1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
1001
1002
1003
1004
1005
1006
1007
1008
1009
1010
1011
1012
1013
1014
1015
1016
1017
1018
1019
1020
1021
1022
1023
1024
1025
1026
1027
1028
1029
1030
1031
1032
1033
1034
1035
1036
1037
1038
1039
1040
1041
1042
1043
1044
1045
1046
1047
1048
1049
1050
1051
1052
1053
1054
1055
1056
1057
1058
1059
1060
1061
1062
1063
1064
1065
1066
1067
1068
1069
1070
1071
1072
1073
1074
1075
1076
1077
1078
1079
1080
1081
1082
1083
1084
1085
1086
1087
1088
1089
1090
1091
1092
1093
1094
1095
1096
1097
1098
1099
1100
1101
1102
1103
1104
1105
1106
1107
1108
1109
1110
1111
1112
1113
1114
1115
1116
1117
1118
1119
1120
1121
1122
1123
1124
1125
1126
1127
1128
1129
1130
1131
1132
1133
1134
1135
1136
1137
1138
1139
1140
1141
1142
1143
1144
1145
1146
1147
1148
1149
1150
1151
1152
1153
1154
1155
1156
1157
1158
1159
1160
1161
1162
1163
1164
1165
1166
1167
1168
1169
1170
1171
1172
1173
1174
1175
1176
1177
1178
1179
1180
1181
1182
1183
1184
1185
1186
1187
1188
1189
1190
1191
1192
1193
1194
1195
1196
1197
1198
1199
1200
1201
1202
1203
1204
1205
1206
1207
1208
1209
1210
1211
1212
1213
1214
1215
1216
1217
1218
1219
1220
1221
1222
1223
1224
1225
1226
1227
1228
1229
1230
1231
1232
1233
1234
1235
1236
1237
1238
1239
1240
1241
1242
1243
1244
1245
1246
1247
1248
1249
1250
1251
1252
1253
1254
1255
1256
1257
1258
1259
1260
1261
1262
1263
1264
1265
1266
1267
1268
1269
1270
1271
1272
1273
1274
1275
1276
1277
1278
1279
1280
1281
1282
1283
1284
1285
1286
1287
1288
1289
1290
1291
1292
1293
1294
1295
1296
1297
1298
1299
1300
1301
1302
1303
1304
1305
1306
1307
1308
1309
1310
1311
1312
1313
1314
1315
1316
1317
1318
1319
1320
1321
1322
1323
1324
1325
1326
1327
1328
1329
1330
1331
1332
1333
1334
1335
1336
1337
1338
1339
1340
1341
1342
1343
1344
1345
1346
1347
1348
1349
1350
1351
1352
1353
1354
1355
1356
1357
1358
1359
1360
1361
1362
1363
1364
1365
1366
1367
1368
1369
1370
1371
1372
1373
1374
1375
1376
1377
1378
1379
1380
1381
1382
1383
1384
1385
1386
1387
1388
1389
1390
1391
1392
1393
1394
1395
1396
1397
1398
1399
1400
1401
1402
1403
1404
1405
1406
1407
1408
1409
1410
1411
1412
1413
1414
1415
1416
1417
1418
1419
1420
1421
1422
1423
1424
1425
1426
1427
1428
1429
1430
1431
1432
1433
1434
1435
1436
1437
1438
1439
1440
1441
1442
1443
1444
1445
1446
1447
1448
1449
1450
1451
1452
1453
1454
1455
1456
1457
1458
1459
1460
1461
1462
1463
1464
1465
1466
1467
1468
1469
1470
1471
1472
1473
1474
1475
1476
1477
1478
1479
1480
1481
1482
1483
1484
1485
1486
1487
1488
1489
1490
1491
1492
1493
1494
1495
1496
1497
1498
1499
1500
1501
1502
1503
1504
1505
1506
1507
1508
1509
1510
1511
1512
1513
1514
1515
1516
1517
1518
1519
1520
1521
1522
1523
1524
1525
1526
1527
1528
1529
1530
1531
1532
1533
1534
1535
1536
1537
1538
1539
1540
1541
1542
1543
1544
1545
1546
1547
1548
1549
1550
1551
1552
1553
1554
1555
1556
1557
1558
1559
1560
1561
1562
1563
1564
1565
1566
1567
1568
1569
1570
1571
1572
1573
1574
1575
1576
1577
1578
1579
1580
1581
1582
1583
1584
1585
1586
1587
1588
1589
1590
1591
1592
1593
1594
1595
1596
1597
1598
1599
1600
1601
1602
1603
1604
1605
1606
1607
1608
1609
1610
1611
1612
1613
1614
1615
1616
1617
1618
1619
1620
1621
1622
1623
1624
1625
1626
1627
1628
1629
1630
1631
1632
1633
1634
1635
1636
1637
1638
1639
1640
1641
1642
1643
1644
1645
1646
1647
1648
1649
1650
1651
1652
1653
1654
1655
1656
1657
1658
1659
1660
1661
1662
1663
1664
1665
1666
1667
1668
1669
1670
1671
1672
1673
1674
1675
1676
1677
1678
1679
1680
1681
1682
1683
1684
1685
1686
1687
1688
1689
1690
1691
1692
1693
1694
1695
1696
1697
1698
1699
1700
1701
1702
1703
1704
1705
1706
1707
1708
1709
1710
1711
1712
1713
1714
1715
1716
1717
1718
1719
1720
1721
1722
1723
1724
1725
1726
1727
1728
1729
1730
1731
1732
1733
1734
1735
1736
1737
1738
1739
1740
1741
1742
1743
1744
1745
1746
1747
1748
1749
1750
1751
1752
1753
1754
1755
1756
1757
1758
1759
1760
1761
1762
1763
1764
1765
1766
1767
1768
1769
1770
1771
1772
1773
1774
1775
1776
1777
1778
1779
1780
1781
1782
1783
1784
1785
1786
1787
1788
1789
1790
1791
1792
1793
1794
1795
1796
1797
1798
1799
1800
1801
1802
1803
1804
1805
1806
1807
1808
1809
1810
1811
1812
1813
1814
1815
1816
1817
1818
1819
1820
1821
1822
1823
1824
1825
1826
1827
1828
1829
1830
1831
1832
1833
1834
1835
1836
1837
1838
1839
1840
1841
1842
1843
1844
1845
1846
1847
1848
1849
1850
1851
1852
1853
1854
1855
1856
1857
1858
1859
1860
1861
1862
1863
1864
1865
1866
1867
1868
1869
1870
1871
1872
1873
1874
1875
1876
1877
1878
1879
1880
1881
1882
1883
1884
1885
1886
1887
1888
1889
1890
1891
1892
1893
1894
1895
1896
1897
1898
1899
1900
1901
1902
1903
1904
1905
1906
1907
1908
1909
1910
1911
1912
1913
1914
1915
1916
1917
1918
1919
1920
1921
1922
1923
1924
1925
1926
1927
1928
1929
1930
1931
1932
1933
1934
1935
1936
1937
1938
1939
1940
1941
1942
1943
1944
1945
1946
1947
1948
1949
1950
1951
1952
1953
1954
1955
1956
1957
1958
1959
1960
1961
1962
1963
1964
1965
1966
1967
1968
1969
1970
1971
1972
1973
1974
1975
1976
1977
1978
1979
1980
1981
1982
1983
1984
1985
1986
1987
1988
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
2017
2018
2019
2020
2021
2022
2023
2024
2025
2026
2027
2028
2029
2030
2031
2032
2033
2034
2035
2036
2037
2038
2039
2040
2041
2042
2043
2044
2045
2046
2047
2048
2049
2050
2051
2052
2053
2054
2055
2056
2057
2058
2059
2060
2061
2062
2063
2064
2065
2066
2067
2068
2069
2070
2071
2072
2073
2074
2075
2076
2077
2078
2079
2080
2081
2082
2083
2084
2085
2086
2087
2088
2089
2090
2091
2092
2093
2094
2095
2096
2097
2098
2099
2100
2101
2102
2103
2104
2105
2106
2107
2108
2109
2110
2111
2112
2113
2114
2115
2116
2117
2118
2119
2120
2121
2122
2123
2124
2125
2126
2127
2128
2129
2130
2131
2132
2133
2134
2135
2136
2137
2138
2139
2140
2141
2142
2143
2144
2145
2146
2147
2148
2149
2150
2151
2152
2153
2154
2155
2156
2157
2158
2159
2160
2161
2162
2163
2164
2165
2166
2167
2168
2169
2170
2171
2172
2173
2174
2175
2176
2177
2178
2179
2180
2181
2182
2183
2184
2185
2186
2187
2188
2189
2190
2191
2192
2193
2194
2195
2196
2197
2198
2199
2200
2201
2202
2203
2204
2205
2206
2207
2208
2209
2210
2211
2212
2213
2214
2215
2216
2217
2218
2219
2220
2221
2222
2223
2224
2225
2226
2227
2228
2229
2230
2231
2232
2233
2234
2235
2236
2237
2238
2239
2240
2241
2242
2243
2244
2245
2246
2247
2248
2249
2250
2251
2252
2253
2254
2255
2256
2257
2258
2259
2260
2261
2262
2263
2264
2265
2266
2267
2268
2269
2270
2271
2272
2273
2274
2275
2276
2277
2278
2279
2280
2281
2282
2283
2284
2285
2286
2287
2288
2289
2290
2291
2292
2293
2294
2295
2296
2297
2298
2299
2300
2301
2302
2303
2304
2305
2306
2307
2308
2309
2310
2311
2312
2313
2314
2315
2316
2317
2318
2319
2320
2321
2322
2323
2324
2325
2326
2327
2328
2329
2330
2331
2332
2333
2334
2335
2336
2337
2338
2339
2340
2341
2342
2343
2344
2345
2346
2347
2348
2349
2350
2351
2352
2353
2354
2355
2356
2357
2358
2359
2360
2361
2362
2363
2364
2365
2366
2367
2368
2369
2370
2371
2372
2373
2374
2375
2376
2377
2378
2379
2380
2381
2382
2383
2384
2385
2386
2387
2388
2389
2390
2391
2392
2393
2394
2395
2396
2397
2398
2399
2400
2401
2402
2403
2404
2405
2406
2407
2408
2409
2410
2411
2412
2413
2414
2415
2416
2417
2418
2419
2420
2421
2422
2423
2424
2425
2426
2427
2428
2429
2430
2431
2432
2433
2434
2435
2436
2437
2438
2439
2440
2441
2442
2443
2444
2445
2446
2447
2448
2449
2450
2451
2452
2453
2454
2455
2456
2457
2458
2459
2460
2461
2462
2463
2464
2465
2466
2467
2468
2469
2470
2471
2472
2473
2474
2475
2476
2477
2478
2479
2480
2481
2482
2483
2484
2485
2486
2487
2488
2489
2490
2491
2492
2493
2494
2495
2496
2497
2498
2499
2500
2501
2502
2503
2504
2505
2506
2507
2508
2509
2510
2511
2512
2513
2514
2515
2516
2517
2518
2519
2520
2521
2522
2523
2524
2525
2526
2527
2528
2529
2530
2531
2532
2533
2534
2535
2536
2537
2538
2539
2540
2541
2542
2543
2544
2545
2546
2547
2548
2549
2550
2551
2552
2553
2554
2555
2556
2557
2558
2559
2560
2561
2562
2563
2564
2565
2566
2567
2568
2569
2570
2571
2572
2573
2574
2575
2576
2577
2578
2579
2580
2581
2582
2583
2584
2585
2586
2587
2588
2589
2590
2591
2592
2593
2594
2595
2596
2597
2598
2599
2600
2601
2602
2603
2604
2605
2606
2607
2608
2609
2610
2611
2612
2613
2614
2615
2616
2617
2618
2619
2620
2621
2622
2623
2624
2625
2626
2627
2628
2629
2630
2631
2632
2633
2634
2635
2636
2637
2638
2639
2640
2641
2642
2643
2644
2645
2646
2647
2648
2649
2650
2651
2652
2653
2654
2655
2656
2657
2658
2659
2660
2661
2662
2663
2664
2665
2666
2667
2668
2669
2670
2671
2672
2673
2674
2675
2676
2677
2678
2679
2680
2681
2682
2683
2684
2685
2686
2687
2688
2689
2690
2691
2692
2693
2694
2695
2696
2697
2698
2699
2700
2701
2702
2703
2704
2705
2706
2707
2708
2709
2710
2711
2712
2713
2714
2715
2716
2717
2718
2719
2720
2721
2722
2723
2724
2725
2726
2727
2728
2729
2730
2731
2732
2733
2734
2735
2736
2737
2738
2739
2740
2741
2742
2743
2744
2745
2746
2747
2748
2749
2750
2751
2752
2753
2754
2755
2756
2757
2758
2759
2760
2761
2762
2763
2764
2765
2766
2767
2768
2769
2770
2771
2772
2773
2774
2775
2776
2777
2778
2779
2780
2781
2782
2783
2784
2785
2786
2787
2788
2789
2790
2791
2792
2793
2794
2795
2796
2797
2798
2799
2800
2801
2802
2803
2804
2805
2806
2807
2808
2809
2810
2811
2812
2813
2814
2815
2816
2817
2818
2819
2820
2821
2822
2823
2824
2825
2826
2827
2828
2829
2830
2831
2832
2833
2834
2835
2836
2837
2838
2839
2840
2841
2842
2843
2844
2845
2846
2847
2848
2849
2850
2851
2852
2853
2854
2855
2856
2857
2858
2859
2860
2861
2862
2863
2864
2865
2866
2867
2868
2869
2870
2871
2872
2873
2874
2875
2876
2877
2878
2879
2880
2881
2882
2883
2884
2885
2886
2887
2888
2889
2890
2891
2892
2893
2894
2895
2896
2897
2898
2899
2900
2901
2902
2903
2904
2905
2906
2907
2908
2909
2910
2911
2912
2913
2914
2915
2916
2917
2918
2919
2920
2921
2922
2923
2924
2925
2926
2927
2928
2929
2930
2931
2932
2933
2934
2935
2936
2937
2938
2939
2940
2941
2942
2943
2944
2945
2946
2947
2948
2949
2950
2951
2952
2953
2954
2955
2956
2957
2958
2959
2960
2961
2962
2963
2964
2965
2966
2967
2968
2969
2970
2971
2972
2973
2974
2975
2976
2977
2978
2979
2980
2981
2982
2983
2984
2985
2986
2987
2988
2989
2990
2991
2992
2993
2994
2995
2996
2997
2998
2999
3000
3001
3002
3003
3004
3005
3006
3007
3008
3009
3010
3011
3012
3013
3014
3015
3016
3017
3018
3019
3020
3021
3022
3023
3024
3025
3026
3027
3028
3029
3030
3031
3032
3033
3034
3035
3036
3037
3038
3039
3040
3041
3042
3043
3044
3045
3046
3047
3048
3049
3050
3051
3052
3053
3054
3055
3056
3057
3058
3059
3060
3061
3062
3063
3064
3065
3066
3067
3068
3069
3070
3071
3072
3073
3074
3075
3076
3077
3078
3079
3080
3081
3082
3083
3084
3085
3086
3087
3088
3089
3090
3091
3092
3093
3094
3095
3096
3097
3098
3099
3100
3101
3102
3103
3104
3105
3106
3107
3108
3109
3110
3111
3112
3113
3114
3115
3116
3117
3118
3119
3120
3121
3122
3123
3124
3125
3126
3127
3128
3129
3130
3131
3132
3133
3134
3135
3136
3137
3138
3139
3140
3141
3142
3143
3144
3145
3146
3147
3148
3149
3150
3151
3152
3153
3154
3155
3156
3157
3158
3159
3160
3161
3162
3163
3164
3165
3166
3167
3168
3169
3170
3171
3172
3173
3174
3175
3176
3177
3178
3179
3180
3181
3182
3183
3184
3185
3186
3187
3188
3189
3190
3191
3192
3193
3194
3195
3196
3197
3198
3199
3200
3201
3202
3203
3204
3205
3206
3207
3208
3209
3210
3211
3212
3213
3214
3215
3216
3217
3218
3219
3220
3221
3222
3223
3224
3225
3226
3227
3228
3229
3230
3231
3232
3233
3234
3235
3236
3237
3238
3239
3240
3241
3242
3243
3244
3245
3246
3247
3248
3249
3250
3251
3252
3253
3254
3255
3256
3257
3258
3259
3260
3261
3262
3263
3264
3265
3266
3267
3268
3269
3270
3271
3272
3273
3274
3275
3276
3277
3278
3279
3280
3281
3282
3283
3284
3285
3286
3287
3288
3289
3290
3291
3292
3293
3294
3295
3296
3297
3298
3299
3300
3301
3302
3303
3304
3305
3306
3307
3308
3309
3310
3311
3312
3313
3314
3315
3316
3317
3318
3319
3320
3321
3322
3323
3324
3325
3326
3327
3328
3329
3330
3331
3332
3333
3334
3335
3336
3337
3338
3339
3340
3341
3342
3343
3344
3345
3346
3347
3348
3349
3350
3351
3352
3353
3354
3355
3356
3357
3358
3359
3360
3361
3362
3363
3364
3365
3366
3367
3368
3369
3370
3371
3372
3373
3374
3375
3376
3377
3378
3379
3380
3381
3382
3383
3384
3385
3386
3387
3388
3389
3390
3391
3392
3393
3394
3395
3396
3397
3398
3399
3400
3401
3402
3403
3404
3405
3406
3407
3408
3409
3410
3411
3412
3413
3414
3415
3416
3417
3418
3419
3420
3421
3422
3423
3424
3425
3426
3427
3428
3429
3430
3431
3432
3433
3434
3435
3436
3437
3438
3439
3440
3441
3442
3443
3444
3445
3446
3447
3448
3449
3450
3451
3452
3453
3454
3455
3456
3457
3458
3459
3460
3461
3462
3463
3464
3465
3466
3467
3468
3469
3470
3471
3472
3473
3474
3475
3476
3477
3478
3479
3480
3481
3482
3483
3484
3485
3486
3487
3488
3489
3490
3491
3492
3493
3494
3495
3496
3497
3498
3499
3500
3501
3502
3503
3504
3505
3506
3507
3508
3509
3510
3511
3512
3513
3514
3515
3516
3517
3518
3519
3520
3521
3522
3523
3524
3525
3526
3527
3528
3529
3530
3531
3532
3533
3534
3535
3536
3537
3538
3539
3540
3541
3542
3543
3544
3545
3546
3547
3548
3549
3550
3551
3552
3553
3554
3555
3556
3557
3558
3559
3560
3561
3562
3563
3564
3565
3566
3567
3568
3569
3570
3571
3572
3573
3574
3575
3576
3577
3578
3579
3580
3581
3582
3583
3584
3585
3586
3587
3588
3589
3590
3591
3592
3593
3594
3595
3596
3597
3598
3599
3600
3601
3602
3603
3604
3605
3606
3607
3608
3609
3610
3611
3612
3613
3614
3615
3616
3617
3618
3619
3620
3621
3622
3623
3624
3625
3626
3627
3628
3629
3630
3631
3632
3633
3634
3635
3636
3637
3638
3639
3640
3641
3642
3643
3644
3645
3646
3647
3648
3649
3650
3651
3652
3653
3654
3655
3656
3657
3658
3659
3660
3661
3662
3663
3664
3665
3666
3667
3668
3669
3670
3671
3672
3673
3674
3675
3676
3677
3678
3679
3680
3681
3682
3683
3684
3685
3686
3687
3688
3689
3690
3691
3692
3693
3694
3695
3696
3697
3698
3699
3700
3701
3702
3703
3704
3705
3706
3707
3708
3709
3710
3711
3712
3713
3714
3715
3716
3717
3718
3719
3720
3721
3722
3723
3724
3725
3726
3727
3728
3729
3730
3731
3732
3733
3734
3735
3736
3737
3738
3739
3740
3741
3742
3743
3744
3745
3746
3747
3748
3749
3750
3751
3752
3753
3754
3755
3756
3757
3758
3759
3760
3761
3762
3763
3764
3765
3766
3767
3768
3769
3770
3771
3772
3773
3774
3775
3776
3777
3778
3779
3780
3781
3782
3783
3784
3785
3786
3787
3788
3789
3790
3791
3792
3793
3794
3795
3796
3797
3798
3799
3800
3801
3802
3803
3804
3805
3806
3807
3808
3809
3810
3811
3812
3813
3814
3815
3816
3817
3818
3819
3820
3821
3822
3823
3824
3825
3826
3827
3828
3829
3830
3831
3832
3833
3834
3835
3836
3837
3838
3839
3840
3841
3842
3843
3844
3845
3846
3847
3848
3849
3850
3851
3852
3853
3854
3855
3856
3857
3858
3859
3860
3861
3862
3863
3864
3865
3866
3867
3868
3869
3870
3871
3872
3873
3874
3875
3876
3877
3878
3879
3880
3881
3882
3883
3884
3885
3886
3887
3888
3889
3890
3891
3892
3893
3894
3895
3896
3897
3898
3899
3900
3901
3902
3903
3904
3905
3906
3907
3908
3909
3910
3911
3912
3913
3914
3915
3916
3917
3918
3919
3920
3921
3922
3923
3924
3925
3926
3927
3928
3929
3930
3931
3932
3933
3934
3935
3936
3937
3938
3939
3940
3941
3942
3943
3944
3945
3946
3947
3948
3949
3950
3951
3952
3953
3954
3955
3956
3957
3958
3959
3960
3961
3962
3963
3964
3965
3966
3967
3968
3969
3970
3971
3972
3973
3974
3975
3976
3977
3978
3979
3980
3981
3982
3983
3984
3985
3986
3987
3988
3989
3990
3991
3992
3993
3994
3995
3996
3997
3998
3999
4000
4001
4002
4003
4004
4005
4006
4007
4008
4009
4010
4011
4012
4013
4014
4015
4016
4017
4018
4019
4020
4021
4022
4023
4024
4025
4026
4027
4028
4029
4030
4031
4032
4033
4034
4035
4036
4037
4038
4039
4040
4041
4042
4043
4044
4045
4046
4047
4048
4049
4050
4051
4052
4053
4054
4055
4056
4057
4058
|
<?xml version="1.0" encoding="UTF-8"?>
<!-- $Id: manhtml.xml 3244 2006-03-29 08:44:10Z fyodor $ -->
<!-- <?xml version="1.0" encoding="iso-8859-1"?>
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.1.2//EN"
"http://www.oasis-open.org/docbook/xml/4.1.2/docbookx.dtd"> -->
<article id="man" lang="pt_BR">
<artheader>
<title>Guia de Referência do Nmap (Página do Manual)</title>
</artheader>
<refentry id="man-nmap1">
<refmeta>
<refentrytitle>nmap</refentrytitle>
<manvolnum>1</manvolnum>
<refmiscinfo class="source">Nmap</refmiscinfo>
<refmiscinfo class="manual">Guia de Referência do Nmap</refmiscinfo>
</refmeta>
<refnamediv id="man-name">
<refname>nmap</refname>
<refpurpose>Ferramenta de exploração de rede e segurança / scanner de
portas</refpurpose>
</refnamediv>
<!-- body begins here -->
<refsynopsisdiv id="man-synopsis">
<cmdsynopsis>
<command>nmap</command>
<arg choice="opt" rep="repeat">
<replaceable>Tipo de Scan</replaceable>
</arg>
<arg choice="opt">
<replaceable>Opções</replaceable>
</arg>
<arg choice="req">
<replaceable>especificação do alvo</replaceable>
</arg>
</cmdsynopsis>
</refsynopsisdiv>
<refsect1 id="man-description">
<title>Descrição</title>
<web>
<note>
<para>
Este documento descreve o Nmap versão 4.00. A documentação mais
recente está disponível em inglês em
<ulink url="https://nmap.org/book/man.html" />.</para></note>
</web>
<para>O Nmap (<quote>Network Mapper</quote>) é uma ferramenta de código
aberto para exploração de rede e auditoria de segurança. Ela foi
desenhada para escanear rapidamente redes amplas, embora também funcione
muito bem contra hosts individuais. O Nmap utiliza pacotes IP em estado
bruto (raw) de maneira inovadora para determinar quais hosts estão
disponíveis na rede, quais serviços (nome da aplicação e versão) os
hosts oferecem, quais sistemas operacionais (e versões de SO) eles estão
executando, que tipos de filtro de pacotes/firewalls estão em uso, e
dezenas de outras características. Embora o Nmap seja normalmente
utilizado para auditorias de segurança, muitos administradores de
sistemas e rede consideram-no útil para tarefas rotineiras tais como
inventário de rede, gerenciamento de serviços de atualização agendados,
e monitoramento de host ou disponibilidade de serviço.</para>
<para>A saída do Nmap é uma lista de alvos escaneados, com informações
adicionais de cada um dependendo das opções utilizadas. Uma informação
chave é a <quote>tabela de portas interessantes</quote>. Essa tabela
lista o número da porta e o protocolo, o nome do serviço e o estado. O
estado pode ser <literal>aberto (open)</literal>, <literal>filtrado
(filtered)</literal>, <literal>fechado (closed)</literal>, ou
<literal>não-filtrado (unfilterd)</literal>. Aberto (open) significa que
uma aplicação na máquina-alvo está escutando as conexões/pacotes naquela
porta. <literal>Filtrado (filtered)</literal> significa que o firewall,
filtro ou outro obstáculo de rede está bloqueando a porta de forma que o
Nmap não consegue dizer se ela está <literal>aberta (open)</literal> ou
<literal>fechada (closed)</literal>. Portas <literal>fechadas
(closed)</literal>não possuem uma aplicação escutando nelas, embora
possam abrir a qualquer instante. Portas são classificadas como
<literal>não filtradas (unfiltered)</literal>quando elas respondem às
sondagens do Nmap, mas o Nmap não consegue determinar se as portas estão
abertas ou fechadas. O Nmap reporta as combinações
<literal>aberta|filtrada (open|filtered)</literal>e
<literal>fechada|filtrada (closed|filtered)</literal>quando não consegue
determinar qual dos dois estados descrevem melhor a porta. A tabela de
portas também pode incluir detalhes de versão de software quando a
detecção de versão for solicitada. Quando um scan do protocolo IP é
solicitado (<option>-sO</option>), o Nmap fornece informações dos
protocolos IP suportados ao invés de portas que estejam abertas.</para>
<para>Além da tabela de portas interessantes, o Nmap pode fornecer
informações adicionais sobre os alvos, incluíndo nomes de DNS reverso,
possível sistema operacional, tipos de dispositivos e endereços
MAC.</para>
<para>Um scan típico do Nmap é mostrado em <xref
linkend="man-ex-repscan" />. Os únicos argumentos que o Nmap utiliza
nesse exemplo são <option>-A</option>, para habilitar a detecção de SO e
a versão, <option>-T4</option> para execução mais rápida, e os hostnames
de dois alvos.</para>
<example id="man-ex-repscan">
<title>Uma amostra de scan do Nmap</title>
<screen format="linespecific">
# nmap -A -T4 scanme.nmap.org playground
Starting nmap ( https://nmap.org/ )
Interesting ports on scanme.nmap.org (205.217.153.62):
(The 1663 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99)
53/tcp open domain
70/tcp closed gopher
80/tcp open http Apache httpd 2.0.52 ((Fedora))
113/tcp closed auth
Device type: general purpose
Running: Linux 2.4.X|2.5.X|2.6.X
OS details: Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2.6.11
Uptime 33.908 days (since Thu Jul 21 03:38:03 2005)
Interesting ports on playground.nmap.org (192.168.0.40):
(The 1659 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn
389/tcp open ldap?
