nmap

PROGRAMM:

NAME/FUNKTION

nmap - Netzwerk-Explorationstool und Sicherheits-/Port-Scanner

ZUSAMMENFASSUNG

nmap [Scannen Typ...] [Optionen] {Ziel Spezifikation}

BESCHREIBUNG

Nmap („Network Mapper“) ist ein Open-Source-Tool zur Netzwerkerkundung und -sicherheit
Auditierung. Es wurde entwickelt, um große Netzwerke schnell zu scannen, funktioniert jedoch gut gegen
einzelne Gastgeber. Nmap verwendet rohe IP-Pakete auf neuartige Weise, um zu bestimmen, welche Hosts verfügbar sind
im Netzwerk, welche Dienste (Anwendungsname und Version) diese Hosts anbieten,
welche Betriebssysteme (und OS-Versionen) sie ausführen, welche Art von Paket
Filter/Firewalls im Einsatz sind, und Dutzende anderer Eigenschaften. Während Nmap allgemein bekannt ist
Wird für Sicherheitsaudits verwendet, finden es viele System- und Netzwerkadministratoren nützlich für
Routineaufgaben wie Netzwerkinventur, Verwaltung von Service-Upgrade-Zeitplänen und
Überwachung der Host- oder Dienstverfügbarkeit.

Die Ausgabe von Nmap ist eine Liste gescannter Ziele mit zusätzlichen Informationen zu jedem
abhängig von den verwendeten Optionen. Der Schlüssel zu diesen Informationen sind die „interessanten Häfen“.
table“.. Diese Tabelle listet die Portnummer und das Protokoll, den Dienstnamen und den Status auf. Der
Der Status ist entweder offen, gefiltert, geschlossen oder ungefiltert. Offen. bedeutet, dass eine Bewerbung
auf dem Zielcomputer auf Verbindungen/Pakete an diesem Port lauscht. Gefiltert. bedeutet
dass eine Firewall, ein Filter oder ein anderes Netzwerkhindernis den Port blockiert, sodass Nmap
kann nicht sagen, ob es offen oder geschlossen ist. Abgeschlossen. Ports haben keine Anwendung, die auf lauscht
sie, obwohl sie sich jederzeit öffnen könnten. Ports werden als ungefiltert klassifiziert. Wenn
sie reagieren auf die Sonden von Nmap, aber Nmap kann nicht feststellen, ob sie geöffnet sind oder
abgeschlossen. Nmap meldet die Zustandskombinationen open|gefiltert. und geschlossen|gefiltert. wenn es
kann nicht feststellen, welcher der beiden Zustände einen Port beschreibt. Die Porttabelle kann auch enthalten:
Details zur Softwareversion, wenn eine Versionserkennung angefordert wurde. Wenn ein IP-Protokoll
Scan wird angefordert (-so), bietet Nmap Informationen zu unterstützten IP-Protokollen, anstatt
Abhör-Ports.

Neben der interessanten Ports-Tabelle kann Nmap weitere Informationen zu
Ziele, einschließlich Reverse-DNS-Namen, Schätzungen des Betriebssystems, Gerätetypen und MAC
Adressen.

Ein typischer Nmap-Scan wird in Beispiel 1 gezeigt. Die einzigen Nmap-Argumente, die in diesem Beispiel verwendet werden
sind -A, um Betriebssystem- und Versionserkennung, Skript-Scans und Traceroute zu aktivieren; -T4 für
schnellere Ausführung; und dann den Hostnamen.

Beispiel 1. A Vertreter Nmap Scan

# nmap -A -T4 scanme.nmap.org

Nmap-Scanbericht für scanme.nmap.org (74.207.244.221)
Der Host ist aktiv (0.029 Sekunden Latenz).
rDNS-Eintrag für 74.207.244.221: li86-221.members.linode.com
Nicht gezeigt: 995 geschlossene Ports
HAFENSTAAT SERVICE-VERSION
22/tcp open ssh OpenSSH 5.3p1 Debian 3ubuntu7 (Protokoll 2.0)
| ssh-hostkey: 1024 8d:60:f1:7c:ca:b7:3d:0a:d6:67:54:9d:69:d9:b9:dd (DSA)
|_2048 79:f8:09:ac:d4:e2:32:42:10:49:d3:bd:20:82:85:ec (RSA)
80/tcp öffnen http Apache httpd 2.2.14 ((Ubuntu))
|_http-title: Mach weiter und ScanMe!
646/tcp gefiltertes ldp
1720/tcp gefiltert H.323/Q.931
9929/tcp offenes Nping-Echo Nping-Echo
Gerätetyp: Allzweck
Laufen: Linux 2.6.X
Betriebssystem-CPE: cpe:/o:linux:linux_kernel:2.6.39
Betriebssystemdetails: Linux 2.6.39
Netzwerkentfernung: 11 Hops
Service-Info: Betriebssystem: Linux; CPE: cpe:/o:linux:kernel

TRACEROUTE (unter Verwendung von Port 53/tcp)
HOP-RTT-ADRESSE
[Der Kürze halber die ersten 10 Hopfen schneiden]
11 17.65 ms li86-221.members.linode.com (74.207.244.221)

Nmap fertig: 1 IP-Adresse (1 Host hoch) in 14.40 Sekunden gescannt

Die neueste Version von Nmap ist erhältlich bei https://nmap.org. Die neueste Version von
Diese Manpage ist verfügbar unter https://nmap.org/book/man.html. Es ist auch enthalten als
Kapitel von Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery und
Sicherheitsscannen (siehe https://nmap.org/book/).

OPTIONAL ZUSAMMENFASSUNG

Diese Optionszusammenfassung wird gedruckt, wenn Nmap ohne Argumente ausgeführt wird und die neueste Version
ist immer erreichbar unter https://svn.nmap.org/nmap/docs/nmap.usage.txt. Es hilft den Menschen
erinnern sich an die gängigsten Optionen, ersetzen aber nicht die ausführliche Dokumentation in
den Rest dieses Handbuchs. Einige obskure Optionen sind hier nicht einmal enthalten.

Nmap 7.01 (https://nmap.org)
Verwendung: nmap [Scantyp(en)] [Optionen] {Zielspezifikation}
ZIELSPEZIFIKATION:
Kann Hostnamen, IP-Adressen, Netzwerke usw.
Beispiel: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-iL : Eingabe aus der Liste der Hosts/Netzwerke
-iR : Wähle zufällige Ziele
--ausschließen : Hosts/Netzwerke ausschließen
--excludefile : Liste aus Datei ausschließen
GASTENTDECKUNG:
-sL: List Scan - einfach die zu scannenden Ziele auflisten
-sn: Ping-Scan - Port-Scan deaktivieren
-Pn: Behandeln Sie alle Hosts als online – überspringen Sie die Host-Erkennung
-PS/PA/PU/PY[Portliste]: TCP SYN/ACK-, UDP- oder SCTP-Erkennung zu bestimmten Ports
-PE/PP/PM: ICMP-Echo-, Zeitstempel- und Netzmasken-Erkennungstests
-PO[Protokollliste]: IP-Protokoll-Ping
-n/-R: DNS-Auflösung nie durchführen/Immer auflösen [Standard: manchmal]
--dns-server : Benutzerdefinierte DNS-Server angeben
--system-dns: DNS-Resolver des Betriebssystems verwenden
--traceroute: Trace-Hop-Pfad zu jedem Host
SCAN-TECHNIKEN:
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scannt
-sU: UDP-Scan
-sN/sF/sX: TCP-Null-, FIN- und Weihnachtsscans
--scanflags : TCP-Scan-Flags anpassen
-sI : Leerlaufscan
-sY/sZ: SCTP INIT/COOKIE-ECHO-Scans
-sO: IP-Protokoll-Scan
-B : FTP-Bounce-Scan
ANSCHLUSSSPEZIFIKATION UND SCAN-REIHENFOLGE:
-P : Nur angegebene Ports scannen
Bsp: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9
--exclude-ports : Schließen Sie die angegebenen Ports vom Scannen aus
-F: Schneller Modus - Scannen Sie weniger Ports als beim Standardscan
-r: Ports nacheinander scannen - nicht randomisieren
--top-ports : Scannen gängigste Häfen
--Port-Verhältnis : Scan-Ports häufiger als
SERVICE-/VERSIONSERKENNUNG:
-sV: Offene Ports prüfen, um Service-/Versionsinformationen zu ermitteln
--version-intensität : Von 0 (hell) bis 9 einstellen (alle Sonden ausprobieren)
--version-light: Auf die wahrscheinlichsten Sonden beschränken (Intensität 2)
--version-all: Probieren Sie jede einzelne Sonde aus (Intensität 9)
--version-trace: Detaillierte Versions-Scan-Aktivität anzeigen (zum Debuggen)
SKRIPT-SCAN:
-sC: entspricht --script=default
--script= : ist eine durch Kommas getrennte Liste von
Verzeichnisse, Skriptdateien oder Skriptkategorien
--script-args= : Argumente für Skripte bereitstellen
--script-args-file=Dateiname: NSE-Skriptargumente in einer Datei bereitstellen
--script-trace: Alle gesendeten und empfangenen Daten anzeigen
--script-updatedb: Aktualisieren Sie die Skriptdatenbank.
--script-help = : Hilfe zu Skripten anzeigen.
ist eine durch Kommas getrennte Liste von Skriptdateien oder
Skript-Kategorien.
OS-ERKENNUNG:
-O: Betriebssystemerkennung aktivieren
--osscan-limit: OS-Erkennung auf vielversprechende Ziele beschränken
--osscan-guess: Errate das Betriebssystem aggressiver
ZEITPLAN UND LEISTUNG:
Optionen, die nehmen sind in Sekunden, oder fügen Sie 'ms' (Millisekunden) hinzu,
's' (Sekunden), 'm' (Minuten) oder 'h' (Stunden) auf den Wert (zB 30m).
-T<0-5>: Timing-Vorlage einstellen (höher ist schneller)
--min-hostgroup/max-hostgroup : Gruppengrößen für parallele Host-Scans
--min-Parallelismus/max-Parallelismus : Sondenparallelisierung
--min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout : Spezifiziert
Umlaufzeit der Sonde.
--max-Wiederholungen : Begrenzt die Anzahl der erneuten Übertragungen des Port-Scan-Tests.
--host-timeout : Nach so langer Zeit das Ziel aufgeben
--scan-delay/--max-scan-delay : Verzögerung zwischen Sonden anpassen
--min-rate : Pakete nicht langsamer senden als pro Sekunde
--Maximale Rate : Senden Sie Pakete nicht schneller als pro Sekunde
FIREWALL/IDS-Umgehung und -Spoofing:
-F; --mtu : Fragmentpakete (optional mit angegebener MTU)
-D : Einen Scan mit Ködern tarnen
-S : Spoof-Quelladresse
-e : Angegebene Schnittstelle verwenden
-g/--source-port : Verwenden Sie die angegebene Portnummer
--Proxys : Relay-Verbindungen über HTTP/SOCKS1-Proxys
--Daten : Eine benutzerdefinierte Nutzlast an gesendete Pakete anhängen
--data-string : Eine benutzerdefinierte ASCII-Zeichenfolge an gesendete Pakete anhängen
--Datenlänge : Zufallsdaten an gesendete Pakete anhängen
--ip-optionen : Pakete mit angegebenen IP-Optionen senden
--ttl : IP-Time-to-Live-Feld einstellen
--spoof-mac : Ihre MAC-Adresse fälschen
--badsum: Pakete mit einer gefälschten TCP/UDP/SCTP-Prüfsumme senden
AUSGABE:
-oN/-oX/-oS/-oG : Ausgabescan in normal, XML, s|
und Grepable-Format an den angegebenen Dateinamen.
-oA : Ausgabe in den drei Hauptformaten gleichzeitig
-v: Erhöhen Sie die Ausführlichkeit (verwenden Sie -vv oder mehr für einen größeren Effekt)
-d: Erhöhen Sie das Debugging-Level (verwenden Sie -dd oder mehr für einen größeren Effekt)
--reason: Zeigt den Grund an, warum sich ein Port in einem bestimmten Zustand befindet
--open: Nur offene (oder möglicherweise offene) Ports anzeigen
--packet-trace: Alle gesendeten und empfangenen Pakete anzeigen
--iflist: Host-Schnittstellen und -Routen ausgeben (zum Debuggen)
--append-output: An die angegebenen Ausgabedateien anhängen, anstatt sie zu überlisten
--fortsetzen : Fortsetzen eines abgebrochenen Scans
--stylesheet : XSL-Stylesheet zum Umwandeln der XML-Ausgabe in HTML
--webxml: Referenz-Stylesheet von Nmap.Org für portableres XML
--no-stylesheet: Verhindert die Verknüpfung von XSL-Stylesheet mit XML-Ausgabe
MISC:
-6: IPv6-Scan aktivieren
-A: Aktivieren Sie die Betriebssystemerkennung, Versionserkennung, Skriptüberprüfung und Traceroute
--datadir : Geben Sie den Speicherort der benutzerdefinierten Nmap-Datendatei an
--send-eth/--send-ip: Senden mit Raw-Ethernet-Frames oder IP-Paketen
--privileged: Angenommen, der Benutzer ist voll privilegiert
--unprivileged: Angenommen, dem Benutzer fehlen Raw-Socket-Berechtigungen
-V: Versionsnummer drucken
-h: Drucken Sie diese Hilfezusammenfassungsseite.
BEISPIELE
nmap -v -A scanme.nmap.org
nmap -v -sn 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -Pn -p 80
SIEHE DIE MAN SEITE (https://nmap.org/book/man.html) FÜR WEITERE OPTIONEN UND BEISPIELE

TARGET SPEZIFIKATION

Alles auf der Nmap-Befehlszeile, das keine Option (oder kein Optionsargument) ist, wird behandelt
als Zielhostspezifikation. Der einfachste Fall ist die Angabe einer Ziel-IP-Adresse oder
Hostname zum Scannen.

Manchmal möchten Sie ein ganzes Netzwerk benachbarter Hosts scannen. Dafür unterstützt Nmap
CIDR-Stil. Adressierung. Sie können anhängen /taub an eine IPv4-Adresse oder einen Hostnamen und Nmap
scannt jede IP-Adresse, für die die erste taub sind die gleichen wie für die Referenz
IP oder Hostname angegeben. Zum Beispiel würde 192.168.10.0/24 die 256 Hosts zwischen scannen
192.168.10.0 (binär: 11000000 10101000 00001010 00000000) und 192.168.10.255 (binär:
11000000 10101000 00001010 11111111), inklusive. 192.168.10.40/24 würde genau das scannen
gleichen Ziele. Da der Host scanme.nmap.org. hat die IP-Adresse 64.13.134.52, die
Spezifikation scanme.nmap.org/16 würde die 65,536 IP-Adressen zwischen 64.13.0.0 und scannen
64.13.255.255. Der kleinste zulässige Wert ist /0, der auf das gesamte Internet abzielt. Der
Der größte Wert ist /32, der nur den benannten Host oder die IP-Adresse scannt, da alle Adressen
Bits sind fest.

Die CIDR-Notation ist kurz, aber nicht immer flexibel genug. Sie möchten beispielsweise scannen
192.168.0.0/16, aber überspringen Sie alle IPs, die mit .0 oder .255 enden, da sie als Subnetz verwendet werden können
Netzwerk- und Broadcast-Adressen. Nmap unterstützt dies durch die Oktettbereichs-Adressierung. Eher
als eine normale IP-Adresse anzugeben, können Sie eine durch Kommas getrennte Liste von Zahlen oder
Bereiche für jedes Oktett. Zum Beispiel überspringt 192.168.0-255.1-254 alle Adressen im
Bereiche, die auf .0 oder .255 enden, und 192.168.3-5,7.1 scannen die vier Adressen
192.168.3.1, 192.168.4.1, 192.168.5.1 und 192.168.7.1. Beide Seiten eines Bereichs können sein
weggelassen; die Standardwerte sind links 0 und rechts 255. Verwenden - an sich ist
das gleiche wie 0-255, aber denken Sie daran, 0- im ersten Oktett zu verwenden, damit die Zielspezifikation
sieht nicht wie eine Befehlszeilenoption aus. Bereiche müssen nicht auf die letzten Oktette beschränkt sein:
der Spezifizierer 0-255.0-255.13.37 führt einen internetweiten Scan nach allen IP-Adressen durch
endet am 13.37. Diese Art der breiten Stichprobe kann für Internet-Umfragen nützlich sein und
Forschung.

IPv6-Adressen können nur durch ihre vollqualifizierte IPv6-Adresse oder ihren Hostnamen angegeben werden.
CIDR- und Oktettbereiche werden für IPv6 noch nicht unterstützt.

IPv6-Adressen mit nicht-globalem Geltungsbereich müssen ein Zonen-ID-Suffix haben. Auf Unix-Systemen ist dies
ist ein Prozentzeichen gefolgt von einem Schnittstellennamen; eine vollständige Adresse könnte sein
fe80::a8bb:ccff:fedd:eeff%eth0. Verwenden Sie unter Windows eine Schnittstellenindexnummer anstelle eines
Schnittstellenname: fe80::a8bb:ccff:fedd:eeff%1. Sie können eine Liste der Schnittstellenindizes anzeigen nach
den Befehl ausführen netsh.exe Schnittstelle ipv6 erklären Schnittstelle.

Nmap akzeptiert mehrere Hostspezifikationen auf der Befehlszeile, und das müssen sie nicht sein
der gleiche Typ. Der Befehl nmap scanme.nmap.org 192.168.0.0/8 10.0.0,1,3-7.- tut was du
würde erwarten.

Während Ziele normalerweise in den Befehlszeilen angegeben werden, sind die folgenden Optionen auch
verfügbar, um die Zielauswahl zu steuern:

-iL Eingabedateiname (Eingabe aus Liste) .
Liest Zielvorgaben aus Eingabedateiname. Das Übergeben einer riesigen Liste von Hosts ist oft
auf der Befehlszeile umständlich, aber es ist ein allgemeiner Wunsch. Zum Beispiel Ihr DHCP-Server
kann eine Liste mit 10,000 aktuellen Leases exportieren, die Sie scannen möchten. Oder vielleicht willst du
um alle IP-Adressen zu scannen ausgeschlossen für diejenigen, die Hosts mit nicht autorisierter statischer IP-Adresse lokalisieren können
Adressen. Generieren Sie einfach die Liste der zu scannenden Hosts und übergeben Sie diesen Dateinamen an Nmap als
ein Argument für die -iL Möglichkeit. Einträge können in jedem der von Nmap akzeptierten Formate vorliegen
in der Befehlszeile (IP-Adresse, Hostname, CIDR, IPv6 oder Oktettbereiche). Jeder Eintrag
müssen durch ein oder mehrere Leerzeichen, Tabulatoren oder Zeilenumbrüche getrennt werden. Sie können einen Bindestrich angeben
(-) als Dateiname, wenn Sie möchten, dass Nmap Hosts von der Standardeingabe liest und nicht von einem
eigentliche Datei.

Die Eingabedatei kann Kommentare enthalten, die mit # beginnen und bis zum Ende des
Linie.

-gehen num Gastgeber (Wählen Sie zufällige Ziele) .
Für internetweite Umfragen und andere Recherchen können Sie Ziele auswählen unter
zufällig. Der num Gastgeber Argument teilt Nmap mit, wie viele IPs generiert werden sollen. Unerwünschte IPs
wie in bestimmten privaten, Multicast- oder nicht zugeordneten Adressbereichen sind
automatisch übersprungen. Das Argument 0 kann für einen nie endenden Scan angegeben werden. Behalten
Bedenken Sie, dass einige Netzwerkadministratoren sich über nicht autorisierte Scans ihrer
Netzwerke und können sich beschweren. Verwenden Sie diese Option auf eigene Gefahr! Wenn du dich selbst findest
wirklich gelangweilt an einem regnerischen Nachmittag, probiere den Befehl aus nmap -PN -H.H -p 80 -gehen 0 --offen. zu
Suchen Sie zufällige Webserver zum Surfen.

--ausschließen host1[,host2[,...]] (Hosts/Netzwerke ausschließen) .
Gibt eine durch Kommas getrennte Liste von Zielen an, die vom Scan ausgeschlossen werden sollen, selbst wenn sie
sind Teil des gesamten Netzwerkbereichs, den Sie angeben. Die Liste, die Sie übergeben, verwendet normal
Nmap-Syntax, kann also Hostnamen, CIDR-Netzblöcke, Oktettbereiche usw. enthalten. Dies kann
nützlich sein, wenn das Netzwerk, das Sie scannen möchten, unantastbare geschäftskritische enthält
Server, Systeme, von denen bekannt ist, dass sie nachteilig auf Port-Scans reagieren, oder Subnetze
von anderen verwaltet.

--excludefile Ausschlussdatei (Liste aus Datei ausschließen) .
Dies bietet die gleiche Funktionalität wie die --ausschließen Option, außer dass die ausgeschlossenen
Ziele werden durch Zeilenumbrüche, Leerzeichen oder Tabulatoren getrennt bereitgestellt Ausschlussdatei statt
in der Kommandozeile.

Die Ausschlussdatei kann Kommentare enthalten, die mit # beginnen und bis zum Ende des
Linie.

HOST DISCOVERY

Einer der allerersten Schritte bei jeder Netzwerkaufklärungsmission ist die Reduzierung von
(manchmal riesige) Reihe von IP-Bereichen in eine Liste aktiver oder interessanter Hosts. Scannen
jeder Port jeder einzelnen IP-Adresse ist langsam und normalerweise unnötig. Natürlich was
einen Host interessant macht, hängt stark von den Scan-Zwecken ab. Netzwerkadministratoren können
nur an Hosts interessiert sein, die einen bestimmten Dienst ausführen, während Sicherheitsprüfer sich vielleicht interessieren könnten
über jedes einzelne Gerät mit einer IP-Adresse. Ein Administrator kann mit der Verwendung von
nur ein ICMP-Ping, um Hosts in seinem internen Netzwerk zu lokalisieren, während eine externe Penetration
Tester kann eine Vielzahl von Dutzenden von Sonden verwenden, um die Firewall zu umgehen
Beschränkungen.

Da die Anforderungen an die Host-Erkennung so unterschiedlich sind, bietet Nmap eine Vielzahl von Optionen für
die verwendeten Techniken anpassen. Die Host-Erkennung wird manchmal als Ping-Scan bezeichnet, aber es geht
weit über die einfachen ICMP-Echoanforderungspakete hinaus, die mit dem allgegenwärtigen Ping-Tool verbunden sind.
Benutzer können den Ping-Schritt bei einem Listenscan vollständig überspringen (-SCH) oder durch Deaktivieren von Ping (-PN),
oder binden Sie das Netzwerk mit beliebigen Kombinationen von Multi-Port-TCP SYN/ACK, UDP, SCTP . ein
INIT- und ICMP-Sonden. Das Ziel dieser Sonden ist es, Antworten zu erhalten, die zeigen,
dass eine IP-Adresse tatsächlich aktiv ist (von einem Host oder Netzwerkgerät verwendet wird). Auf viele
Netzwerken ist nur ein kleiner Prozentsatz der IP-Adressen zu einem bestimmten Zeitpunkt aktiv. Das ist
besonders häufig bei privaten Adressräumen wie 10.0.0.0/8. Dieses Netzwerk hat 16
Millionen IPs, aber ich habe gesehen, dass es von Unternehmen mit weniger als tausend Computern verwendet wird. Gastgeber
Discovery kann diese Maschinen in einem spärlich zugewiesenen Meer von IP-Adressen finden.

