Руководство nmap на русском

# nmap -A -T4 scanme.nmap.org playground
Starting Nmap ( https://nmap.org )
Interesting ports on scanme.nmap.org (64.13.134.52):
(The 1663 ports scanned but not shown below are in state: filtered)
PORT    STATE  SERVICE VERSION
22/tcp  open   ssh     OpenSSH 3.9p1 (protocol 1.99)
53/tcp  open   domain
70/tcp  closed gopher
80/tcp  open   http    Apache httpd 2.0.52 ((Fedora))
113/tcp closed auth
Device type: general purpose
Running: Linux 2.4.X|2.5.X|2.6.X
OS details: Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2.6.11
Interesting ports on playground.nmap.org (192.168.0.40):
(The 1659 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE       VERSION
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn
389/tcp  open  ldap?
445/tcp  open  microsoft-ds  Microsoft Windows XP microsoft-ds
1002/tcp open  windows-icfw?
1025/tcp open  msrpc         Microsoft Windows RPC
1720/tcp open  H.323/Q.931   CompTek AquaGateKeeper
5800/tcp open  vnc-http      RealVNC 4.0 (Resolution 400x250; VNC port: 5900)
5900/tcp open  vnc           VNC (protocol 3.8)
MAC Address: 00:A0:CC:63:85:4B (Lite-on Communications)
Device type: general purpose
Running: Microsoft Windows NT/2K/XP
OS details: Microsoft Windows XP Pro RC1+ through final release
Service Info: OSs: Windows, Windows XP
Nmap finished: 2 IP addresses (2 hosts up) scanned in 88.392 seconds

Nmap 4.76 ( https://nmap.org )
Использование: nmap [Тип(ы) Сканирования] [Опции] {цель сканирования}
ОПРЕДЕЛЕНИЕ ЦЕЛИ СКАНИРОВАНИЯ:


  Можно использовать сетевые имена, IP адреса, сети и т.д.


  Пример: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254


  -iL <имя_входного_файла>: Использовать список хостов/сетей из файла


  -iR <количество_хостов>: Выбрать произвольные цели


  --exclude <хост1[,хост2][,хост3],...>: Исключить хосты/сети


  --excludefile <имя_файла>: Исключить из сканирования список хостов/сетей, находящийся в файле
ОБНАРУЖЕНИЕ ХОСТОВ:


  -sL: Сканирование с целью составления списка - просто составить список целей для сканирования


  -sP: Пинг сканирование - просто определить, работает ли хост


  -PN: Расценивать все хосты как работающие - пропустить обнаружение хостов


  -PS/PA/PU [список_портов]: TCP SYN/ACK или UDP пингование заданных хостов


  -PE/PP/PM: Пингование с использованием ICMP-эхо запросов, запросов временной метки и сетевой маски 


  -PO [список_протоколов]: Пингование с использованием IP протокола


  -n/-R: Никогда не производить DNS разрешение/Всегда производить разрешение [по умолчанию: иногда]


  --dns-servers <сервер1[,сервер2],...>: Задать собственные DNS сервера для разрешения доменных имён


  --system-dns: Использовать системный DNS-преобразователь
РАЗЛИЧНЫЕ ПРИЕМЫ СКАНИРОВАНИЯ:


  -sS/sT/sA/sW/sM: TCP SYN/с использованием системного вызова Connect()/ACK/Window/Maimon сканирования


  -sU: UDP сканирование


  -sN/sF/sX: TCP Null, FIN и Xmas сканирования


  --scanflags <флаги>: Задать собственные TCP флаги


  -sI <зомби_хост[:порт]>: "Ленивое" (Idle) сканирование


  -sO: Сканирование IP протокола 


  -b <FTP_хост>: FTP bounce сканирование


  --traceroute: Трассировка пути к хосту


  --reason: Выводить причину, почему Nmap установил порт в определенном состоянии
ОПРЕДЕЛЕНИЕ ПОРТОВ И ПОРЯДКА СКАНИРОВАНИЯ: 


  -p <диапазон_портов>: Сканирование только определенных портов


    Пример: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080


  -F: Быстрое сканирование - Сканирование ограниченного количества портов


  -r: Сканировать порты последовательно - не использовать случайный порядок портов


  --top-ports <количество_портов>: Сканировать <количество_портов> наиболее распространенных портов


  --port-ratio <рейтинг>: Сканировать порты с рейтингом большим, чем <рейтинг>
ОПРЕДЕЛЕНИЕ СЛУЖБ И ИХ ВЕРСИЙ:


  -sV: Исследовать открытые порты для определения информации о службе/версии


  --version-intensity <уровень>: Устанавливать от 0 (легкое) до 9 (пробовать все запросы)


  --version-light: Ограничиться наиболее легкими запросами (интенсивность 2)


  --version-all: Использовать каждый единичный запрос (интенсивность 9)


  --version-trace: Выводить подробную информацию о процессе сканирования (для отладки)
СКАНИРОВАНИЕ С ИПОЛЬЗОВАНИЕМ СКРИПТОВ:


  -sC: эквивалентно опции --script=default


  --script=<Lua скрипты>: <Lua скрипты> - это разделенный запятыми список директорий, файлов скриптов или 


  категорий скриптов


  --script-args=<имя1=значение1,[имя2=значение2,...]>: Передача аргументов скриптам


  --script-trace: Выводить все полученные и отправленные данные


  --script-updatedb: Обновить базу данных скриптов
ОПРЕДЕЛЕНИЕ ОС:


  -O: Активировать функцию определения ОС


  --osscan-limit: Использовать функцию определения ОС только для "перспективных" хостов


  --osscan-guess: Угадать результаты определения ОС
ОПЦИИ УПРАВЛЕНИЯ ВРЕМЕНЕМ И ПРОИЗВОДИТЕЛЬНОСТЬЮ:


  Опции, принимающие аргумент <время>, задаются в миллисекундах, пока вы не добавите 's' (секунды), 'm' (минуты), 


  или 'h' (часы) к значению (напр. 30m).


