You are on page 1of 3

Nmap - Tutorial

O Nmap fornece, de uma maneira geral, a relação de computadores e serviços ativos, Existem diversas formas e parâmetros a serem informados durante uma “varredura” Métodos de Varredura -sP - ping scan: Algumas vezes é necessário saber se um determinado host ou rede esta no ar. Nmap pode enviar pacotes ICMP “echo request” para verificar se um determinado host ou rede esta ativo, existem muitos filtros que rejeitam os pacotes ICMP “echo request”, então envia um pacote TCP ACK pra porta 80 (default) e caso receba RST o alvo esta ativo, a 3ª técnica é enviar um pacote SYN e espera um RST ou SYN-ACK. -sR - RCP scan: esse método trabalha em conjunto com varias técnicas do Nmap, ele considera todas as portas tcp e udp abertas e envia comandos NULL SunRPC, pra determinar se realmente são portas RPC, é como se o comando “rpcinfo -p” tivesse sendo utilizado msn através de um firewall (ou protegido por TCPwrapperd) -sS - TCP SYN scan: técnica q não abre uma conexão tcp completa, é enviado um pacote SYN como se ele fosse uma conexão real e aguarda uma resposta, caso um pacote SYN-ACK seja recebido, a porta esta aberta, enquanto um como resposta indica q a porta esta fechada, a vantagem dessa abordagem é q poucos vão detectar esse scan de portas -sT - TCP connect() scan: é uma técnica mais básica de tcp scan, é utilizada a chamada de sistema (system call) connect(), é um dos scan mais rapidos só q é facil de ser detectado -sU - UDP scan: esse método é utilizado pra determinar qual porta udp esta aberta em um host, a técnica envia um pacote udp de 0 bytes(acho q é isso) pra cada porta do host, se for recebido uma mensagem ICMP “port unreachable” então ta fechada senão a porta pode estar aberta -sV - Version detection: apos as portas tcp ou udp serem descobertas por algum método o Nmap vai determinar qual o serviço ta rodando atualmente o arquivo nmap-serviceprobes é utilizado pra determinar tipos de protocolos nome da aplicação número da versão e outros detalhes -D - durante um scan utiliza uma serie de endereços falsificados simulando o scannig tenha vindo desses vários hosts, sendo praticamente impossível de identificar a verdadeira origem da varredura Ex: Nmap -D ip1, ip2, ip3, seu_ip, ip4 xxx.xxx.xxx.xxx(alvo) -F procura pelas portas que estão no /etc/services, método mais rápido, mas aconselho não procurar por todas as portas Ex: Nmap -F xxx.xxx.xxx.xxx

xxx.xxx -r scaneia portas sem ordem crescente ou decrescente.137.xxx.O. Ex: Nmap -O xxx.xxx.80. -T essa opção seta a prioridade de scannig do Nmap: * paranoid (-T5) é muito lento na esperança de prevenir a detecção pelo sistema IDS .xxx.xxx. por default todas as portas entre 1 e 1024 são scanneadas Ex: Nmap -p 22. ira apresentar versão do S.80 xxx.xxx. usada também com a opção -sT Ex: Nmap -sT -I xxx.xxx.xxx.xxx.xxx. e tempo ativo.T:21-25. randomicamente.xxx.8080 -P0 não tenta pingar o host antes de iniciar o scan.139.111.xxx -PT [lista de portas] igual o de cima só q com pacotes tcp “ping” Ex: Nmap -PT80 xxx. isso aí permite o scannear alvos q bloqueiam ICMP “echo request (ou response)” através de firewall -PS [lista de portas] usa pacotes SYN pra determinar se o host esta ativo Ex: Nmap -PS80 xxx.xxx -O ativa a identificação do host remoto via tcp/ip.xxx.xxx -n não vai resolver nome de hosts a ser scanneado Ex: Nmap -n xxx.xxx.xxx.-I se o host estiver utilizando o ident é possível identificar o dono dos serviços q estão sendo executados no servidor.xxx -R vai retornar o nome do host a ser scanneado Ex: Nmap -R xxx.xxx ou Nmap -p U:53.xxx -p especifica quais portas devem ser verificadas na varredura.

xxx.xxx faz um scan Xmas Tree pro alvo. .110. nessa opção o timeout dos hosts acontecem em uns 75 a 80 segundos (não sei) e espera menos de 1 segundo por teste individual -ttl altera o valor do TTL (time to live) dessa forma dificulta um pouco a origem do pacote Ex: Nmap -ttl 55 alvo -v mostra tudo o q esta se passando Ex: Nmap -v alvo –scanflags com essa opção você pode especificar flags arbitrarias usando nomes de flags ou números.* Sneaky (-T4) [/i] é igual ao paranoid. e também retorna o SO de cada host 3* Nmap -sX =p 22.xxx Alguns exemplos 1* Nmap . ele serializa os testes e espera uns 0.xxx.53. dns.v xxx. por host e nunca espera mais de 1 segundo e meio pra testar as respostas * insane (-T0) é somente adequando pra redes muito rápidas ou onde você não importa em perder algumas informações.xxx.8 segundos entre eles * normal (-T2) é o comportamento default do Nmap.xxx. * polite (-T3) tem significado para facilitar a carga na rede e reduzir as chances de um pau na maquina.e também scaneia somente os serviços se sshd. o qual tenta executar tão rápido quanto possível sem sobrecarregar a rede ou perder host/portas * aggressive (-T1) esse modo adiciona um timeout de 5 min.143 xxx.xxx isso faz o scan de todas as portas tcp reservadas 2* Nmap -sS -O xxx. pop3d e imapd. só q espera 15 segundos entre o envio de pacotes contra os 5 minutos do paranoid. abrangendo todos os pcs 255 de classe C de onde o host alvo faz parte.xxx.xxx. no exemplo a seguir vou usar uma varredura SYN-FIN Nmap -sS –scanflags SYNFIN -O xxx.xxx/24 faz um scan tcp syn contra cada pc q esta na ativa.xxx.xxx.