NMAP(1) [FIXME: manual] NMAP(1)
NOME
nmap - Strumento di network exploration e security / port scanner
SINOSSI
nmap [Tipo di Scansione...] [Opzioni] {Obiettivo}
DESCRIZIONE
Nmap («Network Mapper») è uno strumento open-source per la network
exploration e l'auditing. È stato progettato per scansionare
rapidamente reti di grandi dimensioni, ma è indicato anche per
l'utilizzo verso singoli host. Nmap usa pacchetti IP "raw" (grezzi, non
formattati) in varie modalità per determinare quali host sono
disponibili su una rete, che servizi (nome dell'applicazione e
versione) vengono offerti da questi host, che sistema operativo (e che
versione del sistema operativo) è in esecuzione, che tipo di firewall e
packet filters sono usati, e molte altre caratteristiche. Nonostante
Nmap sia comunemente usato per audits di sicurezza, molti sistemisti e
amministratori di rete lo trovano utile per tutte le attività
giornaliere come ad esempio l'inventario delle macchine presenti in
rete, per gestire gli aggiornamenti programmati dei servizi e per
monitorare gli host o il loro uptime.
L'output di Nmap è un elenco di obiettivi scansionati, con informazioni
supplementari per ognuno a seconda delle opzioni usate. Tra queste
informazioni è vitale la «tabella delle porte interessanti ». Questa
tabella elenca il numero della porta e il protocollo, il nome del
servizio e lo stato attuale. Lo stato può essere open (aperto),
filtered (filtrato), closed (chiuso), o unfiltered (non filtrato).
Aperto significa che vi è sulla macchina obiettivo un'applicazione in
ascolto su quella porta per connessioni o pacchetti in entrata.
Filtrato significa che un firewall, un filtro o qualche altro ostacolo
di rete sta bloccando la porta al punto che Nmap non riesce a
distinguere tra aperta o chiusa. Le porte chiuse non hanno alcuna
applicazione in ascolto, anche se potrebbero aprirsi in ogni momento.
Le porte vengono classificate come non filtrate quando rispondono ad
una scansione di Nmap, ma non è stato possibile determinare se sono
aperte o chiuse. Nmap mostra le combinazioni aperta|filtrata e
chiusa|filtrata quando non può determinare quale dei due stati descrive
una porta. La tabella delle porte può anche includere dettagli quali le
versioni dei software disponibili se è stata usata l'opzione
appropriata. Quando viene richiesta una scansione IP (-sO), Nmap
fornisce informazioni sui protocolli IP supportati anziché sulle porte
in ascolto.
In aggiunta alla tabella delle porte notevoli, Nmap può fornire
ulteriori informazioni sugli obiettivi come ad esempio i nomi DNS
risolti (reverse DNS names), il probabile sistema operativo in uso, il
tipo di device e l'indirizzo fisico (MAC address).
Una tipica scansione con Nmap è mostrata su Esempio 1, «Una scansione
di esempio». Le uniche opzioni usate di Nmap in questo esempio sono -A,
per abilitare la rilevazione del sistema operativo e della versione, lo
script scanning e il traceroute, -T4 per un'esecuzione più rapida e
infine l'host obiettivo.
Esempio 1. Una scansione di esempio
# nmap -A -T4 scanme.nmap.org
Nmap scan report for scanme.nmap.org (74.207.244.221)
Host is up (0.029s latency).
rDNS record for 74.207.244.221: li86-221.members.linode.com
Not shown: 995 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.3p1 Debian 3ubuntu7 (protocol 2.0)
| ssh-hostkey: 1024 8d:60:f1:7c:ca:b7:3d:0a:d6:67:54:9d:69:d9:b9:dd (DSA)
|_2048 79:f8:09:ac:d4:e2:32:42:10:49:d3:bd:20:82:85:ec (RSA)
80/tcp open http Apache httpd 2.2.14 ((Ubuntu))
|_http-title: Go ahead and ScanMe!
646/tcp filtered ldp
1720/tcp filtered H.323/Q.931
9929/tcp open nping-echo Nping echo
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6.39
OS details: Linux 2.6.39
Network Distance: 11 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:kernel
TRACEROUTE (using port 53/tcp)
HOP RTT ADDRESS
[Cut first 10 hops for brevity]
11 17.65 ms li86-221.members.linode.com (74.207.244.221)
Nmap done: 1 IP address (1 host up) scanned in 14.40 seconds
L'ultima versione di Nmap si può ottenere dal sito https://nmap.org.
L'ultima versione di questa pagina del manuale è disponibile al sito
https://nmap.org/book/man.html. È anche inclusa come capitolo di «Nmap
Network Scanning: The Official Nmap Project Guide to Network Discovery
and Security Scanning» (https://nmap.org/book/).
ELENCO DELLE OPZIONI
Questo elenco delle possibili opzioni viene stampato quando Nmap viene
eseguito senza argomenti; una versione aggiornata di questo elenco è
sempre disponibile sul sito
https://svn.nmap.org/nmap/docs/nmap.usage.txt. È utile per ricordarsi
le opzioni più comuni ma non dev'essere inteso come un'alternativa alla
documentazione approfondita presente in questa pagina di manuale.
Alcune opzioni "oscure" non sono neanche incluse qui.
Nmap 6.47SVN ( https://nmap.org )
Usage: nmap [Scan Type(s)] [Options] {target specification}
TARGET SPECIFICATION:
Can pass hostnames, IP addresses, networks, etc.
Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-iL <inputfilename>: Input from list of hosts/networks
-iR <num hosts>: Choose random targets
--exclude <host1[,host2][,host3],...>: Exclude hosts/networks
--excludefile <exclude_file>: Exclude list from file
HOST DISCOVERY:
-sL: List Scan - simply list targets to scan
-sn: Ping Scan - disable port scan
-Pn: Treat all hosts as online -- skip host discovery
-PS/PA/PU/PY[portlist]: TCP SYN/ACK, UDP or SCTP discovery to given ports
-PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes
-PO[protocol list]: IP Protocol Ping
-n/-R: Never do DNS resolution/Always resolve [default: sometimes]
--dns-servers <serv1[,serv2],...>: Specify custom DNS servers
--system-dns: Use OS's DNS resolver
--traceroute: Trace hop path to each host
SCAN TECHNIQUES:
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans
-sU: UDP Scan
-sN/sF/sX: TCP Null, FIN, and Xmas scans
--scanflags <flags>: Customize TCP scan flags
-sI <zombie host[:probeport]>: Idle scan
-sY/sZ: SCTP INIT/COOKIE-ECHO scans
-sO: IP protocol scan
-b <FTP relay host>: FTP bounce scan
PORT SPECIFICATION AND SCAN ORDER:
-p <port ranges>: Only scan specified ports
Ex: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9
--exclude-ports <port ranges>: Exclude the specified ports from scanning
-F: Fast mode - Scan fewer ports than the default scan
-r: Scan ports sequentially - don't randomize
--top-ports <number>: Scan <number> most common ports
--port-ratio <ratio>: Scan ports more common than <ratio>
SERVICE/VERSION DETECTION:
-sV: Probe open ports to determine service/version info
--version-intensity <level>: Set from 0 (light) to 9 (try all probes)
--version-light: Limit to most likely probes (intensity 2)
--version-all: Try every single probe (intensity 9)
--version-trace: Show detailed version scan activity (for debugging)
SCRIPT SCAN:
-sC: equivalent to --script=default
--script=<Lua scripts>: <Lua scripts> is a comma separated list of
directories, script-files or script-categories
--script-args=<n1=v1,[n2=v2,...]>: provide arguments to scripts
--script-args-file=filename: provide NSE script args in a file
--script-trace: Show all data sent and received
--script-updatedb: Update the script database.
--script-help=<Lua scripts>: Show help about scripts.
<Lua scripts> is a comma-separated list of script-files or
script-categories.
OS DETECTION:
-O: Enable OS detection
--osscan-limit: Limit OS detection to promising targets
--osscan-guess: Guess OS more aggressively
TIMING AND PERFORMANCE:
Options which take <time> are in seconds, or append 'ms' (milliseconds),
's' (seconds), 'm' (minutes), or 'h' (hours) to the value (e.g. 30m).
-T<0-5>: Set timing template (higher is faster)
--min-hostgroup/max-hostgroup <size>: Parallel host scan group sizes
--min-parallelism/max-parallelism <numprobes>: Probe parallelization
--min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <time>: Specifies
probe round trip time.
--max-retries <tries>: Caps number of port scan probe retransmissions.
--host-timeout <time>: Give up on target after this long
--scan-delay/--max-scan-delay <time>: Adjust delay between probes
--min-rate <number>: Send packets no slower than <number> per second
--max-rate <number>: Send packets no faster than <number> per second
FIREWALL/IDS EVASION AND SPOOFING:
-f; --mtu <val>: fragment packets (optionally w/given MTU)
-D <decoy1,decoy2[,ME],...>: Cloak a scan with decoys
-S <IP_Address>: Spoof source address
-e <iface>: Use specified interface
-g/--source-port <portnum>: Use given port number
--proxies <url1,[url2],...>: Relay connections through HTTP/SOCKS4 proxies
--data <hex string>: Append a custom payload to sent packets
--data-string <string>: Append a custom ASCII string to sent packets
--data-length <num>: Append random data to sent packets
--ip-options <options>: Send packets with specified ip options
--ttl <val>: Set IP time-to-live field
--spoof-mac <mac address/prefix/vendor name>: Spoof your MAC address
--badsum: Send packets with a bogus TCP/UDP/SCTP checksum
OUTPUT:
-oN/-oX/-oS/-oG <file>: Output scan in normal, XML, s|<rIpt kIddi3,
and Grepable format, respectively, to the given filename.
-oA <basename>: Output in the three major formats at once
-v: Increase verbosity level (use -vv or more for greater effect)
-d: Increase debugging level (use -dd or more for greater effect)
--reason: Display the reason a port is in a particular state
--open: Only show open (or possibly open) ports
--packet-trace: Show all packets sent and received
--iflist: Print host interfaces and routes (for debugging)
--log-errors: Log errors/warnings to the normal-format output file
--append-output: Append to rather than clobber specified output files
--resume <filename>: Resume an aborted scan
--stylesheet <path/URL>: XSL stylesheet to transform XML output to HTML
--webxml: Reference stylesheet from Nmap.Org for more portable XML
--no-stylesheet: Prevent associating of XSL stylesheet w/XML output
MISC:
-6: Enable IPv6 scanning
-A: Enable OS detection, version detection, script scanning, and traceroute
--datadir <dirname>: Specify custom Nmap data file location
--send-eth/--send-ip: Send using raw ethernet frames or IP packets
--privileged: Assume that the user is fully privileged
--unprivileged: Assume the user lacks raw socket privileges
-V: Print version number
-h: Print this help summary page.
EXAMPLES:
nmap -v -A scanme.nmap.org
nmap -v -sn 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -Pn -p 80
SEE THE MAN PAGE (https://nmap.org/book/man.html) FOR MORE OPTIONS AND EXAMPLES
TARGET SPECIFICATION (SPECIFICA DEGLI OBIETTIVI)
Ogni cosa sulla linea di comando di Nmap che non è un'opzione (o un
argomento di un'opzione) è considerato come una specifica di un host
obiettivo. Il caso più semplice consiste nello specificare
semplicemente un indirizzo IP o un nome di host per la scansione.
A volte può essere utile scansionare un'intera rete di host adiacenti.
Per questo, Nmap supporta l'indirizzamento CIDR. Si possono aggiungere
/numero di bit a un indirizzo IP o a un nome di host e Nmap eseguirà la
scansione su ogni indirizzo IP per il quale i primi numero di bit sono
identici a quelli specificati nell'IP o nel nome di host fornito. Ad
esempio, 192.168.10.0/24 eseguirà la scansione sui primi 256 host tra
192.168.10.0 (in binario: 11000000 10101000 00001010 00000000) e
192.168.10.255 (in binario: 11000000 10101000 00001010 11111111),
estremi inclusi. 192.168.10.40/24 fa esattamente la stessa cosa. Dato
che l'host scanme.nmap.org corrisponde all'indirizzo IP 205.217.153.62,
la specifica scanme.nmap.org/16 eseguirebbe la scansione sui 65.536
indirizzi IP tra 205.217.0.0 e 205.217.255.255. Il più piccolo valore
permesso è /1, che effettua la scansione su metà Internet. Il valore
maggiore è 32, che effettua la scansione solo sull'host o sull'IP
specificato poiché tutti i bit di indirizzo sono fissati.
La notazione CIDR è breve ma non sempre abbastanza flessibile. Ad
esempio, si potrebbe voler controllare 192.168.0.0/16 ma saltando
qualsiasi IP termini con .0 o con .255 perché sono usati generalmente
come indirizzi di broadcast. Nmap supporta questa funzione attraverso
l'indirizzamento per intervalli di ottetti. Anziché specificare un
normale indirizzo IP è possibile specificare una lista di valori o
intervalli di valori separati da virgola per ogni ottetto. Ad esempio,
192.168.0-255.1-254 salterà tutti gli indirizzi nell'intervallo che
termina per .0 o .255, mentre 192.168.3-5,7.1 eseguirà la scansione dei
quattro indirizzi 192.168.3.1, 192.168.4.1, 192.168.5.1 e 192.168.7.1.
Entrambi i valori limite possono essere omessi; i valori di default
sono 0 a sinistra e 255 a destra. Usare - da solo equivale a 0-255, ma
ricorda di usare 0- nel primo ottetto così da non fare sembrare
l'obiettivo un'opzione sulla riga di comando. Gli intervalli non devono
necessariamente essere limitati agli ottetti finali: una specifica come
0-255.0-255.13.37 effettuerà una scansione su tutta Internet per ogni
indirizzo IP che termina per 13.37. Questa tipologia di campionamento
può essere utile per ricerche e sondaggi su tutta la rete Internet.
Indirizzi IPV6 possono essere indicati solo mediante il loro indirizzo
IPv6 completo o il loro hostname. L'indirizzamento CIDR e gli
intervalli di ottetti non sono ancora supportati per IPv6.
Gli indirizzi IPv6 con un non-global scope hanno bisogno di un ID di
zona come suffisso. Sui sistemi Unix, questo è rappresentato dal
simbolo percentuale (%) seguito dal nome di un'interfaccia; un
indirizzo completo potrebbe essere fe80::a8bb:ccff:fedd:eeff%eth0. Su
Windows, si usa l'identificativo numerico dell'interfaccia al posto del
suo nome: fe80::a8bb:ccff:fedd:eeff%1. Puoi vedere la lista degli
identificativi numerici con il comando netsh.exe interface ipv6 show
interface.
Nmap accetta più indirizzi di obiettivi sulla linea di comando ed essi
non devono essere necessariamente indicati nello stesso modo. Il
comando nmap scanme.nmap.org 192.168.0.0/8 10.0.0,1,3-7.- fa
esattamente ciò che ci si aspetta.
Così come gli obiettivi sono generalmente indicati sulla linea di
comando, anche le seguenti opzioni sono disponibili per la selezione
degli obiettivi:
-iL <inputfilename> (Input from list)
Legge gli obiettivi da inputfilename. Inserire una grossa lista di
host è spesso scomodo sulla linea di comando, anche se spesso è una
necessità comune. Ad esempio, un server DHCP potrebbe esportare un
elenco di 10.000 leases che si potrebbero voler controllare. Oppure
si vogliono controllare tutti gli indirizzi IP di una rete tranne
quelli presenti nel DHCP per individuare eventuali IP statici non
autorizzati. È sufficiente generare la lista di host da controllare
e passarla a Nmap come argomento dell'opzione -iL. Ogni elemento
può essere in uno qualsiasi dei formati accettati da Nmap sulla
linea di comando (indirizzo IP, nome dell'host, notazione CIDR,
IPv6 o intervalli di indirizzi). Ogni elemento dev'essere separato
da uno o più spazi, indentazioni (tabulazioni) o caratteri di
a-capo. Si può usare un trattino (-) come nome di file se si vuole
che Nmap legga gli host dallo standard input piuttosto che da un
file esistente.
L'inputfilename può contenere commenti. Ogni commento inizia con #
e finisce con un carattere di a-capo.
-iR <num hosts> (Choose random targets)
Durante certe indagini su tutta Internet o altri tipi di ricerca,
si potrebbe desiderare di scegliere gli obiettivi in maniera
casuale. L'argomento num hosts indica a Nmap quanti indirizzi IP
generare. Gli indirizzi privati, multicast o i pool di indirizzi
non allocati vengono automaticamente saltati. Si può specificare
l'argomento 0 per una scansione senza fine. Va ricordato che alcuni
amministratori di rete non apprezzano scansioni non autorizzate
delle loro reti e potrebbero lamentarsi. Usare questa opzione a
proprio rischio e pericolo! Se in un pomeriggio piovoso ci si trova
ad essere annoiati, si può provare questo comando nmap -sS -PS80
-iR 0 -p 80 per trovare in maniera casuale dei server web sui quali
navigare.
--exclude <host1>[,<host2>[,...]] (Exclude hosts/networks)
Questa opzione specifica un elenco, separato da virgola, di
obiettivi da escludere dalla scansione anche se sono parte
dell'intervallo di rete specificato. La lista va specificata nella
notazione usuale di Nmap, ovvero può includere nomi di host,
blocchi di indirizzi specificati mediante notazione CIDR,
intervalli di ottetti, etc. Questo può essere utile quando la rete
che si vuole controllare include server intoccabili o di vitale
importanza, sistemi che sono conosciuti per reagire in maniera
negativa ad eventuali scansioni, o sottoreti amministrate da altri.
--excludefile <exclude_file> (Exclude list from file)
Questa opzione offre le stesse funzionalità dell'opzione--exclude,
con la differenza che gli obiettivi da escludere dalla scansione
sono elencate in un exclude_file (separate da spazi bianchi, a-capo
o tabulazioni) anziché sulla linea di comando.
L'exclude_file può contenere commenti. Ogni commento inizia con # e
finisce con un carattere di a-capo.
HOST DISCOVERING (RICERCA DI HOST)
Uno dei primi passi in qualsiasi approccio di mappatura di una rete è
quello di ridurre un intervallo di indirizzi IP (talvolta di notevoli
dimensioni) ad una lista di host attivi o interessanti. Uno scan di
ogni porta di ogni singolo indirizzo IP è lento e generalmente non
necessario. Ovviamente ciò che rende un host interessante dipende in
larga misura dalle motivazioni della scansione. Gli amministratori di
rete possono essere interessati solo a host sui quali è in esecuzione
uno specifico servizio, mentre chi fa auditing di sicurezza è più
interessato a ogni singola periferica dotata di un indirizzo IP. Un
sistemista può accontentarsi di semplici ping ICMP per trovare gli host
sulla propria rete, ma un penetration tester esterno può dover usare un
insieme di molti differenti probing (tentativi di scansione) per
cercare di evitare le restrizioni imposte da un firewall.
Poiché le necessità di host discovering sono così diverse, Nmap offre
una notevole varietà di opzioni per la customizzazione delle tecniche
usate. Il semplice host discovery è spesso chiamato «ping scan», anche
se va molto oltre il semplice pacchetto ICMP di tipo "echo request"
associato al famoso strumento di ping. Un utente può evitare il
passaggio per l'utility «ping» usando una List Scan (scansione di tipo
lista: -sL) o disabilitando il ping (-Pn), oppure mettendo alla prova
la rete usando combinazioni arbitrarie di probe TCP SYN/ACK, UDP e ICMP
su differenti porte. Lo scopo di questi approcci è quello di
sollecitare una risposta che dimostri l'esistenza di un host o di un
dispositivo di rete con quell'indirizzo IP. In molte reti solo una
piccola percentuale di indirizzi IP è attiva in ogni momento,
specialmente negli spazi di indirizzamento privati previsti dall'RFC
1918 come ad esempio 10.0.0.0/8. Una rete di questo tipo ha 16 milioni
di possibili IP, anche se è di uso comune in aziende con meno di un
migliaio di macchine. L'host discovery può trovare queste macchine in
un mare di indirizzi IP non consecutivi.
Se non viene fornita alcuna opzione di host discovery, Nmap manda di
default ad ogni macchina obiettivo un pacchetto ICMP di tipo "echo
request", un pacchetto TCP SYN alla porta 443, un pacchetto TCP ACK
alla porta 80 e un pacchetto ICMP di tipo "timestamp request" (per
IPv6, il pacchetto ICMP di tipo "timestamp request" viene escluso dato
che non fa parte del ICMPv6). Questa default è l'equivalente delle
opzioni -PE -PS443 -PA80 -PP. Eccezioni a questo comportamento sono le
scansioni ARP (per IPv4) e Neighbor Discovery (per IPv6) che sono usate
per tutti gli obiettivi in una rete ethernet locale. Se Nmap viene
lanciato da un utente non privilegiato all'interno di un ambiente UNIX,
i probe di default saranno pacchetti SYN alle porte 80 e 443 inviati
mediante la chiamata di sistema connect. Questo tipo di host discovery
è spesso sufficiente quando si deve effettuare una scansione su reti
locali, anche se per un security auditing si raccomanda di usare un set
di opzioni più avanzato.
L'opzione -P* (che permette di scegliere il tipo di ping) può essere
combinata. Si possono inoltre aumentare le probabilità di bypassare
firewall particolarmente restrittivi mandando molti tipi di probe
diversi usando porte o flag TCP differenti e svariati codici ICMP.
Inoltre si tenga presente che l'ARP/Neighbor Discovery (-PR) viene
effettuata di default all'interno di una rete locale, anche se vengono
specificate altre opzioni -P*, poiché è quasi sempre più veloce e più
efficiente.
Di default, Nmap lancia un host discovery e in seguito un port scan su
tutti gli host che sono online. Questo approccio viene tenuto anche
quando si specificano metodi non standard per l'host discovery come i
probe UDP (-PU). Si consulti la spiegazione per l'opzione -sn per
sapere come effettuare solo host discovery; si usi -Pn per evitare
l'host discovery e fare un portscan di tutti gli host di destinazione.
Le seguenti opzioni controllano il comportamento dell'host discovery:
-sL (List Scan)
La List Scan è una forma banale di host discovery che semplicemente
elenca ogni host delle reti specificate, senza inviare alcun
pacchetto agli host obiettivo. Di default Nmap effettua una
risoluzione inversa mediante DNS sugli host per ottenerne il nome
completo. Spesso è sorprendente vedere quante informazioni utili
possono fornire dei semplici hostname. Ad esempio, fw.chi è il nome
del firewall di un'azienda di Chicago. Nmap mostra anche il numero
totale di indirizzi IP alla fine della scansione. La lista scan è
un buon controllo per essere sicuri di avere gli indirizzi IP
corretti per la propria scansione. Se gli host mostrano nomi di
dominio non conosciuti, vale la pena indagare oltre per evitare di
scansionare la rete dell'azienda sbagliata.
Poiché l'idea è quella di stampare semplicemente una lista di
obiettivi, le opzioni per funzionalità di livello più alto (come ad
esempio il port scanning, le indagini sul tipo di sistema operativo
in esecuzione o il ping scan) non possono essere combinate con
questa. Se si vuole disabilitare il ping scan e mantenere allo
stesso tempo la possibilità di utilizzare funzionalità di alto
livello, si legga la sezione sull'opzione -Pn (No ping).
-sn (No port scan)
Questa opzione indica a Nmap di non effettuare un port scan dopo un
host discovery e di mostrare gli host che hanno risposto.
Quest'opzione è spesso conosciuta come «ping scan», ma si può anche
richiedere il traceroute ed eseguire script host NSE. Quest'azione
è un gradino più invadente della List Scan, e spesso può essere
usata per lo stesso scopo. Essa permette una mappatura di una rete
obiettivo senza attrarre molta attenzione. Sapere quanti host sono
attivi è più utile ad un attaccante rispetto ad una semplice List
Scan di ogni indirizzo IP e nome di host.
Gli amministratori di sistema trovano spesso questa opzione utile
allo stesso modo. Può essere usata facilmente per enumerare le
macchine disponibili in una rete o tenere sotto osservazione la
disponibilità di un singolo server. Questo approccio viene anche
chiamato «ping sweep», ed è più affidabile di un ping all'indirizzo
broadcast poiché molti host non rispondono alle richieste di questa
categoria.
