'\" t
.\" Title: nmap
.\" Author: [see the "Author" section]
.\" Generator: DocBook XSL Stylesheets v1.79.1
.\" Date: 05/17/2023
.\" Manual: Nmap vodič
.\" Source: Nmap
.\" Language: Croatian
.\"
.TH "NMAP" "1" "05/17/2023" "Nmap" "Nmap vodič"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "IME"
nmap \- Alat za istraživanje mreže i sigurnosni/port skener
.SH "PREGLED"
.HP \w'\fBnmap\fR\ 'u
\fBnmap\fR [\fITip\ skena\fR...] [\fIOpcije\fR] {\fIspecifikacija\ cilja\fR}
.SH "OPIS"
.PP
Nmap (\(lqNetwork Mapper\(rq) je open source alat za istraživanje mreže i sigurnosni auditing\&. Dizajniran je za brzo skeniranje velikih mreža, ali radi jednako dobro i kad je u pitanju samo jedan host\&. Nmap koristi sirove (raw) IP pakete na nov i originalan način da bi ustanovio koji hostovi su dostupni na mreži, koji servisi (naziv aplikacije i verzija) su pokrenuti na tim hostovima, o kojim operativnim sustavima (i verzijama) je riječ, koji tipovi paket filtera i vatrozida se koriste, te mnogo drugih karakteristika\&. Iako je Nmap najčešće korišten za sigurnosni auditing, mnogi sistemski i mrežni administratori pronašli su u njemu koristan alat za rutinske zadatke poput sastavljanja popisa mrežnog inventara, upravljanja vremenima nadogradnje servisa i nadgledanja uptime\-a računala ili servisa\&.
.PP
Rezultat Nmap pretraživanja je popis skeniranih meta s dodatnim informacijama o svakoj od njih ovisno o korištenim parametrima\&. Ključna informacija je
\(lq tabela zanimljivih portova\(rq\&. U tabeli se nalati broj porta i protokol, naziv servisa i stanje\&.Stanje je ili:
otvoreno,
filtrirano,
zatvoreno
ili
nefiltrirano\&.
Otvoreno
znači da na ciljanom računalu postoji aplikacija koja sluša na tom portu i čeka na konekciju/pakete\&.
Filtrirano
znači da između nas i ciljanog računala postoji vatrozid, paket filter ili neki drugi mrežni uređaj koji blokira port, pa Nmap ne može reći da li je port
otvoren
ili
zatvoren\&.
Zatvoreni
portovi trenutno nemaju aplikacije koje slušaju na njima\&. Portovi su klasificirani kao
nefiltrirani
u situacijama kada odgovaraju na Nmap\-ove upite, ali Nmap nije u mogućnosti ustanoviti da li su otvoreni ili zatvoreni\&. Nmap vraća sljedeće kombinacije u izvještajima:
otvoren|filtriran
i
zatvoren|filtriran
kad ne može ustanoviti koje od dva stanja točnije opisuje port\&. Port tabela može također sadržavati i informacije o verziji softvera, kada je ta opcija upaljena kod skeniranja\&. Kad je zatraženo skeniranje IP protokola (\fB\-sO\fR), Nmap vraća informacije o podržanim IP protokolima, a ne o portovima\&.
.PP
Uz navedenu tabelu portova, Nmap može dati i dodatne informacije o ciljanom računalu, uključujući reverse DNS imena, pretopstavku o tome koji operativni sustav je s druge strane, tipove uređaja i MAC adrese\&.
.PP
Prikaz tipičnom Nmap skena je prikazan u:
Primjer 1, \(lqOvako izgleda primjer Nmap skena\(rq\&. Jedan od Nmap argumenata korišten u navedenom primjeru je
\fB\-A\fR, opcija za otkrivanje OS\-a i njegove verzije, zatim\fB\-T4\fR
za brže skeniranje, te nakon toga dva hosta koje želimo skenirati\&.
.PP
\fBPrimjer 1. Ovako izgleda primjer Nmap skena\fR
.sp
.if n \{\
.RS 4
.\}
.nf
# nmap \-A \-T4 scanme\&.nmap\&.org playground
Starting nmap ( https://nmap\&.org/ )
Interesting ports on scanme\&.nmap\&.org (205\&.217\&.153\&.62):
(The 1663 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 3\&.9p1 (protocol 1\&.99)
53/tcp open domain
70/tcp closed gopher
80/tcp open http Apache httpd 2\&.0\&.52 ((Fedora))
113/tcp closed auth
Device type: general purpose
Running: Linux 2\&.4\&.X|2\&.5\&.X|2\&.6\&.X
OS details: Linux 2\&.4\&.7 \- 2\&.6\&.11, Linux 2\&.6\&.0 \- 2\&.6\&.11
Uptime 33\&.908 days (since Thu Jul 21 03:38:03 2005)
Interesting ports on playground\&.nmap\&.org (192\&.168\&.0\&.40):
(The 1659 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios\-ssn
389/tcp open ldap?
445/tcp open microsoft\-ds Microsoft Windows XP microsoft\-ds
1002/tcp open windows\-icfw?
1025/tcp open msrpc Microsoft Windows RPC
1720/tcp open H\&.323/Q\&.931 CompTek AquaGateKeeper
5800/tcp open vnc\-http RealVNC 4\&.0 (Resolution 400x250; VNC TCP port: 5900)
5900/tcp open vnc VNC (protocol 3\&.8)
MAC Address: 00:A0:CC:63:85:4B (Lite\-on Communications)
Device type: general purpose
Running: Microsoft Windows NT/2K/XP
OS details: Microsoft Windows XP Pro RC1+ through final release
Service Info: OSs: Windows, Windows XP
Nmap finished: 2 IP addresses (2 hosts up) scanned in 88\&.392 seconds
.fi
.if n \{\
.RE
.\}
.PP
Najnoviju verziju Nmap\-a možete downloadati sa sljedećeg linka:
\m[blue]\m[]\&\s-2\u[1]\d\s+2\&. Najnovija verzija man stranica (uputa) dostupna je na sljedećem linku:
\m[blue]\fB\%https://nmap.org/man/\fR\m[]\&.
.SH "NAPOMENE O PRIJEVODU"
.PP
Hrvatsku verziju Nmap vodiča je preveo Robert Petrunić s
\m[blue]\fBoriginalne Engleske verije\fR\m[]\&\s-2\u[2]\d\s+2
2991\&. Iako se nadam da će prijevod učiniti Nmap dostupniji ljudima Hrvatskog govornog područja, ne mogu garantirati da je prijevod kompletan i up to date kao i originalna Engleska verzija\&. Projevod možete modificirati i redistribuirati pod uvjetima
\m[blue]\fBCreative Commons Attribution Licence\fR\m[]\&\s-2\u[3]\d\s+2\&. Ovo je prva verzija i najvjerovatnije ima dosta nekonzistentnih prijevoda (riječi koje su na različitim mjestima prevedene drugačije), ali smisao prijevoda je i dalje ostao isti\&. Nadam se da ću u idućim verzijama napisati više "književni" točan prijevod
.SH "PREGLED OPCIJA"
.PP
Sljedeći pregled opcija je ispisan kad pokrenete Nmap bez ikakvih parametara, a posljednja verzija je uvijek dostupna na:
\m[blue]\fB\%https://nmap.org/data/nmap.usage.txt\fR\m[]\&. Pomaže ljudima zapamtiti najčešće opcije, ali nije zamjena za detaljne upute koje se nalaze u ovom manualu\&. Neke manje korištene opcije čak se ni ne nalaze u pregledu opcija\&.
.PP
.if n \{\
.RS 4
.\}
.nf
Upotreba: nmap [Tip(ovi) skeniranja] [Opcije] {ciljano računalo}
CILJANO RAČUNALO:
Možete upisati hostname (naziv računala), IP adrese, mreže (subnete) isl\&.
Primjer: scanme\&.nmap\&.org, microsoft\&.com/24, 192\&.168\&.0\&.1; 10\&.0\&.0\-255\&.1\-254
\-iL : Naziv datoteke u kojoj se nalazi popis hostova/mreža
\-iR : Odaberi nasumične hostove
\-\-exclude : Ne skeniraj navedene hostove/mreže
\-\-excludefile : Ne skeniraj navedene hostove/mreže koji se nalaze u navedenoj datoteci
OTKRIVANJE HOSTOVA:
\-sL: List Scan \- samo navedi mete koje skeniraš
\-sP: Ping Scan \- samo ustanovi da li je host online i ne radi ništa više
\-P0: Smatraj sve hostove online \-\- ne pokušavaj ustanoviti da li postoje\&.
\-PS/PA/PU [lista_portova]: koristi TCP SYN/ACK ili UDP za otkrivanje hostova
\-PE/PP/PM: ICMP echo, timestamp i netmask pokušaji skeniranja
\-n/\-R: Ne pokušavaj raditi DNS rezoluciju/uvijek koristi DNS rezoluciju [default: ponekad]
TEHNIKE SKENIRANJA:
\-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon skenovi
\-sN/sF/sX: TCP Null, FIN, and Xmas skenovi
\-\-scanflags : Navedi TCP flagove pomoću kojih želiš skenirati
\-sI : Idlescan
\-sO: IP protocol scan
\-b : FTP bounce scan
SPECIFIKACIJA PORTOVA I REDOSLJED SKENIRANJA:
\-p : Skeniraj samo navedene portove
Primjer: \-p22; \-p1\-65535; \-p U:53,111,137,T:21\-25,80,139,8080
\-F: Brzo \- Skeniraj samo portove navedene u nmap\-services fileu
\-r: Skeniraj portove po redu \- ne randomiziraj
OTKRIVANJE SERVISA/VERZIJA:
\-sV: Pokušaj na osnovu otvorenih portova saznati informacije o servisu/verziji
\-\-version\-light: Koristi najvjerovatnije skenove zbog ubrzane detekcije verzije
\-\-version\-all: Isprobaj sve vrste skenova za saznavanje verzije
\-\-version\-trace: Pokaži detaljnu aktivnost skeniranja verzije (za debugging)
DETEKCIJA OS\-a:
\-O: Uključi OS detekciju
\-\-osscan\-limit: Ograniči OS detekciju samo na one ciljeve koji obećavaju
\-\-osscan\-guess: Pogađaj OS malo agresivnije
TIMING I PERFORMANSE:
\-T[0\-6]: Podesi predložak za timing (veći broj je brže)
\-\-min\-hostgroup/max\-hostgroup : Paralelno skeniraj hostove / veličina sken grupe
\-\-min\-parallelism/max\-parallelism : Paraleliziraj sonde
\-\-min\-rtt\-timeout/max\-rtt\-timeout/initial\-rtt\-timeout : Navedi vrijeme potrebno za povratak (engl\&. round trip time) sonde\&.