Wenn keine Host-Discovery-Optionen angegeben sind, sendet Nmap eine ICMP-Echo-Anfrage, ein TCP-SYN-Paket
an Port 443, ein TCP-ACK-Paket an Port 80 und eine ICMP-Zeitstempelanforderung. (Für IPv6 ist die
Die ICMP-Zeitstempelanforderung wird weggelassen, da sie nicht Teil von ICMPv6 ist.) Diese Standardeinstellungen sind
äquivalent zu der -SPORT -PS443 -PA80 -PP Optionen. Ausgenommen hiervon sind die ARP (für
IPv4) und Nachbarerkennung. (für IPv6)-Scans, die für beliebige Ziele auf einem lokalen verwendet werden
Ethernet-Netzwerk. Für unprivilegierte Unix-Shell-Benutzer sind die Standardproben ein SYN-Paket
zu den Ports 80 und 443 über die connect Systemaufruf.. Diese Host-Erkennung ist oft
ausreichend beim Scannen lokaler Netzwerke, aber ein umfassenderes Set von Discovery-Probes
wird für Sicherheitsaudits empfohlen.

Der -P* Optionen (die Ping-Typen auswählen) können kombiniert werden. Sie können Ihre Chancen auf erhöhen
Durchdringen strenger Firewalls durch Senden vieler Testtypen mit verschiedenen TCP-Ports/Flags
und ICMP-Codes. Beachten Sie auch, dass ARP/Neighbor Discovery (-PR). erfolgt standardmäßig gegen
Ziele in einem lokalen Ethernet-Netzwerk, auch wenn Sie andere angeben -P* Optionen, denn es ist
fast immer schneller und effektiver.

Standardmäßig führt Nmap die Host-Erkennung durch und führt dann einen Port-Scan für jeden Host durch
bestimmt ist online. Dies gilt auch, wenn Sie nicht standardmäßige Hosterkennungstypen angeben
wie UDP-Sonden (-PU). Lesen Sie mehr über die -schn Option, um zu lernen, wie man nur hostet
Entdeckung oder Verwendung -PN um die Hosterkennung zu überspringen und alle Zielhosts zu scannen. Die folgende
Optionen steuern die Hosterkennung:

-SCH (Listen-Scan) .
Der Listen-Scan ist eine degenerierte Form der Host-Erkennung, die einfach jeden Host von . auflistet
das/die angegebene(n) Netzwerk(e), ohne Pakete an die Zielhosts zu senden. Standardmäßig,
Nmap führt weiterhin eine umgekehrte DNS-Auflösung auf den Hosts durch, um deren Namen zu erfahren. Es ist oft
überraschend, wie viele nützliche Informationen einfache Hostnamen ausgeben. Zum Beispiel fw.chi
ist der Name der Chicago-Firewall eines Unternehmens. Nmap meldet auch die Gesamtzahl der
IP-Adressen am Ende. Der Listenscan ist ein guter Gesundheitscheck, um sicherzustellen, dass Sie
richtige IP-Adressen für Ihre Ziele. Wenn die Host-Domain-Namen Sport treiben, Sie dies nicht tun
erkennen, lohnt es sich, weiter nachzuforschen, um zu verhindern, dass die falschen Firmen gescannt werden
Netzwerk.

Da die Idee darin besteht, einfach eine Liste der Zielhosts auszudrucken, sind Optionen für höhere Ebenen
Funktionen wie Port-Scanning, OS-Erkennung oder Ping-Scanning können nicht kombiniert werden
mit diesem. Wenn Sie das Ping-Scannen deaktivieren möchten, während Sie noch eine solche höhere Leistung ausführen
Level-Funktionalität, lesen Sie die -PN (Ping überspringen) Option.

-schn (Kein Portscan).
Diese Option weist Nmap an, nach der Host-Erkennung keinen Port-Scan durchzuführen und nur auszudrucken
die verfügbaren Hosts, die auf die Hosterkennungstests geantwortet haben. Das ist oft bekannt
B. als „Ping-Scan“, aber Sie können auch anfordern, dass Traceroute- und NSE-Host-Skripte
Lauf. Dies ist standardmäßig einen Schritt aufdringlicher als der Listenscan und kann oft sein
für die gleichen Zwecke verwendet. Es ermöglicht eine leichte Aufklärung eines Zielnetzes ohne
viel Aufmerksamkeit erregen. Zu wissen, wie viele Hosts aktiv sind, ist für Angreifer wertvoller
als die Liste, die der Listenscan von jeder einzelnen IP und jedem Hostnamen liefert.

Auch Systemadministratoren finden diese Option oft wertvoll. Es kann leicht verwendet werden
um verfügbare Maschinen in einem Netzwerk zu zählen oder die Serververfügbarkeit zu überwachen. Das ist oft
wird als Ping-Sweep bezeichnet und ist zuverlässiger als das Pingen der Broadcast-Adresse, weil
viele Hosts antworten nicht auf Broadcast-Anfragen.

Die standardmäßige Host-Erkennung mit -schn besteht aus einer ICMP-Echo-Anfrage, TCP SYN to
Port 443, TCP ACK an Port 80 und standardmäßig eine ICMP-Zeitstempelanforderung. Wenn ausgeführt
von einem unprivilegierten Benutzer werden nur SYN-Pakete gesendet (mit a connect Anruf) an Ports 80
und 443 auf dem Ziel. Wenn ein privilegierter Benutzer versucht, Ziele auf einem lokalen zu scannen
Ethernet-Netzwerk, ARP-Anfragen werden verwendet, es sei denn --sende-ip angegeben wurde. Der -schn ganz ohne irgendetwas tun oder drücken zu müssen.
kann mit jedem der Discovery-Sondentypen kombiniert werden (der -P* Optionen, ausgenommen -PN)
für mehr Flexibilität. Wenn eine dieser Optionen für Sondentyp und Portnummer verwendet wird,
die Standardsonden werden überschrieben. Wenn strenge Firewalls zwischen den
Quellhost, auf dem Nmap und das Zielnetzwerk ausgeführt werden, mit diesen fortschrittlichen Techniken ist
empfohlen. Andernfalls könnten Hosts übersehen werden, wenn die Firewall Probes oder ihre
Antworten.

In früheren Versionen von Nmap, -schn war bekannt als -sP..

-PN (Kein Ping).
Diese Option überspringt die Nmap-Erkennungsphase vollständig. Normalerweise verwendet Nmap diese Stufe
um aktive Maschinen für schwereres Scannen zu bestimmen. Standardmäßig führt Nmap nur
umfangreiches Testing wie Port-Scans, Versionserkennung oder Betriebssystemerkennung für Hosts
die gefunden werden, zu sein. Deaktivieren der Hosterkennung mit -PN bewirkt, dass Nmap versucht, die
angeforderte Scanfunktionen gegen alles, Ziel-IP-Adresse angegeben. Also wenn eine Klasse
B Zieladressraum (/16) wird in der Befehlszeile angegeben, alle 65,536 IP-Adressen
gescannt werden. Die richtige Host-Erkennung wird wie beim Listen-Scan übersprungen, aber statt
Stoppen und Drucken der Zielliste, Nmap führt weiterhin angeforderte Funktionen aus
als ob jede Ziel-IP aktiv ist. Ping-Scan überspringen und Port-Scan, während immer noch erlaubt
Verwenden Sie zum Ausführen von NSE die beiden Optionen -PN -schn together.

Bei Maschinen in einem lokalen Ethernet-Netzwerk wird das ARP-Scannen weiterhin durchgeführt (es sei denn,
--disable-arp-ping or --sende-ip angegeben ist), weil Nmap MAC-Adressen benötigt, um
weitere Zielhosts scannen. In früheren Versionen von Nmap, -PN wurde -P0. und -PN..

-PS port Liste (TCP-SYN-Ping) .
Diese Option sendet ein leeres TCP-Paket mit gesetztem SYN-Flag. Das Standardziel
Port ist 80 (konfigurierbar zur Kompilierzeit durch Ändern DEFAULT_TCP_PROBE_PORT_SPEC. im
nmap.h).. Als Parameter können alternative Ports angegeben werden. Die Syntax ist dieselbe wie
für die -p außer dass Porttyp-Bezeichner wie T: nicht erlaubt sind. Beispiele sind
-PS22 und -PS22-25,80,113,1050,35000. Beachten Sie, dass kein Leerzeichen dazwischen sein darf -PS und
die Portliste. Wenn mehrere Sonden angegeben sind, werden diese parallel gesendet.

Das SYN-Flag weist dem entfernten System darauf hin, dass Sie versuchen, eine
Verbindung. Normalerweise wird der Zielport geschlossen und ein RST (Reset) Paket
schickte zurück. Wenn der Port offen ist, führt das Ziel den zweiten Schritt von a . aus
TCP-Drei-Wege-Handshake. indem Sie mit einem SYN/ACK-TCP-Paket antworten. Die Maschine läuft
Nmap bricht dann die entstehende Verbindung ab, indem es mit einem RST antwortet, anstatt
Senden eines ACK-Pakets, das den Drei-Wege-Handshake abschließt und ein
volle Verbindung. Das RST-Paket wird vom Kernel der Maschine gesendet, auf der Nmap läuft
Antwort auf das unerwartete SYN/ACK, nicht von Nmap selbst.

Nmap ist es egal, ob der Port offen oder geschlossen ist. Entweder RST oder SYN/ACK
Die zuvor besprochene Antwort teilt Nmap mit, dass der Host verfügbar und reaktionsfähig ist.

Auf Unix-Boxen nur der privilegierte Benutzer root. ist grundsätzlich in der Lage zu senden und zu empfangen
rohe TCP-Pakete.. Für unprivilegierte Benutzer wird automatisch ein Workaround verwendet.
wobei die connect Systemaufruf wird für jeden Zielport eingeleitet. Das hat die
Effekt des Sendens eines SYN-Pakets an den Zielhost, um eine
Verbindung. Wenn connect kehrt mit einem schnellen Erfolg oder einem ECONNREFUSED-Misserfolg zurück, die
Der zugrunde liegende TCP-Stack muss ein SYN/ACK oder RST erhalten haben und der Host ist markiert
erhältlich. Bleibt der Verbindungsversuch bis zum Erreichen eines Timeouts hängen, wird die
host ist als down markiert.

-SCHAUFEL port Liste (TCP-ACK-Ping) .
Der TCP-ACK-Ping ist dem gerade besprochenen SYN-Ping ziemlich ähnlich. Der Unterschied, wie
Sie können wahrscheinlich vermuten, dass das TCP-ACK-Flag anstelle des SYN-Flags gesetzt ist. Eine solche
ein ACK-Paket vorgibt, Daten über eine aufgebaute TCP-Verbindung zu bestätigen,
aber eine solche Verbindung existiert nicht. Remote-Hosts sollten daher immer mit einem RST . antworten
Paket und geben dabei ihre Existenz preis.

Der -SCHAUFEL Option verwendet denselben Standardport wie die SYN-Sonde (80) und kann auch
Liste der Zielports im gleichen Format. Wenn ein nicht privilegierter Benutzer dies versucht, wird der
connect Die zuvor beschriebene Problemumgehung wird verwendet. Diese Problemumgehung ist nicht perfekt, weil
connect tatsächlich eher ein SYN-Paket als ein ACK sendet.

Der Grund für das Angebot sowohl von SYN- als auch ACK-Ping-Probes besteht darin, die Chancen zu maximieren,
Umgehen von Firewalls. Viele Administratoren konfigurieren Router und andere einfache Firewalls
um eingehende SYN-Pakete zu blockieren, mit Ausnahme derer, die für öffentliche Dienste wie die
Firmenwebsite oder Mailserver. Dies verhindert, dass andere eingehende Verbindungen zum
Organisation, während Benutzer ungehinderte ausgehende Verbindungen zu den
Internet. Dieser nicht zustandsorientierte Ansatz beansprucht nur wenige Ressourcen auf der Firewall/dem Router und
wird weitgehend von Hardware- und Softwarefiltern unterstützt. Der Linux Netfilter/iptables.
Firewall-Software bietet die --syn Komfortoption zur Implementierung dieses zustandslosen
sich nähern. Wenn zustandslose Firewall-Regeln wie diese vorhanden sind, prüft SYN Ping
(-PS) werden wahrscheinlich blockiert, wenn sie an geschlossene Zielports gesendet werden. In solchen Fällen ist die
Die ACK-Sonde glänzt, wenn sie diese Regeln durchschneidet.

Eine andere gängige Art von Firewall verwendet zustandsbehaftete Regeln, die unerwartete Pakete verwerfen. Dies
Diese Funktion wurde ursprünglich hauptsächlich auf High-End-Firewalls gefunden, obwohl sie viel geworden ist
im Laufe der Jahre immer häufiger. Das Linux Netfilter/iptables System unterstützt dies durch
--Zustand Option, die Pakete basierend auf dem Verbindungsstatus kategorisiert. Eine SYN-Sonde
eher gegen ein solches System funktioniert, da unerwartete ACK-Pakete im Allgemeinen sind
als falsch erkannt und fallen gelassen. Eine Lösung für dieses Dilemma besteht darin, sowohl SYN als auch . zu senden
ACK-Probes durch Angabe von -PS und -SCHAUFEL.

-PU port Liste (UDP-Ping) .
Eine weitere Host-Discovery-Option ist der UDP-Ping, der ein UDP-Paket an den angegebenen . sendet
Häfen. Bei den meisten Ports ist das Paket leer, einige verwenden jedoch ein protokollspezifisches
Nutzlast, die eher eine Reaktion hervorruft. Die Nutzlastdatenbank wird beschrieben
at https://nmap.org/book/nmap-payloads.html.. --Daten, --Datenzeichenfolgesowie
--Datenlänge nach.

Die Portliste hat das gleiche Format wie bei der zuvor besprochenen -PS und -SCHAUFEL
Optionen. Wenn keine Ports angegeben sind, ist die Standardeinstellung 40125. Diese Standardeinstellung kann . sein
zur Kompilierzeit konfiguriert durch Ändern DEFAULT_UDP_PROBE_PORT_SPEC. in nmap.h.. A
Standardmäßig wird ein sehr seltener Port verwendet, da das Senden an offene Ports häufig erfolgt
für diesen speziellen Scantyp unerwünscht.

Beim Treffen eines geschlossenen Ports auf dem Zielcomputer sollte die UDP-Probe ein ICMP auslösen
Port nicht erreichbares Paket zurück. Dies bedeutet für Nmap, dass die Maschine betriebsbereit ist und
erhältlich. Viele andere Arten von ICMP-Fehlern, wie z. B. Host/Network Unreachables oder TTL
überschritten, weisen auf einen ausgefallenen oder nicht erreichbaren Host hin. Mangelnde Resonanz ist auch
so interpretiert. Wird ein offener Port erreicht, ignorieren die meisten Dienste einfach den
leeres Paket und keine Antwort zurück. Aus diesem Grund ist der Standard-Sonden-Port
40125, die höchstwahrscheinlich nicht verwendet wird. Ein paar Dienste, wie der Charakter
Generator (geladen) Protokoll, antwortet auf ein leeres UDP-Paket und gibt somit bekannt
zu Nmap, dass die Maschine verfügbar ist.

Der Hauptvorteil dieses Scantyps besteht darin, dass Firewalls und Filter umgangen werden, die
nur Bildschirm-TCP. Zum Beispiel besaß ich einmal ein drahtloses Breitband von Linksys BEFW11S4
Router. Die externe Schnittstelle dieses Geräts hat standardmäßig alle TCP-Ports gefiltert, aber
UDP-Probes würden immer noch Port-unerreichbare Nachrichten entlocken und somit das Gerät verschenken.

-PY port Liste (SCTP-INIT-Ping) .
Diese Option sendet ein SCTP-Paket, das einen minimalen INIT-Block enthält. Der Standard
Zielport ist 80 (konfigurierbar zur Kompilierzeit durch Ändern
DEFAULT_SCTP_PROBE_PORT_SPEC. in nmap.h). Alternative Ports können als a . angegeben werden
Parameter. Die Syntax ist die gleiche wie für die -p außer dass Porttyp-Bezeichner wie
S: sind nicht erlaubt. Beispiele sind -PY22 und -PY22,80,179,5060. Beachten Sie, dass es sein kann
kein abstand dazwischen -PY und die Portliste. Wenn mehrere Sonden angegeben sind, werden sie
parallel gesendet.

Der INIT-Block schlägt dem entfernten System vor, dass Sie versuchen, eine
Verband. Normalerweise wird der Zielport geschlossen und ein ABORT-Chunk wird
schickte zurück. Wenn der Port geöffnet ist, führt das Ziel den zweiten Schritt einer
SCTP-Vier-Wege-Handshake. indem Sie mit einem INIT-ACK-Block antworten. Wenn die Maschine läuft
Nmap hat einen funktionierenden SCTP-Stack, dann reißt es die entstehende Assoziation ab, indem
mit einem ABORT-Chunk antworten, anstatt einen COOKIE-ECHO-Chunk zu senden, was wäre
der nächste Schritt im Vier-Wege-Handshake. Das ABORT-Paket wird vom Kernel des gesendet
Maschine, die Nmap als Reaktion auf das unerwartete INIT-ACK ausführt, nicht von Nmap selbst.

Nmap ist es egal, ob der Port offen oder geschlossen ist. Entweder ABORT oder INIT-ACK
Die zuvor besprochene Antwort teilt Nmap mit, dass der Host verfügbar und reaktionsfähig ist.

Auf Unix-Boxen nur der privilegierte Benutzer root. ist grundsätzlich in der Lage zu senden und zu empfangen
rohe SCTP-Pakete.. Die Verwendung von SCTP INIT Pings ist derzeit für Unprivilegierte nicht möglich
Benutzer..

-SPORT; -PP; -PM (ICMP-Ping-Typen) .
Zusätzlich zu den ungewöhnlichen TCP-, UDP- und SCTP-Hosterkennungstypen, die besprochen wurden
Bisher kann Nmap die Standardpakete des allgegenwärtigen Ping-Programms senden.
Nmap sendet ein ICMP-Paket vom Typ 8 (Echo Request) an die Ziel-IP-Adressen und erwartet
ein Typ 0 (Echo-Antwort) im Gegenzug von verfügbaren Hosts.. Leider für Netzwerk
Explorer, viele Hosts und Firewalls blockieren diese Pakete jetzt, anstatt wie
benötigt von RFC 1122[2].. Aus diesem Grund sind reine ICMP-Scans selten zuverlässig genug
gegen unbekannte Ziele über das Internet. Aber für Systemadministratoren, die ein
internen Netzwerks können sie ein praktischer und effizienter Ansatz sein. Verwenden Sie die -SPORT ganz ohne irgendetwas tun oder drücken zu müssen.
um dieses Echo-Request-Verhalten zu aktivieren.

Während echo request die Standard-ICMP-Ping-Anfrage ist, hört Nmap hier nicht auf. Das ICMP
Standards (RFC 792[3]. und RFC 950[4]. ) auch Zeitstempelanforderung angeben, Informationen
Anfrage- und Adressmasken-Anforderungspakete als Codes 13, 15 bzw. 17 an. Während
der vorgebliche Zweck dieser Abfragen ist es, Informationen wie Adressmasken zu erfahren
und aktuellen Zeiten können sie problemlos für die Host-Erkennung verwendet werden. Ein System, das antwortet
steht und ist verfügbar. Nmap implementiert derzeit keine Informationsanforderungspakete, da
sie werden nicht allgemein unterstützt. RFC 1122 besteht darauf, dass „ein Host NICHT implementieren SOLLTE“
diese Botschaften“. Zeitstempel- und Adressmaskenabfragen können mit dem gesendet werden -PP und -PM
Optionen bzw. Eine Zeitstempelantwort (ICMP-Code 14) oder eine Adressmaskenantwort (Code
18) gibt an, dass der Host verfügbar ist. Diese beiden Abfragen können wertvoll sein, wenn
Administratoren blockieren speziell Echoanforderungspakete, während sie vergessen, dass andere
ICMP-Abfragen können für denselben Zweck verwendet werden.

-BISSCHEN Protokoll Liste (IP-Protokoll-Ping) .
Eine der neueren Host-Discovery-Optionen ist der IP-Protokoll-Ping, der IP . sendet
Pakete mit der angegebenen Protokollnummer in ihrem IP-Header. Die Protokollliste
nimmt das gleiche Format an wie Portlisten in den zuvor besprochenen TCP, UDP und SCTP
Host-Erkennungsoptionen. Wenn keine Protokolle angegeben sind, werden standardmäßig mehrere gesendet
IP-Pakete für ICMP (Protokoll 1), IGMP (Protokoll 2) und IP-in-IP (Protokoll 4). Der
Standardprotokolle können zur Kompilierzeit durch Ändern konfiguriert werden
DEFAULT_PROTO_PROBE_PORT_SPEC. in nmap.h. Beachten Sie, dass für ICMP, IGMP, TCP (Protokoll
6), UDP (Protokoll 17) und SCTP (Protokoll 132), werden die Pakete mit den richtigen
Protokoll-Header. während andere Protokolle ohne zusätzliche Daten über die
IP-Header (es sei denn, einer von --Daten, --Datenzeichenfolgeoder --Datenlänge Optionen sind
spezifiziert).

Diese Host-Erkennungsmethode sucht nach Antworten mit demselben Protokoll wie a
Sonde oder ICMP-Protokoll nicht erreichbare Nachrichten, die anzeigen, dass das angegebene Protokoll
wird auf dem Zielhost nicht unterstützt. Jede Art von Antwort bedeutet, dass die
Zielhost lebt.

-PR (ARP-Ping) .
Eines der häufigsten Nmap-Nutzungsszenarien besteht darin, ein Ethernet-LAN ​​zu scannen. In den meisten LANs
insbesondere diejenigen, die private Adressbereiche verwenden, die von . angegeben werden RFC 1918[5], die Weite
Die meisten IP-Adressen werden zu einem bestimmten Zeitpunkt nicht verwendet. Wenn Nmap versucht, ein Raw zu senden
IP-Paket wie eine ICMP-Echo-Anfrage, muss das Betriebssystem die
Ziel-Hardware (ARP)-Adresse, die der Ziel-IP entspricht, damit sie
den Ethernet-Frame richtig adressieren. Dies ist oft langsam und problematisch, da
Betriebssysteme wurden nicht mit der Erwartung geschrieben, dass sie dies tun müssten
Millionen von ARP-Anfragen gegen nicht verfügbare Hosts in kurzer Zeit.

