Cum se utilizează Nmap: Comenzi și ghid tutorial | Varonis

Nmap este un cartograf de rețea care a devenit unul dintre cele mai populare instrumente gratuite de descoperire a rețelelor de pe piață. Nmap este în prezent unul dintre instrumentele de bază utilizate de administratorii de rețea pentru a-și cartografia rețelele. Programul poate fi folosit pentru a găsi gazde vii într-o rețea, pentru a efectua scanări de porturi, scanări ping, detectarea sistemului de operare și detectarea versiunilor.

O serie de atacuri cibernetice recente au reorientat atenția asupra tipului de audit de rețea pe care îl oferă Nmap. Analiștii au subliniat că recenta piraterie informatică de la Capital One, de exemplu, ar fi putut fi detectată mai devreme dacă administratorii de sistem ar fi monitorizat dispozitivele conectate. În acest ghid, vom analiza ce este Nmap, ce poate face și vom explica cum să folosim cele mai comune comenzi.

Obțineți cartea electronică gratuită Pen Testing Active Directory Environments EBook

„Acest lucru mi-a deschis cu adevărat ochii asupra securității AD într-un mod în care munca defensivă nu a făcut-o niciodată.”

În mod normal, Nmap ar trebui să fie utilizat ca parte a unei platforme integrate de securitate a datelor. Odată ce Nmap a fost folosit pentru a cartografia o rețea, o platformă precum Datadvantage de la Varonis poate fi apoi folosită pentru a implementa controlul avansat al accesului.

Cum se utilizează Nmap
Nmap Tutorial and Examples
Comandă Nmap
Nmap FAQ

Ce este Nmap?

În esența sa, Nmap este un instrument de scanare a rețelei care folosește pachetele IP pentru a identifica toate dispozitivele conectate la o rețea și pentru a furniza informații despre serviciile și sistemele de operare pe care acestea le rulează.

Programul este utilizat cel mai frecvent prin intermediul unei interfețe de linie de comandă (deși sunt disponibile și front-end-uri GUI) și este disponibil pentru multe sisteme de operare diferite, cum ar fi Linux, Free BSD și Gentoo. Popularitatea sa a fost susținută, de asemenea, de o comunitate activă și entuziastă de suport pentru utilizatori.

Nmap a fost dezvoltat pentru rețele la scară de întreprindere și poate scana prin mii de dispozitive conectate. Cu toate acestea, în ultimii ani, Nmap este folosit din ce în ce mai mult de companii mai mici. Creșterea IoT, în special, înseamnă acum că rețelele folosite de aceste companii au devenit mai complexe și, prin urmare, mai greu de securizat.

Aceasta înseamnă că Nmap este acum folosit în multe instrumente de monitorizare a site-urilor web pentru a verifica traficul dintre serverele web și dispozitivele IoT. Apariția recentă a rețelelor botnet IoT, precum Mirai, a stimulat, de asemenea, interesul pentru Nmap, nu în ultimul rând datorită capacității sale de a interoga dispozitivele conectate prin intermediul protocolului UPnP și de a evidenția orice dispozitiv care ar putea fi rău intenționat.

Ce face Nmap?

La nivel practic, Nmap este utilizat pentru a furniza informații detaliate, în timp real, despre rețelele dumneavoastră și despre dispozitivele conectate la acestea.

Utilizările principale ale Nmap pot fi împărțite în trei procese de bază. În primul rând, programul vă oferă informații detaliate despre fiecare IP activ în rețelele dvs. și fiecare IP poate fi apoi scanat. Acest lucru le permite administratorilor să verifice dacă un IP este folosit de un serviciu legitim sau de un atacator extern.

În al doilea rând, Nmap oferă informații despre rețeaua dvs. ca întreg. Acesta poate fi folosit pentru a furniza o listă de gazde active și porturi deschise, precum și pentru a identifica sistemul de operare al fiecărui dispozitiv conectat. Acest lucru îl face un instrument valoros în monitorizarea continuă a sistemului, precum și o parte esențială a pentesting-ului. Nmap poate fi utilizat alături de cadrul Metasploit, de exemplu, pentru a sonda și apoi a repara vulnerabilitățile rețelei.

