Nmap är en nätverkskartläggare som har utvecklats till ett av de mest populära, kostnadsfria verktygen för nätverksupptäckt på marknaden. Nmap är nu ett av de viktigaste verktygen som nätverksadministratörer använder för att kartlägga sina nätverk. Programmet kan användas för att hitta levande värdar i ett nätverk, utföra portscanning, ping-sökningar, OS-detektering och versionsdetektering.
Ett antal cyberattacker på senare tid har återigen fokuserat uppmärksamheten på den typ av nätverksgranskning som Nmap tillhandahåller. Analytiker har påpekat att det nyligen inträffade intrånget i Capital One till exempel kunde ha upptäckts tidigare om systemadministratörer hade övervakat anslutna enheter. I den här guiden tittar vi på vad Nmap är, vad det kan göra och förklarar hur man använder de vanligaste kommandona.
Få den kostnadsfria Pen Testing Active Directory Environments EBook
Nmap bör helst användas som en del av en integrerad plattform för datasäkerhet. När Nmap har använts för att kartlägga ett nätverk kan en plattform som Varonis’ Datadvantage sedan användas för att implementera avancerad åtkomstkontroll.
- Hur man använder Nmap
- Nmap Tutorial and Examples
- Nmap Commands
- Nmap FAQ
Vad är Nmap?
Nmap är i grund och botten ett verktyg för nätverksskanning som använder IP-paket för att identifiera alla enheter som är anslutna till ett nätverk och för att ge information om vilka tjänster och operativsystem de kör.
Programmet används oftast via ett kommandoradsgränssnitt (även om det också finns GUI-frontalverktyg) och finns tillgängligt för många olika operativsystem, t.ex. Linux, Free BSD och Gentoo. Programmets popularitet har också stärkts av en aktiv och entusiastisk användarsupportgrupp.
Nmap utvecklades för företagsnätverk och kan skanna igenom tusentals anslutna enheter. Under de senaste åren har dock Nmap alltmer använts av mindre företag. Framväxten av IoT, i synnerhet, innebär nu att de nätverk som används av dessa företag har blivit mer komplexa och därför svårare att säkra.
Detta innebär att Nmap nu används i många verktyg för övervakning av webbplatser för att granska trafiken mellan webbservrar och IoT-enheter. Den senaste tidens uppkomst av IoT-botnät, som Mirai, har också stimulerat intresset för Nmap, inte minst på grund av dess förmåga att förhöra enheter som är anslutna via UPnP-protokollet och att lyfta fram enheter som kan vara skadliga.
Vad gör Nmap?
Praktiskt sett används Nmap för att ge detaljerad information i realtid om dina nätverk och de enheter som är anslutna till dem.
De primära användningsområdena för Nmap kan delas in i tre kärnprocesser. För det första ger programmet dig detaljerad information om varje IP som är aktiv i dina nätverk, och varje IP kan sedan skannas. Detta gör det möjligt för administratörer att kontrollera om en IP används av en legitim tjänst eller av en extern angripare.
För det andra ger Nmap information om ditt nätverk som helhet. Det kan användas för att tillhandahålla en lista över levande värdar och öppna portar samt identifiera operativsystemet för varje ansluten enhet. Detta gör det till ett värdefullt verktyg för löpande systemövervakning, samt en viktig del av pentesting. Nmap kan till exempel användas tillsammans med ramverket Metasploit för att undersöka och sedan reparera nätverkssårbarheter.
För det tredje har Nmap också blivit ett värdefullt verktyg för användare som vill skydda personliga och affärsmässiga webbplatser. Genom att använda Nmap för att skanna din egen webbserver, särskilt om du är värd för din webbplats hemifrån, simulerar du i huvudsak den process som en hackare skulle använda för att attackera din webbplats. Att ”attackera” sin egen webbplats på detta sätt är ett kraftfullt sätt att identifiera säkerhetsbrister.
Hur man använder Nmap
Nmap är okomplicerat att använda och de flesta av verktygen som det tillhandahåller är bekanta för systemadministratörer från andra program. Fördelen med Nmap är att det samlar ett stort antal av dessa verktyg i ett enda program, istället för att tvinga dig att hoppa mellan separata och diskreta verktyg för nätverksövervakning.
För att kunna använda Nmap måste du vara bekant med kommandoradsgränssnitt. De flesta avancerade användare kan skriva skript för att automatisera vanliga uppgifter, men detta är inte nödvändigt för grundläggande nätverksövervakning.
Hur du installerar Nmap
Processen för att installera Nmap är enkel men varierar beroende på ditt operativsystem. Windows-, Mac- och Linuxversionerna av programmet kan laddas ner här.
- För Windows levereras Nmap med ett anpassat installationsprogram (namp<version>setup.exe). Ladda ner och kör det här installationsprogrammet så konfigureras Nmap automatiskt på ditt system.