ARP-Scan überträgt Nmap und seinen optimierten Algorithmen die Verantwortung für ARP-Anfragen. Und wenn es
eine Antwort zurückbekommt, muss sich Nmap nicht einmal um die IP-basierten Ping-Pakete kümmern
da es bereits weiß, dass der Host auf ist. Dadurch wird der ARP-Scan viel schneller und mehr
zuverlässiger als IP-basierte Scans. Dies wird also standardmäßig beim Scannen von Ethernet-Hosts durchgeführt
die Nmap erkennt, befinden sich in einem lokalen Ethernet-Netzwerk. Auch wenn verschiedene Ping-Typen (wie
as -SPORT or -PS) angegeben sind, verwendet Nmap stattdessen ARP für jedes der Ziele, die
im selben LAN. Wenn Sie auf keinen Fall einen ARP-Scan durchführen möchten, geben Sie an
--disable-arp-ping.

Für IPv6 (-6-Option), -PR verwendet ICMPv6 Neighbor Discovery anstelle von ARP. Nachbar
Discovery, definiert in RFC 4861, kann als IPv6-Äquivalent von ARP angesehen werden.

--disable-arp-ping (Kein ARP- oder ND-Ping) .
Nmap führt normalerweise ARP- oder IPv6 Neighbor Discovery (ND)-Erkennung von lokal verbundenen durch
Ethernet-Hosts, auch wenn andere Host-Erkennungsoptionen wie -PN or -SPORT werden verwendet. Zu
Deaktivieren Sie dieses implizite Verhalten, verwenden Sie die --disable-arp-ping .

Das Standardverhalten ist normalerweise schneller, aber diese Option ist in Netzwerken nützlich, die verwenden
Proxy-ARP, bei dem ein Router spekulativ auf alle ARP-Anfragen antwortet und alle
Ziel scheint laut ARP-Scan aktiv zu sein.

--traceroute (Trace-Pfad zum Host) .
Traceroutes werden nach dem Scan durchgeführt, wobei Informationen aus den Scanergebnissen verwendet werden, um
Bestimmen Sie den Port und das Protokoll, mit denen das Ziel am wahrscheinlichsten erreicht wird. Es funktioniert mit allen
Scan-Typen außer Connect-Scans (-NS) und Leerlaufscans (-si). Alle Spuren verwenden Nmaps
dynamisches Zeitmodell und werden parallel durchgeführt.

Traceroute funktioniert, indem es Pakete mit einer niedrigen TTL (Time-to-Live) sendet, um zu versuchen,
elicit ICMP Time Exceeded Messages von Intermediate Hops zwischen dem Scanner und dem
Ziel-Host. Standardimplementierungen von Traceroute beginnen mit einer TTL von 1 und inkrementieren
die TTL, bis der Zielhost erreicht ist. Traceroute von Nmap beginnt mit einem Hoch
TTL und dekrementiert dann die TTL, bis sie Null erreicht. Wenn Sie es rückwärts machen, können Sie Nmap
Verwenden Sie clevere Caching-Algorithmen, um Traces über mehrere Hosts hinweg zu beschleunigen. Im Durchschnitt
Nmap sendet je nach Netzwerkbedingungen 5–10 Pakete weniger pro Host. Wenn ein Single
Subnetz wird gescannt (zB 192.168.0.0/24) Nmap muss möglicherweise nur zwei Pakete senden
zu den meisten Gastgebern.

-n (Keine DNS-Auflösung).
Weist Nmap an niemals Führen Sie eine umgekehrte DNS-Auflösung für die gefundenen aktiven IP-Adressen durch.
Da DNS selbst mit dem integrierten parallelen Stub-Resolver von Nmap langsam sein kann, ist diese Option
kann die Scanzeiten verkürzen.

-R (DNS-Auflösung für alle Ziele) .
Weist Nmap an immer Führen Sie eine umgekehrte DNS-Auflösung für die Ziel-IP-Adressen durch. Normalerweise
Reverse DNS wird nur für responsive (online) Hosts ausgeführt.

--system-dns (Verwenden Sie den DNS-Resolver des Systems).
Standardmäßig löst Nmap IP-Adressen auf, indem es Anfragen direkt an die Nameserver sendet
auf Ihrem Host konfiguriert und dann auf Antworten gewartet. Viele Anfragen (oft Dutzende)
werden parallel durchgeführt, um die Leistung zu verbessern. Geben Sie diese Option an, um Ihr . zu verwenden
Systemresolver (jeweils eine IP über den Getnameinfo Anruf). Das ist langsamer
und selten nützlich, es sei denn, Sie finden einen Fehler im parallelen Nmap-Resolver (bitte lassen Sie uns
wissen, wenn Sie es tun). Für IPv6-Scans wird immer der System-Resolver verwendet.

--dns-server server1[,server2[,...]] (Server für Reverse-DNS-Abfragen) .
Standardmäßig ermittelt Nmap Ihre DNS-Server (für rDNS-Auflösung) aus Ihrem
resolv.conf-Datei (Unix) oder die Registry (Win32). Alternativ können Sie dies verwenden
Option zum Angeben alternativer Server. Diese Option wird nicht berücksichtigt, wenn Sie verwenden
--system-dns oder ein IPv6-Scan. Die Verwendung mehrerer DNS-Server ist oft schneller, insbesondere
wenn Sie autoritative Server für Ihren Ziel-IP-Bereich wählen. Diese Option kann auch
Verbessern Sie die Tarnung, da Ihre Anfragen von fast jedem rekursiven DNS abgewiesen werden können
Server im Internet.

Diese Option ist auch beim Scannen privater Netzwerke praktisch. Manchmal nur wenige
Nameserver liefern die richtigen rDNS-Informationen, und Sie wissen möglicherweise nicht einmal, wo sie sind
sind. Sie können das Netzwerk nach Port 53 scannen (vielleicht mit Versionserkennung) und dann versuchen
Nmap-Listenscans (-SCH) jeden Nameserver einzeln angeben mit --dns-server
bis du eine findest die funktioniert.

PORT SCANNEN GRUNDLAGEN

Während die Funktionalität von Nmap im Laufe der Jahre zugenommen hat, begann es als effizienter Port
Scanner, und das bleibt seine Kernfunktion. Der einfache Befehl nmap Ziel scannt 1,000
TCP-Ports auf dem Host Ziel. Während viele Port-Scanner traditionell alle Ports in einen Topf geworfen haben
in den offenen oder geschlossenen Zustand ist Nmap viel granularer. Es teilt Ports in sechs
Zustände: offen, geschlossen, gefiltert, ungefiltert, offen|gefiltert oder geschlossen|gefiltert.

Diese Zustände sind keine intrinsischen Eigenschaften des Ports selbst, sondern beschreiben, wie Nmap sieht
Ihnen. Zum Beispiel kann ein Nmap-Scan aus demselben Netzwerk wie das Ziel Port 135/tcp anzeigen
als geöffnet, während gleichzeitig ein Scan mit den gleichen Optionen aus dem gesamten Internet
könnte diesen Port als gefiltert anzeigen.

Der sechs port Staaten anerkannt by Nmap

Eine Anwendung akzeptiert aktiv TCP-Verbindungen, UDP-Datagramme oder SCTP
Verbände an diesem Hafen. Diese zu finden ist oft das Hauptziel des Port-Scannings.
Sicherheitsbewusste Menschen wissen, dass jeder offene Port ein Angriffsweg ist. Angreifer und
Pen-Tester wollen die offenen Ports ausnutzen, während Administratoren versuchen zu schließen oder
Schützen Sie sie mit Firewalls, ohne legitime Benutzer zu vereiteln. Offene Ports sind auch
interessant für nicht sicherheitsrelevante Scans, da sie Dienste anzeigen, die für die Verwendung auf dem
Netzwerk.

Ein geschlossener Port ist zugänglich (er empfängt und antwortet auf Nmap-Testpakete), aber
Es gibt keine Anwendung, die darauf lauscht. Sie können hilfreich sein, um zu zeigen, dass ein Gastgeber
auf einer IP-Adresse (Hosterkennung oder Ping-Scan) und als Teil der Betriebssystemerkennung.
Da geschlossene Ports erreichbar sind, kann es sich lohnen, später zu scannen, falls einige geöffnet sind
hoch. Administratoren sollten erwägen, solche Ports mit einer Firewall zu blockieren. Dann werden sie
im gefilterten Zustand erscheinen würde, der als nächstes besprochen wird.

Nmap kann nicht feststellen, ob der Port geöffnet ist, da die Paketfilterung dies verhindert
Sonden daran, den Hafen zu erreichen. Die Filterung könnte von einer dedizierten Firewall stammen
Geräte-, Router-Regeln oder hostbasierte Firewall-Software. Diese Ports frustrieren Angreifer
weil sie so wenig Informationen liefern. Manchmal antworten sie mit ICMP-Fehler
Nachrichten wie Typ 3 Code 13 (Ziel unerreichbar: Kommunikation
administrativ verboten), aber Filter, die Sonden einfach verwerfen, ohne zu reagieren
sind weitaus häufiger. Dies zwingt Nmap, es mehrmals zu wiederholen, nur für den Fall, dass die Sonde
wurde aufgrund einer Netzwerküberlastung und nicht aufgrund einer Filterung gelöscht. Dies verlangsamt den Scan
dramatisch.

Der ungefilterte Zustand bedeutet, dass ein Port erreichbar ist, aber Nmap nicht feststellen kann
egal ob offen oder geschlossen. Nur der ACK-Scan, der zum Zuordnen der Firewall verwendet wird
Regelsätze, klassifiziert Ports in diesen Zustand. Ungefilterte Ports mit anderen Scans scannen
Typen wie Window-Scan, SYN-Scan oder FIN-Scan können helfen, festzustellen, ob der Port
geöffnet.

Nmap versetzt Ports in diesen Zustand, wenn nicht festgestellt werden kann, ob ein Port geöffnet ist
oder gefiltert. Dies tritt bei Scantypen auf, bei denen offene Ports keine Antwort geben. Der Mangel
der Antwort kann auch bedeuten, dass ein Paketfilter den Test oder eine Antwort darauf verworfen hat
erregt. Nmap weiß also nicht genau, ob der Port offen ist oder gefiltert wird.
Die UDP-, IP-Protokoll-, FIN-, NULL- und Xmas-Scans klassifizieren Ports auf diese Weise.

Dieser Zustand wird verwendet, wenn Nmap nicht feststellen kann, ob ein Port geschlossen ist oder
gefiltert. Es wird nur für den IP-ID-Leerlauf-Scan verwendet.

PORT SCANNEN TECHNIKEN

Als Neuling, der Autoreparaturen durchführt, kann ich stundenlang kämpfen, um zu versuchen, mein zu passen
rudimentäre Werkzeuge (Hammer, Klebeband, Schraubenschlüssel usw.) Wenn ich versage
kläglich und schleppe meine Jalopy zu einem echten Mechaniker, er fischt ausnahmslos in einem riesigen Werkzeug herum
Brust, bis das perfekte Ding herausgezogen wird, das die Arbeit mühelos erscheinen lässt. Die Kunst des
Port-Scanning ist ähnlich. Experten verstehen die Dutzende von Scantechniken und wählen die
geeignete (oder Kombination) für eine bestimmte Aufgabe. Unerfahrene Benutzer und Skript
Kinder,. Versuchen Sie andererseits, jedes Problem mit dem standardmäßigen SYN-Scan zu lösen. Seit
Nmap ist kostenlos, das einzige Hindernis für die Beherrschung des Port-Scannings ist Wissen. Das schlägt auf jeden Fall
die Automobilwelt, in der es möglicherweise viel Geschick erfordert, festzustellen, ob Sie ein Federbein benötigen
Federspanner, dann müssen Sie noch Tausende von Dollar dafür bezahlen.

Die meisten Scan-Typen stehen nur privilegierten Benutzern zur Verfügung. Dies liegt daran, dass sie senden
und Rohpakete empfangen,. was auf Unix-Systemen Root-Zugriff erfordert. Verwenden von
Administratorkonto unter Windows wird empfohlen, obwohl Nmap manchmal funktioniert für
unprivilegierte Benutzer auf dieser Plattform, wenn WinPcap bereits in das Betriebssystem geladen wurde.
Das Erfordernis von Root-Rechten war eine ernsthafte Einschränkung, als Nmap 1997 veröffentlicht wurde, wie viele
Benutzer hatten nur Zugriff auf gemeinsame Shell-Konten. Jetzt ist die Welt anders. Computer sind
billiger, viel mehr Menschen haben ständigen direkten Internetzugang und Desktop-Unix-Systeme
(einschließlich Linux und Mac OS X) sind weit verbreitet. Eine Windows-Version von Nmap ist jetzt verfügbar,
Dadurch kann es auf noch mehr Desktops ausgeführt werden. Aus all diesen Gründen müssen die Benutzer weniger
Führen Sie Nmap von begrenzten gemeinsamen Shell-Konten aus. Das ist ein Glück, denn die privilegierten Optionen
machen Nmap viel leistungsfähiger und flexibler.

Während Nmap versucht, genaue Ergebnisse zu erzielen, denken Sie daran, dass alle seine Erkenntnisse
basierend auf Paketen, die von den Zielcomputern (oder Firewalls vor ihnen) zurückgegeben werden. Eine solche
Hosts können nicht vertrauenswürdig sein und Antworten senden, die Nmap verwirren oder irreführen sollen. Viel
häufiger sind nicht RFC-kompatible Hosts, die auf Nmap-Probes nicht richtig reagieren.
FIN-, NULL- und Xmas-Scans sind besonders anfällig für dieses Problem. Solche Probleme sind
spezifisch für bestimmte Scan-Typen und werden daher in den einzelnen Scan-Typ-Einträgen behandelt.

Dieser Abschnitt dokumentiert etwa ein Dutzend Port-Scan-Techniken, die von Nmap unterstützt werden. Nur einer
-Methode kann gleichzeitig verwendet werden, außer dass UDP-Scan (-su) und einer der SCTP-Scans
Typen (-sy, -sZ) kann mit jedem der TCP-Scantypen kombiniert werden. Als Gedächtnisstütze port
Scan-Typ-Optionen haben die Form -sC, Wobei C ist ein auffälliges Zeichen im Scannamen,
normalerweise der erste. Die einzige Ausnahme hiervon ist der veraltete FTP-Bounce-Scan (-b). Von
Standardmäßig führt Nmap einen SYN-Scan durch, ersetzt jedoch einen Connect-Scan, wenn der Benutzer dies tut
keine Rechte zum Senden von Rohpaketen haben (erfordert Root-Zugriff unter Unix). Des
Scans, die in diesem Abschnitt aufgeführt sind, können nicht privilegierte Benutzer nur eine Verbindung und einen FTP-Bounce ausführen
scannt.

-H.H (TCP-SYN-Scan) .
SYN-Scan ist aus guten Gründen die Standard- und beliebteste Scan-Option. Es kann sein
schnell durchgeführt, scannt Tausende von Ports pro Sekunde in einem schnellen Netzwerk nicht
durch restriktive Firewalls behindert. Es ist auch relativ unauffällig und verstohlen
da es nie TCP-Verbindungen abschließt. SYN-Scan funktioniert gegen jedes konforme TCP
stapeln, anstatt von den Eigenheiten bestimmter Plattformen wie Nmaps abhängig zu sein
FIN/NULL/Xmas, Maimon und Idle-Scans tun. Es ermöglicht auch klare, zuverlässige
Unterscheidung zwischen offenem, geschlossenem und gefiltertem Zustand.

Diese Technik wird oft als halboffenes Scannen bezeichnet, da Sie kein
volle TCP-Verbindung. Sie senden ein SYN-Paket, als würden Sie ein echtes . öffnen
Verbindung und warten Sie dann auf eine Antwort. Ein SYN/ACK zeigt an, dass der Port lauscht
(open), während ein RST (reset) einen Nicht-Hörer anzeigt. Wenn keine Antwort ist
nach mehreren Neuübertragungen empfangen, wird der Port als gefiltert markiert. Der Hafen ist
auch als gefiltert markiert, wenn ein ICMP-unerreichbarer Fehler (Typ 3, Code 0, 1, 2, 3, 9, 10 oder .)
13) erhalten. Der Port gilt auch als offen, wenn ein SYN-Paket (ohne ACK
Flag) wird als Antwort empfangen. Dies kann an einer äußerst seltenen TCP-Funktion liegen, die bekannt ist
als gleichzeitige offene oder geteilte Handshake-Verbindung (siehe
https://nmap.org/misc/split-handshake.pdf).

-NS (TCP-Connect-Scan) .
TCP-Verbindungsscan ist der Standard-TCP-Scantyp, wenn SYN-Scan keine Option ist. Das ist
der Fall, wenn ein Benutzer keine Rohpaketprivilegien hat. Anstatt roh zu schreiben
Pakete wie die meisten anderen Scan-Typen, fordert Nmap das zugrunde liegende Betriebssystem auf,
Stellen Sie eine Verbindung mit dem Zielcomputer und dem Port her, indem Sie die connect System
Anruf. Dies ist der gleiche High-Level-Systemaufruf, den Webbrowser, P2P-Clients und die meisten
andere netzwerkfähige Anwendungen verwenden, um eine Verbindung herzustellen. Es ist Teil von a
Programmierschnittstelle, die als Berkeley Sockets API bekannt ist. Anstatt ein Rohpaket zu lesen
Antworten aus der Leitung verwendet Nmap diese API, um Statusinformationen zu jedem zu erhalten
Verbindungsversuch.

Wenn der SYN-Scan verfügbar ist, ist er normalerweise die bessere Wahl. Nmap hat weniger Kontrolle über
das hohe niveau connect Aufruf als mit Raw-Paketen, was es weniger effizient macht. Der
Systemaufruf stellt Verbindungen zu offenen Zielports her, anstatt die
halboffener Reset, den der SYN-Scan durchführt. Das dauert nicht nur länger und erfordert mehr
Pakete, um dieselben Informationen zu erhalten, aber die Zielmaschinen protokollieren die
Verbindung. Ein anständiges IDS wird auch fangen, aber die meisten Maschinen haben keinen solchen Alarm
System. Viele Dienste auf Ihrem durchschnittlichen Unix-System fügen dem Syslog eine Notiz hinzu, und
manchmal eine kryptische Fehlermeldung, wenn Nmap sich verbindet und dann die Verbindung schließt
ohne Daten zu senden. Wirklich erbärmliche Dienste stürzen in diesem Fall ab, obwohl das so ist
ungewöhnlich. Eine Administratorin, die in ihren Protokollen eine Reihe von Verbindungsversuchen von a . sieht
ein einzelnes System sollte wissen, dass es Connect-Scans durchgeführt wurde.

-su (UDP-Scans) .
Während die meisten gängigen Dienste im Internet über das TCP-Protokoll laufen, UDP[6] Dienstleistungen
sind weit verbreitet. DNS, SNMP und DHCP (registrierte Ports 53, 161/162 und 67/68) sind
drei der häufigsten. Weil UDP-Scannen im Allgemeinen langsamer und schwieriger ist
als TCP ignorieren einige Sicherheitsprüfer diese Ports. Das ist ein Fehler, da ausnutzbar
UDP-Dienste sind weit verbreitet und Angreifer ignorieren sicherlich nicht das gesamte Protokoll.
Glücklicherweise kann Nmap dabei helfen, UDP-Ports zu inventarisieren.

UDP-Scan wird aktiviert mit dem -su Möglichkeit. Es kann mit einem TCP-Scantyp kombiniert werden
wie SYN-Scan (-H.H), um beide Protokolle während desselben Laufs zu überprüfen.

Der UDP-Scan funktioniert, indem ein UDP-Paket an jeden Zielport gesendet wird. Für einige gängige Ports
B. 53 und 161, wird eine protokollspezifische Nutzlast gesendet, um die Antwortrate zu erhöhen, aber
für die meisten Ports ist das Paket leer, es sei denn, die --Daten, --Datenzeichenfolgeoder --Datenlänge
Optionen angegeben sind. Wenn ein ICMP-Port nicht erreichbar-Fehler (Typ 3, Code 3) zurückgegeben wird,
der Hafen ist geschlossen. Andere nicht erreichbare ICMP-Fehler (Typ 3, Codes 0, 1, 2, 9, 10 oder
13) Markieren Sie den Port als gefiltert. Gelegentlich antwortet ein Dienst mit einem UDP-Paket,
beweisen, dass es geöffnet ist. Wenn nach erneuten Übertragungen keine Antwort empfangen wird, ist der Port
klassifiziert als offen|gefiltert. Dies bedeutet, dass der Port geöffnet sein könnte, oder vielleicht ein Paket
Filter blockieren die Kommunikation. Versionserkennung (-sV) kann verwendet werden, um zu helfen
unterscheiden die wirklich offenen Ports von den gefilterten.

Eine große Herausforderung beim UDP-Scannen besteht darin, dies schnell zu tun. Offene und gefilterte Ports selten
Senden Sie eine beliebige Antwort, wobei Nmap eine Zeitüberschreitung hat und dann Neuübertragungen direkt in durchführt
falls die Sonde oder Antwort verloren ging. Geschlossene Häfen sind oft ein noch größeres Problem.
Sie senden normalerweise einen ICMP-Port-unerreichbaren Fehler zurück. Aber im Gegensatz zu den gesendeten RST-Paketen
durch geschlossene TCP-Ports als Reaktion auf einen SYN- oder Connect-Scan, Ratenbegrenzung für viele Hosts. ICMP
Port nicht erreichbare Nachrichten standardmäßig. Linux und Solaris sind besonders streng in Bezug auf
Dies. Beispielsweise beschränkt der Linux 2.4.20-Kernel nicht erreichbare Zielnachrichten auf
eine pro Sekunde (in net/ipv4/icmp.c).

Nmap erkennt Geschwindigkeitsbegrenzungen und verlangsamt sich entsprechend, um eine Überflutung des Netzwerks zu vermeiden
mit nutzlosen Paketen, die der Zielcomputer verwerfen wird. Leider ein Linux-Stil
Bei einer Begrenzung von einem Paket pro Sekunde dauert ein Scan von 65,536 Ports mehr als 18 Stunden. Ideen
Um Ihre UDP-Scans zu beschleunigen, können Sie mehrere Hosts parallel scannen und schnell
Scannen Sie zuerst nur die gängigen Ports, scannen Sie hinter der Firewall und verwenden Sie
--host-timeout um langsame Hosts zu überspringen.

-sy (SCTP-INIT-Scan) .
SCTP[7] ist eine relativ neue Alternative zu den Protokollen TCP und UDP, die die meisten
Eigenschaften von TCP und UDP sowie neue Funktionen wie Multi-Homing und
Multistreaming. Es wird hauptsächlich für SS7/SIGTRAN-bezogene Dienste verwendet, hat aber die
auch für andere Anwendungen nutzbar. SCTP INIT-Scan ist der SCTP
Äquivalent zu einem TCP-SYN-Scan. Es kann schnell durchgeführt werden und Tausende von Ports scannen
pro Sekunde in einem schnellen Netzwerk, das nicht durch restriktive Firewalls behindert wird. Wie SYN-Scan,
Der INIT-Scan ist relativ unauffällig und heimlich, da SCTP nie abgeschlossen wird
Verbände. Es ermöglicht auch eine klare und zuverlässige Unterscheidung zwischen offener, geschlossener,
und gefilterte Zustände.

