Nopea porttiskannauksen opetusohjelma
Yksi tavoitteistani Nmapia kehittäessäni on pitää yleiskäyttö yksinkertaisena, mutta säilyttää joustavuus mukautettuihin ja edistyneisiin skannauksiin. Tämä on saavutettu komentorivikäyttöliittymällä tarjoamalla kymmeniä vaihtoehtoja, mutta valitsemalla järkevät oletusasetukset, kun niitä ei ole määritetty. Aloitteleva käyttäjä voi aloittaa niinkin yksinkertaisella komennolla kuinnmap <target>.Samaan aikaan edistyneet käyttäjät määrittelevät joskus niin monta vaihtoehtoa, että heidän päätteensä kietoutuu ympäri.
Komentojen ulostulon kanssa on löydettävä samanlainen tasapaino. Tärkeimpien tulosten pitäisi erottua jopa satunnaiselle käyttäjälle, joka ei ole edes lukenut man-sivua. Tulosteiden pitäisi kuitenkin olla riittävän kattavia ja täsmällisiä, jotta ne sopisivat ammattimaisille tunkeutumistestaajille, jotka käyttävät Nmapia tuhansia koneita vastaan päivittäin. Käyttäjät, jotka ovat tarpeeksi fiksuja lukeakseen tämän kirjan tai Nmapin lähdekoodin, hyötyvät skannerin paremmasta hallinnasta ja ymmärtävät, mitä Nmapin tulosteet todella tarkoittavat.
Tämä opetusohjelma demonstroi joitakin yleisiä Nmapin porttiskannausskenaarioita ja selittää tulosteet. Tavoitteena ei ole yrittää tulla kattavaksi, vaan tutustuttaa uudet käyttäjät tarpeeksi hyvin ymmärtääkseen loput luvusta.
Yksinkertaisin Nmap-komento on vain nmap itsessään. Tämä tulostaa huijauslomakkeen yleisimmistä Nmap-optioista ja syntaksista.mielenkiintoisempi komento on nmap<target>, joka tekee seuraavaa:
-
Muuntaa
<target>isäntänimestä IPv4-osoitteeksi DNS:n avulla. Jos isäntänimen sijasta annetaan IP-osoite, tämä haku jätetään väliin. -
Kutsuu isäntää oletusarvoisesti ICMP-echo-pyyntöpaketilla ja TCP-ACK-paketilla porttiin 80 selvittääkseen, onko se toiminnassa. Jos ei, Nmap ilmoittaa tästä ja poistuu. Olisin voinut määrittää
-Pnohittaakseni tämän testin. Katso luku 3, Isäntähavainto (”Ping-skannaus”). -
Muunnetaan kohteen IP-osoite takaisin nimeksi käyttämällä käänteistä DNS-kyselyä. DNS:n toimintatavasta johtuen käänteinen nimi ei välttämättä ole sama kuin komentorivillä määritetty
<target>. Tämä kysely voidaan ohittaa vaihtoehdolla-nnopeuden ja huomaamattomuuden parantamiseksi. -
Käynnistää TCP-porttiskannauksen kohdassa
nmap-servicesluetelluista suosituimmista 1 000 portista. Yleensä käytetään SYN-piiloskannausta, mutta connect-skannaus korvataan sen sijaan sellaisille ei-root Unix-käyttäjille, joilla ei ole tarvittavia oikeuksia raakapakettien lähettämiseen. -
Tulostaa tulokset standarditulosteeseen normaalissa ihmiselle luettavassa muodossa ja poistuu. Muita tulostusmuotoja ja -paikkoja (tiedostoja) voidaan määrittää, kuten luvussa 13, Nmapin tulostusmuodot, on kuvattu. Esimerkki 4.2 näyttää tulokset, kun scanme.nmap.org-sivustoa käytetään
<target>.
Esimerkki 4.2. Yksinkertainen skannaus: nmap scanme.nmap.org
# Starting Nmap ( http://nmap.org )Nmap scan report for scanme.nmap.org (64.13.134.52)Not shown: 994 filtered portsPORT STATE SERVICE22/tcp open ssh25/tcp closed smtp53/tcp open domain70/tcp closed gopher80/tcp open http113/tcp closed authNmap done: 1 IP address (1 host up) scanned in 4.99 seconds
Esimerkin 4.2 ensimmäisellä tulostusrivillä annetaan yksinkertaisesti Nmapin lataamisen URL-osoite. Normaalisti annetaan myös Nmapin käynnistysaika ja versionumero, mutta ne on yleensä poistettu tästä kirjasta johdonmukaisuuden vuoksi ja rivinvaihdon välttämiseksi.