  -T[0-5]: Установить шаблон настроек управления временем (больше - быстрее)


  --min-hostgroup/max-hostgroup <кол_хостов>: Установить размер групп для параллельного сканирования


  --min-parallelism/max-parallelism <количество_запросов>: Регулирует распараллеливание запросов


  --min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <время>: Регулирует время ожидания ответа на запрос


  --max-retries <количество_попыток>: Задает максимальное количество повторных передач запроса


  --host-timeout <время>: Прекращает сканирование медленных целей


  --scan-delay/--max-scan-delay <время>: Регулирует задержку между запросами


  --min-rate <число>: Посылать запросы с интенсивностью не меньше чем <число> в секунду


  --max-rate <число>: Посылать запросы с интенсивностью не больше чем <число> в секунду
ОБХОД БРАНДМАУЭРОВ/IDS:


  -f; --mtu <значение>: Фрагментировать пакеты (опционально с заданным значениме MTU)


  -D <фикт_хост1,фикт_хост2[,ME],...>: Маскировка сканирования с помощью фиктивных хостов


  -S <IP_адрес>: Изменить исходный адрес


  -e <интерфейс>: Использовать конкретный интерфейс


  -g/--source-port <номер_порта>: Использовать заданный номер порта


  --data-length <число>: Добавить произвольные данные к посылаемым пакетам


  --ip-options <опции>: Посылать пакет с заданным ip опциями


  --ttl <значение>: Установить IP поле time-to-live (время жизни)


  --spoof-mac <MAC_адрес/префикс/название производителя>: Задать собственный MAC адрес


  --badsum: Посылать пакеты с фиктивными TCP/UDP контрольными суммами
ВЫВОД РЕЗУЛЬТАТОВ:


  -oN/-oX/-oS/-oG <файл>: Выводить результаты нормального, XML, s|<rIpt kIddi3,


     и Grepable формата вывода, соответственно, в заданный файл


  -oA <базовове_имя_файла>: Использовать сразу три основных формата вывода 


  -v: Увеличить уровень вербальности (задать дважды или более для увеличения эффекта)


  -d[уровень]: Увеличить или установить уровень отладки (до 9)


  --open: Показывать только открытые (или возможно открытые) порты


  --packet-trace: Отслеживание принятых и переданных пакетов


  --iflist: Вывести список интерфейсов и роутеров (для отладки)


  --log-errors: Записывать ошибки/предупреждения в выходной файл нормального режима


  --append-output: Добавлять выходные данные в конец, а не перезаписывать выходные файлы


  --resume <имя_файла>: Продолжить прерванное сканирование


  --stylesheet <путь/URL>: Устанавливает XSL таблицу стилей для преобразования XML вывода в HTML


  --webxml: Загружает таблицу стилей с Nmap.Org


  --no-stylesheet: Убрать объявление XSL таблицы стилей из XML
РАЗЛИЧНЫЕ ОПЦИИ:


  -6: Включить IPv6 сканирование


  -A: Активировать функции определения ОС и версии, сканирование с использованием скриптов и трассировку


  --datadir <имя_директории>: Определяет место расположения файлов Nmap


  --send-eth/--send-ip: Использовать сырой уровень Ethernet/IP


  --privileged: Подразумевать, что у пользователя есть все привилегии


  --unprivileged: Подразумевать, что у пользователя нет привилегий для использования сырых сокетов


  -V: Вывести номер версии


  -h: Вывести эту страницу помощи
ПРИМЕРЫ:


  nmap -v -A scanme.nmap.org


  nmap -v -sP 192.168.0.0/16 10.0.0.0/8


  nmap -v -iR 10000 -PN -p 80
ДЛЯ СПРАВКИ ПО ДРУГИМ ОПЦИЯМ, ОПИСАНИЙ И ПРИМЕРОВ СМОТРИТЕ MAN СТРАНИЦУ

Для
сканирования
в пределах
всего
Интернета
или
каких-либо
исследований,
вам,
возможно,
понадобится
выбрать
цели
произвольно.
Аргумент
кол-во
хостов
определяет
сколько
необходимо
сгенерировать
IP адресов.
Неподходящие
IP адреса,
такие как
частные,
широковещательные
или
нелокализованные
диапазоны
адресов
автоматически
пропускаются.
Аргумент 0
может быть
передан
для
бесконечного
сканирования.
Имейте в
виду, что
некоторым
системным
администраторам
может не
понравиться
неразрешенное
сканирование
их сетей и
они могут
пожаловаться.
Используйте
эту опцию
на свой
страх и
риск! Если в
дождливый
денек вам
будет
скучно,
попробуйте
команду nmap -sS -PS80 -iR
0 -p 80

для
сканирования
произвольных
веб-серверов.

Это тип
сканирования
является
«упрощенной»
версией
функции
обнаружения
хостов, при
помощи
которого
просто
будет
создан
список
хостов
заданной
сети без
посылки
каких-либо
пакетов
целевым
машинам. По
умолчанию Nmap
все же
будет
осуществлять
обратное
разрешение
DNS с целью
узнавания
имен
хостов.
Часто
бывает
удивительно,
как много
полезной
информации
могут
содержать
обычные
имена
хостов.
Например, fw.chi
это имя
брандмауэра
одной
Чикагской
компании.

В конце Nmap
также
сообщает
общее
количество
IP адресов.
Этот тип
сканирования
также
является
хорошим
способом
проверить,
что вы
действительно
знаете IP
адреса
необходимых
вам целей.
Если имена
хостов
содержат
неизвестные
вам
доменные
имена, то
стоит
провести
дальнейшее
исследование,
чтобы
избежать
сканирования
сети не той
компании,
которая
вам нужна.

Т.к. целью
является
просто
составление
списка
целевых
хостов, то
опции с
большим
уровнем
функциональности,
такие как
сканирование
портов,
определение
ОС или пинг
сканирование
не могут
сочетаться
с
рассматриваемой
опцией.
Если вы
хотите
отключить
пинг
сканирование,
но хотите
использовать
опции с
таким
высоким
уровнем
функциональности,
то
почитайте
об опции -PN.

Эта
опция
указывает Nmap
произвести
пинг
сканирование
(определение
хостов), а
затем
вывести
список
доступных
хостов, т.е.
тех,
которые
ответили
на запросы.
Определение
маршрутов
и NSE скрипты
также
используются,
если
необходимо,
однако
дальнейшее
тестирование
(как
сканирование
портов или
определение
ОС) не
производится.
По
умолчанию
эта опция
считается
как бы на
один шаг
более
тщательной,
чем
сканирование
с целью
составления
простого
списка
хостов, и
может быть
использована
в этих же
целях. Она
позволяет
произвести
исследование
целевой
сети без
привлечения
внимания.
Знание,
какие
хосты в
сети в
данный
момент
работают,
для
атакующих
ценне, чем
просто
список IP
адресов и
сетевых
имен,
предоставляемых
опцией -sL.

Эта опция
также
полезна
системным
администраторам.
Она может
быть
использована
для
подсчета
количества
работающих
в сети
машин или
мониторинга
доступности
сервера.
Это часто
называют
«пинг
чисткой» (ping sweep)
и
результаты,
предоставляемые
этой
опцией,
заслуживают
больше
доверия,
чем
обычное
пингование
широковещательных
адресов, т.к.
большинство
хостов не
отвечают
на
подобные
запросы.