445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds
1002/tcp open windows-icfw?
1025/tcp open msrpc Microsoft Windows RPC
1720/tcp open H.323/Q.931 CompTek AquaGateKeeper
5800/tcp open vnc-http RealVNC 4.0 (Resolution 400x250; VNC TCP port: 5900)
5900/tcp open vnc VNC (protocol 3.8)
MAC Address: 00:A0:CC:63:85:4B (Lite-on Communications)
Device type: general purpose
Running: Microsoft Windows NT/2K/XP
OS details: Microsoft Windows XP Pro RC1+ through final release
Service Info: OSs: Windows, Windows XP
Nmap finished: 2 IP addresses (2 hosts up) scanned in 88.392 seconds
</screen>
</example>
<para>A versão mais nova do Nmap pode ser obtida em <ulink
url="https://nmap.org/" />. A versão mais nova da página do
manual está disponível em <ulink
url="https://nmap.org/man/" />.</para>
</refsect1>
<refsect1 id="translation">
<title>Notas da Tradução</title>
<para>Esta edição em Português (Brasil) do Guia de Referência do Nmap
foi traduzida da versão [3244] do <ulink
url="https://nmap.org/man/">original em Inglês</ulink> por
Lucien Raven :> (aka:ekita)
<email>lucienraven.at.yahoo.com.br</email> e foi revisada por Humberto
Sartini <email>humberto.at.onda.com.br</email>. Embora tenhamos a
esperança de que esta tradução torne o Nmap mais acessível para os
brasileiros do mundo todo, não podemos garantir que ela esteja tão
completa ou atualizada quanto a versão original em Inglês. Este trabalho
pode ser modificado e redistribuído sob os termos da <ulink
url="http://creativecommons.org/licenses/by/2.5/">Licença de Atribuição
da Creative Commons</ulink>. Algumas liberdades foram tomadas na
tradução de expressões, jargão e gíria. Para maiores detalhes sobre a
tradução, sugestões ou críticas, envie um e-mail para os tradutores --
não esqueça de substituir '.at.' por '@'. [Rev:3244-01]</para>
</refsect1>
<refsect1 id="man-briefoptions">
<title>Sumário das Opções</title>
<para>Este sumário de opções é mostrado quando o Nmap é executado sem
argumentos, e a última versão está sempre disponível em <ulink
url="https://nmap.org/data/nmap.usage.txt" />. Ele ajuda as
pessoas a lembrar das opções mais comuns, mas não substitui a
documentação mais técnica do restante deste manual. Algumas opções
obscuras não estão incluídas aqui.</para>
<para>
<literallayout class="normal" format="linespecific">Usage: nmap [Scan Type(s)] [Options] {target specification}
TARGET SPECIFICATION:
Can pass hostnames, IP addresses, networks, etc.
Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0-255.0-255.1-254
-iL <inputfilename>: Input from list of hosts/networks
-iR <num hosts>: Choose random targets
--exclude <host1[,host2][,host3],...>: Exclude hosts/networks
--excludefile <exclude_file>: Exclude list from file
HOST DISCOVERY:
-sL: List Scan - simply list targets to scan
-sP: Ping Scan - go no further than determining if host is online
-P0: Treat all hosts as online -- skip host discovery
-PS/PA/PU [portlist]: TCP SYN/ACK or UDP discovery probes to given ports
-PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes
-n/-R: Never do DNS resolution/Always resolve [default: sometimes resolve]
--dns-servers <serv1[,serv2],...>: Specify custom DNS servers
--system-dns: Use OS's DNS resolver
SCAN TECHNIQUES:
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans
-sN/sF/sX: TCP Null, FIN, and Xmas scans
--scanflags <flags>: Customize TCP scan flags
-sI <zombie host[:probeport]>: Idlescan
-sO: IP protocol scan
-b <ftp relay host>: FTP bounce scan
PORT SPECIFICATION AND SCAN ORDER:
-p <port ranges>: Only scan specified ports
Ex: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080
-F: Fast - Scan only the ports listed in the nmap-services file)
-r: Scan ports sequentially - don't randomize
SERVICE/VERSION DETECTION:
-sV: Probe open ports to determine service/version info
--version-intensity <level>: Set from 0 (light) to 9 (try all probes)
--version-light: Limit to most likely probes (intensity 2)
--version-all: Try every single probe (intensity 9)
--version-trace: Show detailed version scan activity (for debugging)
OS DETECTION:
-O: Enable OS detection (try 2nd generation, then 1st if that fails)
-O1: Only use the old (1st generation) OS detection system
-O2: Only use the new OS detection system (no fallback)
--osscan-limit: Limit OS detection to promising targets
--osscan-guess: Guess OS more aggressively
TIMING AND PERFORMANCE:
Options which take <time> are in milliseconds, unless you append 's'
(seconds), 'm' (minutes), or 'h' (hours) to the value (e.g. 30m).
-T[0-5]: Set timing template (higher is faster)
--min-hostgroup/max-hostgroup <size>: Parallel host scan group sizes
--min-parallelism/max-parallelism <numprobes>: Probe parallelization
--min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <time>: Specifies
probe round trip time.
--max-retries <tries>: Caps number of port scan probe retransmissions.
--host-timeout <time>: Give up on target after this long
--scan-delay/--max-scan-delay <time>: Adjust delay between probes
FIREWALL/IDS EVASION AND SPOOFING:
-f; --mtu <val>: fragment packets (optionally w/given MTU)
-D <decoy1,decoy2[,ME],...>: Cloak a scan with decoys
-S <IP_Address>: Spoof source address
-e <iface>: Use specified interface
-g/--source-port <portnum>: Use given port number
--data-length <num>: Append random data to sent packets
--ttl <val>: Set IP time-to-live field
--spoof-mac <mac address, prefix, or vendor name>: Spoof your MAC address
OUTPUT:
-oN/-oX/-oS/-oG <file>: Output scan results in normal, XML, s|<rIpt kIddi3,
and Grepable format, respectively, to the given filename.
-oA <basename>: Output in the three major formats at once
-v: Increase verbosity level (use twice for more effect)
-d[level]: Set or increase debugging level (Up to 9 is meaningful)
--packet-trace: Show all packets sent and received
--iflist: Print host interfaces and routes (for debugging)
--log-errors: Log errors/warnings to the normal-format output file
--append-output: Append to rather than clobber specified output files
--resume <filename>: Resume an aborted scan
--stylesheet <path/URL>: XSL stylesheet to transform XML output to HTML
--webxml: Reference stylesheet from Insecure.Org for more portable XML
--no-stylesheet: Prevent associating of XSL stylesheet w/XML output
MISC:
-6: Enable IPv6 scanning
-A: Enables OS detection and Version detection
--datadir <dirname>: Specify custom Nmap data file location
--send-eth/--send-ip: Send using raw ethernet frames or IP packets
--privileged: Assume that the user is fully privileged
-V: Print version number
-h: Print this help summary page.
EXAMPLES:
nmap -v -A scanme.nmap.org
nmap -v -sP 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -P0 -p 80
</literallayout>
</para>
</refsect1>
<refsect1 id="man-target-specification">
<title>Especificação de Alvo</title>
<para>Tudo na linha de comando do Nmap que não for uma opção (ou
argumento de uma opção) é tratado como uma especificação de um
host-alvo. O caso mais simples é especificar um endereço IP como alvo ou
um hostname para ser escaneado.</para>
<para>Algumas vezes você pode querer escanear uma rede inteira de hosts
adjacentes. Para isso o Nmap suporta o estilo de endereçamento CIDR.
Você pode acrescentar <indexterm significance="normal">
<primary>endereçamentoCIDR</primary>
</indexterm> /<replaceable>númerodebits</replaceable> em um endereço
ou hostname e o Nmap irá escanear cada endereço IP para o qual os
primeiros <replaceable>númerosdebits</replaceable> sejam o mesmo que o
IP de referência ou o hostname dado. Por exemplo, 192.168.10.0/24
escanearia os 256 hosts entre 192.168.10.0 (binário: <literal>11000000
10101000 00001010 00000000</literal>) e 192.168.10.255 (binário:
<literal>11000000 10101000 00001010 11111111</literal>), inclusive.
192.168.10.40/24 faria exatamente a mesma coisa. Dado que o host
scanme.nmap.org está no endereço IP 205.217.153.62, a especificação
scanme.nmap.org/16 escanearia os 65.536 endereços IP entre 205.217.0.0 e
205.217.255.255. O menor valor permitido é /1, que equivale a escanear
metade da Internet. O maior valor é 32, que escaneia apenas o host
nomeado ou endereço IP porque todos os bits de endereçamento estão
fixos.</para>
<para>A notação CIDR é curta mas nem sempre flexível o suficiente. Por
exemplo, você pode querer escanear 192.168.0.0/16 mas desejar pular
todos os IPs terminados em .0 ou .255 porque eles são normalmente
endereços de broadcast. O Nmap suporta isso através de endereçamento por
faixa de octeto. Ao invés de especificar um endereço IP normal, você
pode especificar uma lista de números separada por vírgulas ou faixa de
números para cada octeto. Por exemplo, 192.168.0-255.1-254 irá pular
todos os endereços na faixa que terminarem com .0 e/ou .255. Faixas não
precisam ser limitadas ao octeto final: o especificador
0-255.0-255.13.37 irá executar um scan em toda a Internet buscando os
endereços IP terminados em 13.37. Esse tipo de amostragem ampla pode ser
útil em levantamentos e pesquisas da Internet toda.</para>
<para>Endereços IPv6 podem apenas ser especificados utilizando o
endereço ou hostname IPv6 completamente qualificado. Faixas CIDR e
octetos não são suportados para o IPv6 porque eles raramente são
úteis.</para>
<para>O Nmap aceita múltiplas especificações de host na linha de
comando, e elas não precisam ser do mesmo tipo. O comando <command
moreinfo="none">nmap scanme.nmap.org 192.168.0.0/16
10.0.0,1,3-7.0-255</command> executa o que se espera que dele.</para>
<para>Embora os alvos sejam normalmente especificados na linha de
comando, as seguintes opções também estão disponíveis para controlar a
seleção de alvos:</para>
<variablelist>
<varlistentry>
<term><option>-iL <arquivodeentrada></option> (Entrada à
partir de uma lista)</term>
<listitem>
<indexterm significance="normal">
<primary>-iL</primary>
</indexterm>
<para>Lê a especificação de alvos à partir de um
<replaceable>arquivodeentrada</replaceable>. Passar uma lista
enorme de hosts na linha de comando é muito ruim, ainda que seja
comumente desejável. Por exemplo, seu servidor DHCP pode exportar
uma lista de 10.000 endereços correntes em uso que você deseja
escanear. Ou talvez você deseje escanear todos os endereços IP
<emphasis>exceto</emphasis> aqueles usados para localizar hosts
que usam endereços IP estáticos não-autorizados. Simplesmente gere
uma lista de hosts a escanear e passe o nome do arquivo para o
Nmap como um argumento à opção <option>-iL</option>. As entradas
podem estar em qualquer um dos formatos aceitos pelo Nmap na linha
de comando (endereço IP, hostname, CIDR, IPv6, ou faixas de
octetos). Cada entrada deve ser separada por um ou mais espaços em
branco, tabulações ou quebra de linhas. Você pode especificar um
hífen (<literal>-</literal>) como nome de arquivo se quiser que o
Nmap leia os nomes de hosts da entrada padrão (standard input) ao
invés de um arquivo.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-iR <número de hosts></option> (Escolhe alvos
aleatórios)</term>
<listitem>
<indexterm significance="normal">
<primary>-iR</primary>
</indexterm>
<para>Para levantamentos na Internet toda e outras pesquisas, você
pode querer escolher alvos de forma aleatória. O argumento
<replaceable>número de hosts</replaceable> diz ao Nmap quantos IPs
ele deverá gerar. IPs indesejáveis, tais como aqueles de certas
redes privativas, multicast e faixas de endereços não-alocadas são
automaticamente desconsideradas. O argumento <literal>0</literal>
(zero) pode ser especificado caso deseje um scan sem fim. Tenha em
mente que alguns administradores de rede "torcem o nariz" para
scans não-autorizados de suas redes e podem reclamar. Use esta
opção por sua conta e risco! Se você estiver realmente entediado
em uma tarde chuvosa, tente o comando <command>nmap -sS -PS80 -iR
0 -p 80</command> para localizar servidores web aleatórios para
navegar.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--exclude <host1[,host2][,host3],...></option>
(Exclui hosts/redes)</term>
<listitem>
<indexterm significance="normal">
<primary>--exclude</primary>
</indexterm>
<para>Especifica uma lista de alvos, separados por vírgula, a
serem excluídos do scan mesmo que façam parte da faixa de rede
especificada. A lista que você fornece utiliza a sintaxe normal do
Nmap, portanto ela pode incluir nomes de hosts, blocos de rede
CIDR, faixas de octetos, etc. Isso pode ser útil quando a rede que
você deseja escanear inclui servidores de missão crítica
intocáveis, sistemas que reajam contrariamente a escaneamento de
portas ou sub-redes administradas por outras pessoas.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--excludefile <arquivo_exclusão></option>
(Exclui a lista do arquivo)</term>
<listitem>
<indexterm significance="normal">
<primary>--excludefile</primary>
</indexterm>
<para>Oferece a mesma funcionalidade que a opção
<option>--exclude</option>, exceto que os alvos a excluir são
fornecidos em um <replaceable>"arquivo separado"</replaceable> ,
delimitados por quebra de linhas, espaço em branco ou tabulação,
ao invés de na linha de comando.</para>
</listitem>
</varlistentry>
</variablelist>
</refsect1>
<refsect1 id="man-host-discovery">
<title>Descoberta de Hosts</title>
<para>Um dos primeiros passos em qualquer missão de reconhecimento de
uma rede é reduzir um conjunto (às vezes enorme) de faixas de endereços
IP, em uma lista de hosts ativos e interessantes. Escanear cada porta de
cada endereço IP é vagaroso e normalmente desnecessário. É claro que o
que torna um host interessante depende muito do propósito do scan.
Administradores de rede podem estar apenas interessados em hosts que
executam um determinado serviço, enquanto os auditores de segurança
podem se importar com cada dispositivo que possuir um endereço IP. Um
administrador pode se sentir à vontade em usar o ping ICMP para
localizar os hosts na rede interna, enquanto um profissional externo de
análise de vulnerabilidades (penetration tester) pode utilizar um
conjunto diversificado de dezenas de sondagens em uma tentativa de
burlar as restrições do firewall.</para>
<para>As necessidades para o descobrimento de host são muito diversas e,
por isso, o Nmap oferece uma ampla variedade de opções para customizar
as técnicas utilizadas. A descoberta de host às vezes é chamada de ping
scan, mas ela vai muito além dos simples pacotes ICMP de echo request
associados com a ferramenta onipresente conhecida como ping. Os usuários
podem pular a etapa do ping inteiramente com uma lista de scan
(<option>-sL</option>) ou desabilitanto o ping (<option>-P0</option>),
ou enfrentar a rede com combinações arbitrárias de sondagens
multi-portas TCP SYN/ACK, UDP e ICMP. O objetivo dessas sondagens é
solicitar respostas que mostrem que um endereço IP está realmente ativo
(é utilizado por um host ou dispositivo de rede). Em muitas redes,
apenas uma pequena percentagem dos endereços IP está ativa em um dado
momento. Isso é particularmente comum com o espaço de endereçamento
privativo abençoado pela RFC1918 como, por exemplo, 10.0.0.0/8. Essa
rede tem 16 milhões de IPs, mas eu já a vi sendo utilizado em empresas
com menos de mil máquinas. A descoberta de hosts pode encontrar essas
máquinas escassamente alocadas em um mar de endereços IP.</para>
<para>Se nenhuma opção de descoberta de hosts for dada, o Nmap envia um
pacote TCP ACK destinado a porta 80 e uma procura ICMP Echo Request a
cada máquina-alvo. Uma exceção a isso é que um scan ARP é utilizado para
cada alvo localizado na rede ethernet local. Para usuários Unix sem
privilégios, com shell, um pacote SYN é enviado ao invés do ack
utilizando a chamada de sistema <function>connect()</function>. Esses
valores padrão equivalem às opções <option>-PA -PE</option>. Esta
descoberta de host freqüentemente é suficiente para escanear redes
locais, mas um conjunto de sondagens mais abrangentes é recomendado para
auditoria de segurança.</para>
<para>As opções <option>-P*</option> (que selecionam tipos de ping)
podem ser combinadas. Você pode aumentar as chances de penetrar em um
firewall rígido enviando muitos tipos de sondagens, utilizando
diferentes portas/flags TCP e códigos ICMP. Note também que a descoberta
por ARP (<option>-PR</option>) é feita por padrão contra alvos na rede
ethernet local mesmo que você especifique outras opções
<option>-P*</option> , porque é quase sempre mais rápida e
eficiente.</para>
<para />
<para>Por definição, o Nmap faz a descoberta de host e então executa um
escaneamento de portas contra cada host que ele determina que está
ativo. Isto é verdade mesmo que você especifique tipos de busca
não-padronizadas de hosts, tais como sondagens UDP
(<option>-PU</option>). Leia sobre a opção <option>-sP</option> para
saber como executar <emphasis>apenas</emphasis> uma descoberta de hosts,
ou utilize <option>-P0</option> para pular a descoberta de hosts e
escanear as portas de todos os hosts-alvo. As seguintes opções controlam
a descoberta de hosts:</para>
<variablelist>
<varlistentry>
<term><option>-sL</option> (Scan Listagem)</term>
<listitem>
<indexterm significance="normal">
<primary>-sL</primary>
</indexterm>
<indexterm significance="normal">
<primary>Scan Listagem</primary>
</indexterm>
<para>O scan listagem é uma forma degenerada de descoberta de
hosts que simplesmente lista cada host da rede especificada, sem
enviar nenhum pacote aos hosts-alvos. Por padrão o Nmap fará a
resolução de DNS reverso dos hosts para descobrir seus nomes.
Ainda é surpreendente a quantidade de informações úteis que
simples nomes de hosts podem dar. Por exemplo,
<literal>fw.chi.playboy.com</literal> é o firewall do escritório
de Chicago da Playboy Enterprises. Nmap também reporta o número
total de endereços IP ao final. O scan listagem é um bom teste de
sanidade para assegurar que você está com a lista correta de
endereços IP dos seus alvos. Se os hosts mostrarem nomes de
domínios que você não reconhece, vale a pena investigar melhor
para evitar scanear a rede da empresa errada.</para>
<para>Uma vez que a idéia é apenas mostrar uma lista dos
hosts-alvos, as opções de funcionalidade de nível mais alto tais
como scan de portas, detecção de SO, ou scan utilizando ping, não
podem ser combinadas com esta opção. Se você deseja desabilitar o
scan utilizando ping enquanto executa funções de nível elevado,
leia a opção <option>-P0</option>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-sP</option> (Scan usando Ping)</term>
<listitem>
<para>Esta opção diz ao Nmap para <emphasis>somente</emphasis>
<indexterm significance="normal">
<primary>-sP</primary>
</indexterm> <indexterm significance="normal">
<primary>Scan usando Ping</primary>
</indexterm> executar um scan usando o ping (descoberta de
hosts), e então mostrar os hosts disponíveis que responderam ao
scan. Nenhum teste adicional (tais como escaneamento de portas e
deteção de SO) é executado. Isto é um pouco mais intrusivo que o
scan listagem, e pode ser usado para os mesmos propósitos. Permite
um reconhecimento leve de uma rede-alvo sem chamar muita atenção.
Saber quantos hosts estão ativos é mais valioso para invasores que
a lista fornecida pelo scan listagem com cada endereço IP e seu
nome de host.</para>
<para>Administradores de sistemas frequentemente acham esta opção
valiosa. Ela pode ser facilmente utilizada para contar o número de
máquinas disponíveis em uma rede ou monitorar a disponibilidade
dos servidores. Isto é normalmente chamado de varredura com ping
(ping sweep), e é mais confiável do que fazer um ping em um
endereço de broadcast, pois muitos hosts não respondem a pesquisas
com broadcast.</para>
<para>A opção <option>-sP</option> envia um ICMP echo request e um
pacote TCP para a porta 80 por padrão. Quando executada por um
usuário sem privilégios, um pacote SYN é enviado (usando uma
chamada <function>connect()</function>) para a porta 80 no alvo.
Quando um usuário privilegiado tenta escanear alvos na rede
ethernet local, requisições ARP (<option>-PR</option>) são
utilizadas, a menos que <option>--send-ip</option> tenha sido
especificado. A opção <option>-sP</option> pode ser combinada com
qualquer um dos tipos de sondagens de descobrimento (as opções
<option>-P*</option> , excluindo <option>-P0</option>) para maior
flexibilidade. Se qualquer uma dessas opções de tipos de sondagens
e número de porta for utilizada, as sondagens padrão (ACK e echo
request) são sobrepostas. Quando firewalls restritivos estão
posicionados entre o host de origem que executa o Nmap e a
rede-alvo, utilizar essas técnicas avançadas é recomendado. Do
contrário, hosts podem ser perdidos quando o firewall ignorar as
sondagens ou as respostas delas.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-P0</option> (Sem ping)</term>
<listitem>
<indexterm significance="normal">
<primary>-P0</primary>
</indexterm>
<para>Esta opção pula completamente o estágio de descoberta do
Nmap. Normalmente o Nmap utiliza este estágio para determinar as
máquinas ativas para escaneamento mais agressivo. Por padrão, o
Nmap apenas executa sondagens agressivas tais como escaneamento de
portas, detecção de versões, ou detecções do SO contra hosts que
foram verificados como ativos. Desabilitar a descoberta de hosts
com <option>-P0</option> faz com que o Nmap teste as funções de
escaneamento solicitadas contra <emphasis>todos</emphasis> os
endereços IP alvos especificados. Portanto se um espaço de
endereçamento alvo do tamanho de uma classe B (/16) for
especificado na linha de comando, todos os 65.536 endereços IP
serão escaneados. O segundo caracter da opção <option>-P0</option>
é um zero e não a letra O. A descoberta de hosts apropriada é
desconsiderada como no scan listagem, mas ao invés de parar e
mostrar a lista de alvos, o Nmap continua a executar as funções
solicitadas como se cada alvo IP estivesse ativo.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-PS [listadeportas]</option> (Ping usando TCP
SYN)</term>
<listitem>
<indexterm significance="normal">
<primary>-PS</primary>
</indexterm>
<indexterm significance="normal">
<primary>Ping usando TCP SYN</primary>
</indexterm>
<para>Esta opção envia um pacote TCP vazio com a flag SYN marcada.