Seuraavalla rivillä annetaan kohteen IP-osoite (tässä tapauksessa IPv4) ja käänteinen DNS-nimi (tunnetaan myös nimellä PTR-tietue)jos se on käytettävissä. Nmap lupaa näyttää ”mielenkiintoiset portit”, vaikka kaikki skannatut portit otetaan huomioon. Kiinnostavimmiksi katsotut portit, koska ne ovat auki tai harvoin näkyvässä tilassa kyseiselle isännälle, eritellään erikseen. Kun monet portit ovat vain yhdessä avoimessa tilassa, niitä pidetään oletustilana, ja ne kootaan yhdelle riville, jotta tulokset eivät laimene tuhansilla epäkiinnostavilla merkinnöillä. Tässä tapauksessa Nmap toteaa, että 994 porttia on suodatettu.
Kiinnostavat portit -taulukko tulee seuraavaksi, ja se tarjoaa avainskannaustulokset. Sarakkeet vaihtelevat käytetyistä vaihtoehdoista riippuen, mutta tässä tapauksessa ne antavat portin numeron ja protokollan, tilan ja palveluprotokollan kullekin portille. Palvelu tässä on vain arvaus, joka on tehty etsimällä portti kohdasta nmap-services. Palvelu olisi unknown, jos jollakin portilla ei olisi nimeä, joka olisi rekisteröity kyseiseen tiedostoon. Kolme näistä porteista on avoinna ja kolme suljettu.
Viimeiseksi Nmap raportoi muutamia perustilastoja ajoituksesta ennen poistumistaan.Nämä tilastot ovat määriteltyjen kohteiden määrä, niiden määrä, jotka ping-skannaus havaitsi olevan toiminnassa, ja kokonaisaika.
Vaikka tämä yksinkertainen komento on usein kaikki mitä tarvitaan, edistyneemmätkäyttäjät menevät usein paljon pidemmälle. Esimerkissä 4.3 skannausta muutetaan neljällä vaihtoehdolla. -p0- pyytää Nmapia skannaamaan jokaisen mahdollisenTCP-portin, -v pyytää Nmapia olemaan sanallinen,-A mahdollistaa aggressiiviset testit, kuten etäkäyttöjärjestelmän havaitsemisen, palvelun/version havaitsemisen ja Nmap Scripting Engine(NSE). Lopuksi -T4 ottaa käyttöön aggressiivisemman ajoituspolitiikan skannauksen nopeuttamiseksi.
Esimerkki 4.3. Monimutkaisempi: nmap -p0- -v -A -T4 scanme.nmap.org
# Starting Nmap ( http://nmap.org )Completed Ping Scan at 00:03, 0.01s elapsed (1 total hosts)Scanning scanme.nmap.org (64.13.134.52) Discovered open port 22/tcp on 64.13.134.52Discovered open port 53/tcp on 64.13.134.52Discovered open port 80/tcp on 64.13.134.52SYN Stealth Scan Timing: About 6.20% done; ETC: 00:11 (0:07:33 remaining)Completed SYN Stealth Scan at 00:10, 463.55s elapsed (65536 total ports)Completed Service scan at 00:10, 6.03s elapsed (3 services on 1 host)Initiating OS detection (try #1) against scanme.nmap.org (64.13.134.52)Initiating Traceroute at 00:1064.13.134.52: guessing hop distance at 9Completed SCRIPT ENGINE at 00:10, 4.04s elapsedHost scanme.nmap.org (64.13.134.52) appears to be up ... good.Nmap scan report for scanme.nmap.org (64.13.134.52)Not shown: 65530 filtered portsPORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 4.3 (protocol 2.0)25/tcp closed smtp53/tcp open domain ISC BIND 9.3.470/tcp closed gopher80/tcp open http Apache httpd 2.2.2 ((Fedora))|_HTML title: Go ahead and ScanMe!113/tcp closed authDevice type: general purposeRunning: Linux 2.6.XOS details: Linux 2.6.20-1 (Fedora Core 5)Uptime guess: 2.457 days (since Thu Sep 18 13:13:24 2008)TCP Sequence Prediction: Difficulty=204 (Good luck!)IP ID