\-\-host\-timeout : Odustani od skeniranja ciljanog računala nakon navedenog vremena u milisekundama
\-\-scan\-delay/\-\-max\-scan\-delay : Podesi pauzu između slanja upita
OBILAŽENJE FIREWALL\-a/IDS\-a I SPOOFING:
\-f; \-\-mtu : fragmentiraj pakete (opcionalno sa zadanim MTU\-om)
\-D : Sakrij skan korištenjem mamaca
\-S : Spoofaj ishodišnu (source) adresu
\-e : Koristi navedeni interface (mrežni adapter)
\-g/\-\-source\-port : Koristi navedeni broj ishodišnog (source) porta
\-\-data\-length : Dodaj random podatke u poslane pakete
\-\-ttl : Podesi IP time\-to\-live polje
\-\-spoof\-mac : Spoofaj svoju MAC adresu
ISPIS:
\-oN/\-oX/\-oS/\-oG : Ispiši scan normalno, kao XML, s|: Ispis u tri glavna formata istovremeno
\-v: Povećaj verbose nivo (ako želite postići veći efekt, stavite opciju \-vv)
\-d[nivo]: Podesi ili povećaj debuging nivo (Ima smisla do brojke 9, više od toga ne)
\-\-packet\-trace: Pokaži sve poslane i primljene pakete
\-\-iflist: Ispiši host interface i rute (za debuging)
\-\-append\-output: Dodaj ispis u postojeće datoteke \- nemoj ih prepisati
\-\-resume : Nastavi prekinuti scan
\-\-stylesheet : XSL stylesheet za transformiranje XML generiranog dokumenta u HTML
\-\-no\-stylesheet: Spriječi povezivanje XSL stylesheet\-a s XML ispisom
RAZNO:
\-6: Omogući skeniranje IPv6 protokola
\-A: Omogući prepoznavanje OS\-a i verzije OS\-a
\-\-datadir : Navedi customizirani Nmap data file
\-\-send\-eth/\-\-send\-ip: šalji sirove (RAW) ethernet frame\-ove ili IP pakete
\-\-privileged: Pretpostavka da je korisnik koji je pokrenuo Nmap u potpunosti privilegiran (ima admin ovlasti)
\-V: Ispiši verziju Nmap\-a
\-h: Ispiši ovaj help ekran
PRIMJERI:
nmap \-v \-A scanme\&.nmap\&.org
nmap \-v \-sP 192\&.168\&.0\&.0/16 10\&.0\&.0\&.0/8
nmap \-v \-iR 10000 \-P0 \-p 80
.fi
.if n \{\
.RE
.\}
.sp
.SH "ODABIR CILJANOG RAČUNALA"
.PP
Sve što unesete u komandnu liniju Nmap\-a, a nije opcija ili argument opcije (dakle nije parametar samog programa), tretira se kao ciljano računalo\&. Najjednostavniji slučaj je da unesete IP adrese ili naziv ciljanog hosta\&.
.PP
Ponekad želite skenirati čitavu mrežu hostova\&. Za tu namjenu Nmap podržava CIDR adresiranje\&. Dakle, nakon IP adrese ili naziva računala, možete dodati /\fInumbits (broj bitova)\fR
koji se koriste kao mrežni ID\&. Npr\&. 192\&.168\&.10\&.0/24 će skenirati 256 hostova između 192\&.168\&.10\&.0 (binarno:
11000000 10101000 00001010 00000000) i 192\&.168\&.10\&.255 (binarno:
11000000 10101000 00001010 11111111) uključujući i 192\&.168\&.10\&.0 i 192\&.168\&.10\&.255\&. 192\&.168\&.10\&.40/24 će učiniti istu stvar\&. Ako smo pak odabrali scanme\&.nmap\&.org, a recimo da je IP adresa tog hosta 205\&.217\&.153\&.62, scanme\&.nmap\&.org/16 bi skeniralo 65,536 IP adresa između 205\&.217\&.0\&.0 i 205\&.217\&.255\&.255\&. Najmanja dozvoljena vrijednost je 1 (što bi skeniralo gotovo cijeli internet), dok je najveća dozvoljena vrijednost 32, što skenira samo jednog hosta\&.
.PP
CIDR notacija je kratka, ali nije uvijek dovoljno fleksibilna\&. Npr\&. želite skenirati 192\&.168\&.0\&.0/16, ali želite izbjeći sve IP adrese koje završavaju s \&.0 ili \&.255, jer su to mrežni ID i broadcast IP adresa u klasful adresiranju\&. Nmap za tu situaciju podržava adresiranje na nivou okteta\&. Umjesto da navedete normalnu IP adresu, možete navesti listu brojeva odvojenih zarezom (1,2,3) ili područja za svaki oktet (1\-254)\&. Npr\&. 192\&.168\&.0\-255\&.1\-254 će preskočiti sve adrese u navedenom području koje završavaju na \&.0 i \&.255, tj\&. skenirat će sve IP adrese od 192\&.168\&.0\&.1 do 192\&.168\&.255\&.254, preskačući one IP adrese koje u zadnjem oktetu imaju 0 ili 255\&. Područja nisu limitirana na zadnji oktet, recimo, 0\-255\&.0\-255\&.13\&.37 će skenirati SVE IP adrese koje završavaju na 13\&.37\&. Ovaj način skeniranja može biti koristan za razna istraživanja i ispitivanja\&.
.PP
IPv6 adrese mogu biti specificirane isključivo u potpunosti definirane (fully qualified) kao IP adrese ili naziv hosta\&. CIDR i oktet područja nisu podržani za IPv6 jer se rijetko koriste\&.
.PP
Nmap prihvaća navođenje više hostova u komandnoj liniji, a hostovi ne moraju biti istog tipa\&. Naredba
\fBnmap scanme\&.nmap\&.org 192\&.168\&.0\&.0/8 10\&.0\&.0,1,3\-7\&.0\-255\fR
će učiniti upravo ono što očekujete od nje\&.
.PP
Ciljevi skeniranja su obično navedeni u samoj komandnoj liniji, ali podržane su i sljedeće opcije:
.PP
\fB\-iL \fR (Iščitaj parametre iz liste)
.RS 4
Iščita informacije o ciljanom hostu iz
\fIulazne datoteke\fR\&. Proslijediti Nmapu veliku količinu hostova iz komandne linije izgleda nepregledno, ali to je ono što u većini slučajeva i želimo\&. Npr\&. iz DHCP servera ste izvukli popis 10 000 trenutno iznajmljenih IP adresa i želite ih skenirati ili možda želite skenirate sve ip adrese
\fIosim\fR
tih kako bi pronašli hostove koji imaju neautoriziranu statičku IP adresu\&. Da bi to postigli, generirajte popis hostova koje želite skenirati u neku datoteku i proslijedite tu datoteku Nmap\-u kao argument opciji
\fB\-iL\fR\&. U datoteci mogu biti unosi u bilo kojem formatu koji Nmap podržava u samoj komandnoj liniji (IP adresa, naziv hosta, CIDR, IPv6, ili oktet nekog područja)\&. Svaki unos mora biti odvojen s jednim ili s više razmaka, tabom ili novim redom\&. Isto tako možete staviti minus (\-), ukoliko želite da Nmap iščita hostove iz standardnog unosa umjesto iz navedene datoteke\&.
.RE
.PP
\fB\-iR \fR (Nasumično odaberi ciljano računalo)
.RS 4
Za istraživače interneta i ostale koji žele odabrati ciljano računalo nasumično\&. Argument
\fIbroj hostova\fR
kaže Nmap\-u koliko IP adresa da generira\&. Neželjene IP adrese, poput privatnih, multicast ili nedodjeljenih IP adresnih područja su automatski izbačene\&. Argument
0
može biti naveden za skeniranje koje nikad neće završiti\&. Imajte na umu da neki mrežni administratori ne vole neautorizirano skeniranje i mogli bi se žaliti vašem ISP\-u, što bi pak moglo rezultirati zabranom pristupa internetu za vas\&. Koristitte ovu opciju na vlastitu odgovornost\&. Ukoliko se pak, jednog kišnog popodneva, nađete u situaciji da ne znate što bi sa sobom, iskušajte naredbu
\fBnmap \-sS \-PS80 \-iR 0 \-p80\fR
kako bi nasumično pronašli web servere za browsanje\&.
.RE
.PP
\fB\-\-exclude \fR (isključi iz skeniranja hostove/mreže)
.RS 4
Navedite zarezom odvojenu listu hostova koje želite isključiti iz skena iako se nalaze u mrežnom području koje ste specificirali\&. Popis koji proslijedite na ovaj način koristi normalnu Nmap sintaksu, pa možete upisati naziv hosta, CIDR mrežne blokove, oktete rangeva isl\&. To može biti korisno u slučaju kad mreža koju želite skenirati ima nedodirljive i kritične servere, sisteme za koje se zna da će odmah reagirati na port sken, ili postoje podmreže koje administriraju drugi administratori i ne želite skenirati njihov dio mreže\&.
.RE
.PP
\fB\-\-excludefile \fR (Isključi iz skeniranja koristeći ulazni file)
.RS 4
Ova opcija nudi istu funkcionalnost kao i prije opisana opcija
\fB\-\-exclude\fR, s tim da hostove koje ne želite skenirati ne navodite u komandnoj liniji, već unutar datoteke\&. Hostovi mogu biti navedeni u datoteci (\fInaziv_datoteke\fR) koji kao delimiter koristi novi red, razmak ili tab\&.
.RE
.SH "POSTUPAK PRONALAŽENJA HOSTOVA"
.PP
Jedan od prvih koraka kad je u pitanju sakupljanje informacija o mreži je smanjivanje (ponekad velike) količine IP adresnih područja u popis aktivnih i zanimljivih hostova\&. Skeniranje svih portova za svaku adresu je sporo i najčešće nepotrebno\&. Naravno, ono što nekog hosta čini zanimljivim uvelike ovisi o razlogu samog skena\&. Mrežni administratori će možda biti zainteresirani samo za hostove koji imaju pokrenut određeni servis, dok će sigurnosni auditori biti zainteresirani za svaki uređaj s IP adresom\&. Administratoru će možda biti dovoljno korištenje ICMP pinga kako bi pronašao hostove na mreži, dok će vanjski penetration tester koristiti široki spektar alata i nebrojene sonde u pokušaju da obiđe zabrane postavljene na vatrozidu\&.
.PP
Budući da su potrebe korisnika kod pronalaženja hostova tako različite, Nmap nudi široki spektar opcija za prilagođavanje korištenim tehnikama\&. Pronalaženje hostova (engl host discovery) se ponekad naziva Ping scan, ali ide daleko dalje od običnog ICMP echo paketa povezanog sa sveprisutnim
ping
alatom\&. Korisnici mogu preskočiti dio pinganja s list skenom (\fB\-sL\fR) ili isključivanjem pinganja (\fB\-P0\fR) ili da pristupe mreži s kombinacijama multi port TCP SYN/ACK, UDP i ICMP sondi\&. Namjena tih sondi je iznuđivanje odgovora koji dokazuje da je IP adresa u stvari aktivna (korištena je od strane hosta ili mrežnog uređaja)\&. Na većini mreža je samo jedan mali postotak IP adresa aktivan\&. To je pogotovo točno za mreže blagoslovljene RFC1918 dokumentom (privatni adresni prostor poput 10\&.0\&.0\&.0/8)\&. Navedena mreža ima 16 miliona IP adresa, ali imao sam prilike vidjeti da je koriste firme s manje od tisuću mašina\&. Postupak pronalaženja hostova može pronaći koja su to računala u tom moru neaktivnih IP adresa\&.
.PP
Ukoliko ne navedete nikakvu opciju Postupku pronalaženja hostova, Nmap šalje TCP ACK paket namjenjen portu 80 i ICMP echo zahtijev na ciljano računalo\&. Izuzetak od ovog pravila je taj da je ARP sken korišten za ciljana računala na lokalnoj ethernet mreži\&. Za neprivilegirane UNIX shell korisnike, Nmap šalje SYN paket umjesto ACK\-a korištenjem
\fBconnect()\fR
sistemskog poziva\&. To je jednako opcijama
\fB\-PA \-PE\fR\&. Takav način pronalaženja hostova je obično dostatan kad su u pitanju lokalne mreže, ali preporučen je malo potpuniji set sondi za istraživanje kod sigurnosnog auditinga\&.
.PP
Opcija
\fB\-P*\fR
(koja odabire ping tipove) može biti kombinirana\&. Možete povećati šanse provaljivanja vatrozida slanjem mnogo sondi koje koriste različite TCP portove/zastavice (engl\&. flags) i ICMP kodove\&. Također imajte na umu da se po defaultu na lokalnoj mreži za otkrivanje hostova koristi ARP discovery (\fB\-PR\fR) čak i kad navedete druge
\fB\-P*\fR
opcije zbog toga jer je gotovo uvijek brži i efikasniji\&.
.PP
Sljedeće opcije upravljaju postupkom otkrivanja hostova\&.