A porta de destino padrão é a 80 (configurada em tempo de
compilação pela variável DEFAULT_TCP_PROBE_PORT no
<filename>nmap.h</filename>), mas uma porta alternativa pode ser
especificada como um parâmetro. Até uma lista de portas separadas
por vírgula pode ser especificada (p.ex.
<option>-PS22,23,25,80,113,1050,35000</option>), nesse caso as
sondagens serão tentadas contra cada porta em paralelo.</para>
<para>A flag SYN sugere aos sistemas remotos que você está
tentando estabelecer uma comunicação. Normalmente a porta de
destino estará fechada e um pacote RST (reset) será enviado de
volta. Se acontecer de a porta estar aberta, o alvo irá dar o
segundo passo do cumprimento-de-três-vias (3-way-handshake) do TCP
respondendo com um pacote TCP SYN/ACK TCP. A máquina executando o
Nmap então derruba a conexão recém-nascida respondendo com um RST
ao invés de enviar um pacote ACK que iria completar o
cumprimento-de-três-vias e estabelecer uma conexão completa. O
pacote RST é enviado pelo kernel da máquina que está executando o
Nmap em resposta ao SYN/ACK inesperado, e não pelo próprio
Nmap.</para>
<para>O Nmap não se importa se a porta está aberta ou fechada.
Tanto a resposta RST ou SYN/ACK discutidas anteriormente dizem ao
Nmap se o hosts está disponível e responsivo.</para>
<para>Em caixas UNIX, apenas o usuário privilegiado
<literal>root</literal> é capaz, normalmente, de enviar e receber
pacotes TCP em estado bruto. Para usuários não privilegiados um
contorno é automaticamente empregado em concordância com a chamada
de sistema connect() iniciada contra cada porta-alvo. Isso tem o
efeito de enviar um pacote SYN ao host alvo, em uma tentativa de
se estabelecer uma conexão. Se o connect() retornar com sucesso
rápido ou com uma falha ECONNREFUSED, a pilha TCP subjacente deve
ter recebido um SYN/ACK ou RST e o host é marcado como disponível.
Se a tentativa de conexão for deixada largada até que um timeout
ocorra, o host é marcado como indisponível. Esse contorno também é
usado para conexões IPv6, pois o suporte a construção de pacotes
IPv6 em estado bruto ainda não está disponível no Nmap.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-PA [listadeportas]</option> (Ping usando TCP
ACK)</term>
<listitem>
<indexterm significance="normal">
<primary>-PA</primary>
</indexterm>
<indexterm significance="normal">
<primary>Ping usando TCP ACK</primary>
</indexterm>
<para>O ping usando TCP ACK é muito similar ao recém-discutido
ping usando SYN. A diferença, como você poderia imaginar, é que a
flag TCP ACK é marcada ou invés da flag SYN. Tal pacote ACK finge
reconhecer dados de uma conexão TCP estabelecida, quando nenhuma
conexão existe de fato. Então os hosts remotos deveriam sempre
responder com pacotes RST, revelando sua existência no
processo.</para>
<para>A opção <option>-PA</option> utiliza a mesma porta padrão
que a sondagem SYN (80) e pode também obter uma lista de portas
destino no mesmo formato. Se um usuário privilegiado tenta isto,
ou se um alvo IPv6 é especificado, o contorno connect() discutido
anteriormente é utilizado. Esse contorno é imperfeito pois o
connect() está realmente enviando um pacote SYN ao invés de um
ACK.</para>
<para>O motivo para oferecer ambas as sondagens ping, que utilizam
SYN e ACK, é maximizar as chances de passar por firewalls. Muitos
administradores configuram roteadores e outros firwalls simples
para bloquear pacotes SYN entrantes exceto aqueles destinados a
serviços públicos como o site web da empresa ou servidor de
correio eletrônico. Isso evita as demais conexões entrantes na
organização, permitindo aos usuários fazer conexões desobstruidas
à Internet. Essa aproximação não-orientada à conexão (non-stateful
ou stateless) consome uns poucos recursos no firewall/roteador e é
amplamente suportada por filtros de hardware e software. O
firewall de software Netfilter/iptables do Linux oferece a
conveniência da opção <option>--syn</option> para implementar essa
abordagem stateless. Quando regras stateless do firewall tais como
essas são implementadas, sondagens de ping usando SYN
(<option>-PS</option>) muito provavelmente serão bloqueadas quando
forem enviadas à portas fechadas. Em tais casos, a sondagem ACK se
destaca pois ela simplesmente passa por essas regras.</para>
<para>Outro tipo comum de firewall utiliza regras orientadas a
conexão que descartam pacotes inesperados. Esta característica era
encontrada inicialmente apenas em firewalls de alto-nível, embora
tenha se tornado mais comum com o passar dos anos. O sistema
Netfilter/iptables do Linux suporta esta característica através da
opção <option>--state</option>, que categoriza os pacotes baseados
no estado da conexão. Uma sondagem SYN tem maiores chances de
funcionar contra um sistema assim, pois pacotes ACK inesperados
são normalmente reconhecidos como falsos e descartados. Uma
solução para esse dilema é enviar ambas as sondagens SYN e ACK
especificando <option>-PS</option> e <option>-PA</option>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-PU [listadeportas]</option> (Ping usando UDP)</term>
<listitem>
<indexterm significance="normal">
<primary>-PU</primary>
</indexterm>
<indexterm significance="normal">
<primary>Ping usando UDP</primary>
</indexterm>
<para>Outra opção de descoberta de hosts é o ping usando UDP, que
envia um pacote UDP vazio (a menos que
<option>--data-length</option> seja especificado) para as portas
informadas. O argumento "listadeportas" tem o mesmo formato que os
discutidos anteriormente nas opções <option>-PS</option> e
<option>-PA</option>. Se nenhuma porta for especificada, o padrão
é 31338. Esse padrão pode ser configurado em tempo de compilação
alterando DEFAULT_UDP_PROBE_PORT no <filename>nmap.h</filename>.
Uma porta alta incomum é utilizada como padrão porque enviar para
portas abertas normalmente é indesejado para este tipo particular
de scan.</para>
<para>Ao bater contra uma porta fechada na máquina-alvo, a
sondagem UDP deve causar um pacote ICMP de porta inalcançável como
resposta. Isso diz ao Nmap que a máquina está ativa e disponível.
Muitos outros tipos de erros ICMP, tais como host/rede
inalcançável ou TTL excedido são indicativos de um host inativo ou
inalcançável. A falta de resposta também é interpretada dessa
forma. Se uma porta aberta é alcançada, a maioria dos serviços
simplesmente ignoram o pacote vazio e falham em retornar qualquer
resposta. É por isso que a porta de sondagem padrão é 31338, que
pouco provavelmente estará em uso. Uns poucos serviços, tal como o
chargen, irá responder a um pacote UDP vazio, e com isso revelará
ao Nmap que a máquina está disponível.</para>
<para>A principal vantagem deste tipo de scan é que ele passa por
firewalls e filtros que apenas examinam o TCP. Por exemplo, uma
vez eu tive um roteador broadband sem-fio Linksys BEFW11S4. A
interface externa desse dispositivo filtrava todas as portas TCP
por padrão, mas as sondagens UDP ainda causavam mensagens de porta
inalcançável, entregando assim o dispositivo.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-PE</option>; <option>-PP</option>;
<option>-PM</option> (Tipos de Ping do ICMP)</term>
<listitem>
<indexterm significance="normal">
<primary>-PE</primary>
</indexterm>
<indexterm significance="normal">
<primary>-PP</primary>
</indexterm>
<indexterm significance="normal">
<primary>-PM</primary>
</indexterm>
<indexterm significance="normal">
<primary>ICMP ping</primary>
</indexterm>
<para>Além dos tipos incomuns de descoberta de hosts TCP e UDP
discutidos anteriormente, o Nmap pode enviar os pacotes-padrão que
normalmente são enviados pelo onipresente programa ping. O Nmap
envia um pacote ICMP do tipo 8 (echo request) ao endereço IP alvo,
esperando como resposta um tipo 0 (Echo Reply) do host disponível.
Infelizmente para muitos exploradores de rede, muitos hosts e
firewalls atualmente bloqueiam esses pacotes, ao invés de
responder como é requerido pela <ulink
url="http://www.rfc-editor.org/rfc/rfc1122.txt">RFC 1122</ulink>.
Por essa razão, scans puramente ICMP são raramente confiáveis o
suficiente contra alvos desconhecidos na Internet. Mas para
administradores de sistemas monitorando uma rede interna eles
podem ser uma abordagem prática e eficiente. Utilize a opção
<option>-PE</option> para ativar esse comportamento echo
request.</para>
<para>Embora o echo request seja a pesquisa padrão de um ping
ICMP, o Nmap não pára aqui. A padronização do ICMP (<ulink
url="http://www.rfc-editor.org/rfc/rfc792.txt">RFC 792</ulink>)
também especifica timestamp request, information request, e
pacotes address mask request como códigos 13, 15, e 17,
respectivamente. Apesar do propósito ostensivo dessas pesquisas
seja obter informações tais como a máscara do endereço e hora
corrente, eles podem ser facilmente utilizados para descoberta de
hosts. Um sistema que responda está ativo e disponível. O Nmap não
implementa atualmente os pacotes de requisição de informações,
pois eles não são amplamente suportados. A RFC 1122 insiste que
<quote>um host NÃO DEVERIA implementar essas mensagens</quote>.
Pesquisas de marcação de hora (Timestamp) e máscara de endereço
podem ser enviadas com as opções <option>-PP</option> e
<option>-PM</option> , respectivamente. Uma resposta timestamp
reply (código ICMP 14) ou uma resposta address mask reply (código
18) revela que o host está disponível. Essas duas pesquisas podem
ser valiosas quando os administradores bloqueiam pacotes echo
request especificamente e esquecem que outras pesquisas ICMP podem
ser usadas com o mesmo propósito.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-PR</option> (Ping usando ARP)</term>
<listitem>
<indexterm significance="normal">
<primary>-PR</primary>
</indexterm>
<indexterm significance="normal">
<primary>Ping usando ARP</primary>
</indexterm>
<para>Um dos cenários de uso mais comuns do Nmap é escanear a LAN
ethernet. Na maioria das LANs, especialmente aquelas que utilizam
a faixa de endereçamento privativo abençoado pela RFC1918, a vasta
maioria dos endereços IP não são utilizados nunca. Quando o Nmap
tenta enviar um pacote IP em estado bruto, tal como um ICMP echo
request, o sistema operacional deve determinar o endereço físico
de destino (ARP) correspondente ao IP-alvo de forma que ele possa
endereçar adequadamente o frame ethernet. Isso normalmente é lento
e problemático, pois os sistemas operacionais não foram escritos
com a expectativa de que precisariam fazer milhões de requisições
ARP contra hosts indisponíveis em um curto período de
tempo.</para>
<para>O scan ARP encarrega o Nmap e seus algoritmos otimizados de
fazer as requisições ARP. E se ele conseguir uma resposta de
volta, o Nmap não precisa nem se preocupar com os pacotes ping
baseados em IP, uma vez que ele já sabe que o host está ativo.
Isso torna o scan ARP muito mais rápido e mais confiável que os
scans baseados em IP. Portanto isso é feito por padrão quando se
escaneia hosts ethernet que o Nmap detecta estarem posicionados em
uma rede ethernet local. Mesmo se tipos diferentes de ping (tais
como <option>-PI</option> ou <option>-PS</option>) seja
especificados, o Nmap usa o ARP no lugar para cada um dos alvos
que estiverem na mesma LAN. Se você não quiser de forma nenhuma
fazer um scan ARP, especifique <option>--send-ip</option>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-n</option> (Não faça resolução DNS)</term>
<listitem>
<indexterm significance="normal">
<primary>-n</primary>
</indexterm>
<para>Diz ao Nmap para <emphasis>nunca</emphasis> fazer uma
resolução DNS reversa nos endereços IP ativos que ele encontrar.
Uma vez que o DNS é normalmente lento, isso acelera as
coisas.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-R</option> (resolução DNS para todos os alvos)</term>
<listitem>
<indexterm significance="normal">
<primary>-R</primary>
</indexterm>
<para>Diz ao Nmap para <emphasis>sempre</emphasis> fazer uma
resolução DNS reversa nos endereços IP-alvos. Normalmente isto
apenas é executado quando uma máquina está ativa.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--system-dns</option> (Usa a resolução DNS do
sistema)</term>
<listitem>
<indexterm significance="normal">
<primary>--system-dns</primary>
</indexterm>
<para>Por padrão, o Nmap resolve o endereço IP através do envio de
pesquisas (queries) diretamente aos servidores de nome
configurados em seu host, e então escuta as respostas. Muitas das
pesquisas (dezenas) são executadas em paralalo para um melhor
desempenho. Especifique esta opção se desejar utilizar a resolução
DNS do seu sistema (um endereço IP por vez, através da chamada
getnameinfo()). Isto é mais lente e raramente útil, a não ser que
haja um bug no código de DNS do Nmap -- por favor, entre em
contato conosco se for o caso. A resolução DNS do sistema é sempre
usada em escaneamento IPv6.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--dns-servers <servidor1[,servidor2],...>
</option> (Servidores a utilizar para a pesquisa DNS reversa)</term>
<listitem>
<indexterm significance="normal">
<primary>--dns-servers</primary>
</indexterm>
<para>Por padrão o Nmap irá tentar determinar os seus servidores
DNS (para a resolução DNS reversa) através do arquivo resolv.conf
(UNIX) ou do registry (Win32). Opcionalmente você pode usar esta
opção para especificar servidores alternativos. Esta opção não é
honrada se você estiver usando <option>--system-dns</option> ou um
escaneamento IPv6. Utilizar múltiplos servidores DNS é,
normalmente, mais rápido e mais furtivo do que pesquisar apenas em
um servidor. O melhor desempenho é frequentemente obtido
especificando-se todos os servidores que tem autoridade sobre a
faixa de endereços IP.</para>
</listitem>
</varlistentry>
</variablelist>
</refsect1>
<refsect1 id="man-port-scanning-basics">
<title>Fundamentos do Escaneamento de Portas</title>
<para>Embora o Nmap tenha crescido em funcionalidade ao longo dos anos,
ele começou como um eficiente scanner de portas, e essa permanece sua
função principal. O simples comando <command>nmap
<replaceable>alvo</replaceable></command> escaneia mais de 1660 portas
TCP no host <replaceable>alvo</replaceable>. Embora muitos scanner de
portas tenham tradicionalmente agrupado todas as portas nos estados
aberto ou fechado, o Nmap é muito mais granular. Ele divide as portas em
seis estados: <literal>aberto(open)</literal>,
<literal>fechado(closed)</literal>,<literal>filtrado(filtered)</literal>,
<literal>não-filtrado(unfiltered)</literal>,
<literal>open|filtered</literal>, ou
<literal>closed|filtered</literal>.</para>
<para>Esses estados não são propriedades intrínsecas da porta, mas
descrevem como o Nmap as vê. Por exemplo, um scan do Nmap da mesma rede
como alvo pode mostrar a porta 135/tcp como aberta, enquanto um scan ao
mesmo tempo com as mesmas opções, à partir da Internet poderia mostrar
essa porta como <literal>filtrada</literal>.</para>
<variablelist>
<title>Os seis estados de porta reconhecidos pelo Nmap</title>
<varlistentry>
<term>aberto (open)</term>
<listitem>
<para>Uma aplicação está ativamente aceitando conexões TCP ou
pacotes UDP nesta porta. Encontrar esse estado é freqüentemente o
objetivo principal de um escaneamento de portas. Pessoas
conscientes sobre a segurança sabem que cada porta aberta é um
convite para um ataque. Invasores e profissionais de avaliação de
segurança querem explorar as portas abertas, enquanto os
administradores tentam fechar ou proteger com firewalls sem
bloquear usuários legítimos. Portas abertas são também
interessantes para scans não-relacionados à segurança pois mostram
os serviços disponíveis para utilização na rede.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>fechado (closed)</term>
<listitem>
<para>Uma porta fechada está acessível (ela recebe e responde a
pacotes de sondagens do Nmap), mas não há nenhuma aplicação
ouvindo nela. Elas podem ser úteis para mostrar que um host está
ativo em um determinado endereço IP (descoberta de hosts, ou scan
usando ping), e como parte de uma deteção de SO. Pelo fato de
portas fechadas serem alcançáveis, pode valer a pena escanear mais
tarde no caso de alguma delas abrir. Os administradores deveriam
considerar o bloqueio dessas portas com um firewall. Então elas
apareceriam no estado filtrado, discutido a seguir.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>filtrado (filtered)</term>
<listitem>
<para>O Nmap não consegue determinar se a porta está aberta porque
uma filtragem de pacotes impede que as sondagens alcancem a porta.
A filtragem poderia ser de um dispositivo firewall dedicado,
regras de roteador, ou um software de firewall baseado em host.
Essas portas frustram os atacantes pois elas fornecem poucas
informações. às vezes elas respondem com mensagens de erro ICMP
tais como as do tipo 3 código 13 (destino inalcançável:
comunicação proibida administrativamente), mas os filtros que
simplesmente descartam pacotes sem responder são bem mais comuns.
Isso força o Nmap a tentar diversas vezes só para o caso de a
sondagem ter sido descartada por congestionamento da rede ao invés
de filtragem. Isso reduz a velocidade do scan
dramaticamente.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>não-filtrado (unfiltered)</term>
<listitem>
<para>O estado não-filtrado significa que uma porta está
acessível, mas que o Nmap é incapaz de determinar se ela está
aberta ou fechada. Apenas o scan ACK, que é usado para mapear
conjuntos de regras de firewall, classifica portas com este
estado. Escanear portas não-filtradas com outros tipos de scan,
tal como scan Window, scan Syn, ou scan FIN, podem ajudar a
responder se a porta está aberta.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>open|filtered</term>
<listitem>
<para>O Nmap coloca portas neste estado quando é incapaz de
determinar se uma porta está aberta ou filtrada. Isso acontece
para tipos de scan onde as portas abertas não dão nenhuma
resposta. A falta de resposta também pode significar que um filtro
de pacotes descartou a sondagem ou qualquer resposta que ela tenha
provocado. Portanto não sabe-se com certeza se a porta está aberta
ou se está sendo filtrada. Os scans UDP, IP Protocol, FIN, Null, e
Xmas classificam portas desta forma.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>closed|filtered</term>
<listitem>
<para>Este estado é usado quando o Nmap é incapaz de determinar se
uma porta está fechada ou filtrada. É apenas usado para o scan
IPID Idle scan.</para>
</listitem>
</varlistentry>
</variablelist>
</refsect1>
<refsect1 id="man-port-scanning-techniques">
<title>Técnicas de Escaneamento de Portas</title>
<para>Como um novato executando um reparo automotivo, posso brigar por
horas tentando usar minhas ferramentas rudimentares (martelo, fita
adesiva, grifo, etc.) nas tarefas. Quando eu falho miseravelmente e
reboco minha lata-velha para um mecânico de verdade ele invariavelmente
pesca aqui e ali em um enorme baú de ferramentas até pegar a coisa
perfeita que torna a tarefa uma brincadeira. A arte de escanear portas é
similar. Os experts entendem as dezenas de técnicas de escaneamento e
escolhem as que são apropriadas (ou uma combinação) para uma dada
tarefa. Usuários inexperientes e script kiddies, por outro lado, tentam
resolver todos os problemas com o scan SYN padrão. Uma vez que o Nmap é
gratuito, a única barreira para a maestria em escaneamento de portas é o
conhecimento. Isso certamente é melhor que no mundo automotivo, onde
pode ser necessário uma grande habilidade para determinar que você
precisa de um compressor de molas e então você tem que pagar milhares de
dólares por um.</para>
<para>A maioria dos tipos de scan está disponível apenas para usuários
privilegiados. Isso acontece porque eles enviam e recebem pacotes em
estado bruto, o que requer acesso de root em sistemas Unix. Utilizar a
conta de administrador no Windows é recomendado, embora o Nmap às vezes
funcione com usuários sem privilégios nessa plataforma quando o WinPcap
foi carregado no SO. Requerer privilégio de root era uma séria limitação
quando o Nmap foi lançado em 1997, pois muitos usuários apenas tinham
acesso a contas de shell compartilhadas. Agora o mundo é diferente.
Computadores estão mais baratos, muito mais pessoas tem acesso direto e
permanente à Internet, e computadores de mesa Unix (incluindo Linux e
MAC OS X) são comuns. Uma versão para o Windows do Nmap se encontra
disponível atualmente, permitindo que se rode em muito mais computadores
de mesa. Por todas essas razões, os usuários tem menos necessidade de
executar o Nmap à partir de contas de shell compartilhadas e limitadas.
Isso é muito bom pois as opções privilegiadas tornam o Nmap muito mais
poderoso e flexível.</para>
<para>Embora o Nmap tente produzir resultados precisos, tenha em mente
que todas as deduções são baseadas em pacotes devolvidos pelas
máquinas-alvo (ou firewalls na frente delas). Tais hosts podem ser
não-confiáveis e enviar respostas com o propósito de confundir ou
enganar o Nmap. Muito mais comum são os hosts não-de-acordo-com-a-rfc
que não respondem como deveriam às sondagens do Nmap. As sondagens FIN,
Null e Xmas são particularmente suscetíveis a esse problema. Tais
questões são específicas de determinados tipos de scan e portanto são
discutidos nas entradas individuais de cada um dos tipos.</para>
<para>Esta seção documenta as dezenas de técnicas de escaneamento de
portas suportadas pelo Nmap. Apenas um método pode ser utilizado de cada
vez exceto que um scan UDP (<option>-sU</option>) pode ser combinado com
qualquer um dos tipos de scan TCP. Como uma ajuda para a memória, as
opções dos tipos de escaneamento de portas estão no formato
<option>-s<replaceable>C</replaceable></option>, onde
<replaceable>C</replaceable> é um caracter proeminente no nome do scan,
normalmente o primeiro. A única exceção a essa regra é para o scan
deprecado FTP bounce (<option>-b</option>). Por padrão, o Nmap executa
um scan SYN, embora ele substitua por um scan connect se o usuário não
tiver os privilégios adequados para enviar pacotes em estado bruto
(requer acesso de root no UNIX) ou se alvos IPv6 forem especificados.
