Nmap jest maperem sieciowym, który stał się jednym z najpopularniejszych, darmowych narzędzi do odkrywania sieci na rynku. Nmap jest obecnie jednym z podstawowych narzędzi używanych przez administratorów sieci do mapowania ich sieci. Program może być używany do znajdowania żywych hostów w sieci, wykonywania skanowania portów, ping sweepów, wykrywania systemów operacyjnych i wykrywania wersji.
Liczba ostatnich cyberataków ponownie skierowała uwagę na rodzaj audytu sieci, jaki zapewnia Nmap. Analitycy zauważyli, że na przykład ostatnie włamanie do Capital One mogło zostać wykryte wcześniej, gdyby administratorzy systemu monitorowali podłączone urządzenia. W tym przewodniku przyjrzymy się, czym jest Nmap, co potrafi i wyjaśnimy, jak korzystać z najczęściej używanych poleceń.
Zdobądź darmową książkę Pen Testing Active Directory Environments EBook
Dokładnie, Nmap powinien być używany jako część zintegrowanej Platformy Bezpieczeństwa Danych. Po użyciu Nmapa do mapowania sieci, platforma taka jak Datadvantage firmy Varonis może być użyta do wdrożenia zaawansowanej kontroli dostępu.
- Jak używać Nmapa
- Nmap Tutorial i przykłady
- Nmap Commands
- Nmap FAQ
Co to jest Nmap?
Swoim rdzeniem jest Nmap – narzędzie do skanowania sieci, które wykorzystuje pakiety IP do identyfikacji wszystkich urządzeń podłączonych do sieci oraz do dostarczania informacji o usługach i systemach operacyjnych, które są uruchomione.
Program jest najczęściej używany poprzez interfejs wiersza poleceń (chociaż dostępne są również interfejsy GUI) i jest dostępny dla wielu różnych systemów operacyjnych, takich jak Linux, Free BSD i Gentoo. Jego popularność została również wzmocniona przez aktywną i entuzjastyczną społeczność wsparcia użytkowników.
Nmap został opracowany dla sieci klasy korporacyjnej i może skanować tysiące podłączonych urządzeń. Jednak w ostatnich latach Nmap jest coraz częściej wykorzystywany przez mniejsze firmy. W szczególności rozwój IoT oznacza, że sieci używane przez te firmy stały się bardziej złożone, a zatem trudniejsze do zabezpieczenia.
To oznacza, że Nmap jest obecnie używany w wielu narzędziach do monitorowania stron internetowych, aby kontrolować ruch pomiędzy serwerami internetowymi a urządzeniami IoT. Niedawne pojawienie się botnetów IoT, takich jak Mirai, również pobudziło zainteresowanie Nmapem, nie tylko ze względu na jego zdolność do przesłuchiwania urządzeń podłączonych za pomocą protokołu UPnP i wskazywania wszelkich urządzeń, które mogą być złośliwe.
Co robi Nmap?
Na poziomie praktycznym Nmap jest używany do dostarczania szczegółowych informacji w czasie rzeczywistym na temat sieci i podłączonych do nich urządzeń.
Podstawowe zastosowania Nmapa można podzielić na trzy podstawowe procesy. Po pierwsze, program dostarcza szczegółowych informacji o każdym IP aktywnym w sieci, a następnie każde IP może zostać przeskanowane. Pozwala to administratorom sprawdzić, czy dany adres IP jest wykorzystywany przez legalną usługę, czy przez zewnętrznego napastnika.
Po drugie, Nmap dostarcza informacji na temat sieci jako całości. Może być użyty do dostarczenia listy żywych hostów i otwartych portów, jak również do zidentyfikowania systemu operacyjnego każdego podłączonego urządzenia. To czyni go cennym narzędziem w bieżącym monitorowaniu systemu, jak również krytyczną częścią pentestingu. Nmap może być używany wraz z Metasploitem, na przykład do badania, a następnie naprawiania luk sieciowych.
Po trzecie, Nmap stał się również cennym narzędziem dla użytkowników chcących chronić osobiste i firmowe strony internetowe. Używanie Nmapa do skanowania własnego serwera WWW, szczególnie jeśli hostujesz swoją stronę z domu, jest w zasadzie symulacją procesu, którego haker użyłby do ataku na twoją stronę. „Atakowanie” własnej witryny w ten sposób jest potężnym sposobem na zidentyfikowanie luk w zabezpieczeniach.