Sequence Generation: All zerosTRACEROUTE (using port 80/tcp)HOP RTT ADDRESS9 10.36 metro0.sv.svcolo.com (208.185.168.173)10 10.29 scanme.nmap.org (64.13.134.52)Nmap done: 1 IP address (1 host up) scanned in 477.23 seconds Raw packets sent: 131432 (5.783MB) | Rcvd: 359 (14.964KB)
Nmap tarjosi varmasti pyydetyn sanamäärän esimerkissä 4.3! Onneksi ylimääräinen tuloste on helppo ymmärtää. Ensimmäiset 13 uutta riviä ovat ajotietoja, jotka kertovat käyttäjälle, mitä tapahtuu, kun hän tuijottaa odottavasti terminaalia hyvien uutisten toivossa. Se, mitkä ovat hyviä uutisia, riippuu siitä, onko hän järjestelmänvalvoja, jonka on korjattava ongelmia, kynätesteri, joka tarvitsee raportoitavia ongelmia, vai mustan hatan murtautuja, joka yrittää käyttää niitä hyväkseen. Noin tusina samankaltaista riviä poistettiin lyhyyden vuoksi. ”Discover open port” -rivit ilmoittavat avoimista porteista, jotta hän voi aloittaa niiden tutkimisen ennen kuin skannaus on edes päättynyt. Skannauksen ajoitus -rivi antaa arvion skannauksen valmistumisajasta, jotta hän tietää, pitäisikö hänen tuijottaa näyttöä vai mennä lounaalle. Koska verkko-olosuhteet (viive, ruuhkautuminen, kaistanleveys jne.) ja pakettien suodatussäännöt vaihtelevat niin paljon, samojen skannausvaihtoehtojen suorittaminen voi kestää 30 sekuntia yhtä isäntää vastaan ja 45 minuuttia toista vastaan. Jos haluat tämänhetkisen aika-arvion skannauksen aikana, painaenter.
Porttitaulukossa ei näy uusia portteja. Kaikki ylimääräiset skannatut portit ovat suodatetussa tilassa, jolloin suodatettujen porttien kokonaismäärä nousee 994:stä 65 530:een. Vaikka uusia eriteltyjä portteja ei olekaan, merkinnät ovat muuttuneet. Uusi VERSION-sarake sisältää kuuntelevan palvelun sovelluksen nimen ja versiotiedot. Tämä johtuu palvelun havaitsemisesta, joka on yksi -A-asetuksella käyttöön otetuista ominaisuuksista.Toinen palvelun havaitsemisen ominaisuus on se, että kaikki SERVICE-sarakkeessa olevat palveluprotokollat on todennettu. Edellisessä skannauksessa ne perustuivat suhteellisen heiveröiseen heuristiikkaan, joka perustui nmap-services-porttinumeron etsimiseen.Tuo taulukon etsiminen sattui olemaan oikein tällä kertaa, mutta se ei ole aina oikein.
Toinen -A:n lisäämä ominaisuus on NmapScripting Engine, jota käsitellään perusteellisesti luvussa 9, Nmap Scripting Engine. Ainoa tässä näytetty skripti on HTMLtitle. Kymmeniä muita skriptejä on olemassa, mutta yhdestäkään ei löytynyt käyttökelpoista tulosta tälle koneelle. Tracerout-tulokset lisättiin myös -A:llä. Tämä vaihtoehto on tehokkaampi ja tehokkaampi kuin useimmat traceroute-ohjelmat, koska luotaukset suoritetaan rinnakkain ja Nmap käyttää skannaustuloksia suotuisan luotaustyypin määrittämiseen (tässä tapauksessa TCP-paketit porttiin 80).
Suurin osa jäljelle jäävistä uusista riveistä on peräisin käyttöjärjestelmän havaitsemisesta (joka on myös otettu käyttöön -A:llä), jota käsitellään syvällisestiLuvussa 8, Etäisen käyttöjärjestelmän havaitseminen. Viimeinen rivi osoittaa, että kaikilla näillä lisätiedoilla oli hintansa – skannaus kesti lähes 100 kertaa kauemmin kuin esimerkissä 4.2, ”Yksinkertainen skannaus: nmap scanme.nmap.org” (477 sekuntia verrattuna 5 sekuntiin).