L'opzione -sn invia di default un pacchetto ICMP di tipo "echo
request", un pacchetto TCP SYN alla porta 443, un pacchetto TCP ACK
alla porta 80 e un pacchetto ICMP di tipo "timestamp request".
Quando viene eseguita da un utente non privilegiato, viene inviati
solo i pacchetti SYN (usando la chiamata connect ) alle porte 80 e
443 dell'obiettivo. Quando invece un utente privilegiato prova ad
effettuare una scansione all'interno di una rete locale, vengono
usate richieste ARP a meno che non venga specificata l'opzione
--send-ip. L'opzione -sn può essere usata in combinazione con
qualsiasi tipo di discovery probe (ovvero la famiglia di opzioni
-P*, tranne -Pn) per avere una migliore flessibilità. Se viene
usato uno qualsiasi di questi probe con opzioni sul numero di
porta, allora i probe di default vengono annullati. Si raccomanda
di usare queste tecniche avanzate se ci sono dei firewall
restrittivi tra l'host che lancia Nmap e le reti di destinazione,
altrimenti le destinazioni potrebbero non essere raggiunte nel caso
in cui il firewall dovesse bloccare i probe o le risposte a questi
ultimi.
Nelle versioni precedenti di Nmap, l'opzione -sn era chiamata -sP.
-Pn (No ping)
Questa opzione evita del tutto il passaggio di ricerca degli host
di Nmap. Normalmente Nmap usa questo passaggio per trovare le
macchine attive da sottoporre ad una scansione più approfondita. Di
default, Nmap esegue un probing approfondito (come ad esempio un
port scan, una version detection dei servizi o un Operating System
detection) solo sugli host che sono stati trovati attivi.
Disabilitare l'host discovery attraverso l'opzione -Pn obbliga Nmap
a tentare la scansione richiesta su tutti gli host destinazione
specificati. Quindi se si specifica sulla linea di comando una rete
di destinazione di classe B (in CIDR /16) verranno sottoposti a
scansione tutti i 65.535 indirizzi IP. A differenza della List Scan
(nel quale l'host discovery viene saltato) anziché interrompersi e
mostrare la lista di destinazioni, Nmap continua ad eseguire le
funzioni richieste come se ogni IP di destinazione fosse attivo.
Per evitare sia un ping scan che un port scan, ma permettere
l'esecuzione degli script NSE, utilizzare le due opzioni -Pn -sn
insieme.
Per le macchine in una rete ethernet locale, la scansione ARP verrà
ancora eseguita (a meno che siano specificate le opzioni
--disable-arp-ping e --send-ip) in quanto Nmap necessita degli
indirizzi fisici (MAC addresses) per ulteriori scansioni degli
hosts. Nelle versioni precedenti di Nmap, -Pn era chiamata -P0 e
-PN.
-PS <port list> (TCP SYN Ping)
Questa opzione invia un pacchetto TCP vuoto con il flag SYN attivo.
La porta di destinazione di default è la 80 (configurabile durante
la compilazione cambiando il parametro di define
DEFAULT_TCP_PROBE_PORT nel file nmap.h), ma si possono specificare
altre porte come parametro. La sintassi è la stessa dell'opzione -p
tranne che gli indicatori del tipo di porta T: non sono permessi.
Da notare che non ci devono essere spazi tra -PS e il numero di
porta, ad esempio -PS22. Nel caso di più porte specificate,
separate da virgola (ad esempio -PS22-25,80,113,1050,35000), si
tenterà un probe verso ogni porta in parallelo.
Il flag SYN indica al sistema remoto che si sta tentando di
stabilire una connessione. Normalmente la porta di destinazione
dovrebbe essere chiusa, e un pacchetto di RST (reset) viene mandato
indietro. Se la porta fosse aperta, il destinatario effettuerà il
secondo passo della connessione TCP a tre vie (3-way-handshake)
rispondendo con un pacchetto TCP SYN/ACK. La macchina che sta
eseguendo Nmap interromperà la connessione inviando un pacchetto
RST al posto di mandare l'usuale pacchetto ACK che completerebbe
l'handshake e stabilirebbe una connessione completa. Il pacchetto
RST viene mandato dal kernel della macchina che sta eseguendo Nmap,
non da Nmap stesso.
A Nmap non interessa se la porta è aperta o chiusa. In ogni caso
l'RST o il SYN/ACK ricevuti indicano che l'host è disponibile e
risponde alle connessioni.
Nelle macchine UNIX solo l'utente privilegiato root generalmente è
abilitato all'invio e alla ricezione di pacchetti TCP "raw" (non
formattati, grezzi). Per quanto riguarda gli utenti non
privilegiati si deve ricorrere alla chiamata di sistema connect, la
quale viene lanciata su ogni porta di destinazione. Questo ha
l'effetto di inviare pacchetti SYN all'host di destinazione come
per stabilire una connessione. Se la connect restituisce
rapidamente un messaggio di successo o un messaggio di errore
ECONNREFUSED significa che lo stack TCP sottostante deve aver
ricevuto un SYN/ACK o un RST e l'host viene marcato come
disponibile. Se il tentativo di connessione viene lasciato in
sospeso fino al raggiungimento di un certo timeout l'host è marcato
come down o non disponibile.
-PA <portlist> (TCP ACK Ping)
Il ping TCP ACK è molto simile al ping SYN appena discusso. La
differenza, come si può facilmente indovinare, consiste nel fatto
che viene sollevato il flag TCP ACK al posto del SYN. Un tale
pacchetto ACK finge di confermare dei dati inviati in una
connessione TCP già stabilita, anche se tale connessione non
esiste. In questo modo un host remoto risponderà sempre con un
pacchetto RST, svelando così la propria esistenza e il fatto che
siano attivi.
L'opzione -PA usa la stessa porta di default del SYN probe (ovvero
la porta 80) e può ricevere in input un elenco di porte di
destinazione nello stesso formato. Se un utente non privilegiato
tenta quest'approccio si usa la scorciatoia della connect spiegata
in precedenza. Questa scorciatoia non è ottimale perché in ogni
caso la connect invia un pacchetto SYN e non un ACK.
La ragione per offrire entrambi i tipi di probe (SYN e ACK) è
quella di massimizzare le possibilità di bypassare firewall. Molti
amministratori configurano router e semplici firewall per bloccare
pacchetti SYN in arrivo tranne quelli destinati a servizi pubblici
come il sito web aziendale o il mail server. Questo impedisce ogni
altro tipo di connessione in entrata garantendo al tempo stesso
agli utenti di effettuare connessioni verso l'esterno senza
incontrare ostacoli. Questo approccio "non-stateful" (per
"non-stateful" si intende in questo caso la capacità di un firewall
di tenere traccia delle connessioni che lo attraversano, NdT)
utilizza poche risorse sul firewall/router ed è largamente
supportato da filtri software e hardware. Il firewall di Linux
conosciuto come Netfilter/iptables offre l'opzione --syn per
implementare questo approccio "stateless". Quando un firewall
implementa regole di questo tipo, un probe SYN (-PS) viene
facilmente bloccato quando viene mandato ad una porta chiusa. In
questi casi un probe ACK passerebbe indisturbato, come se non vi
fossero quelle regole.
Un altro tipo comune di firewall utilizza regole "stateful" che
lasciano cadere (drop) pacchetti non attesi. Questa caratteristica
era inizialmente disponibile solo su firewall di fascia alta, anche
se è diventata sempre più comune nel corso degli anni. Il sistema
Netfilter/iptables la supporta mediante l'opzione --state, la quale
marca pacchetti a seconda dello stato della connessione. Un probe
SYN funzionerà più facilmente verso un tale sistema, poiché
pacchetti ACK non attesi sono generalmente riconosciuti come non
validi e lasciati cadere. Una soluzione a questa situazione poco
piacevole è quella di inviare entrambe le tipologie di probe
specificando le opzioni -PS e -PA.
-PU <portlist> (UDP Ping)
Un'altra opzione di host discovery è il ping UDP, la quale manda un
pacchetto UDP alle porte indicate. Per molte porte, il pacchetto
sarà vuoto, anche se utilizzare un payload specifico del protocollo
aumentale probabilità di risposta. Vedi la sezione «UDP payloads:
nmap-payloads» (https://nmap.org/book/nmap-payloads.html) per una
descrizione del database dei payloads. Il contenuto del pacchetto
può essere gestito con le opzioni --data, --data-string e
--data-length.
L'elenco di porte va specificato nello stesso formato già discusso
in precedenza nelle opzioni -PS e -PA. Se non si specifica alcuna
porta viene usata la 40125 di default. Questo valore può essere
impostato durante la compilazione cambiando il parametro
DEFAULT_UDP_PROBE_PORT nel file nmap.h. Si usa di default una porta
poco comune perché inviare dati ad una porta già aperta è spesso
non desiderabile per questo tipo particolare di scansione.
Una volta raggiunta una porta UDP chiusa sulla macchina di
destinazione, il probe UDP dovrebbe provocare un pacchetto ICMP di
tipo "port unreachable" (porta irraggiungibile). Questo indica a
Nmap che l'host è funzionante e disponibile. Altri tipi di
pacchetti ICMP di errore, come ad esempio host o rete "unreachable"
(non disponibile) o "TTL exceeded" (superato il tempo di vita del
pacchetto) indicano un host non funzionante o irraggiungibile. Una
mancanza di risposta viene interpretata alla stessa maniera. Se si
raggiunge una porta aperta la maggior parte dei servizi
semplicemente ignorano il pacchetto vuoto e non rimandano alcuna
risposta. Questo spiega perché il probe di default è la porta
40125, la quale si usa molto raramente. Pochi servizi, tra i quali
«chargen», rispondono a un pacchetto UDP vuoto, rivelando così a
Nmap la disponibilità della macchina in questione.
Il vantaggio primario di questo tipo di scansione è che riesce a
bypassare firewall e filtri che controllano solo pacchetti TCP. Ad
esempio, una volta avevo un router a banda larga wireless Linksys
BEFW11S4. L'interfaccia esterna di questa periferica filtrava tutte
le porte TCP di default, ma i probe UDP provocavano messaggi di
"Port unreachable" rivelando così l'esistenza del device.
-PY <port list> (SCTP INIT Ping)
Questa opzione invia un pacchetto SCTP contenente un INIT chunk
minimale. La porta di destinazione di default è la 80
(configurabile durante la compilazione cambiando il valore di
DEFAULT_SCTP_PROBE_PORT_SPEC nel file nmap.h). Altre porte possono
essere specificate come parametro. La sintassi è la stessa
dell'opzione -p tranne che gli indicatori del tipo di porta S: non
sono permessi. Da notare che non ci devono essere spazi tra -PY e
il numero di porta, ad esempio -PY22. Nel caso di più porte
specificate, separate da virgola (ad esempio -PY22,80,179,5060), si
tenterà un probe verso ogni porta in parallelo.
L'INIT chunk suggerisce al sistema remoto che stai tentando di
stabilire un'associazione. Normalmente la porta di destinazione
dovrebbe essere chiusa e un ABORT chunk verrà inviato come
risposta. Se la porta invece dovesse essere aperta, l'obiettivo
passerà al secondo step della connessione SCTP a quattro vie
(four-way-handshake) rispondendo con un INIT-ACK chunk. Se la
macchina che sta eseguendo Nmap ha la funzione di SCTP stack,
abbatte l'associazione nascente rispondendo con un ABORT chunk
invece che inviare un COOKIE-ECHO chunk, che sarebbe lo step
successivo nel processo di associazione. Il pacchetto ABORT viene
mandato dal kernel della macchina che sta eseguendo Nmap in
risposta ad un INIT-ACK inaspettato, non da Nmap stesso.
Ad Nmap non interessa se la porta di destinazione risulta aperta o
chiusa. Entrambi i pacchetti discussi in precedenza (ABORT e
INIT-ACK) ricevuti in risposta, indicano ad Nmap che l'host è
disponibile e risponde alle connessioni.
Sulle macchine Unix, solo l'utente privilegiato root generalmente è
abilitato ad inviare e ricevere pacchetti SCTP "raw" (non
formattati, grezzi). Usare SCTP INIT Pings (-PY) non è attualmente
possibile per gli utenti non privilegiati.
-PE; -PP; -PM (ICMP Ping Types)
In aggiunta ai meno comuni tipi di host discovery TCP, UDP e SCTP
discussi in precedenza, Nmap può anche mandare i pacchetti standard
come il famoso programma ping. Nmap manda un pacchetto ICMP type 8
("echo request") all'indirizzo IP di destinazione, aspettandosi un
type 0 ("echo reply") di ritorno dagli host disponibili.
Sfortunatamente per chi deve scoprire la topologia di una rete,
molti host e firewall ora bloccano questo tipo di pacchetti anziché
rispondere come richiesto dall'RFC 1122[1]. Per questa ragione le
scansioni basate solo su ICMP sono raramente abbastanza affidabili
nei riguardi di destinazioni sconosciute su Internet. Tuttavia per
i sistemisti di rete che devono tenere sotto controllo una rete
interna, esse possono essere un approccio pratico ed efficiente. Si
usi l'opzione -PE per abilitare questo comportamento di "echo
request".
Mentre la "echo request" è la richiesta standard del ping ICMP,
Nmap non si ferma qui. Gli standard ICMP (RFC 792[2] e RFC 950[3])
specificano inoltre i pacchetti "timestamp request", "information
request" e "address mask request" (rispettivamente "richiesta di
timestamp", ovvero data e ora, "richiesta di informazioni" e
"richiesta della maschera di rete") mediante i codici ICMP 13, 15 e
17. Dato che lo scopo dichiarato di questo tipo di richieste è
quello di avere informazioni quali la maschera di rete e l'ora
corrente, essi possono facilmente essere usati per l'host
discovery. Un sistema che risponde è funzionante e disponibile.
Nmap non implementa allo stato attuale pacchetti di "information
request", poiché in genere non sono supportati comunemente. L'RFC
1122 specifica che «un host NON DOVREBBE implementare questi
messaggi» (il maiuscolo negli RFC indica comportamenti precisi). Il
timestamp (data e ora) e le richieste di maschera di rete possono
essere inviate rispettivamente mediante le opzioni -PP e -PM. Una
risposta di tipo timestamp (codice ICMP 14) o di tipo address mask
(codice 18) rivela che un host è disponibile. Queste due richieste
possono essere utili qualora un amministratore dovesse bloccare i
pacchetti di "echo request" ma dimenticarsi che altre query ICMP
possono essere usate per lo stesso scopo.
-PO <protocol list> (IP Protocol Ping)
Una delle nuove opzioni di host discovery è la IP Protocol Ping, la
quale invia pacchetti IP con lo specifico numero di protocollo
impostato nel loro IP header. La lista dei protocolli ha lo stesso
formato della lista delle porte vista in precedenza nelle opzioni
di host discovery TCP, UDP e SCTP. Se nessun protocollo viene
specificato, di default vengono inviati pacchetti IP multipli per
ICMP (protocollo 1), IGMP (protocollo 2) e IP-in-IP (protocollo 4).
I protocolli di default possono essere configurati in fase di
compilazione cambiando il valore di DEFAULT_PROTO_PROBE_PORT_SPEC
nel file nmap.h. Si tenga presente che per i protocolli ICMP, IGMP,
TCP (protocollo 6), UDP (protocollo 17) e SCTP (protocollo 132), i
pacchetti vengono inviati con i loro opportuni headers mentre gli
altri protocolli vengono inviati senza nessun dato aggiuntivo oltre
all'IP header (a meno che non siano specificate le opzioni --data,
--data-string o --data-length).
Questo metodo di host discovery cerca sia risposte utilizzando lo
stesso protocollo di un probe, che messaggi "unreachable"
utilizzando il protocollo ICMP, che significa che il protocollo non
è supportato dall'host di destinazione. Entrambe le risposte
indicano che l'obiettivo è attivo.
-PR (ARP Ping)
Una delle situazioni più comuni di utilizzo di Nmap è la scansione
di una LAN ethernet. Nella maggior parte delle LAN, specialmente
quelle in cui viene usato il benedetto intervallo di indirizzi
privati specificato dall'RFC 1918, la maggior parte degli indirizzi
IP è inutilizzato. Quando Nmap prova ad inviare pacchetti IP raw
come le "echo request" ICMP, il sistema operativo deve determinare
l'indirizzo hardware (ARP) corrispondente all'indirizzo IP di
destinazione, in modo da poter indirizzare correttamente il frame
ethernet. Questo è spesso lento e problematico, in quanto i sistemi
operativi non sono stati scritti prevedendo di dover fare milioni
di richieste ARP verso host inesistenti in un breve lasso di tempo.
L'ARP scan lascia a Nmap e ai suoi algoritmi ottimizzati l'incarico
delle richieste ARP. Nel caso in cui si riceva una risposta, Nmap
non si deve neanche preoccupare dei ping basati su IP perché a
questo punto sa già che l'host è raggiungibile. Questo rende l'ARP
scan molto veloce e molto più affidabile delle normali scansioni
basate su IP. Infatti questo è il comportamento di default quando
si deve effettuare uno scan su host che Nmap riconosce come
presenti nella rete locale. Anche se vengono specificati differenti
tipi di ping (come -PE o -PS), Nmap usa comunque ARP per ogni
target che è sulla stessa LAN. Se non si vuole assolutamente un ARP
scan, specificare l'opzione --disable-arp-ping.
Per IPv6 (opzione -6), -PR utilizza ICMPv6 Neighbor Discovery al
posto di ARP. Neighbor Discovery, definito nell'RFC 4861, può
essere visto come l'equivalente per IPv6 di ARP.
--disable-arp-ping (No ARP or ND Ping)
Nmap normalmente esegue un ARP o IPv6 Neighbor Discovery (ND)
discovery degli host locali connessi ad una rete ethernet, anche se
altre opzioni di host discovery, come -Pn o -PE, vengono
utilizzate. Per disabilitare questo comportamento implicito,
utilizzare l'opzione --disable-arp-ping.
Il comportamento di default è solitamente più veloce, ma
quest'opzione è utile nelle reti che utilizzano un proxy ARP, nelle
quali un router risponde in modo speculare a tutte le richieste
ARP, facendo sembrare attivi tutti gli obiettivi di un ARP scan.
--traceroute (Trace path to host)
I traceroutes vengono eseguiti in fase di post-scan utilizzando
informazioni provenienti dai risultati della scansione per
determinare la porta e il protocollo che più probabilmente
raggiungono l'obiettivo. Opera con tutte le tipologie di scansione
tranne le connect scans (-sT) e le idle scans (-sI). Tutti i
tracciamenti utilizzano il modello di timing dinamico ("dynamic
timing model") di Nmap e vengono eseguiti in parallelo.
Traceroute lavora inviando pacchetti con un basso TTL
(time-to-live) in attesa di ricevere un messaggio ICMP "Time
Exceeded" dagli intermediari (hops) posti tra la macchina che
esegue la scansione e l'host obiettivo. Le implementazioni standard
di traceroute iniziano con un TTL settato a 1 e aumentano il TTL
finché l'host di destinazione non viene raggiunto. I traceroute di
Nmap iniziano con un alto TTL e lo diminuiscono fino ad arrivare a
zero. Lavorare a ritroso consente ad Nmap di utilizzare
intelligenti algoritmi di caching per velocizzare il tracciamento
su più host. In media Nmap invia 5-10 pacchetti in meno per host,
in base alle condizioni della rete. Se una singola subnet viene
scansionate (ad esempio 192.168.0.0/24) Nmap potrebbe dover inviare
solo due pacchetti per la maggior parte degli host.
-n (No DNS resolution)
Indica a Nmap di non effettuare mai una risoluzione inversa del
nome mediante DNS sugli indirizzi IP rilevati. Poiché il DNS è
spesso lento anche con il risolutore parallelo integrato di Nmap,
questa opzione rende l'intero processo di scansione più veloce.
-R (DNS resolution for all targets)
Indica a Nmap di effettuare sempre la risoluzione inversa dei nomi
mediante DNS sugli indirizzi IP rilevati. Generalmente la
risoluzione inversa viene effettuata solo quando un host viene
rilevato come attivo.
--system-dns (Use system DNS resolver)
Di default Nmap risolve gli indirizzi IP mandando richieste
direttamente ai name servers (server dei nomi) configurati sulla
macchina su cui è in esecuzione Nmap. Molte richieste (spesso
nell'ordine delle dozzine) sono effettuate in parallelo per
migliorare le performance. Si specifichi quest'opzione se si vuole
usare il proprio DNS (richiedendo un indirizzo IP alla volta usando
la system call getnameinfo). Questa operazione è più lenta e
raramente utile a meno che non ci sia un bug nel codice di
risoluzione dei nomi di Nmap (per favore si contattino gli
sviluppatori se questo è il caso). Il resolver di sistema è sempre
usato per le scansioni su IPv6.
--dns-servers <server1>[,<server2>][,...]]; (Servers to use for
reverse DNS queries)
Di default Nmap cercherà di determinare i server DNS da usare per
le reverse query usando il file resolv.conf (UNIX) o il Registro
(Win32) sulla macchina su cui viene eseguito. In alternativa si può
usare quest'opzione per indicare server alternativi. Tuttavia
quest'opzione viene ignorata nel caso si specifichi l'opzione
--system-dns o se si sta eseguendo una scansione IPv6. L'uso di più
server DNS è spesso più veloce specialmente se si specificano
server DNS autoritari per lo spazio IP di destinazione.
Quest'opzione inoltre attrae meno l'attenzione, dato che le tue
richieste possono essere rimbalzate praticamente da ogni server DNS
su Internet.
Quest'opzione torna utile anche quando si eseguono scansioni di
reti private. Alle volte solo alcuni name server forniscono le
correte informazioni di reverse e non sempre potresti sapere dove
questi si trovano. Puoi scansionare la rete sulla porta 53 (magari
con una version detection), quindi provare delle List Scan (-sL) di
Nmap specificando ogni volta un name server diverso con l'opzione
--dns-servers finché non si trova quello desiderato.
FONDAMENTI DI PORT SCANNING
Nonostante Nmap nel corso degli anni abbia ampliato le proprie
funzionalità, iniziò come un efficiente port scanner e tale resta la
sua funzione di base. Il semplice comando nmap target effettua una
scansione di 1.000 porte TCP sull'host target. Mentre molti port
scanner considerano tutte le porte chiuse o aperte, Nmap è molto più
preciso. Divide le porte in sei categorie o stati: open (aperta),
closed (chiusa), filtered (filtrata), unfiltered (non filtrata),
open|filtered (aperta|filtrata), closed|filtered (chiusa|filtrata).
Questi stati non sono proprietà intrinseche delle porte stesse, ma
descrivono come Nmap le vede. Ad esempio, uno scan Nmap proveniente
dalla stessa rete nella quale risiede l'obiettivo può mostrare la porta
135/tcp come aperta, mentre una scansione nello stesso momento con gli
stessi parametri ma proveniente da Internet può mostrare quella stessa
porta come filtered.
I sei stati nei quali Nmap classifica le porte
open (aperta)
Un'applicazione accetta attivamente su questa porta connessioni
TCP, datagrammi UDP o associazioni SCTP. La ricerca di questo tipo
di porte è spesso l'obiettivo primario del port scanning. Chi si
dedica alla sicurezza sa che ogni porta aperta è una strada verso
un attacco. Gli attaccanti e i tester di sicurezza (penetration
testers, conosciuti anche come "pen-testers", NdT) hanno come
obiettivo quello di trovare e trarre vantaggio dalle porte aperte,
mentre d'altro canto gli amministratori di rete e i sistemisti
provano a chiuderle o a proteggerle con firewall senza limitare gli
utenti autorizzati al loro uso. Le porte aperte sono anche
interessanti per tutta una serie di scansioni non indirizzate
unicamente alla sicurezza, perché mostrano che servizi sono
disponibili in una rete.
closed (chiusa)
Una porta chiusa è accessibile (riceve e risponde ai pacchetti di
probe di Nmap) ma non vi è alcuna applicazione in ascolto su di
essa. Esse possono rendersi utili nel mostrare che un host è attivo
su un indirizzo IP (durante l'host discovery o il ping scanning) o
in quanto parte integrante dell'Operating System discovery. Poiché
una porta chiusa è raggiungibile, può essere interessante
effettuare una scansione più tardi nel caso alcune vengano aperte.