Diese Technik wird oft als halboffenes Scannen bezeichnet, da Sie kein
vollständige SCTP-Assoziation. Sie senden einen INIT-Chunk, als würden Sie ein echtes öffnen
Assoziation und warten Sie dann auf eine Antwort. Ein INIT-ACK-Block zeigt an, dass der Port
Listening (offen), während ein ABORT-Chunk auf einen Nicht-Listener hinweist. Wenn keine Antwort
nach mehreren Neuübertragungen empfangen wird, wird der Port als gefiltert markiert. Der Hafen ist
auch als gefiltert markiert, wenn ein ICMP-unerreichbarer Fehler (Typ 3, Code 0, 1, 2, 3, 9, 10 oder .)
13) erhalten.

-sN; -sF; -sX (TCP NULL-, FIN- und Xmas-Scans) .
Diese drei Scan-Typen (mit dem --scanflags Option beschrieben
im nächsten Abschnitt) nutzen eine subtile Lücke in der TCP RFC[8] zu differenzieren
zwischen offenen und geschlossenen Ports. Seite 65 von RFC 793 sagt, dass "wenn der [Ziel-] Port"
Zustand ist GESCHLOSSEN .... ein eingehendes Segment, das keine RST enthält, bewirkt das Senden einer RST
In Beantwortung." Auf der nächsten Seite werden dann Pakete besprochen, die an offene Ports gesendet werden, ohne dass die
SYN-, RST- oder ACK-Bits gesetzt und besagt: „Es ist unwahrscheinlich, dass Sie hierher kommen, aber wenn Sie es tun,
lass das Segment fallen und kehre zurück.“

Beim Scannen von Systemen, die diesem RFC-Text entsprechen, wird jedes Paket, das kein SYN enthält,
RST- oder ACK-Bits führen zu einem zurückgegebenen RST, wenn der Port geschlossen ist und keine Antwort erfolgt
überhaupt, wenn der Port geöffnet ist. Solange keines dieser drei Bits enthalten ist, können alle
Kombination der anderen drei (FIN, PSH und URG) sind OK. Nmap nutzt dies aus mit
drei Scan-Typen:

Nullscan (-sN)
Setzt keine Bits (TCP Flag Header ist 0)

FIN-Scan (-sF)
Setzt nur das TCP-FIN-Bit.

Weihnachtsscan (-sX)
Setzt die Flags FIN, PSH und URG und leuchtet das Paket wie ein Weihnachtsbaum auf.

Diese drei Scan-Typen verhalten sich bis auf die gesetzten TCP-Flags genau gleich
in Sondenpaketen. Wenn ein RST-Paket empfangen wird, gilt der Port als geschlossen, während kein
Antwort bedeutet, dass es offen|gefiltert ist. Der Port wird als gefiltert markiert, wenn ein ICMP nicht erreichbar ist
Fehler (Typ 3, Code 0, 1, 2, 3, 9, 10 oder 13) wird empfangen.

Der Hauptvorteil dieser Scan-Typen besteht darin, dass sie sich durch bestimmte
nicht zustandsbehaftete Firewalls und Paketfilter-Router. Ein weiterer Vorteil ist, dass diese
Scan-Typen sind etwas heimlicher als sogar ein SYN-Scan. Verlass dich nicht darauf
jedoch – die meisten modernen IDS-Produkte können so konfiguriert werden, dass sie sie erkennen. Der große Nachteil ist
dass nicht alle Systeme RFC 793 buchstabengetreu befolgen. Einige Systeme senden RST
Antworten auf die Probes unabhängig davon, ob der Port geöffnet ist oder nicht. Dies verursacht alle
der Ports, die als geschlossen gekennzeichnet werden sollen. Die wichtigsten Betriebssysteme, die dies tun, sind Microsoft
Windows, viele Cisco-Geräte, BSDI und IBM OS/400. Dieser Scan funktioniert gegen die meisten
Unix-basierte Systeme. Ein weiterer Nachteil dieser Scans ist, dass sie dies nicht können
Unterscheiden Sie offene Ports von bestimmten gefilterten und Sie erhalten die Antwort
öffnen|gefiltert.

-sA (TCP ACK-Scan) .
Dieser Scan unterscheidet sich von den anderen bisher besprochenen darin, dass er nie bestimmt
offene (oder sogar offene|gefilterte) Ports. Es wird verwendet, um Firewall-Regelsätze abzubilden,
Bestimmen, ob sie zustandsbehaftet sind oder nicht und welche Ports gefiltert werden.

Für das ACK-Scan-Probe-Paket ist nur das ACK-Flag gesetzt (es sei denn, Sie verwenden --scanflags). Wann
Beim Scannen ungefilterter Systeme geben offene und geschlossene Ports beide ein RST-Paket zurück. Nmap
kennzeichnet sie dann als ungefiltert, was bedeutet, dass sie über das ACK-Paket erreichbar sind, aber
ob sie offen oder geschlossen sind, ist unbestimmt. Ports, die nicht antworten oder senden
bestimmte ICMP-Fehlermeldungen zurück (Typ 3, Code 0, 1, 2, 3, 9, 10 oder 13), sind gekennzeichnet
gefiltert.

-sW (TCP-Fensterscan) .
Der Fensterscan ist genau der gleiche wie der ACK-Scan, außer dass er eine Implementierung ausnutzt
Details bestimmter Systeme, um offene Ports von geschlossenen zu unterscheiden, anstatt
immer ungefiltert drucken, wenn ein RST zurückgegeben wird. Dies geschieht durch die Untersuchung des TCP
Fensterfeld der zurückgegebenen RST-Pakete. Auf einigen Systemen verwenden offene Ports ein positives
Fenstergröße (auch für RST-Pakete), während geschlossene ein Nullfenster haben. Also statt
listet einen Port immer als ungefiltert auf, wenn er eine RST zurück empfängt, Window scan listet die
Port als offen oder geschlossen, wenn der TCP-Window-Wert bei diesem Reset positiv oder null ist,
beziehungsweise.

Dieser Scan basiert auf einem Implementierungsdetail einer Minderheit von Systemen auf der
Internet, also kann man ihm nicht immer vertrauen. Systeme, die dies nicht unterstützen, werden dies normalerweise tun
alle Ports geschlossen zurückgeben. Es ist natürlich möglich, dass die Maschine wirklich keine Öffnung hat
Häfen. Wenn die meisten gescannten Ports geschlossen sind, aber einige gängige Portnummern (wie 22, 25,
53) gefiltert werden, ist das System höchstwahrscheinlich anfällig. Gelegentlich werden Systeme
zeigen sogar das genau gegenteilige Verhalten. Wenn Ihr Scan 1,000 offene Ports und drei anzeigt
geschlossene oder gefilterte Ports, dann können diese drei sehr wohl die wirklich offenen sein.

-sM (TCP Maimon-Scan) .
Der Maimon-Scan ist nach seinem Entdecker Uriel Maimon benannt. Er beschrieb die
Technik in der Phrack Magazine Ausgabe #49 (November 1996).. Nmap, die dies beinhaltete
Technik, wurde zwei Ausgaben später veröffentlicht. Diese Technik ist genau die gleiche wie NULL,
FIN- und Xmas-Scans, außer dass die Sonde FIN/ACK ist. Gemäß RFC 793[8] (TCP),
ein RST-Paket sollte als Reaktion auf eine solche Prüfung generiert werden, ob der Port geöffnet ist
oder geschlossen. Uriel bemerkte jedoch, dass viele von BSD abgeleitete Systeme das Paket einfach verwerfen
wenn der Port geöffnet ist.

--scanflags (Benutzerdefinierter TCP-Scan) .
Wirklich fortgeschrittene Nmap-Benutzer müssen sich nicht auf die angebotenen Scan-Typen beschränken.
Der --scanflags Option ermöglicht es Ihnen, Ihren eigenen Scan zu entwerfen, indem Sie ein beliebiges TCP angeben
flags.. Lassen Sie Ihrer Kreativität freien Lauf, während Sie Intrusion Detection-Systemen umgehen.
deren Anbieter einfach durch die Manpage von Nmap geblättert haben und spezifische Regeln hinzugefügt haben!

Der --scanflags Argument kann ein numerischer Flag-Wert wie 9 (PSH und FIN) sein, aber
Die Verwendung symbolischer Namen ist einfacher. Mischen Sie einfach eine beliebige Kombination von URG, ACK, PSH,
RST, SYN und FIN. Beispielsweise, --scanflags URGACKPSHRSTSYNFIN stellt aber alles ein
Es ist nicht sehr nützlich zum Scannen. Die Reihenfolge, in der diese angegeben werden, ist unerheblich.

Zusätzlich zu den gewünschten Flags können Sie einen TCP-Scantyp angeben (wie z
-sA or -sF). Dieser Basistyp sagt Nmap, wie Antworten zu interpretieren sind. Zum Beispiel ein SYN
Scan betrachtet keine Antwort, um auf einen gefilterten Port hinzuweisen, während ein FIN-Scan die
wie offen|gefiltert. Nmap verhält sich genauso wie für den Basisscantyp,
außer dass es stattdessen die von Ihnen angegebenen TCP-Flags verwendet. Wenn Sie keine Basis angeben
Typ wird SYN-Scan verwendet.

-sZ (SCTP COOKIE ECHO-Scan) .
Der SCTP COOKIE ECHO-Scan ist ein fortgeschrittener SCTP-Scan. Es nutzt die Tatsache aus
dass SCTP-Implementierungen Pakete mit COOKIE ECHO-Stücken im Hintergrund verwerfen sollten
auf offenen Ports, aber senden Sie einen ABORT, wenn der Port geschlossen ist. Der Vorteil dieses Scans
Typ ist, dass ein Port-Scan nicht so offensichtlich ist wie ein INIT-Scan. Außerdem kann es sein
nicht zustandsbehaftete Firewall-Regelsätze, die INIT-Chunks blockieren, aber keine COOKIE-ECHO-Chunks. Nicht
Lassen Sie sich täuschen, dass dies einen Port-Scan unsichtbar macht; ein gutes IDS wird sein
kann auch SCTP COOKIE ECHO-Scans erkennen. Der Nachteil ist, dass SCTP COOKIE ECHO scannt
kann nicht zwischen offenen und gefilterten Ports unterscheiden, so dass Sie beim Status bleiben
open|gefiltert in beiden Fällen.

-si Zombie Gastgeber[:Probeport] (Leerlaufscan) .
Diese erweiterte Scanmethode ermöglicht einen wirklich blinden TCP-Port-Scan des Ziels
(was bedeutet, dass keine Pakete von Ihrer echten IP-Adresse an das Ziel gesendet werden). Stattdessen a
einzigartiger Seitenkanalangriff nutzt vorhersagbare IP-Fragmentierungs-ID-Sequenz
Generation auf dem Zombie-Host, um Informationen über die offenen Ports auf dem Ziel zu erhalten.
IDS-Systeme zeigen den Scan so an, als ob er von der von Ihnen angegebenen Zombie-Maschine stammt (die
muss aktiv sein und bestimmte Kriterien erfüllen). Dieser faszinierende Scantyp ist zu komplex, um
in diesem Referenzhandbuch vollständig beschreiben, also habe ich ein informelles Papier mit geschrieben und veröffentlicht
Ausführliche Informationen unter https://nmap.org/book/idlescan.html.

Dieser Scan-Typ ist nicht nur außergewöhnlich heimlich (aufgrund seiner blinden Natur)
ermöglicht die Abbildung von IP-basierten Vertrauensbeziehungen zwischen Maschinen. Die Hafenliste
zeigt offene Ports an von Perspektive of Zombie Gastgeber. Sie können also versuchen, a . zu scannen
Zielen Sie mit verschiedenen Zombies an, von denen Sie glauben, dass sie vertrauenswürdig sind. (über Router/Paket
Filterregeln).

Sie können dem Zombie-Host einen Doppelpunkt gefolgt von einer Portnummer hinzufügen, wenn Sie sondieren möchten
einen bestimmten Port auf dem Zombie für IP-ID-Änderungen. Andernfalls verwendet Nmap den Port it
verwendet standardmäßig für TCP-Pings (80).

-so (IP-Protokoll-Scan) .
Mit dem IP-Protokoll-Scan können Sie feststellen, welche IP-Protokolle (TCP, ICMP, IGMP usw.)
werden von Zielmaschinen unterstützt. Dies ist technisch gesehen kein Port-Scan, da er zyklisch läuft
über IP-Protokollnummern anstelle von TCP- oder UDP-Portnummern. Aber es verwendet immer noch die
-p Option zur Auswahl gescannter Protokollnummern, meldet die Ergebnisse innerhalb des normalen
Port-Tabellenformat und verwendet sogar dieselbe zugrunde liegende Scan-Engine wie der echte Port
Scan-Methoden. Es ist also nahe genug an einem Portscan, dass es hierher gehört.

Der Protokollscan ist nicht nur nützlich, sondern demonstriert auch die Leistungsfähigkeit von
Quelloffene Software. Während die Grundidee ziemlich einfach ist, hatte ich nicht gedacht
um es hinzuzufügen oder Anfragen für eine solche Funktionalität zu erhalten. Dann im Sommer
2000, Gerhard Rieger. erdachte die Idee, schrieb einen ausgezeichneten Patch, der sie umsetzte,
und schickte es an die Ankündigungs-Mailingliste. (damals nmap-hackers genannt).. I
fügte diesen Patch in den Nmap-Baum ein und veröffentlichte am nächsten Tag eine neue Version.
Nur wenige kommerzielle Software haben Benutzer genug Enthusiasmus, um zu entwerfen und
eigene Verbesserungen beisteuern!

Der Protokollscan funktioniert ähnlich wie der UDP-Scan. Anstatt durch die zu iterieren
Portnummernfeld eines UDP-Pakets, es sendet IP-Paket-Header und durchläuft die
Acht-Bit-IP-Protokollfeld. Die Kopfzeilen sind normalerweise leer, enthalten keine Daten und nicht
sogar der richtige Header für das beanspruchte Protokoll. Ausnahmen sind TCP, UDP, ICMP,
SCTP und IGMP. Ein richtiger Protokoll-Header für diese ist enthalten, da einige Systeme
wird sie sonst nicht senden und weil Nmap bereits Funktionen hat, um sie zu erstellen.
Anstatt nach nicht erreichbaren ICMP-Port-Nachrichten zu suchen, ist der Protokollscan auf dem
Halte Ausschau nach ICMP Protokoll nicht erreichbare Nachrichten. Wenn Nmap in irgendeiner eine Antwort erhält
Protokoll vom Zielhost, markiert Nmap dieses Protokoll als geöffnet. Ein ICMP-Protokoll
Unerreichbarer Fehler (Typ 3, Code 2) führt dazu, dass das Protokoll als geschlossen markiert wird, während
Port nicht erreichbar (Typ 3, Code 3) markiert das Protokoll offen. Andere ICMP nicht erreichbar
Fehler (Typ 3, Code 0, 1, 9, 10 oder 13) führen dazu, dass das Protokoll als gefiltert markiert wird
(obwohl sie beweisen, dass ICMP gleichzeitig geöffnet ist). Wenn keine Antwort eingeht
nach erneuten Übertragungen wird das Protokoll als offen|gefiltert markiert

-b fTP Relais Gastgeber (FTP-Bounce-Scan) .
Ein interessantes Feature des FTP-Protokolls (RFC 959[9]) unterstützt sogenannte Proxys
FTP-Verbindungen. Auf diese Weise kann ein Benutzer eine Verbindung zu einem FTP-Server herstellen und dann Dateien anfordern
an einen Drittserver gesendet werden. Ein solches Feature ist auf vielen Ebenen reif für Missbrauch, also
die meisten Server haben die Unterstützung eingestellt. Einer der Missbrauchsfälle, die diese Funktion ermöglicht, ist
Veranlasst den FTP-Server, andere Hosts zu scannen. Bitten Sie einfach den FTP-Server, eine
-Datei der Reihe nach an jeden interessanten Port eines Zielhosts. Die Fehlermeldung wird
Beschreiben Sie, ob der Port geöffnet ist oder nicht. Dies ist eine gute Möglichkeit, Firewalls zu umgehen
weil FTP-Server von Organisationen oft dort platziert werden, wo sie mehr Zugriff haben
andere interne Hosts als jeder alte Internet-Host. Nmap unterstützt FTP-Bounce-Scan
an. Nach der Installation können Sie HEIC-Dateien mit der -b Möglichkeit. Es braucht ein Argument der Form Benutzername:Passwort@Server:port .
Server ist der Name oder die IP-Adresse eines anfälligen FTP-Servers. Wie bei einer normalen URL können Sie
kann weglassen Benutzername:Passwort, in diesem Fall anonyme Zugangsdaten (Benutzer: anonym
Passwort:-wwwuser@) verwendet werden. Die Portnummer (und der vorangestellte Doppelpunkt) können weggelassen werden, da
Nun, in diesem Fall ist der Standard-FTP-Port (21) an Server wird eingesetzt.

Diese Sicherheitsanfälligkeit war 1997 bei der Veröffentlichung von Nmap weit verbreitet, wurde jedoch weitgehend behoben
Fest. Es gibt immer noch anfällige Server, es lohnt sich also, es zu versuchen, wenn alles andere fehlschlägt.
Wenn Sie eine Firewall umgehen möchten, scannen Sie das Zielnetzwerk nach Port 21 (oder sogar nach
alle FTP-Dienste, wenn Sie alle Ports mit Versionserkennung scannen) und verwenden Sie den FTP-Bounce.
NSE-Skript. Nmap sagt Ihnen, ob der Host anfällig ist oder nicht. Wenn du nur bist
Wenn du versuchst, deine Spuren zu verwischen, musst (und solltest du eigentlich auch nicht) einschränken
sich selbst zu Hosts im Zielnetzwerk. Bevor Sie das zufällige Internet scannen
Adressen für anfällige FTP-Server, bedenken Sie, dass Systemadministratoren Sie möglicherweise nicht schätzen
ihre Server auf diese Weise missbrauchen.

PORT SPEZIFIKATION UND SCAN BESTELLUNG

Zusätzlich zu allen zuvor besprochenen Scanmethoden bietet Nmap Optionen für
Festlegen, welche Ports gescannt werden und ob die Scanreihenfolge zufällig oder sequentiell ist.
Standardmäßig scannt Nmap die gängigsten 1,000 Ports für jedes Protokoll.

-p port Bereiche (Nur angegebene Ports scannen) .
Diese Option gibt an, welche Ports Sie scannen möchten und überschreibt die Standardeinstellung.
Einzelne Portnummern sind in Ordnung, ebenso durch Bindestrich getrennte Bereiche (zB 1-1023).
Die Anfangs- und/oder Endwerte eines Bereichs können weggelassen werden, was dazu führt, dass Nmap 1 und verwendet
65535 bzw. Sie können also angeben -p- um Ports von 1 bis 65535 zu scannen.
Port Null scannen. ist erlaubt, wenn Sie es explizit angeben. Für das Scannen von IP-Protokollen
(-so), gibt diese Option die Protokollnummern an, nach denen Sie suchen möchten (0–255).

Beim Scannen einer Kombination von Protokollen (zB TCP und UDP) können Sie a
bestimmtes Protokoll durch Voranstellen der Portnummern durch T: für TCP, U: für UDP, S: für
SCTP oder P: für IP-Protokoll. Der Qualifizierer dauert an, bis Sie einen anderen Qualifizierer angeben.
Zum Beispiel das Argument -p U:53,111,137, T:21-25,80,139,8080 würde UDP-Ports 53 scannen,
111 und 137 sowie die aufgelisteten TCP-Ports. Beachten Sie, dass Sie zum Scannen von UDP und TCP
muss angeben -su und mindestens ein TCP-Scantyp (wie z -H.H, -sFoder -NS). Wenn nein
Protokollqualifizierer angegeben, werden die Portnummern zu allen Protokolllisten hinzugefügt. Häfen
kann auch namentlich angegeben werden, je nachdem, worauf der Port im
nmap-Dienste. Sie können sogar die Platzhalter * und ? mit den namen. Zum Beispiel zu
Scannen Sie FTP und alle Ports, deren Namen mit „http“ beginnen, verwenden Sie -p ftp,http*. Seien Sie vorsichtig
über Shell-Erweiterungen und zitieren Sie das Argument zu -p wenn unsicher.

Portbereiche können von eckigen Klammern umgeben sein, um die darin enthaltenen Ports anzuzeigen
Bereich, die in nmap-services erscheinen. Das Folgende scannt beispielsweise alle Ports in
nmap-services gleich oder kleiner 1024: -p [-1024]. Seien Sie vorsichtig mit Shell-Erweiterungen und
zitiere das Argument an -p wenn unsicher.

--exclude-ports port Bereiche (Ausschließen der angegebenen Ports vom Scannen) .
Diese Option gibt an, welche Ports Nmap vom Scannen ausschließen soll. Der port
Bereiche werden ähnlich angegeben wie -p. Zum Scannen des IP-Protokolls (-so), diese Option
gibt die Protokollnummern an, die Sie ausschließen möchten (0–255).

Wenn Ports zum Ausschluss aufgefordert werden, werden sie von allen Arten von Scans ausgeschlossen (d. h
sie werden unter keinen Umständen gescannt). Dazu gehört auch die Entdeckung
Phase.

-F (Schneller Scan (begrenzter Port)) .
Gibt an, dass Sie weniger Ports scannen möchten als die Standardeinstellung. Normalerweise scannt Nmap die
gängigsten 1,000 Ports für jedes gescannte Protokoll. Mit -F, diese wird auf 100 reduziert.

Nmap benötigt eine nmap-services-Datei mit Frequenzinformationen, um zu wissen, welche
Ports sind die gebräuchlichsten. Wenn keine Informationen zur Portfrequenz verfügbar sind, vielleicht
Aufgrund der Verwendung einer benutzerdefinierten nmap-services-Datei scannt Nmap alle benannten Ports plus
Ports 1-1024. In diesem Fall, -F bedeutet, nur Ports zu scannen, die in den Diensten benannt sind
Datei.

-r (Ports nicht randomisieren) .
Standardmäßig ordnet Nmap die Reihenfolge der gescannten Ports zufällig an (außer dass bestimmte häufig
zugängliche Ports werden aus Effizienzgründen in die Nähe des Anfangs verschoben). Dies
Randomisierung ist normalerweise wünschenswert, aber Sie können angeben -r für sequentiell (sortiert)
vom niedrigsten zum höchsten) Port-Scannen statt.

--Port-Verhältnis Verhältnis<dezimal Anzahl zwischen 0 und 1>
Scannt alle Ports in der nmap-services-Datei mit einem größeren Verhältnis als dem angegebenen. Verhältnis
muss zwischen 0.0 und 1.1 liegen.

--top-ports n
Scannt die n Ports mit dem höchsten Verhältnis, die in der nmap-services-Datei gefunden wurden, nachdem alle Ports ausgeschlossen wurden
spezifiziert durch --exclude-ports. n muss 1 oder größer sein.