În al treilea rând, Nmap a devenit, de asemenea, un instrument valoros pentru utilizatorii care doresc să protejeze site-urile web personale și de afaceri. Utilizarea Nmap pentru a vă scana propriul server web, în special dacă vă găzduiți site-ul web de acasă, înseamnă, în esență, simularea procesului pe care un hacker l-ar folosi pentru a vă ataca site-ul. „Atacarea” propriului site în acest mod este o modalitate puternică de a identifica vulnerabilitățile de securitate.

Cum se utilizează Nmap

Nmap este simplu de utilizat, iar majoritatea instrumentelor pe care le oferă sunt cunoscute de administratorii de sistem din alte programe. Avantajul lui Nmap este că aduce o gamă largă a acestor instrumente într-un singur program, în loc să vă forțeze să treceți de la un instrument de monitorizare a rețelei la altul, separat și discret.

Pentru a utiliza Nmap, trebuie să fiți familiarizat cu interfețele de linie de comandă. Majoritatea utilizatorilor avansați sunt capabili să scrie scripturi pentru a automatiza sarcini comune, dar acest lucru nu este necesar pentru monitorizarea de bază a rețelei.

Cum se instalează Nmap

Procesul de instalare a Nmap este ușor, dar variază în funcție de sistemul dumneavoastră de operare. Versiunile Windows, Mac și Linux ale programului pot fi descărcate de aici.

Pentru Windows, Nmap este livrat cu un program de instalare personalizat (namp<version>setup.exe). Descărcați și rulați acest program de instalare, iar acesta configurează automat Nmap pe sistemul dumneavoastră.
Pe Mac, Nmap vine, de asemenea, cu un program de instalare dedicat. Rulați fișierul Nmap-<version>mpkg pentru a porni acest program de instalare. Pe unele versiuni recente de macOS, este posibil să vedeți un avertisment că Nmap este un „dezvoltator neidentificat”, dar puteți ignora acest avertisment.
Utilizatorii Linux pot fie să compileze Nmap din sursă, fie să folosească managerul de pachete ales. Pentru a folosi apt, de exemplu, puteți rula Nmap -version pentru a verifica dacă Nmap este instalat și sudo apt-get install Nmap pentru a-l instala.

Nmap Tutorial and Examples

După ce ați instalat Nmap, cel mai bun mod de a învăța cum să-l folosiți este să efectuați câteva scanări de bază ale rețelei.

Cum se execută o scanare Ping

Una dintre cele mai de bază funcții ale Nmap este de a identifica gazdele active din rețeaua dumneavoastră. Nmap face acest lucru folosind o scanare ping. Aceasta identifică toate adresele IP care sunt în prezent online, fără a trimite pachete către aceste gazde.

Pentru a rula o scanare ping, rulați următoarea comandă:

# nmap -sp 192.100.1.1/24

Această comandă returnează apoi o listă de gazde din rețeaua dvs. și numărul total de adrese IP alocate. Dacă depistați în această listă gazde sau adrese IP pe care nu le puteți contabiliza, puteți rula apoi alte comenzi (a se vedea mai jos) pentru a le investiga mai amănunțit.

Cum se execută o scanare a gazdelor

O modalitate mai puternică de a vă scana rețelele este de a utiliza Nmap pentru a efectua o scanare a gazdelor. Spre deosebire de o scanare ping, o scanare a gazdei trimite în mod activ pachete de solicitare ARP către toate gazdele conectate la rețeaua dumneavoastră. Fiecare gazdă răspunde apoi la acest pachet cu un alt pachet ARP care conține starea și adresa MAC.

Pentru a efectua o scanare a gazdelor, utilizați următoarea comandă:

# nmap -sp <target IP range>

Aceasta returnează informații despre fiecare gazdă, latența lor, adresa MAC și, de asemenea, orice descriere asociată cu această adresă. Aceasta poate fi o modalitate puternică de a depista gazdele suspecte conectate la rețeaua dumneavoastră.

Dacă vedeți ceva neobișnuit în această listă, puteți apoi să executați o interogare DNS pe o anumită gazdă, folosind:

# namp -sL <IP address>

Aceasta returnează o listă de nume asociate cu IP-ul scanat. Această descriere oferă informații despre ceea ce reprezintă de fapt IP-ul.