Dos scans listados nesta seção, os usuários não privilegiados podem
apenas executar os scans connect e ftp bounce.</para>
<variablelist>
<varlistentry>
<term><option>-sS</option> (scan TCP SYN)</term>
<listitem>
<indexterm significance="normal">
<primary>-sS</primary>
</indexterm>
<indexterm significance="normal">
<primary>scan TCP SYN</primary>
</indexterm>
<para>O scan SYN é a opção de scan padrão e mais popular por boas
razões. Pode ser executada rapidamente, escaneando milhares de
portas por segundo em uma rede rápida, não bloqueada por firewalls
intrusivos. O scan SYN é relativamente não-obstrusivo e camuflado,
uma vez que ele nunca completa uma conexão TCP. Ele também
trabalha contra qualquer pilha TCP padronizada ao invés de
depender de idiossincrasias de plataformas específicas como os
scans Fin/Null/Xmas, Maimon e Idle fazem. Ele também permite uma
diferenciação limpa e confiável entre os estados <literal>aberto
(open)</literal>, <literal>fechado (closed)</literal>, e
<literal>filtrado (filtered)</literal>.</para>
<para>Esta técnica é freqüentemente chamada de escaneamento de
porta entreaberta (half-open scanning), porque você não abre uma
conexão TCP completamente. Você envia um pacote SYN, como se fosse
abrir uma conexão real e então espera uma resposta. Um SYN/ACK
indica que a porta está ouvindo (aberta), enquanto um RST (reset)
é indicativo de uma não-ouvinte. Se nenhuma resposta é recebida
após diversas retransmissões, a porta é marcada como filtrada. A
porta também é marcada como filtrada se um erro ICMP de
inalcançável é recebido (tipo 3, código 1,2, 3, 9, 10, ou
13).</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-sT</option> (scan TCP connect)</term>
<listitem>
<indexterm significance="normal">
<primary>-sT</primary>
</indexterm>
<indexterm significance="normal">
<primary>scan TCP connect</primary>
</indexterm>
<para>O scan TCP connect é o scan padrão do TCP quando o scan SYN
não é uma opção. Esse é o caso quando o usuário não tem
privilégios para criar pacotes em estado bruto ou escanear redes
IPv6. Ao invés de criar pacotes em estado bruto como a maioria dos
outros tipos de scan fazem, o Nmap pede ao sistema operacional
para estabelecer uma conexão com a máquina e porta alvos enviando
uma chamada de sistema <literal>connect()</literal>. Essa é a
mesma chamada de alto nível que os navegadores da web, clientes
P2P, e a maioria das outras aplicações para rede utilizam para
estabelecer uma conexão. É parte da interface de programação
conhecida como API de Sockets de Berkeley. Ao invés de ler as
respostas em pacotes em estado bruto diretamente dos fios, o Nmap
utiliza esta API para obter informações do estado de cada
tentativa de conexão.</para>
<para>Quando um scan SYN está disponível é normalmente a melhor
escolha. O Nmap tem menos controle sobre a chamada de alto nível
<literal>connect()</literal> do que sobre os pacotes em estado
bruto, tornando-o menos eficiente. A chamada de sistema completa
as conexões nas portas-alvo abertas ao invés de executar o reset
de porta entreaberta que o scan SYN faz. Isso não só leva mais
tempo e requer mais pacotes para obter a mesma informação, mas
também torna mais provável que as máquinas-alvo registrem a
conexão. Um sistema IDS decente irá detectar qualquer um deles,
mas a maioria das máquinas não tem esse tipo de sistema de alarme.
Muitos serviços na maioria dos sistema Unix irão acrescentar uma
nota no syslog, e às vezes uma mensagem de erro obscura, quando o
Nmap se conecta e então fecha a conexão sem enviar nenhum dado.
Serviços verdadeiramente patéticos irão travar quando isso
acontecer, embora isso seja incomum. Um administrador que vê um
punhado de tentativas de conexão nos registros vindos de um único
sistema deveria saber que foi escaneado com connect().</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-sU</option> (scans UDP)</term>
<listitem>
<indexterm significance="normal">
<primary>-sU</primary>
</indexterm>
<indexterm significance="normal">
<primary>scans UDP</primary>
</indexterm>
<para>Embora os serviços mais populares na Internet trafeguem
sobre o protocolo TCP, os serviços <ulink
url="http://www.rfc-editor.org/rfc/rfc768.txt">UDP</ulink> são
amplamente difundidos. O DNS, o SNMP, e o DHCP (registrados nas
portas 53, 161/162, e 67/68) são três dos mais comuns. Pelo fato
do escaneamento UDP ser normalmente mais lento e mais difícil que
o TCP, alguns auditores de segurança ignoram essas portas. Isso é
um erro, pois serviços UDP passíveis de exploração são bastante
comuns e invasores certamente não ignoram o protocolo inteiro.
Felizmente o Nmap pode ajudar a inventariar as portas UDP.</para>
<para>O scan UDP é ativado com a opção <option>-sU</option>. Ele
pode ser combinado com um tipo de escaneamento TCP como o scan SYN
(<option>-sS</option>) para averigüar ambos protocolos na mesma
execução.</para>
<para>O scan UDP funciona enviando um cabeçalho UDP vazio (sem
dados) para cada porta almejada. Se um erro ICMP de porta
inalcançável (tipo 3, código 3) é retornado, a porta está
<literal>fechada</literal>. Outros erros do tipo inalcançável
(tipo 3, códigos 1, 2, 9, 10, ou 13) marcam a porta como
<literal>filtrada</literal>. Ocasionalmente um serviço irá
responder com um pacote UDP, provando que está
<literal>aberta</literal>. Se nenhuma resposta é recebida após as
retransmissões, a porta é classificada como
<literal>aberta|filtrada</literal>. Isso significa que a porta
poderia estar aberta, ou talvez que filtros de pacotes estejam
bloqueando a comunicação. Scans de versões (<option>-sV</option>)
podem ser utilizados para ajudar a diferenciar as portas
verdadeiramente abertas das que estão filtradas.</para>
<para>Um grande desafio com o escaneamento UDP é fazê-lo
rapidamente. Portas abertas e filtradas raramente enviam alguma
resposta, deixando o Nmap esgotar o tempo (time out) e então
efetuar retransmissões para o caso de a sondagem ou a resposta ter
sido perdida. Portas fechadas são, normalmente, um problema ainda
maior. Elas costumam enviar de volta um erro ICMP de porta
inalcançável. Mas, ao contrário dos pacotes RST enviados pelas
portas TCP fechadas em resposta a um scan SYN ou connect, muitos
hosts limitam a taxa de mensagens ICMP de porta inalcançável por
padrão. O Linux e o Solaris são particularmente rigorosos quanto a
isso. Por exemplo, o kernel 2.4.20 do Linux limita a quantidade de
mensagens de destino inalcançável a até uma por segundo (no
<filename>net/ipv4/icmp.c</filename>).</para>
<para>O Nmap detecta a limitação de taxa e diminui o ritmo de
acordo para evitar inundar a rede com pacotes inúteis que a
máquina-alvo irá descartar. Infelizmente, um limite como o do
Linux de um pacote por segundo faz com que um scan de 65.536
portas leve mais de 18 horas. Idéias para acelerar o escaneamento
UDP incluem escanear mais hosts em paralelo, fazer um scan rápido
apenas das portas mais comuns primeiro, escanear por detrás de um
firewall, e utilizar <option>--host-timeout</option> para pular os
hosts lentos.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-sN</option>; <option>-sF</option>;
<option>-sX</option> (scans TCP Null, FIN, e Xmas)</term>
<listitem>
<indexterm significance="normal">
<primary>-sN</primary>
</indexterm>
<indexterm significance="normal">
<primary>-sF</primary>
</indexterm>
<indexterm significance="normal">
<primary>-sX</primary>
</indexterm>
<indexterm significance="normal">
<primary>scan TCP NULL</primary>
</indexterm>
<indexterm significance="normal">
<primary>scan TCP FIN</primary>
</indexterm>
<indexterm significance="normal">
<primary>scan TCP Xmas</primary>
</indexterm>
<para>Esses três tipos de scan (existem outras opções, possíveis
com a opção <option>--scanflags</option> descrita na próxima
seção) exploram uma brecha sutil na <ulink
url="http://www.rfc-editor.org/rfc/rfc793.txt">RFC do TCP</ulink>
para diferenciarem entre portas <literal>abertas</literal> e
<literal>fechadas</literal>. A página 65 diz que <quote>se a porta
[destino] estiver FECHADA .... um segmento entrante que não
contenha um RST irá causar o envio de um RST como
resposta.</quote> Então a página seguinte discute os pacotes
enviados à portas abertas sem os bits SYN, RST ou ACK marcados,
afirmando que: <quote>é pouco provável que você chegue aqui, mas
se chegar, descarte o segmento, e volte.</quote></para>
<para>Quando se escaneia sistemas padronizados com o texto desta
RFC, qualquer pacote que não contenha os bits SYN, RST, ou ACK irá
resultar em um RST como resposta se a porta estiver fechada, e
nenhuma resposta se a porta estiver aberta. Contanto que nenhum
desses três bits estejam incluídos, qualquer combinação dos outros
três (FIN, PSH e URG) é válida. O Nmap explora isso com três tipos
de scan:</para>
<variablelist>
<varlistentry>
<term>scan Null (<option>-sN</option>)</term>
<listitem>
<para>Não marca nenhum bit (o cabeçalho de flag do tcp é
0)</para>
</listitem>
</varlistentry>
<varlistentry>
<term>scan FIN (<option>-sF</option>)</term>
<listitem>
<para>Marca apenas o bit FIN do TCP.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>scan Xmas(<option>-sX</option>)</term>
<listitem>
<para>Marca as flags FIN, PSH e URG, iluminando o pacote
como uma árvore de Natal.</para>
</listitem>
</varlistentry>
</variablelist>
<para>Esses três tipos de scan são exatamente os mesmos em termos
de comportamento, exceto pelas flags TCP marcadas no pacotes de
sondagem. Se um pacote RST for recebido, a porta é considerada
<literal>fechada</literal>, e nenhuma resposta significa que está
<literal>aberta|filtrada</literal>. A porta é marcada como
<literal>filtrada</literal> se um erro ICMP do tipo inalcançável
(tipo 3, código 1, 2, 3, 9, 10, ou 13) for recebido.</para>
<para>A vantagem principal desses tipos de scan é que eles podem
bisbilhotar através de alguns firewalls não-orientados à conexão e
de roteadores que filtram pacotes. Outra vantagem é que esses
tipos de scan são um pouco mais camuflados do que o scan SYN. Mas,
não conte com isso -- a maioria dos produtos IDS modernos podem
ser configurados para detectá-los. O maior problema é que nem
todos os sistemas seguem a RFC 793 ao pé-da-letra. Diversos
sistemas enviam respostas RST para as sondagens independentemente
do fato da porta estar aberta ou não. Isso faz com que todas as
portas sejam classificadas como <literal>fechadas</literal>. A
maioria dos sistemas operacionais que fazem isso são Microsoft
Windows, muitos dispositivos Cisco, BSDI, e o IBM OS/400. Esse
scan realmente funciona contra a maioria dos sistemas baseados em
Unix. Outro ponto negativo desses scans é que eles não conseguem
diferenciar portas <literal>abertas</literal> de alguns tipos de
portas <literal>filtradas</literal>, deixando você com a resposta
<literal>abera|filtrada</literal>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-sA</option> (scan TCP ACK)</term>
<listitem>
<indexterm significance="normal">
<primary>-sA</primary>
</indexterm>
<indexterm significance="normal">
<primary>scan TCP ACK</primary>
</indexterm>
<para>Esse scan é diferente dos outros discutidos até agora pelo
fato de que ele nunca determina se uma porta está
<literal>aberta</literal> (ou mesmo
<literal>aberta|filtrada</literal>). Ele é utilizado para mapear
conjuntos de regras do firewall, determinando se eles são
orientados à conexão ou não e quais portas estão filtradas.</para>
<para>O pacote de sondagem do scan ACK tem apenas a flag ACK
marcada (a menos que você use <option>--scanflags</option>).
Quando se escaneia sistemas não-filtrados, as portas
<literal>abertas</literal> e <literal>fechadas</literal> irão
devolver um pacote RST. O Nmap então coloca nelas o rótulo
<literal>não-filtradas (unfiltered)</literal>, significando que
elas estão alcançáveis pelo pacote ACK, mas se elas estão
<literal>abertas</literal> ou <literal>fechadas</literal> é
indeterminado. Portas que não respondem, ou que devolvem certas
mensagens de erro ICMP (tipo 3, código 1, 2, 3, 9, 10, ou 13), são
rotuladas como <literal>filtradas</literal>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-sW</option> (scan da Janela TCP)</term>
<listitem>
<indexterm significance="normal">
<primary>-sW</primary>
</indexterm>
<indexterm significance="normal">
<primary>Scan da Janela TCP</primary>
</indexterm>
<para>Scan da Janela é exatamente o mesmo que o scan ACK, exceto
que ele explora um detalhe da implementação de certos sistemas de
forma a diferenciar as portas abertas das fechadas, ao invés de
sempre mostrar <literal>não-filtrada</literal> quando um RST é
devolvido. Ele faz isso examinando o campo Janela TCP (TCP Window)
do pacote RST devolvido. Em alguns sistemas, as portas abertas
usam um valor positivo de tamanho de janela (mesmo para pacotes
RST), enquanto que as portas fechadas tem um valor igual a zero.
Então, ao invés de sempre mostrar uma porta como
<literal>não-filtrada</literal> quando se recebe um RST de volta,
o scan da Janela mostra a porta como <literal>aberta</literal> ou
<literal>fechada</literal> se o valor da Janela TCP no reset for
positivo ou zero, respectivamente.</para>
<para>Este scan se baseia em um detalhe de implementação de uma
minoria de sistemas na Internet, portanto não se pode confiar
sempre nele. Sistemas que não suportam isso irão normalmente
devolver todas as portas como <literal>fechadas</literal>. É claro
que é possível que a máquina realmente não tenha nenhuma porta
aberta. Se a maioria das portas escaneadas estiver
<literal>fechada</literal> mas uns poucos números de portas comuns
(tais como 22, 25, 53) estão <literal>filtrados</literal>, o
sistema muito provavelmente está vulnerável. De vez em quando, os
sistemas irão mostrar exatamente o comportamento oposto. Se o seu
scan mostrar 1000 portas abertas e 3 fechadas ou filtradas, então
essas três podem muito bem ser as verdadeiramente abertas.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-sM</option> (scan TCP Maimon)</term>
<listitem>
<indexterm significance="normal">
<primary>-sM</primary>
</indexterm>
<indexterm significance="normal">
<primary>scan TCP Maimon</primary>
</indexterm>
<para>O scan Maimon recebeu o nome de seu descobridor, Uriel
Maimon. Ele descreveu a técnica na Phrack Magazine, edição 49
(Novembro de 1996). O Nmap, que incluiu essa técnica, foi lançado
duas edições mais tarde. A técnica é exatamente a mesma que os
scans Null, FIN e Xmas, exceto que a sondagem é FIN/ACK. De acordo
com a RFC 793 (TCP), um pacote RST deveria ser gerado em resposta
a tal sondagem se a porta estiver aberta ou fechada. Entretanto,
Uriel notou que muitos sistemas derivados do BSD simplesmente
descartavam o pacote se a porta estivesse aberta.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--scanflags</option> (scan TCP Personalizado)</term>
<listitem>
<indexterm significance="normal">
<primary>--scanflags</primary>
</indexterm>
<para>Usuários verdadeiramente avançados do Nmap não precisam se
limitar aos tipos de scans enlatados oferecidos. A opção
<option>--scanflags</option> permite que você desenhe seu próprio
scan permitindo a especificação de flags TCP arbitrárias. Deixe
sua imaginação correr solta enquanto dribla sistemas de detecção
de intrusão, cujos fabricantes apenas olharam rapidamente a página
man do Nmap adicionando regras específicas!</para>
<para>O argumento do <option>--scanflags</option> pode ser um
valor numérico da marca (flag) como o 9 (PSH e FIN), mas usar
nomes simbólicos é mais fácil. Apenas esprema alguma combinação de
<literal>URG</literal>, <literal>ACK</literal>,
<literal>PSH</literal>, <literal>RST</literal>,
<literal>SYN</literal>, e <literal>FIN</literal>. Por exemplo,
<option>--scanflags URGACKPSHRSTSYNFIN</option> marca tudo, embora
não seja muito útil para escaneamento. A ordem em que essas marcas
são especificadas é irrelevante.</para>
<para>Além de especificar as marcas desejadas, você pode
especificar um tipo de scan TCP (como o <option>-sA</option> ou
<option>-sF</option>). Esse tipo-base diz ao Nmap como interpretar
as respostas. Por exemplo, um scan SYN considera nenhuma-resposta
como uma indicação de porta <literal>filtrada</literal>, enquanto
que um scan FIN trata a mesma como
<literal>aberta|filtrada</literal>. O Nmap irá se comportar da
mesma forma que o tipo de scan-base escolhido, exceto que ele irá
usar as marcas TCP que você especificar. Se você não escolher um
tipo-base, o scan SYN é utilizado.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-sI <hostzumbi[:portadesondagem]></option> (scan
Idle)</term>
<listitem>
<indexterm significance="normal">
<primary>-sI</primary>
</indexterm>
<indexterm significance="normal">
<primary>scan Idle</primary>
</indexterm>
<para>Este método avançado de scan permite um scan TCP realmente
cego das portas do alvo (significando que nenhum pacote é enviado
para o alvo do seu endereço IP real). Ao invés disso, um ataque
canal-lateral (side-channel) explora a previsível geração de
seqüencia de ID, conseqüencia da fragmentação do IP, no host
zumbi, para juntar informações sobre as portas abertas no alvo.
Sistemas IDS irão mostrar o scan como se viessem da máquina zumbi
que você especificou (que deve estar ativa e obedecer a alguns
critérios). Este tipo fascinante de scan é complexo demais para se
descrever completamente aqui, neste guia de referência, então eu
escrevi e postei um trabalho informal com detalhes completos em
<ulink url="https://nmap.org/book/idlescan.html" />.</para>
<para>Além de ser extraordinariamente camuflado (devido à sua
natureza cega), este tipo de scan permite mapear relações de
confiança baseadas em IP entre máquinas. A listagem de portas
mostra as portas abertas <emphasis>da perspectiva do host
zumbi.</emphasis> Portanto você pode tentar escanear algo usando
vários zumbis que você acha que podem ser confiáveis (via regras
de roteador/filtro de pacotes).</para>
<para>Você pode adicionar o sinal "dois-pontos", seguido do número
da porta, ao nome do host zumbi se quiser sondar uma porta em
particular no zumbi, verificando as mudanças de IPID. Do contrário
o Nmap irá utilizar a porta que ele normalmente usa por padrão
para pings tcp (80).</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-sO</option> (Scans do protocolo IP)</term>
<listitem>
<indexterm significance="normal">
<primary>-sO</primary>
</indexterm>
<indexterm significance="normal">
<primary>Scans do protocolo IP</primary>
</indexterm>
<para>Scans do Protocolo IP permitem que você determine quais
protocolos IP (TCP, ICMP, IGMP, etc.) são suportados pelas
máquina-alvo. Isso não é, tecnicamente, um scan de portas, pois
ele varia os números do protocolo IP ao invés dos números de
portas TCP e UDP. Ainda assim, ele utiliza a opção
<option>-p</option> para selecionar os números de protocolos a
escanear, mostra os resultados dentro do formato normal da tabela
de portas e usa o mesmo mecanismo de escaneamento dos métodos de
descoberta de portas. Portanto ele é parecido o suficiente com um
scan de portas e por isso pertence à este lugar.</para>
<para>Além de ser útil de seu jeito, o scan de protocolo mostra o
poder do software de código aberto. Embora a idéia fundamental
seja bastante simples, eu não havia pensado em adicioná-la e nem
havia recebido nenhuma solicitação para essa funcionalidade.
Então, no verão de 2000, Gerhard Rieger concebeu a idéia, escreveu
uma excelente alteração (patch) implementando-a, e a enviou para a
lista de discussão nmap-hackers. Eu incorporei a alteração na
árvore do Nmap e lancei uma nova versão no dia seguinte. Poucos
produtos de software comercial tem usuários entusiasmados o
suficiente para desenhar e contribuir com melhorias!</para>
<para>O scan de protocolo funciona de uma forma similar a um scan
UDP. Ao invés de ficar repetindo alternando o campo de número de
porta de um pacote UDP, ele envia cabeçalhos de pacote IP e faz a
repetição alternando o campo de protocolo IP de 8 bits. Os
cabeçalhos normalmente estão vazios, sem conter dados, e nem mesmo
contendo o cabeçalho apropriado do suposto protocolo. As três
exceções são o TCP, o UDP e o ICMP. Um cabeçalho de protocolo
apropriado para estes é incluído, uma vez que alguns sistemas não
os enviarão caso não tenham, e porque o Nmap tem as funções para
criá-los Ao invés de observar as mensagens de erro ICMP de porta
inalcançável, o scan de protocolo fica de olho nas mensagens ICMP
de <emphasis>protocolo</emphasis> inalcançável. Se o Nmap recebe
qualquer resposta de qualquer protocolo do host-alvo, o Nmap marca
esse protocolo como <literal>aberto</literal>. Um erro ICMP de
protocolo não-alcançável (tipo 3, código 2) faz com que o
protocolo seja marcado como <literal>fechado</literal>. Outros
erros ICMP do tipo inalcançável (tipo 3, código 1, 3, 9, 10, ou
13) fazem com que o protocolo seja marcado como
<literal>filtrado</literal> (embora eles provem, ao mesmo tempo,
que o ICMP está <literal>aberto</literal>). Se nenhuma resposta
for recebida após as retransmissões, o protocolo é marcado como
<literal>aberto|filtrado.</literal></para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-b <host para relay de ftp></option> (Scan de
FTP bounce)</term>
<listitem>
<indexterm significance="normal">
<primary>-b</primary>
</indexterm>
<indexterm significance="normal">
<primary>Scan de FTP bounce</primary>
</indexterm>
<para>Uma característica interessante do protocolo FTP (<ulink
url="http://www.rfc-editor.org/rfc/rfc959.txt">RFC 959</ulink>) é
o suporte à conexões denominadas proxy ftp. Isso permite que um
usuário conecte-se a um servidor FTP, e então solicite que
arquivos sejam enviados a um terceiro servidor. Tal característica
é sujeita a abusos em diversos níveis, por isso a maioria dos
servidores parou de suportá-la. Um dos abusos permitidos é fazer
com que o servidor FTP escaneie as portas de outros hosts.
Simplesmente solicite que o servidor FTP envie um arquivo para
cada porta interessante do host-alvo. A mensagem de erro irá
descrever se a porta está aberta ou não. Esta é uma boa forma de
passar por cima de firewalls porque os servidores FTP de empresas
normalmente são posicionados onde tem mais acesso a outros hosts
internos que os velhos servidores da Internet teriam. O Nmap
suporta o scan de ftp bounce com a opção <option>-b</option>. Ela
recebe um argumento no formato
<replaceable>nomedousuário</replaceable>:<replaceable>senha</replaceable>@<replaceable>servidor</replaceable>:<replaceable>porta</replaceable>.
<replaceable>Servidor</replaceable> é o nome ou endereço IP de um
servidor FTP vulnerável. Assim como em uma URL normal, você pode
omitir
<replaceable>nomedousuário</replaceable>:<replaceable>senha</replaceable>,
neste caso as credenciais de login anônimo (usuário:
<literal>anonymous</literal> senha:<literal>-wwwuser@</literal>)
serão usados. O número da porta (e os dois-pontos) podem ser
omitidos, e então a porta FTP padrão (21) no
<replaceable>servidor</replaceable> será utilizada.</para>
<para>Esta vulnerabilidade espalhou-se em 1997 quando o Nmap foi
lançado, mas foi corrigida amplamente. Servidores vulneráveis
ainda estão por aí, então pode valer a pena tentar se tudo o mais
falhar. Se passar por cima de um firewall é o seu objetivo,
escaneie a rede-alvo procurando por uma porta 21 aberta (ou mesmo
por qualquer serviço FTP se você escanear todas as portas com a
detecção de versão), então tente um scan bounce usando-as. O Nmap
irá dizer se o host é vulnerável ou não. Se você estiver apenas
tentando encobrir suas pegadas, você não precisa (e, na verdade,
não deveria) limitar-se a hosts na rede-alvo. Antes de sair
escaneando endereços aleatórios na Internet, procurando por
servidores FTP, considere que os administradores de sistemas podem
não apreciar o seu abuso nos servidores deles.</para>
</listitem>
</varlistentry>
</variablelist>
</refsect1>
<refsect1 id="man-port-specification">
<title>Especificação de Portas e Ordem de Scan</title>
<para>Somado a todos os métodos de scan discutidos anteriormente, o Nmap
oferece opções para especificar quais portas são escaneadas e se a ordem
de escaneamento é aleatória ou sequencial. Por padrão, o Nmap escaneia
todas as portas até, e incluindo, 1024, bem como portas com numeração
alta listadas no arquivo the <filename>nmap-services</filename> para
o(s) protocolo(s) escaneados.</para>
<variablelist>
<varlistentry>
<term><option>-p <faixa de portas></option> (Escaneia apenas
as portas especificadas)</term>
<listitem>
<indexterm significance="normal">
<primary>-p</primary>
</indexterm>
<para>Esta opção especifica quais portas que você deseja escanear
e prevalece sobre o padrão. Números de portas individuais são
suportadas, bem como as faixas separadas por um hífen (p.ex.:
1-1023). Os valores iniciais e/ou finais da faixa podem ser
omitidos, o que faz com que o Nmap use 1 e 65535, respectivamente.
Portanto, você pode especificar <option>-p-</option> para escanear
as portas de 1 até 65535. Escanear a porta zero é permitido se
você especificar explicitamente. Para o escaneamento do protocolo
IP (<option>-sO</option>), esta opção especifica os números dos
protocolos que você deseja escanear (0-255).</para>
<para>Quando escanear ambas as portas TCP e UDP, você pode
especificar um protocolo em particular, precedendo os números de
portas com <literal>T:</literal> ou <literal>U:</literal>. O
qualificador dura até que você especifique um novo qualificador.