По
умолчанию
опцией -sP
посылаются
запрос на ICMP
это ответ и
TCP ACK пакет на
порт 80.
Когда
используется
непривилегированным
пользователем,
посылается
только SYN
пакет
(используя
системные
вызов connect) на
порт 80
целевой
машины.
Когда
привилегированный
пользователь
производит
сканирование
целей
локальной
сети, то
используются
ARP запросы
до тех пор,
пока не
будет
задано —send-ip.
Для
большей
гибкости
опция -sP
может быть
скомбинирована
с любой из
опций -P* (за
исключением
-PN). Если
используется
какой-либо
из этих
типов
запросов и
опции для
задания
номеров
портов, то
запросы по
умолчанию
(ACK и это
ответы)
опускаются.
Когда
между
машиной с Nmap
и целевой
сетью
расположен
строгий
брандмауэр,
то
рекомедуется
использование
таких
расширенных
методов
сканирования.
Иначе
некоторые
из хостов
могут быть
не
определены,
т.к.
брандмауэр
заблокировал
запрос или
ответ.

Эта
опция
посылает
пустой TCP
пакет с
установленным
SYN флагом.
Порт по
умолчанию — 80
(можно
задать во
время
компилирования
изменяя
DEFAULT_TCP_PROBE_PORT_SPEC

в nmap.h).

Альтернативные
порты
задаются в
качестве
параметров.
Синтаксис
такой же
как и для
опции -p за
исключением
того, что
спецификаторы
типа T:
недопустимы.
Примеры: -PS22
и -PS22-25,80,113,1050,35000.
Имейте в
виду, что
между
списком
портов и -PS
не должно
быть
пробела.
Если
заданы
несколько
запросов,
то они
будут
посланы
параллельно.

Установленные
флаг SYN
указывает
удаленной
системе,
что вы
пытаетесь
установить
соединение.
Если порт
назначения
закрыт, то в
ответ
посылается
RST (сброс)
пакет. Если
порт
открыт, то
удаленная
система
предпримет
второй шаг
в 3-ех
этапной
последовательности
установки TCP
соединения
путем
ответа

SYN/ACK TCP
пакетом.
Система, на
которой
работает Nmap,
сбрасывает
почти
установленное
соединение
отвечая RST
пакетом
вместо ACK,
что
привело бы
к
установке
полного
соединения.
RST пакет
посылается
ядром
системы, на
которой
работает Nmap,
в ответ на
непредвиденный
SYN/ACK пакет, а не
самой Nmap.

Nmap не важно
открыт
порт или
закрыт.
Ответы
пакетами RST
или SYN/ACK
описанными
выше,
указывают
Nmap на то, что
хост
доступен и
может
отвечать
на
запросы.

На Unix
машинах,
только
пользователь
с правами root,
как
правило,
может
посылать и
принимать
сырые TCP
пакеты. Для
непривилегированного
пользователя
для
каждого
целевого
порта
инициируется
системный
вызов connect.
Поэтому
при
попытке
установить
соединение
на целевой
хост
посылается
SYN пакет.
Если на
вызов connect
приходит
быстрый
ответ или
отказ типа
ECONNREFUSED, значит TCP
стек
получил SYN/ACK
или RST пакет,
и хост
помечается
как
доступный.
Если
соединение
не
устанавливается
по причине
истечения
времени (timeout),
то хост
помечается
как не
работающий.
Этот
механизм
также
используется
для
соединений
с
использованием
протокола
IPv6, т.к.
построение
сырых
пакетов IPv6
еще не
реализовано
в Nmap.

Этот тип
пингования
очень
похож на
описанный
выше.
Разница
состоит в
том, как вы
могли
догадаться,
что вместо
установки SYN
флага
устанавливается
TCP ACK флаг.
Такой ACK
пакет
имеет
своей
целью
распознавание
данных во
время
установленного
TCP
соединения,
но такого
соединения
не
существует,
поэтому
удаленные
хосты
всегда
будут
отвечат на
такой
запрос RST
пакетом,
тем самым
выдавая
свое
существование.

Опция -PA
использует
тот же порт
по
умолчанию,
что и SYN
запросы (80), и
так же
может
принимать
в качестве
параметра
список
портов в
том же
формате.
Если эту
опцию
пытается
использовать
непривилегированный
пользователь
или задана
цель в
формате IPv6,
то
используется
механизм с
использованием
вызова connect
описанный
выше. Этот
механизм
несовершенен,
т.к. при
использовании
вызова connect
вместо ACK
пакета
посылается
SYN.

Причина,
по которой
Nmap
предоставляет
оба типа
пингования
(SYN и ACK), состоит
в
повышении
шансов
обхода
брандмауэров.
Многие
администраторы
конфигурируют
роутеры
или другие
простые
брандмауэры
на
блокировку
входящих SYN
пакетов за
исключением
тех, что
предназначены
для
публичных
служб,
таких как
веб сайт
или
почтовый
сервер. Тем
самым
предотвращаются
все
остальные
соединения,
и в то же
время
пользователи
могут
беспрепятственно
выходить в
Интернет.
Такой
подход не
требует
много
ресурсов
от
брандмауэров/роутеров
и широко
поддерживается
различными
аппаратными
и
программными
фильтрами.

для
реализации
такого
подхода
имеет
опцию —syn.
Когда
брандмауэр
использует
такие
правила, то
запросы с
установленным
флагом SYN (-PS),
посланные
на
закрытые
порты, с
большой
вероятностью
будут
заблокированы.
В таких
случаях
более
выгодно
использовать
запросы с
флагом ACK, т.к.
они не
попадают
под эти
правила.

Другим
популярным
типом
сетевого
экрана
является
брандмауэр
блокирующий
все
непредвиденные
пакеты.
Изначально
эта
функция
поддерживалась
только в
наиболее
продвинутых
брандмауэрах,
хотя с
годами она
становится
все
популярнее.
Использующийся
в Linux сетевой
экран Netfilter/iptables
реализует
этот
механизм с
помощью
опции —state,
которая
категоризирует
пакеты в
зависимости
от
состояния
соединения.
Против
таких
систем
лучше
использовать
пакеты SYN, т.к.
непредвиденные
пакеты ACK с
большой
вероятностью
будут
распознаны
как
фиктивные
и
заблокированы.
Решение
такого
затруднительного
положение
состоит в
том, чтобы
посылать и
SYN и ACK запросы
путем
задания
опций -PS и -PA.

Еще
одной
функцией
используемой
для
обнаружения
хостов
является UDP
пингование,
которая
посылает
пустой
(пока не
задана
опция —data-length) UDP
пакет на
данные
порты.
Список
портов
задается в
том же
формает,
что и для
описанных
выше опций
-PS и -PA. Если
порты не
заданы, то
по
умолчанию
используется
31338. Порт по
умолчанию
может быть
задан во
время
компиляции
путем
изменения
DEFAULT_UDP_PROBE_PORT_SPEC в nmap.h.

По
умолчанию
выбран не
распростаненный
порт, т.к.
отправка
запросов
на
открытые
порты
нежелательна
для этого
типа
сканирования.