Dienst UND VERSION NACHWEIS

Zeigen Sie Nmap auf einen Remote-Computer und es könnte Ihnen sagen, dass die Ports 25/tcp, 80/tcp und 53/udp
sind offen. Mit seinen nmap-Diensten. Datenbank mit etwa 2,200 bekannten Diensten. Nmap
würde melden, dass diese Ports wahrscheinlich einem Mailserver (SMTP) entsprechen, Webserver
(HTTP) bzw. Nameserver (DNS). Diese Suche ist normalerweise genau – die riesige
Die meisten Daemons, die auf TCP-Port 25 lauschen, sind tatsächlich Mailserver. Aber du
Darauf sollten Sie Ihre Sicherheit nicht setzen! Leute können Dienste auf seltsamen Ports ausführen und tun dies auch.

Selbst wenn Nmap Recht hat und der obige hypothetische Server SMTP, HTTP und DNS ausführt
Server, das sind nicht viele Informationen. Bei der Durchführung von Schwachstellenanalysen (oder sogar
einfache Netzwerkinventuren) Ihrer Firmen oder Kunden, Sie wollen wirklich wissen, welche
Mail- und DNS-Server und -Versionen laufen. Eine genaue Versionsnummer zu haben hilft
dramatisch bei der Bestimmung, für welche Exploits ein Server anfällig ist. Versionserkennung
hilft Ihnen, diese Informationen zu erhalten.

Nachdem TCP- und/oder UDP-Ports mit einer der anderen Scanmethoden erkannt wurden, Version
Die Erkennung fragt diese Ports ab, um mehr darüber zu erfahren, was tatsächlich ausgeführt wird. Der
nmap-service-probes. Datenbank enthält Sonden zum Abfragen verschiedener Dienste und Match
Ausdrücke zum Erkennen und Analysieren von Antworten. Nmap versucht das Dienstprotokoll zu ermitteln
(zB FTP, SSH, Telnet, HTTP), den Anwendungsnamen (zB ISC BIND, Apache httpd, Solaris
telnetd), die Versionsnummer, der Hostname, der Gerätetyp (z. B. Drucker, Router), die Betriebssystemfamilie
(zB Windows, Linux). Wenn möglich, erhält Nmap auch die Common Platform Enumeration
(CPE). Darstellung dieser Informationen. Manchmal verschiedene Details wie ob
ein X-Server für Verbindungen offen ist, die SSH-Protokollversion oder der KaZaA-Benutzername sind
erhältlich. Natürlich bieten die meisten Dienste nicht alle diese Informationen. Wenn Nmap wäre
mit OpenSSL-Unterstützung kompiliert, verbindet es sich mit SSL-Servern, um den Dienst abzuleiten
hinter dieser Verschlüsselungsschicht lauschen.. Einige UDP-Ports bleiben im offenen|gefilterten
Status nach einem UDP-Port-Scan kann nicht feststellen, ob der Port offen oder gefiltert ist.
Die Versionserkennung versucht, diesen Ports eine Antwort zu entlocken (genauso wie bei
offene Ports) und ändern Sie den Status in geöffnet, wenn dies erfolgreich ist. offen|gefilterte TCP-Ports sind
gleich behandelt. Beachten Sie, dass die Nmap -A Option ermöglicht unter anderem die Versionserkennung
Dinge. Ein Dokument, das die Funktionsweise, Verwendung und Anpassung der Versionserkennung dokumentiert
finden Sie unter https://nmap.org/book/vscan.html.

Wenn RPC-Dienste erkannt werden, wird der Nmap-RPC-Grinder. wird automatisch verwendet, um
Bestimmen Sie die RPC-Programm- und Versionsnummern. Es werden alle erkannten TCP/UDP-Ports verwendet
RPC und überflutet sie mit NULL-Befehlen des SunRPC-Programms, um festzustellen, ob
es handelt sich um RPC-Ports, und wenn ja, welche Programm- und Versionsnummer sie bereitstellen. So kannst du
erhalten Sie effektiv die gleichen Informationen wie rpcinfo -p selbst wenn der Portmapper des Ziels hinter einem
Firewall (oder durch TCP-Wrapper geschützt). Köder funktionieren derzeit nicht mit RPC-Scan.

Wenn Nmap Antworten von einem Dienst empfängt, diese aber nicht mit seiner Datenbank abgleichen kann,
druckt einen speziellen Fingerabdruck und eine URL aus, die Sie senden können, wenn Sie es genau wissen
was läuft auf dem port. Bitte nehmen Sie sich ein paar Minuten Zeit für die Einreichung, damit
Ihr Fund kann allen zugute kommen. Dank dieser Einsendungen hat Nmap etwa 6,500 Muster
Matches für mehr als 650 Protokolle wie SMTP, FTP, HTTP usw..

Die Versionserkennung wird mit den folgenden Optionen aktiviert und gesteuert:

-sV (Versionserkennung) .
Aktiviert die Versionserkennung, wie oben beschrieben. Alternativ können Sie -A, Die
ermöglicht unter anderem die Versionserkennung.

-Herr. ist ein Alias ​​für -sV. Vor März 2011 wurde es verwendet, um die RPC-Mühle zu aktivieren
getrennt von der Versionserkennung, aber jetzt werden diese Optionen immer kombiniert.

--allports (Schließen Sie keine Ports von der Versionserkennung aus) .
Standardmäßig überspringt die Nmap-Versionserkennung den TCP-Port 9100, da einige Drucker einfach
Drucken Sie alles, was an diesen Port gesendet wird, was zu Dutzenden von Seiten mit HTTP-GET-Anforderungen führt.
binäre SSL-Sitzungsanfragen usw. Dieses Verhalten kann durch Ändern von oder geändert werden
Entfernen der Exclude-Direktive in nmap-service-probes, oder Sie können angeben --allports
um alle Ports unabhängig von einer Exclude-Anweisung zu scannen.

--version-intensität Intensität (Intensität des Versionsscans einstellen) .
Beim Durchführen eines Versionsscans (-sV), Nmap sendet eine Reihe von Sonden, von denen jede
einen Seltenheitswert zwischen eins und neun zugeordnet. Die Sonden mit der niedrigeren Nummer sind wirksam
gegen eine Vielzahl von gemeinsamen Diensten, während die höheren Nummern selten sind
sinnvoll. Die Intensitätsstufe gibt an, welche Sonden angewendet werden sollen. Je höher die
Nummer, desto wahrscheinlicher ist es, dass der Dienst richtig erkannt wird. Allerdings hoch
Intensitätsscans dauern länger. Die Intensität muss zwischen 0 und 9 liegen. Der Standardwert ist
7.. Wenn ein Probe über den nmap-service-probesports . am Zielport registriert wird
Direktive wird diese Sonde unabhängig von der Intensitätsstufe ausprobiert. Dies stellt sicher, dass die
DNS-Tests werden immer gegen jeden offenen Port 53 versucht, der SSL-Test ist
getan gegen 443 usw.

--version-light (Aktivieren Sie den Lichtmodus) .
Dies ist ein praktischer Alias ​​für --version-intensität 2. Dieser Lichtmodus macht Version
Scannen viel schneller, aber es ist etwas weniger wahrscheinlich, Dienste zu identifizieren.

--version-all (Versuchen Sie jede einzelne Sonde) .
Ein Alias ​​für --version-intensität 9, um sicherzustellen, dass jede einzelne Sonde versucht wird
gegen jeden Hafen.

--version-trace (Trace-Versions-Scan-Aktivität) .
Dies veranlasst Nmap, umfangreiche Debugging-Informationen darüber auszugeben, was Versionsscannen ist
tun. Es ist eine Teilmenge von dem, was Sie bekommen --packet-trace.

OS NACHWEIS

Eine der bekanntesten Funktionen von Nmap ist die Remote-Betriebssystemerkennung mithilfe des TCP/IP-Stack
Fingerabdrücke. Nmap sendet eine Reihe von TCP- und UDP-Paketen an den Remote-Host und untersucht
praktisch jedes bisschen in den Antworten. Nach Dutzenden von Tests wie TCP ISN
Sampling, Unterstützung und Bestellung von TCP-Optionen, IP-ID-Sampling und die anfängliche Fenstergröße
check, vergleicht Nmap die Ergebnisse mit seiner nmap-os-db. Datenbank mit mehr als 2,600 bekannten Betriebssystemen
Fingerabdrücke und druckt bei Übereinstimmung die Betriebssystemdetails aus. Jeder Fingerabdruck enthält
eine freie textuelle Beschreibung des Betriebssystems und eine Klassifizierung, die den Anbieter bereitstellt
Name (zB Sun), zugrundeliegendes Betriebssystem (zB Solaris), Betriebssystemgeneration (zB 10) und Gerätetyp
(Allzweck, Router, Switch, Spielekonsole usw.). Die meisten Fingerabdrücke haben auch eine Gemeinsamkeit
Plattformaufzählung (CPE). Darstellung, wie cpe:/o:linux:linux_kernel:2.6.

Wenn Nmap das Betriebssystem einer Maschine nicht erraten kann und die Bedingungen gut sind (z
ein offener Port und ein geschlossener Port gefunden wurden), stellt Nmap eine URL zur Verfügung, die Sie zum Senden verwenden können
den Fingerabdruck, wenn Sie (mit Sicherheit) das Betriebssystem kennen, das auf dem Computer ausgeführt wird. Damit du
tragen zum Pool der Nmap bekannten Betriebssysteme bei und damit wird es mehr
genau für alle.

Die Betriebssystemerkennung ermöglicht einige andere Tests, die gesammelte Informationen verwenden
während des Prozesses sowieso. Eine davon ist die Klassifizierung der Vorhersagbarkeit der TCP-Sequenz.
Dies misst ungefähr, wie schwer es ist, eine gefälschte TCP-Verbindung aufzubauen gegen
der Remote-Host. Es ist nützlich, um auf Quell-IP basierende Vertrauensbeziehungen auszunutzen (rlogin,
Firewall-Filter usw.) oder um die Quelle eines Angriffs zu verbergen. Diese Art von Spoofing ist
selten mehr durchgeführt, aber viele Maschinen sind immer noch anfällig dafür. Die tatsächliche
Die Schwierigkeitszahl basiert auf statistischen Stichproben und kann schwanken. Es ist normalerweise
besser die englische Klassifikation wie „worthy challenge“ oder „trivial joke“ verwenden.
Dies wird nur in der normalen Ausgabe ausführlich gemeldet (-v) Modus. Wenn der ausführliche Modus aktiviert ist
zusammen mit -O, wird auch die Generierung der IP-ID-Sequenz gemeldet. Die meisten Maschinen sind in der
Klasse „inkremental“, d. h. sie inkrementieren das ID-Feld im IP-Header für
jedes Paket, das sie senden. Dies macht sie anfällig für verschiedene erweiterte Informationen
Sammel- und Spoofing-Angriffe.

Eine weitere zusätzliche Information, die durch die Betriebssystemerkennung ermöglicht wird, ist eine Schätzung der Betriebszeit eines Ziels.
Dies verwendet die TCP-Zeitstempeloption (RFC 1323[10]), um zu erraten, wann eine Maschine zuletzt war
neu gestartet. Die Schätzung kann ungenau sein, da der Zeitstempelzähler nicht initialisiert wurde
auf Null setzen oder der Zähler überläuft und herumläuft, sodass er nur ausführlich gedruckt wird
Modus arbeiten können.

Ein Dokument, das die Funktionsweise, Verwendung und Anpassung der Betriebssystemerkennung dokumentiert, ist verfügbar unter
https://nmap.org/book/osdetect.html.

Die Betriebssystemerkennung wird mit den folgenden Optionen aktiviert und gesteuert:

-O (Betriebssystemerkennung aktivieren) .
Aktiviert die Betriebssystemerkennung, wie oben beschrieben. Alternativ können Sie -A um das Betriebssystem zu aktivieren
Erkennung zusammen mit anderen Dingen.

--osscan-limit (Beschränken Sie die OS-Erkennung auf vielversprechende Ziele) .
Die Betriebssystemerkennung ist viel effektiver, wenn mindestens ein offener und ein geschlossener TCP-Port vorhanden sind
gefunden. Setzen Sie diese Option und Nmap versucht nicht einmal die OS-Erkennung gegen Hosts, die dies tun
erfüllen diese Kriterien nicht. Dies kann insbesondere bei -PN scannt
gegen viele Gastgeber. Es ist nur wichtig, wenn die Betriebssystemerkennung mit angefordert wird -O or -A.

--osscan-schätzen; - verschwommen (Erraten Sie die Ergebnisse der Betriebssystemerkennung) .
Wenn Nmap keine perfekte OS-Übereinstimmung erkennen kann, bietet es manchmal Beinahe-Übereinstimmungen an
als Möglichkeiten. Damit Nmap dies standardmäßig tut, muss die Übereinstimmung sehr nahe sein.
Jede dieser (äquivalenten) Optionen lässt Nmap aggressiver raten. Nmap wird
sagen Ihnen immer noch, wenn eine unvollkommene Übereinstimmung gedruckt wird, und zeigen ihr Konfidenzniveau an
(Prozentsatz) für jede Schätzung.

--max-os-versuche (Legen Sie die maximale Anzahl von OS-Erkennungsversuchen für ein Ziel fest) .
Wenn Nmap die Betriebssystemerkennung für ein Ziel durchführt und keine perfekte Übereinstimmung findet, wird es
wiederholt den Versuch in der Regel. Standardmäßig versucht Nmap fünfmal, wenn die Bedingungen
günstig für die Übermittlung von OS-Fingerabdrücken und zweimal, wenn die Bedingungen nicht so gut sind.
Angabe eines niedrigeren --max-os-versuche Wert (wie 1) beschleunigt Nmap, obwohl Sie es verpassen
bei Wiederholungsversuchen, die möglicherweise das Betriebssystem identifizieren könnten. Alternativ ein hoher Wert
kann so eingestellt werden, dass bei günstigen Bedingungen noch mehr Wiederholungen zugelassen werden. Das ist selten
erledigt, außer um bessere Fingerabdrücke für die Übermittlung und Integration in die
Nmap OS-Datenbank.

NMAP SCHREIBEN ENGINE (NSE)

Die Nmap Scripting Engine (NSE) ist eine der leistungsstärksten und flexibelsten Funktionen von Nmap. Es
ermöglicht es Benutzern, einfache Skripte zu schreiben (und zu teilen) (mit dem Lua Programmierung Sprache[11].
), um eine Vielzahl von Netzwerkaufgaben zu automatisieren. Diese Skripte werden parallel ausgeführt
mit der Geschwindigkeit und Effizienz, die Sie von Nmap erwarten. Anwender können sich auf die wachsende und
verschiedene Skripte, die mit Nmap verteilt werden, oder schreiben Sie Ihre eigenen, um benutzerdefinierten Anforderungen gerecht zu werden.

Zu den Aufgaben, die wir bei der Erstellung des Systems im Auge hatten, gehört die Netzwerkerkennung, mehr
ausgeklügelte Versionserkennung, Schwachstellenerkennung. NSE kann sogar verwendet werden für
Ausnutzung von Schwachstellen.

Um diese unterschiedlichen Verwendungen widerzuspiegeln und die Auswahl der auszuführenden Skripte zu vereinfachen,
Skript enthält ein Feld, das es einer oder mehreren Kategorien zuordnet. Aktuell definiert
Kategorien sind Auth, Broadcast, Standard. Discovery, dos, Exploit, externe, Fuzzer,
aufdringlich, Malware, sicher, Version und vuln. Diese sind alle beschrieben unter
https://nmap.org/book/nse-usage.html#nse-categories.

Skripte werden nicht in einer Sandbox ausgeführt und können daher versehentlich oder böswillig Ihren
System oder Ihre Privatsphäre verletzen. Führen Sie niemals Skripte von Drittanbietern aus, es sei denn, Sie vertrauen den
Autoren oder haben die Skripte selbst sorgfältig geprüft.

Die Nmap Scripting Engine wird ausführlich beschrieben unter https://nmap.org/book/nse.html und ein
gesteuert durch folgende Optionen:

-SC .
Führt einen Skriptscan mit den Standardskripts durch. Es ist äquivalent zu
--script=Standard. Einige der Skripte in dieser Kategorie gelten als aufdringlich und
sollte nicht ohne Erlaubnis gegen ein Zielnetzwerk ausgeführt werden.

--Skript Dateinamen|Kategorie|Verzeichnis|Ausdruck[,...] .
Führt einen Skriptscan mit der durch Kommas getrennten Liste von Dateinamen, Skriptkategorien und . aus
Verzeichnisse. Jedes Element in der Liste kann auch ein boolescher Ausdruck sein, der a . beschreibt
komplexere Skripte. Jedes Element wird zuerst als Ausdruck interpretiert, dann
als Kategorie und schließlich als Datei- oder Verzeichnisname.

Es gibt zwei spezielle Funktionen nur für fortgeschrittene Benutzer. Eine besteht darin, Skriptnamen voranzustellen
und Ausdrücke mit +, um sie zur Ausführung zu zwingen, auch wenn sie es normalerweise nicht tun würden (z. B. die
relevanter Dienst wurde auf dem Zielport nicht erkannt). Das andere ist, dass das Argument
all kann verwendet werden, um jedes Skript in der Datenbank von Nmap anzugeben. Seien Sie dabei vorsichtig
weil NSE gefährliche Skripte wie Exploits, Brute-Force-Authentifizierung enthält
Cracker und Denial-of-Service-Attacken.

Datei- und Verzeichnisnamen können relativ oder absolut sein. Es werden absolute Namen verwendet
direkt. In den Skripten der folgenden Orte wird nach relativen Pfaden gesucht
bis gefunden: --datadir
$NMAPDIR.
~/.nmap (unter Windows nicht gesucht).
STARTSEITE\AppData\Roaming\nmap (nur unter Windows).
das Verzeichnis, das die ausführbare nmap-Datei enthält
das Verzeichnis, das die ausführbare nmap-Datei enthält, gefolgt von ../share/nmap
NMAPDATADIR.
das aktuelle Verzeichnis.

Wenn ein Verzeichnisname angegeben wird, lädt Nmap jede Datei im Verzeichnis, deren Name endet
mit .nse. Alle anderen Dateien werden ignoriert und Verzeichnisse werden nicht rekursiv durchsucht. Wann
ein Dateiname wird angegeben, er muss nicht die Erweiterung .nse haben; es wird hinzugefügt
bei Bedarf automatisch. Nmap-Skripte werden in einem scripts-Unterverzeichnis von Nmap gespeichert
Datenverzeichnis standardmäßig (siehe https://nmap.org/book/data-files.html). Für Effizienz,
Skripte werden in einer Datenbank indiziert, die in scripts/script.db gespeichert ist. die die Kategorie auflistet
oder Kategorien, in die jedes Skript gehört. Bei Bezugnahme auf Skripte aus script.db von
name, können Sie einen '*'-Platzhalter im Shell-Stil verwenden.

nmap --Skript "http-*"
Lädt alle Skripte, deren Name mit http- beginnt, beispielsweise http-auth und http-open-proxy.
Das Argument zu --Skript musste in Anführungszeichen stehen, um den Platzhalter vor der Shell zu schützen.

Eine kompliziertere Skriptauswahl kann mit den Operatoren and, or, and not durchgeführt werden
Boolesche Ausdrücke erstellen. Die Betreiber haben das gleiche Vorrang[12] wie in Lua: nicht ist
die höchste, gefolgt von und und dann oder. Sie können die Rangfolge ändern, indem Sie Klammern verwenden.
Da Ausdrücke Leerzeichen enthalten, müssen diese in Anführungszeichen gesetzt werden.

nmap --Skript "nicht aufdringlich"
Lädt alle Skripte außer denen in der Kategorie "Intrusiv".

nmap --Skript "Ursprünglich or sicher"
Dies ist funktional äquivalent zu nmap --Skript "Standard, sicher". Es lädt alle Skripte
die sich in der Standardkategorie oder der sicheren Kategorie oder beidem befinden.

nmap --Skript "Ursprünglich und sicher"
Lädt die Skripte, die in . sind beide die Standard- und die sichere Kategorie.

nmap --Skript "(Ursprünglich or Safe or aufdringlich) und nicht http-*"
Lädt Skripte in den Kategorien Standard, Safe oder Intrusiv, mit Ausnahme derer, deren
Namen beginnen mit http-.

--script-args n1=v1,n2={n3=v3},n4={v4,v5} .
Ermöglicht die Bereitstellung von Argumenten für NSE-Skripts. Argumente sind eine durch Kommas getrennte Liste von
Name=Wert-Paare. Namen und Werte können Zeichenfolgen sein, die keine Leerzeichen enthalten oder die
Zeichen '{', '}', '=' oder ','. Um eines dieser Zeichen in eine Zeichenfolge aufzunehmen,
schließen Sie die Zeichenfolge in einfache oder doppelte Anführungszeichen ein. Innerhalb einer Zeichenfolge in Anführungszeichen wird '\' als Escapezeichen verwendet
zitieren. Ein umgekehrter Schrägstrich wird nur in diesem speziellen Fall verwendet, um Anführungszeichen zu maskieren; insgesamt
in anderen Fällen wird ein Backslash wörtlich interpretiert. Werte können auch Tabellen enthalten
in {}, genau wie in Lua. Eine Tabelle kann einfache Zeichenfolgenwerte oder mehrere Name-Wert-Werte enthalten
Paare, einschließlich verschachtelter Tabellen. Viele Skripte qualifizieren ihre Argumente mit dem Skript
name, wie in xmpp-info.server_name. Sie können diese vollqualifizierte Version verwenden, um zu beeinflussen
nur das angegebene Skript, oder Sie können die unqualifizierte Version übergeben (server_name in
in diesem Fall), um alle Skripte zu beeinflussen, die diesen Argumentnamen verwenden. Ein Skript prüft zuerst
für seinen vollqualifizierten Argumentnamen (der in seiner Dokumentation angegebene Name) vor
es akzeptiert einen nicht qualifizierten Argumentnamen. Ein komplexes Beispiel für Skriptargumente ist
--script-args
'user=foo,pass=",{}=bar",whois={whodb=nofollow+ripe},xmpp-info.server_name=localhost'.
Das Online-NSE-Dokumentationsportal unter https://nmap.org/nsedoc/ listet die Argumente auf
die jedes Skript akzeptiert.

--script-args-Datei Dateinamen .
Ermöglicht das Laden von Argumenten in NSE-Skripts aus einer Datei. Alle Argumente auf der Befehlszeile
ersetzen diejenigen in der Datei. Die Datei kann ein absoluter Pfad sein oder ein Pfad relativ zu
Der übliche Suchpfad von Nmap (NMAPDIR usw.) Argumente können durch Kommas getrennt sein oder
durch Zeilenumbrüche getrennt, ansonsten aber nach den gleichen Regeln wie für --script-args, ohne
erfordern spezielle Anführungszeichen und Escapezeichen, da sie nicht von der Shell geparst werden.