Chi amministra una macchina o una rete può voler bloccare tali
porte con un firewall ed in questo caso esse apparirebbero come
filtrate, come mostrato in seguito.
filtered (filtrata)
In questo caso Nmap non può determinare con esattezza se la porta
sia aperta o meno, perché un filtro di pacchetti impedisce ai probe
di raggiungere la porta. Questo filtro può esser dovuto a un
firewall dedicato, alle regole di un router, o a un firewall
software installato sulla macchina stessa. Queste porte forniscono
poche informazioni e rendono frustrante il lavoro dell'attaccante.
A volte esse rispondono con un messaggio ICMP del tipo 3, codice 13
("destination unreachable: communication administratively
prohibited", ovvero "destinazione non raggiungibile: comunicazione
impedita da regole di gestione"), ma in genere sono molto più
comuni i filtri di pacchetti che semplicemente ignorano i tentativi
di connessione senza rispondere. Questo obbliga Nmap a riprovare
diverse volte, semplicemente per essere sicuri che il pacchetto non
sia stato perduto a causa di una congestione di rete o di problemi
simili piuttosto che dal firewall o dal filtro stesso. Questo
riduce drammaticamente la velocità della scansione.
unfiltered (non filtrata)
Lo stato "unfiltered" indica che una porta è accessibile, ma che
Nmap non è in grado di determinare se sia aperta o chiusa. Solo la
scansione di tipo ACK, usata per trovare e classificare le regole
di un firewall, posiziona una porta in questo stato. Una scansione
di porte in questo stato ("non filtrate") mediante altri tipi di
scansione come il Window scan (scan per finestre di connessione),
il SYN scan o il FIN scan aiuta a determinare se la porta sia
aperta o chiusa.
open|filtered (aperta|filtrata)
Nmap posiziona le porte in questo stato quando non è in grado di
determinare se una porta sia aperta o filtrata. Questo accade in
quelle scansioni per le quali una porta aperta non risponde in
alcun modo. La mancanza di informazioni può significare inoltre che
un filtro di pacchetti ha lasciato cadere ("drop") il probe o
qualsiasi risposta sia stata generata in seguito a questo.
Scansioni che classificano porte in questo stato sono le scansioni
UDP, IP, FIN, NULL e Xmas.
closed|filtered (chiusa|filtrata)
Questo stato è usato quando Nmap non è in grado di determinare se
una porta sia chiusa o filtrata. Viene usato solo per l'IP ID idle
scan.
TECNICHE DI PORT SCANNING
Un neofita inesperto che cerca di aggiustarsi l'automobile può
arrovellarsi per ore cercando di usare i pochi strumenti che ha
(martello, nastro isolante, pinza, ecc.) per ciò che deve fare. Una
volta che si è arreso dopo l'ennesimo fallimento e si è deciso a
portare il proprio macinino da un vero meccanico, ecco che questi
inevitabilmente si mette a cercare in una gigantesca cassetta degli
attrezzi estraendone il "coso" perfetto per fare quel lavoro senza
alcuno sforzo. L'arte del port scanning è molto simile. Chi è esperto
capisce e conosce tutte le tecniche e sceglie quella appropriata (o una
combinazione appropriata) per un certo lavoro. Utenti inesperti o
script kiddes, d'altro canto, provano a risolvere ogni problema con la
scansione SYN di default. Poiché Nmap è free (in lingua inglese
significa sia "libero" che "gratuito", e per questo è lasciato
inalterato, NdT) l'unico limite alla capacità di fare port scanning è
solo la conoscenza. Questo lo rende sicuramente più accessibile del
mondo delle automobili, dov'è richiesta non solo una notevole abilità
per sapere che serve uno specifico strumento, ma è anche necessario
andarselo a comprare.
La maggior parte delle scansioni è disponibile solo per gli utenti
privilegiati. Questo è dovuto al fatto che esse inviano e ricevono
pacchetti "raw" (non formattati o "grezzi", ovvero semplici stringhe di
bit), i quali richiedono l'accesso come root su sistemi UNIX. L'uso di
un account di amministrazione su Windows è raccomandato, nonostante
Nmap a volte funzioni anche per gli utenti non privilegiati quando
WinPcap è già stato caricato nel sistema operativo. Nel 1997, quando
Nmap venne rilasciato, la necessità di avere privilegi di root era una
seria limitazione perché molti utenti avevano solo accesso ad account
su macchine che davano semplici shell condivise. Ora il mondo è
cambiato: i computer sono più economici, molta più gente ha una
connessione a Internet diretta e sempre attiva, e i sistemi UNIX per
desktop (includendo tra questi macchine Linux o OS X) sono ormai la
maggioranza. Una versione di Nmap per Windows è ora disponibile, così
da poterlo eseguire su ancora più desktop. Per tutte queste ragioni gli
utenti hanno sempre meno necessità di usare Nmap da account limitati,
il che non fa che migliorare la situazione, in quanto le opzioni
privilegiate fanno di Nmap uno strumento molto più potente e
flessibile.
Nonostante Nmap faccia del proprio meglio per produrre risultati
accurati, si tenga presente che tutte le sue conclusioni sono basate su
pacchetti che tornano indietro dalle macchine di destinazione (o dai
firewall che le proteggono). Tali host possono essere inaffidabili e
restituire risposte mirate proprio a confondere e sviare Nmap. Sono
molto più comuni inoltre host che non rispettano gli RFC e che non
rispondono come dovrebbero ai tentativi di connessione di Nmap.
Scansioni come FIN, NULL e Xmas sono particolarmente suscettibili a
questo problema. Tali problematiche sono specifiche a certi tipi di
scansione ed in quanto tali vengono discusse nelle sezioni individuali
ad esse dedicate.
Questa sezione documenta le molteplici tecniche di port scanning
supportate da Nmap. Si può usare solo un metodo per volta, a parte
l'UDP scan (-sU) e gli SCTP scan (-sY, -sZ) che possono essere
combinati con uno qualsiasi dei TCP scan. Per ricordarsi le varie
opzioni di port scan, esse sono della forma -sC, dove C è un carattere
significativo del nome della scansione, in genere il primo. L'unica
eccezione a questa regola generale è il cosiddetto FTP bounce scan che
viene tuttavia sconsigliato (opzione -b). Di default Nmap effettua un
SYN scan, oppure un connect scan se l'utente non ha privilegi
sufficienti per mandare pacchetti raw (che richiedono l'accesso come
root su UNIX). Di tutte le scansioni elencate di seguito, gli utenti
non privilegiati possono solo effettuare scansioni connect ed FTP
bounce.
-sS (TCP SYN scan)
Il SYN scan è l'opzione di default ed è la più usata per buone
ragioni. Può essere effettuato velocemente: effettua la scansione
su migliaia di porte al secondo su una rete veloce non limitata da
firewall restrittivi. Il SYN scan è relativamente nascosto e poco
invasivo, poiché non completa mai le connessioni TCP. Funziona
inoltre con ogni stack TCP compatibile e non dipende dalle
idiosincrasie di piattaforme specifiche come fanno gli altri tipi
di scan di Nmap quali FIN/NULL/Xmas, Maimon e Idle scan. Inoltre
permette una differenziazione chiara ed affidabile tra le porte
appartenenti agli stati open, closed e filtered.
Questa tecnica è spesso indicata come "scanning semi-aperto"
(tradotto letteralmente per esigenze di comprensione, da "half-open
scanning", NdT), perché non viene aperta una connessione TCP
completa. Viene mandato un pacchetto SYN come se si fosse sul punto
di aprire una connessione reale e si attende una risposta. Un
SYN/ACK indica che la porta è in ascolto (aperta), mentre un RST
(reset) indica che la porta non è in ascolto. Se non viene ricevuta
nessuna risposta dopo diverse ritrasmissioni la porta viene marcata
come filtrata. La porta viene marcata come tale anche se viene
ricevuto un pacchetto di errore "ICMP unreachable" (tipo 3, codici
1, 2, 3, 9, 10, 13). La porta viene considerata aperta anche nel
caso in cui un pacchetto SYN (senza il flag ACK) viene ricevuto in
risposta. Questo in base ad una feature TCP estremamente rara
conosciuta come "apertura simultanea" ("simultaneous open") o
connessione "split handshake" (vedere
https://nmap.org/misc/split-handshake.pdf).
-sT (TCP connect scan)
La scansione di tipo TCP connect è la scansione TCP di default dove
la scansione SYN non è un'opzione viabile. Questo è il caso in cui
un utente non ha privilegi sull'invio di pacchetti "raw". Anziché
scrivere pacchetti "raw" come in molti altri tipi di scansioni,
Nmap richiede al sistema operativo sottostante di stabilire una
connessione con la macchina di destinazione invocando la chiamata
di sistema connect. Questa è la stessa chiamata di alto livello
invocata per stabilire una connessione da browser web, client p2p e
molte altre applicazioni orientate all'utilizzo in rete. Essa è
parte dell'interfaccia di programmazione conosciuta come Berkeley
Sockets API. Anziché leggere le risposte ai pacchetti "raw" inviati
direttamente sul cavo, Nmap usa questa API per ottenere
informazioni sullo stato di ogni tentativo di connessione.
Quand'è possibile, il SYN scan è generalmente una scelta migliore.
Nmap ha meno controllo sulla syscall connect rispetto ai pacchetti
"raw", rendendolo quindi meno efficiente. La syscall completa le
connessioni alle porte aperte specificate anziché limitarsi al
reset dovuto alla scansione semi-aperta del SYN scan. Non solo
questo approccio richiede più tempo e numero maggiore di pacchetti
per ottenere le stesse informazioni, ma le macchine obiettivo sono
più propense a tenere traccia (log) della connessione. Inoltre un
IDS ("Intrusion Detection System", sistema di controllo delle
intrusioni) decente se ne accorgerà. Tuttavia la maggior parte
delle macchine non hanno tali sistemi di allarme. Molti servizi sui
propri sistemi UNIX standard aggiungeranno una nota al syslog, e
alle volte un messaggio di errore criptico, quando Nmap si connette
e chiude la connessione senza inviare dati di alcun tipo. Solo
alcuni patetici servizi andranno in crash in queste condizioni,
nonostante non sia comune. Un amministratore che dovesse vedere un
insieme di tentativi di connessioni provenienti da un singolo
sistema saprà infine che è vittima di un connect scan.
-sU (UDP scans)
Così come i servizi più comuni su Internet girano attraverso il
protocollo TCP, anche i servizi UDP[4] sono altrettanto diffusi.
DNS, SNMP e DHCP (sulle porte registrate 53, 161/162 e 67/68) sono
tre dei più comuni. Poiché lo scan su UDP è generalmente più lento
e più difficoltoso di quello su TCP, alcuni esaminatori di
sicurezza ("security auditors") ignorano questo tipo di porte. Ciò
è un errore, poiché i servizi UDP vulnerabili sono abbastanza
comuni e un attaccante sicuramente non ignorerà completamente
questo protocollo. Fortunatamente Nmap può aiutare ad enumerare le
porte UDP.
Lo scan UDP si attiva con l'opzione -sU. Può essere combinato con
uno scan di tipo TCP come ad esempio un SYN scan (-sS) per
controllare entrambi i protocolli nel corso della stessa sessione.
Lo scan UDP funziona inviando pacchetti UDP ad ogni porta di
destinazione. Per alcune porte comuni, come la 53 e la 161, un
carico dati viene aggiunto per aumentare le probabilità di
risposta, ma per la maggior parte delle porte il pacchetto viene
inviato vuoto, a meno che non vengano specificate le opzioni
--data, --data-string o --data-length. Se viene restituito un
errore ICMP "port unreachable" (tipo 3, codice 3) significa che la
porta è closed (chiusa). Altri errori ICMP di tipo "unreachable"
(irraggiungibile) come quelli del tipo 3, codici 1, 2, 9, 10 o 13
andranno ad identificare la porta come filtered (filtrata).
Talvolta un servizio risponderà con un pacchetto UDP, dimostrando
quindi che lo stato della porta è open (aperta). Se non viene
ricevuta alcuna risposta dopo alcune ritrasmissioni, la porta viene
classificata come open|filtered (aperta|filtrata). Questo significa
che la porta può essere aperta o che probabilmente un filtro di
pacchetti sta bloccando la comunicazione. Un version detection
(-sV) può essere usato per aiutare a differenziare le porte
veramente aperte da quelle che sono filtrate.
La sfida maggiore con l'UDP scan è la velocità. Le porte aperte e
filtrate raramente inviano qualche risposta, lasciando Nmap in
timeout e facendolo ritrasmettere per evitare il caso in cui il
probe o la risposta siano andati perduti. Le porte chiuse sono
spesso un problema ancora maggiore: esse generalmente rimandano un
pacchetto ICMP "port unreachable error", ma a differenza dei
pacchetti RST rimandati dalle porte chiuse TCP come risposta ad un
SYN o connect scan, molti host limitano il tasso di invio di tali
pacchetti di default. Linux e Solaris sono particolarmente
restrittivi da questo punto di vista. Ad esempio, il kernel 2.4.20
limita i messaggi di "destination unreachable" a uno al secondo
(definito in net/ipv4/icmp.c).
Nmap si accorge di questi limiti sulla frequenza di invio e
rallenta l'invio dei probe in maniera dinamica, per evitare di
intasare la rete con pacchetti inutili che la macchina di
destinazione ignorerà comunque. Sfortunatamente, un limite come
quello di Linux di un pacchetto al secondo rende una scansione su
65.535 porte di una durata teorica di più di 18 ore. Suggerimenti
per rendere più veloce gli scan UDP sono quelli di effettuare
scansioni su più host in parallelo, fare uno scan veloce
preliminare sulle porte più usate, effettuare la scansione
dall'interno del firewall ed infine usare l'opzione --host-timeout
per evitare host troppo lenti nel rispondere.
-sY (SCTP INIT scan)
SCTP[5] è un'alternativa relativamente nuova rispetto ai protocolli
TCP ed UDP, il quale combina molte delle caratteristiche di
entrambi aggiungendo nuove funzionalità come il multi-homing e il
multi-streaming. Principalmente Viene utilizzato per i servizi
collegati ai protocolli SS7/SIGTRAN, ma potenzialmente può essere
utilizzato per altre applicazioni. Lo scan SCTP INIT scan è
l'equivalente del TCP SYN scan: viene eseguito velocemente e
scansiona migliaia di porte al secondo su una rete veloce non
limitata da firewall restrittivi. Come il SYN scan, l'INIT scan è
relativamente nascosto e poco invasivo, dato che non completa mai
le connessioni SCTP. Consente inoltre una chiara ed affidabile
differenziazione tra gli stati della porta open (aperta), closed
(chiusa) e filtered (filtrata).
Questa tecnica è conosciuta come "half-open" (semi-aperta), in
quanto non si completata l'associazione SCTP. Viene inviato un INIT
chunk, esattamente come se si volesse iniziare una reale
associazione. Se si riceve un INIT-ACK chunk in risposta, significa
che la porta è in ascolto (aperta), mentre se si riceve un ABORT
chunk significa che la porta non è in ascolto (chiusa). Se non si
riceve nessuna risposta dopo alcune ritrasmissioni, la porta viene
marcata come filtered. La porta viene anche considerata filtrata se
viene ricevuto un messaggio ICMP "unreachable error" (tipo 3,
codice 1, 2, 3, 9, 10 o 13).
-sN; -sF; -sX (TCP NULL, FIN, and Xmas scans)
Queste tre tipologie di scansione (e molte altre sono possibili con
l'opzione --scanflags descritta nella prossima sezione) sfruttano
una piccola vulnerabilità nell'RFC del protocollo TCP[6] per
distinguere tra le porte open (aperte) e closed (chiuse). A pagina
65 si dice che «se lo stato della porta [di destinazione] è CHIUSO
... un segmento in arrivo che non contiene un RST causerà l'invio
di un RST in risposta». La pagina successiva discute di pacchetti
inviati a porte aperte senza i bit SYN, RST o ACK impostati,
indicando che: «questa situazione è decisamente improbabile, ma se
dovesse capitare i segmenti vanno ignorati e si deve ritornare
[alla funzione chiamante, NdT]».
Quando si scansionano sistemi aderenti a questo testo RFC,
qualunque pacchetto che non contenga i bit SYN, RST o ACK causerà
un RST di ritorno se la porta è chiusa e nessuna risposta se la
porta è aperta. Finché nessuno di questi tre bit è incluso,
qualunque combinazione degli altri tre bit (FIN, PSH, e URG) va
bene. Nmap sfrutta tutto ciò tramite questi tre tipi di scan:
NULL scan (-sN)
Non manda nessun bit (il TCP flag header è 0).
FIN scan (-sF)
Setta solo il bit FIN.
Xmas scan (-sX)
Setta i bit FIN, PSH e URG, accendendo il pacchetto come un
albero di natale.
Questi tre tipi di scan sono esattamente identici nel
comportamento, ad eccezione delle attivazioni dei tre bit nei
pacchetti TCP usati per la verifica delle porte. Se viene ricevuto
un pacchetto RST, la porta è considerata closed, mentre l'assenza
di risposta indica che la porta è open|filtered. La porta è marcata
come filtered se viene ricevuto un pacchetto ICMP "unreachable"
(tipo 3, codice 1, 2, 3, 9, 10 o 13).
Il vantaggio sostanziale di questi tipi di scan è che possono
penetrare in certi non-stateful firewall e packet filtering router.
Un altro vantaggio è che questi tipi di scansione sono un po più
invisibili anche dei SYN scan. In ogni caso non è corretto fare
cieco affidamento su questo, gran parte dei moderni prodotti IDS
possono essere configurati in modo da rilevarli. Il grande
svantaggio è che non tutti i sistemi seguono alla lettera la RFC
793. Un buon numero di sistemi manda risposte RST ai pacchetti di
controllo indipendentemente dal fatto che le porte siano aperte o
chiuse. Questo causa il fatto che tutte le porte appaiano come
closed. I più diffusi sistemi operativi che fanno questo sono
Microsoft Windows, molti apparati Cisco, BSDI e IBM OS/400. Questo
scan funziona applicato alla maggior parte dei sistemi UNIX. Un
altro svantaggio di questi scan è che non riescono a distinguere
tra le porte open e quelle filtered, dando come risposta
open|filtered.
-sA (TCP ACK scan)
Questo scan è diverso dagli altri discussi finora dal momento che
non serve per determinare se le porte sono open (o open|filtered).
Viene usato per mappare le regole di firewalling determinando se
sono stateful o no e quali porte sono filtrate.
I pacchetti dell'ACK scan hanno soltanto il flag ACK abilitato (a
meno che non si usi --scanflags). Mentre si scansionano sistemi non
filtrati, sia le porte open che le porte closed manderanno
pacchetti RST. Nmap poi le cataloga come unfiltered, nel senso che
è possibile raggiungerle con un pacchetto ACK, ma che siano aperte
o chiuse non è determinabile. Le porte che non rispondono, o
mandano certi errori ICMP (tipo 3, codice 1, 2, 3, 9, 10 o 13),
sono etichettate come filtered.
-sW (TCP Window scan)
Il window scan è esattamente la stessa cosa di ACK scan, ad
eccezione del fatto che sfrutta un dettaglio di implementazione di
certi sistemi per differenziare le porte aperte e quelle chiuse,
invece di scrivere sempre unfiltered quando restituisce un RST. Lo
fa esaminando il campo TCP Window del pacchetto RST che ritorna. In
alcuni sistemi le porte aperte usano una grandezza della finestra
positiva (anche per i pacchetti RST), mentre nelle porte chiuse la
grandezza della finestra è zero. Quindi, invece di catalogare
sempre le porte come unfiltered quando si riceve un RST di ritorno,
il Window scan lista le porte come open o closed a seconda che il
valore in quel RST (reset) sia, rispettivamente, positivo o pari a
zero.
Questo scan fa affidamento a un dettaglio implementativo di una
minoranza di sistemi presenti in Internet, quindi ciò non è sempre
affidabile. Nei sistemi in cui questo dettaglio implementativo non
sussiste, di norma lo scan segnalerà tutte le porte closed.
Ovviamente sarà possibile che la macchina non abbia realmente
nessuna porta aperta. Se la maggior parte delle porte è closed, ma
alcune porte comuni (come la 22, la 25 o la 53) appaiono filtered,
il sistema è quasi sicuramente suscettibile a questo tipo di scan.
Occasionalmente, alcuni altri sistemi presenteranno un
comportamento esattamente opposto. Se lo scan riporta 1.000 porte
aperte e 3 chiuse o filtrate, allora quelle 3 saranno con ogni
probabilità proprio quelle aperte.
-sM (TCP Maimon scan)
Il Maimon scan è stato nominato così in onore al suo scopritore,
Uriel Maimon. Egli descrisse questa tecnica nell'articolo #49 della
rivista Phrack (Novembre 1996). Nmap, che incluse questa tecnica,
fu rilasciato due articoli dopo. Questa tecnica esattamente uguale
ai NULL, FIN e Xmas scan, ad eccezione del fatto che i pacchetti di
scansione sono FIN/ACK. In accordo con la RFC 793[6] (TCP), un
pacchetto RST dovrebbe essere generato in risposta a tale stimolo.
Ad ogni modo, Uriel notò che in molti sistemi derivati da BSD il
pacchetto veniva scartato se la porta era aperta.
--scanflags (Custom TCP scan)
Gli utilizzatori molto avanzati di Nmap hanno necessità di non
limitarsi semplicemente ad utilizzare le scansioni tipiche offerte.
L'opzione --scanflags consente di designare una scansione
personalizzata specificando arbitrariamente i flag TCP necessari.
Liberate la vostra inventiva, ed evitate così che i vendor di
Intrusion Detection Systems trovino nuove regole da aggiungere ai
loro sistemi semplicemente sfogliando la "Man Page" di Nmap!
I parametri dell'opzione --scanflags possono essere un valore
numerico indicante i flag TCP, come ad esempio 9 (PSH e FIN) anche
se l'utilizzo di nomi simbolici risulta comunque più semplice.
Basta mettere creare una qualsiasi combinazione di URG, ACK, PSH,
RST, SYN e FIN. Per esempio, --scanflags URGACKPSHRSTSYNFIN imposta
tutti i flag, anche se non risulta molto utile al fine della
scansione. L'ordine con cui vengono specificati non è rilevante.
Oltre allo specificare i flag desiderati, è possibile indicare un
tipo di scansione TCP (come -sA o -sF). Questo specifica come Nmap
deve interpretare le risposte. Per esempio, un SYN scan considera
la mancanza di risposta come una porta filtered, mentre un FIN scan
interpreta lo stesso comportamento per identificare una porta
open|filtered. Nmap si comporterà nello stesso modo che per la
scansione normale, tranne che per il fatto di interpretare i flag
TCP che sono stati specificati. Se non viene indicato un diverso
tipo di scansione, viene automaticamente utilizzata la SYN scan.
-sZ (SCTP COOKIE ECHO scan)
L'SCTP COOKIE ECHO è più avanzato rispetto all'SCTP scan. Sfrutta
il fatto che le implementazioni SCTP dovrebbero lasciar cadere
(drop) in modo trasparente i pacchetti che contengono dei COOKIE
ECHO chunk sulle porte aperte ed inviare un ABORT se la porta è
chiusa. Il vantaggio di questo tipo di scansione sta nel fatto che
è meno rilevabile rispetto all'INIT scan. Inoltre, ci possono
essere firewall che utilizzano regole non-stateful che bloccano gli
INIT chunk, ma non i COOKIE ECHO chunk. Non illudersi però che
quest'opzione renda un port scan invisibile; un buon IDS riesce ad
individuare anche le scansioni SCTP COOKIE ECHO. Lo svantaggio è
che le scansioni SCTP COOKIE ECHO non differenziano le porte tra
open e filtered lasciando come stato open|filtered in entrambi i
casi.
-sI <zombie host>[:<probeport>] (idle scan)
Questo metodo di scansione avanzato permette di effettuare una
scansione TCP completamente invisibile dell'obiettivo (ovvero
nessun pacchetto viene inviato dall'indirizzo IP reale da cui si
sta effettuando la scansione.) Viene diversamente utilizzato un
unico attacco parallelo che utilizza la predicibilità dell'ID
relativo alla sequenza di frammentazione generato dallo zombie host
per ottenere informazioni sulle porte aperte dell'obiettivo. I
sistemi IDS interpreteranno la scansione come se provenisse dalla
macchina zombie specificata (che deve essere attiva e rispondere a
certi criteri). Tutti i dettagli su questa affascinante tecnica di
scansione si trovano al seguente link « TCP Idle Scan (-sI)[7]».