Por exemplo, o argumento <option>-p
U:53,111,137,T:21-25,80,139,8080</option> escanearia as portas UDP
53, 111 e 137, bem como as portas TCP listadas. Note que para
escanear ambas as portas UDP e TCP, você tem que especificar
<option>-sU</option> e pelo menos um tipo de scan TCP (tal como
<option>-sS</option>, <option>-sF</option> ou
<option>-sT</option>). Se nenhum qualificador de protocolo for
informado, os números de portas serão acrescentados à todas as
listas de protocolos.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-F</option> (Scan Rápido (portas limitadas))</term>
<listitem>
<indexterm significance="normal">
<primary>-F</primary>
</indexterm>
<para>Especifica que você deseja apenas escanear as portas
listadas no arquivo <filename>nmap-services</filename> que vem com
o nmap (ou o arquivo de protocolos para o <option>-sO</option>).
Isto é muito mais rápido do que escanear todas as 65535 portas de
um host. Pelo fato desta lista conter tantas portas TCP (mais de
1200), a diferença de velocidade de um scan TCP padrão (cerca de
1650 portas) não é dramática. A diferença pode ser enorme se você
especificar seu próprio minúsculo arquivo
<filename>nmap-services</filename> usando a opção
<option>--datadir</option>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-r</option> (Não usa as portas de forma
aleatória)</term>
<listitem>
<indexterm significance="normal">
<primary>-r</primary>
</indexterm>
<para>Por padrão, o Nmap usa a ordem das portas a serem escaneadas
de forma aleatória (exceto aquelas portas normalmente certamente
acessíveis que são movidas próximas ao início por motivos de
eficiência). Essa técnica de busca aleatória normalmente é
desejável, mas você pode especificar <option>-r</option> para um
escaneamento de portas sequencial.</para>
</listitem>
</varlistentry>
</variablelist>
</refsect1>
<refsect1 id="man-version-detection">
<title>Detecção de Serviço e Versão</title>
<indexterm significance="normal">
<primary>scan de Versão</primary>
</indexterm>
<para>Aponte o Nmap para uma máquina remota e ele poderá lhe dizer que
as portas 25/tcp, 80/tcp e 53/udp estão abertas. Utilizar o banco de
dados <filename>nmap-services</filename>, com cerca de 2.200 serviços
bastante conhecidos, do Nmap iria relatar que aquelas portas
provavelmente correspondem a um servidor de correio eletrônico (SMTP), a
um servidor de páginas web (HTTP) e a um servidor de nomes (DNS)
respectivamente. Essa pesquisa normalmente é precisa -- a grande maioria
de daemons escutando na porta TCP 25 é, de fato, de servidores de
correio eletrônico. Entretanto, você não deveria apostar a sua segurança
nesta informação! As pessoas podem e executam serviços em portas
estranhas.</para>
<para>Mesmo que o Nmap esteja certo, e o servidor hipotético acima
esteja executando os serviços SMTP, HTTP e DNS, isso não é informação o
bastante. Quando fizer uma avaliação de vulnerabilidades (ou mesmo um
simples inventário da rede) de sua empresa ou clientes, você realmente
deseja saber qual o programa-servidor de correio eletrônico ou de nomes
e as versões que estão rodando. Ter um número de versão exato ajuda
substancialmente na determinação de quais explorações (exploits) o
servidor está vulnerável. A detecção de versão ajuda a obter esta
informação.</para>
<para>Depois que as portas TCP e/ou UDP forem descobertas usando
qualquer um dos outros métodos de scan, a detecção de versão interroga
essas portas para determinar mais informações sobre o que realmente está
sendo executado nessas portas. O banco de dados
<filename>nmap-service-probes</filename> do Nmap contém sondagens para
pesquisar diversos serviços e expressões de acerto (match expressions)
para reconhecer e destrinchar as respostas. O Nmap tenta determinar os
protocolos de serviços (p.ex.: ftp, ssh, telnet, http), o nome da
aplicação (p.ex.: ISC Bind, Apache httpd, Solaris telnetd), o número da
versão, o nome do host, tipo de dispositivo (p.ex.: impressora,
roteador), a família do SO (p.ex.: Windows, Linux) e às vezes detalhes
diversos do tipo, se um servidor X está aberto para conexões, a versão
do protocolo SSH ou o nome do usuário do KaZaA. É claro que a maioria
dos serviços não fornece todas essas informações. Se o Nmap foi
compilado com o suporte ao OpenSSL, ele irá se conectar aos servidores
SSL para deduzir qual o serviço que está escutando por trás da camada
criptografada. Quando os serviços RPC são descobertos, o "amolador" de
RPC (RPC grinder) do Nmap (<option>-sR</option>) é automaticamente
utilizado para determinar o nome do programa RPC e o número da versão.
Algumas portas UDP são deixadas no estado
<literal>aberta|filtrada</literal> depois que scan de porta UDP não
consegue determinar se a porta está aberta ou filtrada. A detecção de
versão irá tentar provocar uma resposta dessas portas (do mesmo jeito
que faz com as portas abertas), e alterar o estado para aberta se
conseguir. Portas TCP do tipo <literal>aberta|filtrada</literal> são
tratadas da mesma forma. Note que a opção <option>-A</option> do Nmap
habilita a detecção de versão, entre outras coisas. Um trabalho
documentando o funcionamento, uso e customização da detecção de versão
está disponível em <ulink
url="https://nmap.org/vscan/" />.</para>
<para>Quando o Nmap recebe uma resposta de um serviço mas não consegue
encontrá-la em seu banco de dados, ele mostra uma identificação
(fingerprint) especial e uma URL para que você envie informações se
souber com certeza o que está rodando nessa porta. Por favor, considere
dispor de alguns minutos para mandar essa informação de forma que sua
descoberta possa beneficiar a todos. Graças a esses envios, o Nmap tem
cerca de 3.000 padrões de acerto para mais de 350 protocolos, tais como
o smtp, ftp, http, etc.</para>
<para>A detecção de versão é habilitada e controlada com as seguintes
opções:</para>
<variablelist>
<varlistentry>
<term><option>-sV</option> (detecção de versão)</term>
<listitem>
<indexterm significance="normal">
<primary>-sV</primary>
</indexterm>
<para>Habilita a detecção de versão, conforme discutido acima.
Alternativamente, você pode usar a opção <option>-A</option> para
habilitar tanto a detecção de SO como a detecção de versão.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--allports</option> (Não exclui nenhuma porta da
detecção de versão)</term>
<listitem>
<indexterm significance="normal">
<primary>--allports</primary>
</indexterm>
<para>Por padrão, a detecção de versão do Nmap pula a porta TCP
9100 por causa de algumas impressoras que imprimem qualquer coisa
que seja enviada para essa porta, levando a dezenas de páginas com
requisições HTTP, requisições de sessões SSL binárias, etc. Esse
comportamento pode ser alterado modificando-se ou removendo a
diretiva <literal>Exclude</literal> no
<filename>nmap-service-probes</filename>, ou você pode especificar
<option>--allports</option> para escanear todas as portas
independente de qualquer diretiva
<literal>Exclude</literal>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--version-intensity <intensidade></option>
(Estabelece a intensidade do scan de versão)</term>
<listitem>
<indexterm significance="normal">
<primary>--version-intensity</primary>
</indexterm>
<para>Quando está executando um scan de versão
(<option>-sV</option>), o nmap envia uma série de sondagens, cada
qual com um valor atribuído de raridade, entre 1 e 9. As sondagens
com números baixos são efetivas contra uma ampla variedade de
serviços comuns, enquanto as com números altos são raramente
úteis. O nível de intensidade especifica quais sondagens devem ser
utilizadas. Quando mais alto o número, maiores as chances de o
serviço ser corretamente identificado. Entretanto, scans de alta
intensidade levam mais tempo. A intensidade deve estar entre 0 e
9. O padrão é 7. Quando uma sondagem é registrada na porta-alvo
através da diretiva <filename>nmap-service-probes</filename>
<literal>ports</literal>, essa sondagem é tentada
independentemente do nível de intensidade. Isso assegura que as
sondagens DNS sempre serão tentadas contra qualquer porta 53
aberta, e a sondagem SSL será realizada contra a 443, etc.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--version-light</option> (Habilita o modo leve
(light))</term>
<listitem>
<indexterm significance="normal">
<primary>--version-light</primary>
</indexterm>
<para>Esse é um apelido conveniente para
<option>--version-intensity 2</option>. Esse modo leve torna o
escaneamento de versão muito mais rápido, mas é ligeiramente menos
provável que identifique os serviços.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--version-all</option> (Tenta simplesmente todas as
sondagens)</term>
<listitem>
<indexterm significance="normal">
<primary>--version-all</primary>
</indexterm>
<para>Um apelido para <option>--version-intensity 9</option>,
assegurando que todas as sondagens sejam tentadas contra cada
porta.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--version-trace</option> (Monitora as atividades do
scan de versão)</term>
<listitem>
<indexterm significance="normal">
<primary>--version-trace</primary>
</indexterm>
<para>Isto faz com que o Nmap mostre informações de depuração
extensivas sobre o que o escaneamento de versão está fazendo. É um
sub-conjunto do que você obteria com
<option>--packet-trace</option>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-sR</option> (Scan RPC)</term>
<listitem>
<indexterm significance="normal">
<primary>--sR</primary>
</indexterm>
<para>Este método trabalha em conjunto com os vários métodos de
escaneamento de portas do Nmap. Ele pega todas as portas TCP/UDP
descobertas no estado aberta e inunda-as com comandos NULL do
programa SunRPC, em uma tentativa de determinar se elas são portas
RPC e, se forem, quais programas e números de versão elas mostram.
Dessa forma você pode obter efetivamente a mesma informação que o
<command>rpcinfo -p</command> mesmo se o portmapper do alvo
estiver atrás de um firewall (ou protegido por TCP wrappers).
Chamarizes não funcionam ainda com o scan RPC. Isso é habilitado
automaticamente como parte do scan de versão
(<option>-sV</option>) se você o solicitar. Como a detecção de
versão inclui isso e é muito mais abrangente, o
<option>-sR</option> raramente é necessário.</para>
</listitem>
</varlistentry>
</variablelist>
</refsect1>
<refsect1 id="man-os-detection">
<title>Detecção de SO</title>
<indexterm significance="normal">
<primary>Detecção de SO</primary>
</indexterm>
<para>Uma das características mais conhecidas do Nmap é a detecção
remota de SO utilizando a identificação da pilha (stack fingerprinting)
do TCP/IP. O Nmap envia uma série de pacotes TCP e UDP ao host remoto e
examina praticamente todos os bits das respostas. Após executar dezenas
de testes como a amostragem TCP ISN, suporte e ordenamento das opções do
TCP, amostragem IPID e a checagem do tamanho inicial da janela, o Nmap
compara os resultados com o banco de dados
<filename>nmap-os-fingerprints</filename> com mais de 1500
identificações de SO conhecidas e mostra os detalhes do SO se houver uma
correspondência. Cada identificação inclui uma descrição textual livre
do SO e uma classificação que fornece o nome do fabricante (p.ex.: Sun),
SO base (p.ex.: Solaris), geração do SO (p.ex.: 10) e tipo de
dispositivo (genérico, roteador, switch, console de jogo, etc.).</para>
<para>Se o Nmap não conseguir identificar o SO da máquina, e as
condições forem favoráveis (p.ex.: pelo menos uma porta aberta e uma
porta fechada foram encontradas), o Nmap irá fornecer uma URL onde você
poderá enviar a identificação se souber (com certeza) o SO em execução
na máquina. Fazendo isso, você contribui para a gama de sistemas
operacionais conhecidos pelo Nmap e, com isso, ele será mais preciso
para todos.</para>
<para>A detecção de SO habilita diversos outros testes que usam as
informações coletadas durante o processo. Um deles é a medição de
uptime, que utiliza a opção timestamp do TCP (RFC 1323) para supor
quando uma máquina foi reiniciada pela última vez. Isso apenas é
mostrado para as máquinas que fornecem essa informação. Outro é a
Classificação de Previsibilidade da Seqüencia do TCP. Ele mede
aproximadamente o grau de dificuldade de se estabelecer uma conexão TCP
forjada contra um host remoto. É útil para se explorar relações de
confiança baseadas no IP de origem (rlogin, filtros de firewall, etc.)
ou para ocultar a origem de um ataque. Esse tipo de enganação (spoofing)
raramente é executada hoje em dia, mas muitas máquinas ainda estão
vulneráveis a ele. O número de dificuldade real é baseado em amostragens
estatísticas e pode variar. Normalmente é melhor usar a classificação em
inglês, do tipo <quote>worthy challenge</quote> (um desafio que vale a
pena) ou <quote>trivial joke</quote> (uma piada, muito fácil). Isso só é
mostrado na saída normal do modo verbose (<option>-v</option>). Quando o
modo verbose é habilitado juntamente com o <option>-O</option>, a
Geração de Seqüencia IPID também é mostrada. A maioria das máquinas é
classificada como <quote>incremental</quote> , o que significa que elas
incrementam o campo ID no cabeçalho IP para cada pacote que envia. Isso
torna-as vulnerável a diversos ataques avançados de levantamento e
forjamento de informações.</para>
<para>Um trabalho documentando o funcionamento, utilização e
customização da detecção de SO está disponível em mais de uma dezena de
línguas em <ulink url="https://nmap.org/osdetect/" />.</para>
<para>A detecção de SO é habilitada e controlada com as seguintes
opções:</para>
<variablelist>
<varlistentry>
<term><option>-O</option> (Habilita a detecção de SO)</term>
<listitem>
<indexterm significance="normal">
<primary>-O</primary>
</indexterm>
<para>Habilita a deteção de SO, como discutido acima.
Alternativamente, você pode usar <option>-A</option> para
habilitar tanto a detecção de SO quanto a detecção de
versão.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--osscan-limit</option> (Limitar a detecção de SO a
alvos promissores)</term>
<listitem>
<indexterm significance="normal">
<primary>--osscan-limit</primary>
</indexterm>
<para>A detecção de SO é bem mais eficiente se ao menos uma porta
TCP aberta e uma fechada for encontrada. Escolha esta opção e o
Nmap não irá nem tentar a detecção de SO contra hosts que não
correspondam a este critério. Isso pode economizar um tempo
considerável, particularmente em scans <option>-P0</option> contra
muitos hosts. Isso só importa quando a detecção de SO é solicitada
através de <option>-O</option> ou <option>-A</option>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--osscan-guess</option>; <option>--fuzzy</option>
(Resultados de tentativas de detecção de SO)</term>
<listitem>
<indexterm significance="normal">
<primary>--osscan-guess</primary>
</indexterm>
<para>Quano o Nmap não é capaz de detectar uma correspondência
exata de SO, às vezes ele oferece possibilidades aproximada. A
correspondência tem que ser muito próxima para o Nmap fazer isso
por padrão. Qualquer uma dessas opções (equivalentes) tornam as
tentativas do Nmap mais agressivas. O Nmap ainda assim irá dizer
quando uma correspondência imperfeita é mostrada e o nível de
confiança (porcentagem) de cada suposição.</para>
</listitem>
</varlistentry>
</variablelist>
</refsect1>
<refsect1 id="man-performance">
<title>Temporização (Timing) e Desempenho</title>
<para>Uma das minhas prioridades mais altas no desenvolvimento do Nmap
tem sido o desempenho. Um scan padrão (<command>nmap
<replaceable>hostname</replaceable></command>) de um host em minha rede
local leva apenas um quinto de segundo. Isso mal dá tempo de piscar o
olho, mas esse tempo aumenta conforme você está escaneando dezenas ou
centenas de milhares de hosts. Além disso, certos tipos de scan, como o
escaneamento UDP ou a detecção de versão, aumentam o tempo de
escaneamento substancialmente. Da mesma forma algumas configurações de
firewall fazem o mesmo, particularmente quando limitam a taxa de
resposta. Embora o Nmap se utilize de paralelismo e muitos outros
algoritmos avançados para acelerar esses scans, o usuário tem o controle
final sobre como o Nmap executa. Usuários avançados elaboram comandos do
Nmap cuidadosamente para obter apenas as informações que importam,
sempre se preocupando com as restrições de tempo.</para>
<para>Técnicas para melhorar os tempos de scan incluem omitir testes
não-críticos e atualizar até a versão mais recente do Nmap (melhorias de
desempenho são feitas freqüentemente). Otimizar os parâmetros de tempo
também podem fazer uma grande diferença. Essas opções estão listadas
abaixo.</para>
<para>Algumas opções aceitam um parâmetro de <literal
moreinfo="none">tempo</literal>. É especificado em milissegundos por
padrão, embora você possa acrescentar ‘s’, ‘m’ ou ‘h’ ao valor para
especificar segundos, minutos ou horas. Dessa forma, os argumentos
<option>--host-timeout</option> arguments <literal
moreinfo="none">900000</literal>, <literal
moreinfo="none">900s</literal> e <literal moreinfo="none">15m</literal>
fazem a mesma coisa.</para>
<variablelist>
<varlistentry>
<term><option>--min-hostgroup <númerodehosts></option>;
<option>--max-hostgroup <númerodehosts></option> (Ajuste dos
tamanhos dos grupos de scan paralelos)</term>
<listitem>
<indexterm significance="normal">
<primary>--min-hostgroup</primary>
</indexterm>
<indexterm significance="normal">
<primary>--max-hostgroup</primary>
</indexterm>
<para>O Nmap tem a habilidade de fazer um scan de portas ou de
versões em múltiplos hosts em paralelo. O Nmap faz isso dividindo
a faixa de endereços IP-alvo em grupos, e então escaneando um
grupo de cada vez. No geral, grupos maiores são mais eficientes. A
contrapartida é que os resultados dos hosts não pode ser fornecido
até que o grupo inteiro tenha terminado. Portanto, se o Nmap
começou com um tamanho de grupo igual a 50, o usuário não
receberia nenhum relatório (exceto pelas atualizações mostradas no
modo verbose) até que os primeiros 50 hosts tivessem
completado.</para>
<para>Por padrão, o Nmap assume um compromisso para resolver esse
conflito. Ele começa com um tamanho de grupo pequeno, igual a
cinco, para que os primeiros resultados venham rápido, e então
aumenta o tamanho até que chegue em 1024. O número padrão exato
depende das opções fornecidas. Por questões de eficiência, o Nmap
usa tamanhos de grupo maiores para o UDP ou para scans TCP com
poucas portas.</para>
<para>Quando o tamanho de grupo máximo é especificado com
<option>--max-hostgroup</option>, o Nmap nunca irá exceder esse
tamanho. Especifique um tamanho mínimo com
<option>--min-hostgroup</option> e o Nmap irá tentar manter o
tamanho dos grupos acima desse nível. O Nmap pode ter que usar
tamanhos menores do que você especificou, se não houverem
hosts-alvo suficientes restantes em uma dada interface, para
completar o mínimo especificado. Ambos podem ser configurados para
manter o tamanho do grupo dentro de uma faixa específica, embora
isso raramente seja desejado.</para>
<para>O uso primário destas opções é especificar um tamanho de
grupo mínimo grande de forma que o scan completo rode mais
rapidamente. Uma escolha comum é 256 para escanear uma rede em
blocos de tamanho Classe C. Para um scan com muitas portas,
exceder esse número não irá ajudar muito. Para scans com poucos
números de portas, um tamanho de grupo de hosts de 2048 ou mais
pode ser útil.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--min-parallelism <numprobes></option>;
<option>--max-parallelism <numprobes></option> (Ajuste da
paralelização das sondagens)</term>
<listitem>
<indexterm significance="normal">
<primary>--min-parallelism</primary>
</indexterm>
<indexterm significance="normal">
<primary>--max-parallelism</primary>
</indexterm>
<para>Estas opções controlam o número total de sondagens que podem
estar pendentes para um grupo de hosts. Elas são usadas para o
escaneamento de portas e para a descoberta de hosts. Por padrão, o
Nmap calcula um paralelismo ideal e constantemente atualizado
baseado no desempenho da rede. Se os pacotes estiverem sendo
descartados, o Nmap reduz o ritmo e libera menos sondagens
pendentes. O número de sondagens ideal aumenta vagarosamente
conforme a rede se mostre mais confiável. Estas opções estabelecem
limites mínimo e máximo nessa variável. Por padrão, o paralelismo
ideal pode cair até 1 se a rede se mostrar não-confiável e subir
até diversas centenas em condições perfeitas.</para>
<para>O uso mais comum é estabelecer
<option>--min-parallelism</option> em um número maior que 1 para
melhorar a velocidade dos scans de hosts ou redes com desempenho
ruim. Esta é uma opção arriscada para se ficar brincando pois
configurar um valor alto demais pode afetar a precisão. Configurar
isso também reduz a habilidade do Nmap de controlar o paralelismo
dinamicamente baseado nas condições da rede. Um valor igual a dez
pode ser razoável, embora eu só ajuste esse valor como última
alternativa.</para>
<para>A opção <option>--max-parallelism</option> às vezes é
configurada para evitar que o Nmap envie aos hosts mais do que uma
sondagem por vez. Isso pode ser útil em conjunto com
<option>--scan-delay</option> (discutido mais tarde), embora esta
última normalmente sirva bem ao propósito por si só.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--min-rtt_timeout <tempo></option>,
<option>--max-rtt-timeout <tempo></option>,
<option>--initial-rtt-timeout <tempo></option> (Ajuste de
tempo de expiração (timeouts) das sondagens)</term>
<listitem>
<indexterm significance="normal">
<primary>--min-rtt-timeout</primary>
</indexterm>
<indexterm significance="normal">
<primary>--max-rtt-timeout</primary>
</indexterm>
<indexterm significance="normal">
<primary>--initial-rtt-timeout</primary>
</indexterm>
<para>O Nmap mantém um valor de tempo de expiração (timeout) de
execução para determinar quanto tempo ele deve esperar por uma
resposta de uma sondagem antes de desistir ou retransmitir essa
sondagem. Isso é calculado com base nos tempos de resposta de
sondagens anteriores. Se a latência da rede se mostrar
significativa e variável, esse tempo de expiração pode subir para
diversos segundos. Ele também começa com um nível conservador
(alto) e pode ficar desse jeito por um tempo, enquanto o Nmap
escaneia hosts não-responsivos.</para>
<para>Especificar valores <option>--max-rtt-timeout</option> e
<option>--initial-rtt-timeout</option> mais baixos que o padrão
pode reduzir o tempo de scan significativamente. Isso é
particularmente verdadeiro para scans sem ping
(<option>-P0</option>), e para aqueles contra redes bastante
filtradas. Mas não se torne muito agressivo. O scan pode acabar
levando mais tempo se você especificar um valor tão baixo que
muitas sondagens irão expirar o tempo e serem retransmitidas
enquanto a resposta ainda está em trânsito.</para>
<para>Se todos os hosts estão em uma rede local, 100 milissegundos
é um valor de <option>--max-rtt-timeout</option> razoavelmente
agressivo. Se houver roteamento envolvido, faça um ping de um host
da rede primeiro com o utilitário ICMP ping, ou com um formatador
de pacotes customizados como o hping2, que pode passar por um
firewall mais facilmente. Descubra o tempo máximo de round trip em
dez pacotes, mais ou menos. Coloque o dobro desse valor em
<option>--initial-rtt-timeout</option> e o triplo ou quádruplo
para o <option>--max-rtt-timeout</option>. Normalmente eu não
configuro o rtt máximo abaixo de 100ms, não importa quais os
tempos de ping. Eu também não excedo o valor 1000ms.</para>
<para><option>--min-rtt-timeout</option> é uma opção raramente
utilizada que poderia ser útil quando uma rede é tão não-confiável
que mesmo o padrão do Nmap é muito agressivo. Considerando que o
Nmap apenas reduz o tempo de expiração para um valor mínimo quando
a rede parece ser confiável, esta necessidade não é comum e
deveria ser reportada à lista de discussão nmap-dev como um
bug.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--max-retries <númerodetentativas></option>
(Especifica o número máximo de retransmissões de sondagens de scan
de portas)</term>
<listitem>
<indexterm significance="normal">
<primary>--max-retries</primary>
</indexterm>
<para>Quando o Nmap não recebe nenhuma resposta a uma sondagem de
escaneamento de portas, isso pode significar que a porta está
filtrada. Ou talvez a sondagem ou a resposta simplesmente se
perdeu na rede. Também é possível que o host-alvo tenha habilitado
uma limitação de tráfego que tenha bloqueado temporariamente a
resposta. Então o Nmap tenta novamente retransmitindo a sondagem
inicial. Se o Nmap perceber que a confiabilidade da rede está
baixa, ele poderá tentar muitas vezes ainda, antes de desistir de
uma porta. Embora isso beneficie a exatidão, isso também aumenta o
tempo de escaneamento. Quando o desempenho é crítico, os
escaneamentos podem ser acelerados através da limitação do número
de retransmissões permitidas. Você pode até especificar
<option>--max-retries 0</option> para evitar qualquer
retransmissão, embora isto seja raramente recomendado.</para>
<para>O normal (sem nenhum padrão <option>-T</option>) é permitir
dez retransmissões. Se a rede aparentar ser confiável e os
hosts-alvo não estiverem limitando o tráfego, o Nmap normalmente
fará apenas uma retransmissão. Portanto, a maioria dos
escaneamentos de alvos não serão sequer afetados com a redução do
<option>--max-retries</option> para um valor baixo, como por
exemplo três. Tais valores podem acelerar significativamente o
escaneamento de hosts lentos (com limitação de tráfego). Você
normalmente perde alguma informação quando o Nmap desiste das
portas rapidamente, embora isso seja preferível a permitir que o
<option>--host-timeout</option> expire e você perca todas as
informações sobre o alvo.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--host-timeout <tempo></option> (Desiste de
hosts-alvo lentos)</term>
<listitem>
<indexterm significance="normal">
<primary>--host-timeout</primary>
</indexterm>
<para>Alguns hosts simplesmente levam tempo
<emphasis>demais</emphasis> para serem escaneados. Isso pode ser
causado por um hardware ou software de rede com fraco desempenho
ou pouco confiável, limitação na taxa dos pacotes ou por um
firewall restritivo. Os poucos hosts mais lentos de todos os hosts
escaneados podem acabar sendo responsáveis pela maior parte do
tempo total gasto com o scan. Às vezes é melhor cortar fora o
prejuízo e pular esses hosts logo no início. Especifique a opção
<option>--host-timeout</option> com o valor máximo de tempo que
você tolera esperar. Eu normalmente especifico <literal
moreinfo="none">30m</literal> para ter certeza de que o Nmap não
gaste mais do que meia hora em um único host. Note que o Nmap pode
estar escaneando outros hosts ao mesmo tempo em que essa meia hora
desse único host está correndo, então não é uma perda de tempo
total. Um host que expira o tempo é pulado. Nenhum resultado de
tabela de portas, detecção de SO ou detecção de versão é mostrado
para esse host.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--scan-delay <tempo></option>;
<option>--max-scan-delay <tempo></option> (Ajusta o atraso
entre sondagens)</term>
<listitem>
<indexterm significance="normal">
<primary>--scan-delay</primary>
</indexterm>
<indexterm significance="normal">
<primary>--max-scan-delay</primary>
</indexterm>
<para>Esta opção faz com que o Nmap aguarde um tempo determinado
entre cada sondagem enviada a um dado host. Isto é particularmente
útil no caso de limitação de taxas de transferência. Máquinas
Solaris (entre muitas outras) irão normalmente responder à pacotes
de sondagens de scans UDP com apenas uma mensagem ICMP por
segundo. Qualquer número maior que isso, enviado pelo Nmap, será
um desperdício. Um <option>--scan-delay</option> de <literal
moreinfo="none">1s</literal> irá manter uma taxa de transferência
baixa. O Nmap tenta detectar a limitação de taxa e ajusta o atraso
no scan de acordo, mas não dói especificar explicitamente se você
já sabe qual a taxa que funciona melhor.</para>
<para>Quando o Nmap ajusta o atraso no scan aumentando para tentar
igualar com a limitação na taxa de transferência, o scan fica
consideravelmente mais lento. A opção
<option>--max-scan-delay</option> especifica o maior atraso que o
Nmap irá permitir. Estabelecer um valor muito baixo pode levar à
uma retransmissão de pacotes inútil e à possíveis portas perdidas,
quando o alvo utiliza limitação rígida de taxa de
transferência.</para>
<para>Outro uso do <option>--scan-delay</option> é para evitar os
sistemas de prevenção e detecção de intrusão (IDS/IPS) baseados em
limites.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>
<option>--defeat-rst-ratelimit</option>
</term>
<listitem>
<indexterm significance="normal">
<primary>--defeat-rst-ratelimit</primary>
</indexterm>
<para>Muitos hosts usam há bastante tempo a limitação de taxa de
transferência para reduzir o número de mensagens de erro ICMP
(tais como os erros de porta-inalcançavel) enviados. Alguns
sistemas agora aplicam limitações de taxa similares aos pacotes
RST (reset) que eles geram. Isso pode tornar o Nmap
consideravelmente mais lento pois o obriga a ajustar seu tempo de
forma a refletir essas limitações de taxa. Você pode dizer ao Nmap
para ignorar essas limitações de taxa (para scans de porta como o
Scan SYN que <emphasis>não</emphasis> trata portas que não
respondem como <literal moreinfo="none">abertas</literal>)
especificando <option>--defeat-rst-ratelimit</option>.</para>
<para>Utilizar esta opção pode reduzir a precisão, pois algumas
portas irão aparecer como não-respondendo porque o Nmap não
esperou tempo suficiente para uma resposta RST com taxa limitada.