--script-help Dateinamen|Kategorie|Verzeichnis|Ausdruck|alle[,...] .
Zeigt Hilfe zu Skripten an. Für jedes Skript, das der angegebenen Spezifikation entspricht, wird Nmap
gibt den Skriptnamen, seine Kategorien und seine Beschreibung aus. Die Spezifikationen sind
die gleichen wie die akzeptierten von --Skript; also zum Beispiel, wenn du Hilfe bei der
ftp-anon-Skript würden Sie ausführen nmap --script-help ftp-anon. Zusätzlich zu bekommen
Hilfe für einzelne Skripte, können Sie diese als Vorschau verwenden, welche Skripte ausgeführt werden
für eine Spezifikation, zum Beispiel mit nmap --script-help Standard.

--script-trace .
Diese Option macht was --packet-trace tut, nur eine ISO-Ebene höher. Wenn diese Option
angegeben ist, wird die gesamte ein- und ausgehende Kommunikation, die von einem Skript ausgeführt wird, gedruckt.
Die angezeigten Informationen umfassen das Kommunikationsprotokoll, die Quelle, das Ziel
und die übertragenen Daten. Wenn mehr als 5 % aller übertragenen Daten nicht druckbar sind,
dann liegt die Trace-Ausgabe im Hex-Dump-Format vor. Angabe --packet-trace ermöglicht
Skriptverfolgung auch.

--script-updateb .
Diese Option aktualisiert die Skriptdatenbank in scripts/script.db, die von verwendet wird
Nmap, um die verfügbaren Standardskripte und Kategorien zu bestimmen. Es ist nur notwendig
um die Datenbank zu aktualisieren, wenn Sie NSE-Skripte zum Standard hinzugefügt oder daraus entfernt haben
scripts-Verzeichnis oder wenn Sie die Kategorien eines Skripts geändert haben. Diese Option ist
im Allgemeinen allein verwendet: nmap --script-updateb.

TIMING UND PERFORMANCE

Eine meiner höchsten Prioritäten bei der Entwicklung von Nmap war schon immer die Leistung. Ein Standardscan
(nmap hostname) eines Hosts in meinem lokalen Netzwerk dauert eine Fünftelsekunde. Das ist kaum
genug Zeit zum Blinzeln, summiert sich aber, wenn Sie Hunderte oder Tausende von Hosts scannen.
Darüber hinaus können bestimmte Scanoptionen wie UDP-Scannen und Versionserkennung zunehmen
Scanzeiten erheblich. Können auch bestimmte Firewall-Konfigurationen reagieren, insbesondere
Ratenbegrenzung. Während Nmap Parallelität und viele fortschrittliche Algorithmen verwendet, um zu beschleunigen
Bei diesen Scans hat der Benutzer die ultimative Kontrolle darüber, wie Nmap ausgeführt wird. Erfahrene Benutzer sorgfältig
Erstellen Sie Nmap-Befehle, um nur die Informationen zu erhalten, die ihnen wichtig sind, während sie ihre
Zeitbeschränkungen.

Zu den Techniken zur Verbesserung der Scanzeiten gehören das Weglassen unkritischer Tests und das Upgrade auf
die neueste Version von Nmap (Leistungsverbesserungen werden häufig vorgenommen). Optimierung
Timing-Parameter können ebenfalls einen wesentlichen Unterschied machen. Diese Optionen sind unten aufgeführt.

Einige Optionen akzeptieren einen Zeitparameter. Dies wird standardmäßig in Sekunden angegeben, obwohl Sie
kann 'ms', 's', 'm' oder 'h' an den Wert anhängen, um Millisekunden, Sekunden, Minuten anzugeben,
oder Stunden. Also die --host-timeout Argumente 900000ms, 900, 900s und 15m tun alle dasselbe
Ding.

--min-Hostgruppe Anzahl Hosts; --max-Hostgruppe Anzahl Hosts (Anpassen der Gruppengrößen für parallele Scans) .
Nmap hat die Möglichkeit, mehrere Hosts parallel zu scannen oder zu scannen. Nmap
tut dies, indem er den Ziel-IP-Raum in Gruppen aufteilt und dann eine Gruppe bei a . scannt
Zeit. Generell sind größere Gruppen effizienter. Der Nachteil sind die Host-Ergebnisse
kann nicht bereitgestellt werden, bis die gesamte Gruppe fertig ist. Wenn Nmap also mit a begann
Gruppengröße von 50 würde der Benutzer keine Berichte erhalten (außer den Updates)
im ausführlichen Modus angeboten) bis die ersten 50 Hosts abgeschlossen sind.

Standardmäßig geht Nmap bei diesem Konflikt einen Kompromissansatz ein. Es beginnt mit a
Gruppengröße nur fünf, so dass die ersten Ergebnisse schnell kommen und dann die
groupsize bis zu 1024. Die genauen Standardzahlen hängen von den angegebenen Optionen ab.
Aus Effizienzgründen verwendet Nmap größere Gruppengrößen für UDP- oder TCP-Scans mit wenigen Ports.

Wenn eine maximale Gruppengröße mit . angegeben ist --max-Hostgruppe, Nmap wird nie überschreiten
diese Größe. Geben Sie eine Mindestgröße mit an --min-Hostgruppe und Nmap wird versuchen, die Gruppe zu halten
Größen über diesem Niveau. Nmap muss möglicherweise kleinere Gruppen verwenden, als Sie angeben, wenn es vorhanden ist
nicht genügend Zielhosts auf einer bestimmten Schnittstelle übrig sind, um die angegebenen Anforderungen zu erfüllen
Minimum. Beide können so eingestellt werden, dass die Gruppengröße innerhalb eines bestimmten Bereichs bleibt, obwohl dies
ist selten erwünscht.

Diese Optionen haben während der Hosterkennungsphase eines Scans keine Auswirkung. Dies
beinhaltet einfache Ping-Scans (-schn). Die Hosterkennung funktioniert immer in großen Gruppen von Hosts
Geschwindigkeit und Genauigkeit zu verbessern.

Der Hauptzweck dieser Optionen besteht darin, eine große Mindestgruppengröße anzugeben, damit die
Der vollständige Scan wird schneller ausgeführt. Eine übliche Wahl ist 256, um ein Netzwerk in der Größe der Klasse C zu scannen
Brocken. Bei einem Scan mit vielen Ports ist es unwahrscheinlich, dass eine Überschreitung dieser Zahl viel hilft.
Für Scans von nur wenigen Portnummern können Hostgruppengrößen von 2048 oder mehr hilfreich sein.

--min-Parallelismus numsonden; --max-Parallelismus numsonden (Sondenparallelisierung anpassen) .
Diese Optionen steuern die Gesamtzahl der Probes, die für einen Host ausstehen können
Gruppe. Sie werden für Port-Scans und Host-Erkennung verwendet. Standardmäßig berechnet Nmap
eine sich ständig ändernde ideale Parallelität basierend auf der Netzwerkleistung. Wenn Pakete gesendet werden
fallengelassen, Nmap verlangsamt sich und erlaubt weniger ausstehende Sonden. Die ideale Sondennummer
steigt langsam, da sich das Netzwerk als würdig erweist. Diese Optionen setzen minimale oder
Maximalgrenzen für diese Variable. Standardmäßig kann die ideale Parallelität auf eins sinken, wenn
das Netz erweist sich als unzuverlässig und steigt bei einwandfreiem Zustand auf mehrere Hundert an.

Die häufigste Verwendung ist die Einstellung --min-Parallelismus auf eine Zahl höher als eins zu beschleunigen
Scans von Hosts oder Netzwerken mit schlechter Leistung. Dies ist eine riskante Option zum Spielen,
da eine zu hohe Einstellung die Genauigkeit beeinträchtigen kann. Wenn Sie dies einstellen, verringert sich auch die Fähigkeit von Nmap
um Parallelität basierend auf den Netzwerkbedingungen dynamisch zu steuern. Ein Wert von 10 könnte sein
vernünftig, obwohl ich diesen Wert nur als letztes Mittel anpasse.

Der --max-Parallelismus Option ist manchmal auf eins gesetzt, um zu verhindern, dass Nmap mehr sendet
als eine Sonde gleichzeitig an Hosts. Der --scan-Verzögerung Option, die später diskutiert wird, ist
eine andere Möglichkeit, dies zu tun.

--min-rtt-timeout Zeit, --max-rtt-timeout Zeit, --initial-rtt-timeout Zeit (Sonde anpassen
Auszeiten).
Nmap behält einen laufenden Timeout-Wert bei, um zu bestimmen, wie lange es auf a warten wird
Sonde reagieren, bevor Sie die Sonde aufgeben oder erneut übertragen. Dies wird berechnet basierend
zu den Reaktionszeiten bisheriger Sonden.

Wenn sich die Netzwerklatenz als signifikant und variabel erweist, kann dieser Timeout
auf mehrere Sekunden anwachsen. Es beginnt auch auf einem konservativen (hohen) Niveau und kann bleiben
auf diese Weise für eine Weile, wenn Nmap nicht reagierende Hosts scannt.

Angabe eines niedrigeren --max-rtt-timeout und --initial-rtt-timeout als die Standardeinstellungen können
Scanzeiten deutlich verkürzen. Dies gilt insbesondere für pingless (-PN) scannt und
die gegen stark gefilterte Netzwerke. Werde aber nicht zu aggressiv. Der Scan kann
am Ende länger dauern, wenn Sie einen so niedrigen Wert angeben, dass viele Sonden eine Zeitüberschreitung haben
und erneutes Senden, während die Antwort unterwegs ist.

Wenn sich alle Hosts in einem lokalen Netzwerk befinden, werden 100 Millisekunden (--max-rtt-timeout 100ms) abgestimmt ist, lautet
ein vernünftiger aggressiver Wert. Wenn Routing beteiligt ist, pingen Sie einen Host im Netzwerk an
zuerst mit dem ICMP-Ping-Dienstprogramm oder mit einem benutzerdefinierten Paket-Crafter wie Nping. das
Es ist wahrscheinlicher, dass Sie durch eine Firewall gelangen. Schauen Sie sich die maximale Hin- und Rückfahrtzeit von an
zehn Pakete oder so. Vielleicht möchten Sie das für die verdoppeln --initial-rtt-timeout und
verdreifachen oder vervierfachen Sie es für die --max-rtt-timeout. Ich stelle generell nicht das Maximum ein
RTT unter 100 ms, egal wie die Ping-Zeiten sind. Ich überschreite auch nicht 1000 ms.

--min-rtt-timeout ist eine selten verwendete Option, die nützlich sein könnte, wenn ein Netzwerk so
unzuverlässig, dass selbst die Vorgabe von Nmap zu aggressiv ist. Da Nmap nur die
Zeitüberschreitung auf das Minimum, wenn das Netzwerk zuverlässig zu sein scheint, ist diese Notwendigkeit
ungewöhnlich und sollte als Fehler an die Mailingliste nmap-dev gemeldet werden.

--max-Wiederholungen Zahlen (Geben Sie die maximale Anzahl von erneuten Übertragungen des Port-Scan-Tests an) .
Wenn Nmap keine Antwort auf eine Port-Scan-Prüfung erhält, kann dies bedeuten, dass der Port
gefiltert. Oder vielleicht ist die Sonde oder Antwort einfach im Netzwerk verloren gegangen. Es ist auch
möglich, dass auf dem Zielhost eine Ratenbegrenzung aktiviert ist, die die
Antwort. Nmap versucht es also erneut, indem es die anfängliche Sonde erneut sendet. Wenn Nmap erkennt
schlechte Netzwerkzuverlässigkeit, es kann viele Male versuchen, bevor es einen Port aufgibt. Während
Dies kommt der Genauigkeit zugute und verlängert auch die Scanzeiten. Wenn die Leistung entscheidend ist,
Scans können beschleunigt werden, indem die Anzahl der erlaubten Neuübertragungen begrenzt wird. Du kannst sogar
angeben --max-Wiederholungen 0 um erneute Übertragungen zu verhindern, aber das ist nur
empfohlen für Situationen wie informelle Umfragen, bei denen gelegentlich Häfen verpasst werden und
Gastgeber sind akzeptabel.

Die Standardeinstellung (mit no -T Vorlage) soll zehn Neuübertragungen zulassen. Wenn ein Netzwerk scheint
zuverlässig und die Zielhosts sind nicht ratenbeschränkend, Nmap tut normalerweise nur einen
erneute Übertragung. Die meisten Zielscans werden also nicht einmal vom Fallenlassen beeinflusst --max-Wiederholungen zu
ein niedriger Wert wie drei. Solche Werte können Scans von langsamen (Rate
begrenzt) Gastgeber. Normalerweise verlieren Sie einige Informationen, wenn Nmap Ports vorzeitig aufgibt,
obwohl das vorzuziehen ist, die --host-timeout ablaufen und alles verlieren
Informationen über das Ziel.

--host-timeout Zeit (Geben Sie langsame Zielhosts auf) .
Manche Gastgeber nehmen einfach ein lange Zeit zum Scannen. Dies kann an einer schlechten Leistung liegen oder
unzuverlässige Netzwerkhardware oder -software, Paketratenbegrenzung oder ein restriktives
Firewall. Die langsamsten paar Prozent der gescannten Hosts können einen Großteil der
Scan Zeit. Manchmal ist es am besten, Ihre Verluste zu reduzieren und diese Hosts zunächst zu überspringen.
Angeben --host-timeout mit der maximalen Zeit, die Sie bereit sind zu warten. Für
Geben Sie beispielsweise 30 m an, um sicherzustellen, dass Nmap nicht mehr als eine halbe Stunde mit a verschwendet
einziger Gastgeber. Beachten Sie, dass Nmap während dieser Zeit möglicherweise andere Hosts scannt
eine halbe Stunde, also kein kompletter Verlust. Ein Host, bei dem das Zeitlimit überschritten wird, wird übersprungen. Kein Hafen
Tabellen-, Betriebssystemerkennungs- oder Versionserkennungsergebnisse werden für diesen Host gedruckt.

--scan-Verzögerung Zeit; --max-scan-delay Zeit (Stellen Sie die Verzögerung zwischen den Sonden ein) .
Diese Option bewirkt, dass Nmap zwischen jedem Test mindestens die angegebene Zeit wartet
es sendet an einen bestimmten Host. Dies ist besonders nützlich bei der Ratenbegrenzung.
Solaris-Rechner (neben vielen anderen) reagieren normalerweise auf UDP-Scan-Probe-Pakete
mit nur einer ICMP-Nachricht pro Sekunde. Mehr als das von Nmap gesendete wird
verschwenderisch. EIN --scan-Verzögerung von 1s wird Nmap auf dieser langsamen Geschwindigkeit halten. Nmap versucht zu erkennen
Geschwindigkeitsbegrenzung und passen Sie die Scan-Verzögerung entsprechend an, aber es schadet nicht, sie anzugeben
explizit, wenn Sie bereits wissen, welcher Tarif am besten funktioniert.

Wenn Nmap die Scanverzögerung nach oben anpasst, um die Geschwindigkeitsbegrenzung zu bewältigen, wird der Scan langsamer
dramatisch nach unten. Der --max-scan-delay Option gibt die größte Verzögerung an, die Nmap
erlaubt. Ein niedriger --max-scan-delay kann Nmap beschleunigen, ist aber riskant. Dies einstellen
Ein zu niedriger Wert kann zu verschwenderischen Paketwiederholungen und möglichen verpassten Ports führen
wenn das Ziel eine strikte Ratenbegrenzung implementiert.

Eine andere Verwendung von --scan-Verzögerung besteht darin, schwellenwertbasierte Intrusion Detection zu umgehen und
Präventionssysteme (IDS/IPS)..

--min-rate Anzahl; --Maximale Rate Anzahl (Direkte Steuerung der Abtastrate) .
Das dynamische Timing von Nmap leistet gute Arbeit, um eine angemessene Geschwindigkeit zu finden, mit der
Scan. Manchmal kennen Sie jedoch zufällig eine angemessene Abtastrate für a
Netzwerk, oder Sie müssen möglicherweise garantieren, dass ein Scan zu einem bestimmten Zeitpunkt abgeschlossen ist.
Oder vielleicht müssen Sie Nmap davon abhalten, zu schnell zu scannen. Der --min-rate und --Maximale Rate
Optionen sind für diese Situationen konzipiert.

Wenn das --min-rate Option ist gegeben Nmap wird sein Bestes tun, um Pakete so schnell wie möglich zu senden
oder schneller als die angegebene Rate. Das Argument ist eine positive reelle Zahl, die a . darstellt
Paketrate in Paketen pro Sekunde. Zum Beispiel die Angabe --min-rate 300 bedeutet, dass
Nmap wird versuchen, die Senderate bei oder über 300 Paketen pro Sekunde zu halten. Angabe
eine Mindestrate hindert Nmap nicht daran, schneller zu werden, wenn die Bedingungen dies erfordern.

Ebenso --Maximale Rate begrenzt die Senderate eines Scans auf ein bestimmtes Maximum. Benutzen --Maximale Rate
100, um beispielsweise das Senden auf 100 Pakete pro Sekunde in einem schnellen Netzwerk zu begrenzen. Benutzen
--Maximale Rate 0.1 für einen langsamen Scan eines Pakets alle zehn Sekunden. Benutzen --min-rate und
--Maximale Rate zusammen, um die Rate in einem bestimmten Bereich zu halten.

Diese beiden Optionen sind global und betreffen einen gesamten Scan, nicht einzelne Hosts. Sie
wirken sich nur auf Port-Scans und Host-Discovery-Scans aus. Andere Funktionen wie Betriebssystemerkennung
eigenes Timing implementieren.

Es gibt zwei Bedingungen, unter denen die tatsächliche Abtastrate unter die angeforderte fallen kann
Minimum. Die erste ist, wenn das Minimum schneller ist als die schnellste Rate, mit der Nmap
senden, was hardwareabhängig ist. In diesem Fall sendet Nmap Pakete einfach als
so schnell wie möglich, aber seien Sie sich bewusst, dass so hohe Raten wahrscheinlich zu einem Verlust von
Richtigkeit. Der zweite Fall ist, wenn Nmap nichts zu senden hat, zum Beispiel am Ende von
ein Scan, wenn die letzten Sonden gesendet wurden und Nmap auf ihre Zeitüberschreitung wartet oder
beantwortet werden. Es ist normal, dass die Scanrate am Ende eines Scans oder in
zwischen Hostgruppen. Die Senderate kann vorübergehend das Maximum überschreiten, um dies auszugleichen
unvorhersehbare Verzögerungen, aber im Durchschnitt bleibt die Rate auf oder unter dem Maximum.

Die Angabe eines Mindestsatzes sollte mit Vorsicht erfolgen. Scannen schneller als es ein Netzwerk kann
Unterstützung kann zu einem Genauigkeitsverlust führen. In einigen Fällen kann die Verwendung einer schnelleren Rate zu einem
scannen länger als mit einer langsameren Rate. Dies liegt daran, dass Nmaps adaptive
Neuübertragungsalgorithmen erkennen die Netzwerküberlastung, die durch eine übermäßige
Abtastrate und erhöhen Sie die Anzahl der Neuübertragungen, um die Genauigkeit zu verbessern.
Obwohl Pakete mit einer höheren Rate gesendet werden, werden also insgesamt mehr Pakete gesendet. Deckel
die Anzahl der Neuübertragungen mit dem --max-Wiederholungen Option, wenn Sie eine einstellen müssen
Obergrenze der gesamten Scanzeit.

--defeat-rst-ratelimit .
Viele Hosts verwenden seit langem Ratenbegrenzungen. um die Anzahl der ICMP-Fehlermeldungen zu reduzieren
(wie Port-unreachable-Fehler), die sie senden. Einige Systeme wenden jetzt einen ähnlichen Satz an
Beschränkungen auf die von ihnen generierten RST-(Reset-)Pakete. Dies kann Nmap dramatisch verlangsamen
da es sein Timing anpasst, um diese Ratenbegrenzungen widerzuspiegeln. Sie können Nmap anweisen, zu ignorieren
diese Ratenbegrenzungen (für Port-Scans wie SYN-Scans, die nicht nicht ansprechbar behandeln
Ports als offen) durch Angabe von --defeat-rst-ratelimit.

Die Verwendung dieser Option kann die Genauigkeit verringern, da einige Ports nicht mehr reagieren
weil Nmap nicht lange genug auf eine ratenbegrenzte RST-Antwort gewartet hat. Mit einem SYN-Scan,
die Nicht-Antwort führt dazu, dass der Port als gefiltert und nicht als geschlossen gekennzeichnet wird
Zustand, den wir sehen, wenn RST-Pakete empfangen werden. Diese Option ist nützlich, wenn Sie sich nur darum kümmern
über offene Ports und die Unterscheidung zwischen geschlossenen und gefilterten Ports lohnt sich nicht
Extra Zeit.

--nsock-engine epoll|kqueue|umfrage|wählen .
Erzwingen Sie die Verwendung einer bestimmten nsock IO-Multiplexing-Engine. Nur der wählen(2)-basierter Fallback
Engine ist garantiert auf Ihrem System verfügbar. Motoren sind nach dem Namen benannt
der IO-Management-Funktion, die sie nutzen. Derzeit implementierte Engines sind epoll,
kqueue, poll und select, aber nicht alle sind auf jeder Plattform vorhanden. Benutzen nmap -V zu
Sehen Sie, welche Motoren unterstützt werden.

-T paranoid|hinterhältig|höflich|normal|aggressiv|verrückt (Legen Sie eine Timing-Vorlage fest) .
Während die im vorherigen Abschnitt besprochenen feinkörnigen Timing-Steuerelemente leistungsstark sind
und effektiv, manche Leute finden sie verwirrend. Darüber hinaus ist die Auswahl der geeigneten
Werte können manchmal länger dauern als der Scan, den Sie optimieren möchten. Also Nmap
bietet einen einfacheren Ansatz mit sechs Timing-Vorlagen. Sie können sie mit dem angeben -T
Option und ihre Nummer (0–5) oder ihren Namen. Die Vorlagennamen sind paranoid (0),
hinterhältig (1), höflich (2), normal (3), aggressiv (4), Und verrückt (5). Die ersten beiden sind
zur IDS-Umgehung. Der höfliche Modus verlangsamt den Scan, um weniger Bandbreite und Ziel zu verwenden
Maschinenressourcen. Normaler Modus ist die Standardeinstellung und so -T3 tut nichts. Aggressiver Modus
beschleunigt Scans, indem Sie davon ausgehen, dass Sie auf einem einigermaßen schnellen und
zuverlässiges Netzwerk. Endlich verrückter Modus. geht davon aus, dass Sie auf einem außergewöhnlichen
schnelles Netzwerk oder bereit sind, etwas Genauigkeit für Geschwindigkeit zu opfern.