Oltre che essere straordinariamente nascosto (grazie alla sua
natura "invisibile"), questo tipo di scansione permette di creare
una mappa indicante le relazioni tra le macchine da un punto di
vista dell'indirizzo IP. I risultati dalla scansione mostrano le
porte aperte dalla prospettiva dell'indirizzo IP della macchina
zombie. Risulta così possibile effettuare scansioni utilizzando
diversi zombie che si ritiene possano attraversare router o sistemi
con packet filter.
È possibile aggiungere i due punti (:) seguiti dal numero di porta
per l'host zombie, se si vuole sondare una particolare porta per
vedere i cambiamenti nell'IP ID. Diversamente Nmap utilizzerà the
porta che utilizza di default per i ping TCP (80).
-sO (IP protocol scan)
L'IP protocol scan permette di determinare che protocolli IP (TCP,
ICMP, IGMP, ecc.) sono supportati dalle macchine obiettivo. Non è
tecnicamente un port scan, dato che utilizza i numeri indicanti il
protocollo IP e non i numeri di porta TCP o UDP. Utilizza comunque
ancora l'opzione -p per scegliere il protocollo da scansionare,
riporta i risultati nel normale formato della tabella delle porte
ed utilizza lo stesso engine sottostante al port scanning reale.
Per questo motivo è profondamente analogo ad un port scan e viene
trattato in questa sezione.
Oltre che essere intrinsecamente utile, il protocol scan dimostra
la potenza del software open-source. Per quanto l'idea fondamentale
è abbastanza semplice, non immaginavo di aggiungerla fino a quando
non avessi ricevuto richieste per questa funzionalità. Nell'estate
del 2000, Gerhard Rieger concepì l'idea e scrisse un'eccellente
patch che la implementasse, spedendola poi alla mailing list
nmap-hackers. Io incorporai questa patch in Nmap e ne rilasciai una
nuova versione il giorno seguente. Alcuni software commerciali
ebbero clienti talmente soddisfatti da contribuire allo sviluppo di
questa tecnica con i loro miglioramenti!
Il protocol scan funziona in modo simile all'UDP scan solo che
invece di agire sul campo "port number" del pacchetto UDP, invia
degli header di pacchetto IP e agisce sul campo di 8 bit relativo
al protocollo. Questi headers sono tipicamente vuoti, non contengo
dati e nemmeno l'header proprietario del protocollo dichiarato, ad
eccezione di TCP, UDP, ICMP, SCTP e IGMP. Un header valido per
queste eccezioni viene incluso perché, diversamente, alcuni sistemi
non li invierebbero e perché Nmap è già provvisto di funzioni per
crearli. Invece che cercare un messaggio ICMP "port unreachable",
il protocol scan è alla ricerca di un messaggio ICMP "protocol
unreachable". Se Nmap riceve una qualunque risposta di qualunque
protocollo dall'host scansionato, Nmap indica tale protocollo come
open. Un errore ICMP "protocol unreachable" (tipo 3, codice 2) fa
sì che il protocollo sia indicato come closed. Altri errori ICMP
"unreachable" (tipo 3, codice 1, 3, 9, 10 o 13) fanno classificare
il protocollo come filtered (denotando, contestualmente, che il
protocollo ICMP è open). Se non viene ricevuta alcuna risposta, il
protocollo è identificato come open|filtered.
-b <FTP relay host> (FTP bounce scan)
Un'interessante caratteristica del protocollo FTP (RFC 959[8]) è il
supporto per le cosiddette "proxy FTP connections". Questa permette
all'utente di connettersi ad un server FTP e richiedere che il file
sia inviato ad un server FTP differente. Tale caratteristica si
presta per varie tipologie di abuso, cosicché molti server hanno
smesso di supportarla. Uno degli abusi nell'utilizzo di questa
peculiarità è la possibilità di far effettuare al server FTP un
port scan verso altri host, basta semplicemente richiedere al
server FTP di inviare un file ad ognuna delle porte che vogliamo
scansionare. Il messaggio di errore ci permetterà di dedurre se la
porta è aperta o meno. Questo è un ottimo modo per aggirare i
firewall in quanto i server FTP aziendali sono spesso posizionati
nella rete così da poter accedere a più host interni di quanto sia
possibile fare da Internet. Nmap supporta l'FTP bounce scan
attraverso l'opzione -b. I parametri per tale opzione devono
rispettare il formato: username:password@server:port dove Server è
l'hostname o l'indirizzo IP di un server FTP vulnerabile a questo
attacco. Come in una URL normale, è possibile omettere
username:password, ed in tal caso verranno utilizzate credenziali
anonime (user: anonymous password:-wwwuser@). Il numero di porta
(ed i due punti che lo precedono) possono essere altresì omessi, in
tal caso verrò utilizzata la porta FTP di default (21) per la
connessione al server.
Questa vulnerabilità è stata diffusa nel 1997 quando Nmap è stato
rilasciato, ma è stata risolta su gran parte dei sistemi. Esistono
alcuni server ancora vulnerabili, ed ha senso provare ad
utilizzarla quando ogni altra cosa fallisce. Se l'obiettivo è
oltrepassare un firewall, è necessario effettuare una scansione
sulla rete cercando di trovare la porta 21 aperta (o anche cercando
un servizio FTP su di una qualsiasi porta, utilizzando la version
detection) e provare quindi lo script NSE ftp-bounce. Nmap sarà in
grado di evidenziare se un host è vulnerabile o meno a questa
tecnica. Se si sta cercando semplicemente di nascondere le proprie
tracce, non vi è bisogno (e di fatto non si dovrebbe) di limitare
la scansione alla rete che realmente ci interessa. Prima di
iniziare ad effettuare scansioni su indirizzi Internet casuali per
trovare server FTP vulnerabili è bene tenere presente che gli
amministratori di sistema potrebbero non apprezzare che i loro
server siano soggetti a tali abusi.
PORT SPECIFICATION E SCAN ORDER
Oltre a tutti i metodi discussi in precedenza, Nmap offre la
possibilità di specificare quali porte devono essere scansionate e se
l'ordine delle porte deve essere casuale oppure sequenziale. Di default
Nmap effettua la scansione delle 1.000 porte più comuni per ogni
protocollo.
-p <port ranges> (Only scan specified ports)
Questa opzione permette di ignorare le impostazioni di default e di
specificare quali porte si vogliono scansionare. È possibile
indicare i singoli numeri delle porte, così come gli intervalli,
separati da un trattino (ad esempio 1-1023). Il primo e/o l'ultimo
valore di un intervallo possono essere omessi, facendo sì che Nmap
utilizzi rispettivamente 1 e 65535 come limiti. È quindi possibile
utilizzare l'opzione -p- per effettuare la scansione delle porte da
1 a 65535. È possibile effettuare scansioni sulla porta zero se
viene espressamente specificato. Nel caso di un IP protocol scan
(-sO), questa opzione indica il numero del protocollo che si
desidera scansionare (0-255).
Quando si effettua una scansione combinata di protocolli (ad
esempio TCP e UDP), è possibile specificare un protocollo
particolare anteponendo al numero di porta T: per TCP, U: per UDP,
S: per SCTP o P: per IP Protocol. Tale indicazione risulta valida
sino a che non ne viene indicata un'altra. Per esempio, l'opzione
-p U:53,111,137,T:21-25,80,139,8080 effettua una scansione UDP
delle porte 53, 111 e 137, lo stesso per le porte TCP. Si noti che
per effettuare una scansione su entrambi i protocolli UDP e TCP, è
necessario specificare l'opzione -sU e almeno un metodo di TCP scan
(come -sS, -sF o -sT). Se non viene indicato nulla, i numeri di
porta vengono aggiunti a tutte le liste dei protocolli.
Le porte possono anche essere indicate tramite il loro nome, così
come sono indicate nell'nmap-services. Si possono anche utilizzare
i caratteri speciali * e ? con i nomi. Ad esempio, per scansionare
l'FTP e tutte le porte il cui nome inizia con "http", si può usare
-p ftp,http*. Si raccomanda di prestare attenzione alla "shell
expansions" e di racchiudere tra apici (quote) l'argomento di -p se
non si è sicuri.
I range di porte possono essere racchiusi da parentesi quadre per
indicare le porte all'interno di quel range che appare in
nmap-services. Ad esempio, ciò che segue eseguirà la scansione di
tutte le porte in nmap-services uguali o minori di 1024: -p
[-1024]. Si raccomanda di prestare attenzione alla "shell
expansions" e di racchiudere tra apici (quote) l'argomento di -p se
non si è sicuri.
--exclude-ports <port ranges> (Exclude the specified ports from
scanning)
Quest'opzione specifica quali porte Nmap deve escludere dalla
scansione. I port ranges devono essere specificati in modo simile a
-p. Per le scansioni IP protocol (-sO), questa opzione specifica il
numero di protocolli che si vuole escludere (0–255).
Quando si richiede di escludere le porte, queste vengono escluse da
tutti i tipi di scansione. Ciò include anche la fase di discovery.
-F (Fast (limited port) scan)
Indica che si intende effettuare la scansione di un minor numero di
porte rispetto al default. Normalmente Nmap scansione le 1.000
porte più comuni per ogni protocollo scansionato. Con l'opzione -F
il numero si riduce a 100.
Nmap ha bisogno del file nmap-services che contiene le informazioni
di frequenza, in modo da sapere quali sono le porte più comuni
(vedi «Well Known Port List: nmap-services[9]» per maggiori
informazioni sulle "port frequencies"). Se la "port frequency
information" non è disponibile, forse perché si sta utilizzando un
file nmap-services personalizzato, Nmap scansiona tutte le porte
nominate più le porte nell'intervallo 1-1024. In questo caso,
l'opzione -F indica di scansionare solo le porte che sono presenti
nel file nmap-services.
-r (Don't randomize ports)
Di default, Nmap effettua la scansione delle porte in ordine
casuale (tranne che per alcune porte comuni che vengono controllate
per prime per motivi di efficienza). La scansione delle porte in
ordine casuale è tipicamente un vantaggio, ma è possibile
utilizzare l'opzione -r così da effettuare i controlli in ordine
sequenziale crescente.
--port-ratio <ratio><decimal number between 0 and 1>
Scansiona tutte le porte presenti nel file nmap-services con un
rapporto maggiore di quello indicato. ratio deve essere compreso
tra 0.0 e 1.1.
--top-ports <n>
Scansiona le n porte presenti nel file nmap-services con il maggior
rapporto, dopo aver escluso tutte le porte indicate in
--exclude-ports. n deve essere maggiore o uguale a 1.
SERVICE E VERSION DETECTION
Utilizzando Nmap e dirigendo la scansione su una macchina remota è
possibile scoprire che le porte 25/tcp, 80/tcp e 53/udp sono aperte.
Utilizzando il suo database di circa 2.200 servizi noti, contenuto nel
file nmap-services, Nmap probabilmente sarà in grado di indicare che ti
tratta rispettivamente di un mail server (SMTP), di un web server
(HTTP) e di un name server (DNS). Tale riconoscimento è solitamente
accurato - la maggior parte dei demoni in ascolto sulla porta 25 sono,
in effetti, mail server. Non è comunque opportuno fidarsi ciecamente di
tali indicazioni! È infatti possibile erogare servizi su porte non
convenzionali.
Anche se le indicazioni di Nmap sono corrette, e gli ipotetici server
sopracitati sono effettivamente SMTP, HTTP e DNS, queste informazioni
non sono esaustive. Quando si eseguono dei "vulnerability assessments"
(o anche semplicemente un inventario della rete) della vostra società o
di clienti, è interessante sapere esattamente di che mail e DNS server
si tratta e quale versione è in uso. Conoscere accuratamente la
versione del software è di fondamentale importanza per determinare a
quali exploits è vulnerabile il server. Version detection è di grande
aiuto nel ricercare queste informazioni.
Al momento dell'identificazione delle porte TCP e/o UDP da parte di uno
dei vari metodi di scansione, il version detection interroga queste
porte per rilevare ulteriori dati sui servizi erogati. Il database
contenuto nel file nmap-service-probes contiene istruzioni per
interrogare i vari servizi e per interpretarne le risposte. Nmap cerca
quindi di determinare di che servizio si tratta (ad esempio FTP, SSH,
Telnet, HTTP), il nome dell'applicazione (ad esempio ISC BIND, Apache
httpd, Solaris telnetd), la versione, l'hostname, il tipo di device (ad
esempio stampante, router), la famiglia del sistema operativo (ad
esempio Windows, Linux). Quando possibile Nmap restituisce anche la
rappresentazione CPE ("Common Platform Enumeration") di questa
informazione. Alle volte sono disponibili altri dettagli come
l'apertura di un X server alle connessioni, la versione del protocollo
SSH o l'utenza utilizzata da KaZaA. Ovviamente la maggior parte dei
servizi non rilasciano tutte queste informazioni. Se Nmap viene
compilato con il supporto per OpenSSL, sarà in grado di connettersi ai
server SSL per dedurre quale tipo di servizio viene offerto dietro al
suo "encryption layer". Alcune delle porte UDP vengono indicate come
open|filtered se un UDP port scan non è in grado di determinare con
precisione se la porta è open o filtered. Il version detection cercherà
di ottenere una risposta da queste porte (esattamente come per le porte
aperte), e modificherà lo stato in open se ci riuscirà. Le porte TCP
open|filtered vengono trattate nello stesso modo. Bisogna tener
presente che l'opzione -A abilita, fra le varie cose, il version
detection. Il version detection viene descritto nel dettaglio in
Chapter 7, Service and Application Version Detection[10].
Quando i servizi RPC vengono identificati, Nmap è in grado di raffinare
quanto rilevato così da riconoscere versione e nome del servizio RPC.
Inonda tutta le porte TCP/UDP rilevate come RPC con dei comandi NULL
del programma SunRPC con lo scopo di determinare se sono effettivamente
porte RPC e, nel caso, il programma e la versione che sono in
esecuzione. Quindi si possono effettivamente ottenere le stesse
informazioni del comando rpcinfo -p anche se il portmapper
dell'obiettivo e dietro un firewall (o protetto da TCP wrappers). I
decoy attualmente non funzionano con l'RPC scan.
Quando Nmap riceve delle risposte da un servizio ma non è in grado di
trovarne un'interpretazione nel suo database, visualizza una
particolare "fingerprint" e una URL per permettere di inviare quanto
rilevato nel caso si conosca a priori che cosa sta effettivamente
girando su quella porta. È importante perdere qualche minuto per
effettuare l'invio di questi dati quando possibile perché così facendo
chiunque in futuro potrà beneficiare dei dati raccolti e riconoscere
anche questo servizio. Grazie a questo sistema Nmap è in grado di
identificare circa 6.500 differenti varianti per più di 650 protocolli
come SMTP, FTP, HTTP, ecc.
Version detection viene attivato e controllato dalle seguenti opzioni:
-sV (Version detection)
Abilita il version detection, come precedentemente illustrato. In
alternativa, è possibile utilizzare l'opzione -A che attiva il
version detection, tra le altre cose.
-sR è un alias -sV. Fino a Marzo 2011 era usata per attivare l'RPC
separatamente dal version detection, ma ora queste opzioni sono
sempre combinate.
--allports (Don't exclude any ports from version detection)
Normalmente, il version detection di Nmap non invia pacchetti alla
porta TCP 9100 poiché alcune stampanti accettano e stampano
direttamente qualunque dato ricevuto su questa porta. Se tale porta
fosse sottoposta a scansione, verrebbero stampate decine di pagine
contenenti richieste HTTP GET puri, dati binari di sessioni SSL e
via discorrendo. È possibile cambiare il comportamento del version
detection di Nmap con la modifica o la rimozione della direttiva
Exclude nel file nmap-service-probes oppure specificando l'opzione
--allports, così da effettuare la scansione di tutte le porte,
indipendentemente da quanto indicato nella direttiva Exclude.
--version-intensity <intensity> (Set version scan intensity)
Quando si effettua un version scan (-sV), Nmap invia una serie di
probe, ognuno dei quali ha assegnato un valore compreso tra 1 e 9.
I pacchetti con valore più basso sono in grado di riconoscere i
servizi comunemente diffusi, mentre quelli con valori più alti sono
raramente necessari. Il livello di accuratezza specifica quali
probe devono essere impiegati; più alto è il livello, più è
probabile che il servizio venga correttamente identificato. D'altro
canto, più una scansione è accurata e più tempo sarà necessario. I
valori devono essere compresi tra 0 e 9; il valore di default è 7.
Quando viene assegnato direttamente un probe ad una porta
utilizzando la direttiva ports nel file nmap-service-probes, esso
viene utilizzato indipendentemente dal valore indicato per
l'accuratezza del version scan. Questo garantisce, per esempio, che
ogni volta che viene trovata la porta 53 aperta vengano effettuati
i controlli specifici per il DNS; così come in caso di porta 443
vengano invece utilizzati quelli per l'SSL e così via.
--version-light (Enable light mode)
Questa opzione è un alias di --version-intensity 2. Questa modalità
rende il version scanning drasticamente più veloce, riducendone
però la capacità di identificare accuratamente i servizi.
--version-all (Try every single probe)
Questa opzione è equivalente a --version-intensity 9, assicurando
che ogni singolo probe venga utilizzato su ogni singola porta.
--version-trace (Trace version scan activity)
Indica a Nmap di visualizzare informazioni di debug estese relative
all'attività del version scanning. È un subset di quanto si ottiene
con l'opzione --packet-trace.
OS DETECTION
Una delle più famose caratteristiche di Nmap è la possibilità di
identificare da remoto il sistema operativo di un host attraverso il
fingerprint dello stack TCP/IP. Nmap invia una serie di pacchetti TCP
ed UDP all'host remoto ed esamina ogni bit ricevuto in risposta. Dopo
aver effettuato decine di test come "il TCP ISN sampling", il "TCP
option support and ordering", il "IP ID Sampling" ed il controllo del
window size iniziale, Nmap compara i risultati con il suo database
(nmap-os-db) contenente più di 2.600 fingerprint conosciuti e ne
visualizza i dettagli se ne trova riscontro. Ogni fingerprint comprende
una descrizione del sistema operativo ed una classificazione che indica
il vendor (per esempio Sun), il sistema operativo (per esempio
Solaris), la versione (per esempio 10) ed il tipo di device (per
esempio "general purpose", router, switch, game console, ecc). Molti
fingerprint hanno anche la rappresentazione CPE (Common Platform
Enumeration), come ad esempio cpe:/o:linux:linux_kernel:2.6.
Se Nmap non è in grado di indovinare il sistema operativo di una
macchina e le condizioni sono propizie (ad esempio una porta trovata
aperta ed una trovata chiusa), Nmap fornirà una URL che potrà essere
utilizzata per inviare il fingerprint (nel solo caso che si conosca con
certezza il sistema operativo dell'host in questione). Inviando questi
fingerprint è possibile contribuire ad ampliare la gamma di sistemi
operativi conosciuti da Nmap, così da renderlo più accurato per tutti.
L'OS detection abilita diversi altri test che utilizzano le
informazioni che sono state ottenute durante questo processo. Un di
questi è il "TCP Sequence Predictability Classification". Questo test
misura approssimativamente quanto è difficile stabilire una "forged TCP
connection" verso l'host remoto. È utile per sfruttare exploit basati
sul controllo del source-IP (rlogin, filtri firewall, ecc.) o per
nascondere la sorgente di un attacco. Questo tipo di spoofing viene
raramente eseguito, ma molte macchine sono ancora vulnerabili ad esso.
Il valore che indica la difficoltà è basato su campionamenti statistici
e può variare. Generalmente è preferibile utilizzare la classificazione
verbale, come «worthy challenge» o «trivial joke», che viene riportata
solo nel normale output in modalità "verbose" (-v). Quando questa
modalità è abilitata insieme all'opzione -O, viene anche riportata la
sequenza di generazione dell'IP ID. La maggior parte delle macchine è
nella classe «incremental», il che significa che incrementano il campo
ID dell'header IP per ogni pacchetto inviato. Ciò le rende vulnerabili
a diversi attacchi avanzati di spoofing ed "information gathering".
Altre informazioni extra abilitate dall'OS detection riguardano il
tempo di attività (uptime) dell'obiettivo. Sfruttando l'opzione TCP
timestamp (RFC 1323[11]) cerca di indovinare quando una macchina ha
effettuato l'ultimo reboot. Quest'informazione può non essere
affidabile, in quanto il contatore del timestamp potrebbe non venire
inizializzato a zero+ oppure andare in overflow ed essere troncato,
quindi è riportato solo nella modalità "verbose".
L'OS detection viene trattato nel dettaglio in Chapter 8, Remote OS
Detection[12].
OS detection viene attivato e controllato dalle le seguenti opzioni:
-O (Enable OS detection)
Abilita l'OS detection, come descritto sopra. In alternativa, è
possibile utilizzare l'opzione -A per attivare sia l'OS detection,
tra le altre cose.
--osscan-limit (Limit OS detection to promising targets)
L'OS detection è molto più efficace se vengono rilevate almeno una
porta TCP aperta ed una chiusa. Utilizzando questa opzione Nmap non
cercherà di effettuare l'OS detection sugli host che non rispondo a
questo criterio. È così possibile un sensibile risparmio di tempo,
specialmente se si utilizza anche l'opzione -Pn su molti host. È
importante unicamente quando l'OS detection è richiesto attraverso
le opzioni -O o -A.
--osscan-guess; --fuzzy (Guess OS detection results)
Quando Nmap non è in grado di rilevare una corrispondenza esatta
dell'OS, propone come possibilità gli OS più vicini alla
rilevazione. La corrispondenza però deve essere molto simile perché
Nmap lo faccia di default. Entrambe queste opzioni (equivalenti)
fanno si che Nmap proceda con il riconoscimento dell'OS in modo più
aggressivo. Nmap farà comunque presente quando corrispondenze non
perfette vengono mostrate e per ognuna ne indicherà il livello di
approssimazione (in percentuale).
--max-os-tries(Set the maximum number of OS detection tries against a
target)
Quando Nmap esegue un OS detection su di un obiettivo e non riesce
a trovare una corrispondenza perfetta, solitamente ripete il
tentativo. Di default, Nmap prova cinque volte, se le condizioni
sono favorevoli per l'invio del fingerprint, e due volte se invece
non lo sono. Specificando un valore più piccolo (ad esempio 1)
nell'opzione --max-os-tries, si aumentano le performance di Nmap a
discapito di una potenziale identificazione del sistema operativo.
Per contro, un valore più alto permette più tentativi, se le
condizioni sono favorevoli. Questo raramente avviene, se non per
creare migliori fingerprint da integrare nel database di Nmap.
NMAP SCRIPTING ENGINE (NSE)
L'Nmap Scripting Engine (NSE) è una delle feature più potenti e
flessibili di Nmap. Permette agli utenti di scrivere (e condividere)
semplici script (utilizzando il linguaggio di programmazione Lua[13])
per automatizzare un gran varietà di networking task. Questi script
vengono eseguito in parallelo con la velocità e l'efficienza che ci si
aspetta da Nmap. Gli utenti possono fare affidamento sui crescenti e
diversi set di script distribuiti da Nmap, oppure scriverli loro stessi
in base alle proprie necessità.
I task che abbiamo preso in considerazione quando abbiamo creato il
sistema includono il network discovery, version detection più
sofisticate, il vulnerability detection. NSE può anche essere usato per
la vulnerability exploitation.
Per riflettere i differenti usi e semplificare la scelta di quale
utilizzare, ogni script contiene un campo associato con una o più
categorie. Attualmente le categorie definite sono auth, broadcast,
default, discovery, dos, exploit, external, fuzzer, intrusive, malware,
safe, version e vuln. Queste sono tutte descritte nella sezione «Script
Categories[14]».
Gli script non vengono eseguiti in una sandbox e quindi possono,
accidentalmente o maliziosamente, danneggiare il sistema su cui vengono
eseguiti o invadere la propria privacy. Non eseguire mai script di
terze parti se non si ha la fiducia degli autori o non si ha
preventivamente controllato personalmente gli script.