No caso de um scan SYN, o "não-respondendo" resulta na porta sendo
rotulada como <literal moreinfo="none">filtrada</literal> ao invés
de no estado <literal moreinfo="none">fechada</literal> que vemos
quando os pacotes RST são recebidos. Esta opção é útil quando você
se importa apenas com as portas abertas e distinguir entre
portas<literal moreinfo="none">fechadas</literal> e <literal
moreinfo="none">filtradas</literal> não vale o tempo extra.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-T
<Paranoid|Sneaky|Polite|Normal|Aggressive|Insane></option>
(Estabelece um padrão de temporização)</term>
<listitem>
<indexterm significance="normal">
<primary>--T</primary>
</indexterm>
<para>Embora os controles de temporização de ajuste fino
discutidos nas seções anteriores sejam poderosos e efetivos,
algumas pessoas os consideram confusos. Ainda mais, escolher os
valores apropriados pode, às vezes, tomar mais tempo do que o
próprio scan que você está tentando otimizar. Por isso, o Nmap
oferece uma aproximação mais simples, com seis padrões de
temporização. Você pode especificá-los com a opção
<option>-T</option> e os números (0 - 5) ou os nomes. Os nomes de
padrões são paranóico (paranoid, 0), furtivo (sneaky, 1), educado
(polite, 2), normal (3), agressivo (agressive, 4) e insano
(insane, 5). Os dois primeiros são para evitar um IDS. O modo
educado (ou polido), diminui o ritmo de escaneamento para usar
menos banda e recursos da máquina alvo. O modo normal é o padrão
e, portanto, <option>-T3</option> não faz nada. O modo agressivo
acelera os scans assumindo que você está em uma rede razoavelmente
rápida e confiável. Finalmente, o modo insano assume que você está
em uma rede extraordinariamente rápida ou está disposto a
sacrificar alguma precisão pela velocidade.</para>
<para>Esses padrões permitem que o usuário especifique o quão
agressivo desejam ser, ao mesmo tempo que deixam o Nmap escolher
os valores de temporização exatos. Os padrões também fazem ajustes
pequenos na velocidade onde ainda não existem opções para controle
de ajuste fino. Por exemplo, <option>-T4</option> proibe que o
atraso dinâmico de escaneamento exceda 10ms para portas TCP e
<option>-T5</option> corta esse valor para 5 milissegundos.
Padrões podem ser utilizados em conjunto com controles de ajuste
fino e esses controles que você especificar irão ter precedência
sobre o padrão de temporização do parâmetro. Eu recomendo usar
<option>-T4</option> quando escanear redes razoavelmente modernas
e confiáveis. Mantenha essa opção mesmo que você adicione
controles de ajuste fino, de forma que você possa se beneficiar
com as pequenas otimizações extras que ela habilita.</para>
<para>Se você tiver uma conexão ethernet ou de banda-larga
decente, eu recomendaria sempre utilizar <option>-T4</option>.
Algumas pessoas adoram o <option>-T5</option> embora seja
agressivo demais para o meu gosto. As pessoas às vezes especificam
<option>-T2</option> porque acham que diminui a probabilidade de
travar os hosts ou porque elas se consideram educadas no geral.
Normalmente elas não percebem o quão lento o <option>-T
Polite</option> realmente é. Esses scans podem levar dez vezes
mais tempo que um scan padrão. Travamento de máquinas e problemas
com a banda são raros com as opções de temporização padrão
(<option>-T3</option>) e, portanto, eu normalmente as recomendo
para escaneadores precavidos. Omitir a detecção de versão é bem
mais eficaz do que ficar brincando com os valores de temporização
para reduzir esses problemas.</para>
<para>Embora o <option>-T0</option> e o <option>-T1</option>
possam ser usados para evitar alertas no IDS, eles irão leva muito
mais tempo para escanear milhares de máquinas ou portas. Para um
scan tão amplo, prefira estabelecer os valores exatos de
temporização que você precisa ao invés de depender dos valores
"engessados" de <option>-T0</option> e
<option>-T1</option>.</para>
<para>O principal efeito de <option>T0</option> é serializar o
scan de forma que apenas uma porta é escaneada por vez, e então,
aguardar cinco minutos entre o envio de cada sondagem.
<option>T1</option> e <option>T2</option> são similares mas
aguardam apenas 15 segundos e 0,4 segundos, respectivamente, entre
as sondagens. <option>T3</option> é o comportamento padrão do
Nmap, que inclui o paralelismo. <option>T4</option> faz o mesmo
que <option>--max-rtt-timeout 1250 --initial-rtt-timeout 500
--max-retries 6</option> e estabelece o atraso máximo de scan TCP
em 10 milissegundos. <option>T5</option> faz o mesmo que
<option>--max-rtt-timeout 300 --min-rtt-timeout 50
--initial-rtt-timeout 250 --max-retries 2 --host-timeout
15m</option> e estabelece o atraso máximo de scan TCP em
5ms.</para>
</listitem>
</varlistentry>
</variablelist>
</refsect1>
<refsect1 id="man-bypass-firewalls-ids">
<title>Evitando e enganando o Firewall/IDS</title>
<para>Muitos pioneiros da Internet vislumbraram uma rede mundial aberta
com um espaço de endereçamento IP universal que permitisse conexões
virtuais entre quaisquer dois nós. Isso permite que os hosts atuem como
verdadeiros semelhantes, servindo e obtendo informações uns dos outros.
As pessoas poderiam acessar seus computadores domésticos do trabalho,
mudando os ajustes do controle de climatização ou abrindo as portas para
convidados. Essa visão de conectividade universal foi sufocada pela
falta de espaço de endereçamento e preocupações com a segurança. No
início dos anos 1990, as empresas começaram a instalar firewalls para o
propósito claro de reduzir a conectividade. Rede enormes foram isoladas
da Internet-sem-fronteiras por proxies de aplicativos, tradução de
endereçamento de rede (network address translation) e filtros de
pacotes. O fluxo irrestrito de informações deu a vez à regulamentação
acirrada de canais de comunicação autorizados e ao conteúdo que neles
trafegam.</para>
<para>As obstruções de rede, como o firewall, podem tornar o mapeamente
de uma rede extremamente difícil. E isso não vai se tornar mais fácil,
pois sufocar as sondagens casuais é, freqüentemente, o objetivo
principal de se instalar esses dispositivos. Apesar disso, o Nmap
oferece muitas ferramentas para ajudar a entender essas redes complexas,
e para verificar que os filtros estão funcionando como esperado. Ele até
suporta mecanismos para passar por cima de defesas mal implementadas. Um
dos melhores métodos para se entender a postura de segurança de uma rede
é tentar derrubá-la. Pense com a mente de uma pessoa que quer atacá-lo,
e aplique técnicas desta seção contra a sua rede. Lance um scan FTP
bounce, um scan idle, um ataque de fragmentação ou tente "tunelar"
(criar um túnel) através de um de seus próprios proxies.</para>
<para>Além de restringir a atividade de rede, as empresas estão
monitorando o tráfego cada vez mais, com sistemas de detecção de
intrusão (IDS). Todos os principais IDS vêm com regras designadas para
detectar escaneamentos feitos com o Nmap porque os scans são, às vezes,
precursores de ataques. Muitos desses produtos foram recentemente
metamorfoseados em sistemas de <emphasis>prevenção</emphasis> de
intrusão (IPS) que bloqueiam o tráfego considerado malicioso de forma
ativa. Infelizmente, para administradores de rede e vendedores de IDS,
detectar confiavelmente as más intenções através da análise de dados de
pacotes é um problema difícil. Atacantes com paciência, habilidade e a
ajuda de certas opções do Nmap podem normalmente passar por um IDS sem
serem detectados. Enquanto isso, os administradores devem lidar com um
alto número de resultados do tipo falso-positivo, onde atividades
inocentes são diagnosticadas erroneamente e recebem alertas ou são
bloqueadas.</para>
<para>De vez em quando, as pessoas sugerem que o Nmap não deveria
oferecer opções que permitam evitar as regras de firewalls ou passar
desapercebidos por IDSs. Elas argumentam que essas características são
tão sujeitas à má-utilização por atacantes quanto são utilizadas por
administradores para aumentar a segurança. O problema com esta lógica é
que esses métodos ainda assim seriam utilizados pelos atacantes, que
encontrariam outras ferramentas ou então acrescentariam essa
funcionalidade no Nmap. Enquanto isso, os administradores achariam muito
mais difícil executar suas tarefas. Instalar apenas servidores FTP
modernos e corrigidos é uma defesa muito melhor do que tentar evitar a
distribuição de ferramentas que implementem o ataque FTP bounce.</para>
<para>Não existe uma carta mágica (ou opção do Nmap) para detectar e
subverter firewalls e sistemas IDS. É necessário habilidade e
experiência. Um tutorial está além do escopo deste guia de referência,
que apenas lista as opções relevantes e descreve suas funções.</para>
<variablelist>
<varlistentry>
<term><option>-f</option> (fragmenta os pacotes);
<option>--mtu</option> (usando a MTU especificada)</term>
<listitem>
<indexterm significance="normal">
<primary>-f</primary>
</indexterm>
<indexterm significance="normal">
<primary>--mtu</primary>
</indexterm>
<para>A opção <option>-f</option> faz com que o scan solicitado
(incluindo scans usando ping) utilize pequenos pacotes IP
fragmentados. A idéia é dividir o cabeçalho TCP em diversos
pacotes para tornar mais difícil para os filtros de pacotes, os
sistemas de detecção de intrusão, e outros aborrecimentos,
detectar o que você está fazendo. Tenha cuidado com isto! Alguns
programas tem problemas para lidar com estes pequenos pacotes. O
sniffer da velha-guarda chamado Sniffit sofria uma falha de
segmentação assim que recebia o primeiro fragmento. Especifique
esta opção uma vez e o Nmap dividirá os pacotes em 8 bytes ou
menos após o cabeçalho IP. Portanto, um cabeçalho TCP de 20 bytes
seria dividido em 3 pacotes. Dois com oito bytes do cabeçalho TCP
e um com os quatro restantes. É claro que cada fragmento também
tem um cabeçalho IP. Especifique <option>-f</option> novamente
para usar 16 bytes por fragmento (reduzindo o número de
fragmentos). Ou então, você pode especificar o seu próprio tamanho
de quebra com a opção <option>--mtu</option>. Não especifique
também o <option>-f</option> se você usar o
<option>--mtu</option>. A quebra deve ser um múltiplo de 8. Embora
os pacotes fragmentados não passem por filtros de pacotes e
firewalls que enfilerem todos os fragmentos IP, tal como a opção
CONFIG_IP_ALWAYS_DEFRAG do kernel do Linux faz, algumas redes não
aguentam o impacto no desempenho que isso causa, deixando a opção
desabilitada. Outros não conseguem habilitar isso porque os
fragmentos podem seguir por rotas diferentes na rede. Alguns
sistemas de origem desfragmentam pacotes de saída no kernel. O
Linux e o módulo de reastreamento de conexão do iptables é um
exemplo desse tipo. Faça um scan enquanto executa um sniffer como
o Ethereal para ter a certeza de que pacotes enviados estão
fragmentados. Se o SO do seu host estiver causando problemas,
tente a opção <option>--send-eth</option> para passar por cima da
camada IP e enviar frames ethernet em estado bruto.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-D <chamariz1 [,chamariz2][,ME],...></option>
(Disfarça um scan usando chamarizes)</term>
<listitem>
<indexterm significance="normal">
<primary>-D</primary>
</indexterm>
<para>Faz com que um scan com chamarizes seja executado, o que
parece ao host remoto que, o(s) host(s) que você especificou como
chamarizes também estejam escaneando a rede-alvo. Com isso, o IDS
poderá reportar 5 a 10 scans de portas de endereços IP únicos, mas
não saberá qual IP estava realmente escaneando e qual era um
chamariz inocente. Embora isso possa ser desvendado através de
rastreamento de caminho de roteador, descarte de respostas
(response-dropping) e outros mecanismos ativos, normalmente é uma
técnica eficaz para esconder o seu endereço IP.</para>
<para>Separe cada host-chamariz com vírgulas, e você pode
opcionalmente usar <literal>ME</literal> como um dos chamarizes
para representar a posição do seu endereço IP real. Se você
colocar <literal>ME</literal> na 6a. posição ou acima, alguns
detectores de scan de portas comuns (como o excelente scanlogd da
Solar Designer) pouco provavelmente irão mostrar o seu endereço
IP. Se você não utilizar o <literal>ME</literal>, o nmap irá
colocá-lo em uma posição aleatória.</para>
<para>Observe que os hosts que você utilizar como chamarizes devem
estar ativos ou você poderá, acidentamente, inundar com SYN os
seus alvos. Também será bastante fácil determinar qual é o host
que está escaneando se houver apenas um host realmente ativo na
rede. Você pode preferir usar endereços IP ao invés de nomes (de
forma que as redes chamarizes não vejam você em seus logs dos
servidores de nomes).</para>
<para>Chamarizes são utilizados tanto no scan com ping inicial
(usando ICMP, SYN, ACK ou qualquer outro), como também durante a
fase real de escaneamento de portas. Chamarizes também são usados
durante a detecção de SO remoto (<option>-O</option>). Chamarizes
não funcionam com a detecção de versão ou com o scan TCP
connect.</para>
<para>Vale a pena observar que usar chamarizes demais pode deixar
seu scan lento e potencialmente até torná-lo menos preciso. Outra
coisa, alguns provedores de internet (ISP) irão filtrar os seus
pacotes disfarçados, mas muitos não restringem pacotes IP
disfarçados.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-S <Endereço_IP></option> (Disfarça o endereço
de origem)</term>
<listitem>
<indexterm significance="normal">
<primary>-S</primary>
</indexterm>
<para>Em algumas circunstâncias, o Nmap pode não conseguir
determinar o seu endereço de origem (o Nmap irá dizer se for esse
o caso). Nesta situação, use o <option>-S</option> com o endereço
IP da interface que você deseja utilizar para enviar os
pacotes.</para>
<para>Outro uso possível para esta flag é para disfarçar o scan e
fazer com que os alvos achem que <emphasis>alguma outra
pessoa</emphasis> está escaneando-as. Imagine uma empresa que está
constantemente sofrendo scan de portas de um concorrente! A opção
<option>-e</option> normalmente seria requerida para este tipo de
uso e <option>-P0</option> seria recomendável.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-e <interface></option> (Usa a interface
especificada)</term>
<listitem>
<indexterm significance="normal">
<primary>-e</primary>
</indexterm>
<para>Diz ao Nmap qual interface deve ser utilizada para enviar e
receber pacotes. O Nmap deveria ser capaz de detectar isto
automaticamente, mas ele informará se não conseguir.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--source-port <númerodaporta>;</option>
<option>-g <númerodaporta></option> (Disfarça o número de
porta de origem)</term>
<listitem>
<indexterm significance="normal">
<primary>--source-port</primary>
</indexterm>
<indexterm significance="normal">
<primary>--g</primary>
</indexterm>
<para>Um erro de configuração surpreendentemente comum é confiar
no tráfego com base apenas no número da porta de origem. É fácil
entender como isso acontece. Um administrador configura um
firewall novinho em folha, só para ser inundado com queixas de
usuários ingratos cujas aplicações param de funcionar. Em
particular, o DNS pode parar de funcionar porque as respostas DNS
UDP de servidores externos não conseguem mais entrar na rede. O
FTP é outro exemplo comum. Em tranferências FTP ativas, o servidor
remoto tenta estabelecer uma conexão de volta com o cliente para
poder transferir o arquivo solicitado.</para>
<para>Soluções seguras para esses problemas existem,
freqüentemente na forma de proxies no nível da aplicação ou
módulos de firewall para análise de protocolo. Infelizmente também
há soluções mais fáceis e inseguras. Observando que as respostas
DNS chegam pela porta 53 e o FTP ativo pela porta 20, muitos
administradores caem na armadilha de apenas permitir tráfego vindo
dessas portas. Eles normalmente assumem que nenhum atacante irá
notar e explorar essas brechas no firewall. Em outros casos, os
administradores consideram isso uma medida provisória de curto
prazo até que eles possam implementar uma solução mais segura.
Então, eles normalmente se esquecem de fazer as atualizações de
segurança.</para>
<para>Administradores de rede sobrecarregados não são os únicos a
caírem nessa armadilha. Diversos produtos foram empacotados com
essas regras inseguras. Mesmo a Microsoft é culpada. Os filtros
IPsec que vieram com o Windows 2000 e com o Windows XP contém uma
regra implícita que permite todo o tráfego TCP ou UDP da porta 88
(Kerberos). Em outro caso bastante conhecido, versões do firewall
pessoal Zone Alarm, até a versão 2.1.25, permitiam qualquer pacote
UDP entrante com a porta de origem 53 (DNS) ou 67 (DHCP).</para>
<para>O Nmap oferece as opções <option>-g</option> e
<option>--source-port</option> (elas são equivalentes) para
explorar essas fraquezas. Apenas forneça um número de porta e o
Nmap irá enviar pacotes dessa porta onde for possível. O Nmap
utiliza números de porta diferentes para que certos testes de
detecção de SO funcionem direito, e as requisições DNS ignoram a
flag <option>--source-port</option> porque o Nmap confia nas
bibliotecas de sistema para lidar com isso. A maioria dos scans
TCP, incluindo o scan SYN, suportam a opção completamente, assim
como o scan UDP.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--data-length <número></option> (Acrescenta
dados aleatórios nos pacotes enviados)</term>
<listitem>
<indexterm significance="normal">
<primary>--data-length</primary>
</indexterm>
<para>Normalmente o Nmap envia pacotes minimalistas contendo
apenas o cabeçalho. Dessa forma os pacotes TCP têm normalmente 40
bytes e os echo requests ICMP tem só 28. Esta opção faz com que o
Nmap acrescente o número informado de bytes aleatórios na maioria
dos pacotes que envia. Os pacotes de detecção de SO
(<option>-O</option>) não são afetados, pois a precisão exige
consistência das sondagens, mas a maioria dos pacotes de ping e
scan de portas funcionam assim. Isso atrasa um pouco as coisas,
mas pode tornar um scan ligeiramente menos chamativo.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--ttl <valor></option> (Establece o valor do
campo time-to-live)</term>
<listitem>
<indexterm significance="normal">
<primary>--ttl</primary>
</indexterm>
<para>Estabelece que o campo tempo-de-vida (time-to-live) dos
pacotes enviados terá o valor informado.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--randomize-hosts</option> (Torna aleatória a ordem
dos hosts-alvo)</term>
<listitem>
<indexterm significance="normal">
<primary>--randomize-hosts</primary>
</indexterm>
<para>Informa ao Nmap que ele deve embaralhar cada grupo de, no
máximo, 8096 hosts antes de escaneá-los. Isso torna os scans menos
óbvios a vários sistemas de monitoramento de rede, especialmente
quando você combina isso com as opções de temporização lentas. Se
você deseja fazer isso em grupos maiores, aumente o PING_GROUP_SZ
no <filename>nmap.h</filename> e recompile. Uma solução
alternativa é gerar uma lista de endereços IP-alvos com um scan de
lista (<option>-sL -n -oN
<replaceable>nomedoarquivo</replaceable></option>), embaralhar a
lista com um script Perl e então fornecer a lista completa para o
Nmap com <option>-iL</option>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--spoof-mac <endereço mac, prefixo, ou nome do
fabricante></option> (Disfarça o endereço MAC)</term>
<listitem>
<indexterm significance="normal">
<primary>--spoof-mac</primary>
</indexterm>
<para>Solicita ao Nmap que utilize o endereço MAC informado para
todos os frames ethernet em estado bruto (raw) que ele enviar.