.PP
\fB\-sL\fR (List Sken)
.RS 4
List sken nije skeniranje hosta, već saznavanje nekih javno dostupnih informacija o njemu bez slanja ijednog paketa prema tom hostu\&. List scan jednostavno ispiše svakog hosta kojeg smo specificirali i napravi reverse DNS rezoluciju da bi saznao njegovo ime\&. Iznenađujuće je koliko korisnih informacija možete dobiti ovim načinom "skeniranja"\&. Npr\&.
fw\&.chi\&.playboy\&.com
je vatrozid Čikaškog (Chichago) ureda firme Playboy Enterprises\&. Nmap na kraju navede i ukupan broj IP adresa koje pripadaju tom hostu\&. List Sken je koristan u situacijama kada se želite uvjeriti da imate ispravne IP adrese koje želite skenirati\&. Ukoliko List sken izbaci nazive domena koje ne poznajete bilo bi dobro provjeriti prije nego pokrenete skeniranje, jer ne bi bilo dobro da počnete skenirati krive hostove ;\-)\&.
.sp
Kako je ideja samo ispisati popis ciljanih hostova, ne možete kombinirati opcije za funkcionalnosti višeg nivoa, poput skeniranja portova, detekcije OS\-a, ping skeniranja isl\&. Ukoliko želite isključiti ping skeniranje, a ipak koristiti funkcionalnosti višeg nivoa, pročitajte opis
\fB\-P0\fR
opcije\&.
.RE
.PP
\fB\-sP\fR (Ping Sken)
.RS 4
Ova opcija kaže Nmap\-u da napravi
\fIsamo\fR
ping sken (otkrivanje hostova) i da ispiše hostove koji su odgovorili na skeniranje\&. Ne radi se nikakvo dodatno testiranje (poput port skeniranja ili detekcije OS\-a)\&. To je način skeniranja koji je stupanj intruzivniji od list skena ali se može koristiti u istu svrhu\&. Dozvoljava lagano "pretraživanje neprijateljskog teritorija" (engl\&. reconnaissance), bez pretjeranog privlačenja pažnje, jer znati koliko hostova je stvarno "živo" na mreži je važnija informacija za napadača ili sigurnosnog auditora, nego lista koju je izbacio list scans popisom svih IP adresa i hostova koji postoje\&.
.sp
Sistemski administratori također nalaze ovu opciju poprilično korisnom\&. Može se koristiti za pronalaženje dostupnih računala na mreži ili koristiti kao alat za nadgledanje dostupnosti servera\&. Taj način primjene se naziva ping sweep i mnogo je pouzdaniji od pinganja broadcast adrese zato jer mnogi hostovi ne odgovaraju na broadcast upite\&. (Konkretno windows mašine ne odgovaraju na broadcast ping, ali odgovaraju na druge tipove broadcast paketa)\&.
.sp
Po defaultu
\fB\-sP\fR
opcija šalje ICMP echo i TCP paket na port 80\&. Kad je pokrenuta od strane neprivilegiranog korisnika (korisnika koji nije lokalni administrator), poslan je SYN paket na port 80 (korištenjem API poziva
\fBconnect()\fR
)\&. Kad privilegirani korisnik pokušava skenirati hostve na lokalnoj mreži, koriste se ARP zahtjevi (\fB\-PR\fR) osim ako nije specificirana opcija
\fB\-\-send\-ip\fR\&. Opciju
\fB\-sP\fR
možete kombinirati s bilo kojim tipom otkrivajućih (discovery) tipova skeniranja (sve
\fB\-P*\fR
opcije osim
\fB\-P0\fR
opcije) kako bi postigli veću fleksibilnost\&. Ukoliko se koristi bilo koji od tih tipova skeniranja i port broj, automatski su defaultne postavke skeniranja premošćene (ACK i echo zahtjevi)\&. Ukoliko su između hosta na kojem je pokrenut Nmap i ciljanog hosta nalaze vatrozidi, preporuka je koristiti upravo te tehnike kako vatrozid ne bi filtrirao upite ili odgovore na njih\&.
.RE
.PP
\fB\-P0\fR (Bez pinganja)
.RS 4
Ova opcija preskače fazu otkrivanja hostova\&. Ukliko ne koristite ovu opciju, Nmap pokušava ping skeniranjem saznati koja računala su dostupna kako bi SAMO njih i skenirao\&. Ukoliko koristite ovu opciju Nmap će skenirati svakog navedenog hosta bez obzira da li je dostupan ili ne, jer neće raditi provjeru\&. Ukoliko odaberete kompletnu klasu B (/16 po CIDR notaciji) Nmap će skenirati svih 65536 hostova, bez obzira da li su "živi" ili ne\&. Napomena: drugi karakter u ovoj opciji je NULA, a ne veliko slovo O\&. Ukoliko je na hostu zatvoren ICMP protokol (što je slučaj kod 90% računala na internetu), a niste stavili
\fB\-P0\fR
opciju, Nmap neće skenirati ta računala, dakle, ukoliko želite skenirati računala koja ne odgovaraju na ICMP echo upit, a znate da postoje i da su "živi" stavite ovu opciju\&.
.RE
.PP
\fB\-PS [lista_portova]\fR (TCP SYN Ping)
.RS 4
Ova opcija šalje prazan TCP paket s upaljenim SYN flagom\&. Defaultni odredišni port je 80 (možete se konfigurirati kod kompajliranja programa na način da promijenite DEFAULT_TCP_PROBE_PORT u
nmap\&.h
biblioteci), no, možete navesti i neki drugi port kao parametar\&. Isto tako je moguće poslati zarezom odvojenu listu portova kao parametar ovoj opciji (npr\&.
\fB\-PS22, 23,25,80,113,1050,35000\fR)\&. U tom će slučaju nmap poslati paket na svaki od navedenih portova paralelno\&.
.sp
SYN flag u paketu kaže ciljanom hostu da se želite spojiti na navedeni port/portove\&. Ukoliko je port zatvoren, odgovor koji će Nmap dobiti od ciljanog hosta je RST (reset)\&. Ukoliko je port otvoren, ciljano računalo će poslati SYN/ACK paket, što je drugi korak u trostrukom rukovanju TCP protokola\&. Računalo na kojem je pokrenut Nmap u tom trenutku prekida konekciju na način da pošalje RST paket (umjesto ACK paketa koji bi završio trostruko rukovanje i uspostavio konekciju sa ciljanim hostom)\&. RST paket je poslao kernel računala na kojem je pokrenut Nmap, jer je dobio SYN/ACK paket koji nije očekivao\&.
.sp
Nmap ne zanima da li je port otvoren ili zatvoren, RST ili SYN/ACK odgovor koji je dobio dovoljan su odgovor da je računalo "živo"\&. Bez obzira na to RST odgovor znači da je računalo tu i da je "živo", dok SYN/ACK odgovor uz to znači i da računalo "sluša" na navedenom portu\&.
.sp
Na UNIX mašinama samo privilegirani korisnik
root
može slati i primati sirove (RAW) TCP pakete\&. Za neprivilegirane korisnike napravljen je obilazni put u kojem Nmap automatski poziva connect() API na svaki navedeni port\&. To je postiglo efekt slanja SYN paketa na coljani host i iniciran je poušaj ostvarivanja konekcije\&. Ukoliko connect() API vrati brzi odgovor uspješnog spajanja ili ECONNREFUSED grešku, TCP stack na OS\-u je dobio SYN/ACK ili RST od ciljanog hosta i host je označen kao dostupan\&. Ukoliko konekcija "visi" dok ne istekne timeout, ciljani host je označen kao nedostupan (ugašen)\&. Navedeni obilazni put se koristi i kod IPv6 konekcija, je Nmap još nema implementiranu izradu sirovih (RAW) paketa za IPv6 protokol\&.
.RE
.PP
\fB\-PA [lista_portova]\fR (TCP ACK Ping)
.RS 4
TCP ACK ping je sličan SYN pingu\&. Razlika je, što je lako zaključiti iz samog naziva, u tome što se umjsto SYN flaga upali ACK flag\&. Takav paket podrazumijeva da je konekcija već uspostavljena iako nije, samim tim bi ciljani hostovi uvijek trebali odgovoriti s RST paketom, te na taj način potvrditi svoje postojanje\&.
.sp
\fB\-PA\fR
opcija koristi isti defaultni port kao i SYN scan (port 80) i isto kao i SYN scan može primiti listu portova u istom formatu\&. Ukoliko neprivilegirani korisnik pokuša pokrenuti Nmap s ovom opcijom ili je u pitanju IPv6 TCP konekcija, koristi se obilazni put opisan u TCP SYN pingu\&. Ova opcija nije savršena, jer connect() u stvari šalje SYN pakete umjesto ACK paketa
.sp
Razlog zašto koristiti i SYN i ACK sonde je radi povećavanja šansi za obilaženje vatrozida\&. Mnogi administratori konfiguriraju rutere i ostale jednostavne vatrozide na način da zaustavljaju dolazeće SYN pakete osim ako nisu namijenjeni nekim javnim servisima, poput weba ili mail servera\&. Takav način podešavanja uređaja sprječava nedozovljene konekcije prema računalima tvrtke, ali omogućava neograničen izlazni promet prema internetu\&. Ovakav pristup konekcija bez stanja (engl\&. stateless) oduzima malo resursa na vatrozidima/ruterima i podržan je na gotovo svim hardverskim i softverskim filterima\&. Netfilter/ iptables, poznati vatrozid na Linux operativnom sustavu nudi opciju
\fB\-\-syn\fR
kako bi mogli implementirati ovakav pristup konekcija bez stanja (engl\&. stateless)\&. Kod tako konfiguriranih vatrozida, sonde SYN ping (\fB\-PS\fR) će najvjerovatnije biti blokirane kad ih pošaljete na zatvorene portove\&. No međutim, ACK sonde će bez problema prolaziti kroz njih\&.
.sp
Drugi tip vatrozida podržava konekcije sa stanjem (engl\&. stateful) koji odbacuju sve neočekivane pakete\&. Ova opcija se u početku koristila samo kod naprednijih vatrozid rješenja, ali je vremenom postala rasprostranjenija\&. Linux vatrozid Netfilter/iptables podržava ovu opciju korištenjem opcije
\fB\-\-state\fR, koja kategorizira pakete vezano uz stanje konekcije\&. Skeniranjem takvih sustava veća je vjerovatnost da ćemo od SYN sonde dobiti nekakvu informaciju, nego od ACK, jer se ACK sonde koje nemaju uspostavljenu konekciju tretiraju kao lažne i odbačeni su bez ikakvog odgovora\&. U slučaju dvojbe, najbolje je poslati i SYN i ACK sonde naviođenjem opcija
\fB\-PS\fR
i
\fB\-PA\fR\&.
.RE
.PP
\fB\-PU [lista_portova]\fR (UDP Ping)
.RS 4
Još jedna metoda detekcije hostova je i UDP ping\&. UDP ping šalje prazne UDP pakete (osim ako nije definirana opcija
\fB\-\-data\-length\fR) na navedene portove\&. Portlist opcija ima isti format kao i prije obrađene opcije
\fB\-PS\fR
i
\fB\-PA\fR\&. Ukoliko nije naveden niti jedan port, defaultni je 31338\&. To se može promijeniti kod kompajliranja promjenom DEFAULT_UDP_PROBE_PORT u
nmap\&.h
biblioteci\&. Namjerno je odabran visoki nestandardni port, jer bi slanje paketa na otvorene UDP portove dalo neželjene rezultate za ovu vrstu skena\&.
.sp
Nakon što je ciljano računalo dobilo paket na zatvoreni port, trebalo bi odgovoriti ICMP paketom " nedostupan port" (engl\&. port unreachable)\&. Na osnovu toga Nmap može zaključiti da je ciljani host "živ"\&. Drugi tipovi ICMP grešaka, poput nedostupan host/mreža ili premašen TTL (engl\&. TTL exceeded) nagovještavaju da je host ugašen ili nedostupan\&. Ukoliko nema nikakvog odgovora, Nmap također zaključi da je host ugašen/ nedostupan\&. Ukoliko je paket stigao na otvoreni UDP port, većina servisa će jednostavno ignorirati prazan UDP paket i Nmap neće dobiti nikakav odgovor\&. Zbog toga je defaultni port 32338, jer je mala mogućnost da će neki servis koristiti taj port\&. Postoje i neki servisi, poput chargen\-a, koji će odgovoriti na prazan UDP paket i na taj način otkriti Nmapu da je host "živ"\&.