L'Nmap Scripting Engine è descritto nel dettaglio in Chapter 9, Nmap
Scripting Engine[15] e viene controllato dalle seguenti opzioni:
-sC
Esegue uno script scan utilizzando il set di script di default. È
l'equivalente di --script=default. Alcuni degli script in questa
categoria vengono considerati intrusivi e potrebbero non essere
eseguiti su di un obiettivo di rete senza permessi.
--script <filename>|<category>|<directory>|<expression>[,...]
Esegue uno script scan utilizzando una lista, separata da virgole,
di file, categorie di script e directory. Ogni elemento nella lista
può anche essere un'espressione booleana che descrive un più
complesso set di script. Gli elementi vengono interpretati prima
come un'espressione, poi come una categoria e infine come il nome
di file o di una directory.
Sono presenti due feature speciali dedicate agli utenti esperti. La
prima consiste nell'aggiungere come prefisso al nome degli script e
alle espressioni il carattere + per forzarne l'esecuzione anche
quando non verrebbe fatta (ad esempio quando il relativo servizio
non è stato trovato sulla porta dell'host). L'altra feature è
l'argomento all che può essere utilizzato per specificare tutti gli
script nel database di Nmap. Usare con cautela questa funzionalità
dato che NSE contiene script pericolosi come exploit, "brute force
authentication crackers" e attacchi "denial of service".
I percorsi dei file e delle directory possono essere sia relativi
che assoluti. I percorsi assoluti sono diretti, mentre quelli
relativi vengono ricercati nelle cartelle scripts presenti in ogni
seguente locazione:
--datadir
$NMAPDIR
~/.nmap (non usato in Windows)
<HOME>\AppData\Roaming\nmap (usato solo in Windows)
la directory contenente l'eseguibile di Nmap
la directory contenente l'eseguibile di Nmap, seguita da
../share/nmap
NMAPDATADIR
La directory corrente
Quando viene specificata una directory, Nmap carica ogni file in
quella directory che ha come estensione .nse. Tutti gli altri file
verranno ignorati e la directory non verrà scansionata in modo
ricorsivo. Quando viene specificato un file, bisogna omettere
l'estensione .nse, verrà aggiunta automaticamente se necessario.
Gli script Nmap sono archiviati di default in una subdirectory
scripts della directory principale di Nmap (vedi Chapter 14,
Understanding and Customizing Nmap Data Files[16]). Per migliorare
l'efficienza, gli script vengono indicizzati nel database
scripts/script.db, che elenca le categorie cui ogni script
appartiene.
Quando si usa il nome dagli script come riferimento dal file
script.db, si può utilizzare come nella shell il carattere speciale
«*».
nmap --script "http-*"
Carica tutti gli script il cui nome inizia con http-, come
http-auth e http-open-proxy. L'argomento di --script è stato
messo tra apici per proteggere il carattere speciale
dall'interpretazione della shell.
Selezioni più complesse di script possono essere eseguite
utilizzando gli operatori and, or e not costruendo così espressioni
booleane. Gli operatori hanno la stessa precedenza che hanno in
Lua: not è il più alto, seguito dal and e quindi or. Si può
modificare la precedenza utilizzando le parentesi. Dato che le
espressioni contengono caratteri di spazio, è necessario
racchiuderle tra apici (quote).
nmap --script "not intrusive"
Carica tutti gli script tranne quelli nella categoria
intrusive.
nmap --script "default or safe"
Questa funzionalità è l'equivalente di --script "default,safe".
Carica tutti gli script che sono nelle categorie default, safe
o in entrambe.
nmap --script "default and safe"
Carica gli script che sono in entrambe le categorie default e
safe.
nmap --script "(default or safe or intrusive) and not http-*"
Carica gli script che sono nelle categorie default, safe o
intrusive tranne quelli il cui nome inizia con http-.
--script-args <n1>=<v1>,<n2>={<n3>=<v3>},<n4>={<v4>,<v5>}
Permette di fornire argomenti agli script NSE. Gli argomenti sono
una lista, separati da virgola, di coppie name=value. I nomi e i
valori possono essere stringhe senza spazi o i caratteri "{", "}",
"=" e ",". Per includere uno di questi caratteri in una stringa, si
deve racchiudere la stringa tra apici singoli o doppi. Il carattere
"\" (backslash) in una stringa tra apici, annulla la funzionalità
dell'apice. Il backslash viene interpretato in questo modo solo in
questo caso particolare, negli altri casi viene considerato
"letteralmente". I valori possono anche essere elenchi racchiusi
tra parentesi graffe ("{}"), così come in Lua. Un elenco può
contenere valori, nella forma di semplici stringhe, oppure altre
coppie di nomi-valori; sono consentiti anche gli elenchi annidati.
Alcuni script definiscono i loro argomenti con il nome dello
script, ad esempio xmpp-info.server_name. Si può utilizzare questa
identificazione per agire solo sullo script specificato, oppure
utilizzare la versione non identificativa (server_name in questo
caso) per agire su tutti gli script che utilizzano questo
argomento. Uno script controllerà prima gli argomenti a lui
identificati (il nome degli argomenti è specificato nella
documentazione dello script) prima di accettare un argomento non
qualificato. Un esempio complesso è --script-args
'user=foo,pass=",{}=bar",whois={whodb=nofollow+ripe},xmpp-info.server_name=localhost'.
L'NSE Documentation Portal all'indirizzo https://nmap.org/nsedoc/
elenca gli argomenti che ogni script accetta.
--script-args-file <filename>
Permette di passare gli argomenti agli script NSE tramite un file.
Ogni argomento sulla riga di comando sostituisce quelli nel file.
Il percorso del file può essere assoluto o relativo e, in
quest'ultimo caso, farà riferimento al solito percorso di ricerca
di Nmap (NMAPDIR, ecc.). Gli argomenti possono essere separati da
virgola o da un carattere di a-capo, ma devono seguire le stesse
regole di --script-args, senza però particolari apici dato che non
vengono elaborati dalla shell.
--script-help <filename>|<category>|<directory>|<expression>|all[,...]
Mostra l'help degli scripts. Per ogni script specificato, Nmap
restituisce il nome, le categorie cui appartiene e la sua
descrizione. La sintassi è la stessa dell'opzione --script; quindi
per esempio se si volesse l'help dello script ftp-anon, si dovrà
eseguire il comando nmap --script-help ftp-anon. Oltre all'help per
gli script individuali, si potrà anche ottenere l'anteprima di cosa
lo script eseguirà secondo una specifica, ad esempio nmap
--script-help default.
--script-trace
Quest'opzione è come l'opzione --packet-trace, solo un livello ISO
più in alto. Se viene specificata quest'opzione, tutte le
comunicazioni in entrata ed in uscita eseguite da uno script
vengono mostrate. Queste informazioni includono il protocollo di
comunicazione, la sorgente, l'obiettivo e i dati trasmessi. Se più
del 5% di tutti i dati trasmessi non sono stampabili a video,
allora l'output sarà in esadecimale. Indicando l'opzione
--packet-trace anche lo script tracing verrà abilitato.
--script-updatedb
Quest'opzione aggiorna il database degli script che si trova nel
file scripts/script.db, il quale viene utilizzato da Nmap per
determinare gli script e le categorie di default. È necessario
aggiornare il database solo se vengono aggiunti o rimossi script
NSE dalla directory di default o se sono state cambiate le
categorie di qualche script. Quest'opzione viene generalmente
utilizzata da sola: nmap --script-updatedb.
TIMING AND PERFORMANCE
Le performance sono sempre state una delle principali priorità durante
lo sviluppo di Nmap. Una scansione di default (nmap hostname) di un
host in una rete locale richiede circa un quinto di secondo, poco più
di un battito di ciglia. Tuttavia esso aumenta quando si sta
effettuando una scansione di centinaia o migliaia di host. Inoltre
alcune opzioni di scan (come lo scan UDP e il version detection) o
alcune configurazioni di firewall (in particolare quelle che limitano
la frequenza delle risposte, conosciute come "response rating") tendono
ad aumentare decisamente il tempo di scansione. Anche se Nmap usa
tecniche di scansione in parallelo e molti altri algoritmi avanzati per
diminuire il tempo totale impiegato, l'utente ha comunque il controllo
finale sulle modalità in cui Nmap viene eseguito. Un utente esperto
userà quindi comandi specifici per ottenere solo le informazioni di cui
ha bisogno, restando però all'interno della finestra temporale minima.
Alcune tecniche per migliorare i tempi di scansione sono l'omissione di
test non rilevanti e l'aggiornamento all'ultima versione di Nmap
(questo perché spesso gli aggiornamenti includono miglioramenti delle
performance). Anche ottimizzare i parametri di timing è un'ottima
strategia per ottenere sostanziali differenze; queste opzioni sono
elencate di seguito.
Alcune opzioni accettano il parametro time. Questo indica una quantità
di tempo in secondi (di default), ma è possibile aggiungere 'ms', 's',
'm' o 'h' per indicare millisecondi, secondi, minuti oppure ore. Ad
esempio, per il parametro --host-timeout gli argomenti 900000ms, 900,
900s e 15m hanno tutti lo stesso effetto.
--min-hostgroup <numhosts>; --max-hostgroup <numhosts> (Adjust parallel
scan group sizes)
Nmap ha l'abilità di effettuare port scan o version scan su più
host in parallelo. Lo spazio degli indirizzi IP di destinazione
viene diviso in gruppi e viene scansionato un gruppo per volta. In
genere gruppi di dimensioni maggiori portano ad una migliore
efficienza. Il lato negativo di tutto ciò è che i risultati non
possono essere mostrati all'utente fino a quando l'intero gruppo
non è stato esplorato completamente. Quindi, se si lancia Nmap
impostando la dimensione del gruppo a 50, l'utente non vedrà alcun
risultato fino a quando i primi 50 host non sono stati completati
(a meno che non si selezioni la modalità verbose).
Di default, Nmap usa un compromesso per ovviare a questa
difficoltà. Inizialmente utilizza una dimensione di cinque host in
modo da mostrare i primi risultati velocemente, dopodiché
incrementa la dimensione fino ad un massimo di 1024. Il numero
esatto dipende dalle opzioni che vengono passate. Per ragioni di
efficienza Nmap usa gruppi di dimensione maggiore per UDP o per
scansioni di porte TCP di piccole dimensioni.
Nel caso in cui una dimensione massima del gruppo sia specificata
con --max-hostgroup, Nmap non oltrepasserà mai questo limite.
Specificando invece una dimensione minima con --min-hostgroup
obbligherà Nmap a usare dimensioni almeno equivalenti. Nmap
potrebbe tuttavia dover usare gruppi più piccoli di quelli indicati
se non ci dovessero essere abbastanza host di destinazione
rimanenti per un'interfaccia per raggiungere la minima quota
specificata. Entrambe le opzioni possono essere impostate per
mantenere la dimensione del gruppo all'interno di un certo limite,
anche se questo succede raramente.
Queste opzioni durante la fase di host discovery di una scansione
non hanno effetto; ciò include anche il plain ping scan (-sn).
L'host discovery lavora sempre su grandi gruppi di host per
aumentare la velocità e l'accuratezza.
L'utilizzo principale di queste opzioni è quello di specificare una
dimensione minima maggiore rispetto al default in modo da rendere
più veloce la scansione globale. Una scelta piuttosto comune è 256
per una scansione di una rete di classe C. Per una scansione con
molte porte, eccedere questo numero è improbabile che aiuti molto.
Per una scansione con poche porte invece, una dimensione di 2048 o
più può essere d'aiuto.
--min-parallelism <numprobes>; --max-parallelism <numprobes> (Adjust
probe parallelization)
Queste opzioni controllano il numero totale di probe che possono
uscire dalla macchina sorgente per un host group. Esse sono usate
per port scanning e host discovery. Di default, Nmap calcola un
parallelismo ideale in continuo cambiamento, a seconda delle
performance della rete. Se c'è un elevato numero di pacchetti che
viene scartato, Nmap rallenta e lavora su un numero minore di probe
in uscita. Il numero ideale di probe in uscita incrementa poi
gradualmente fino a quando la rete lo permette. Questa opzione
limiti minimi o massimi alla variabile. Di default, il parallelismo
può arrivare ad un minimo di 1 se la rete si dimostra essere poco
affidabile; può invece aumentare a diverse centinaia per una rete
in condizioni ottimali.
L'uso più comune consiste nell'impostare --min-parallelism ad un
valore maggiore di 1 per accelerare le scansioni di reti o host che
rispondono in maniera non adeguata. È abbastanza rischioso giocare
con quest'opzione, in quanto impostandola ad un valore troppo alto
può influire negativamente sull'accuratezza. Impostandola
manualmente inoltre riduce l'abilità di Nmap di controllare
dinamicamente il parallelismo basandosi sulle condizioni della
rete. Un valore di 10 è abbastanza ragionevole, anche se in genere
le modifiche a questo parametro vengono usate come ultima risorsa.
L'opzione --max-parallelism viene impostata a volte sul valore 1
per impedire a Nmap di inviare più di un probe alla volta verso un
determinato host. L'opzione --scan-delay (discussa in seguito), è
un altro modo per ottenere questo risultato.
--min-rtt-timeout <time>, --max-rtt-timeout <time>,
--initial-rtt-timeout <time> (Adjust probe timeouts)
Nmap mantiene un valore di timeout aggiornato per determinare
quanto ci vorrà per un probe response prima di ritrasmettere il
probe. Questo viene calcolato basandosi sui tempi di response degli
ultimi probe inviati. La formula si trova al link «Idle Scan
Implementation Algorithms»[17]. Se la latenza della rete dovesse
oscillare troppo questo timeout può crescere fino ad un valore di
diversi secondi. Inoltre esso è impostato inizialmente ad un valore
abbastanza alto e potrebbe restare su quel valore per tutto il
tempo in cui Nmap effettua la scansione su host che non rispondono.
Specificando limiti di --max-rtt-timeout e di --initial-rtt-timeout
inferiori ai valori di default è possibile ridurre di molto i tempi
di scansione. Questo è vero in particolare per scansioni di tipo
"pingless" (opzione -Pn) e nei confronti di reti particolarmente
protette. Tuttavia, è bene non esagerare; infatti la scansione può
addirittura richiedere più tempo del previsto nel caso in cui si
specifichi un valore talmente basso da resettare il timeout dei
probe (e forzarne un nuovo invio) mentre la risposta sta ancora
arrivando.
Se tutti gli host sono su una rete locale, 100 millisecondi
(--max-rtt-timeout 100ms)è un valore ragionevolmente aggressivo. Se
nella scansione è coinvolto qualche routing, sarebbe meglio
effettuare un ping preliminare dell'host (con l'utility ICMP ping o
con un generatore di pacchetti come Nping che può penetrare un
firewall più facilmente), e osservare poi il valore massimo di
andata/ritorno ("round trip") per un numero di pacchetti non
inferiore a 10. È quindi consigliato raddoppiare questo valore per
l'opzione --initial-rtt-timeout e triplicarlo o quadruplicarlo per
l'opzione --max-rtt-timeout. In genere si preferisce non impostare
il maximum RTT al di sotto di 100 millisecondi, indipendentemente
dai tempi di ping. E nemmeno al di sopra di 1000 millisecondi.
L'opzione --min-rtt-timeout è usata molto raramente; essa può
essere utile nel caso in cui una rete è talmente poco affidabile
che anche il default di Nmap risulta essere troppo aggressivo.
Poiché Nmap riduce il timeout fino al valore minimo quando la rete
sembra affidabile, questa esigenza di solito non è necessaria e
dovrebbe essere indicata come bug alla mailing list nmap-dev.
--max-retries <numtries> (Specify the maximum number of port scan probe
retransmissions)
Quando Nmap non riceve risposta ad un port scan probe, potrebbe
significare che la porte è filtrata. O forse che la risposta o il
probe stesso si sono persi nella rete. È anche possibile che l'host
obiettivo abbia attivato dei limiti sul traffico che bloccano la
risposta. In questi questi, Nmap prova nuovamente a ritrasmettere
il probe iniziale e, se ritiene che la rete sia poco affidabile,
prova molte volte prima di passare alla porta successiva.
Nonostante il vantaggio dell'accuratezza, tutto ciò prolunga i
tempi di scansione. Quando le performance sono al primo posto, si
può velocizzare le scansioni limitando il numero di ritrasmissioni
consentite. Si può addirittura indicare --max-retries 0 per
disabilitare ogni ritrasmissione, anche se è consigliato solo in
quelle situazioni in cui la non risposta di alcune porte e alcuni
host è accettabile (ad esempio sondaggi interni o test).
Di default (senza nessun template, opzione -T) vengono effettuate
dieci ritrasmissioni. Se la rete risulta affidabile e gli host
obiettivo non hanno limitazioni, Nmap solitamente effettua una
ritrasmissione. Quindi la maggior parte degli obiettivi non viene
coinvolta abbassando --max-retries ad un valore basso, ad esempio
tre. Alcuni valori possono velocizzare sensibilmente le scansioni
di host piuttosto lenti. Di solito vengono perse alcune
informazioni quando Nmap scansiona le porte velocemente, però è
sempre meglio che lasciar scadere --host-timeout e perdere tutte le
informazioni dell'obiettivo.
--host-timeout <time> (Give up on slow target hosts)
Alcuni host a volte richiedono un tempo estremamente lungo per
portare a termine una scansione. Questo può essere dovuto a
hardware o software poco performante o inaffidabile, a limiti di
traffico impostati o a firewall troppo restrittivi. La minoranza
degli host sottoposti a scansione può richiedere la maggior parte
del tempo di scansione. A volte è preferibile risparmiare sul tempo
ed evitare questi host fin dal principio. Questo comportamento
viene forzato dall'opzione --host-timeout seguito dal tempo dopo il
quale non si vuole più aspettare. Ad esempio si specifica un valore
di 30m per avere la garanzia che Nmap non sprechi più di mezz'ora
su di un singolo host. Si noti che Nmap può nel frattempo
effettuare la scansione su altri host durante quella mezz'ora, per
cui non si tratta di tempo completamente sprecato. Un host che
dovesse andare in timeout viene semplicemente saltato. Non vengono
mostrati l'elenco delle porte, il detection del sistema operativo
né risultati di version detection per quell'host.
--scan-delay <time>; --max-scan-delay <time> (Adjust delay between
probes)
Quest'opzione obbliga Nmap ad aspettare almeno il tempo indicato
tra i probe inviati ad un determinato host. Questo risulta
particolarmente utile nel caso di limitazioni sulla frequenza
dell'invio ("rate limiting"). Tra gli altri, in particolare le
macchine Solaris in genere rispondono a scansioni UDP con un solo
messaggio ICMP al secondo. Qualsiasi altro probe inviato da Nmap
durante questo intervallo di tempo sarebbe quindi sprecato. Un
valore di --scan-delay di 1s manterrà Nmap al di sotto di questa
particolare frequenza di invio di probe. Nmap comunque cercherà di
capire eventuali limiti sulla frequenza e modificherà i ritardi sui
probe di conseguenza, tuttavia non è cattiva abitudine specificarlo
sulla linea di comando quando dovesse essere noto a priori il
valore ottimale.
Quando Nmap aumenta lo scan delay in base al rate limiting, la
scansione rallenta drammaticamente. L'opzione --max-scan-delay
indica il valore massimo di delay che Nmap può adottare. Un valore
basso di quest'opzione può velocizzare Nmap, ma ci sono dei rischi:
settarlo troppo basso può portare a ritrasmissioni inutili e una
possibile perdita di dati da porte che hanno rate limiting molto
ridotti.
Un altro uso dell'opzione--scan-delay è quello in cui si desidera
evitare sistemi anti-intrusione (IDS/IPS, "intrusion-detection" e
"intrusion-prevention system"). Questa tecnica viene utilizzata
nella sezione «A practical example: bypassing default Snort 2.2.0
rules[18]» per vincere il port scanner detector di default in Snort
IDS. Molti altri IDS possono essere sconfitti con questo sistema.
--min-rate <number>; --max-rate <number> (Directly control the scanning
rate)
Il timing dinamico di Nmap fa un buon lavoro trovando una velocità
adeguata a ciò che si sta scansionando. Alle volte, però, può
succedere di conoscere uno scanning rate appropriato per quella
determinata rete, oppure bisogna finire una scansione in un tempo
preciso. O forse si vuole impedire ad Nmap di scansionare troppo
velocemente. Le opzioni --min-rate e --max-rate sono state create
proprio per queste situazioni.
Quando viene definita l'opzione --min-rate Nmap farà del suo meglio
per inviare i pacchetti non al di sotto del limite di frequenza
impostato. L'argomento è un numero reale positivo che rappresenta
la frequenza di invio dei pacchetti in pacchetti/secondo. Per
esempio, indicando --min-rate 300 significa che Nmap proverà a
mantenere una frequenza di invio di almeno 300 pacchetti al
secondo. Quest'opzione non impedisce ad Nmap di aumentare la
frequenza se le condizioni lo permettono.
Viceversa, --max-rate forza la frequenza di invio dandogli un
limite massimo. Utilizzare --max-rate 100, ad esempio, per limitare
l'invio a 100 pacchetti al secondo su una rete veloce. Usare
--max-rate 0.1 per una scansione lenta, un pacchetto ogni dieci
secondi. Entrambe le opzioni --min-rate e --max-rate mantengono la
frequenza all'interno del range specificato.
Queste due opzioni sono globali, hanno effetto cioè sull'intera
scansione, non sugli host individuali. Vanno ad agire sui port scan
e gli host discovery. Altre feature, come l'OS detection, hanno le
loro opzioni di timing.
Ci sono due casi in cui la frequenza potrebbe scendere sotto il
minimo richiesto. Il primo è impostare la frequenza minima più alta
di quanto Nmap riesca ad inviare, il che dipende dall'hardware in
uso. In questo casto Nmap invierà i pacchetti il più velocemente
possibile, ma bisogna comunque essere consapevoli che ciò potrebbe
causare un calo dell'affidabilità. Il secondo caso è quando Nmap
non ha nulla da inviare, ad esempio alla fine di uno scan quando
gli ultimi probe sono stati inviati ed Nmap sta aspettando una
risposta o che vadano in time out. È normale che lo scanning rate
cali alla fine di una scansione o tra hostgroups. La frequenza di
invio potrebbe inoltre superare temporaneamente il massimo
prefissato, per far fronte a delay improvvisi, ma nella media
rimarrà comunque entro i limiti.
Specificare un rate minimo, è una cosa da fare con attenzione.
Effettuare una scansione più velocemente di quanto una rete possa
supportare potrebbe portare a risultati inaffidabili. In alcuni
casi, una frequenza troppo alta può portare ad un scansione più
lenta rispetto ad una scansione con un rate più basso. Questo
perché l'algoritmo adaptive retransmission[19] di Nmap potrebbe
rilevare una congestione della rete causata da un eccessivo
scanning rate e aumentare il numero di ritrasmissioni per mantenere
una certa affidabilità. Quindi anche se i pacchetti verranno
inviati velocemente, ne verranno comunque inviati di più. Limitare
il numero massimo ritrasmissioni con l'opzione --max-retries se si
deve rispettare un tempo massimo per la scansione totale.
--defeat-rst-ratelimit
Molti host usano da tempo delle funzionalità di "rate limiting"
(limitazioni alla frequenza) per ridurre il numero di messaggi di
errore ICMP che mandano (ad esempio gli errori "port-unreachable").
Alcuni sistemi hanno iniziato ad applicare le stesse tecniche
all'invio di pacchetti RST (reset). Queste tecniche possono
rallentare di molto Nmap poiché esso continuerà a calibrare la
gestione dei timing per gestire queste limitazioni di frequenza. Si
può quindi indicare a Nmap di ignorare questi rate limits (per i
port scan come il SYN scan, che non considerano le porte silenziose
come aperte) mediante l'opzione --defeat-rst-ratelimit.
L'utilizzo di quest'opzione può ridurre la precisione di uno scan,
poiché alcune porte potrebbero restituire uno stato di non-risposta
perché Nmap non è rimasto in attesa abbastanza a lungo a causa di
meccanismi di rate-limiting dei pacchetti RST. Con una scansione di
tipo SYN le porte "mute" (dalle quali non si è ricevuto un RST) in
questo caso vengono indicate con filtered piuttosto che closed.