Целью
запроса UDP
является
получение
в ответ ICMP
пакета с
ошибкой
«порт
недостижим».
Это
указывает
Nmap на то, что
машина
работает и
доступна.
Другие
типы ICMP
ошибок,
такие как
хост/сеть
недоступна
или
превышение
TTL указывают
на то, что
машина
выключена
или
недоступна.
Отсутствие
ответа
интерпретируется
этим же
путем. Если
такой
запрос
посылается
на
открытый
порт, то
большинство
служб
просто
игнорируют
пустой
пакет и не
посылают
никакого
ответа.
Поэтому
портом по
умолчанию
является 31338,
т.к. он вряд
ли будет
использоваться
какой-либо
службой.
Лишь
некоторые
службы,
такие как Character
Generator (chargen) protocol,
ответят на
пустой UDP
пакет, и это
также
укажет Nmap на
то, что
машина
доступна.

Основным
преимуществом
такого
типа
сканирования
является
то, что он
позволяет
обходить
брандмауэры,
фильтрующие
только TCP
запросы.
Например,
однажды у
меня был
беспроводной
широкополосный
роутер Linksys BEFW11S4.
Внутренний
интерфейс
этого
устройства
фильтровал
по
умолчанию
все TCP порты,
в то время
как в ответ
на UDP
запросы
посылалось
сообщение
об ошибке
«порт
недостижим»,
что делало
его работу
бесполезной.

В
дополнении
к
нестандратным
методам
обнаружения
хостов с
помощью TCP и UDP
запросов, Nmap
может
посылать и
стандартные
пакеты,
используемые
вездесущей
программой
ping. Nmap посылает
ICMP пакет типа
8 (эхо запрос)
на целевой IP
адрес,
ожидая в
ответ от
доступного
хоста
пакет типа 0
(эхо ответ). К
сожалению
для
сетевых
исследователей,
многие
хосты и
брандмауэры
теперь
блокируют
такие
пакеты
вместо
того, чтобы
ответить
на них, как
это
требуется
в RFC 1122[3]. По этой
причине
сканеры
использующе
только ICMP
запросы
редко
бывают
полезны
при
сканировании
неизвестных
целей в
Интернете.
Но они
могут быть
полезны
системным
администраторам,
занимающимся
мониторингом
внутренней
сети.
Используйте
опцию -PE,
чтобы
активировать
такой тип
сканирования.

Но Nmap
использует
не только
стандратный
эхо запрос.
В
стандарте
ICMP (RFC 792[4]) также
определены
запросы
временной
метки,
информационные
запросы и
запросы
адресной
маски с
кодами 13, 15 и 17
соответственно.
Хотя они
служат для
того, чтобы
узнать
какую-либо
информацию,
такую как
адресную
маску или
текущее
время, они
могут быть
легко
применены
для
обнаружения
целей.
Система,
которая
отвечает
на них,
работает и
доступна. В
настоящее
время Nmap не
использует
информационные
запросы, т.к.
они не
получиил
широкого
распространения.
Стандарт RFC 1122
наставивает
на том, что
«хост НЕ
ДОЛЖЕН
посылать
такие
сообщения».
Запросы
временной
метки или
адресной
маски
могут быть
посланы
путем
задания
опций -PP и -PM
соответственно.
Ответ на
запрос
временной
метки (ICMP код 14)
или на
запрос
адресной
маски (код 18)
указывают
на то, что
хост
доступен.
Эти
запросы
могут быть
полезны,
когда
администраторы
блокируют
пакеты эхо
запросов,
но
забывают о
том, что
другие
типы ICMP
запросов
могут быть
использованы
в тех же
целях.

Новейшей
опцией для
обнаружения
хостов
является
пингование
с
использованием
IP протокола,
которая
посылает IP
пакеты с
номером
протокола,
указанным
в
заголовке
пакета.
Список
протоколов
задается в
том же
формате,
что и
список
портов в
описанных
выше
опциях
обнаружения
хостов с
помощью
протоколов
TCP и UDP. Если не
указан ни
один
протокол,
то по
умолчанию
будут
использованы
IP пакеты ICMP
(протокол 1), IGMP
(протокол 2) и
IP-in-IP (протокол 4).
Протоколы
по
умолчанию
могут быть
заданы во
время
компиляции
путем
изменения
DEFAULT_PROTO_PROBE_PORT_SPEC в nmap.h.
Имейте в
виду, что
для ICMP, IGMP, TCP
(протокол 6) и
UDP (протокол 17),
пакеты
посылаются
с
«правильными»
заголовками
протокола,
в то время
как для
остальных
протоколов
пакеты
посылаются
без
дополнительной
информации
после IP
заголовка
(пока не
задана
опция —data-length).

При
использовании
этого
метода
ожидаются
ответы по
протоколу
исходного
запроса,
либо ICMP
сообщение
о
недостижимости,
что
свидетельствует
о том, что
данный
протокол
не
поддерживается
удаленным
хостом. Оба
варианта
ответа
означают,
что
целевой
хост
доступен.

Одной из
наиболее
популярных
сфер
применения
Nmap является
сканирование
локальных
сетей (LAN). В
большинстве
локальных
сетей,
особенно
тех,
которые
используют
диапазоны
частных
адресов
определенные
в RFC 1918[5],
большое
количество
IP адересов
не
используется
в любой
момент
времени.
Когда Nmap
пытается
послать
сырой IP
пакет,
такой как ICMP
эхо запрос,
операционная
система
должна
определить
MAC-адрес (ARP)
соответствующий
целевому IP,
чтобы
правильно
адресовать
фрейм. Это
часто
бывает
медленно и
проблематично,
т.к.
операционные
системы не
были
написаны с
учетом
того, что им
придется
посылать
миллионы ARP
запросов
недоступным
хостам в
короткий
промежуток
времени.

ARP
сканирование
позволяет
Nmap вместо ARP
запросов
использовать
свои
собственные
оптимизированные
алгоритмы.
И если Nmap
получает
ответ, то ей
даже нет
необходимости
беспокоиться
о других
типах
обнаружения
хостов,
основанных
на IP
пакетах.
Этот
делает ARP
сканирование
более
быстрым и
надежным.
Поэтому
оно
применяется
по
умолчанию
для
сканирования
локальных
сетей. Даже
если
указаны
другие
типы
сканирования
(как -PE или -PS),
Nmap все равно
использует
ARP
сканирование
для машин
локальной
сети. Если
вы
абсолютно
не хотите
использовать
такой тип
сканирования,
то задайте
опцию —send-ip.

Отслеживание
осуществляется
после
сканирования,
используя
результаты
этого
сканирования
для
определения
порта и
протокола,
с помощью
которых
можно
будет
достичь
цели.
Процедура
работает
со всеми
типами
сканирования
кроме
сканирования
с
использованием
системного
вызова connect (-sT) и
«ленивого»
(idle)
сканирования
(-sI). Все
отслеживания
используют
динамическую
модель
таймингов Nmap
и
осуществляются
параллельно.