Jak używać Nmapa
Nmap jest prosty w użyciu, a większość narzędzi, które dostarcza, jest znana administratorom systemów z innych programów. Zaletą Nmapa jest to, że łączy szeroki zakres tych narzędzi w jednym programie, zamiast zmuszać Cię do przeskakiwania pomiędzy oddzielnymi i dyskretnymi narzędziami do monitorowania sieci.
Aby używać Nmapa, musisz być zaznajomiony z interfejsami wiersza poleceń. Większość zaawansowanych użytkowników jest w stanie pisać skrypty do automatyzacji typowych zadań, ale nie jest to konieczne do podstawowego monitorowania sieci.
Jak zainstalować Nmap
Proces instalacji Nmapa jest prosty, ale różni się w zależności od systemu operacyjnego. Wersje programu dla systemów Windows, Mac i Linux można pobrać tutaj.
- Dla Windows, Nmap jest dostarczany z niestandardowym instalatorem (namp<version>setup.exe). Pobierz i uruchom ten instalator, a automatycznie skonfiguruje on Nmapa w twoim systemie.
- Na komputerach Mac, Nmap również posiada dedykowany instalator. Uruchom plik Nmap-<version>mpkg, aby uruchomić ten instalator. W niektórych ostatnich wersjach macOS może pojawić się ostrzeżenie, że Nmap jest „niezidentyfikowanym deweloperem”, ale można je zignorować.
- Użytkownicy Linuxa mogą albo skompilować Nmapa ze źródła, albo użyć wybranego przez siebie menedżera pakietów. Aby użyć apt, można na przykład uruchomić Nmap -version, aby sprawdzić, czy Nmap jest zainstalowany i sudo apt-get install Nmap, aby go zainstalować.
Nmap Samouczek i przykłady
Po zainstalowaniu Nmapa najlepszym sposobem na nauczenie się, jak go używać, jest wykonanie kilku podstawowych skanowań sieci.
How To Run a Ping Scan
Jedną z najbardziej podstawowych funkcji Nmapa jest identyfikacja aktywnych hostów w sieci. Nmap robi to za pomocą skanowania ping. To identyfikuje wszystkie adresy IP, które są obecnie online bez wysyłania jakichkolwiek pakietów do tych hostów.
Aby uruchomić skanowanie ping, wykonaj następujące polecenie:
# nmap -sp 192.100.1.1/24
To polecenie zwróci listę hostów w sieci i całkowitą liczbę przypisanych adresów IP. Jeśli zauważysz jakieś hosty lub adresy IP na tej liście, których nie możesz uwzględnić, możesz uruchomić dalsze polecenia (patrz poniżej), aby je zbadać.
Jak uruchomić skanowanie hostów
Bardziej wydajnym sposobem skanowania sieci jest użycie Nmapa do wykonania skanowania hostów. W przeciwieństwie do skanowania pingowego, skanowanie hostów aktywnie wysyła pakiety żądania ARP do wszystkich hostów podłączonych do sieci. Każdy z hostów odpowiada na ten pakiet innym pakietem ARP zawierającym jego status i adres MAC.
Aby uruchomić skanowanie hostów, należy użyć następującego polecenia:
# nmap -sp <target IP range>
Zwraca ono informacje o każdym hoście, jego opóźnieniu, adresie MAC, a także wszelkie opisy związane z tym adresem. Może to być skuteczny sposób na wykrycie podejrzanych hostów podłączonych do twojej sieci.
Jeśli widzisz coś niezwykłego na tej liście, możesz następnie uruchomić zapytanie DNS do konkretnego hosta, używając:
# namp -sL <IP address>
To zwraca listę nazw związanych z zeskanowanym IP. Ten opis dostarcza informacji o tym, do czego właściwie służy IP.
Jak używać Nmap w Kali Linux
Używanie Nmap w Kali Linux może być wykonane w identyczny sposób, jak uruchamianie programu na każdym innym systemie Linux.