Quest'opzione è utile solo quando si è interessati alle porte
aperte, e la distinzione tra porte closed e filtered non è di alcun
interesse rispetto al tempo che richiede.
--nsock-engine epoll|kqueue|poll|select
Forza l'utilizzo di un determinato "nsock IO multiplexing engine".
Solo per il "select(2)-based fallback engine" viene garantita la
compatibilità con il sistema in uso. Gli engine vengono dichiarati
dopo il nome del "IO management facility" cui fanno riferimento.
Gli engine attualmente implementati sono epoll, kqueue, poll e
select, ma non saranno tutti presenti su tutte le piattaforme.
Utilizzare nmap -V per sapere quali engine sono supportati.
-T <paranoid|sneaky|polite|normal|aggressive|insane> (Set a timing
template)
Mentre le opzioni mostrate nella precedente sezione sono molto
utili ed efficaci alcuni potrebbero trovarle troppo complicate da
usare. Inoltre, la scelta dei valori più appropriati può a volte
richiedere più tempo della scansione stessa che si sta cercando di
ottimizzare. Nmap offre quindi un approccio più semplice mediante
sei "timing templates", ovvero opzioni pre-impostate per regolare
l'aggressività della scansione. Esse si specificano mediante
l'opzione -T seguita dal numero del template corrispondente o dal
suo nome. Essi sono: paranoico (0), furtivo (1), educato (2),
normale (3), aggressivo (4) e folle (5). I primi due vengono usati
per evitare i sopracitati sistemi anti-intrusione (IDS). La
modalità "gentile" rallenta la scansione in modo da usare meno
banda e risorse sulla macchina bersaglio. La modalità "normale" è
di default (e pertanto l'opzione -T3 non modifica nulla). La
modalità "aggressiva" incrementa la velocità assumendo che si è su
una rete veloce ed affidabile. Infine la modalità "folle" dà per
scontato che si è su una rete estremamente veloce ed affidabile o
che si vuole sacrificare l'accuratezza in nome della velocità.
Questi template consentono all'utente di specificare quanto
aggressivi si desidera essere, lasciando al tempo stesso a Nmap il
compito di scegliere i valori più appropriati. I template inoltre
effettuano piccoli aggiustamenti sui timing per i quali non
esistono opzioni che ne consentono il controllo. Ad esempio,
l'opzione -T4 impedisce al ritardo dinamico per una scansione di
andare al di sotto della soglia dei 10 millisecondi per le porte
TCP, e l'opzione -T5 limita questo valore a 5 millisecondi. I
template possono essere usati insieme a controlli più precisi a
patto che il template venga specificato per primo. Altrimenti i
valori impostati dal template potrebbero sovrascrivere quelli
specificati dall'utente. Si raccomanda di usare l'opzione -T4 nel
caso in cui si desideri effettuare scansioni di reti abbastanza
recenti e affidabili; inoltre è consigliabile mantenere
quell'opzione (intesa come inserita all'inizio dei comandi) anche
qualora si dovessero aggiungere controlli più precisi in modo da
beneficiare da tutti i piccoli miglioramenti che dovessero
intervenire.
Se la propria connessione è a banda larga o di tipo ethernet, si
raccomanda di usare sempre l'opzione -T4. Alcuni prediligono anche
l'opzione -T5, nonostante per i più sia troppo aggressiva. Altri a
volte usano l'opzione -T2 perché credono che sia meno propensa a
mandare in crash un host o perché si considerano persone educate.
Spesso essi non si rendono conto di quanto è lenta l'opzione -T
polite; una scansione di questo tipo può impiegare anche dieci
volte il tempo richiesto per una scansione di default. Crash di
host e problemi di banda sono rari con le opzioni di timing di
default (opzione -T3) e pertanto è l'opzione consigliata a chi deve
effettuare scansioni senza dare troppo nell'occhio. Omettere una
scansione di tipo version detection è molto più efficiente del
giocare con i valori di timing per ridurre i problemi sopracitati.
Mentre le opzioni -T0 e -T1 potrebbero essere utili per evitare gli
allarmi di un IDS, esse richiederanno un tempo estremamente lungo
per portare a termine una scansione di migliaia di host o di porte.
In una situazione di questo tipo si suggerisce di lavorare sui
valori esatti di timing richiesti piuttosto che avvalersi delle
opzioni preimpostate nelle opzioni -T0 e -T1.
Gli effetti principali dell'opzione T0 sono quello di serializzare
la scansione in modo da affrontare una sola porta alla volta, e al
tempo stesso quello di attendere cinque minuti tra l'invio di un
probe e il successivo. Le opzioni T1 e T2 sono simili ma attendono
rispettivamente 15 secondi e 0.4 secondi tra un probe e l'altro.
L'opzione T3 è il comportamento di default di Nmap (che include il
parallelismo). L'opzione T4 ha lo stesso risultato dell'impostare
--max-rtt-timeout 1250ms --initial-rtt-timeout 500ms --max-retries
6 e di impostare il ritardo massimo per una scansione TCP a 10
millisecondi. Infine l'opzione T5 è equivalente a --max-rtt-timeout
300ms --min-rtt-timeout 50ms --initial-rtt-timeout 250ms
--max-retries 2 --host-timeout 15m e ad impostare il massimo
ritardo TCP (maximum delay) a 5 millisecondi.
BYPASSING E SPOOFING DI FIREWALL E INTRUSION DETECTION SYSTEM (FIREWALL/IDS
EVASION AND SPOOFING)
Tanti pionieri dell'epoca di Internet immaginarono una rete globale
aperta con uno spazio di indirizzi IP universale, che potesse
consentire connessioni virtuali tra qualsiasi coppia di nodi. Questo
permette ad ogni host di diventare allo stesso tempo fruitore e
fornitore di informazioni da e per l'altro. Chiunque poteva accedere
dal lavoro a tutti i propri sistemi di casa, regolando il termostato o
aprendo la porta per un visitatore che dovesse arrivare in anticipo.
Questa visione di connettività universale è stata soffocata da carenze
nello spazio di indirizzamento e da preoccupazioni legate alla
sicurezza. Nei primi anni novanta le compagnie iniziarono a sviluppare
firewall con lo scopo di ridurre la connettività. Enormi reti vennero
tagliate fuori dall'Internet non filtrato da application proxy, NAT
(Network Address Translation) e packet filter (filtri di pacchetto). Il
flusso incontrollato delle informazioni lasciò il posto a regole
stringenti sui canali di comunicazione approvati e sul contenuto che
può transitare su di essi.
Ostruzioni di rete come i firewall possono rendere la stesura della
topografia di una rete un lavoro fin troppo difficile. E non migliorerà
mai, perché limitare le differenze che permettono di distinguere tra un
apparecchio e un altro è spesso lo scopo primario nella loro
costruzione. Nondimeno, Nmap offre molte caratteristiche che possono
aiutare a capire tali reti complesse e a verificare che i filtri
impostati stiano funzionando come previsto. Nmap include anche
meccanismi per effettuare il bypassing di difese poco robuste o mal
implementate. Uno dei migliori metodi per capire quant'è sicura la
propria rete è proprio il cercare di forzarla. Mettetevi nei panni di
un attaccante, e usate le tecniche spiegate in questa sezione contro le
vostre reti. Lanciate una scansione "FTP bounce", un "Idle scan", un
"fragmentation attack", o provate a entrare attraverso uno dei vostri
proxy.
In aggiunta alle restrizioni delle attività di rete, le aziende stanno
sempre più tenendo sotto controllo il traffico con sistemi
anti-intrusione (IDS). La maggior parte di questi IDS è configurato per
accorgersi di una scansione di Nmap di default, poiché molto spesso
l'attacco segue direttamente la scansione. Molti di questi strumenti
inoltre si sono evoluti in sistemi di prevenzione delle intrusioni
(IPS, "intrusion prevention systems") che bloccano attivamente tutto il
traffico che potrebbe essere nocivo. Sfortunatamente per gli
amministratori di rete e per i produttori di IDS, però, rilevare
cattive intenzioni analizzando semplicemente i dati contenuti nei
pacchetti è un problema difficile. Un attaccante con una buona dose di
pazienza, talento e l'aiuto di alcune opzioni di Nmap può generalmente
scavalcare un IDS senza esser visto. Allo stesso tempo un
amministratore ha a che fare con molti falsi positivi dovuti ad
intenzioni legittime che vengono erroneamente bloccati o per i quali
scattano allarmi.
Ogni tanto qualcuno suggerisce che Nmap non dovrebbe fornire opzioni
per bypassare regole di firewalling o per sgusciare oltre agli IDS.
Essi asseriscono che queste caratteristiche sono usate più facilmente
da attaccanti piuttosto che da amministratori attenti alle
problematiche di sicurezza. Il problema con questo tipo di ragionamento
è che tali metodi verrebbero comunque usati da attaccanti che
potrebbero semplicemente usare altri strumenti o modificare Nmap per
fare ciò che desiderano. E intanto un amministratore si troverebbe a
non aver strumenti per poter fare il proprio lavoro correttamente.
Sviluppare solo server FTP moderni e con tutte le patch installate è un
approccio molto migliore al voler bloccare lo sviluppo e la
distribuzione di strumenti che usano l'attacco "FTP bounce".
Non esiste alcuna bacchetta magica (o opzione di Nmap) per riconoscere
o bypassare un firewall o un sistema anti-intrusione. È un'attività che
richiede talento ed esperienza. Una guida completa esula dagli intenti
di questa guida di riferimento, la quale elenca solo le opzioni
rilevanti e descrive ciò che fanno.
-f (fragment packets); --mtu (using the specified MTU)
L'opzione -f obbliga la scansione (anche i ping scan) a usare
pacchetti IP frammentati. L'idea di base è quella di frammentare
l'header TCP su più pacchetti, in modo da rendere più difficile per
un packet filter, per un IDS o per altri fastidiosi strumenti
simili il compito di capire cosa sta succedendo. Si presti comunque
la massima attenzione nell'uso di questa opzione! Alcuni programmi
hanno difficoltà a gestire pacchetti di dimensione troppo piccola.
Il vecchio tool "Sniffit" andava in segmentation fault non appena
riceveva il primo frammento. Specificando quest'opzione una volta
Nmap dividerà i pacchetti in piccoli insiemi di al più 8 byte
ciascuno, inserendoli dopo l'header IP. In questo modo un header
TCP di 20 byte verrà diviso in tre pacchetti: due con otto byte
ciascuno e uno con i rimanenti quattro. E ovviamente ogni frammento
avrà un header IP. Specificando di nuovo l'opzione -f si useranno
insiemi di 16 byte (riducendo così il numero di frammenti). In
alternativa si può indicare lo spiazzamento ("offset") desiderato
mediante l'opzione --mtu. Non si usi l'opzione -f se si è usato
--mtu. L'offset dev'essere un multiplo di 8. Nonostante i pacchetti
frammentati non supereranno i packet filter e i firewall che
mantengono una coda di tutti i frammenti IP (come ad esempio le
macchine GNU/Linux che hanno l'opzione CONFIG_IP_ALWAYS_DEFRAG
impostata nel kernel), alcune reti tuttavia non possono permettersi
il calo di performance causato da troppi frammenti e pertanto non
avranno quell'opzione abilitata. Altri ancora non possono abilitare
quell'opzione perché i frammenti potrebbero prendere direzioni
differenti una volta all'interno. Alcuni sistemi di origine dei
dati deframmentano i pacchetti in uscita nel kernel. Linux con il
modulo ip_conntrack ("connection tracking module") è uno di questi.
Si raccomanda di effettuare la scansione mentre un packet sniffer
(come Wireshark) sta girando, in modo da avere la certezza che i
pacchetti inviati vengano effettivamente frammentati. Se il proprio
sistema operativo dovesse causare problemi in questo, si usi
l'opzione --send-eth per bypassare il livello IP ed inviare
direttamente frame Ethernet sul cavo.
-D <decoy1>[,<decoy2>][,ME][,...] (Cloak a scan with decoys)
Quest'opzione invoca una "decoy scan" (ovvero una scansione
utilizzando esche) che agli occhi dell'host di destinazione
apparirà come se provenisse dagli host specificati come decoy. In
questo modo l'IDS della rete bersaglio mostrerà 5-10 port scan
provenienti da indirizzi IP singoli, e non potrà capire quale IP è
veramente la sorgente dell'attacco e quale IP è usato solo come
mascheramento. Nonostante quest'opzione possa essere resa inutile
mediante il tracciamento del percorso fatto dai router ("router
path tracing"), tecniche di response-dropping e altri meccanismi
attivi sono generalmente una tecnica effettiva per nascondere il
proprio indirizzo IP.
Gli host decoy vanno separati con una virgola; è inoltre possibile
usare il parametro ME come uno dei decoy per rappresentare la
posizione del proprio indirizzo IP. Se si pone il parametro ME
nella sesta posizione o ancora oltre, alcuni sensori di port scan
(come l'eccellente "Scanlogd" di Solar Designer) difficilmente
mostreranno il vostro indirizzo IP. Se non si dovesse usare il
parametro ME, Nmap metterà il vostro IP in una posizione a caso. Si
può anche utilizzare RND per generare un numero casuale di
indirizzi IP non riservati, oppure RND:number per generare number
indirizzi.
Si noti che gli host che vengono usati come decoy dovrebbero essere
attivi o si corre il rischio di creare un "SYN flood" verso il
proprio obiettivo. Inoltre diventerebbe molto facile capire quale
host è la causa della scansione, se solo uno è attivo in una rete.
È consigliabile usare indirizzi IP al posto di nomi, per evitare
che la rete dei decoy individui i propri tentativi di risoluzione
dei nomi nei log dei propri DNS.
I decoy vengono usati sia nel "ping scan" iniziale
(indipendentemente dal fatto che si usi ICMP, SYN, ACK, ecc.) sia
durante la fase di port scanning effettiva. Infine i decoy vengono
usati durante l'OS detection remoto (opzione -O). L'utilizzo dei
decoy non è valido con scansioni di tipo version detection o
scansioni di tipo TCP connect. Quando si hanno degli scan delay, il
ritardo viene applicato ad ogni blocco di probe, non ad ogni
singolo probe. Dato che i decoy vengono inviati tutti in una volta,
potrebbero temporaneamente violare i limiti di controllo sulla
congestione.
Inutile bisogna ricordare che l'uso di troppi decoy può rallentare
la propria scansione e potenzialmente renderla meno accurata.
Inoltre, alcuni ISP ("Internet Service Providers") potrebbero
filtrare i pacchetti "spoofed" (falsificati), anche se molti non
operano alcun tipo di azione su questi ultimi.
-S <IP_Address> (Spoof source address)
In talune circostanze Nmap potrebbe non essere in grado di
determinare il proprio indirizzo sorgente (in questi casi Nmap
avvertirà della problematica). Se così fosse si può usare l'opzione
-S seguita dall'indirizzo IP dell'interfaccia che si vuole usare
per inviare pacchetti.
Un altro possibile uso di quest'opzione potrebbe essere per
falsificare (spoof) la scansione per far credere al bersaglio che
qualcun altro li sta prendendo di mira e sta effettuando una
scansione su di loro. Si immagini solo cosa potrebbe succedere se
un'azienda si accorgesse di essere preda di port scan da parte dei
propri concorrenti! L'opzione -e è in genere richiesta per questo
particolare utilizzo, e si consiglia anche di usare -Pn. Da notare
che così facendo solitamente non si ricevono i pacchetti di
risposta, saranno infatti inviati all'indirizzo IP fasullo; Nmap di
conseguenza produrrà dei report inutili.
-e <interface> (Use specified interface)
Indica a Nmap quale interfaccia di rete usare per inviare e
ricevere pacchetti. Nmap dovrebbe essere in grado di capire
autonomamente quale usare, ma nel caso non sia possibile vi
avvertirà.
--source-port <portnumber>; -g <portnumber> (Spoof source port number)
Un errore di configurazione sorprendentemente comune è quello di
fidarsi del traffico di rete basandosi solo sulla porta di origine.
È facile capire come può succedere: un amministratore configura un
firewall nuovo fiammante per poi ritrovarsi sommerso dalle
lamentele degli utenti ingrati le cui applicazioni hanno smesso di
funzionare. Ad esempio le query DNS possono non funzionare più
perché le risposte (sotto forma di pacchetti UDP) provenienti da
server esterni non possono più entrare nella rete. Anche l'FTP è un
esempio piuttosto comune: nei trasferimenti di dati attivi (opposti
a quelli di tipo "passive FTP") il server remoto cerca di stabilire
una connessione diretta con il client per trasferire i file
richiesti.
Esistono soluzioni sicure a questi problemi, spesso nella forma di
proxy a livello di applicazione o moduli del firewall che fanno
parsing del protocollo. Sfortunatamente ci sono anche soluzioni
facili ma insicure. Ad esempio, notando che le risposte alle query
DNS arrivano dalla porta 53 e i transfer FTP "active" provengono
dalla porta 20, tanti amministratori fanno l'errore di lasciar
passare il traffico proveniente da queste porte. Essi spesso danno
per scontato che nessun attaccante potrebbe accorgersi di questi
buchi di sicurezza e approfittarne. In altri casi un amministratore
può considerare questa soluzione una misura temporanea fino a
quando non implementerà una soluzione migliore e più sicura e poi
si dimentica di farlo.
Gli amministratori di rete con troppe cose da fare non sono gli
unici a commettere questi errori. Molti prodotti sono venduti con
queste regole insicure; anche Microsoft è colpevole. I filtri
IPSec, parte di Windows 2000 e Windows XP, contengono una regola
implicita che permette il passaggio di tutto il traffico
proveniente dalla porta 88 (Kerberos). Un altro caso ben conosciuto
è quello di Zone Alarm Personal Firewall (fino alla versione
2.1.25): esso permetteva l'ingresso nel sistema a qualsiasi
pacchetto UDP che avesse come porta di origine la 53 (DNS) o 67
(DHCP).
Nmap offre le opzioni (equivalenti) -g e --source-port per
sfruttare queste debolezze. Basta fornire un numero di porta e Nmap
manderà pacchetti da questa porta quando possibile. La maggior
parte delle scansioni TCP, incluse le scansioni SYN e UDP,
supportano quest'opzione. Tuttavia Nmap deve usare numeri di porta
diversi per alcuni test di OS detection perché essi funzionino a
dovere; anche le richieste DNS, i TCP connect scan, i version
detection e gli script scanning ignorano l'opzione --source-port
poiché Nmap si appoggia alle librerie di sistema per gestirle.
--data <hex string> (Append custom binary data to sent packets)
Quest'opzione permette di includere valori binari come dati nei
pacchetti da inviare. hex string può avere uno dei seguenti
formati: 0xAABBCCDDEEFF<...>, AABBCCDDEEFF<...> o
\xAA\xBB\xCC\xDD\xEE\xFF<...>. Alcuni esempi sono --data 0xdeadbeef
e --data \xCA\xFE\x09. Da notare che se si indica un valore come
0x00ff nessuna conversione dell'ordine dei byte viene effettuata.
Fare in modo che l'informazione indicata arrivi al destinatario con
l'ordine dei byte che si aspetta.
--data-string <string> (Append custom string to sent packets)
Quest'opzione permette di inviare una stringa come dati nei
pacchetti da inviare. string può contenere qualsiasi stringa. Si
noti comunque che alcuni caratteri dipendono dal sistema in uso e
il ricevente potrebbe non ricevere la stessa informazione. Inoltre
accertarsi di aver racchiuso la string tra apici doppi ("") e di
marcare con il carattere di escape tutti i caratteri speciali
interpretati dalla shell. Alcuni esempi: --data-string "Scan
conducted by Security Ops, extension 7192" oppure --data-string
"Ph34r my l33t skills". Tenere a mente che nessuno può
effettivamente vedere i commenti lasciati da quest'opzione, a meno
che non si stia monitorando attentamente la rete con uno sniffer o
delle regole IDS personalizzate.
--data-length <number> (Append random data to sent packets)
In genere Nmap invia pacchetti nella dimensione più piccola
possibile, contenenti soltanto l'header. Quindi i pacchetti TCP
sono in genere di 40 byte e le richieste ICMP echo di 28 byte.
Alcuni porte UDP e protocolli IP danno un carico dati
personalizzato di default. Quest'opzione indica a Nmap di
aggiungere un certo numero di byte casuali a quasi tutti i
pacchetti che invia e di non usare i valori specifici del
protocollo (Usare --data-length 0 per nessun valore random e nessun
valore specifico del protocollo). I pacchetti di OS detection (-O)
tuttavia non vengono modificati, perché la precisione in essi
richiede una certa consistenza nell'invio dei probe; in ogni modo
quasi tutte le opzioni di ping e portscan supportano questa
modalità. Essa rallenta leggermente le performance ma ne può
risultare una scansione più accurata.
--ttl <value> (Set IP time-to-live field)
Imposta il campo time-to-live (tempo di vita del pacchetto IPv4) al
valore richiesto.
--randomize-hosts (Randomize target host order)
Quest'opzione indica a Nmap di rimescolare l'ordine di scansione di
ogni gruppo di host (fino a 16384) prima di iniziare la scansione.
Questo può nascondere le scansioni a vari sistemi di network
monitoring, specialmente quando è affiancato a opzioni di
rallentamento ("slow timing"). Se si desidera un random su gruppi
di dimensione maggiore, è necessario incrementare la direttiva
PING_GROUP_SZ in nmap.h e ricompilare l'applicativo. Una soluzione
alternativa potrebbe essere quella di generare una lista degli IP
sui quali effettuare lo scan mediante un list scan (opzione -sL -n
-oN filename), randomizzarla con uno script Perl e passare la lista
a Nmap con l'opzione -iL.
--spoof-mac <MAC address, prefix, or vendor name> (Spoof MAC address)
Richiede ad Nmap di usare l'indirizzo hardware (MAC) per tutti i
frame ethernet raw che invia. Quest'opzione implica --send-eth per
garantire che Nmap invii di fatto pacchetti a livello ethernet. Il
MAC può essere specificato in vari formati: nel caso in cui sia
semplicemente il numero "0", Nmap sceglie un MAC completamente
random per la sessione. Se la stringa è un numero pari di simboli
esadecimali (con le coppie separate eventualmente dal simbolo di
due punti), Nmap userà questo come MAC. Se dovessero essere
specificate meno di 12 cifre decimali, Nmap riempirà il resto dei 6
byte con valori casuali. Se l'argomento non è ne uno zero ne una
stringa esadecimale, Nmap cercherà nel file nmap-mac-prefixes per
cercare il nome di un produttore contenente la stringa indicata
(senza distinguere tra maiuscole e minuscole). Se trova una
corrispondenza, Nmap userà la parte OUI del produttore (il prefisso
di 3 byte) e riempirà i restanti 6 byte in maniera casuale. Esempi
validi dell'uso di --spoof-mac sono Apple, 0, 01:02:03:04:05:06,
deadbeefcafe, 0020F2, e Cisco. Quest'opzione ha effetto solo sui
pacchetti raw, come nei SYN scan o negli OS detection, non sulle
feature "connection-oriented", come i version detection o l'NSE.
--proxies <Comma-separated list of proxy URLs> (Relay TCP connections
through a chain of proxies)
Richiede ad Nmap ti stabilire connessioni TCP con l'obiettivo
attraverso una catena di uno o più proxy HTTP o SOCKS4. I proxy
possono aiutare a nascondere il sorgente reale di una scansione o
evadere certe restrizioni dei firewall, ma fanno calare la
performance della scansione aumentando la latenza. Si potrebbe, di
conseguenza, dover modificare i timeout di Nmap o altri parametri
di scansione; in particolar modo, un --max-parallelism più basso
potrebbe aiutare dato che alcuni proxy non gestiscono diverse
connessioni contemporanee, come invece fa Nmap di default.
Quest'opzione riceve una lista di proxy come argomento, espressa
come URL nel formato proto://host:port. Utilizzare la virgola come
separatore di URL in una catena. È anche supportata la non
autenticazione. I protocolli sono HTTP e SOCKS4.