- På Mac levereras Nmap också med ett särskilt installationsprogram. Kör filen Nmap-<version>mpkg för att starta det här installationsprogrammet. På vissa nyare versioner av macOS kan du se en varning om att Nmap är en ”oidentifierad utvecklare”, men du kan ignorera denna varning.
- Linuxanvändare kan antingen kompilera Nmap från källkoden eller använda sin valda pakethanterare. För att använda apt kan du till exempel köra Nmap -version för att kontrollera om Nmap är installerat och sudo apt-get install Nmap för att installera det.
Nmap handledning och exempel
När du har installerat Nmap är det bästa sättet att lära dig att använda det att utföra några grundläggande nätverkssökningar.
Hur man kör en ping-sökning
En av de mest grundläggande funktionerna i Nmap är att identifiera aktiva värdar i nätverket. Nmap gör detta med hjälp av en pingskanning. Detta identifierar alla IP-adresser som för närvarande är online utan att skicka några packers till dessa värdar.
För att köra en ping-sökning kör du följande kommando:
# nmap -sp 192.100.1.1/24
Detta kommando returnerar sedan en lista över värdar i ditt nätverk och det totala antalet tilldelade IP-adresser. Om du upptäcker några värdar eller IP-adresser på den här listan som du inte kan redogöra för kan du sedan köra ytterligare kommandon (se nedan) för att undersöka dem närmare.
Hur man kör en värdskanning
Ett mer kraftfullt sätt att skanna dina nätverk är att använda Nmap för att utföra en värdskanning. Till skillnad från en ping-skanning skickar en värdskanning aktivt ARP-förfråganpaket till alla värddatorer som är anslutna till ditt nätverk. Varje värd svarar sedan på detta paket med ett annat ARP-paket som innehåller dess status och MAC-adress.
För att köra en värdskanning använder du följande kommando:
# nmap -sp <target IP range>
Detta returnerar information om varje värd, deras latenstid, deras MAC-adress och även en eventuell beskrivning som är associerad med denna adress. Detta kan vara ett effektivt sätt att upptäcka misstänkta värdar som är anslutna till ditt nätverk.
Om du ser något ovanligt i den här listan kan du sedan köra en DNS-förfrågan på en specifik värddator genom att använda:
# namp -sL <IP address>
Detta returnerar en lista med namn som är associerade med den skannade IP-adressen. Den här beskrivningen ger information om vad IP:n egentligen är till för.
Hur man använder Nmap i Kali Linux
Användning av Nmap i Kali Linux kan göras på ett identiskt sätt som att köra programmet på vilken annan variant av Linux som helst.
Det finns dock fördelar med att använda Kali när man kör Nmap-undersökningar. De flesta moderna distributioner av Kali levereras nu med en Nmap-svit med fullständiga funktioner, som innehåller ett avancerat grafiskt gränssnitt och en resultatvisare (Zenmap), ett flexibelt verktyg för dataöverföring, omdirigering och felsökning (Ncat), ett verktyg för att jämföra skanningsresultat (Ndiff) och ett verktyg för paketgenerering och analys av svar (Nping).
Nmap-kommandon
De flesta av de vanligaste funktionerna i Nmap kan exekveras med hjälp av ett enda kommando, och programmet använder också ett antal ”genvägskommandon” som kan användas för att automatisera vanliga uppgifter.
Här följer en snabb genomgång:
Ping-scanning
Som nämnts ovan returnerar en ping-scanning information om alla aktiva IP-adresser i ditt nätverk. Du kan utföra en ping-sökning med det här kommandot:
#
Portscanning
Det finns flera sätt att utföra portscanning med Nmap. De vanligaste är dessa:
# sS TCP SYN scan# sT TCP connect scan# sU UDP scans# sY SCTP INIT scan# sN TCP NULL
De största skillnaderna mellan dessa typer av genomsökningar är om de täcker TCP- eller UDP-portar och om de utför en TCP-anslutning. Här är de grundläggande skillnaderna:
- Den mest grundläggande av dessa skanningar är sS TCP SYN-skanning, och den ger de flesta användare all information de behöver. Den skannar tusentals portar per sekund, och eftersom den inte fullbordar en TCP-anslutning väcker den inga misstankar.
- Det viktigaste alternativet till den här typen av skanning är TCP Connect-skanningen, som aktivt frågar ut varje värd och begär ett svar. Denna typ av skanning tar längre tid än en SYN-skanning, men kan ge mer tillförlitlig information.
- UDP-skanningen fungerar på liknande sätt som TCP connect-skanningen, men använder UDP-paket för att skanna DNS-, SNMP- och DHCP-portar. Dessa portar är de portar som hackare oftast riktar in sig på och därför är den här typen av skanning ett användbart verktyg för att kontrollera sårbarheter.
- ScTP INIT-skanningen täcker en annan uppsättning tjänster: SS7 och SIGTRAN. Den här typen av skanning kan också användas för att undvika misstankar vid skanning av ett externt nätverk eftersom den inte slutför hela SCTP-processen.