Jednakże istnieją zalety używania Kali podczas skanowania Nmap. Większość nowoczesnych dystrybucji Kali posiada w pełni funkcjonalny pakiet Nmap, który zawiera zaawansowany graficzny interfejs użytkownika i przeglądarkę wyników (Zenmap), elastyczne narzędzie do przesyłania danych, przekierowywania i debugowania (Ncat), narzędzie do porównywania wyników skanowania (Ndiff) oraz narzędzie do generowania pakietów i analizy odpowiedzi (Nping).
Komendy Nmap
Większość typowych funkcji Nmap może być wykonana za pomocą pojedynczego polecenia, a program używa również wielu „skrótów”, które mogą być użyte do zautomatyzowania typowych zadań.
Tutaj znajduje się krótki opis:
Skanowanie ping
Jak wspomniano powyżej, skanowanie ping zwraca informacje o każdym aktywnym IP w sieci. Możesz wykonać skanowanie ping za pomocą tego polecenia:
#
Skanowanie portów
Istnieje kilka sposobów na wykonanie skanowania portów za pomocą Nmapa. Najczęściej używane to:
# sS TCP SYN scan# sT TCP connect scan# sU UDP scans# sY SCTP INIT scan# sN TCP NULL
Głównymi różnicami pomiędzy tymi typami skanowania jest to, czy obejmują one porty TCP czy UDP oraz czy wykonują połączenie TCP. Oto podstawowe różnice:
- Najprostszym z tych skanowań jest skanowanie sS TCP SYN, które daje większości użytkowników wszystkie informacje, jakich potrzebują. Skanuje on tysiące portów na sekundę, a ponieważ nie kończy połączenia TCP, nie wzbudza podejrzeń.
- Główną alternatywą dla tego typu skanowania jest skanowanie TCP Connect, które aktywnie odpytuje każdego hosta i żąda odpowiedzi. Ten typ skanowania trwa dłużej niż skanowanie SYN, ale może zwrócić bardziej wiarygodne informacje.
- Skanowanie UDP działa podobnie do skanowania TCP connect, ale wykorzystuje pakiety UDP do skanowania portów DNS, SNMP i DHCP. Są to porty, które są najczęściej celem ataków hakerów, dlatego ten rodzaj skanowania jest użytecznym narzędziem do sprawdzania luk w zabezpieczeniach.
- Skanowanie SCTP INIT obejmuje inny zestaw usług: SS7 i SIGTRAN. Ten typ skanowania może być również wykorzystany do uniknięcia podejrzeń podczas skanowania sieci zewnętrznej, ponieważ nie kończy on pełnego procesu SCTP.
- Skanowanie TOP NULL jest również bardzo sprytną techniką skanowania. Wykorzystuje ona lukę w systemie TCP, która może ujawnić stan portów bez bezpośredniego odpytywania ich, co oznacza, że można zobaczyć ich stan nawet tam, gdzie są chronione przez firewall.
Skanowanie hostów
Skanowanie hostów zwraca bardziej szczegółowe informacje na temat konkretnego hosta lub zakresu adresów IP. Jak wspomniano powyżej, możesz wykonać skanowanie hosta używając następującego polecenia:
# nmap -sp <target IP range>
SkanowanieOS
SkanowanieOS jest jedną z najpotężniejszych funkcji Nmapa. Podczas korzystania z tego typu skanowania Nmap wysyła pakiety TCP i UDP na określony port, a następnie analizuje jego odpowiedź. Porównuje tę odpowiedź z bazą danych 2600 systemów operacyjnych i zwraca informacje o systemie operacyjnym (i wersji) hosta.
Aby uruchomić skanowanie systemu operacyjnego, użyj następującego polecenia:
nmap -O <target IP>
Scan The Most Popular Ports
Jeśli używasz Nmapa na domowym serwerze, to polecenie jest bardzo przydatne. Automatycznie skanuje ono kilka najbardziej „popularnych” portów dla danego hosta. Możesz uruchomić to polecenie używając:
nmap --top-ports 20 192.168.1.106
Zastąp „20” liczbą portów do przeskanowania, a Nmap szybko przeskanuje tyle portów. Zwraca zwięzłe wyjście, które wyszczególnia status najbardziej popularnych portów, co pozwala szybko sprawdzić, czy nie masz niepotrzebnie otwartych portów.