Cum se utilizează Nmap în Kali Linux

Utilizarea Nmap în Kali Linux se poate face într-un mod identic cu rularea programului pe orice altă variantă de Linux.

Acesta fiind spus, există avantaje în utilizarea Kali atunci când se execută scanări Nmap. Cele mai multe distribuții moderne de Kali vin acum cu o suită Nmap cu funcții complete, care include o interfață grafică avansată și un vizualizator de rezultate (Zenmap), un instrument flexibil de transfer de date, redirecționare și depanare (Ncat), un utilitar pentru compararea rezultatelor scanării (Ndiff) și un instrument de generare de pachete și de analiză a răspunsurilor (Nping).

Comenzi Nmap

Majoritatea funcțiilor comune ale Nmap pot fi executate folosind o singură comandă, iar programul folosește, de asemenea, un număr de comenzi „rapide” care pot fi folosite pentru a automatiza sarcini comune.

Iată o scurtă trecere în revistă:

Scanare ping

După cum s-a menționat mai sus, o scanare ping returnează informații despre fiecare IP activ din rețeaua dumneavoastră. Puteți executa o scanare ping folosind această comandă:

Port Scanning

Există mai multe moduri de a executa scanarea porturilor folosind Nmap. Cele mai frecvent utilizate sunt acestea:

# sS TCP SYN scan# sT TCP connect scan# sU UDP scans# sY SCTP INIT scan# sN TCP NULL

Diferențele majore dintre aceste tipuri de scanare sunt dacă acoperă porturi TCP sau UDP și dacă execută o conexiune TCP. Iată care sunt diferențele de bază:

Cea mai de bază dintre aceste scanări este scanarea sS TCP SYN, iar aceasta oferă majorității utilizatorilor toate informațiile de care au nevoie. Ea scanează mii de porturi pe secundă și, deoarece nu finalizează o conexiune TCP, nu trezește suspiciuni.
Principala alternativă la acest tip de scanare este scanarea TCP Connect, care interoghează în mod activ fiecare gazdă și solicită un răspuns. Acest tip de scanare durează mai mult decât o scanare SYN, dar poate returna informații mai fiabile.
Scanarea UDP funcționează într-un mod similar cu scanarea TCP connect, dar utilizează pachete UDP pentru a scana porturile DNS, SNMP și DHCP. Acestea sunt porturile cele mai frecvent vizate de hackeri și, prin urmare, acest tip de scanare este un instrument util pentru verificarea vulnerabilităților.
Scanarea SCTP INIT acoperă un set diferit de servicii: SS7 și SIGTRAN. Acest tip de scanare poate fi, de asemenea, utilizat pentru a evita suspiciunile atunci când se scanează o rețea externă, deoarece nu finalizează întregul proces SCTP.
Scanarea TOP NULL este, de asemenea, o tehnică de scanare foarte vicleană. Folosește o portiță în sistemul TCP care poate dezvălui starea porturilor fără a le interoga direct, ceea ce înseamnă că puteți vedea starea lor chiar și atunci când sunt protejate de un firewall.

Scanarea host

Scanarea hostului returnează informații mai detaliate despre o anumită gazdă sau un interval de adrese IP. După cum s-a menționat mai sus, puteți efectua o scanare a gazdei utilizând următoarea comandă:

# nmap -sp <target IP range>

Scanare OS

Scanarea OS este una dintre cele mai puternice caracteristici ale Nmap. Atunci când se utilizează acest tip de scanare, Nmap trimite pachete TCP și UDP către un anumit port, iar apoi analizează răspunsul acestuia. Acesta compară acest răspuns cu o bază de date de 2600 de sisteme de operare și returnează informații despre sistemul de operare (și versiunea) unei gazde.

Pentru a rula o scanare a sistemului de operare, utilizați următoarea comandă:

nmap -O <target IP>

Scan The Most Popular Ports

Dacă rulați Nmap pe un server de acasă, această comandă este foarte utilă. Aceasta scanează automat un număr de porturi dintre cele mai „populare” pentru o gazdă. Puteți rula această comandă folosind:

nmap --top-ports 20 192.168.1.106

Înlocuiți „20” cu numărul de porturi de scanat, iar Nmap scanează rapid acel număr de porturi. Acesta returnează o ieșire concisă care detaliază starea celor mai comune porturi, iar acest lucru vă permite să vedeți rapid dacă aveți porturi deschise inutil.