- TOP NULL-skanningen är också en mycket listig skanningsteknik. Den använder ett kryphål i TCP-systemet som kan avslöja statusen för portar utan att direkt fråga dem, vilket innebär att du kan se deras status även där de är skyddade av en brandvägg.
Host Scanning
Host Scanning returnerar mer detaljerad information om en viss värddator eller ett intervall av IP-adresser. Som nämnts ovan kan du utföra en värdskanning med följande kommando:
# nmap -sp <target IP range>
OS-skanning
OS-skanning är en av de mest kraftfulla funktionerna i Nmap. När du använder den här typen av skanning skickar Nmap TCP- och UDP-paket till en viss port och analyserar sedan svaret. Den jämför svaret med en databas med 2600 operativsystem och returnerar information om en värds operativsystem (och version).
För att köra en OS-skanning använder du följande kommando:
nmap -O <target IP>
Scan The Most Popular Ports
Om du kör Nmap på en hemserver är det här kommandot mycket användbart. Det skannar automatiskt ett antal av de mest ”populära” portarna för en värd. Du kan köra det här kommandot med hjälp av:
nmap --top-ports 20 192.168.1.106
Ersätt ”20” med antalet portar som ska skannas, så skannar Nmap snabbt så många portar. Det returnerar en kortfattad utskrift som beskriver statusen för de vanligaste portarna, och på så sätt kan du snabbt se om du har några onödigt öppna portar.
Utmatning till en fil
Om du vill mata ut resultaten av dina Nmap-skanningar till en fil kan du lägga till ett tillägg till dina kommandon för att göra det. Lägg helt enkelt till:
-oN output.txt
till ditt kommando för att ge ut resultaten till en textfil, eller:
-oX output.xml
för att ge ut resultaten till en XML-fil.
Disaktivera DNS-namensupplösning
Slutligt kan du snabba upp dina Nmap-skanningar genom att använda parametern -n för att inaktivera omvänd DNS-upplösning. Detta kan vara mycket användbart om du vill skanna ett stort nätverk. Om du till exempel vill stänga av DNS-upplösningen för den grundläggande ping-sökningen som nämns ovan lägger du till -n:
# nmap -sp -n 192.100.1.1/24
Nmap FAQ
Ovanstående kommandon täcker de flesta av de grundläggande funktionerna i Nmap. Du kanske ändå har några frågor, så låt oss gå igenom de vanligaste.
Q: Vilka är några Nmap-alternativ?
Det finns en del alternativ till Nmap, men de flesta av dem är inriktade på att tillhandahålla specifika, nischade funktioner som den genomsnittlige systemadministratören behöver ofta. MASSCAN, till exempel, är mycket snabbare än Nmap men ger mindre detaljer. Umit däremot gör det möjligt att köra flera genomsökningar samtidigt.
I verkligheten ger dock Nmap all den funktionalitet och hastighet som genomsnittsanvändaren behöver, särskilt när det används tillsammans med andra liknande populära verktyg som NetCat (som kan användas för att hantera och styra nätverkstrafik) och ZenMap (som ger ett grafiskt användargränssnitt för Nmap)
Q: Hur fungerar Nmap?
Nmap bygger på tidigare verktyg för nätverksgranskning för att ge snabba, detaljerade genomsökningar av nätverkstrafik. Det fungerar genom att använda IP-paket för att identifiera de värdar och IP:er som är aktiva i ett nätverk och sedan analysera dessa paket för att ge information om varje värddator och IP:er samt de operativsystem som de kör.
Q: Är Nmap lagligt?
Ja. Om Nmap används på rätt sätt bidrar det till att skydda ditt nätverk från hackare, eftersom det gör det möjligt för dig att snabbt upptäcka säkerhetsbrister i dina system.
Om portskanning av externa servrar är lagligt är en annan fråga. Lagstiftningen på detta område är komplex och varierar från område till område. Att använda Nmap för att skanna externa portar kan leda till att du förbjuds av din internetleverantör, så se till att du undersöker de juridiska konsekvenserna av att använda programmet innan du börjar använda det i större utsträckning.
Slutsatsen
Om du tar dig tid att lära dig Nmap kan du dramatiskt öka säkerheten i dina nätverk eftersom programmet erbjuder ett snabbt och effektivt sätt att granska dina system. Även de grundläggande funktionerna som programmet erbjuder – såsom möjligheten att utföra portscanning – avslöjar snabbt alla misstänkta enheter som är aktiva i ditt nätverk.
Om du använder Nmap för att utföra frekventa nätverksrevisioner kan du undvika att bli ett lätt byte för hackare, samtidigt som du förbättrar din kunskap om ditt eget nätverk. Dessutom erbjuder Nmap funktionalitet som kompletterar mer fullfjädrade datasäkerhetsplattformar som den som erbjuds av Varonis, och när den används tillsammans med dessa verktyg kan den dramatiskt förbättra din cybersäkerhet.