Wyjście do pliku
Jeśli chcesz wysłać wyniki skanowania Nmap do pliku, możesz dodać rozszerzenie do swoich poleceń, aby to zrobić. Po prostu dodaj:
-oN output.txt
do polecenia, aby wyprowadzić wyniki do pliku tekstowego, lub:
-oX output.xml
aby wyprowadzić wyniki do XML.
Wyłącz rozdzielczość nazw DNS
Na koniec, możesz przyspieszyć swoje skanowanie Nmapem poprzez użycie parametru -n, aby wyłączyć odwrotną rozdzielczość DNS. Może to być bardzo przydatne, jeśli chcesz przeskanować dużą sieć. Na przykład, aby wyłączyć rozdzielczość DNS dla podstawowego skanowania ping wspomnianego powyżej, dodaj -n:
# nmap -sp -n 192.100.1.1/24
Nmap FAQ
Powyższe polecenia obejmują większość podstawowej funkcjonalności Nmapa. Nadal jednak możesz mieć kilka pytań, więc przejrzyjmy te najczęściej zadawane.
Q: Jakie są niektóre alternatywy Nmapa?
Istnieją pewne alternatywy dla Nmapa, ale większość z nich skupia się na dostarczaniu specyficznej, niszowej funkcjonalności, której przeciętny administrator systemu często potrzebuje. MASSCAN, na przykład, jest znacznie szybszy niż Nmap, ale dostarcza mniej szczegółów. Umit, dla kontrastu, pozwala uruchomić kilka skanowań jednocześnie.
W rzeczywistości jednak Nmap zapewnia całą funkcjonalność i szybkość, jakiej potrzebuje przeciętny użytkownik, zwłaszcza gdy jest używany razem z innymi podobnie popularnymi narzędziami, takimi jak NetCat (który może być używany do zarządzania i kontrolowania ruchu sieciowego) i ZenMap (który dostarcza GUI dla Nmapa)
Q: Jak działa Nmap?
Nmap opiera się na poprzednich narzędziach do audytu sieci, aby zapewnić szybkie, szczegółowe skanowanie ruchu sieciowego. Jego działanie polega na wykorzystaniu pakietów IP do zidentyfikowania hostów i adresów IP aktywnych w sieci, a następnie przeanalizowaniu tych pakietów w celu dostarczenia informacji o każdym hoście i adresie IP, jak również o systemach operacyjnych, które są przez nie uruchamiane.
Q: Czy Nmap jest legalny?
Tak. Jeśli Nmap jest używany prawidłowo, pomaga chronić sieć przed hakerami, ponieważ pozwala szybko wykryć wszelkie luki w zabezpieczeniach systemów.
Czy skanowanie portów na zewnętrznych serwerach jest legalne, to już inna kwestia. Przepisy w tej dziedzinie są złożone i różnią się w zależności od terytorium. Używanie Nmapa do skanowania zewnętrznych portów może doprowadzić do tego, że zostaniesz zbanowany przez swojego dostawcę usług internetowych, więc upewnij się, że zbadasz prawne implikacje używania programu, zanim zaczniesz go używać na szerszą skalę.
Podsumowanie
Poświęcenie czasu na naukę Nmapa może dramatycznie zwiększyć bezpieczeństwo twojej sieci, ponieważ program oferuje szybki, efektywny sposób audytowania twoich systemów. Nawet podstawowe funkcje oferowane przez program – takie jak możliwość skanowania portów – szybko ujawniają wszelkie podejrzane urządzenia, które są aktywne w sieci.
Używanie Nmapa do przeprowadzania częstych audytów sieci może pomóc Ci uniknąć stania się łatwym łupem dla hakerów, jednocześnie poprawiając Twoją wiedzę na temat Twojej własnej sieci. Ponadto Nmap zapewnia funkcjonalność, która uzupełnia bardziej zaawansowane platformy bezpieczeństwa danych, takie jak te oferowane przez Varonis, a gdy są używane razem z tymi narzędziami, mogą znacznie poprawić Twoje bezpieczeństwo cybernetyczne.
.