.sp
Glavna prednost ovog tipa skeniranja je da obilazi vatrozide i paket filtere koji skeniraju samo TCP promet\&. Npr\&. Linksys BEFW11S4 bežični (wireless) ruter na vanjskom mrežnom adapteru filtrira samo TCP portove, a na UDP skenove odgovara s ICMP port nedostupan\&.
.RE
.PP
\fB\-PE\fR; \fB\-PP\fR; \fB\-PM\fR (ICMP tipovi pinganja)
.RS 4
Uz do sad navedene tipove skeniranja i otkrivanja hostova, Nmap može slati i standardne ICMP pakete korištenjem klasičnog
ping
programa\&. Nmap šalje ICMP paket tipa 8 (echo request) na ciljanu IP adresu očekujući odgovor tipa 0 (echo reply), ukoliko je host "živ"\&. Na štetu mrežnih istraživača, većina hostova i vatrozida na internetu blokira te pakete umjesto da na njih odgovara kako je opisano u
\m[blue]\fBRFC 1122\fR\m[]\&\s-2\u[4]\d\s+2
dokumentu\&. Zbog toga su ICMP skenovi rijetko ili gotovo nikad pouzdani kad se ciljani host nalazi na internetu, ali za sistem administratore koji nadgledaju unutrašnje mreže, ovo je praktičan i najjednostavniji pristup za skeniranje hostova\&. Opisani način skeniranja možete upaliti korištenjem
\fB\-PE\fR
opcije\&.
.sp
Bez obzira na to što je echo zahtijev standardni ICMP ping upit, Nmap se nije zaustavio na tome\&. Ako pogledate ICMP standard (\m[blue]\fBRFC 792\fR\m[]\&\s-2\u[5]\d\s+2) vidjet ćete da je u njemu naveden i timestamp zahtijev, information zahtijev i zahtijev za adresnom maskom i to pod kodovima 13,15 i 17\&. Iako je namjena tih upita saznati informacije poput adresne maske i trenutnog vremena, vrlo ih je lako iskoristiti za otkrivanje hostova\&. Host koji odgovori je "živ"\&. Nmap u trenutnoj verziji ne podržava information zahtijev, jer se ne koristi često\&. RFC 1122 inzistira na tome da
\(lqhost NE BI TREBAO implementirati taj ICMP tip poruka\(rq\&. Upite za timestamp i adresnu masku možete poslati s
\fB\-PP\fR
i
\fB\-PM\fR
opcijama\&. Timestamp odgovor (ICMP kod 14) ili odgovor adresne maske (kod 18) otkrivaju da je ciljani host "živ"\&. Ta dva upita su korisni u slučajevima kad administratori blokiraju echo zahtijev pakete, ali zaborave blokirati ostale ICMP pakete\&.
.RE
.PP
\fB\-PR\fR (ARP Ping)
.RS 4
Jedan od najčešćih scenarija korištenja Nmap\-a je skeniranje ethernet LAN\-a\&. Na većini LAN\-ova, posebno na onima koji koriste privatne ip adrese definirane u RFC 1918 dokumentu je većina IP adresa u stvari neiskorištena\&. Kad Nmap pokuša poslati sirovi IP paket poput ICMP echo zahtjeva, operativni sustav mora ustanoviti MAC adresu računala koja pripada ciljanoj IP adresi, kako bi moglo adresirati ethernet frame\&. To je obično sporo i problematično jer operativni sustavi nisu napisani s pretpostavkom da će u vrlo kratkom vremenskom periodu morati poslati milione ARP zahtjeva prema nepostojećim hostovima\&.
.sp
ARP sken zadužuje Nmap i njegove optimizirane algoritme za ARP zahtjeve i ukoliko Nmap dobije odgovor ne mora uopće pokretati IP bazirani ping, jer već zna da je računalo dostupno\&. Ovo čini ARP scan mnogo bržim i pouzdanijim od IP baziranog skena, pa se defaultno koristi kod skeniranje hostova na ethernetu za koje Nmap zaključi da su na lokalnoj mreži\&. Čak ako ste i naveli neke druge tipove pinga, (poput
\fB\-PE\fR
ili
\fB\-PS\fR), Nmap će koristiti ARP sken za sve hostove koji su na istoj mreži\&. Ukoliko ne želite koristiti ARP sken, navedite opciju
\fB\-\-send\-ip\fR\&.
.RE
.PP
\fB\-n\fR (Bez DNS rezolucije)
.RS 4
Ova opcija kaže Nmap\-u da
\fInikad\fR
ne radi obrnutu DNS rezoluciju (engl\&. reverse DNS lookup) na aktivnim IP adresama koje pronađe\&. Kako je obrnuta DNS rezolucija često spora, ova opcija ubrzava postupak\&.
.RE
.PP
\fB\-R\fR (DNS rezolucija za sva ciljana računala)
.RS 4
Ova opcija kaže Nmap\-u da
\fIuvijek\fR
radi obrnutu rezoluciju ciljanih IP adresa\&. U normalnim okolnostima to se radi samo kad je potvrđeno da računalo postoji\&.
.RE
.PP
\fB\-\-system\-dns\fR (Koristi sistemski DNS rezolver)
.RS 4
Defaultno Nmap radi rezolving adresa slanjem upita direktno imenskim serverima (engl\&. name servers) koji su podešeni na vašem računalu i čeka odgovore\&. Mnogo zahtjeva je poslano istovremeno (10 i više) kako bi brže radilo\&. Ovu opciju navedite ukoliko želite koristiti sistemski rezolver (jedna po jedna IP adresa pozivom sistemskog API poziva getnameinfo())\&. Ovo je sporije i rijetko je korisno osim ako u Nmap DNS kodu postoji greška \-\- molim kontaktirajte nas u tom slučaju\&. Sistemski rezolver se uvijek koristi za IPv6 skenove\&.
.RE
.PP
\fB\-\-dns\-servers \fR (Serveri koji će se koristiti za obrnute DNS upite)
.RS 4
U normalnim okolnostima, Nmap će pokušati pronaći vaše DNS servere iz resolv\&.conf datoteke (na UNIX\-u) ili iz registry baze podataka (na Win32)\&. Naravno, postoji mogućnost da navedete servere po želji korištenjem ove opcije\&. Ova opcija se ne koristi ako koristitite opciju
\fB\-\-system\-dns\fR
ili IPv6 sken\&. Korištenje više DNS servera je obično brže nego samo jednog\&.
.RE
.SH "OSNOVE SKENIRANJA PORTOVA"
.PP
Bez obzira na to što je vremenom Nmap porastao gledano s funkcionalne strane, počeo je kao efikasan port skener, te mu to i dalje ostaje osnovna namjena\&. Jednostavna naredba
\fBnmap \fR\fB\fIciljani host\fR\fR
skenira više od 1660 TCP portova na navedenom računalu\&. Iako je većina port skenera grupirala portove u otvorene ili zatvorene, Nmap ima granularniji pristup, te dijeli portove na:
otvorene,
zatvorene,
filtrirane,
nefiltriran,
otvorene|filtrirane
i
zatvorene|filtrirane\&.
.PP
Gore navedena stanja ne potiču od stvarnih stanja portova, već su opis onoga što Nmap u stvari vidi\&. Npr\&., ukoliko Nmap\-om skenirate neku mrežu, dok ste fizički spojeni na nju, Nmap bi mogao reći da je port 135 otvoren, dok bi isti taj sken u slučaju da tu istu mrežu skenirate s interneta, najvjerovatnije rekao da je port
filtriran
(nalazi se iza vatrozida ili paket filtera)\&.
.PP
\fBŠest stanja portova kako ih Nmap prepoznaje\fR
.PP
otvoren
.RS 4
Aplikacija aktivno prihvaća TCP konekcije ili UDP pakete na navedenom portu\&. To je ujedno i cilj skoro svakog skeniranja\&. Osobe koje se bave sigurnošću znaju da je svaki otvoreni port, potencijalno mjesto napada\&. Napadači i penetration testeri žele iskoristiti otvorene portove, dok ih administratori pokušavaju zatvoriti ili zaštititi vatrozidima, bez da zabrane pristup legitimnim korisnicima\&. Skeniranje otvorenih portova je zanimljivo ne samo za sigurnosne skenove, već i u slučaju kad želite saznati koji servisi i aplikacije su dostupni na mreži\&.
.RE
.PP
zatvoren
.RS 4
Zatvoreni port je dostupan (odgovorio je na Nmap\-ov upit), ali na njemu ne sluša niti jedna aplikacija\&. Zatvoreni port nam govori da se na toj IP adresi nalazi host koji je upaljen, koji najvjerovatnije nije iza vatrozida ili paket filtera, a to nam može pomoći i i otkrivanju verzije OS\-a\&. Kako su zatvoreni portovi dostupni (nitko nam nije zabranio pristup do njih), isplati se kasnije ponoviti sken, jer možda će kasnije biti otvoreni\&. Administratori se trude zabraniti pristup takvim portovima korištenjem vatrozida i paket filtera, u tom bi slučaju port bio filtriran, a ne zatvoren (što je objašnjeno u nastavku)\&.
.RE
.PP
filtriran
.RS 4
Nmap ne može ustanoviti da li je port otvoren ili ne, jer neki uređaj (vatrozid, pravila na ruteru, paket filter) blokira upite prema tom portu\&. Ti su portovi frustrirajući za hakere, jer ne daju gotovo nikakve informacije\&. Ponekad odgovaraju s ICMP porukom o grešci poput tip 3 kod 13 (odredište je nedostupno \- komunikacija administrativno zabranjena), ali filteri koji samo odbace paket i ne daju nikakav odgovor na njegu su najčešći\&. Zbog toga Nmap mora poslati upit više puta kako bi bio siguran da je paket odbačen zbog filtriranja, a ne zbog mrežnog zagušenja te samim tim usporava skeniranje\&.
.RE
.PP
nefiltriran
.RS 4
Ovo stanje znači da je port dostupan, ali Nmap ne može ustanoviti da li je otvoren ili zatvoren\&. Samo ACK sken (koji se koristi za otkrivanje pravila na vatrozidu može vratiti nefiltriran kao odgovor\&. Skeniranje nefiltriranih portova nekom drugom metodom (poput Windows skena, SYN skena ili FIN skena može dati odgovor na pitanje da li je port otvoren ili zatvoren\&.
.RE
.PP
otvoren|filtriran
.RS 4
Nmap okarakterizira port ovim stanjem kada nije u mogućnosti ustanoviti da li je port otvoren ili filtriran\&. To se dogodi u situacijama kada na upit ne dobije nikakav odgovor\&. Nedostatak odgovora može značiti da je paket filter odbacio paket i/ili bilo kakav odgovor koji je taj paket inicirao\&. Samim tim Nmap nije siguran da li je port otvoren ili filtriran\&. UDP, IP protokol, FIN Null i Xmas scan mogu klasificirati port ovim stanjem\&.
.RE
.PP
zatvoren|filtriran
.RS 4
U slučaju kad Nmap ne može ustanoviti da li je port zatvoren ili filtriran, okarakterizirat će ga ovim stanjem\&. IPID Idle Scan je jedina sken metoda koja može vratiti ovakav rezultat\&.
.RE
.SH "TEHNIKE SKENIRANJA PORTOVA"
.PP
Kako nisam previše vičan popravcima na automobilu, mogu potrošiti sate i sate samo da nađem odgovarajući alat (poput čekića, ljpljive trake, ključa isl\&.)\&. Nakon što odustanem od smješnih pokušaja da nešto popravim i odvezem auto kod stvarnog mehaničara, začuđen sam kako jednostavno i nadasve uspješno izvadi iz velike kutije s alatatom baš onaj koji je potreban za uspješan popravak\&. Umjestnost skeniranja portova je slična\&. Stručnjak razumije mnoštvo tehnika skeniranja i odabere baš onu (ili kombinaciju više tehnika) koja je odgovarajuća za određeni posao\&. Neiskusni korisnisi i script kiddies (osobe koje koriste skripte koje je napisao netko drugi ne razumijevajući što i kako te skripte rade), pokušavaju sve riješiti defaultnim SYN skanom\&. Kako je Nmap besplatan program, jedina prepreka između Vas i masteriranja port skeninga je znanje\&. To je definitivno suprotno od automehaničarskog posla, u kojem recimo mož ete znati da Vam treba zračni kompresor, ali to ne umanjuje činjenicu da ga trebate i kupiti\&.