Mit diesen Vorlagen kann der Benutzer angeben, wie aggressiv er sein möchte, während
Nmap verlassen, um die genauen Timing-Werte auszuwählen. Die Vorlagen machen auch etwas kleinere Geschwindigkeit
Anpassungen, für die es derzeit keine feingranularen Steuerungsmöglichkeiten gibt. Für
Beispiel -T4. verhindert, dass die dynamische Scanverzögerung 10 ms für TCP-Ports überschreitet und
-T5 begrenzt diesen Wert auf 5 ms. Schablonen können in Kombination mit feinkörnigen . verwendet werden
Steuerelemente, und die fein abgestuften Steuerelemente, die Sie angeben, haben Vorrang vor den
Timing-Vorlagenvorgabe für diesen Parameter. Ich empfehle die Verwendung -T4 beim Scannen
einigermaßen moderne und zuverlässige Netzwerke. Behalten Sie diese Option bei, auch wenn Sie hinzufügen
feinkörnige Kontrollen, damit Sie von den zusätzlichen kleinen Optimierungen profitieren, die es
ermöglicht.

Wenn Sie über eine anständige Breitband- oder Ethernet-Verbindung verfügen, würde ich es immer empfehlen
mit automatisierten -T4. Manche Leute lieben -T5 obwohl es für meinen geschmack zu aggressiv ist. Menschen
manchmal angeben -T2 weil sie denken, dass es weniger wahrscheinlich ist, dass Hosts abstürzen oder weil
Sie halten sich im Allgemeinen für höflich. Sie wissen oft nicht wie
langsam -T höflich. ist wirklich. Ihr Scan kann zehnmal länger dauern als ein Standardscan.
Maschinenabstürze und Bandbreitenprobleme sind bei den Standard-Timing-Optionen (-T3)
und daher empfehle ich das normalerweise für vorsichtige Scanner. Das Weglassen der Versionserkennung ist
weitaus effektiver, als mit Timing-Werten zu spielen, um diese Probleme zu reduzieren.

Während -T0. und -T1. können nützlich sein, um IDS-Warnungen zu vermeiden, sie werden eine
außergewöhnlich lange Zeit, um Tausende von Maschinen oder Ports zu scannen. So lange
scannen, können Sie es vorziehen, die genauen Timing-Werte einzustellen, die Sie benötigen, anstatt sich auf die
Konserven -T0 und -T1 Werte.

Die wichtigsten Auswirkungen von T0 den Scan serialisieren, sodass jeweils nur ein Port gescannt wird,
und Warten von fünf Minuten zwischen dem Senden jeder Sonde. T1 und T2 sind ähnlich aber sie
warten Sie nur 15 Sekunden bzw. 0.4 Sekunden zwischen den Sonden. T3. ist Nmaps
Standardverhalten, das Parallelisierung umfasst. -T4 ist das Äquivalent von
--max-rtt-timeout 1250ms --min-rtt-timeout 100ms --initial-rtt-timeout 500ms
--max-Wiederholungen 6 und setzt die maximale TCP-Scanverzögerung auf 10 Millisekunden. T5 macht die
Äquivalent von --max-rtt-timeout 300ms --min-rtt-timeout 50ms --initial-rtt-timeout
250ms --max-Wiederholungen 2 --host-timeout 15+ sowie die Einstellung der maximalen TCP-Scanverzögerung
auf 5 ms.

Firewall/IDS EVASION UND SPOOFEN

Viele Internet-Pioniere stellten sich ein globales offenes Netzwerk mit einem universellen IP-Adressraum vor
Ermöglichen virtueller Verbindungen zwischen zwei beliebigen Knoten. Dies ermöglicht es Gastgebern, sich als wahr zu verhalten
Peers, die gegenseitig Informationen bereitstellen und abrufen. Die Leute könnten auf alle zugreifen
ihre Heimsysteme von der Arbeit aus, die Klimaeinstellungen ändern oder die Türen entriegeln
für frühe Gäste. Diese Vision der universellen Konnektivität wurde durch den Adressraum erstickt
Engpässe und Sicherheitsbedenken. In den frühen 1990er Jahren begannen Organisationen mit der Bereitstellung von
Firewalls mit dem ausdrücklichen Zweck, die Konnektivität zu reduzieren. Riesige Netze wurden abgesperrt
aus dem ungefilterten Internet durch Anwendungs-Proxys, Netzwerkadressübersetzung und
Paketfilter. Der uneingeschränkte Informationsfluss wich einer strengen Regulierung der
freigegebene Kommunikationskanäle und die Inhalte, die diese durchlaufen.

Netzwerkhindernisse wie Firewalls können die Zuordnung eines Netzwerks äußerst schwierig machen.
Es wird nicht einfacher, da die Erstickung der zufälligen Aufklärung oft ein wichtiges Ziel von . ist
die Geräte umsetzen. Nichtsdestotrotz bietet Nmap viele Funktionen, um diese zu verstehen
komplexen Netzwerken und um zu überprüfen, ob die Filter wie vorgesehen funktionieren. Es unterstützt sogar
Mechanismen zur Umgehung schlecht implementierter Abwehrmaßnahmen. Eine der besten Methoden zur
Wenn Sie Ihre Netzwerksicherheit verstehen, müssen Sie versuchen, sie zu überwinden. Versetze dich in die
Denkweise eines Angreifers und setzen Sie Techniken aus diesem Abschnitt gegen Ihre Netzwerke ein.
Starten Sie einen FTP-Bounce-Scan, Idle-Scan, Fragmentierungsangriff oder versuchen Sie, einen Tunnel zu durchsuchen
Ihrer eigenen Stellvertreter.

Neben der Einschränkung der Netzwerkaktivität überwachen Unternehmen zunehmend den Datenverkehr
mit Intrusion Detection Systemen (IDS). Alle wichtigen IDSs werden mit Regeln ausgeliefert, die so konzipiert sind, dass sie
erkennen Nmap-Scans, da Scans manchmal eine Vorstufe von Angriffen sind. Viele von diesen
Produkte haben sich vor kurzem in Intrusion verwandelt Vorbeugung Systeme (IPS). das aktiv
als bösartig eingestuften Datenverkehr blockieren. Leider für Netzwerkadministratoren und IDS-Anbieter,
Das zuverlässige Erkennen von bösen Absichten durch die Analyse von Paketdaten ist ein schwieriges Problem. Angreifer
mit Geduld, Geschick und der Hilfe bestimmter Nmap-Optionen können IDSs in der Regel passieren
unentdeckt. In der Zwischenzeit müssen Administratoren mit einer großen Anzahl von falsch positiven Ergebnissen umgehen
Ergebnisse, bei denen unschuldige Aktivitäten falsch diagnostiziert und gewarnt oder blockiert werden.

Gelegentlich schlagen Leute vor, dass Nmap keine Funktionen zum Umgehen von Firewall-Regeln anbieten sollte
oder an IDS vorbeischleichen. Sie argumentieren, dass diese Funktionen genauso wahrscheinlich von
Angreifer, wie sie von Administratoren verwendet werden, um die Sicherheit zu erhöhen. Das Problem mit dieser Logik ist
dass diese Methoden immer noch von Angreifern verwendet würden, die nur andere Tools finden würden oder
Patchen Sie die Funktionalität in Nmap. In der Zwischenzeit würden Administratoren es so finden
schwerer, ihre Arbeit zu erledigen. Die Bereitstellung nur moderner, gepatchter FTP-Server ist weitaus leistungsfähiger
Verteidigung, als zu versuchen, die Verbreitung von Tools zu verhindern, die den FTP-Bounce implementieren
Attacke.

Es gibt keine magische Kugel (oder Nmap-Option) zum Erkennen und Untergraben von Firewalls und IDS
Systeme. Es braucht Geschick und Erfahrung. Ein Tutorial würde den Rahmen dieser Referenz sprengen
Guide, der nur die relevanten Optionen auflistet und deren Funktionsweise beschreibt.

-f (Fragmentpakete); --mtu (unter Verwendung der angegebenen MTU) .
Der -f Option bewirkt, dass der angeforderte Scan (einschließlich Ping-Scans) winzige fragmentierte verwendet
IP-Pakete. Die Idee ist, den TCP-Header auf mehrere Pakete aufzuteilen, um ihn zu erstellen
schwieriger für Paketfilter, Intrusion Detection-Systeme und andere Ärgernisse zu erkennen
was machst du. Seien Sie dabei vorsichtig! Einige Programme haben Probleme damit, diese zu handhaben
winzige Päckchen. Der Sniffer der alten Schule namens Sniffit-Segmentierung hat sofort einen Fehler gemacht
nach Erhalt des ersten Fragments. Geben Sie diese Option einmal an, und Nmap teilt die
Pakete in acht Bytes oder weniger nach dem IP-Header. Ein 20-Byte-TCP-Header wäre also
in drei Pakete aufteilen. Zwei mit acht Byte des TCP-Headers und einer mit dem
letzten vier. Natürlich hat jedes Fragment auch einen IP-Header. Angeben -f wieder 16 . verwenden
Bytes pro Fragment (Verringerung der Anzahl der Fragmente).. Oder Sie können Ihre eigenen angeben
Offset-Größe mit dem --mtu Möglichkeit. Nicht auch angeben -f wenn du benutzt --mtu. Der Versatz
muss ein Vielfaches von acht sein. Während fragmentierte Pakete nicht durch Paketfilter gelangen und
Firewalls, die alle IP-Fragmente in eine Warteschlange stellen, wie z CONFIG_IP_ALWAYS_DEFRAG Option in
dem Linux-Kernel können sich einige Netzwerke die dadurch verursachte Leistungseinbuße nicht leisten und somit
lassen Sie es deaktiviert. Andere können dies nicht aktivieren, da Fragmente möglicherweise anders dauern
Routen in ihre Netze. Einige Quellsysteme defragmentieren ausgehende Pakete im
Kernel. Linux mit den iptables. Das Verbindungsverfolgungsmodul ist ein solches Beispiel. Mach ein
scannen, während ein Sniffer wie Wireshark. läuft, um sicherzustellen, dass gesendete Pakete
fragmentiert. Wenn Ihr Host-Betriebssystem Probleme verursacht, versuchen Sie es mit der --sende-eth. Möglichkeit zu umgehen
die IP-Schicht und senden Sie rohe Ethernet-Frames.

Die Fragmentierung wird nur für die Raw-Packet-Features von Nmap unterstützt, zu denen TCP und
UDP-Port-Scans (außer Connect-Scan und FTP-Bounce-Scan) und Betriebssystemerkennung. Merkmale
wie Versionserkennung und die Nmap Scripting Engine werden im Allgemeinen nicht unterstützt
Fragmentierung, weil sie auf den TCP-Stack Ihres Hosts angewiesen sind, um mit dem Ziel zu kommunizieren
Dienstleistungen.

-D decoy1[,decoy2][,MICH][,...] (Verhüllen Sie einen Scan mit Ködern) .
Veranlasst die Ausführung eines Lockvogel-Scans, der dem Remote-Host den Anschein erweckt, dass die
Hosts, die Sie als Köder angeben, scannen auch das Zielnetzwerk. Damit ihr IDS
können 5–10 Port-Scans von eindeutigen IP-Adressen melden, aber sie wissen nicht, welche IP
sie scannte und die unschuldige Lockvögel waren. Dies kann zwar besiegt werden durch
Router-Pfadverfolgung, Response-Drop und andere aktive Mechanismen sind im Allgemeinen
eine effektive Technik zum Verbergen Ihrer IP-Adresse.

Trennen Sie jeden Lockvogel-Host durch Kommas, und Sie können optional ME verwenden. als einer der
Köder, um die Position für Ihre echte IP-Adresse darzustellen. Wenn du MICH in die sechste steckst
Position oder höher, einige gängige Port-Scan-Detektoren (wie Solar Designers.
ausgezeichnetes Scanlogd). Es ist unwahrscheinlich, dass Ihre IP-Adresse überhaupt angezeigt wird. Wenn Sie nicht verwenden
ME, Nmap bringt Sie in eine zufällige Position. Sie können auch RND verwenden. a . erzeugen
zufällige, nicht reservierte IP-Adresse oder RND:Anzahl generieren Anzahl Adressen.

Beachten Sie, dass die Hosts, die Sie als Köder verwenden, aktiv sein sollten, da Sie sonst versehentlich SYN-Fluten
Ihre Ziele. Außerdem ist es ziemlich einfach zu bestimmen, welcher Host gerade scannt
Einer ist tatsächlich im Netzwerk. Vielleicht möchten Sie IP-Adressen anstelle von Namen verwenden
(damit die Ködernetzwerke Sie nicht in ihren Nameserver-Logs sehen).

Köder werden sowohl beim anfänglichen Ping-Scan (mit ICMP, SYN, ACK oder was auch immer) verwendet und
während der eigentlichen Port-Scanning-Phase. Köder werden auch während der Remote-Betriebssystemerkennung verwendet
(-O). Köder funktionieren nicht mit Versionserkennung oder TCP-Connect-Scan. Wenn eine Scanverzögerung
wirksam ist, wird die Verzögerung zwischen jedem Stapel gefälschter Sonden erzwungen, nicht zwischen
jede einzelne Sonde. Da Köder als Stapel auf einmal verschickt werden, können sie
Überlastungsbegrenzungen vorübergehend verletzen.

Es ist erwähnenswert, dass die Verwendung von zu vielen Ködern Ihren Scan verlangsamen und möglicherweise sogar
machen es weniger genau. Außerdem filtern einige ISPs Ihre gefälschten Pakete heraus, aber viele
schränken Sie gefälschte IP-Pakete überhaupt nicht ein.

-S IP Adresse (Spoof-Quelladresse) .
Unter Umständen kann Nmap Ihre Quelladresse nicht ermitteln (Nmap
wird Ihnen sagen, ob dies der Fall ist). Verwenden Sie in dieser Situation -S mit der IP-Adresse von
die Schnittstelle, über die Sie Pakete senden möchten.

Eine andere mögliche Verwendung dieses Flags besteht darin, den Scan zu fälschen, um die Ziele denken zu lassen, dass
jemand sonst scannt sie. Stellen Sie sich vor, ein Unternehmen wird wiederholt von einem Port gescannt
Wettbewerber! Der -e Option und -PN sind in der Regel für diese Art der Verwendung erforderlich. Notiz
dass Sie normalerweise keine Antwortpakete zurückerhalten (sie werden an die IP-Adresse adressiert)
Sie fälschen), sodass Nmap keine nützlichen Berichte erstellt.

-e Schnittstelle (Angegebene Schnittstelle verwenden) .
Teilt Nmap mit, auf welcher Schnittstelle Pakete gesendet und empfangen werden sollen. Nmap sollte in der Lage sein
erkennt dies automatisch, aber es wird Ihnen mitteilen, wenn dies nicht möglich ist.

--source-port Port-Nummer; -g Port-Nummer (Spoof-Quellportnummer) .
Eine überraschend häufige Fehlkonfiguration besteht darin, dem Datenverkehr nur auf der Grundlage der Quelle zu vertrauen
Port-Nummer. Es ist leicht zu verstehen, wie es dazu kommt. Ein Administrator wird festlegen
eine glänzende neue Firewall einrichten, nur um mit Beschwerden von undankbaren Benutzern überflutet zu werden
deren Anwendungen nicht mehr funktionieren. Insbesondere kann DNS defekt sein, weil die UDP
DNS-Antworten von externen Servern können nicht mehr ins Netzwerk gelangen. FTP ist etwas anderes
gängiges Beispiel. Bei aktiven FTP-Übertragungen versucht der Remote-Server, eine
Verbindung zurück zum Client, um die angeforderte Datei zu übertragen.

Für diese Probleme gibt es sichere Lösungen, oft in Form von Anwendungsebenen
Proxys oder Firewall-Module zur Protokollanalyse. Leider gibt es auch einfachere,
unsichere Lösungen. Beachten Sie, dass DNS-Antworten von Port 53 kommen und aktives FTP von Port
20 sind viele Administratoren in die Falle getappt, eingehenden Datenverkehr einfach zuzulassen
von diesen Häfen. Sie gehen oft davon aus, dass kein Angreifer dies bemerken und ausnutzen würde
Firewall-Löcher. In anderen Fällen betrachten Administratoren dies als kurzfristige Überbrückung
bis sie eine sicherere Lösung implementieren können. Dann vergessen sie die Sicherheit
Aktualisierung.

Nicht nur überarbeitete Netzwerkadministratoren tappen in diese Falle.
Zahlreiche Produkte wurden mit diesen unsicheren Regeln ausgeliefert. Sogar Microsoft war
schuldig. Die mit Windows 2000 und Windows XP ausgelieferten IPsec-Filter enthalten eine
implizite Regel, die den gesamten TCP- oder UDP-Datenverkehr von Port 88 (Kerberos) zulässt. In einem anderen
bekannter Fall, Versionen der Zone Alarm Personal Firewall bis 2.1.25 erlaubten alle
eingehende UDP-Pakete mit dem Quellport 53 (DNS) oder 67 (DHCP).

Nmap bietet die -g und --source-port Optionen (sie sind gleichwertig), um diese auszunutzen
Schwächen. Geben Sie einfach eine Portnummer an und Nmap sendet Pakete von diesem Port
wo möglich. Die meisten Scanvorgänge, die Raw-Sockets verwenden, einschließlich SYN und UDP
Scans, die Option vollständig unterstützen. Die Option hat insbesondere keine Wirkung für
alle Operationen, die normale Betriebssystem-Sockets verwenden, einschließlich DNS-Anfragen, TCP
connect Scan,. Versionserkennung und Skriptscannen. Einstellen des Quellports auch
funktioniert nicht für die OS-Erkennung, da Nmap unterschiedliche Portnummern verwenden muss für
bestimmte OS-Erkennungstests ordnungsgemäß funktionieren.

--Daten hex Schnur (Benutzerdefinierte Binärdaten an gesendete Pakete anhängen) .
Mit dieser Option können Sie Binärdaten als Nutzdaten in gesendete Pakete einschließen. hex Schnur Mai
in einem der folgenden Formate angegeben werden: 0xAABBCCDDEEFF..., AABBCCDDEEFF... or
\xAA\xBB\xCC\xDD\xEE\xFF.... Anwendungsbeispiele sind --Daten 0xtotes Rindfleisch und --Daten
\xCA\xFE\x09. Beachten Sie, dass bei Angabe einer Zahl wie 0x00ff keine Konvertierung der Byte-Reihenfolge erfolgt
ist durchgeführt. Stellen Sie sicher, dass Sie die Informationen in der Byte-Reihenfolge angeben, die vom . erwartet wird
Empfänger.

--Datenzeichenfolge Schnur (Benutzerdefinierte Zeichenfolge an gesendete Pakete anhängen) .
Mit dieser Option können Sie eine reguläre Zeichenfolge als Nutzlast in gesendete Pakete einfügen. Schnur können.
eine beliebige Zeichenfolge enthalten. Beachten Sie jedoch, dass einige Zeichen von Ihrem System abhängen können
locale und der Empfänger sehen möglicherweise nicht die gleichen Informationen. Stellen Sie außerdem sicher, dass Sie beilegen
die Zeichenfolge in doppelte Anführungszeichen und maskieren alle Sonderzeichen aus der Shell.
Beispiele: --Datenzeichenfolge "Scan durchgeführt by Sicherheit Hoppla, Erweiterung 7192" or
--Datenzeichenfolge "Ph34r my l33t Fähigkeiten". Denken Sie daran, dass dies wahrscheinlich niemand tun wird
Sehen Sie sich alle Kommentare an, die von dieser Option hinterlassen werden, es sei denn, sie überwachen das Netzwerk sorgfältig.
mit einem Sniffer oder benutzerdefinierten IDS-Regeln.

--Datenlänge Anzahl (Zufällige Daten an gesendete Pakete anhängen) .
Normalerweise sendet Nmap minimalistische Pakete, die nur einen Header enthalten. Also seine TCP-Pakete
sind im Allgemeinen 40 Bytes und ICMP-Echoanforderungen sind nur 28. Einige UDP-Ports. und IP
Protokolle. erhalten Sie standardmäßig eine benutzerdefinierte Nutzlast. Diese Option weist Nmap an, die anzuhängen
den meisten gesendeten Paketen eine Anzahl von zufälligen Bytes gegeben und keine verwendet werden
protokollspezifische Nutzlasten. (Benutzen --Datenlänge 0 für kein zufälliges oder protokollspezifisches
Nutzlasten.. OS-Erkennung (-O) Pakete sind nicht betroffen. weil Genauigkeit da
erfordert Prüfkonsistenz, aber die meisten Ping- und Portscan-Pakete unterstützen dies. Es
verlangsamt die Dinge ein wenig, kann aber einen Scan etwas weniger auffällig machen.

--ip-optionen S|R [Route]|L [Route]|T|U ... ; --ip-optionen hex Schnur (Pakete senden mit
angegebene IP-Optionen) .
Der IP Protokoll[13] bietet mehrere Optionen, die in Paket-Headern platziert werden können.
Im Gegensatz zu den allgegenwärtigen TCP-Optionen werden IP-Optionen aus praktischen Gründen selten gesehen und
Sicherheitsbedenken. Tatsächlich blockieren viele Internetrouter die gefährlichsten Optionen
wie Source-Routing. Dennoch können Optionen in einigen Fällen dennoch nützlich sein, um zu bestimmen
und Manipulieren der Netzwerkroute zu Zielmaschinen. Beispielsweise können Sie
Verwenden Sie die Option Route aufzeichnen, um einen Pfad zu einem Ziel zu bestimmen, auch wenn es eher traditionell ist
Ansätze im Traceroute-Stil schlagen fehl. Oder wenn Ihre Pakete von einem bestimmten verworfen werden
Firewall können Sie möglicherweise eine andere Route mit der strikten oder losen Quelle angeben
Routing-Optionen.

Die leistungsstärkste Methode zum Angeben von IP-Optionen besteht darin, einfach Werte als
Argument zwei --ip-optionen. Stellen Sie jeder Hexzahl ein \x voran, dann die beiden Ziffern. Sie können
Wiederholen Sie bestimmte Zeichen, indem Sie ihnen mit einem Sternchen folgen und dann die Anzahl der
Mal, wenn Sie möchten, dass sie sich wiederholen. Zum Beispiel ist \x01\x07\x04\x00*36\x01 ein Hex-String
mit 36 ​​NUL-Bytes.

Nmap bietet auch einen Shortcut-Mechanismus zum Angeben von Optionen. Brief einfach weitergeben
R, T oder U, um die Route aufzuzeichnen. Rekordzeitstempel,. oder beide Optionen zusammen,
bzw. Lockeres oder striktes Source-Routing. kann mit einem L oder S . angegeben werden
gefolgt von einem Leerzeichen und einer durch Leerzeichen getrennten Liste von IP-Adressen.

Wenn Sie die Optionen in gesendeten und empfangenen Paketen sehen möchten, geben Sie --packet-trace.
Weitere Informationen und Beispiele zur Verwendung von IP-Optionen mit Nmap finden Sie unter
http://seclists.org/nmap-dev/2006/q3/52.

--ttl Wert (IP-Time-to-Live-Feld einstellen) .
Setzt das IPv4-Time-to-Live-Feld in gesendeten Paketen auf den angegebenen Wert.