Процедура
отслеживания
маршрута
работает
путем
посылки
пакетов с
низким TTL (time-to-live
(временем-жизни)
в попытке
получить в
ответ ICMP
сообщение
Time Exceeded
(Превышение
Времени
Жизни) от
промежуточных
узлов
между
сканером и
целевым
хостом.
Стандартные
реализации
процедуры
отслеживания
маршрута
начинают с
TTL равным 1, а
затем
увеличивают
его до тех
пор, пока не
будет
достигнут
целевой
хост. В
реализации
же этой
процедуры
в Nmap сначала
устанавливается
высокий TTL, а
затем TTL
уменьшается,
пока не
станет
равным 0. Это
позволяет
Nmap
использовать
«умные»
алгоритмы
кэширования
с целью
увеличения
скорости
отслеживания
маршрута. В
среднем Nmap
посылает 5-10
пакетов на
хост, в
зависимости
от условий
в сети. В
случае
сканирования
единственной
подсети
(напр. 192.168.0.0/24),
возможно
будет
необходимо
послать
только
один пакет
на каждый
хост.

Указывает
Nmap никогда
не
производить
обратное
разрешение
DNS

имен
каждого
обнаруженного
активного IP
адереса.
Преобразование
DNS может
быть
медленным
даже со
встроенным
в Nmap
параллельным
преобразователем
IP адресов,
поэтому
данная
опция
может
сократить
время
сканирования.

По
умолчанию Nmap
определяет
DNS сервера
(для
разрашения
rDNS) из вашего
resolv.conf файла (Unix)
или из
реестра (Win32).
Вы можете
использовать
эту опцию
для
задания
альтернативных
серверов.
Эта опция
игнорируется,
если вы
используете
—system-dns или
сканирование
по
протоколу IPv6.
Использование
нескольких
DNS серверов
частно
увеличивает
скорость
сканирования,
особенно
если вы
выбираете
официальные
сервера
для IP
пространства
вашей цели.
Эта опция
также
может
увеличить
незаметность,
т.к. ваши
запросы
могут быть
перенаправлены
любым
рекурсивным
DNS сервером в
Интернете.

Эта опция
также
бывает
полезна
при
сканировании
частных
сетей.
Иногда
лишь
некоторые
сервера
имен
предоставляют
правильную
rDNS
информацию,
и вы можете
даже не
знать, где
они. Вы
можете
просканировать
сеть на
наличие
открытого
порта 53
(возможно с
помощью
фукнкции
определения
версии),
затем
попробовать
составить
список (-sL)
указывая
по очереди
все
сервера
имен в
опции —dns-servers
до тех пор,
пока не
найдете
тот,
который
работает.

SYN это
используемый
по
умолчанию
и наиболее
популярный
тип
сканирования.
На то есть
несколько
причин. Он
может быть
быстро
запущен, он
способен
сканировать
тысячи
портов в
секунду
при
быстром
соединении,
его работе
не
препятствуют
ограничивающие
бранмауэры.
Этот тип
сканирования
относительно
ненавящив
и
незаметен,
т.к. при
таком
сканировании
TCP
соединение
никогда не
устанавливается
до конца. Он
работает с
любым TCP
стеком, не
завися от
каки-либо
особенностей
специфичной
платформы,
как это
происходит
при
сканированиях
типа FIN/NULL/Xmas, Maimon и idle
сканировании.
Он также
предоставляет
ясную и
достоверную
дифференциацию
между
состояниями
открыт,
закрыт и
фильтруется.

Эту
технику
часто
называют
сканированием
с
использованием
полуотрытых
соединений,
т.к. вы не
открываете
полного TCP
соединения.
Вы
посылаете SYN
пакет, как
если бы вы
хотели
установить
реальное
соединение
и ждете.
Ответы SYN/ACK
указывают
на то, что
порт
прослушивается
(открыт), а RST
(сброс) на
то, что не
прослушивается.
Если после
нескольких
запросов
не
приходит
никакого
ответа, то
порт
помечается
как
фильтруемый.
Порт также
помечается
как
фильтруемый,
если в
ответ
приходит ICMP
сообщение
об ошибке
недостижимости
(тип 3, код 1,2, 3, 9, 10
или 13).

Это
используемый
по
умолчанию
тип TCP
сканирования,
когда
недоступно
SYN
сканирование.
Это
происходит
в случае,
когда у
пользователя
нет
привилегий
для
использования
сырых
пакетов
или при
сканировании
IPv6 сетей.
Вместо
того, чтобы
использовать
сырые
пакеты, как
это
происходит
при
большинстве
других
типов
сканирования,
Nmap «просит»
операционную
систему
установить
соединение
с целевой
машиной по
указанному
порту
путем
системного
вызова connect.
Это такой
же
высокоуровневый
системный
вызов,
используемый
браузерами,
P2P клиентами
и другими
приложениями
для
установки
соединения.
Этот вызов
является
частью
программируемого
интерфейса,
известного
как Berkeley Sockets API.
Вместо
того, чтобы
считывать
ответы в
форме
сырых
пакетов, Nmap
использует
этот API для
получения
информации
о статусе
каждой
попытки
соединения.

При
доступности
SYN
сканирования,
оно,
безусловно,
будет
являться
лучшм
выбором. У Nmap
имеется
меньше
возможностей
контролирования
высокоуровнего
вызова connect
по
сравнению
с сырыми
пакетами,
что делает
его менее
эффективным.
Системный
вызов
завершает
соединения
по
открытым
портам,
вместо
того, чтобы
использовать
полуоткрытые
соединения,
как в
случае с SYN
сканированием.
Таким
образом на
получение
той же
самой
информации
потребуется
больше
времени и
пакетов, да
к тому же
целевые
машины
скорее
всего
запишут
это
соединение
в свои логи.
То же самое
сделает и
порядочная
IDS, хотя
большинство
машин не
имеют
такой
системы
защиты.
Многие
службы на
вашей Unix
системе
будут
добавлять
запись в
системный
лог (syslog), а
также
сообщение
об ошибке,
когда Nmap
будет
устанавливать
и
закрывать
соединение
без
отправления
данных.
Некоторые
службы
даже
аварийно
завершают
свою
работу,
когда это
происходит,
хотя это не
является
обычной
ситуацией.
Администратор,
который
увидит в
логах
группу
записей о
попытке
установки
соединения
от одной и
той же
системы,
должен
знать, что
его машина
подверглась
такому
типу
сканирования.

В то
время как
большинство
сервисов
Интернета
используют
TCP протокол,
UDP[6] службы
также
широко
распространены.
Тремя
наиболее
популярными
являются DNS, SNMP
и DHCP
(используют
порты 53, 161/162 и 67/68).
Т.к. UDP
сканирование
в общем
случае
медленнее
и сложнее TCP,
то многие
специалисты
по
безопасности
игнорируют
эти порты.
Это
является
ошибкой, т.к.
существуют
UDP службы,
которые
используются
атакующими.
К счастью, Nmap
позволяет
инвентаризировать
UDP порты.