.PP
Većina tipova skeniranja koje nmap podržava dostupni su privilegiranim korisnicima (morate biti ulogirani kao administrator)\&. To je zbog toga jer šalju sirove (RAW) pakete koji zahtjevaju root pristup u UNIX svijetu\&. Korištenje administratorskog korisničkog accounta je preporučeno na windows operativnim sustavima, mada Nmap ponekad radi i s neprivilegiranim korisnicima, ako je WinPCap prethodno instaliran na sustav i aktivan\&. Zahtjev za root privilegijama je bila ozbiljna prepreka kad je Nmap prvi put pušten u javnost 1997\&. godine, jer je većina korisnika imala pristup dijeljenim shell accountima\&. Sada je svijet drugačiji\&. Kompjutori su jeftiniji, veći broj ljudi ima stalni pristup internetu, a desktop UNIX sustavi su dominantni (uključujući linux i MAC OS X)\&. Windows verzija Nmap\-a je također dostupna, te je samim tim i Nmap dostupniji većem broju korisnika\&. Zbog svih tih razloga, sve je manja potreba korisnika da pokreću Nmap logirani sa dijeljenim shell accountima\&. To je naravno super stvarm jer je Nmap pokrenut pod accountom privilegiranog korisnika mnogo moćniji i fleksibilniji\&.
.PP
Iako Nmap pokušava reproducirati ispravan rezultat svojih skenova, imajte na umu da su sve unutrašnje komponente Nmap\-a bazirane na paketima vraćenim od ciljanih računala (ili firewall uređaja ispred njih)\&. Neki hostovi mogu biti nepouzdani i podešeni na način da vrate pakete koji će zavarati Nmap i dati krivi rezultat\&. Još češći su hostovi koji ne podržavaju RFC standard, te ne odgovaraju onako kako Nmap očekuje od njih\&. FIN, Null i Xmas skenovi su pogotovo podložni tim problemima\&. Problemi poput gore navedenih su specifični za pojedine tipove skeniranja i o tome se raspravlja u svakoj od tih tehnika skeniranja\&.
.PP
Ovo poglavlje dokumentira hrpu tehnika skeniranja portova koje podržava Nmap\&. Samo jedna od spomenutih metoda može biti korištena u jednom trenutku, osim UDP skena (\fB\-sU\fR) koji može biti kombiniran s bilo kojom od TCP sken matoda\&. Radi lakšeg pamćenja, opcije skeniranja portova su u obliku
\fB\-s\fR\fB\fIC\fR\fR, gdje je
\fIC\fR
vidljiv iz samog naziva sken tipa i obično je to prvo slovo\&. Jedini izuzetak je FTP bounce scan (\fB\-b\fR)\&. Defaultno, Nmap radi SYN scan iako će ga zamijeniti s Connect() skenom, ako korisnik nema odgovarajuće ovlasti slanja raw paketa (root pristup na UNIX sustavima) ili ako je specificirana IPv6 kao ciljana IP adresa\&. Od svih navedenih tipova skenova u ovom poglavlju, neprivilegirani korisnik može pokrenuti samo Connect() i FTP bounce scan\&.
.PP
\fB\-sS\fR (TCP SYN scan)
.RS 4
SYN scan je defaultni i najpopularniji način skeniranja i to zbog opravdanih razloga\&. Može ga se izvesti brzo, može skenirati tisuće portova u sekundi na brzim mrežama koje nisu opterećene firewall uređajima koji utječu na kretanje paketa\&. SYN scan je relativno neagresivan i nevidljiv, jer nikad ne završi TCP konekciju (ne uspostavi trostruko rukovanje do kraja)\&. Također je jednako efikasan na svim implementacijama TCP stacka, jer ne ovisi o specifičnim platformama kao što je to slučaj kod Nmap\-ovog Fin/Null/Xmas, Maimon i Idle skena\&. Također je u mogućnosti čisto i pouzdano razlučiti između
otvorenog,
zatvorenog
i
filtriranog
stanja porta\&.
.sp
Tehnika SYN scana se najčešće naziva poluotvoreno skeniranje, jer nikad ne uspostavite potpunu TCP konekciju\&. Naime, pošaljete SYN paket, kao što bi ga poslali u slučaju da želite uspostaviti stvarnu TCP konekciju i čekate na odgovor\&. Ako kao odgovor dobijete SYN/ACK, znači da postoji aplikacija koja sluša na tom portu (port je otvoren), dok RST (reset) znači da ne postoji aplikacija koja sluša na tom portu (port je zatvoren)\&. Ukoliko i nakon nekoliko ponovnih slanja upita nema nikakvog odgovorar, port je okarakteriziran kao filtriran\&. Port je također označen kao filtriran ako kao odgovor dođe ICMP unreachable error (ICMP nedostupan \- tip 3, kodovi 1, 2, 3, 9, 10 ili 13)\&.
.RE
.PP
\fB\-sT\fR (TCP connect() scan)
.RS 4
TCP Connect() scan je defaultni TCP tip skeniranja ukoliko je SYN scan nedostupan\&. To se događa u slučajevima kad korisnik nema privilegiju slanja raw paketa ili kad je skenirani host na IPv6 mreži\&. Umjesto da šalje raw pakete, kao što to radi većina drugih tipova skeniranja, Nmap zatraži operativni sustav da uspostavi konekciju s ciljanim računalom na poru kojiželimo skenirati, na način da pošalje
connect()
sistemski poziv\&. To je isti sistemski poziv koji koriste web preglednici, P2P klijenti i većina drugih mrežnih aplikacija kad ž ele uspostaviti konekciju\&. Dio je programskog unosa poznatog kao Berkeley Sockets API\&. Umjesto da iščitava raw pakete Nmap koristi navedeni API kako bi dobio statusne informacije svake pokušane konekcije\&.
.sp
Ukoliko je SYN scan dostupan, obično je i bolji odabir\&. Naime, Nmap ima puno manje kontrole nad
connect()
API pozivom, nego nad raw paketima, te je samim tim Nap manje efikasan\&. Sistemski poziv napravi potpunu konekciju na otvorene portove ciljanog računala umjesto da napravi reset kao što je slučaj kod SYN skena\&. Tim postupkom ne samo da gubimo više vremena kako bi saznali da li su portovi otvoreni ili ne, nego postoji i veća vjerovatnost dsa će host zapisati u log pokušaj spajanja\&. Činjenica je da će svaki IDS sustav logirati i SYN i Connect scan, ali isto tako je činjenica da većina računala nema IDS sustav\&. Većina servisa na UNIX\-oidima će dodati zapis u syslog i (ponekad) kriptičnu poruku o grešci, kad se Nmap spoji i odmah odspoji bez slanja podataka\&. Jadno napisani servisi se skrše kad se to dogodi, mada je to stvarno rijetkost\&. Administrator koji vidi hrpu pokušaja spajanja u logovima koji su svi inicirani s jednog hosta, odmah će znati da je netko skenirao portove Connect() metodom\&.
.RE
.PP
\fB\-sU\fR (UDP skenovi)
.RS 4
Iako većina popularnih servisa na internetu korisiti TCP protokol,
\m[blue]\fBUDP\fR\m[]\&\s-2\u[6]\d\s+2
servisi su isto tako široko zastupljeni\&. DNS, SNMP i DHCP (registrirani portovi 53, 161/162 i 67/68) su tri najpoznatija\&. Zbog toga što je UDP skeniranje mnogo sporije i teže za izvesti nego TCP, neki sigurnosni auditori, ignoriraju UDP portove\&. To je velika pogreška, jer su exploitabilni UDP servisi česta pojava i napadači ih sigurno neće ignorirati\&. Srećom, Nmap može pomoći u istraživanju UDP portova\&.
.sp
UDP scan aktivirate naredbom
\fB\-sU\fR\&. Može biti kombinirana s TCP skenom poput SYN skena (\fB \-sS\fR), kako bi oba protokola bili provjereni "jednim udarcem"\&.
.sp
UDP scan radi na način da pošalje prazan UDP header (bez podataka) na svaki ciljani port\&. Ukoliko je vraćen ICMP port unreachable (ICMP nedostupan port) i to tip 3 kod 3, onda je port
zatvoren\&. Druge ICMP greške (tip 3, kodovi 1, 2, 9, 10 ili 13) označavaju port kao
filtriran\&.Povremeno će servis odgovriti s UDP paketom, dokazujući da je port
otvoren\&. Ukoliko nakon nekoliko retransmisija nema nikakvog odgovora, port je okarakteriziran kao
otvoren|filtriran\&. To znači da bi port mogao biti otvoren ili možda paket filteri blokiraju promet prema njemu\&. Version scan (\fB\-sV\fR) može pomoći da se ustanovi koji portovi su stvarno otvoreni, a koji su filtrirani\&.
.sp
Veliki izaziv kod skeniranja UDP portova je napraviti ti brzo\&. Otvoreni i filtrirani portovi rijetko pošalju ikakav odgovor, ostavljajući Nmap da napravi time out, te nakon toga ponovno pošalje paket u slučaju da je prethodni iz bilo kojeg razloga bio izgubljen\&. Zatvoreni portovi su često još veći problem\&. Oni najčešće pošalju kao odgovor ICMP port unreacheble grešku\&. No, za razliku od RST paketa koje pošalju zatvoreni portovi na TCP protokolu kao odgovr na SYN ili Connect() scan, mnogi hostovi ograničavaju ICMP port urnreachable poruku po defaultu\&. Linnux i Solaris su jako striktni vezano za to\&. Tako npr\&. Linux 2\&.4\&.20 kernel ograničava destination unreachable poruku na jednu po sekundi (u
net/ipv4/icmp\&.c
biblioteci)\&.\&.
.sp
Nmap pokušava ustanoviti da li je to slučaj i smanjuje brzinu skeniranja veano uz to, kako bi spriječio zaguš ivanje nekorisnim paketima koje će ciljano računalo tako i tako tiho odbaciti\&. Nažalost, spomenuti limit koji je postavljen kod linuxa, znači da će skeniranje svih 65536 portova trajati više od 18 sati\&. Ideja ubrzavanja UDP skena je da se paralelno skenira više hostova, na način da se najprije skleniraju najpopularniji portovi na brz način, skenirajući iza firewall\-a i koristeći
\fB\-\-host\-timeout\fR
kako bi se izbjegli spori hostovi\&.
.RE
.PP
\fB\-sN\fR; \fB\-sF\fR; \fB\-sX\fR (TCP Null, FIN i Xmas skenovi)
.RS 4
Ova tri tipa skenova (moguće ih je postići i više korištenjem
\fB\-\-scanflags\fR
opcije opisane u sljedećoj sekciji) iskorištavaju rupu u standardu
\m[blue]\fBTCP RFC\fR\m[]\&\s-2\u[7]\d\s+2, kako bi razlučili koji port je
otvoren, a koji
zatvoren\&. Na strani 65 piše:
\(lqUkoliko je stanje odredišnog porta ZATVORENO \&.\&.\&. dolazeći segment koji ne sadrži RST prouzročuje da RST bude poslan kao odgovor\&.\(rq
Na idućoj stranici se raspravlja o paketima poslanim na otovorene portove bez upaljenih SYN, RST ili ACK bitova i kaže da:
\(lqnajvjerovatnije se nećete naći u takovoj situaciji, ali ako se nađete, jednostavno odbacite paket\&.\(rq
.sp
Kod skeniranja sistema koji su kompatibilni s tim RFC tekstom, svaki paket koji u sebi ima upaljene bitove SYN, RST ili ACK rezzultirat će vraćenim RST paketom ako je port zatvoren, a neće dati nikakav odgovor, ako je port otvoren\&. Dok god nije upaljen niti jedan od tih bitova, bilo koja kombinacija druga tri bita (FIN, PSH i URG) je u redu\&. Nmap to iskorištava s tri dolje navedena tipa skeniranja:
.PP
Null scan (\fB\-sN\fR)
.RS 4
Ne uključuje niti jedan od bitova (TCP oznaka zaglavlja je 0)
.RE
.PP
FIN scan (\fB\-sF\fR)
.RS 4
Uključuje samo TCP FIN bit
.RE
.PP
Xmas scan (\fB\-sX\fR)
.RS 4
Uključuje FIN, PSH i URG flagove, "osvjetljavajući" paket kao božićno drvce\&. (op\&. prev\&. Xmas=Božić
.RE
.sp
Sva tri tipa skeniranja su potpuno ista što se ponašanja tiče, samo što su im upaljene različite TCP oznake u paketima\&. Ukoliko je kao odgovor dobiven RST paket, port se smatra
zatvorenim, dok situacija u kojoj nema odgovora, smatra da je port
otvoren|filtriran\&. Port je označen kao
filtriran, ako je odgovor na scan ICMP unreachable greška (tip 3, kodovi 1, 2, 3, 9, 10 ili 13)\&.