Esta opção implica em <option>--send-eth</option> para assegurar
que o Nmap realmente envie pacotes no nível ethernet. O MAC
fornecido pode assumir diversos formatos. Se for apenas a string
<quote>0</quote>, o Nmap irá escolher um MAC completamente
aleatório para a sessão. Se a string informada for um número par
de dígitos hexa (com os pares opcionalmente separados por dois
pontos), o Nmap irá usa-la como o MAC. Se menos do que 12 dígitos
hexa forem informados, o Nmap preenche o restante dos 6 bytes com
valores aleatórios. Se o argumento não for um 0 ou uma string
hexa, o Nmap irá procurar no
<filename>nmap-mac-prefixes</filename> para encontrar o nome de um
fabricante contendo a string informada (não é sensível a
maiúsculas ou minúsculas). Se encontrar, o Nmap usa o OUI (prefixo
de 3 bytes) do fabricante e preenche os 3 bytes restantes
aleatoriamente. Exemplos de argumentos
<option>--spoof-mac</option> válidos são <literal>Apple</literal>,
<literal>0</literal>, <literal>01:02:03:04:05:06</literal>,
<literal>deadbeefcafe</literal>, <literal>0020F2</literal> e
<literal>Cisco</literal>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--badsum</option> (Send packets with bogus TCP/UDP
checksums)</term>
<listitem>
<indexterm significance="normal">
<primary>--badsum</primary>
</indexterm>
<para>Solicita ao Nmap que utilize uma soma de verificação
(checksum) TCP ou UDP inválida para os pacotes enviados aos hosts.
Uma vez que virtualmente todos as pilhas (stack) IP do host irão
rejeitar esses pacotes, quaisquer respostas recebidas são
provavelmente vindas de um firewall ou IDS que nem se incomodou em
verificar a soma de verificação. Para mais detalhes desta técnica,
veja <ulink
url="https://nmap.org/p60-12.txt" /></para>
</listitem>
</varlistentry>
</variablelist>
</refsect1>
<refsect1 id="man-output">
<title>Saída (Output)</title>
<para>Qualquer ferramenta de segurança só é útil se a saída que ela gera
também o for. Testes e algoritmos complexos são de pouco valor se não
forem apresentados de uma forma organizada e compreensível. Dado o
número de formas que o Nmap é utilizado pelas pessoas e por outros
softwares, nenhum formato irá agradar a todos. Então o Nmap oferece
diversos formatos, incluindo o modo interativo para humanos lerem
diretamente e o XML para fácil interpretação por um software.</para>
<para>Além de oferecer diversos formatos de saída, o Nmap fornece opções
para controlar a verbosidade da saída, bem como das mensagens de
depuração. Os tipos de saída podem ser enviados para a saída padrão
(standard output) ou para arquivos, o qual o Nmap pode acrescentar ou
então sobrescrever. Arquivos de saída também podem ser utilizados para
se retomar scans abortados.</para>
<para>O Nmap torna a saída disponível em cinco formatos diferentes. O
padrão é chamado de <literal>saída interativa (interactive
output)</literal>, e é enviada para a saída padrão (stdout). Há também a
<literal>saída normal (normal output)</literal>, que é similar à
<literal>interativa</literal> exceto pelo fato de mostrar menos
informações e alertas sobre a execução uma vez que se espera que seja
feita uma análise somente após o scan completar, ao invés de
interativamente.</para>
<para>A saída XML é um dos tipos de saída mais importantes pois permite
a conversão para HTML, é facilmente analisada por programas como a
interface gráfica do Nmap, ou pode ser importada em banco de
dados.</para>
<para>Os dois tipos restantes de saída são a simples <literal>saída para
o grep (grepable output)</literal> que inclui a maioria das informações
de um host-alvo em uma única linha e a <literal>s4íd4 sCRiPt KiDDi3
(sCRiPt KiDDi3 0utPUt)</literal> para usuários que se consideram 1r4d0z
(|<-r4d).</para>
<para>Embora a saída interativa seja a padrão e não tenha associada
nenhuma opção de linha de comando, as outras quatro opções de formato
utilizam a mesma sintaxe. Elas recebem um argumento, que é o nome do
arquivo onde os resultados devem ser armazenados. Formatos múltiplos
podem ser especificados, mas cada formato só pode ser especificado uma
vez. Por exemplo, você pode querer armazenar a saída normal para seu uso
enquanto grava a saída XML do mesmo scan para análise utilizando
programas. Você pode fazer isso com as opções <option>-oX myscan.xml -oN
myscan.nmap</option>. Embora este capítulo use nomes simples como
<literal>myscan.xml</literal> por uma questão de brevidade, nomes mais
descritivos normalmente são recomendados. Os nomes escolhidos são uma
questão de preferência pessoal, embora eu use nomes longos que
incorporam a data do scan e uma palavra ou duas que descrevam o scan,
colocados em um diretório com o nome da empresa que eu estou
escaneando.</para>
<para>Mesmo que essas opções gravem os resultados em arquivos, o Nmap
ainda assim mostra a saída interativa na stdout como de costume. Por
exemplo, o comando <command>nmap -oX myscan.xml target</command> grava
em XML no <filename>myscan.xml</filename> e enche a saída padrão com os
mesmos resultados interativos que teria mostrado se a opção
<option>-oX</option> não tivesse sido especificada. Você pode mudar isso
passando um caracter hífen como argumento de um dos tipos de formato.
Isso faz com que o Nmap desative a saída interativa e apenas grave os
resultados no formato que você especificou para a saída padrão. Dessa
forma, o comando <command>nmap -oX - target</command> irá enviar apenas
a saída XML para a stdout. Erros sérios ainda podem ser mostrados na
saída padrão de erros, stderr.</para>
<para>Ao contrário de alguns argumentos do Nmap, o espaço em branco
entre a flag da opção (como a <option>-oX</option>) e o nome do arquivo
ou hífen é obrigatório. Se você omitir as flags e informar argumentos
como <option>-oG-</option> ou <option>-oXscan.xml</option>, uma
característica de compatibilidade retroativa do Nmap irá causar a
criação de arquivos de saída do tipo <emphasis>normal format</emphasis>
chamados <filename>G-</filename> e <filename>Xscan.xml</filename>
respectivamente.</para>
<para>O Nmap também oferece opções para controlar a verbosidade do scan
e para acrescentar informações nos arquivos de saída, ao invés de
sobrepor. Todas essas opções estão descritas abaixo.</para>
<variablelist>
<title>Formatos de Saída do Nmap</title>
<varlistentry>
<term><option>-oN <especificaçãodearquivo></option> (Saída
normal)</term>
<listitem>
<indexterm significance="normal">
<primary>-oN</primary>
</indexterm>
<para>Solicita que a <literal>saída normal (normal
output)</literal> seja direcionada para o arquivo informado.
Conforme discutido acima, é um pouco diferente da <literal>saída
interativa (interactive output)</literal>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-oX <especificaçãodearquivo></option> (Saída em
XML)</term>
<listitem>
<indexterm significance="normal">
<primary>-oX</primary>
</indexterm>
<para>Solicita que a <literal>saída em XML (XML output)</literal>
seja direcionada para o arquivo informado. O Nmap inclui uma
definição do tipo de documento (document type definition, DTD) que
permite que os analisadores (parsers) XML validem a saída em XML
do Nmap. Embora seja primeiramente voltada para ser usada por
programas, também pode ajudar os humanos a interpretar a saída em
XML do Nmap. A DTD define os elementos válidos do formato, e
geralmente enumera os atributos e valores que eles podem receber.
A última versão está sempre disponível em <ulink
url="https://nmap.org/data/nmap.dtd" />.</para>
<para>O XML oferece um formato estável que é facilmente
interpretado por software. Interpretadores (parsers) XML gratuitos
estão disponível para as principais linguagens de computador,
incluindo C/C++, Perl, Python e Java. As pessoas até já escreveram
extensões para a maioria dessas linguagens para manipular a saída
e a execução especificamente do Nmap. Exemplos são o <ulink
url="http://sourceforge.net/projects/nmap-scanner/">Nmap::Scanner</ulink>
e o <ulink url="http://www.nmapparser.com">Nmap::Parser</ulink> em
Perl CPAN. Em quase todos os casos em que uma aplicação
não-trivial faz interface com o Nmap, o XML é o formato
preferido.</para>
<para>A saída XML faz referência à uma folha de estilo que pode
ser usada para formatar os resultados em HTML. A forma mais fácil
de se utilizar isso é simplesmente carregar a saída XML em um
navegador web como o Firefox ou o IE. Por padrão, isso só irá
funcionar na máquina onde você rodou o Nmap (ou em uma máquina
similarmente configurada) devido ao caminho (path) do sistema de
arquivos (filesystem) gravado de forma inalterável do
<filename>nmap.xsl</filename>. Utilize a opção
<option>--webxml</option> ou <option>--stylesheet</option> para
criar arquivos XML portáveis que podem ser interpretados como um
HTML em qualquer máquina conectada à web.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-oS <especificaçãodearquivo></option> (S4íd4
ScRipT KIdd|3)</term>
<listitem>
<indexterm significance="normal">
<primary>-oS</primary>
</indexterm>
<para>A saída script kiddie é como a saída interativa, com a
diferença de ser pós-processada para atender melhor aos "hackers
de elite" (l33t HaXXorZ) que antigamente rejeitavam o Nmap devido
ao uso consistente de maiúsculas e minúsculas e a grafia correta.
Pessoas sem senso de humor devem observar que esta opção serve
para se fazer graça dos script kiddies antes de me xingar por
estar, supostamente, <quote>ajudando-os</quote>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-oG <especificaçãodearquivo></option> (Saída
para o grep)</term>
<listitem>
<indexterm significance="normal">
<primary>-oG</primary>
</indexterm>
<para>Este formato de saída é mencionado por último porque está
deprecado. O formato de saída XML é muito mais poderoso e é
bastante adequado para usuário avançados. O XML é um padrão para o
qual existem dezenas de excelentes interpretadores (parsers)
disponíveis, enquanto que a saída para o grep é um quebra-galho
feito por mim. O XML é extensível para suportar novas
características do Nmap conforme elas forem lançadas, por outro
lado, sempre tenho que omitir essas novas características da saída
para o grep por falta de onde colocá-las.</para>
<para>Apesar disso, a saída para o grep é bastante popular. É um
formato simples que lista cada host em uma linha e pode ser
pesquisado de forma trivial, e interpretado por qualquer
ferramenta padrão do Unix, como o grep, awk, cut, sed, diff, e
Perl. Em mesmo uso-a para testes rápidos feitos na linha de
comando. Descobrir todos os hosts com a porta ssh aberta ou que
estão rodando o Solaris requer apenas um simples grep para
identificá-los, concatenado via pipe a um comando awk ou cut para
mostrar os campos desejados.</para>
<para>A saída para o grep consiste de comentários (linhas
começadas com o símbolo #) e linhas-alvo. Uma linha-alvo inclui
uma combinação de 16 campos rotulados, separados por tab e
seguidos por dois-pontos. Os campos são <literal>Host</literal>,
<literal>Portas (Ports)</literal>,<literal>Protocolos
(Protocols)</literal>, <literal>Estado Ignorado (Ignored
State)</literal>, <literal>SO (OS)</literal>, <literal>Índice de
Seqüência (Seq Index)</literal>, <literal>IPID</literal> e
<literal>Estado (Status)</literal>.</para>
<para>O campo mais importante é, normalmente, <literal>Portas
(Ports)</literal>, que fornece detalhes de cada porta
interessante. É uma lista com a relação de portas, separada por
vírgula. Cada porta representa uma porta interessante, e tem o
formato de sete sub-campos separados por barra (/). Esses
sub-campos são: <literal>Número da Porta (Port number)</literal>,
<literal>Estado (State)</literal>, <literal>Protocolo
(Protocol)</literal>, <literal>Proprietário (Owner)</literal>,
<literal>Serviço (Service)</literal>, <literal>informação sobre o
SunRPC (SunRPC info)</literal> e <literal>informação sobre a
Versão (Version info)</literal>.</para>
<para>Assim como na saída XML, esta página man não permite que se
documente o formato todo. Uma visão mais detalhada sobre o formato
de saída para o grep do Nmap está disponível em <ulink
url="http://www.unspecific.com/nmap-oG-output" />.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-oA <nome-base></option> (Saída para todos os
formato)</term>
<listitem>
<indexterm significance="normal">
<primary>-oA</primary>
</indexterm>
<para>Para facilitar, você pode especificar <option>-oA
<replaceable>nome-base</replaceable></option> para armazenar os
resultados de scan nos formatos normal, XML e para o grep de uma
vez. Eles são armazenados nos arquivos
<replaceable>nome-base</replaceable>.nmap,
<replaceable>nome-base</replaceable>.xml e
<replaceable>nome-base</replaceable>.gnmap, respectivamente. Como
na maioria dos programas, você pode colocar como prefixo aos nomes
de arquivos o caminho de um diretório, como
<filename>~/nmaplogs/foocorp/</filename> no UNIX ou
<filename>c:\hacking\sco</filename> no Windows.</para>
</listitem>
</varlistentry>
</variablelist>
<variablelist>
<title>Opções de Verbosidade e depuração (debugging)</title>
<varlistentry>
<term><option>-v</option> (Aumenta o nível de verbosidade)</term>
<listitem>
<indexterm significance="normal">
<primary>-v</primary>
</indexterm>
<para>Aumenta o nível de verbosidade, fazendo com que o Nmap
mostre mais informações sobre o progresso do scan. Portas abertas
são mostradas conforme são encontradas, e estimativas de tempo
para o término são fornecidas quando o Nmap acha que um scan irá
demorar mais do que alguns minutos. Use duas vezes para uma
verbosidade ainda maior. Usar mais do que duas vezes não surte
nenhum efeito.</para>
<para>A maioria das alterações afetam apenas a saída interativa, e
algumas também afetam a saída normal e script kiddie. Os outros
tipos de saída foram feitos para serem processados por máquinas,
então o Nmap pode dar informações bastante detalhadas por padrão
nesse formatos sem cansarem o usuário humano. Entretanto, existem
algumas mudanças nos outros modos onde o tamanho da saída pode ser
reduzido substancialmente pela omissão de alguns detalhes. Por
exemplo, uma linha de comentário, na saída para o grep, que
fornece uma lista de todas as portas escaneadas só é mostrada no
modo verboso porque ela pode ser bem longa.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-d [nível]</option> (Aumenta ou estabelece o nível de
depuração)</term>
<listitem>
<indexterm significance="normal">
<primary>-d</primary>
</indexterm>
<para>Se mesmo o modo verboso não fornece dados suficientes para
você, o modo de depuração está disponível para inundá-lo com muito
mais! Assim como na opção de verbosidade (<option>-v</option>), a
depuração é habilitada com uma flag na linha de comando
(<option>-d</option>) e o nível de depuração pode ser aumentado
especificando-a múltiplas vezes. Alternativamente, você pode
estabelecer o nível de depuração fornecendo um argumento para o
<option>-d</option>. Por exemplo, <option>-d9</option> estabelece
o nível nove. Esse é efetivamente o nível mais alto e irá produzir
milhares de linhas, a menos que você execute um scan muito simples
com poucas portas e alvos.</para>
<para>A saída da depuração é útil quando há a suspeita de um bug
no Nmap, ou se você simplesmente está confuso com o que o Nmap
está fazendo e por quê. Como esta opção é, na maioria das vezes,
destinada a desenvolvedores, a linhas de depuração nem sempre são
auto-explicativas. Você pode obter algo como:
<computeroutput>Timeout vals: srtt: -1 rttvar: -1 to: 1000000
delta 14987 ==> srtt: 14987 rttvar: 14987 to:
100000</computeroutput>. Se você não entender uma linha, suas
únicas opções serão ignorá-la, procurar no código-fonte ou pedir
ajuda na lista de discussão de desenvolvimento (nmap-dev). Algumas
linhas são auto-explicativas, mas as mensagens ficam cada vez mais
obscuras conforme o nível de depuração é aumentado.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--packet-trace</option> (Rastreia pacotes e dados
enviados e recebidos)</term>
<listitem>
<indexterm significance="normal">
<primary>--packet-trace</primary>
</indexterm>
<para>Faz com que o Nmap mostre um sumário de todos os pacotes
enviados ou recebidos. Isto é bastante usado para depuração, mas
também é uma forma valiosa para novos usuário entenderem
exatamente o que o Nmap está fazendo por baixo dos panos. Para
evitar mostrar milhares de linhas, você pode querer especificar um
número limitado de portas a escanear, como
<option>-p20-30</option>. Se tudo o que lhe interessa for saber o
que se passa no subsistema de detecção de versão, use o
<option>--version-trace</option>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--iflist</option> (Lista as interfaces e rotas)</term>
<listitem>
<indexterm significance="normal">
<primary>--iflist</primary>
</indexterm>
<para>Mostra a lista de interfaces e rotas do sistema conforme
detectados pelo Nmap. Isto é útil para depurar problemas de
roteamento ou erro de caracterização de dispositivo (como, por
exemplo, no caso do Nmap tratar uma conexão PPP como se fosse uma
Ethernet).</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--log-errors</option> (Registrar os erros/avisos em um
arquivo de sáida em modo normal)</term>
<listitem>
<indexterm significance="normal">
<primary>--log-errors</primary>
</indexterm>
<para>Avisos e erros mostrados pelo Nmap normalmente aparecem
apenas na tela (saída interativa), deixando quaisquer arquivos de
saída com formato normal especificados íntegros. Mas quando você
quer realmente ver essas mensagens no arquivo de saída que você
especificou, inclua esta opção. É útil quando você não está vendo
a saída interativa ou está tentando depurar um problema. As
mensagens continuarão a aparecer no modo interativo. Isto não irá
funcionar para a maioria dos erros ligados à argumento inválidos
na linha de comando, ocorre que o Nmap pode ainda não ter
inicializado seus arquivos de saída ainda. Somado a isso, algumas
mensagens de erro/aviso do Nmap utilizam um sistema diferente que
ainda não suporta esta opção. Uma alternativa ao uso desta opção é
redirecionar a saída interativa (incluindo o fluxo de erros
padrão) para um arquivo. Embora a maioria dos shells Unix tornem
essa uma alternativa fácil, pode ser difícil fazer o mesmo no
Windows.</para>
</listitem>
</varlistentry>
</variablelist>
<variablelist>
<title>Opções diversas (miscellaneous) de saída</title>
<varlistentry>
<term><option>--append-output</option> (Acrescenta no arquivo de
saída, ao invés de sobrepor)</term>
<listitem>
<indexterm significance="normal">
<primary>--append-output</primary>
</indexterm>
<para>Quando você especifica um nome de arquivo na flag de formato
de saída, como <option>-oX</option> ou <option>-oN</option>, esse
arquivo é sobreposto por padrão. Se você preferir manter o
conteúdo existente do arquivo e acrescentar os novos resultados,
especifique a opção <option>--append-output</option>. Todos os
arquivos de saída especificados na execução do Nmap terão os
resultados acrescidos ao invés de sobrepostos. Isso não funciona
bem com os dados de scan para XML (<option>-oX</option>) pois o
arquivo resultante não será adequadamente interpretado até que
você conserte manualmente.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--resume <nomedoarquivo></option> (Retoma um
scan abortado)</term>
<listitem>
<indexterm significance="normal">
<primary>--resume</primary>
</indexterm>
<para>Algumas execuções extensas do Nmap podem levar muito tempo
-- na ordem de dias. Tais scans nem sempre rodam até o fim. Podem
haver restrições que impeçam que o Nmap seja executado durante o
horário de expediente, a rede pode cair, a máquina onde o Nmap
está rodando pode sofrer um reboot planejado ou não, ou o Nmap
pode simplesmente travar. O administrador que está rodando o Nmap
poderia cancelá-lo por qualquer outra razão, bastando teclar
<keycap>ctrl-C</keycap>. Reiniciar um scan inteiro do começo pode
ser indesejável. Felizmente, se forem mantidas logs normal
(<option>-oN</option>) ou para o grep (<option>-oG</option>), o
usuário pode pedir que o Nmap continue o escaneamento do alvo que
estava verificando quando a execução foi interrompida.
Simplesmente especifique a opção <option>--resume</option> e
informe o arquivo da saída normal/para o grep como argumento.
Nenhum outro argumento é permitido, pois o Nmap analisa o arquivo
de saída e usa os mesmos argumentos especificados anteriormente.
Basta chamar o Nmap com <command>nmap --resume
<replaceable>nomedoarquivodelog</replaceable></command>. O Nmap
irá acrescentar os novos resultados ao arquivo de dados
especificado na execução anterior. Essa retomada de execução não
suporta o formato de saída XML porque combinar as duas execuções
em um arquivo XML válido seria difícil.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--stylesheet <caminho ou URL></option> (Informa
a folha de estilo XSL usada para transformar a saída XML)</term>
<listitem>
<indexterm significance="normal">
<primary>--stylesheet</primary>
</indexterm>
<para>O Nmap vem com uma folha de estilo (stylesheet) chamada
<filename>nmap.xsl</filename> para visualizar ou traduzir a saída
XML em HTML. A saída XML inclui uma diretiva
<literal>xml-stylesheet</literal> que mostra para o
<filename>nmap.xml</filename> onde ele foi inicialmente instalado
pelo Nmap (ou para o diretório corrente no Windows). Simplesmente
carregue a saída XML do Nmap em um navegador moderno e ele deve
conseguir achar o <filename>nmap.xsl</filename> no sistema de
arquivos e utilizá-lo para interpretar os resultados. Se você
deseja utilizar uma folha de estilo diferente, especifique-a como
um argumento para <option>--stylesheet</option>. Você deve
informar o caminho completo ou a URL. Uma chamada comum é
<option>--stylesheet
https://nmap.org/data/nmap.xsl</option>. Isso diz ao
navegador para carregar a versão mais atual da folha de estilo da
Insecure.Org. A opção <option>--webxml</option> faz a mesma coisa
com menos teclas e menor memorização. Carregar o XSL da
Insecure.org torna mais fácil de se ver os resultados em uma
máquina que não tenha o Nmap instalado (e, conseqüentemente o
<filename>nmap.xsl</filename>). Então, a URL é normalmente mais
útil, mas a localização nmap.xsl em um filesystem local é usada
por padrão por questões de privacidade.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--webxml</option> (Carrega a folha de estilo da
Insecure.Org)</term>
<listitem>
<indexterm significance="normal">
<primary>--webxml</primary>
</indexterm>
<para>Esta opção conveniente é apenas um apelido para
<option>--stylesheet
https://nmap.org/data/nmap.xsl</option>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--no-stylesheet</option> (Omite do XML a declaração da
folha de estilo XSL)</term>
<listitem>
<indexterm significance="normal">
<primary>--no-stylesheet</primary>
</indexterm>
<para>Especifique esta opção para evitar que o Nmap associe
qualquer folha de estilo XSL à saída XML. A diretiva
<literal>xml-stylesheet</literal> é omitida.</para>
</listitem>
</varlistentry>
</variablelist>
</refsect1>
<refsect1 id="man-misc-options">
<title>Opções Diversas (Miscelânea)</title>
<para>Esta seção descreve algumas opções importantes (e
não-tão-importantes) que realmente não couberam em nenhum outro
lugar.</para>
<variablelist>
<varlistentry>
<term><option>-6</option> (Habilita o escaneamento IPv6)</term>
<listitem>
<indexterm significance="normal">
<primary>-6</primary>
</indexterm>
<indexterm significance="normal">
<primary>IPv6</primary>
</indexterm>
<para>Desde 2002, o Nmap oferece suporte a IPv6 na maioria de suas
opções mais populares. Em particular, o scan com ping (apenas
TCP), o scan com connect e a detecção de versão, todo suportam
IPv6. A sintaxe de comando é a mesma de sempre, exceto que você
irá também adicionar a opção <option>-6</option>. É claro que você
deve usar a sintaxe IPv6 se especificar um endereço no lugar de um
nome de host. Um endereço pode se parecer com
<literal>3ffe:7501:4819:2000:210:f3ff:fe03:14d0</literal>,
portanto os nomes de host são recomendados. A saída é a mesma de
sempre, com o endereço IPv6 na linha <quote>portas
interessantes</quote> sendo a única dica visível de se tratar
realmente de IPv6.</para>
<para>Muito embora o IPv6 não ter, exatamente, se alastrado pelo
mundo, seu uso se torna mais significativo em alguns países
(normalmente asiáticos) e a maioria dos sistemas operacionais
modernos passam a suportá-lo. Para usar o Nmap com o IPv6, tanto a
origem, quanto o alvo de seu scan devem estar configurados para
IPv6. Se o seu provedor (ISP) (como a maioria) não aloca endereços
IPv6 para você, alguns intermediários, que fazem o túnel
gratuitamente, estão amplamente disponíveis e funcionam bem com o
Nmap. Um dos melhores é disponibilizado pela BT Exact.