UDP
сканирование
запускается
опцией -sU.
Оно может
быть
скомбинировано
с
каким-либо
типом TCP
сканирования,
например SYN
сканирование
(-sS), чтобы
использовать
оба
протокола
за один
проход.

UDP
сканирование
работает
путем
посылки
пустого
(без данных)
UDP заголовка
на каждый
целевой
порт. Если в
ответ
приходит ICMP
ошибка о
недостижимости
порта (тип 3,
код 3),
значит
порт
закрыт.
Другие ICMP
ошибки
недостижимости
(тип 3, коды 1, 2, 9, 10
или 13)
указывают
на то, что
порт
фильтруется.
Иногда,
служба
будет
отвечать UDP
пакетом,
указывая
на то, что
порт
открыт.
Если после
нескольких
попыток не
было
получено
никакого
ответа, то
порт
классифицируется
как
открыт|фильтруется.
Это
означает,
что порт
может быть
открыт, или,
возможно,
пакетный
фильтр
блокирует
его.
Функция
определения
версии (-sV)
может быть
полезна
для
дифференциации
действительно
открытых
портов и
фильтруемых.

Большой
проблемой
при UDP
сканировании
является
его
медленная
скорость
работы.
Открытые и
фильтруемые
порты
редко
посылают
какие-либо
ответы,
заставляя
Nmap
отправлять
повторные
запросы, на
случай
если
пакеты
были
утеряны.
Закрытые
порты
часто
оказываются
еще
большей
проблемой.
Обычно они
в ответ
возвращают
ICMP ошибку о
недостижимости
порта. Но в
отличии от
RST пакетов
отсылаемых
закрытыми TCP
портами в
ответ на SYN
или
сканирование
с
установкой
соединения,
многие
хосты
ограничивают
лимит

ICMP
сообщений
о
недостижимости
порта по
умолчанию.
Linux и Solaris
особенно
строги в
этом плане.
Например,
ядро Linux 2.4.20
огранивает
количество
таких
сообщений
до одного в
секунду (в
net/ipv4/icmp.c).

Nmap
обнаруживает
такого
рода
ограничения
и
соответственно
сокращает
количество
запросов,
чтобы не
забивать
сеть
бесполезными
пакетами,
которые
все равно
будут
отброшены
целевой
машиной. К
сожалению,
при
ограничении
в стиле Linux
(один пакет
в секунду)
сканирование
65,536 портов
займет
более 18
часов. К
способам
увеличения
скорости UDP
сканирования
относятся:
параллельное
сканирование
нескольких
хостов,
сканирование
в первую
очередь
только
наиболее
популярных
портов,
сканирование
из-за
брандмауэра
и
использование
—host-timeout дял
пропуска
медленных
хостов.

Эти три
типа
сканирования
используют
(другие
типы
сканирования
доступны с
использованием
опции —scanflags
описанной
в другой
секции)
незаметную
лазейку в TCP
RFC[7], чтобы
разделять
порты на
открытые и
закрытые.
На
странице 65 RFC 793
говорится,
что «если
порт
назначения
ЗАКРЫТ ….
входящий
сегмент не
содержащий
RST повлечет
за собой
отправку RST в
ответ.» На
следующей
странице,
где
обсуждается
отправка
пакетов
без
установленных
битов SYN, RST или
ACK,
утверждается
что: «вы
вряд ли с
этим
столкнетесь,
но если
столкнетесь,
то
сбросьте
сегменти и
вернитесь
к
исходному
состоянию.»

Когда
сканируется
система
отвечающая
требованиям
RFC, любой
пакет, не
содержащий
установленного
бита SYN, RST или ACK,
повлечет
за собой
отправку RST
в ответ в
случае,
если порт
закрыт, или
не
повлечет
никакого
ответа,
если порт
открыт. Т.к.
ни один из
этих битов
не
установлен,
то любая
комбинация
трех
оставшихся
(FIN, PSH и URG) будет
являться
правильной.
Nmap
использует
это в трех
типах
сканирования:

Null
сканирование
(-sN)

Не
устанавливаются
никакие
биты
(Флагов в TCP
заголовоке
0)

FIN
сканирование
(-sF)

Устанавливается
только TCP FIN
бит.

Xmas
сканирование
(-sX)

Устанавливаются
FIN, PSH и URG флаги.

Эти три
типа
сканирования
работают
по одной
схеме,
различия
только в TCP
флагах
установленных
в пакетах
запросов.
Если в
ответ
приходит RST
пакет, то
порт
считается
закрытым,
отсутствие
ответа
означает,
что порт
открыт|фильтруется.
Порт
помечается
как
фильтруется,
если в
ответ
приходит ICMP
ошибка о
недостижимости
(тип 3, код 1, 2, 3, 9, 10
или 13).

Ключевой
особенностью
этих типов
сканирования
является
их
способность
незаметно
обойти
некоторые
не
учитывающие
состояние
(non-stateful)
брандмауэры
и роутеры с
функцией
пакетной
фильтрации.
Еще одним
преимуществом
является
то, что они
даже чуть
более
незаметны,
чем SYN
сканирование.
Все же не
надо на это
полагаться
—
большинство
современных
IDS могут
быть
сконфигурированы
на их
обнаружение.
Большим
недостатком
является
то, что не
все
системы
следуют RFC 793
дословно.
Некоторые
системы
посылают RST
ответы на
запросы не
зависимо
от того,
открыт
порт или
закрыт. Это
приводит к
тому, что
все порты
помечаются
как
закрытые.
Основными
системами
ведущими
себя
подобным
образом
являются Microsoft
Windows, многие
устройства
Cisco, BSDI и IBM OS/400. Хотя
такое
сканирование
применимо
к
большинству
систем,
основанных
на Unix. Еще
одним
недостатком
этих видов
сканирования
является
их
неспособность
разделять
порты на
открытые и
фильтруемые,
т.к. порт
помечается
как
открыт|фильтруется.

Этот тип
сканирования
сильно
отличается
от всех
других тем,
что он не
способен
определить
открый
порт open (или
даже
открытый|фильтруемый).
Он
используются
для
выявления
правил
брандмауэров,
определения
учитывают
ли он
состояние
или нет, а
также для
определения
фильтруемых
ими портов.

Пакет
запроса
при таком
типе
сканирования
содержит
установленным
только ACK
флаг (если
не
используется
—scanflags). При
сканировании
нефильтруемых
систем,
открытые и
закрытые
порты оба
будут
возвращать
в ответ RST
пакет. Nmap
помечает
их как не
фильтруемые,
имея ввиду,
что они
достижимы
для ACK
пакетов, но
неизвестно
открыты
они или
закрыты.
Порты,
которые не
отвечают
или
посылают в
ответ ICMP
сообщение
об ошибке
(тип 3, код 1, 2, 3, 9, 10
или 13),
помечаются
как
фильтруемые.