.sp
Glavna prednost ovih tipova skeniranja je ta da mogu "proviriti" kroz neke ne stateful firewall uređaje i paket filtering rutere\&. Druga prednost im je ta da su još više nevidljivi od SYN skena\&. No, nemojte se u to pouzdavati, jer većina modernih IDS sustava može biti konfigurirana da ih prepozna\&. Veliki nedostatak je da ne podržavaju svi sistemi RFC 793 do zadnjeg slova, pa tako većina sustava odgovara RST paketom bez obzira na to da li je port otvoren ili nije\&. Kod takvih sustava su svi portovi koje Nmap skenira okarakterizirani kao
zatvoreni\&. Većina operativnih sustava koji se tako ponašaju su Microsoft Windows, većina Cisco uređaja, BSDI i IBM OS/400\&. No, ovaj tip skeniranja radi na većini UNIX sustava\&. Dodatan nedostatak ovih tipova skenova je taj što ne mogu razlikovati
otvorene
portove od nekih
filtriranih, te kao odgovor dobijete
otvoren|filtriran, pa si vi mislite\&.\&.\&.
.RE
.PP
\fB\-sA\fR (TCP ACK scan)
.RS 4
Ovaj tip skeniranja razlikuje se od ostalih do sad opisanih po tome što nikad ne otkrije
otvorene
ili čak
otvorene|filtrirane
portove\&. Namjena mu je mapirati pravila firewall\-a, tj\&. da zaključi da li je firewall stateful, te koji su portovi filtrirani\&.
.sp
Kad je u pitanju ACK scan, onda je upaljena samo ACK zastavica (flag) (osim ako koristite
\fB\-\-scanflags \fR)\&. Kad skenirate nefiltrirane hostove,
otvoreni
i
zatvoreni
portovi će vratiti RST paket\&. Nmap ih u tom slučaju označi kao
nefiltrirane, što znači da su dostupni ACK paketima, ali nije definirano da li su
otvoreni
ili
zatvoreni\&. Portovi koji ne odgovaraju na upite ili pošalju određene ICMP greške (tip 3, kod 1, 2, 3, 9, 10 ili 13) su označeni kao
filtrirani\&.
.RE
.PP
\fB\-sW\fR (TCP Window scan)
.RS 4
Window scan je sličan ACK scanu, samo što exploatira implamentacijske detalje operativnih sustava kako bi razlučio otvorene portove od zatvorenih, umjesto da uvijek ispiše
nefiltriran
kad dobije RST kao odgovor\&. To radi na način da pregleda TCP Window polje RST paketa koji je dobio\&. Na nekim sustavima otovreni portovi koriste pozitivnu veličinu prozora (čak i za RST pakete), dok zatvoreni portovi imaju prozor veličine 0\&. Dakle, umjesto da uvijek označi port kao
nefiltriran
kad dobije RST kao odgovor, Window scan označi portove kao
otvorene
ili
zatvorene, ovisno o tome da li je veličina prozora pozitivna ili 0\&.
.sp
Ovaj način skeniranja se pouzdaje u implementacijske detalje nekih operativnih sustava, tako da mu ne morate uvijek vjerovati\&. Sistemi koji su "otporni" na ovaj način skeniranja obično će vratiti sve portove kao
zatvorene\&. Naravno isto tako je moguće da računal stvarno nema otovrenih portova\&. Ukoliko je većina portova
zatvorena, ali ima onih koji su označeni kao
filtrirani, (npr\&. češće korišteni portovi poput 22, 25, 53) , sustav je podložan ovom načinu skeniranja i rezultat je najvjerovatnije ispravan\&. Ukoliko pokrenete sken koji vam vrati 1000 zatvorenih portova i 3 otvorena ili filtrirana porta, najvjerovatnije su ta 3 porta uistinu i otvorena\&.
.RE
.PP
\fB\-sM\fR (TCP Maimon scan)
.RS 4
Maimon scan je dobio naziv po osobi koja ga je otkrila \- Uriel Maimon\&. Tehniku skeniranja je opisao u časopisu Phrack broj 49 (Studeni 1996)\&. Nmap je izdan 2 godine kasnije i omogućavao je tu tehniku skeniranja\&. Tehnika je ista kao i Null, Xmas i FIN scan, osim što je paket koji se šalje FIN/ACK\&. Po RFC dokumentu 793 (TCP), treba odgovoriti RST paketom, bez obzira da li je port otvoren ili zatvoren\&. No, Uriel je primjetio da većina BSD sistema jednostavno odbaci paket ako je port otvoren\&.
.RE
.PP
\fB\-\-scanflags\fR (Custom TCP scan)
.RS 4
Napredni Nmap korisnici nisu vezani uz poznate tipove skenova\&.
\fB\-\-scanflags\fR
opcija dozvoljava da dizajnirate vlastiti tip skeniranja, navodeći bilo koju kombinaciju TCP zastavica (flagova)\&. Neka važi kreativni sokovi teku, dok izbjegavate otkrivanje svojih radnji od strane IDS sustava čiji su autori samo prošli kroz Nmap opcije i dodali pravila koja prepoznaju navedene tipove skeniranja\&.
.sp
\fB\-\-scanflags\fR
argument može biti brojčana vrijednost poput 9 (PSH i FIN), ali korištenje simboličnih imena je jednostavnije\&. Jednostavno izmješajte zajedno bilo koju kombinaciju zastavica (flagova)
URG,
ACK,
PSH,
RST,
SYN
i
FIN\&. Npr\&.
\fB \-\-scanflags URGACKPSHRSTSYNFIN\fR
postavlja sve zastavice, ali nije pretjerano koristan za skeniranje\&. Redosljed navođenja zastavica je nebitan\&.
.sp
Uz navođenje željenih zastavica, možete navesti i bazni TCP tip skeniranja (poput
\fB\-sA\fR
ili
\fB\-sF\fR), što će objasniti Nmap\-u kako da interpretira odgovore\&. Npr\&. SYN scan tretira paket na koji nije dobio odgovor kao
filtriran
port, dok ga FIN scan tretira kao
otvoren|filtriran\&. Nmap će se ponašati isto kao što se ponaša kod specificiranog baznog skena, osim što će koristiti zastavice koje ste naveli\&. Ukoliko ne navedete bazni tip skeniranja, koristit će se SYN scan\&.
.RE
.PP
\fB\-sI \fR (Idlescan)
.RS 4
Ova napredna metoda skeniranja omogućava slijepo skeniranje ciljanog računala (niti jedan paket nije poslan na ciljano računalo s vaše stvarne IP adrese)\&.Umjesto toga koristite zombie host računalo i predvidljiv IP fragmentation ID na njemu kako bi dobili informaciju o tome koji su portovi otvoreni na ciljanom računalu\&. IDS sustavi će pokazati da scan dolazi sa zombie mašine kojju ste specificirali kod pokretanja ovog tipa skeniranja (zombie mora biti upaljen i mora zadovoljavati neke kriterije)\&. Ovaj način skeniranja je prekompleksan da bi ga ovdje opisali u potpunosti, pa sam napisao i postao informativni članak sa svim detaljima na
\m[blue]\fB\%https://nmap.org/book/idlescan.html\fR\m[]\&.
.sp
Osim što je nevjerovatno nevidljiv (zbog načina na koji radi) ovaj tip skeniranja omogućava mapiranje IP baziranih pravila između računala\&. Ispis portova pokazuje otvorene portove
\fIkako ih vidi zombi računalo\&.\fR
Dakle, možete koristiti više zombie računala za skeniranje ciljanog računala\&.
.sp
Možete staviti dvotočku i broj porta iza nje, kako bi na tom portu provjerili da li su IPID promjene predvidljive\&. Ukoliko to ne navedete, Nmap će koristiti standardni port za TCP pinganje (80)\&.
.RE
.PP
\fB\-sO\fR (IP protocol scan)
.RS 4
IP protokol scan Vam omogućava da provjerite koji IP protokoli (TCP, ICMP, IGMP isl\&.) su podržani na ciljanim mašinama\&. Tehnički gledano, to i nije port scan jer prolazi kroz brojeve IP protokola, a ne kroz brojeve TCP i UDP portova\&. No ipak koristi opciju
\fB\-p\fR, kako bi odabrao skenirane brojeve IP protokola, ispisuje rezultate u normalnoj tabeli kao i kod skeniranja portova, pa čak koristi i isti engine za skeniranje kao i kod skeniranja portova\&. Kad sve to uzmemo u obzir \- ova metoda skeniranja je dovoljno slična skeniranju portova, pa je stoga i uključena u ovo poglavlje\&.
.sp
Osim što je koristan sam po sebi, protokol scan pokazuje i snagu open source softvera\&. Iako je temeljna metoda vrlo jednostavna, nisam je mislio uključiti u Nmap, niti sam dobio zahtjev za tom funkcionalnošću, sve dok u ljeto 2000, Gerhard Rieger nije razvio ideju, napisao izvanredan patch koji to implementira u Nmap i posalo na nmap\-hakers listu\&. Uključio sam taj patch u Nmap i pustio novu verziju već drugi dan\&. Jako malo komercijalnog softvera ima korisnike koji su toliki entuzijasti da bi razvili vlastita poboljšanja za pojedine produkte!
.sp
Protokol scan radi vrlo slično kao i UDP scan\&. Umjesto da prolazi kroz brojeve portova UDP paketa, šalje IP pakete i prolazi kroz 8 bitnio polje samog IP protokola\&. Headeri (zaglavlja) su obično prazni i ne sadrže nikakve podatke, pa čak niti ispravni header za određeni protokol\&. Izuzeci od tog pravila su TCP, UDP i ICMP protokol\&. Za te protokole je uključen ispravan protokol header (zaglavlje), jer neki sustavi u suprotonom ne žele poslati paket, tako da Nmap već ima funkcije za kreiranje ispravnih headera\&. Umjesto da čeka ICMP unreachable poruku, protokol scan traži ICMP
\fIprotoKol\fR
unreachable poruku\&. Ukoliko Nmap dobije bilo kakav odgovor u bilo kojem protokolu od ciljanog računala, Nmap označi taj protokol kao oOtvoren\&. ICMP protocol unreachable greška (tip 3, kod 2) označi protokol kao
Zatvoren\&. Sve ostale ICMP poruke (tip 3, kod 1, 3, 9, 10 i 13) označe protokol kao
filtriran
(iako je to istovremeno dokaz da je ICMP protokol
otvoren)\&. Ukoliko ne dođe nikakav odgovor nakon ponovnih pokušaja slanja, protokol je označen kao
otvoren|filtriran\&.
