firewall rgido enviando muitos tipos de sondagens, utilizando diferentes portas/flags TCP e cdigos ICMP. Note tambm que a descoberta por ARP (-PR) feita por padro contra alvos na rede ethernet local mesmo que voc especifique outras opes -P* , porque quase sempre mais rpida e eficiente. Por definio, o Nmap faz a descoberta de host e ento executa um escaneamento de portas contra cada host que ele determina que est ativo. Isto verdade mesmo que voc especifique tipos de busca no-padronizadas de hosts, tais como sondagens UDP (-PU). Leia sobre a opo</p> <p>-sP para saber como executar apenas uma descoberta de hosts, ou utilize -P0 para pular a descoberta de hosts e escanear as portas de todos os hosts-alvo. As seguintes opes controlam a descoberta de hosts: -sL (Scan Listagem) O scan listagem uma forma degenerada de descoberta de hosts que simplesmente lista cada host da rede especificada, sem enviar nenhum pacote aos hosts-alvos. Por padro o Nmap far a resoluo de DNS reverso dos hosts para descobrir seus nomes. Ainda surpreendente a quantidade de informaes teis que simples nomes de hosts podem dar. Por exemplo, fw.chi.playboy.com o firewall do escritrio de Chicago da Playboy Enterprises. Nmap tambm reporta o nmero total de endereos IP ao final. O scan listagem um bom teste de sanidade para assegurar que voc est com a lista correta de endereos IP dos seus alvos. Se os hosts mostrarem nomes de domnios que voc no reconhece, vale a pena investigar melhor para evitar scanear a rede da empresa errada. Uma vez que a idia apenas mostrar uma lista dos hosts-alvos, as opes de funcionalidade de nvel mais alto tais como scan de portas, deteco de SO, ou scan utilizando ping, no podem ser combinadas com esta opo. Se voc deseja desabilitar o scan utilizando ping enquanto executa funes de nvel elevado, leia a opo -P0. -sP (Scan usando Ping) Esta opo diz ao Nmap para somente executar um scan usando o ping (descoberta de hosts), e ento mostrar os hosts disponveis que responderam ao scan. Nenhum teste adicional (tais como escaneamento de portas e deteo de SO) executado. Isto um pouco mais intrusivo que o scan listagem, e pode ser usado para os mesmos propsitos. Permite um reconhecimento leve de uma rede-alvo sem chamar muita ateno. Saber quantos hosts esto ativos mais valioso para invasores que a lista fornecida pelo scan listagem com cada endereo IP e seu nome de host. Administradores de sistemas frequentemente acham esta opo valiosa. Ela pode ser facilmente utilizada para contar o nmero de mquinas disponveis em uma rede ou monitorar a disponibilidade dos servidores. Isto normalmente chamado de varredura com ping (ping sweep), e mais confivel do que fazer um ping em um endereo de broadcast, pois muitos hosts no respondem a pesquisas com broadcast. A opo -sP envia um ICMP echo request e um pacote TCP ACK para a porta 80 por padro. Quando executada por um usurio sem privilgios, um pacote SYN enviado (usando uma chamada connect()) para a porta 80 no alvo. Quando um usurio privilegiado tenta escanear alvos na rede ethernet local, requisies ARP (-PR) so utilizadas, a menos que --send-ip tenha sido especificado. A opo -sP pode ser combinada com qualquer um dos tipos de sondagens de descobrimento (as opes -P* , excluindo -P0) para maior flexibilidade. Se qualquer uma dessas opes de tipos de sondagens e nmero de porta for utilizada, as sondagens padro (ACK e echo request) so sobrepostas. Quando firewalls restritivos esto posicionados entre o host de origem que executa o Nmap e a rede-alvo, utilizar essas tcnicas avanadas recomendado. Do contrrio, hosts podem ser perdidos quando o firewall ignorar as sondagens ou as respostas delas. -P0 (Sem ping) Esta opo pula completamente o estgio de descoberta do Nmap. Normalmente o Nmap utiliza este estgio para determinar as mquinas ativas para escaneamento mais agressivo. Por padro, o Nmap apenas executa sondagens agressivas tais como escaneamento de portas, deteco de verses, ou deteces do SO contra hosts que foram verificados como ativos. Desabilitar a descoberta de hosts com -P0 faz com que o Nmap teste as funes de</p> <p>escaneamento solicitadas contra todos os endereos IP alvos especificados. Portanto se um espao de endereamento alvo do tamanho de uma classe B (/16) for especificado na linha de comando, todos os 65.536 endereos IP sero escaneados. O segundo caracter da opo -P0 um zero e no a letra O. A descoberta de hosts apropriada desconsiderada como no scan listagem, mas ao invs de parar e mostrar a lista de alvos, o Nmap continua a executar as funes solicitadas como se cada alvo IP estivesse ativo. -PS [listadeportas] (Ping usando TCP SYN) Esta opo envia um pacote TCP vazio com a flag SYN m...</p>