Этот тип
сканирования
практически
то же самое,
что и ACK
сканирование,
за
исключением
того, что он
использует
особенности
реализации
различных
систем для
разделения
портов на
открытые и
закрытые,
вместо
того, чтобы
всегда при
получении RST
пакета
выводить
не
фильтруется.
Это
осуществляется
путем
анализа TCP Window
поля
полученного
в ответ RST
пакета. В
некоторых
системах
открытые
порты
используют
положительное
значение
этого поля
(даже в RST
пакетах), а
закрытые —
нулевое.
Поэтому
вместо
того, что
все время
при
получении RST
пакета в
ответ
помечать
порты как
не
фильтруемые,
при Window
сканировании
порты
помечаются
как
открытые
или
закрытые,
если
значение
поля TCP Window
положительно
или равно
нулю
соответственно.

Этот тип
сканирования
основывается
на
особенностях
реализации
меньшинства
систем в
Интернете,
поэтому вы
не можете
все время
доверять
ему. В общем
случае в
системах,
не имеющих
таких
особенностей,
все порты
будут
помечаться
как
закрытые.
Конечно,
это
возможно,
что у
машины
действительно
нет
открытых
портов.
Если
большинство
просканированных
портов
закрыты, и
лишь
несколько
распространненых
портов
(таких как 22, 25,
53)
фильтруются,
то скорее
всего
результатам
сканирования
можно
доверять.
Иногда,
системы
будут
вести себя
прямо
противоположным
образом.
Если в
результате
сканирования
будет
найдено 1000
открытых
портов и 3
закрытых
или
фильтруемых,
то как раз
эти 3 могут
оказаться
действительно
открытыми.

Этот тип
сканирования
носит имя
своего
первооткрывателя,
Уриела
Мэймона (Uriel Maimon).

Он описал
эту
технику в
журнале Phrack Magazine,
выпуск #49
(Ноябрь 1996).

Версия Nmap с
поддержкой
этого типа
сканирования
была
выпущена
через два
номера.
Техника
практически
такая же
как и при NULL, FIN
и Xmas
сканированиях,
только в
качестве
запросов
используются
запросы FIN/ACK.
Согласно RFC
793[7] (TCP), в ответ
на такой
запрос
должен
быть
сгенерирован
RST пакет,
если порт
открыт или
закрыт. Тем
не менее,
Уриел
заметил,
что многие
BSD системы
просто
отбрасывают
пакет, если
порт
открыт.

Действительно
продвинутым
пользователям
Nmap не нужды
ограничивать
себя
заранее
приготовленными
типами
сканирования.
С помощью
опции —scanflags вы
можете
разработать
свой тип
сканирования
путем
задания
специфичных
TCP флагов.
Используйте
свое
воображение,
обходя
системы
обнаружения
вторжений,
чьи
производители
просто
просмотрели
справочное
руководство
Nmap, путем
задания
собственных
правил!

Аргументом
опции —scanflags
может быть
числовое
значение,
например, 9 (PSH
и FIN флаги), но
использование
символьных
имен
намного
проще.
Используйте
любые
комбинации
URG, ACK, PSH, RST, SYN и FIN.
Например,
опцией —scanflags
URGACKPSHRSTSYNFIN будут
установлены
все флаги,
хотя это и
не очень
полезно
для
сканирования.
Порядок
задания
флагов не
имеет
значения.

В
добавлении
к заданию
желаемых
флагов, вы
также
можете
задать тип
TCP
сканирования
(например,
-sA или -sF). Это
укажет Nmap на
то, как
необходимо
интерпретировать
ответы.
Например,
при SYN
сканировании
отсутствие
ответа
указывает
на
фильтруемый
порт, тогда
как при FIN
сканировании
— на
открытый|фильтруемый.
Nmap будет
осуществлять
заданный
тип
сканирования,
но
используя
указанные
вами TCP
флаги
вместо
стандартных.
Если вы не
указываете
тип
сканирования,
то по
умолчанию
будет
использоваться
SYN.

Этот
продвинутый
метод
сканирования
позволяет
осуществить
действительно
незаметное
TCP
сканирование
портов
цели
(имеется
ввиду, что
никакие
пакеты не
отсылаются
на целевую
машину с
вашего
реального IP
адерса).
Вместо
этого, на
зомби
машине
используется
предсказуемая
последовательность
генерации ID IP
фрагментов
для сбора
информации
об
открытых
портах
цели.
Системы IDS
будут
считать,
что
сканирование
производится
с заданной
вами зомби
машины
(которая
должна
работать и
удовлетворять
определенным
критериям).
Этот тип
сканирования
слишком
сложен для
описания в
этом
справочном
руководстве,
поэтому я
написал и
выложил
подробное
описание
на https://nmap.org/book/idlescan.html.

Помимо
его
незаметности
(в силу
своей
природы),
этот тип
сканирования
также
позволяет
определять
основанные
на IP
доверительные
отношения
между
машинами.
Список
открытых
портов
показывает
открытые
порты с
точки
зрения
зомби
машины.
Поэтому вы
можете
попробовать
просканировать
цель
используя
различные
зомби
машины,
которым, вы
считаете,
возможно
будут
доверять

(посредством
правил
роутера/пакетного
фильтра).

Вы можете
добавить
номер
порта
после
двоеточия
к зомби
хосту, если
хотите
использовать
конкретный
порт. По
умолчанию
будет
использоваться
порт 80.

Порты
также
могут быть
заданы
именами,
которым
они
соответствуют
в файле nmap-services.
Вы даже
можете
использовать
шаблоны * и ?
в именах.
Например,
чтобы
просканировать
ftp и все
порты
начинающиеся
с http
используйте
-p ftp,http*. В таких
случаях
лучше
брать
аргументы -p
в кавычки.

Диапазоны
портов
заключаются
в
квадратные
скобки;
будут
просканированы
порты из
этого
диапазона,
встречающиеся
в nmap-services.
Например, с
помощью
следующей
опции
будут
просканированы
все порты
из nmap-services
равные или
меньше 1024: -p [-1024].
В таких
случаях
лучше
брать
аргументы -p
в кавычки.

Сканирование
такого
типа
позволяет
определить,
какие IP
протоколы (TCP,
ICMP, IGMP и т.д.)
поддерживаются
целевыми
машинами.
Технически
такое
сканирование
не
является
разновидностью
сканирования
портов, т.к.
при нем
циклически
перебираются
номера IP
протоколов
вместо
номеров TCP
или UDP портов.
Хотя здесь
все же
используется
опция -p для
выбора
номеров
протоколов
для
сканирования,
результаты
выдаются в
формате
таблицы
портов, и
даже
используется
тот же
механизм
сканирования,
что и при
различных
вариантах
сканирования
портов.
Поэтому он
достаточно
близок к
сканированию
портов и
описывается
здесь.