.RE
.PP
\fB\-b \fR (FTP bounce scan)
.RS 4
Zanimljiva funkcionalnost FTP protokola (\m[blue]\fBRFC 959\fR\m[]\&\s-2\u[8]\d\s+2) je podrška za tzv\&. proxy ftp konekcije\&. To omogućuje korisniku da se spoji na jedan FTP server, te nakon toga zatraži da fileovi budu poslani na neki drugi FTP server\&. Ta funkcionalnost je sazrijela za napade na mnogo nivoa, tako da je većina servera prestala pružati podršku za to\&. Jedan od napada koji je izvediv je taj da omogućava napadaču natjerati FTP server da skenira druge FTP servera u potrazi za otvorenim portovima\&. Jednostavno zatražite od FTP servera da poš alje datoteku na svaki od portova koji vas zanima na ciljanom računalu\&. Poruka o grešci koju ćete dobiti će vam raći da li je port otvoren ili nije\&. To je ujedno i dobar način obilaženja firewall\-a (vatrozida), jer su mnogi FTP serveri smješteni tamo gdje imaju veći pristup unutrašnjim računalima, nego bilo koje računalo s interneta\&. Nmap podržava FTP bounce scan s opcijom
\fB\-b\fR\&. Prima parametar u sljedećem obliku:
\fIusername\fR:
\fIpassword\fR@\fIserver\fR:\fIport\fR\&.
\fIServer\fR
je naziv ili IP adresa ranjivog FTP servera\&. Kao i kod normalnog URL\-a, možete zanemariti
\fIusername\fR:\fIpassword\fR, te ćete se u tom slučaju spojiti kao anonymous user i koriste se sljedeći parametri
anonymous
password:\-wwwuser@\&. Broj porta i dvotočka ispred njega također mogu biti zanemarini, a u tom slučaju ćete se spojiti na standardni FTP port (21)\&.
.sp
1997\&., kad je Nmap lansiran, ova ranjivost je bila široko rasprostranjena, ali do sad je uglavnom "pokrpana" na većini računala\&. Ipak, još uvijek postoji ranjivi serveri, pa nije loše pokušati i ovu opciju kad sve oostale zataje\&. Ukoliko je obilaženje vatrozida vaš cilj, skenirajte ciljanu mrežu za otvorenim portom 21 (ili bilo koji ftp servis, ako skenirate sve portove s otkrivanjem verzije programa \- version detection), te nakon toga pokušajte ftp bounce scan\&. Nmap će vam reći da li je host ranjiv ili nije\&. Ukoliko samo pokušavate sakriti tragove, ne biste trebali (u stvari ne biste smjeli) skenirati samo hostove na ciljanoj mreži\&. No, prije nego nasumično počnete skenirati za ranjivim ftp serverima na internetu, imajte na umu da većina sysadmina neće cijeniti što im "iskorištavate" servere na taj način
.RE
.SH "SPECIFIKACIJA PORTOVA I REDOSLJED SKENIRANJA"
.PP
Uz sve do sad nabrojane metode skeniranja, Nmap nudi opcije pomoću kojih možete specificirati koje portove želite skenirati, da li će skeniranje portova biti nasumično ili sekvencionalno\&. Defaultno Nmap skenira sve portove od 0 do 1024 (uključujući i njih) kao i sve portove iznad 1024 koji su navedeni u
nmap\-services
datoteci\&.
.PP
\fB\-p \fR (Skeniraj samo navedene portove)
.RS 4
Pomoću ove opcije možete odabrati koje portove ćete skenirati i na taj način obići defaultne postavke\&. Možete unijeti pojedinačne brojeve i/ili niz brojeva odvojenih minusom (npr\&. 1\-1023)\&.Ukoliko ž elite skenirati sve portove možete napisati samo parametar
\fB\-p\-\fR
i Nmap će skenirati sve portove od 1\-65535\&. Port 0 je moguće skenirati jedino ako ga navedete\&. Kad je u pitanju IP protokol scan (\fB\-sO\fR), opcija \-p definira koji protokol želite skenirati (od 0\-255)\&.
.sp
Kad skenirate i TCP i UDP portove zajedno, možete navesti identifikator protokola na način da prije brojeva portova stavite identifikator T: za TCP porove ili
U:
za UDP portove\&. Parametar vrijedi sve dok ne navedete neki drugi\&. Npr\&. možete napisati
\fB\-p U:53,111,137,T:21\-25,80,139,8080\fR\&. Na taj bi način skenirali UDP portove 53, 111 i 137, kao i TCP portove 21\-25, 80, 139 i 8080\&. Imajte na umu da morate navesti parametar
\fB\-sU\fR
i bar jedan TCP tip skeniranja (kao npr\&.
\fB\-sS\fR,
\fB\-sF\fR
ili
\fB\-sT\fR) kako bi mogli istovremeno skenirati i TCP i UDP portove\&. Ukoliko niste naveli identifikator protokola, navedeni portovi će biti skenirani i po TCP i po UDP protokolu\&.
.RE
.PP
\fB\-F\fR (brzi scan (s ograničenim portovima))
.RS 4
Ova opcija kaže Nmapu da skenira samo portove navedene u
nmap\-services
datoteci, koja dolazi s Nmap\-om\&. (ili protokol datoteke kad je u pitanju opcija
\fB\-sO \fR) To je mnogo brže nego skeniranje svih 65535 portova\&. Kako navedeni popis ima preko 1200 TCP portova, razlika u brzini između ove opcije i defaultnog TCP scana (koji ima oko 1650 portova) nije dramatična\&. Razlika može biti osjetno velika ako koristite svoju
nmap\-services
datoteku koristeći opciju
\fB\-\-datadir\fR
.RE
.PP
\fB\-r\fR (Ne miješaj portove)
.RS 4
Defaultno, Nmap nasumično odabire potove koje skenira (osim nekih standardnih portova koji su stavljeni na početak zbog efikasnosti)\&. To "miješanje" portova je u normalnim situacijama poželjno, ali pomoću ove opcije možete skenirati portove baš onim redosljedom kojim ste ih naveli\&.
.RE
.SH "PREPOZNAVANJE SERVISA I NJIHOVIH VERZIJA"
.PP
Skenirajte neko računalo pomoću Nmap\-a i mogao bi vam reći da su portovi 25/tcp, 80/tcp i 53/tcp otvoreni\&. Koristeći
nmap\-services
bazu podataka u kojoj se nalazi preko 2200 poznatih servisa, Nmap će vam reći da su na navedenim portzovima najvjerovatnije mail server (SMTP), web server (HTTP) i name server (DNS)\&. To je u većini slučajeva ispravno, većina servera koji slušaju na portu 25 su uistinu mail serveri, ali nemojte biti 100% sigurni u to, jer postoje ljudi koji pokreću servise na "čudnim" portovima\&.
.PP
Ako je Nmap ipak u pravu i server o kojem je riječ ima pokrenut SMTP, HTTP i DNS server, to ipak nije pretjerano mnogo informacija\&. Ukoiko radite pregled ranjivosti (vulnerability assessment) ili samo jednostavan inventar mrež nih servisa na računalima u firmi, činjenica je da trebate mnogo više informacija od gore navedenih\&. Želite znati koje verzije mail, HTTP i DNS servera su pokrenute na tom računalu\&. Kad imate "pri ruci" ispravnu verziju serverske komponente nije teško ustanoviti koje ranjivosti dotični server ima\&. Otkrivanje verzije vam pomaže u dobivanju tih informacija\&.
.PP
Nakon što ste otkrili koji TCP i/ili UDP portovi su otvoreni korištenjem neke od do sad opisanih tehnika, otkrivanje verzije ispituje te portove ne bi li otkrilo što je u stvari na tim portovima, tj\&. koja aplikacija je otvorila dotičpne portove\&.
nmap\-service\-probes
baza podataka sadži upite za ispitivanje raznih servisa i prepoznavanje na osnovu odgovora koje dobije\&. Nmap pokušava ustanoviti protokol na kojem radi servis (npr\&. ftp, ssh, telnet, http), naziv aplikacije (npr\&. ISC Bind, Apache, httpd, Solaris telnetd) , verziju, naziv hosta, tip uređaja (npr\&. printer, ruter), porodicu iz koje dolazi OS (npr\&. Windows, Linux) i ponekad neke detalje poput toga da li je otvoren X server, verziju protokola koju koristi SSH ili KaZaA korisničko ime\&. Naravno, većina servisa ne daje sve te informacije\&. Ukoliko je Nmap kompajliran s podrškom za OpenSSL protokol, spojit će se na SSL servere kako bi ustanovio servise koji se nalaze iznad enkripcijskog sloja\&. Ako su otkriveni RPC servisi, Nmap RCP istraživač (\fB\-sR\fR) je automatski uključen kako bi otkrio koji program se nalazi iz RPC\-a i koja mu je verzija\&. Neki UDP portovi su označeni s
otvoren|filtriran, ako UDP scan nije mogao odrediti da li je port otvoren ili filtriran\&. Otkrivanje verzije će pokušati dobiti odgovor s tih portova (isto kao što to radi i kod otvorenih portova), te će promijeniti njihovo stanje u otvoren ako uspije dobiti odgovor\&. TCP portovi koji su okarakterizirani kao
otvoreni|filtrirani, tretirani su na isti način\&. Imajte na umu da opcija
\fB\-A\fR
omogućije otkrivanje verzije uz ostale stvari koje podržava\&. Dokument koji objašnjava rad, korištenje i mijenjanje ovog dijela programa je dostupan na linku:
\m[blue]\fB\%https://nmap.org/vscan/\fR\m[]\&.
.PP
Kad Nmap dobije odgovr od servisa, a ne može ga usporediti s ni jednim zapisom u svojoj bazi podataka, ispisat će scepijalni "fingerprint" i URL linka na koji ga možete poslati ukoliko ste sigurni u to što se nalazi na tom portu\&. Molim vas da odvojite nekoliko minuta svog vremena kako bi poslali te informacije, jer će kasnije nekom drugom biti od velike koristi\&. Zahvaljujući upravo takvom načinu prikupljanaj informacija, Nmap ima preko 3000 zapisa koji odgovaraju (prepoznavaju) preko 350 protokola, poput smtp\-a, ftp\-a, http\-a, itd\&.\&.
.PP
Otkrivanje verzije se uključuje i njime se upravlja korištenjem sljedećih opcija:
.PP
\fB\-sV\fR (Otkrivanje verzije)
.RS 4
Uključuje otkrivanje verzije, kao što je opisano gore\&. Kao zamjenu, možete koristiti opciju
\fB\-A\fR
da bi istovremeno uključili OS detekciju i otkrivanje verzije servisa\&.
.RE
.PP
\fB\-\-allports\fR (koristi sve portove u otkrivanju verzije servisa)
.RS 4
Nmap\-ovo otkrivanje verzije servisa preskače port 9100, jer neki printeri jednostavno isprintaju sve što se pošalje na taj port, što rezultira s hrpom stranica na kojima su HTTP GET zahtjevi, binarni SSL zahtjevi isl\&. Ukoliko ipak želite koristiti i takve portove, možete to napraviti na način da maknete
Exclude
naredbu u
nmap\-service\-probes
datoteci ili jednostavno uključite opciju
\fB\-\-allports\fR, koja će ignorirati
Exclude
naredbu u nmap\-services\-probes\&.
.RE
.PP
\fB\-\-version\-intensity \fR (podesite intenzitet otkrivanja verzije servisa)
.RS 4
Kad radite scan otkrivanja verzije (\fB\-sV\fR), Nmap šalje seriju upita od kojih je svakom dodijeljen broj od 1 do 9\&. Oni upiti koji imaju niže brojeve u efikasni kod većine često korištenih servisa, dok su oni s višim brojevima rijetko korisni\&. Nivo nntenziteta skeniranja određuje koji upiti će biti korišteni\&. Što je veći broj, to je veća vjerovatnost da će servis biti ispravno identificiran\&. No, takvi skenovi traju duže\&. Intenzitet mora biti između 0 i 9\&. Preddefinirana vrijednost je 7\&. Ukoliko je upit registriran u
nmap\-service\-probes
ports
naredbi, bit će isproban bez obzira na nivo intenziteta\&. To garantira da će DNS upiti uvijek biti odrađeni na portu 53, SSL na portu 443 itd\&.
.RE
.PP
\fB\-\-version\-light\fR (omogući "lagani" mod)
.RS 4
To je jednostavniji način pozivanja opcije
\fB\-\-version\-intensity 2\fR\&. Lagani mod ubrzava skeniranje, ali je samim tim i manja vjerovatnost da će identificirati servis\&.