Attenzione: questa feature è ancora in fase di sviluppo ed ha
alcune limitazioni. È implementata con la libreria nsock e quindi
non ha effetto sui ping, i port scanning e la fase di OS detection
di una scansione. Solo l'NSE e i version scan ne traggono beneficio
finora, altre funzionalità potrebbero rivelare il proprio vero
indirizzo. Le connessioni SSL non sono ancora supportate, così come
la risoluzione DNS proxy-side (gli hostname vengono sempre risolti
da Nmap).
--badsum (Send packets with bogus TCP/UDP checksums)
Richiede ad Nmap di usare un checksum TCP o UDP non valido per i
pacchetti inviati alla macchina di destinazione. Poiché
teoricamente tutti gli stack IP degli host finiranno per ignorare
questi pacchetti, qualunque risposta ricevuta dovrà per forza
provenire da un firewall o da un Intrusion Detection System (IDS)
che non si preoccupa di verificare il checksum. Per maggiori
informazioni su questa tecnica, si consulti
https://nmap.org/p60-12.txt.
--adler32 (Use deprecated Adler32 instead of CRC32C for SCTP checksums)
Richiede ad Nmap di usare l'algoritmo deprecato Adler32 per
calcolare il checksum SCTP. se --adler32 non viene impostato, viene
usato CRC-32C (Castagnoli). L'RFC 2960[20] originariamente
definisce Adler32 come l'algoritmo di checksum per SCTP; L' RFC
4960[5] successivamente ha ridefinito il checksum SCTP specificando
l'uso di CRC-32C. Le implementazioni attuali SCTP dovrebbero
utilizzare CRC-32C, ma allo scopo di suscitare risposta dalle più
datate, è preferibile usare Adler32.
OUTPUT
Qualunque tool di sicurezza è utile quanto l'output che esso stesso
genera. Test e algoritmi complessi sono di scarsa importanza se non
presentati in modo comprensibile e ben organizzato. Dato il grande
numero di modi in cui Nmap viene usato dagli utenti e da altro
software, un singolo formato non potrebbe soddisfare tutti. Per questo
motivo Nmap offre molti formati, inclusa la modalità interattiva per la
lettura diretta degli utenti, e il formato XML per rendere l'output
facilmente interpretabile dal software.
Inoltre per offrire differenti formati di output, Nmap fornisce opzioni
per il controllo della verbosità dell'output, come anche dei messaggi
di debugging. I tipi di output possono essere mandati allo standard
output o a files, ai quali Nmap può accodare o sovrascrivere il
contenuto. I files di output possono anche essere usati per
ripristinare scansioni precedentemente annullate.
Nmap rende l'output disponibile in cinque formati differenti. Il
formato predefinito è chiamato interactive output, e viene mandato allo
standard output (stdout). Poi si ha il normal output, simile
all'interactive ad eccezione del fatto che mostra meno informazioni di
runtime e warnings, dal momento che si suppone che dovrà essere
analizzato dopo il completamento della scansione, piuttosto che
interattivamente.
L'XML output è uno dei tipi di output più importanti, dal momento che
può essere convertito in HTML, interpretato con facilità dai programmi
(come ad esempio le interfacce grafiche di Nmap) o importato in un
database.
I rimanenti due tipi di output sono il semplice grepable output, che
include la maggior parte delle informazioni su un obiettivo in una
linea singola, e lo sCRiPt KiDDi3 0utPUt per gli utenti che si
considerano |<-r4d.
Mentre l'output interattivo è quello predefinito e non ha opzioni da
linea di comando associate, gli altri quattro formati usano una
sintassi comune. Ricevono un argomento, il nome del file nel quale i
risultati dovranno essere scritti. Possono essere specificati formati
multipli, ma ogni formato può essere specificato solo una volta. Per
esempio si potrebbe voler salvare il normal output per le proprie
revisioni e nel mentre salvare l'XML per l'analisi programmatica. Ciò
si potrebbe realizzare con le opzioni -oX myscan.xml -oN myscan.nmap.
Questo capitolo usa per brevità dei nomi semplici come myscan.xml, ma
sono generalmente consigliati nomi più descrittivi. I nomi scelti sono
un problema di preferenza personale, anche se è solito usarne di lunghi
che incorporano la data della scansione e un paio di parole che
descrivano la scansione, messi in una directory chiamata come l'azienda
che si sta scansionando.
Mentre queste opzioni salvano i risultati su files, Nmap mostra anche
l'output interattivo in standard output come sempre. Per esempio, il
comando nmap -oX myscan.xml target stampa XML dentro myscan.xml e
scrive in standard output gli stessi risultati interattivi che avrebbe
stampato se -oX non fosse stata specificata. Si può cambiare questo
comportamento passando un trattino ("-") come argomento di un tipo di
formato. Questo fa si che Nmap disattivi l'output interattivo e stampi
il risultato nel formato che specificato nello stream dello standard
output. Così il comando nmap -oX - target manderà in stdout soltanto
l'output XML. Gli errori gravi possono comunque essere mostrati sullo
stream di standard error (stderr).
A differenza di alcuni argomenti di Nmap, lo spazio tra l'opzione di
log (ad esempio -oX) e il nome del file o il trattino, è obbligatorio.
Se si omettono le opzioni e si danno argomenti come -oG- o -oXscan.xml,
una feature di retro-compatibilità causerà la creazione di file di
output in normal format chiamati rispettivamente G- e Xscan.xml.
Tutti questi argomenti supportano le conversioni di tipo strftime nel
nome del file. %H, %M, %S, %m, %d, %y e %Y sono gli stessi parametri
che si trovano in strftime. %T è l'equivalente di %H%M%S, %R è
l'equivalente di %H%M e %D è l'equivalente di %m%d%y. Un % seguito da
qualsiasi altro carattere da precedenza a quel carattere (%% mostra il
simbolo percentuale). Quindi -oX 'scan-%T-%D.xml' lavorerà su di un
file XML con un nome del tipo scan-144840-121307.xml.
Nmap offre inoltre l'opzione di controllo della verbosità e la
possibilità di accodare ai file invece di sovrascriverli. Tutte queste
opzioni sono descritte di seguito.
I Formati di Output di Nmap
-oN <filespec> (normal output)
Richiede che il normal output venga rediretto al file specificato.
Come sopra, quest'output diverge leggermente da interactive output.
-oX <filespec> (XML output)
Richiede che l'output XML sia rediretto al file specificato. Nmap
contiene un document type definition (DTD) che permette agli
interpreti XML di validare l'output XML di Nmap. Sebbene serva
principalmente per l'uso programmatico, può essere d'aiuto anche
agli utenti. Il DTD definisce gli elementi convenzionali del
formato, e spesso enumera gli attributi e i valori che possono
assumere. L'ultima versione è sempre disponibile al link
https://svn.nmap.org/nmap/docs/nmap.dtd.
XML offre un formato stabile e facilmente interpretato dal
software. Gli interpreti XML liberi (free) sono disponibili per la
maggior parte dei linguaggi di programmazione, compresi C/C++,
Perl, Python e Java. Qualcuno ha anche scritto dei bindings per
gran parte di questi linguaggi per trattare in maniera specifica
l'output e l'esecuzione di Nmap. Ne sono esempio: Nmap::Scanner[21]
e Nmap::Parser[22] nel Perl CPAN. In quasi tutti i casi il formato
preferito per interpretare i risultati di Nmap è stato XML.
L'output XML fa riferimento ad uno stylesheet XSL che può essere
usato per formattare il risultato in HTML. La maniera più facile di
usarlo è semplicemente aprire il file XML in un web browser, come
Firefox o IE. Di norma questa procedura dovrebbe funzionare solo
sulla macchina su cui si esegue Nmap (o su una configurata in
maniera simile) dato che il percorso a nmap.xsl è quello scritto
nel codice di Nmap. Si vedano le opzioni --webxml o --stylesheet
per creare un file XML portabile che renderizza come HTML in ogni
macchina connessa al web.
-oS <filespec> (ScRipT KIdd|3 oUTpuT)
Lo script kiddie output è come l'interactive output, ad eccezione
del post-processing che meglio adatta l'output ai l33t HaXXorZ che
prima guardavano dall'alto in basso Nmap per la sua troppo corretta
ortografia e per l'uso proprio delle maiuscole. Per le persone poco
inclini allo humor, si noti che questa opzione prende in giro gli
script kiddies, quindi non si critichi per un presunto "averli
aiutati".
-oG <filespec> (grepable output)
Questo formato di output viene descritto per ultimo perché il suo
uso è deprecato. L'output XML è di gran lunga più potente ed in
pratica ugualmente utile per gli utenti esperti. XML è uno standard
per le dozzine di eccellenti parsers che sono disponibili, mentre
il grepable output è un semplice hack. XML è estensibile al
supporto di nuove features di Nmap man mano che queste vengono
rilasciate, mentre spesso vengono omesse queste nuove feature per
il formato grepable per mancanza di spazio dove aggiungerle.
Ad ogni modo, il grepable output è ancora discretamente usato. È un
formato semplice che lista ogni host su una riga e può essere
facilmente cercato e interpretato dai tool standard di UNIX, come
grep, awk, cut, sed, diff e Perl. Viene utilizzato per test
semplici da riga di comando: trovare tutti gli host che hanno la
porta SSH aperta o che montano Solaris, è questione di un semplice
grep per identificare gli host e un pipe verso awk o cut per
visualizzare i campi desiderati.
Il grepable output contiene commenti (le righe che iniziano con il
cancelletto (#)) e righe target. Una riga target include una
combinazione di 6 campi etichettati, separati da tabulazioni e
terminati da un due punti (:). I campi sono Host, Ports, Protocols,
Ignored State, OS, Seq Index, IP ID e Status.
Il più importante tra questi campi è generalmente il campo Ports,
che da dettagli su ogni porta interessante. È una lista di "port
entries" separate da una virgola. Ogni "port entry" rappresenta una
porta interessante e prende la forma di sette sotto-campi separati
da uno slash (/). Questi sotto-campi sono: Port number, State,
Protocol, Owner, Service, SunRPC info e Version info.
Così come nell'output XML, questa pagina di manuale non permette di
documentare l'intero formato. È disponibile una descrizione più
dettagliata del formato grepable output nella sezione «Grepable
Output (-oG)[23]».
-oA <basename> (Output to all formats)
In caso di bisogno, si potrebbe specificare -oA basename per
salvare i risultati dello scan nei formati normal, XML e grepable
in una sola volta. Questi vengono salvati rispettivamente nei file
basename.nmap, basename.xml e basename.gnmap. Come la maggior parte
dei programmi, si può aggiungere un prefisso ai nomi dei file, come
ad esempio un percorso ad una directory, ~/nmaplogs/foocorp/ su
UNIX o c:\hacking\sco su Windows.
Verbosità e opzioni di debugging
-v (Increase verbosity level), -v<level> (Set verbosity level)
Aumenta il livello di verbosità, facendo in modo che Nmap stampi
più informazioni riguardo lo scan in esecuzione. Le porte aperte
sono mostrate man mano che Nmap le trova e il tempo rimanente
stimato viene mostrato se Nmap ritiene che lo scan possa durare più
di qualche minuto. Si può mettere l'opzione due o più volte per
aumentare ulteriormente il livello di verbosità.
La maggior parte dei cambiamenti riguarda l'interactive output, e
alcune cose anche il normal e lo script kiddie output. Gli altri
tipi di output sono fatti per essere processati dalle macchine,
quindi Nmap può dare un grosso livello di dettaglio di default,
senza il problema di poter affaticare un utente umano. In ogni caso
ci sono delle leggere differenze negli altri modi dove la
dimensione dell'output può essere sostanzialmente ridotta omettendo
alcuni dettagli. Per esempio solo in modalità verbosa viene
stampata una linea di commento nel grepable output che fornisce una
lista di tutte le porte scansionate, questo perché potrebbe essere
abbastanza lunga.
-d (Increase debugging level), -d<level> (Set debugging level)
Quando anche il verbose mode non fornisce dati a sufficienza, è
disponibile la modalità debugging, che sommergerà l'utente di
informazioni! Così come succede per l'opzione verbosity (-v), il
debugging viene attivato da un'opzione di riga di comando (-d) e il
livello di debug può essere aumentato ripetendo l'opzione diverse
volte, ad esempio -dd, o si può settare il debug level dando come
argomento di -d un numero. Ad esempio, -d9 setta il livello a nove.
Questo è il livello più alto e produrrà migliaia di linee a meno
che non si stia facendo uno scan molto semplice con pochi target e
poche porte.
L'output di debugging è utile quando si sospetta un bug in Nmap,
oppure se si rimane confusi su cosa stia facendo Nmap e perché.
Siccome questa feature è stata pensata principalmente per gli
sviluppatori, le linee di debug non sono granché autoesplicative.
Si potrebbe incontrare qualcosa tipo: Timeout vals: srtt: -1
rttvar: -1 to: 1000000 delta 14987 ==> srtt: 14987 rttvar: 14987
to: 100000. Se non si capisce una linea, quello che si può fare è
ignorarla, guardarla nel codice sorgente, o richiedere aiuto alla
lista di sviluppo (nmap-dev). Alcune linee si spiegano bene da sé,
ma i messaggi divengono sempre più oscuri man mano che il livello
di debugging sale.
--reason (Host and port state reasons)
Mostra il motivo per cui ad ogni singola porta è stato assegnato
quello stato e la ragione per cui ogni host è attivo o meno.
Quest'opzione mostra il tipo di pacchetto che ha determinato lo
stato di una porta o di un host. Per esempio, un pacchetto RST da
una porta chiusa o un echo reply da un host attivo. L'informazione
che Nmap restituisce dipende dal tipo di scansione o di ping. Il
SYN scan e il SYN ping (-sS e -PS) sono molto dettagliati, mentre
il TCP connect scan (-sT) è limitato all'implementazione della
chiamata di sistema connect. Questa feature è automaticamente
abilitata dall'opzione di debug (-d) e i suoi risultati vengono
salvati in file log in formato XML anche se quest'opzione non viene
specificata.
--stats-every <time> (Print periodic timing stats)
Periodicamente stampa un messaggio di timing status ogni intervallo
di time. Il tempo è una specifica del tipo descritto nella sezione
«Timing and Performance[24]» di questo manuale; quindi per esempio,
si utilizzerà --stats-every 10s per avere un aggiornamento dello
stato ogni 10 secondi. Gli aggiornamenti vengono stampati
sull'interactive output (a schermo) e sull'XML output.
--packet-trace (Trace packets and data sent and received)
Fa in modo che Nmap stampi un riassunto di ogni pacchetto mandato o
ricevuto. Viene usata spesso per il debugging, ma è anche un modo
valido per gli utenti novizi per capire esattamente cosa sta
facendo Nmap dietro le quinte. Per evitare che stampi migliaia di
linee, si dovrebbe specificare una lista limitata di porte da
controllare, come -p20-30. Se importa soltanto vedere come procede
il version detection si può usare --version-trace. Se invece si è
solo interessati allo script tracing, indicare --script-trace. Con
--packet-trace, si avranno tutti quelli sopra.
--open (Show only open (or possibly open) ports)
Può succedere di essere interessati solamente alle porte cui ci si
può connettere al momento (le open) e non si vuole mischiare i
risultati con quelle closed, closed o closed|filtered. Si potrebbe
personalizzare l'output dopo la scansione utilizzando tool come
grep, awk e Perl, ma è stata aggiunta quest'opzione a causa di
richieste travolgenti. Indicare --open per vedere solamente gli
host con almeno una porta open, open|filtered o unfiltered, e
vedere solamente le porte con questi stati. Questi tre stati
vengono trattati normalmente, il che significa che open|filtered e
unfiltered potrebbero essere raggruppate se ce ne dovessero essere
troppe.
--iflist (List interfaces and routes)
Stampa la lista delle interfacce e degli instradamenti di sistema
rilevati da Nmap. Questo è utile per risolvere i problemi di
routing o cattive caratterizzazioni delle interfacce (ad esempio
quando Nmap scambia una connessione PPP per ethernet).
Altre opzioni di output
--append-output (Append to rather than clobber output files)
Quando si specifica un nome di file mediante un parametro di output
come -oX o -oN, questo file viene sovrascritto di default. Se si
preferisce mantenere il contenuto del file e aggiungerci i nuovi
risultati, si deve usare l'opzione --append-output. Tutti i file di
output specificati in quell'istanza di Nmap verranno usati in
append mode anziché essere sovrascritti. Quest'opzione non è di
grande aiuto (e non funziona molto bene) nel caso di output in
formato XML (-oX), poiché il parsing del file risultante non sarà
corretto fino a quando non si controllerà il file manualmente.
--resume <filename> (Resume aborted scan)
Alcune esecuzioni di Nmap possono richiedere molto tempo -
dell'ordine di giorni. Tali scansioni non arrivano sempre alla
fine; alcune restrizioni possono impedire a Nmap di funzionare
durante le ore del giorno, la rete può diventare irraggiungibile,
la macchina sulla quale Nmap sta girando può subire un riavvio
pianificato o improvviso o Nmap stesso può andare in crash.
L'amministratore che sta usando Nmap può interromperlo per
qualsiasi ragione, premendo ctrl-C. Ricominciare l'intera scansione
dall'inizio può diventare fastidioso. Fortunatamente se sono
rimasti i log in formato "normal" (-oN) o "grepable" (-oG),
l'utente può richiedere a Nmap di ricominciare la scansione
dall'host sul quale stava lavorando quando l'esecuzione è stata
interrotta. Semplicemente basta specificare l'opzione --resume e
passargli il file di output in formato normal/grepable come
argomento. Non è permesso nessun altro argomento, poiché Nmap farà
il parsing del file di output per usare le stesse opzioni
specificate in precedenza. È quindi sufficiente invocare Nmap come
nmap --resume logfilename. Nmap aggiungerà i nuovi risultati ai
file specificati nell'esecuzione precedente. La ripresa di
un'esecuzione non supporta il formato di output XML poiché sarebbe
troppo difficile combinare le due esecuzioni in un unico file XML
valido.
--stylesheet <path or URL> (Set XSL stylesheet to transform XML output)
Nmap viene fornito con un foglio di stile XSL chiamato nmap.xsl per
vedere o tradurre l'output XML in HTML. L'output XML include una
direttiva xml-stylesheet che punta al file nmap.xml dove è stato
installato Nmap la prima volta. Processare il file XML con un XSLT
processor come xsltproc[25] per produrre un file HTML. Aprire
direttamente l'output XML in un browser non funziona più tanto bene
in quanto i browser recenti limitano le location da cui può essere
caricato un foglio di stile. Se si volesse usare un foglio di stile
diverso, va specificato mediante l'opzione --stylesheet. Il file va
indicato con il percorso completo o l'URL. Un esempio di
invocazione con quest'opzione è --stylesheet
https://nmap.org/svn/docs/nmap.xsl. Questo indica ad un XSLT
processor di caricare l'ultima versione del foglio di stile da
Nmap.Org. L'opzione --webxml fa la stessa cosa ma richiede meno
digitazioni e meno cose da ricordare. Caricando l'XSL da Nmap.Org
rende più semplice visualizzare i risultati su una macchina che non
ha Nmap (e quindi il file nmap.xsl) installato. Quindi l'URL è
spesso una scelta migliore, ma di default viene usato il file dal
filesystem locale per ragioni di privacy.
--webxml (Load stylesheet from Nmap.Org)
Quest'opzione è semplicemente una comodità per l'opzione
--stylesheet https://nmap.org/svn/docs/nmap.xsl.
--no-stylesheet (Omit XSL stylesheet declaration from XML)
Quest'opzione va specificata quando non si vuole che Nmap associ un
qualsiasi foglio di stile XSL al proprio output XML. La direttiva
xml-stylesheet viene omessa.
OPZIONI MISCELLANEE
Questa sezione descrive alcune opzioni importanti (e altre non così
importanti) che non hanno trovato posto in altre sezioni.
-6 (Enable IPv6 scanning)
Nmap offre supporto IPv6 per le sue funzioni più comuni. Le
funzioni ping scanning, port scanning, rivelazione di versione e
l'NSE supportano tutti IPv6. La sintassi dei comandi è la stessa di
sempre, ad eccezione dell'aggiunta dell'opzione -6. Ovviamente si
dovrà utilizzare la sintassi IPv6 se si vuole specificare un
indirizzo anziché un hostname. Un indirizzo sarà qualcosa del tipo
3ffe:7501:4819:2000:210:f3ff:fe03:14d0, ne consegue che è
raccomandato l'uso degli hostname. L'output ha il solito aspetto,
l'unica differenza è l'indirizzo IPv6 sulla linea delle
"interesting ports".
Mentre IPv6 non ha esattamente preso il sopravvento nel mondo,
trova un uso più significativo in alcuni Paesi (tipicamente
Asiatici) e supporto nella maggior parte dei moderni sistemi
operativi. Per usare Nmap con l'IPv6, sia l'obiettivo che la
sorgente dello scan devono essere configurate per IPv6. Se il
proprio l'ISP (come la maggior parte) non alloca indirizzi IPv6,
c'è una vasta disponibilità di tunnel broker gratuiti e funzionano
bene con Nmap. Uno dei migliori è fornito da
http://www.tunnelbroker.net/. Altri tunnel broker si possono
trovare su Wikipedia[26]. Un altro approccio free comune sono i
tunnel 6to4.
Su Windows, gli scan IPv6 raw-socket sono supportati solo su
dispositivi ethernet (non tunnel) e solo da Windows Vista in poi.
Utilizzare l'opzione --unprivileged nelle altre situazioni.
-A (Aggressive scan options)
Quest'opzione abilita altre opzioni addizionali avanzate ed
aggressive. Al momento questa opzione attiva l'OS detection (-O),
il version scanning (-sV), lo script scanning (-sC) e il traceroute
(--traceroute). Ulteriori caratteristiche verranno aggiunte in
futuro. Il punto è attivare un completo set di opzioni di scan
senza che ci sia il bisogno di ricordarsi una lunga serie di flag.
In ogni modo, dato che lo script scanning con il set di default è
considerato intrusivo, si dovrebbe utilizzare -A contro le reti
senza averne avuto autorizzazione. Quest'opzione attiva solo delle
modalità di funzionamento, ma non le opzioni di timing (come -T4),
né quelle di verbosity (-v) che si potrebbero comunque volere. Le
opzione che richiedono privilegi speciali (ad esempio i permessi di
root), come l'OS detection e il traceroute, saranno abilitate solo
se si questi permessi sono attivi.
--datadir <nomedirectory>(Specify custom Nmap data file location)
Nmap ottiene alcuni dati speciali in runtime dai files chiamati
nmap-service-probes, nmap-services, nmap-protocols, nmap-rpc,
nmap-mac-prefixes ed nmap-os-fingerprints. Se la location di uno
questi file viene specificata(usando l'opzione --servicedb o
l'opzione --versiondbNmap), questa location viene utilizzata per
tutti quanti. Altrimenti, Nmap cerca i file nella directory
specificata con l'opzione --datadir (qualora specificata).
Qualunque file non trovato in questa locazione, verrà cercato nella
directory specificata nella variabile d'ambiente NMAPDIR. Segue poi
~/.nmap per le vere e proprie UID (valido solo per i sistemi POSIX)
o, su Windows, <HOME>\AppData\Roaming\nmap (dove <HOME> è la home
directory dell'utente, tipo C:\Users\user). Seguono poi la
directory dell'eseguibile di Nmap e le sue subdirectory
../usr/share/nmap. Infine vengono utilizzate le locazioni
precompilate come /usr/local/share/nmap o /usr/share/nmap.
--servicedb <services file> (Specify custom services file)
Chiede ad Nmap di utilizzare specifici file "services" invece che
il file nmap-services che viene fornito con Nmap. Inoltre
quest'opzione attiva l'opzione -F che esegue una scansione veloce.
Vedere la descrizione di --datadir per avere più informazioni sui
data files di Nmap.
--versiondb <service probes file> (Specify custom service probes file)
Chiede ad Nmap di utilizzare specifici file "service probes" invece
che il file nmap-service-probes che viene fornito con Nmap. Vedere
la descrizione di --datadir per avere più informazioni sui data
files di Nmap.