Помимо
полезности
непосредственно
в своей
сфере
применения,
этот тип
сканирования
также
демонстрирует
всю мощь
открытого
программного
обеспечения
(open-source software). Хотя
основная
идея
довольна
проста, я
никогда не
думал
включить
такую
функцию в Nmap,
и не
получал
запросов
на это.
Затем,
летом 2000-го,
Джерард
Риджер (Gerhard Rieger)

развил
эту идею,
написал
превосходный
патч
воплощающий
ее и
отослал
его на nmap-hackers
рассылку. Я
включил
этот патч в
Nmap и на
следующий
день
выпустил
новую
версию.
Лишь
единицы
комерческого
программного
обеспечения
могут
похвастаться
пользователями,
достаточно
полными
энтузиазма
для
разработки
и
предоставления
своих
улучшений!

Способ
работы
этого типа
сканирования
очень
похож на
реализованный
в UDP
сканировании.
Вместо
того, чтобы
изменять в
UDP пакете
поле,
содержащее
номер
порта,
отсылаются
заголовки IP
пакета, и
изменяется
8 битное
поле IP
протокола.
Заголовки
обычно
пустые, не
содержащие
никаких
данных и
даже
правильного
заголовка
для
требуемого
протокола.
Исключениями
явлются TCP, UDP и
ICMP.
Включение
правильного
заголовка
для этих
протоколов
необходимо,
т.к. в
обратном
случае
некоторые
системы не
будут их
отсылать,
да и у Nmap есть
все
необходимые
функции
для их
создания.
Вместо
того, чтобы
ожидать в
ответ ICMP
сообщение
о
недостижимости
порта, этот
тип
сканирования
ожидает ICMP
сообщение
о
недостижимости
протокола.
Если Nmap
получает
любой
ответ по
любому
протоколу,
то
протокол
помечается
как
открытый. ICMP
ошибка о
неостижимости
протокола
(тип 3, код 2)
помечает
протокол
как
закрытый.
Другие ICMP
ошибки
недостижимости
(тип 3, код 1, 3, 9, 10
или 13)
помечают
протокол
как
фильтруемый
(в то же
время они
показывают,
что
протокол ICMP
открыт).
Если не
приходит
никакого
ответа
после
нескольких
запросов,
то
протокол
помечается
как
открыт|фильтруется
.

.RE

-b FTP хост (FTP
bounce
сканирование)

С
помощью
этой опции
вы можете
определить,
какие
порты вы
хотите
просканировать
и
переопределить
установки
по
умолчанию.
Указание
отдельных
номеров
портов
допустимо,
как и
задание
диапазонов
портов
разделенных
дефисом
(напр. 1-1023).
Начальные
и/или
кончные
значения
диапазонов
могут быть
опущены,
что
заставит Nmap
использовать
1 и 65535
соответственно.
Поэтому вы
можете
задать
опцию -p-,
чтобы
просканировать
все порты
от 1 до 65535.
Сканирование
нулевого
порта
допустимо,
если вы
укажене
его явно .
Для
сканирования
по IP
протоколу
(-sO), эта
опция
определяет
номера
протоколов,
которые вы
хотите
просканировать
для
диапазона
(0-255).

Когда
сканируете
и TCP и UDP порты,
вы можете
задать
определенный
протокол
указав
перед
номерами
портов T: или
U:.
Определитель
будет
действовать
до того
момента,
пока вы не
зададите
другой.
Например,
при
задании
аргумента
-p U:53,111,137,T:21-25,80,139,8080
будут
просканированы
UDP порты 53,111, и 137, а
также все
перечисленные
TCP порты.
Имейте в
виду, что
для
сканирования
и UDP и TCP портов,
вы должны
указать
опцию -sU и,
по крайне
мере, один
из типов
сканирования
TCP (таких как
-sS, -sF или -sT).
Если
определитель
прокотола
не указан,
то
перечисленные
порты
будут
добавлены
ко всем
протоколам.

Порты
также
могут быть
заданы
именами,
которые
указаны в
nmap-services. Вы даже
можете
использовать
символы ? и *
с именами.
Например,
чтобы
просканировать
FTP и все
порты, чьи
имена
начинаются
с «http»,
используйте
-p ftp,http*. Будьте
осторожны
при вводе
этой
команды и
лучше
заключите
аргумент -p
в кавычки.

Диапазоны
портов
могут быть
заключены
в
квадратные
скобки,
чтобы
определить
порты
внутри
этого
диапазона,
которые
упомянуты
в nmap-services.
Например, с
помощью
следующей
команды
будут
просканированы
все порты
из nmap-services
равные или
меньшие 1024: -p
[-1024]. Будьте
осторожны
при вводе
этой
команды и
лучше
заключите
аргумент -p
в кавычки.

Когда
производится
сканирование
с заданной
опцией
определения
версии (-sV), Nmap
посылает
серию
запросов,
каждому из
которых
присваивается
значение в
диапазоне
от 1 до 9.
Запросы с
низкими
значениями
эффективны
для
большинства
типичных
служб, в то
время как
запросы с
более
высокими
значениями
редко
применяются
на
практике.
Уровень
интенсивности
определяет,
какие
запросы
должны
использоваться
во время
сканирования.
Чем выше
значение
запроса,
тем больше
вероятность
корректного
определения
службы. Тем
не менее,
сканирование
с высокой
интенсивностью
займет
много
времени.
Уровень
интенсивности
должна
быть
задана
числом от 0
до 9.

По
умолчанию
уровень
интенсивности
равен 7.

Когда
запрос
привязан к
целевому
порту
посредством
директивы
nmap-service-probes ports, этот
запрос
будет
производиться
вне
зависимости
от уровня
интенсивности.
Это
гарантирует,
что DNS
запросы
всегда
будут
производится
с
использование
порта 53, SSL
запросы — 443 и
т.д.

Этот
метод
работает в
связке с
различными
методами
сканирования
портов Nmap.
При
включении
этой опции
на все
обнаруженные
открытые TCP/UDP
порты
посылатеся
множество NULL
команд
программы
SunRPC в попытке
определить,
являются
ли эти
порты RPC
портами, и
если так, то
какими
программами
(а также их
версии) они
используются.
Таким
образом, вы
можете
получить
ту же
информацию
как и в
случае
использования
команды rpcinfo -p,
даже если
целевой
сервер
портмаппинга
(portmapper)
находится
за
брандмауэром
(или
защищен TCP
фильтром).
На
сегодняшний
момент
ловушки со
сканированием
RPC не
работают

Эта опция
автоматически
активируется
как часть
сканирования
с функцией
определения
версии (-sV).
Т.к. это
включено в
функцию
определения
версии и
более
детально
проработано,
то опция -sR
нужна
очень
редко.