Também tenho utilizado um,
fornecido pela Hurricane Electric em <ulink
url="http://ipv6tb.he.net/" />. Túneis 6para4 são outra abordagem
gratuita e popular.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-A</option> (Opções agressivas de scan)</term>
<listitem>
<indexterm significance="normal">
<primary>-A</primary>
</indexterm>
<para>Esta opção habilita opções adicionais avançadas e
agressivas. Ainda não decidi exatamente qual das duas é a certa.
Atualmente ela habilita a Detecção de SO (<option>-O</option>) e o
escaneamento de versão (<option>-sV</option>). Mais
características poderão ser adicionadas no futuro. A questão é
habilitar um conjunto completo de opções de escaneamento sem que
as pessoas tenham que se lembrar de um grupo grande de flags. Esta
opção apenas habilita as funções e não as opções de temporização
(como a <option>-T4</option>) ou opções de verbosidade
(<option>-v</option>) que você pode também querer.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--datadir <nomedodiretório></option> (Especifica
a localização dos arquivos de dados do scan)</term>
<listitem>
<indexterm significance="normal">
<primary>--datadir</primary>
</indexterm>
<para>O Nmap obtém alguns dados especiais, em tempo de execução,
em arquivos chamados <filename>nmap-service-probes</filename>,
<filename>nmap-services</filename>,
<filename>nmap-protocols</filename>,
<filename>nmap-rpc</filename>,
<filename>nmap-mac-prefixes</filename> e
<filename>nmap-os-fingerprints</filename>. O Nmap primeiramente
busca esses arquivos em um diretório especificado na opção
<option>--datadir</option> (se houver). Qualque arquivo que não
seja encontrado lá é procurado no diretório especificado pela
variável de ambiente NMAPDIR. A seguir vem o
<filename>~/.nmap</filename> para se achar os UIDs reais e
efetivos (apenas em sistemas POSIX) ou a localização do executável
do Nmap (apenas Win32) e, então, a localização definida na
compilação, que pode ser
<filename>/usr/local/share/nmap</filename> ou
<filename>/usr/share/nmap</filename> . Como último recurso, o Nmap
irá procurar no diretório corrente.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--send-eth</option> (Use a transmissão pela ethernet
em estado bruto)</term>
<listitem>
<indexterm significance="normal">
<primary>--send-eth</primary>
</indexterm>
<para>Solicita ao Nmap para que envie pacotes na ethernet (data
link) em estado bruto (raw) ao invés de usar a camada de nível
mais alto IP (rede). Por padrão, o Nmap escolhe o que for melhor
para a plataforma onde está rodando. Soquetes (sockets) em estado
bruto (camada IP) são normalmente mais eficientes em máquinas
UNIX, enquanto que os frames ethernet são necessários nas
operações do Windows, uma vez que a Microsoft desabilitou o
suporte a soquetes em estado bruto. O Nmap ainda usa pacotes IP em
estado bruto no UNIX, independentemente desta opção, quando não há
outra alternativa (como no caso de conexões não-ethernet).</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--send-ip</option> (Envia no nível do IP em estado
bruto)</term>
<listitem>
<indexterm significance="normal">
<primary>--send-ip</primary>
</indexterm>
<para>Pede ao Nmap que envie os pacotes pelos soquetes IP em
estado bruto ao invés de enviar pelo nível mais baixo dos frames
ethernet. É o complemento da opção <option>--send-eth</option>
discutida anteriormente.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--privileged</option> (Assume que o usuário é
altamente privilegiado)</term>
<listitem>
<indexterm significance="normal">
<primary>--privileged</primary>
</indexterm>
<para>Informa ao Nmap para simplesmente assumir que ele tem
privilégio suficiente para executar transmissões de soquetes em
estado bruto, farejar (sniff) pacotes e operações similares que
normalmente requerem privilégio de root em sistemas UNIX. Por
padrão, o Nmap se encerra se tal operação é solicitada mas o
geteuid() não é zero. <option>--privileged</option> é útil com as
possibilidades oferecidas pelo kernel do Linux, e sistemas
similares, que pode ser configurado para permitir que usuários
não-privilegiados executem scans de pacotes em estado bruto.
Assegure-se de informar esta flag de opção antes de outras flags
de opção que requeiram privilégios (scan SYN, detecção de OS,
etc.). A variável NMAP_PRIVILEGED pode ser configurada como uma
alternativa equivalente de <option>--privileged</option>.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>--release-memory</option> (Release memory before
quitting)</term>
<listitem>
<indexterm significance="normal">
<primary>--release-memory</primary>
</indexterm>
<para>Esta opção é útil apenas para depuração de vazamentos de
memória (memory-leak). Ela faz com que o Nmap libere memória
alocada pouco antes de encerrar de forma a tornar os vazamentos de
memória reais mais fáceis de se ver. Normalmente o Nmap pula essa
parte pois o SO faz isso de qualquer forma no encerramento de um
processo.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-V</option>; <option>--version</option> (Mostra o
número da versão)</term>
<listitem>
<indexterm significance="normal">
<primary>-V</primary>
</indexterm>
<indexterm significance="normal">
<primary>--version</primary>
</indexterm>
<para>Mostra o número da versão do Nmap e sai.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-h</option>; <option>--help</option> (Mostra a página
do sumário de ajuda)</term>
<listitem>
<indexterm significance="normal">
<primary>-h</primary>
</indexterm>
<indexterm significance="normal">
<primary>--help</primary>
</indexterm>
<para>Mostra uma pequena tela com as flags de comandos mais
comuns. Executar o nmap sem nenhum argumento faz a mesma
coisa.</para>
</listitem>
</varlistentry>
</variablelist>
</refsect1>
<refsect1 id="man-runtime-interaction">
<title>Interação em Tempo de Execução</title>
<indexterm significance="normal">
<primary>Interação em Tempo de Execução</primary>
</indexterm>
<para>Durante a execução do Nmap, todas as teclas pressionadas são
capturadas. Isso permite que você interaja com o programa sem abortá-lo
ou reiniciá-lo. Algumas teclas especiais irão mudar as opções, enquanto
outras irão mostrar uma mensagem de estado dando informações sobre o
scan. A convenção é que <emphasis>letras minúsculas aumentam</emphasis>
a quantidade de informação e <emphasis>letras maiúsculas
diminuem</emphasis>. Você também pode pressionar
‘<emphasis>?</emphasis>’ para obter ajuda.</para>
<variablelist>
<varlistentry>
<term><option>v</option> / <option>V</option></term>
<listitem>
<para>Aumenta / Diminui a quantidade de informações
(Verbosity)</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>d</option> / <option>D</option></term>
<listitem>
<para>Aumenta / Diminui o Nível de Depuração (Debugging
Level)</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>p</option> / <option>P</option></term>
<listitem>
<para>Habilita / Desabilita o Rastreamento de Pacotes (Packet
Tracing)</para>
</listitem>
</varlistentry>
<varlistentry>
<term>
<option>?</option>
</term>
<listitem>
<para>Mostra uma tela de ajuda da interação em tempo de
execução</para>
</listitem>
</varlistentry>
<varlistentry>
<term>Qualquer outra letra</term>
<listitem>
<para>Mostra uma mensagem de estado como esta:</para>
<para>Stats: 0:00:08 elapsed; 111 hosts completed (5 up), 5
undergoing Service Scan</para>
<para>Service scan Timing: About 28.00% done; ETC: 16:18 (0:00:15
remaining)</para>
</listitem>
</varlistentry>
</variablelist>
</refsect1>
<refsect1 id="man-examples">
<title>Exemplos</title>
<para>Aqui estão alguns exemplos de utilização do Nmap, desde o simple e
rotineiro, até o um pouco mais complexo e esotérico. Alguns endereços IP
reais e nomes de domínio foram utilizados para tornar as coisas mais
concretas. Nesses lugares você deve substituir os endereços/nomes pelos
da <emphasis>sua própria rede</emphasis>. Embora eu não ache que o
escaneamento de portas de outras redes seja, ou deva ser considerado,
ilegal alguns administradores de rede não apreciam o escaneamento
não-solicitado de suas redes e podem reclamar. Obter a permissão
antecipadamente é a melhor opção.</para>
<para>Para fins de teste, você tem permissão para escanear o host
<literal>scanme.nmap.org</literal>. Esta permissão inclui apenas o
escaneamento via Nmap e não tentativas de explorar vulnerabilidades ou
ataques de negação de serviço (denial of service). Para preservar a
banda, por favor não inicie mais do que uma dúzia de scans contra o host
por dia. Se esse serviço de alvo livre para escaneamento for abusado,
será derrubado e o Nmap irá reportar <computeroutput>Failed to resolve
given hostname/IP: scanme.nmap.org</computeroutput>. Essas permissões
também se aplicam aos hosts <literal>scanme2.nmap.org</literal>,
<literal>scanme3.nmap.org</literal>, e assim por diante, embora esses
hosts ainda não existam.</para>
<para>
<userinput>nmap -v scanme.nmap.org</userinput>
</para>
<para>Esta opção escaneia todas as portas TCP reservadas na máquina
<literal>scanme.nmap.org</literal> . A opção <option>-v</option>
habilita o modo verboso (verbose).</para>
<para>
<userinput>nmap -sS -O scanme.nmap.org/24</userinput>
</para>
<para>Inicia um scan SYN camuflado contra cada máquina que estiver ativa
das 255 possíveis da rede <quote>classe C</quote> onde o Scanme reside.
Ele também tenta determinar qual o sistema operacional que está rodando
em cada host ativo. Isto requer privilégio de root por causa do scan SYN
e da detecção de SO.</para>
<para>
<userinput>nmap -sV -p 22,53,110,143,4564
198.116.0-255.1-127</userinput>
</para>
<para>Inicia uma enumeração de hosts e um scan TCP na primeira metade de
cada uma das 255 sub-redes de 8 bits possíveis na classe B do espaço de
endereçamento 198.116. Também testa se os sistemas estão executando
sshd, DNS, pop3d, imapd ou a porta 4564. Para cada uma destas portas
encontradas abertas, a detecção de versão é usada para determinar qual
aplicação está executando.</para>
<para>
<userinput>nmap -v -iR 100000 -P0 -p 80</userinput>
</para>
<para>Pede ao Nmap para escolher 100.000 hosts de forma aleatória e
escaneá-los procurando por servidores web (porta 80). A enumeração de
hosts é desabilitada com <option>-P0</option> uma vez que enviar
primeiramente um par de sondagens para determinar se um hosts está ativo
é um desperdício quando se está sondando uma porta em cada host
alvo.</para>
<para>
<userinput>nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG
logs/pb-port80scan.gnmap 216.163.128.20/20</userinput>
</para>
<para>Este exemplo escaneia 4096 endereços IP buscando por servidores
web (sem usar o ping) e grava a saída nos formatos XML e compatível com
o programa grep.</para>
</refsect1>
<refsect1 id="man-bugs">
<title>Bugs</title>
<para>Como seu autor, o Nmap não é perfeito. Mas você pode ajudar a
torná-lo melhor enviando relatórios de erros (bug reports) ou mesmo
escrevendo correções. Se o Nmap não se comporta da forma que você
espera, primeiro atualize para a versão mais atual disponível em <ulink
url="https://nmap.org/" />. Se o problema persistir, pesquise um
pouco para determinar se o problema já foi descoberto e encaminhado.
Tente procurar no Google pela mensagem de erro ou navegar nos arquivos
da Nmap-dev em <ulink url="https://seclists.org/" />. Se não encontrar
nada, envie uma mensagem com um relatório do erro para
<email>dev@nmap.org</email>. Por favor, inclua tudo o que
souber sobre o problema, bem como a versão do Nmap que você está
executando e em qual versão e sistema operacional você está
rodando-o.</para>
<para>Correções codificadas para consertar os erros são ainda melhores
que os relatórios de erro. Instruções básicas para a criação de arquivos
de correções com as suas alterações estão disponíveis em <ulink
url="https://nmap.org/data/HACKING" />.</para>
</refsect1>
<refsect1 id="man-author">
<title>Autor</title>
<para>Fyodor <email>fyodor@nmap.org</email> (<ulink
url="https://insecure.org" />)</para>
<para>Centenas de pessoas fizeram contribuições valiosas para o Nmap ao
longo dos anos. Isso está detalhado no arquivo <filename
moreinfo="none">CHANGELOG</filename> que é distribuído com o Nmap e
também está disponível em <ulink
url="https://nmap.org/changelog.html" />.</para>
</refsect1>
<refsect1 id="man-legal">
<title>Avisos Legais</title>
<refsect2>
<title>Unofficial Translation Disclaimer / Aviso de Tradução
Não-Oficial</title>
<para>This is an unnofficial translation of the <ulink
url="https://nmap.org/man/man-legal.html">Nmap license
details</ulink> into Portuguese (Brazil). It was not written by
Insecure.Com LLC, and does not legally state the distribution terms
for Nmap -- only the original English text does that. However, we hope
that this translation helps Portuguese (Brazil) speakers understand
the Nmap license better.</para>
<para>Esta é uma tradução não-oficial dos <ulink
url="https://nmap.org/man/man-legal.html">detalhes do
licenciamento do Nmap</ulink> em português (Brasil). Ela não foi
escrita pela Insecure.Com LLC e não tem poder legal sobre os termos de
distribuição do Nmap -- apenas o texto original em inglês o tem.
Entretanto, esperamos que esta tradução auxilie os falantes de
português (Brasil) a compreender melhor a licença do Nmap.</para>
</refsect2>
<refsect2 id="nmap-copyright">
<title>Copyright e Licenciamento do Nmap</title>
<indexterm significance="normal">
<primary>copyright</primary>
</indexterm>
<indexterm significance="normal">
<primary>licenciamento</primary>
</indexterm>
<indexterm significance="normal">
<primary>GNU GPL</primary>
</indexterm>
<para>O Nmap Security Scanner é (C) 1996-2005 Insecure.Com LLC. O Nmap
também é uma marca registrada de Insecure.Com LLC. Este programa é um
software livre; você pode redistribuí-lo e/ou modificá-lo sob os
termos da Licença Pública Geral GNU (GNU General Public License)
conforme publicado pela Free Software Foundation; Versão 2. Isso
garante o seu direito de usar, modificar e redistribuir este software
sob certas condições. Se você desejar embutir a tecnologia do Nmap em
um software proprietário, poderemos querer vender licenças
alternativas (contate <email>sales@insecure.com</email>). Muitos
vendedores de scanner de segurança já licenciam a tecnologia do Nmap,
tal como a descoberta de hosts, escaneamento de portas, detecção de SO
e detecção de serviços/versões.</para>
<para>Observe que a GPL impõe restrições importantes em
<quote>trabalhos derivados</quote>, embora ela não forneça uma
definição detalhada desse termo. Para evitar más-interpretações,
consideramos que uma aplicação constitui um <quote>trabalho
derivado</quote>, para o propósito desta licença, se ela se enquadra
em um dos seguintes ítens:</para>
<itemizedlist>
<listitem>
<para>Integra código fonte do Nmap</para>
</listitem>
<listitem>
<para>Lê ou inclui arquivos de dados do Nmap que são protegidos
por copyright, tal como o
<filename>nmap-os-fingerprints</filename> ou
<filename>nmap-service-probes</filename>.</para>
</listitem>
<listitem>
<para>Executa o Nmap e decompõe (parse) os resultados
(diferentemente de uma execução típica de um shell ou aplicações
de menu de execução, que simplesmente mostram a saída em estado
bruto do Nmap e portanto não constituem um trabalho
derivado).</para>
</listitem>
<listitem>
<para>Integra/inclui/agrega o Nmap em um instalador executável
proprietário, tal como os produzidos pelo InstallShield.</para>
</listitem>
<listitem>
<para>Estabelece uma ligação (link) com uma biblioteca ou executa
um programa que faz qualquer um dois ítens acima.</para>
</listitem>
</itemizedlist>
<para>O termo <quote>Nmap</quote> deve ser considerado como contendo
parte ou sendo trabalho derivado do Nmap. Esta lista não é definitiva,
mas deve ser entendida como uma forma de clarear nossa interpretação
de trabalho derivado com alguns exemplos comuns. Estas restrições
apenas se aplicam quando você realmente redistribui o Nmap. Por
exemplo, nada impede que você escreva e venda um front-end
proprietário para o Nmap. Apenas redistribua o seu produto
isoladamente e mostre às pessoas aonde elas podem <ulink
url="https://nmap.org/" />baixar o Nmap.</para>
<para>Nós não consideramos isso como restrições adicionais à GPL, mas
apenas uma elucidação de como nós interpretamos <quote>trabalhos
derivados</quote> pois elas se aplicam ao nosso produto Nmap
licenciado no formato GPL. Isso é idêntico à forma como Linus Torvalds
anunciou sua interpretação de como os <quote>trabalhos
derivados</quote> se aplicam aos módulos do kernel do Linux. Nossa
interpretação refere-se apenas ao Nmap - não respondemos por qualquer
outro produto GPL.</para>
<para>Se você tiver qualquer dúvida quanto às restrições do
licenciamento GPL na utilização do Nmap em produtos não-GPL,
ficaríamos felizes em ajudar. Como mencionado acima, também oferecemos
licenças alternativas para a integração do Nmap em aplicações e
dispositivos proprietários. Esses contratos foram vendidos para muitas
empresas de segurança e geralmente incluem uma licença perpétua, bem
como disponibiliza um suporte e atualizações prioritários, e também
nos ajuda financeiramente o desenvolvimento contínuo da tecnologia do
Nmap. Por favor, envie um e-mail para
<email>sales@insecure.com</email> se desejar mais informações.</para>
<indexterm significance="normal">
<primary>licença</primary>
<secondary>Exceção à OpenSSL</secondary>
</indexterm>
<para>Como uma exceção especial aos termos da GPL, a Insecure.Com LLC
permite que uma ligação (link) do código deste program seja feito com
qualquer versão da biblioteca do OpenSSL que seja distribuída sob uma
licença idêntica àquela listada no arquivo Copying.OpenSSL incluso, e
distribuir combinações de ligação incluindo os dois. Você deve
obedecer à GPL GNU em todos os aspectos para todo o código utilizado
que não seja OpenSSL. Se você modificar este aquivo, você pode
estender esta exceção para a sua versão do arquivo, mas você não é
obrigado a fazer isso.</para>
<para>Se você recebeu estes arquivos com um acordo de licenciamento
por escrito ou um contrato ditando termos que não sejam diferentes dos
acima, então essa licença alternativa tem precedência sobre estes
comentários.</para>
</refsect2>
<refsect2 id="man-copyright">
<title>Licença da Creative Commons para este guia do Nmap</title>
<para>Este Guia de Referência do Nmap é (C) 2005 da Insecure.Com LLC.
Está aqui colocado sob a versão 2.5 da <ulink
url="http://creativecommons.org/licenses/by/2.5/">Licença de
Atribuição da Creative Commons</ulink>. Isso permite que você
redistribua e modifique o trabalho como desejar, contanto que você
credite a fonte original. Opcionalmente, você pode preferir tratar
este documento sob as mesmas regras de licenciamento do Nmap
(discutido anteriormente).</para>
</refsect2>
<refsect2 id="source-contrib">
<title>Disponibilidade de código fonte e contribuições da
comunidade</title>
<para>O código fonte é fornecido com este software porque acreditamos
que os usuários tem o direito de saber exatamente o que um programa
irá fazer antes de se executá-lo. Isso também permite que você audite
o software procurando por brechas na segurança (nenhuma foi encontrada
até agora).</para>
<para>O código fonte também permite que você porte o Nmap para novas
plataformas, conserte problemas e adicione novas características. Você
é altamente encorajado a enviar suas alterações para
<email>fyodor@nmap.org</email> para uma possível incorporação na
distribuição principal. Enviar essas alterações para Fyodor ou para
alguém da lista de mensagens de desenvolvimento da Insecure.Org,
pressupõe que você está oferecendo a Fyodor e à Insecure.Com LLC o
direito ilimitado e não-exclusivo para reutilizar, modificar e
re-licenciar o código. O Nmap sempre estará disponível como um Open
Source, mas isto é importante porque a impossibilidade de re-licenciar
o código causou problemas devastadores para outros projetos de
Software Livre (tal como o KDE e o NASM). Nós também re-licenciamos
ocasionalmente o código para terceiros, conforme discutido
anteriormente. Se você deseja especificar condições de licenciamento
especiais das suas contribuições, apenas deixe isso claro quando
enviá-las.</para>
</refsect2>
<refsect2 id="no-warranty">
<title>Sem Garantia</title>
<indexterm significance="normal">
<primary>garantia</primary>
</indexterm>
<para>Este programa é distribuído na esperança de que será útil, mas
SEM QUALQUER GARANTIA; sem sequer a garantia implícita de
COMERCIALIZAÇÃO ou ADEQUAÇÃO A QUALQUER PROPÓSITO PARTICULAR. Veja a
Licença Pública Geral GNU para mais detalhes em <ulink
url="http://www.gnu.org/copyleft/gpl.html" />, ou no arquivo COPYING
incluído com o Nmap.</para>
<para>Também deve ser observado que o Nmap reconhecidamente trava
certas aplicações mal-escritas, a pilha TCP/IP e mesmo alguns sistemas
operacionais. <emphasis remap="B">O Nmap nunca deve ser executado
contra sistemas de missão-crítica</emphasis> a menos que você esteja
preparado para lidar com o serviço fora do ar (downtime). Nós
reconhecemos aqui que o Nmap pode travar os seus sistemas ou redes e
nós renunciamos toda e qualquer responsabilidade por qualquer dano ou
problema que o Nmap possa causar.</para>
</refsect2>
<refsect2 id="inappropriate-usage">
<title>Uso inapropriado</title>
<para>Pelo fato de haver o menor risco de travamento e porque existem
pessoas mal-intencionadas (black hats) que gostam de usar o Nmap para
reconhecimento antes de atacar um sistema, existem administradores que
ficam chateados e podem reclamar quando o sistema deles é escaneado.
Portanto, é normalmente aconselhável que se solicite a permissão antes
de fazer um scan de uma rede, por mais leve que seja.</para>
<para>O Nmap nunca deveria ser instalado com privilégios especiais
(p.ex.: suid root) por questões de segurança.</para>
</refsect2>
<refsect2 id="third-party-soft">
<title>Software de Terceiros</title>
<para>Este produto inclui software desenvolvido pela <ulink
url="http://www.apache.org">Apache Software Foundation</ulink>. Uma
versão modificada da <ulink url="http://www.tcpdump.org">biblioteca
portátil de captura de pacotes Libpcap</ulink> é distribuída junto com
o Nmap. A versão para o Windows do Nmap, por outro lado, utiliza
<ulink url="http://www.winpcap.org">biblioteca WinPcap</ulink>,
derivada da libpcap. O suporte à expressões regulares é fornecido pela
<ulink url="http://www.pcre.org">biblioteca PCRE</ulink>, que é um
software de código aberto, escrito por by Philip Hazel. Algumas
funções de rede em estado bruto utilizam a biblioteca de rede <ulink
url="http://libdnet.sourceforge.net">Libdnet</ulink>, que foi escrita
por Dug Song. Uma versão modificada é distribuída com o Nmap. O Nmap
pode, opcionalmente, ser ligado ao <ulink
url="http://www.openssl.org">conjunto de ferramentas de criptografia
do OpenSSL</ulink> para o suporte à detecção de versão do SSL. Todos
os softwares de terceiros descritos neste parágrafo são distribuídos
gratuitamente sob o licenciamento de software no estilo BSD.</para>
</refsect2>
<refsect2 id="us-export">
<title>Classificação do Controle de Exportação dos EUA</title>
<indexterm significance="normal">
<primary>controle de exportação</primary>
</indexterm>
<para>Controle de Exportação dos EUA: A Insecure.Com LLC acredita que
o Nmap se enquadra no US ECCN (número de classificação para controle
de exportação) 5D992. Essa categoria é chamada de <quote>software de
Segurança da Informação não-controlado pela 5D002</quote>. A única
restrição à essa classificação é o AT (anti-terrorismo), que se aplica
a quase todos os produtos e nega a exportação à um punhado de nações
não-confiáveis tais como o Irã e a Coréia do Norte. Portanto, exportar
o Nmap não requer nenhuma licença ou permissão especial, ou qualquer
outro tipo de autorização governamental.</para>
</refsect2>
</refsect1>
</refentry>
</article>
|