--send-eth (Use raw ethernet sending)
Chiede a Nmap di mandare pacchetti al livello ethernet (data link)
piuttosto che al livello più alto IP (network). Di default, Nmap
sceglie quello che è generalmente migliore per la piattaforma in
cui sta venendo eseguito. I raw sockets (livello IP) solitamente
sono i più efficienti per le macchine UNIX, mentre invece sono
richieste trame ethernet per funzionare con Windows dal momento che
Microsoft ha disabilitato il supporto per i raw socket. Nmap usa
invece continua a usare i pacchetti raw sulle UNIX non ostante si
specifichi questa opzione quando non c'è alternativa (ad esempio se
si ha una connessione non ethernet)
--send-ip (Send at raw IP level)
Chiede a Nmap di mandare pacchetti via raw socket IP, piuttosto che
mandare trame al livello inferiore, ethernet. È l'opzione
complementare di --send-eth discussa precedentemente.
--privileged (Assume that the user is fully privileged)
Dice semplicemente a Nmap di assumere che l'utente abbia privilegi
sufficienti per effettuare trasmissioni sui raw socket, fare packet
sniffing, e operazioni simili che di norma hanno bisogno dei
privilegi di root sui sistemi UNIX. Di default Nmap termina
l'esecuzione se si tentano di usare certe operazioni e geteuid non
è zero. --privileged è utile con delle funzionalità del kernel
Linux e altri sistemi operativi che possono essere configurati per
permettere ad utenti non privilegiati di fare degli scan con i raw
socket. Bisogna assicurarsi di posizionare questa opzione prima di
qualunque flag che invochi funzionalità privilegiate (SYN scan, OS
detection, ecc.). La variabile d'ambiente NMAP_PRIVILEGED può
comunque essere settata e rappresenta un'equivalente alternativa
all'opzione --privileged.
--unprivileged (Assume that the user lacks raw socket privileges)
quest'opzione è l'opposta di --privilegerd. Dice ad Nmap di
trattare l'utente come se non avesse i permessi necessari per i raw
socket e lo sniffing. Può tornare utile in fase di test, debugging
o quando le funzionalità di raw network del sistema operativo hanno
qualche problema. La variabile d'ambiente NMAP_PRIVILEGED può
comunque essere settata e rappresenta un'equivalente alternativa
all'opzione --unprivileged.
--release-memory (Release memory before quitting)
Quest'opzione è utile solo per la risoluzione di problemi di
perdita di memoria (memory-leak debugging). Obbliga infatti ad Nmap
a liberare la memoria allocata appena prima di uscire così da
individuare più facilmente le effettive perdite di memoria. Di
solito Nmap salta questo passaggio come fa il sistema operativo in
ogni caso al momento della chiusura del processo.
-V; --version (Print version number)
Stampa a video il numero di versione di Nmap ed esce.
-h; --help (Print help summary page)
Stampa a video una breve schermata di aiuto con le opzioni più
comuni. Eseguire Nmap senza argomenti fa la stessa cosa.
INTERAZIONE IN RUNTIME
Durante l'esecuzione di Nmap qualsiasi tasto venga premuto viene
registrato. Questo permette di interagire con il programma senza
doverlo interrompere e farlo ripartire. Alcuni tasti speciali possono
cambiare opzioni, mentre altri stampano un messaggio di stato sulla
scansione in corso. La convenzione è che le lettere minuscole aumentano
la quantità di messaggi stampati, mentre le lettere maiuscole la
diminuiscono. È inoltre possibile premere '?' per avere un aiuto.
v / V
Aumenta / diminuisce la quantità di informazioni
d / D
Aumenta / diminuisce il livello di debug
p / P
Attiva / disattiva il tracing dei pacchetti
?
Stampa una schermata di aiuto per le interazioni in tempo reale
Qualsiasi altro tasto
Stampa un messaggio di stato come il seguente:
Stats: 0:00:07 elapsed; 20 hosts completed (1 up), 1 undergoing
Service Scan
Service scan Timing: About 33.33% done; ETC: 20:57 (0:00:12
remaining)
ESEMPI
Ecco alcuni esempi di uso di Nmap, dal più semplice e routinario al più
complesso ed esoterico. Saranno usati alcuni indirizzi IP e hostname
reali per rendere le cose più concrete. Si dovranno solo sostituire nei
posti giusti gli indirizzi e gli hostname della propria rete.
Nonostante molti siano convinti che il port scanning delle reti altrui
non è o non dovrebbe essere illegale, alcuni amministratori di rete
potrebbero non apprezzare uno scanning non richiesto delle loro reti e
potrebbero lamentarsi. Ottenere prima un permesso è l'approccio
migliore.
Per motivi di test, è concesso il permesso di effettuare uno scan verso
scanme.nmap.org. Questo permesso include esclusivamente lo scan
attraverso Nmap e non il test di exploits o attacchi denial of service.
Per preservare al banda, è meglio non attivare più di una dozzina di
scan verso questo host al giorno. Qualora si abusasse di questo
servizio, questo verrà disattivato e Nmap riporterà il seguente errore:
Failed to resolve given hostname/IP: scanme.nmap.org. Questi permessi
si applichino agli host scanme2.nmap.org, scanme3.nmap.org e così via,
finché ne esisteranno.
nmap -v scanme.nmap.org
Questa opzione esegue uno scan su tutte le porte TCP riservate sulla
macchina scanme.nmap.org. L'opzione -v attiva la modalità verbose.
nmap -sS -O scanme.nmap.org/24
Lancia un SYN scan invisibile verso ciascuna macchina che risulta
accesa tra le 256 nell'intera rete di classe C in cui risiede Scanme.
Inoltre tenta di determinare il sistema operativo installato su ogni
host trovato. Questo richiede i privilegi di root a causa della
funzioni SYN scan e OS detection.
nmap -sV -p 22,53,110,143,4564 198.116.0-255.1-127
Lancia una enumerazione di hosts e uno scan TCP alla prima metà di
ognuna delle 255 sottoreti di 8 bit all'interno dello spazio di
indirizzamento della classe B 198.116. Quest'operazione controlla se
tali sistemi stanno eseguendo i servizi SSH, DNS, POP3 o IMAP sulle
loro porte standard, o altro sulla porta 4564. Qualora qualche porta di
queste venga trovata aperta, verrà utilizzato il version detection per
determinare quale applicazione stia effettivamente ascoltando su quella
porta.
nmap -v -iR 100000 -Pn -p 80
Chiede a Nmap di scegliere 100.000 hosts casuali ed effettuare su
questi uno scan per ricercare dei web servers (porta 80).
L'enumerazione degli host è disabilitata con l'opzione -Pn dal momento
che verificare se un host è attivo è uno spreco quando si sta
analizzando soltanto una porta per ogni hosts.
nmap -Pn -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap
216.163.128.20/20
Questo scansiona 4096 indirizzi IP in cerca di webservers (ma senza
effettuare ping) e salva l'output sia in formato XML che in formato
"greppabile".
NMAP BOOK
Dato che questa guida di riferimento mostra nel dettaglio tutte le
opzioni di Nmap, non può dimostrare in maniera completa come utilizzare
queste feature per risolvere velocemente applicazioni reali. È per
questo che è stato pubblicato Nmap Network Scanning: The Official Nmap
Project Guide to Network Discovery and Security Scanning[27]. Gli
argomenti trattati sono sovvertire i firewall e gli IDS, ottimizzare le
performance di Nmap e l'automazione di comuni processi di rete con
l'Nmap Scripting Engine. Vengono forniti suggerimenti ed istruzioni per
operazioni comuni con Nmap come fare un inventario della rete,
penetration testing, trovare rogue access point wireless e
l'annullamento di possibili worm. Esempi e diagrammi mostrano l'attuale
sistema di comunicazione via cavo. Più della metà del libro è
disponibile gratuitamente online. Per maggiori informazioni
https://nmap.org/book.
BUGS
Al pari del suo autore (e di questa traduzione, NdT), Nmap non è
perfetto. Ma puoi fare qualcosa per aiutare a renderlo migliore
mandando delle segnalazioni di bug o addirittura scrivendo delle patch.
Se Nmap non si dovesse comportare come ti aspetteresti, prova prima
l'ultima versione disponibile su https://nmap.org/. Se il problema
persiste effettua qualche ricerca per determinare se il problema è
stato già scoperto e segnalato. Prova a cercare sulla nostra pagina di
ricerca https://insecure.org/search.html o su Google il messaggio di
errore o ancora a sfogliare l'archivio Nmap-dev all'indirizzo
https://seclists.org/. Leggi inoltre tutta questa pagina di manuale. Se
nulla di questo riguarda il tuo caso, manda un bug report a
<dev@nmap.org>. Accertati di includere ogni cosa che sei riuscito a
sapere sul problema, la versione di Nmap che hai installato e su quale
sistema operativo la stai usando. Segnalazioni di problemi ed eventuali
domande sull'uso di Nmap inviate a <dev@nmap.org> hanno più probabilità
di avere risposta di quelle inviate a Fyodor direttamente. Se ti
registri alla lista di nmap-dev prima di inviare il messaggio,
quest'ultimo non verrà moderato e quindi arriverà più velocemente.
Iscriviti su https://nmap.org/mailman/listinfo/dev.
Le patch che risolvono i bug sono molto meglio di una segnalazione. Le
istruzioni di base per creare delle patch sono disponibili su
https://svn.nmap.org/nmap/HACKING. Le patch potranno essere inviate a
nmap-dev (raccomandato) oppure direttamente a Fyodor.
AUTORE
Gordon «Fyodor» Lyon <fyodor@nmap.org> (http://www.insecure.org)
Parte 1/2 e revisione: Lorenzo G. <lorenzo.grespan@gmail.com>
Parte 2/2: Simone Scarduzio <scarduzio@gmail.com>
Aggiornamento e revisione 04/2015: Andrea Pizzarotti
<andrew3686@gmail.com>
Centinaia di persone hanno dato validi contributi a Nmap nel corso
degli anni. Questi sono elencati dettagliatamente nel file di CHANGELOG
che è distribuito assieme a Nmap ed è anche disponibile su
https://nmap.org/changelog.html.
NOTE LEGALI
Copyright e Licenze di Nmap
Nmap Security Scanner è (C) 1996-2015 Insecure.Com LLC. Nmap è inoltre
un marchio registrato di Insecure.Com LLC. Questo programma è free
software, è liberamente redistribuibile e/o modificabile in accordo con
i termini della GNU General Public License come pubblicata dalla Free
Software Foundation; Versione 2 («GPL») MA SOLO CON TUTTE LE
PRECISAZIONI ED ECCEZIONI QUI DESCRITTE. Questo garantisce il diritto
di utilizzare, modificare e redistribuire questo software entro certe
condizioni. Se si desidera incorporare la tecnologia Nmap in software
proprietari, potremmo essere disponibili a vendere licenze alternative
(contattare <sales@insecure.com>). Molti produttori di security scanner
usano già le tecnologie di Nmap come per esempio "host discovery",
"port scanning", "OS detection", "version detection" e l'Nmap Scripting
Engine.
Si noti che la licenza GPL implica importanti vincoli sui «progetti
derivati», sebbene essa non fornisca una precisa definizione di questi.
Allo scopo di evitare malintesi, interpretiamo questo termine nel modo
più ampio che la legge sul copyright permetta. Ad esempio, consideriamo
un'applicazione come progetto derivato inteso ai fini di questa licenza
se presenta una delle seguenti caratteristiche ottenute con software o
contenuti coperti da questa licenza (d'ora in poi definiti «Covered
Software»):
• Integra codice sorgente di «Covered Software»
• Legge o include data file protetti da copyright, quali nmap-os-db o
nmap-service-probes di Nmap.
• È progettato specificatamente per eseguire «Covered Software» e ne
utilizza i risultati (al contrario delle tipiche applicazioni shell
o eseguibili da menù che eseguono qualsiasi cosa venga detto loro).
• Integra/include/aggrega «Covered Software» in un eseguibile di
installazione proprietario, come ad esempio quelli prodotti da
InstallShield. Includere Nmap con altro software in forma compressa
o di archiviazione, non rientra in questi casi, fornire appropriati
software open-source di decompressione o di de-archiviazione è
ampiamente disponibile senza nessun ricarico. Ai fini di questa
licenza, viene considerato programma di installazione ciò che
include «Covered Software», anche se in realtà recupera una copia
di «Covered Software» da un'altra fonte in fase di installazione
(come, ad esempio, scaricandola da Internet).
• È collegato (staticamente o dinamicamente) a una libreria che
presenta una delle caratteristiche sopracitate.
• Esegue un programma di aiuto, un modulo o uno script che presenta
una delle caratteristiche sopracitate.
Questa lista non è esclusiva, ma è concepita per chiarificare la nostra
interpretazione di progetto derivato con alcuni esempi comuni. Altre
persone potrebbero interpretare la licenza GPL in modo diverso, quindi
dobbiamo considerare questo come un'eccezione speciale alla GPL che
applicheremo a «Covered Software». Le opere che soddisfano una
qualsiasi di queste condizioni, devono essere conformi a tutti i
termini di questa licenza, in particolar modo i requisiti della Sezione
3 della licenza GPL di fornire il codice sorgente e permettere la
libera ridistribuzione del lavoro nel suo complesso. Come altra
eccezione ai termini della GPL, Insecure.Com LLC garantisce il permesso
di collegare il codice di questo programma con qualunque versione della
libreria OpenSSL che è distribuita sotto una licenza identica a quella
che si trova nel file docs/licenses/OpenSSL.txt e di redistribuire
combinazioni collegate che includono entrambi.
Ogni redistribuzione di «Covered Software», inclusa ogni eventuale
opera derivata, deve sottostare e portare avanti tutti i termini di
questa licenza, incluso sottostare a tutte le regole e restrizioni
della GPL. Ad esempio, deve essere fornito il codice sorgente di un
intero progetto ed autorizzata la sua libera e gratuita distribuzione.
Tutti i riferimenti alla GPL con «questa Licenza», sono da considerarsi
come inclusioni dei termini e delle condizioni nel testo di questa
stessa licenza.
Dato che questa licenza impone eccezioni speciali alla GPL, "Covered
Work" non è cumulabile (neanche con parte di un più ampio lavoro) con
il semplice software GPL. I termini, le condizioni e le eccezioni di
questa licenza devono altresì essere inclusi. Questa licenza è
incompatibile con qualsiasi altra licenza open-source. In alcuni casi
potremmo porre sotto diversa licenza parti di Nmap o concedere permessi
speciali di utilizzo in altro software open-source. Per qualsiasi
informazioni contattare <fyodor@nmap.org>. Allo stesso modo, non
incorporiamo software incompatibile al principio di open-source in
«Covered Software» senza uno speciale permesso dai titolari del
copyright.
Se avete domande a proposito delle limitazioni imposte all'uso di Nmap
in altri progetti, saremo felici di aiutarvi. Come detto poc'anzi,
offriamo anche licenze alternative per l'integrazione di Nmap in
applicazioni o dispositivi proprietari. Questi contratti sono stati
venduti a molti rivenditori di software e generalmente includono una
licenza di durata illimitata, supporto tecnico prioritario e
aggiornamenti, come anche l'aiuto con la contribuzione allo sviluppo
della tecnologia Nmap. Per ulteriori informazioni contattare
<sales@insecure.com>.
Se si riceve questo file con accordo di licenza scritto, o un contratto
per «Covered Software» che afferma termini diversi da quelli appena
descritti, allora si può scegliere di utilizzare e ridistribuire
«Covered Software» sotto quei termini anziché quelli qui riportati.
Creative Commons License per questa Guida di Nmap
Questa Nmap Reference Guide è protetta da copyright (C) 2005–2012
Insecure.Com LLC. È con ciò coperta dalla versione 3.0 della Creative
Commons Attribution License. Questo permette la ridistribuzione e la
modifica dell'opera come si ritenga opportuno, a patto di far
riferimento alla copia originale. In alternativa, si può scegliere di
trattare questo documento come rientrante sotto la stessa licenza di
Nmap stesso (discussa in precedenza).
Disponibilità del Codice Sorgente e Contribuzioni della Comunità
Il codice sorgente di questo software viene fornito perché crediamo che
gli utenti abbiano il diritto di sapere esattamente cosa questo
programma potrà fare prima di eseguirlo. Questo permette inoltre di
scoprire falle di sicurezza.
Il codice sorgente permette anche di rendere Nmap portabile a nuove
architetture, correggere i bug e aggiungere nuove funzioni. Si è molto
incoraggiati a mandare le proprie modifiche ad <dev@nmap.org> per
possibili inclusioni nella distribuzione principale. Mandando le
modifiche a Fyodor o altri sviluppatori della mailing list di
Insecure.Org, si assume che si sta offrendo all' Nmap Project
(Insecure.Com LLC) il diritto illimitato, non-esclusivo di riutilizzo,
modifica e re-licenziamento del codice. Nmap sarà sempre disponibile
sotto open-source, ma questo è di vitale importanza perché
l'impossibilità di re-licenziare il codice ha causato problemi
devastanti ad altri progetti open-source (come KDE e NASM).
Occasionalmente noi re-licenziamo il codice per terze parti come detto
sopra. Se si vuole specificare una condizione di licenza speciale delle
proprie contribuzioni, è sufficiente dirlo nel momento dell'invio.
Nessuna Garanzia
Questo programma è distribuito nella speranza che possa essere utile,
ma SENZA NESSUNA GARANZIA; senza garanzia di RIVENDIBILITÀ né di
APPLICABILITÀ PER SCOPI PARTICOLARI. Fare riferimento alla GNU General
Public License per ulteriori dettagli, al sito
http://www.gnu.org/licenses/gpl-2.0.html oppure nel file COPYING
incluso nel pacchetto di Nmap.
Si noti anche che Nmap è stato occasionalmente noto per far andare in
crash applicazioni mal scritte, gli stack TCP/IP ed anche alcuni
sistemi operativi. Anche se si tratta di casi estremamente rari, è
importante da tenere a mente. Nmap non dovrebbe mai essere lanciato
contro sistemi "mission critical" a meno che non si sia preparati ad
affrontare un downtime. Confermiamo che Nmap può far andare in crash
alcuni sistemi e reti e disconosciamo ogni responsabilità di danni o
problemi che Nmap possa causare.
Uso Inappropriato
Dato il possibile rischio di crash e che ad alcuni black hats piace
usare Nmap come ricognizione prima di attaccare un sistema, ci sono
amministratori a cui non fa piacere che si eseguano scan sul proprio
sistema e potrebbero lamentarsi. È quindi consigliabile richiedere il
permesso prima di fare anche un leggero scan di una rete.
Nmap non dovrebbe mai essere installato con privilegi speciali (ad
esempio suid root). Questo potrebbe creare problemi di vulnerabilità
che altri utenti del sistema (o attaccanti) potrebbero utilizzare.
Software di Terze Parti
Questo prodotto include software sviluppato da Apache Software
Foundation[28]. Una versione modificata di Libpcap portable packet
capture library[29] è distribuita assieme a Nmap. La versione per
Windows di Nmap utilizza invece un derivato di Libpcap, WinPcap
library[30]. Il supporto per le regular espressions è garantito dalla
libreria PCRE library[31], che è software open-source, scritta da
Philip Hazel. Alcune funzioni di raw networking usano la libreria
Libdnet[32], che è stata scritta da Dug Song. Con Nmap ne è distribuita
una versione modificata. Nmap può opzionalmente collegarsi con
l'OpenSSL cryptography toolkit[33] per supportare il riconoscimento
della versione di SSL. L'Nmap Scripting Engine utilizza una versione
implementata di Lua programming language[34]. La Liblinear linear
classification library[35] viene utilizzata per le nostre tecniche di
apprendimento automatico dell'OS version su IPv6 (vedi la sezione «IPv6
matching[36]»). Tutto il software di terze parti descritto in questo
paragrafo è liberamente ridistribuibile sotto licenza stile BSD.
United States Export Control
Nmap utilizza la crittografia solo quando compilato con il supporto
opzionale ad OpenSSL ed a lui collegato. Quando compilato senza il
supporto ad OpenSSL, Insecure.Com LLC ritiene che Nmap non sia soggetto
ai controlli sull'export U.S. Export Administration Regulations
(EAR)[37]. Come tale, non esiste ECCN (numero di classificazione di
controllo delle esportazioni) applicabile e l'esportazione non richiede
licenze speciali, permessi o altre autorizzazioni governative.
Quando compilato col supporto ad OpenSSL o distribuito come codice
sorgente, Insecure.Com LLC crede che Nmap rientri sotto U.S. ECCN
5D002[38] («Information Security Software»). Distribuiamo Nmap secondo
l'eccezione TSU per il software di crittografia disponibile
pubblicamente definito in EAR 740.13(e)[39].
La presente traduzione ha il solo scopo di aiutare nella comprensione
del testo originale «Nmap Reference Guide», non ne costituisce copia
sostitutiva e nemmeno licenza alternativa di «Covered Software». Per
qualsiasi informazione o chiarimento e per la versione più aggiornata,
fare riferimento al testo originale disponibile al link
https://nmap.org/book/man.html.
NOTE
1. RFC 1122
http://www.rfc-editor.org/rfc/rfc1122.txt
2. RFC 792
http://www.rfc-editor.org/rfc/rfc792.txt
3. RFC 950
http://www.rfc-editor.org/rfc/rfc950.txt
4. UDP
http://www.rfc-editor.org/rfc/rfc768.txt
5. SCTP
http://www.rfc-editor.org/rfc/rfc4960.txt
6. RFC del protocollo TCP
http://www.rfc-editor.org/rfc/rfc793.txt
7. TCP Idle Scan (-sI)
https://nmap.org/book/idlescan.html
8. RFC 959
http://www.rfc-editor.org/rfc/rfc959.txt
9. Well Known Port List:
nmap-services
https://nmap.org/book/nmap-services.html
10. Chapter 7, Service and Application Version Detection
https://nmap.org/book/vscan.html
11. RFC 1323
http://www.rfc-editor.org/rfc/rfc1323.txt
12. Chapter 8, Remote OS Detection
https://nmap.org/book/osdetect.html
13. linguaggio di programmazione Lua
http://lua.org/
14. Script Categories
https://nmap.org/book/nse-usage.html#nse-categories
15. Chapter 9, Nmap Scripting Engine
https://nmap.org/book/nse.html
16. Chapter 14, Understanding and Customizing Nmap Data Files
https://nmap.org/book/data-files.html
17. “Idle
Scan Implementation Algorithms”
https://nmap.org/book/scan-methods.html#port-scanning-algorithms
18. A practical example: bypassing default Snort 2.2.0 rules
https://nmap.org/book/firewalls.html#defeating-ids-snort-portscan
19. adaptive retransmission
https://nmap.org/book/scan-methods.html#scan-methods-adaptive-retransmission
20. RFC 2960
http://www.rfc-editor.org/rfc/rfc2960.txt
21. Nmap::Scanner
http://sourceforge.net/projects/nmap-scanner/
22. Nmap::Parser
http://nmapparser.wordpress.com/
23. Grepable Output (-oG)
https://nmap.org/book/output-formats-grepable-output.html
24. Timing and Performance
https://nmap.org/book/man-performance.html
25. xsltproc
http://xmlsoft.org/XSLT/
26. su Wikipedia
http://en.wikipedia.org/wiki/List_of_IPv6_tunnel_brokers
27. Nmap
Network Scanning: The Official Nmap Project Guide to Network
Discovery
and Security Scanning
https://nmap.org/book/
28. Apache Software Foundation
http://www.apache.org
29. Libpcap portable packet capture library
http://www.tcpdump.org
30. WinPcap library
http://www.winpcap.org
31. PCRE library
http://www.pcre.org
32. Libdnet
http://libdnet.sourceforge.net
33. OpenSSL cryptography toolkit
http://www.openssl.org
34. Lua programming language
http://www.lua.org/
35. Liblinear linear classification library
http://www.csie.ntu.edu.tw/~cjlin/liblinear/
36. IPv6 matching
https://nmap.org/book/osdetect-guess.html#osdetect-guess-ipv6
37. Export Administration Regulations (EAR)
http://www.access.gpo.gov/bis/ear/ear_data.html
38. 5D002
http://www.access.gpo.gov/bis/ear/pdf/ccl5-pt2.pdf
39. EAR 740.13(e)
http://www.access.gpo.gov/bis/ear/pdf/740.pdf
[FIXME: source] 31/08/2022 NMAP(1)
Generated by dwww version 1.15 on Mon Jul 1 05:36:40 CEST 2024.