.RE
.PP
\fB\-\-version\-all\fR (isprobaj sve upite)
.RS 4
Zamjena za opciju
\fB\-\-version\-intensity 9\fR\&. Isprobat će sve upite u bazi podataka
.RE
.PP
\fB\-\-version\-trace\fR (prati sve što se događa tijekom skena)
.RS 4
Nmap ispiše opširne debug informacije o tome što trenutno radi opcija otkrivanja verzije servisa\&. To je dio onoga što ćete dobiti opcijom
\fB\-\-packet\-trace\fR\&.
.RE
.PP
\fB\-sR\fR (RPC scan)
.RS 4
Ova metoda radi u sprezi s različitim port scan metodama Nmap\-a\&. Uzme sve TCP/UDP portove koji su identificirani kao otvoreni i preplavi ih sa SunRPC NULL naredbama pokušavajući ustanoviti da li su RPC portovi i ako jesu za koje programe rade\&. Stoga možete efikasno dobiti iste informacije kao i s naredbom
\fBrpcinfo \-p\fR, čak i kad je ciljani portmapper iza firewall\-a (ili zaštićen TCP omotačima)\&. Mamci trenutno NE rade s RPC skenom\&. To je automatski uključeno kao dio skeniranja verzije servisa (\fB\-sV\fR)\&. Budući da otkrivanje verzije servisa samo po sebi već ima uključenu ovu opciju,
\fB\-sR\fR
se rijetko koristi\&.
.RE
.SH "OTKRIVANJE OS\-A"
.PP
Jedna od najpoznatijih odlika Nmapa je otkrivanje OS\-a na ciljanom računalu korištenjem TCP/IP stack otiska (engl\&. fingerprint)\&. Nmap šalje mnoštvo TCP i UDP paketa na udaljeno računalo i istražuje svaki bit vraćenih paketa\&. Nakon što je učinio hrpu testova poput TCP ISN sampling, podrška i redosljed TCP opcija, IPID sampling i provjeru veličine inicijalnog TCP prozora, Nmap uspoređuje rezultate s
nmap\-os\-fingerprints
bazom podataka s više od 1500 poznatih OS otisaka (engl fingerprint), te ispiše detalje o OS\-u ukoliko ga je uspio "pogoditi"\&. Svaki otisak sadrži neformatirani tekstualni opis OS\-a i klasifikaciju u koju ulazi naziv izdavača (npr\&. Sun), OS (npr\&. Solaris), generacija OS\-a (npr\&. 10) i tip uređaja (općenite namjene, ruter, switch, igraća konzola isl\&.)\&.
.PP
Ukoliko Nmap nije u stanju odrediti koji OS je pokrenut na ciljanom računalu, a uvjeti su dobri (npr\&. postoji barem jedan otvoreni port na računalu), Nmap će vam ponuditi URL link preko kojeg možete poslati otisak ukoliko ste sigurni u to koji OS se nalazi na tom računalu\&. Na taj način pomažete u nastojanjima da Nmap nauči raspoznati što je moguće više sistema i samim tim postane precizniji u pogađanju\&.
.PP
Otkrivanje OS\-a omogućava još neke dodatne testove koji koriste informacije prikupljene tijekom procesa pogađanja\&. Jedan od tih dodatnih testova je i vrijeme od kad je upaljeno računalo (uptime), koji koristi TCP timestamp opciju (RFC 1323) kako bi pogodio kad je računalo zadnji put resetirano\&.To je prikazano samo za ona računala koja daju tu informaciju\&. Drugi test je predvidljivost TCP sekvenci\&. Taj test mjeri koliko je teško uspostaviti lažiranu TCP vezu s udaljenim računalom\&. To je korisno ukoliko želite iskoristiti povjerenje bazirano na ishodišnoj IP adresi (recimo kod rlogin\-a, vatrozida, filtera itd\&.) ili u situacijama kada želite sakriti svoje tragove\&. Ovaj način prikrivanja se danas rijetko koristi, no još uvijek postoji velika količina računala koja su ranjiva\&. Stvarni broj "težine" je baziran na statističkom skupljanju podataka i varira\&. Obično je bolje koristiti klasifikaciju poput
\(lqpopriličan izazov\(rq
i
\(lqtoliko jednostavno da je smiješno\(rq
\&. Ovakakv način izvještavanja dobit ćete u normalnom ispisu kad uključite verbose opciju (\fB\-v\fR)\&. Kad je verbose opcija uključena zajedno s
\fB\-O\fR, onda kao rezultat dobijete i izvještaj generiranja IPID sekvence\&. Većina računala je u tzv\&.
\(lqinkrementalnoj\(rq
klasi, što znači da sa svakim poslanim paketom uvećaju ID polje IP zaglavlja\&. To ih čini ranjivima na nekoliko naprednih načina sakupljanja informacija i napade zavaravanja (engl\&. spoofing)\&.
.PP
Dokument u kojem je opisano kako radi, kako se koristi i kako se može prilagoditi otkrivanje verzije, dostupan je u podosta jezika na linku:
\m[blue]\fB\%https://nmap.org/osdetect/\fR\m[]\&.
.PP
Otkrivanje OS\-a se uključuje i upravlja sa sljedećim opcijama
.PP
\fB\-O\fR (Uključi otkrivanje OS\-a)
.RS 4
Ova opcije uključi otkrivanje OS\-a kako je opisano u prethodnom odlomku\&. Isto tak omožete koristiti opciju
\fB\-A\fR
da istovremeno uključite otkrivanje OS\-a i verzije
.RE
.PP
\fB\-\-osscan\-limit\fR (ograniči otkrivanje OS\-a samo na ciljeve koji obećavaju)
.RS 4
Otkrivanje OS\-a je mnogo učinkovitije ako postoji bar jedan otvoren i zatvoren port\&. Ukoliko uključite ovu opciju, Nmap neće niti pokušati raditi otkrivanje OS\-a na hostovima koji nisu zadovoljili ovaj kriterij\&. To vam može uštedjeti mnogo vremena, pogotovo kod skeniranja s opcijom
\fB\-P0\fR
kad koristite mnogo ciljanih računala\&. Ovu opciju možete koristiti samo su kombinaciji s opcijama
\fB\-O\fR
ili
\fB\-A\fR\&.
.RE
.PP
\fB\-\-osscan\-guess\fR; \fB\-\-fuzzy\fR (probaj pogoditi OS na osnovu rezultata)
.RS 4
Ukoliko Nmap nije našao idealan rezultat, ponekad ponudi najbliži rezultat koji bi mogao biti\&. Ukoliko odaberete neku od ovih opcija, Nmap će
\(lqpogađati agresivnije\(rq\&.
.RE
.SH "VRIJEME ODAZIVA I PERFORMANSE"
.PP
Jedan od najviših prioriteta tijekom razvijanja Nmap\-a su performase\&. Defaultni scan (\fBnmap\fR\fB\fIhostname\fR\fR) nekog računala na lokalnoj mreži traje petinu sekunde\&. To je manje od vremena koje vam je potrebno za treptaj oka, ali naravno kad skenirate 10 ili 100 tisuća hostova postane osjetno\&. Uz to, neki tipovi skenova, poput UDP skeniranja i otkrivanja verzijemogu to vrijeme poprilično produžiti\&. Isto tako skeniranje mogu usporiti i neke konfiguracije vatrozida, pogptovo limitiranje količine odgovora u jedinici vremena\&.Iako Nmap koristi paralalno izvršavanje skenova kako bi ih dodatno ubrzao, sam korisnik ima potpunu kontrolu nad time\&. Napredni korisnici pažljivo kombiniraju Nmap naredbe kako bi dobili samo informacije koje im trebaju poštivajući vremenske termine koje su si zadali\&.
.PP
Tehnike za ubrzavanje skeniranja sastoje se od toga da izbacite nepotrebne testove i naravno da nadogradite Nmap na posljednju verziju (poboljšanja performansi se konstantno rade)\&. Optimiziranje vremena odziva (engl\&. Timing) takođem može utjecati na brzinu skeniranja\&. Opcije slijede:
.PP
\fB\-\-min\-hostgroup \fR; \fB\-\-max\-hostgroup \fR (Podešava veličinu grupe paralelnih skenova)
.RS 4
Nmap ima mogućnost skeniranja više hostova paralelno\&. To radi na način da podijeli adresni prostor ciljanih računala u grupe i onda skenira grupu po grupu\&. U principu ispada da su veće grupe učinkovitije\&. Nedostatak je taj š to rezultati ne mogu biti prikazani dok cijela grupa nije odskenirana do kraja\&. Dakle, ako je Nmap krenuo skenirati grupu od 50 računala, korisnik nrćr vidjeti nikakve rezultate (osim onih koje ispisuje opcija \-v) dok svih 50 hostova nije odskenirano\&.
.sp
Defaultno Nmap radi kompromis\&. Počinje s grupom od 5 hostova, tako da se prvi rezultati brzo pojave na ekranu, a nakon toga poveća veličinu grupe na 1024\&. Točan broj ovisi o uključenim opcijama\&. Zbog povećane efikasnosti Nmap koristi veće grupe za UDP skenove, a manje za TCP skenove\&.
.sp
Kad definirate maksimalnu veličinu grupe pomoću opcije
\fB\-\-max\-hostgroup\fR, Nmap je neće nikad premašiti\&. Ukoliko pak specificirate minimalnu veličinu grupe s
\fB\-\-min\-hostgroup\fR, Nmap će pokušati zadržati veličinu grupe iznad tog nivoa\&. Naravno, ukoliko broj hostova koji su ostali za skeniranje bude manji od minimalne grupa Nmap će normalno odraditi svoj posao\&. Obje opcije možete koristiti istovremeno kako bi veličinu grupe zadržali u željenim okvirima, ali to je rijetko potrebno\&.
.sp
Primarna upotrenba ovih opcija je navođenje što veće minimalne veličine grupe kako bi skenovi brže odradili svoj posao\&. Najčeđći odabir je 256, kako bi skeniranje mreže išlo u odsječcima C klase\&. Za skenove u kojima se skenira mnogo portova, povećanje tog broja iznad 256 će rijetko pomoći\&. Ukoliko pak skenirate samo nekoliko portova, veličina grupe od 2048 ili više, može biti od pomoći\&.
.RE
.PP
\fB\-\-min\-parallelism \fR; \fB\-\-max\-parallelism \fR (Podesi paralelizam)
.RS 4
Ove opcije upravljaju brojem sondi (engl\&. probe) koje mogu biti poslane po grupi hostova\&. Koriste se za skeniranje portova i otkrivanje hostova\&. Defaultno Nmap svaki put izračuna idealni paralelizam vezano uz mrežne performanse, a mijenja ga tijekom skena, ovisno o ujetima\&. Ukoliko dolazi do odbačenih paketa, Nmap uspori tj\&. šalje manje sondi\&. Broj sondi polako raste ako mreža daje naznaku da može prihvatiti više od trenutnog broja\&. Ove opcije postavljaju minimalnu i maksimalnu granicu\&. Defaultno paralelizam može pasti na 1 ako je mreža nepouzdana ili narasti na nekoliko stotina, ako imamo idealne uvjete\&.
.sp
Najčešći način upotrebe je da se podesi
\fB\-\-min\-parallelism\fR
na broj veći od 1 kako bi se ubrzalo skeniranje sporijih hostova i mreža\&. To je ujedno i riskantna opcija, jer ako podesite prevelik broj, utjecat ćete na točnost skena\&. Isto tako, ukolik opodesite ovu opciju, sprječavate Nmap da dinamički upravlja paralelizmom vezano uz stvarne uvjete na mreži\&. Broj 10 ima smisla, ali osobno podešavam tu vrijednost kad nemam ništa drugo na rapolaganju\&.
.sp
Opcija
\fB\-\-max\-parallelism\fR
stavite na 1 ukoliko želite spriječiti Nmap da koristi paralelizam, tj\&. želite da šalje samo jednu po jednu sondu\&.To može biti korisno u kombinaciji s opcijom
\fB\-\-scan\-delay \fR
(objasnit ćemo je kasnije), mada ta opcija sama po sebi služi svrsi dovoljno dobro\&.
.RE
.PP
\fB\-\-min\-rtt\-timeout