Scoatere într-un fișier

Dacă doriți să scoateți rezultatele scanărilor Nmap într-un fișier, puteți adăuga o extensie la comenzile dvs. pentru a face acest lucru. Pur și simplu adăugați:

-oN output.txt

La comanda dvs. pentru a ieși rezultatele într-un fișier text sau:

-oX output.xml

Pentru a ieși într-un XML.

Dezactivarea rezoluției DNS a numelui

În cele din urmă, puteți accelera scanările Nmap utilizând parametrul -n pentru a dezactiva rezoluția DNS inversă. Acest lucru poate fi extrem de util dacă doriți să scanați o rețea mare. De exemplu, pentru a dezactiva rezoluția DNS pentru scanarea ping de bază menționată mai sus, adăugați -n:

# nmap -sp -n 192.100.1.1/24

Nmap FAQ

Comenzile de mai sus acoperă cea mai mare parte a funcționalității de bază a Nmap. S-ar putea totuși să mai aveți câteva întrebări, așa că haideți să le trecem în revistă pe cele mai frecvente.

Întrebare: Care sunt unele alternative la Nmap?

Există câteva alternative la Nmap, dar cele mai multe dintre ele se concentrează pe furnizarea de funcționalități specifice, de nișă, de care administratorul mediu de sistem are nevoie frecvent. MASSCAN, de exemplu, este mult mai rapid decât Nmap, dar oferă mai puține detalii. Umit, în schimb, vă permite să executați mai multe scanări deodată.

În realitate, însă, Nmap oferă toate funcționalitățile și viteza de care are nevoie utilizatorul mediu, în special atunci când este folosit alături de alte instrumente la fel de populare, cum ar fi NetCat (care poate fi folosit pentru a gestiona și controla traficul de rețea) și ZenMap (care oferă o interfață grafică pentru Nmap)

Întrebare: Cum funcționează Nmap?

Nmap se bazează pe instrumentele anterioare de auditare a rețelei pentru a oferi scanări rapide și detaliate ale traficului de rețea. Funcționează prin utilizarea pachetelor IP pentru a identifica gazdele și IP-urile active într-o rețea și apoi analizează aceste pachete pentru a furniza informații despre fiecare gazdă și IP, precum și despre sistemele de operare pe care le rulează.

Întrebare: Este Nmap legal?

Da. Dacă este utilizat în mod corespunzător, Nmap ajută la protejarea rețelei dumneavoastră împotriva hackerilor, deoarece vă permite să identificați rapid orice vulnerabilități de securitate în sistemele dumneavoastră.

Dacă scanarea porturilor pe serverele externe este legală este o altă problemă. Legislația în acest domeniu este complexă și variază în funcție de teritoriu. Utilizarea Nmap pentru a scana porturile externe poate duce la interzicerea de către ISP-ul dumneavoastră, așa că asigurați-vă că cercetați implicațiile legale ale utilizării programului înainte de a începe să îl folosiți pe scară mai largă.

Concluzia

Să vă acordați timpul necesar pentru a învăța Nmap poate crește dramatic securitatea rețelelor dumneavoastră, deoarece programul oferă o modalitate rapidă și eficientă de a vă audita sistemele. Chiar și funcțiile de bază oferite de program – cum ar fi capacitatea de a efectua scanarea porturilor – dezvăluie rapid orice dispozitive suspecte care sunt active în rețeaua dumneavoastră.

Utilizarea Nmap pentru a efectua audituri frecvente ale rețelei vă poate ajuta să evitați să deveniți o pradă ușoară pentru hackeri, îmbunătățindu-vă în același timp cunoștințele despre propria rețea. În plus, Nmap oferă funcționalități care completează platformele de securitate a datelor cu caracteristici mai complete, cum ar fi cele oferite de Varonis, iar atunci când este utilizat alături de aceste instrumente vă poate îmbunătăți în mod dramatic securitatea cibernetică.

Arquidia Mantina