--randomize-hosts (Zufällige Reihenfolge des Zielhosts) .
Weist Nmap an, jede Gruppe von bis zu 16384 Hosts zu mischen, bevor es sie scannt. Das kann
Machen Sie die Scans für verschiedene Netzwerküberwachungssysteme weniger offensichtlich, insbesondere wenn Sie
Kombinieren Sie es mit langsamen Timing-Optionen. Wenn Sie über größere Gruppengrößen randomisieren möchten,
Energie PING_GROUP_SZ. in nmap.h. und neu kompilieren. Eine alternative Lösung ist zu
Generieren Sie die Ziel-IP-Liste mit einem Listen-Scan (-SCH -n -An Dateinamen), randomisiere es mit
ein Perl-Skript, dann geben Sie die ganze Liste an Nmap mit -iL..

--spoof-mac MAC Adresse, Präfix, or Verkäufer Name (Spoof-MAC-Adresse) .
Fordert Nmap auf, die angegebene MAC-Adresse für alle gesendeten Raw-Ethernet-Frames zu verwenden.
Diese Option impliziert --sende-eth. um sicherzustellen, dass Nmap tatsächlich Ethernet-Level sendet
Pakete. Der angegebene MAC kann mehrere Formate annehmen. Wenn es einfach die Zahl 0 ist, ist Nmap
wählt eine völlig zufällige MAC-Adresse für die Sitzung. Wenn die angegebene Zeichenfolge ein ist
gerade Anzahl von Hex-Ziffern (wobei die Paare optional durch einen Doppelpunkt getrennt sind), wird Nmap
Verwenden Sie diese als MAC. Wenn weniger als 12 Hex-Ziffern angegeben werden, füllt Nmap das
Rest der sechs Bytes mit Zufallswerten. Wenn das Argument keine Null oder Hex ist
string, Nmap durchsucht die nmap-mac-Präfixe, um einen Herstellernamen zu finden, der die
gegebene Zeichenfolge (Groß-/Kleinschreibung wird nicht beachtet). Wenn eine Übereinstimmung gefunden wird, verwendet Nmap die OUI des Anbieters
(Drei-Byte-Präfix). und füllt die restlichen drei Bytes nach dem Zufallsprinzip aus. Gültig
--spoof-mac Argumentbeispiele sind Apple, 0, 01:02:03:04:05:06, deadbeefcafe, 0020F2,
und Cisco. Diese Option betrifft nur Rohpaket-Scans wie SYN-Scan oder OS-Erkennung.
nicht verbindungsorientierte Features wie Versionserkennung oder das Nmap Scripting
Motor.

--Proxys Komma getrennt Liste of Stellvertreter URLs (Relay TCP-Verbindungen über eine Kette von
Stellvertreter).
Fordert Nmap auf, TCP-Verbindungen mit einem endgültigen Ziel über die bereitgestellte Kette von . aufzubauen
einen oder mehrere HTTP- oder SOCKS4-Proxys. Proxys können helfen, die wahre Quelle eines Scans zu verbergen oder
bestimmte Firewall-Einschränkungen umgehen, aber sie können die Scan-Leistung beeinträchtigen, indem sie
steigende Latenz. Benutzer müssen möglicherweise Nmap-Timeouts und andere Scan-Parameter anpassen
entsprechend. Insbesondere ein niedrigerer --max-Parallelismus kann helfen, weil einige Proxys
weigern Sie sich, so viele gleichzeitige Verbindungen zu verarbeiten, wie Nmap standardmäßig öffnet.

Diese Option verwendet eine Liste von Proxys als Argument, ausgedrückt als URLs im Format
proto://host:port. Verwenden Sie Kommas, um Knoten-URLs in einer Kette zu trennen. Keine Authentifizierung ist
noch unterstützt. Gültige Protokolle sind HTTP und SOCKS4.

Achtung: Diese Funktion befindet sich noch in der Entwicklung und hat Einschränkungen. es ist
innerhalb der nsock-Bibliothek implementiert und hat somit keinen Einfluss auf den Ping, Port-Scanning
und OS-Erkennungsphasen eines Scans. Nur NSE und Versionsscan profitieren von dieser Option
bisher – andere Funktionen können Ihre wahre Adresse offenbaren. SSL-Verbindungen sind noch nicht vorhanden
unterstützt, ebensowenig die proxyseitige DNS-Auflösung (Hostnamen werden immer von Nmap aufgelöst).

--badsum (Pakete mit gefälschten TCP/UDP-Prüfsummen senden) .
Fordert Nmap auf, eine ungültige TCP-, UDP- oder SCTP-Prüfsumme für an das Ziel gesendete Pakete zu verwenden
Gastgeber. Da praktisch alle Host-IP-Stacks diese Pakete ordnungsgemäß verwerfen, werden alle Antworten
empfangen werden, stammen wahrscheinlich von einer Firewall oder einem IDS, das sich nicht die Mühe gemacht hat, die
Prüfsumme. Weitere Informationen zu dieser Technik finden Sie unter https://nmap.org/p60-12.html

--adler32 (Verwenden Sie für SCTP-Prüfsummen das veraltete Adler32 anstelle von CRC32C).
Fordert Nmap auf, den veralteten Adler32-Algorithmus zum Berechnen der SCTP-Prüfsumme zu verwenden.
If --adler32 nicht gegeben ist, wird CRC-32C (Castagnoli) verwendet. RFC 2960[14] ursprünglich
definiert Adler32 als Prüfsummenalgorithmus für SCTP; RFC 4960[7] später das SCTP neu definiert
Prüfsummen, um CRC-32C zu verwenden. Aktuelle SCTP-Implementierungen sollten CRC-32C verwenden, aber in
um Antworten von alten, veralteten SCTP-Implementierungen zu erhalten, ist dies möglicherweise vorzuziehen
Adler32 zu verwenden.

AUSGABE

Jedes Sicherheitstool ist nur so nützlich wie die Ausgabe, die es generiert. Komplexe Tests und
Algorithmen sind von geringem Wert, wenn sie nicht organisiert und verständlich präsentiert werden
Mode. Angesichts der vielen Möglichkeiten, wie Nmap von Menschen und anderer Software verwendet wird, gibt es keine einzige
Format kann jedem gefallen. Nmap bietet also mehrere Formate, einschließlich des interaktiven Modus
für Menschen zum direkten Lesen und XML für einfaches Parsen durch Software.

Neben verschiedenen Ausgabeformaten bietet Nmap Optionen zur Steuerung
die Ausführlichkeit der Ausgabe sowie Debugging-Meldungen. Ausgabetypen können gesendet werden an
Standardausgabe oder in benannte Dateien, die Nmap anhängen oder überlagern kann. Ausgabedateien können
auch verwendet werden, um abgebrochene Scans fortzusetzen.

Nmap stellt die Ausgabe in fünf verschiedenen Formaten zur Verfügung. Die Voreinstellung heißt interaktiv
Ausgang,. und es wird an die Standardausgabe (stdout) gesendet. Es gibt auch eine normale Ausgabe.
was dem interaktiven ähnlich ist, außer dass es weniger Laufzeitinformationen anzeigt und
Warnungen, da erwartet wird, dass sie nach Abschluss des Scans analysiert werden, anstatt
interaktiv.

XML-Ausgabe. ist einer der wichtigsten Ausgabetypen, da er in HTML konvertiert werden kann,
leicht von Programmen wie den grafischen Benutzeroberflächen von Nmap geparst oder in
Datenbanken.

Die beiden verbleibenden Ausgabetypen sind die einfache Grepable-Ausgabe. das beinhaltet die meisten
Informationen für einen Zielhost in einer einzigen Zeile und sCRiPt KiDDi3 0utPUt. für Benutzer, die
betrachten sich selbst |<-r4d.

Während die interaktive Ausgabe die Standardeinstellung ist und keine zugehörigen Befehlszeilenoptionen hat, ist die
die anderen vier Formatoptionen verwenden dieselbe Syntax. Sie nehmen ein Argument, nämlich das
Dateiname, in dem die Ergebnisse gespeichert werden sollen. Es können mehrere Formate angegeben werden, aber jedes
Format darf nur einmal angegeben werden. Sie möchten beispielsweise die normale Ausgabe für
Ihre eigene Überprüfung, während Sie XML desselben Scans für die programmatische Analyse speichern. Du könntest tun
das mit den optionen -Ochse myscan.xml -An myscan.nmap. Während in diesem Kapitel die einfachen
Namen wie myscan.xml der Kürze halber, aussagekräftigere Namen werden im Allgemeinen empfohlen. Der
Die gewählten Namen sind eine Frage der persönlichen Vorlieben, obwohl ich lange verwende, die enthalten
das Scandatum und ein oder zwei Wörter, die den Scan beschreiben, in einem Verzeichnis mit dem Namen
Firma, die ich scanne.

Während diese Optionen Ergebnisse in Dateien speichern, druckt Nmap immer noch die interaktive Ausgabe auf stdout
wie gewöhnlich. Zum Beispiel der Befehl nmap -Ochse myscan.xml Ziel druckt XML in myscan.xml und
füllt die Standardausgabe mit denselben interaktiven Ergebnissen, die sie gedruckt hätte, wenn -Ochse
war gar nicht angegeben. Sie können dies ändern, indem Sie als Argument einen Bindestrich übergeben
zu einem der Formattypen. Dies führt dazu, dass Nmap die interaktive Ausgabe deaktiviert und stattdessen
Drucken Sie die Ergebnisse in dem von Ihnen angegebenen Format in den Standardausgabestrom. Also der Befehl
nmap -Ochse - Ziel sendet nur die XML-Ausgabe an stdout. Es können immer noch schwerwiegende Fehler auftreten
in den normalen Fehlerstrom, stderr.. gedruckt.

Im Gegensatz zu einigen Nmap-Argumenten ist der Leerraum zwischen dem Protokolldatei-Optionsflag (wie z -Ochse) und
der Dateiname oder Bindestrich ist obligatorisch. Wenn Sie die Flags weglassen und Argumente wie -oG-
or -oXscan.xml, führt eine Abwärtskompatibilitätsfunktion von Nmap zur Erstellung von
normal Format Ausgabedateien namens G- bzw. Xscan.xml.

Alle diese Argumente unterstützen strftime-mögen. Konvertierungen im Dateinamen. %H, %M, %S,
%m, %d, %y und %Y sind alle genau gleich wie in strftime. %T ist gleich %H%M%S, %R
ist gleich %H%M und %D ist gleich %m%d%y. Ein % gefolgt von einem anderen Zeichen
ergibt nur dieses Zeichen (%% gibt Ihnen ein Prozentsymbol). So -Ochse 'scan-%T-%D.xml' werden wir
Verwenden Sie eine XML-Datei mit einem Namen in der Form scan-144840-121307.xml.

Nmap bietet auch Optionen, um die Ausführlichkeit des Scans zu kontrollieren und eher an Ausgabedateien anzuhängen
als sie zu verprügeln. Alle diese Optionen werden im Folgenden beschrieben.

Nmap Ausgang Formate

-An Dateispezifikation (normale Ausgabe) .
Fordert an, dass die normale Ausgabe an den angegebenen Dateinamen geleitet wird. Wie oben besprochen,
dies unterscheidet sich geringfügig von der interaktiven Ausgabe.

-Ochse Dateispezifikation (XML-Ausgabe) .
Fordert an, dass die XML-Ausgabe an den angegebenen Dateinamen geleitet wird. Nmap enthält ein Dokument
Typdefinition (DTD), die es XML-Parsern ermöglicht, die Nmap-XML-Ausgabe zu validieren. Während es
ist in erster Linie für den programmatischen Gebrauch gedacht, es kann auch Menschen helfen, Nmap XML zu interpretieren
Ausgang. Die DTD definiert die rechtlichen Elemente des Formats und zählt häufig die
Attribute und Werte, die sie annehmen können. Die neueste Version ist immer verfügbar unter
https://svn.nmap.org/nmap/docs/nmap.dtd.

XML bietet ein stabiles Format, das von Software leicht geparst werden kann. Kostenlose XML-Parser sind
für alle gängigen Computersprachen verfügbar, einschließlich C/C++, Perl, Python und Java.
Die Leute haben sogar Bindungen für die meisten dieser Sprachen geschrieben, um die Nmap-Ausgabe zu verarbeiten
und Ausführung konkret. Beispiele sind Nmap::Scanner[15]. und Nmap::Parser[16]. In
Perl-CPAN. In fast allen Fällen, in denen eine nicht-triviale Anwendung mit Nmap interagiert,
XML ist das bevorzugte Format.

Die XML-Ausgabe verweist auf ein XSL-Stylesheet, mit dem die Ergebnisse formatiert werden können als
HTML-Code. Am einfachsten lässt sich dies nutzen, indem Sie einfach die XML-Ausgabe in einen Webbrowser laden
wie Firefox oder IE. Standardmäßig funktioniert dies nur auf dem Computer, auf dem Sie Nmap ausgeführt haben
(oder eine ähnlich konfigurierte) aufgrund des hartcodierten nmap.xsl-Dateisystempfads. Benutzen
--webxml or - Stylesheet Optionen zum Erstellen portabler XML-Dateien, die als HTML gerendert werden
auf jedem mit dem Internet verbundenen Computer.

-oS Dateispezifikation (ScRipT KIdd|3 AUSGABE) .
Die Skript-Kiddie-Ausgabe ist wie die interaktive Ausgabe, außer dass sie nachbearbeitet wird, um
passt besser zum l33t HaXXorZ, der aufgrund seiner Beständigkeit zuvor auf Nmap herabgeschaut hat
Groß- und Kleinschreibung. Menschen mit Humorbeeinträchtigung sollten beachten, dass diese Option
Ich mache mich über die Skript-Kiddies lustig, bevor ich mich dafür tadele, dass ich ihnen angeblich „helfen“ soll.

-oG Dateispezifikation (Grepable Ausgabe) .
Dieses Ausgabeformat wird zuletzt behandelt, da es veraltet ist. Das XML-Ausgabeformat ist
viel leistungsfähiger und für erfahrene Benutzer fast genauso praktisch. XML ist ein
Standard, für den Dutzende von exzellenten Parsern verfügbar sind, während eine greifbare Ausgabe ist
mein eigener einfacher Hack. XML ist erweiterbar, um neue Nmap-Funktionen unverändert zu unterstützen
veröffentlicht, während ich diese Funktionen oft aus Mangel an einer grepable Ausgabe weglassen muss
Ort, um sie zu platzieren.

Trotzdem ist die greifbare Ausgabe immer noch sehr beliebt. Es ist ein einfaches Format, das auflistet
jeder Host in einer Zeile und kann trivial mit Standard-Unix durchsucht und geparst werden
Tools wie grep, awk, cut, sed, diff und Perl. Sogar ich benutze es normalerweise für einmaliges
Tests, die auf der Befehlszeile durchgeführt werden. Alle Hosts mit offenem SSH-Port finden oder so
laufen Solaris braucht nur ein einfaches grep, um die Hosts zu identifizieren, die an ein awk weitergeleitet werden oder
cut-Befehl, um die gewünschten Felder zu drucken.

Grepable-Ausgabe besteht aus Kommentaren (Zeilen, die mit einem Pfund (#) beginnen). und Ziel
Linien. Eine Zielzeile enthält eine Kombination aus sechs beschrifteten Feldern, die durch Tabulatoren getrennt sind
und gefolgt von einem Doppelpunkt. Die Felder sind Host, Ports, Protokolle, Ignorierter Status, Betriebssystem,
Seq-Index, IP-ID und Status.

Das wichtigste dieser Felder ist im Allgemeinen Ports, das Details zu jedem enthält
interessanter Hafen. Es ist eine durch Kommas getrennte Liste von Porteinträgen. Jeder Porteintrag
stellt einen interessanten Port dar und hat die Form von sieben Schrägstrichen (/) getrennt
Unterfelder. Diese Unterfelder sind: Portnummer, State, Protocol, Owner, Service, SunRPC
info und Versionsinfo.

Wie bei der XML-Ausgabe ermöglicht diese Manpage nicht die Dokumentation des gesamten Formats. EIN
Ein genauerer Blick auf das grepable Ausgabeformat von Nmap ist erhältlich bei
https://nmap.org/book/output-formats-grepable-output.html.

-oA Basisname (Ausgabe in alle Formate) .
Der Einfachheit halber können Sie angeben -oA Basisname um Scan-Ergebnisse in normalem XML zu speichern,
und greifbare Formate auf einmal. Sie werden gespeichert in Basisname.nmap, Basisname.xml und
Basisname.gnmap bzw. Wie bei den meisten Programmen können Sie den Dateinamen ein voranstellen
ein Verzeichnispfad, wie zum Beispiel ~/nmaplogs/foocorp/ unter Unix oder c:\hacking\sco unter Windows.

Ausführlichkeit und Debugging Optionen

-v (Ausführlichkeitsstufe erhöhen) .
Erhöht die Ausführlichkeitsstufe, wodurch Nmap mehr Informationen über den Scan druckt
in Bearbeitung. Offene Ports werden so angezeigt, wie sie gefunden wurden, und die geschätzten Fertigstellungszeiten sind
bereitgestellt, wenn Nmap der Meinung ist, dass ein Scan länger als ein paar Minuten dauert. Verwenden Sie es zweimal oder
mehr für noch mehr Ausführlichkeit: -vv, oder geben Sie zum Beispiel direkt eine Ausführlichkeitsstufe an
-v3..

Die meisten Änderungen wirken sich nur auf die interaktive Ausgabe aus, einige auch auf Normal und Skript
Kinderausgabe. Die anderen Ausgabetypen sollen von Maschinen verarbeitet werden, also Nmap
kann in diesen Formaten standardmäßig wesentliche Details wiedergeben, ohne einen Menschen zu ermüden
Nutzer. Es gibt jedoch einige Änderungen in anderen Modi, bei denen die Ausgabegröße reduziert werden kann
im Wesentlichen durch Weglassen einiger Details. Zum Beispiel eine Kommentarzeile im Grepable
Ausgabe, die eine Liste aller gescannten Ports bereitstellt, wird nur im ausführlichen Modus ausgegeben
weil es ziemlich lang sein kann.

-d (Debugging-Level erhöhen) .
Wenn selbst der ausführliche Modus nicht genügend Daten für Sie bereitstellt, ist Debugging verfügbar
um dich mit viel mehr zu überfluten! Wie bei der Ausführlichkeitsoption (-v), Debugging ist aktiviert
mit einem Kommandozeilen-Flag (-d) und der Debug-Level kann durch Angabe erhöht werden
mehrmals,. wie in -dd, oder indem Sie direkt eine Stufe einstellen. Beispielsweise, -d9 Sets
Stufe neun. Das ist die höchste effektive Stufe und wird Tausende von Linien produzieren
es sei denn, Sie führen einen sehr einfachen Scan mit sehr wenigen Ports und Zielen durch.

Das Debuggen der Ausgabe ist nützlich, wenn ein Fehler in Nmap vermutet wird oder wenn Sie es einfach sind
verwirrt, was Nmap tut und warum. Da diese Funktion hauptsächlich für
Entwickler, Debug-Zeilen sind nicht immer selbsterklärend. Sie können etwas erhalten wie:
Timeout-Werte: srtt: -1 rttvar: -1 bis: 1000000 Delta 14987 ==> srtt: 14987 rttvar:
14987 bis: 100000. Wenn Sie eine Zeile nicht verstehen, können Sie nur ignorieren
es, schlagen Sie es im Quellcode nach oder fordern Sie Hilfe von der Entwicklungsliste an
(nmap-dev). Einige Zeilen sind selbsterklärend, aber die Meldungen werden undurchsichtiger als
der Debug-Level wird erhöht.

--Grund (Host- und Port-State-Gründe) .
Zeigt den Grund, warum jeder Port auf einen bestimmten Status eingestellt ist, und den Grund, warum jeder Host aktiv ist
oder unten. Diese Option zeigt den Typ des Pakets an, das einen Port oder Hosts bestimmt hat
Zustand. Zum Beispiel ein RST-Paket von einem geschlossenen Port oder eine Echoantwort von einem Alive
Gastgeber. Die Informationen, die Nmap bereitstellen kann, werden durch die Art des Scans oder Pings bestimmt. Der
SYN-Scan und SYN-Ping (-H.H und -PS) sind sehr detailliert, aber der TCP-Verbindungsscan (-NS)
wird durch die Implementierung der begrenzt connect Systemaufruf. Diese Funktion ist
automatisch durch die Debug-Option aktiviert (-d). und die Ergebnisse werden im XML-Protokoll gespeichert
Dateien, auch wenn diese Option nicht angegeben ist.

--stats-every Zeit (Regelmäßige Timing-Statistiken drucken) .
Druckt regelmäßig nach jedem Intervall von . eine Timing-Statusmeldung Zeit. Die Zeit ist a
Spezifikation der im Abschnitt „TIMING UND LEISTUNG“ beschriebenen Art; Also
zum Beispiel verwenden --stats-every 10er-Jahre um alle 10 Sekunden eine Statusaktualisierung zu erhalten. Aktualisierung
werden auf der interaktiven Ausgabe (dem Bildschirm) und der XML-Ausgabe ausgegeben.

--packet-trace (Gesendete und empfangene Pakete und Daten verfolgen) .
Veranlasst Nmap, eine Zusammenfassung jedes gesendeten oder empfangenen Pakets zu drucken. Dies wird oft verwendet
zum Debuggen, sondern ist auch eine wertvolle Möglichkeit für neue Benutzer, genau zu verstehen, was
Nmap tut es unter der Decke. Um zu vermeiden, dass Tausende von Zeilen gedruckt werden, können Sie
Geben Sie eine begrenzte Anzahl von zu scannenden Ports an, z - S. 20-30. Wenn es dir nur um die geht
Vorgänge des Versionserkennungs-Subsystems, verwenden --version-trace stattdessen. Wenn du nur
kümmern sich um die Skriptverfolgung, geben Sie an --script-trace. Mit --packet-trace, du bekommst alles
die oben.

--offen (Nur offene (oder möglicherweise offene) Ports anzeigen) .
Manchmal interessieren Sie sich nur für Ports, mit denen Sie sich tatsächlich verbinden können (offene) und nicht
wollen Ergebnisse, die mit geschlossenen, gefilterten und geschlossenen|gefilterten Ports überladen sind. Ausgabe
Die Anpassung erfolgt normalerweise nach dem Scan mit Tools wie grep, awk und Perl.
aber diese Funktion wurde aufgrund überwältigender Anfragen hinzugefügt. Angeben --offen nur zu sehen
Hosts mit mindestens einem offenen, offenen|gefilterten oder ungefilterten Port und sehen nur Ports in
diese Staaten. Diese drei Zustände werden so behandelt, wie sie normalerweise behandelt werden, das heißt
dass offen | gefiltert und ungefiltert zu Zählungen verdichtet werden können, wenn es eine gibt
überwältigende Anzahl von ihnen.

--iflist (Schnittstellen und Routen auflisten) .
Druckt die Schnittstellenliste und Systemrouten, wie sie von Nmap erkannt wurden. Dies ist nützlich für
Debuggen von Routing-Problemen oder Gerätefehlcharakterisierungen (wie Nmap, das eine PPP
Verbindung als Ethernet).

Weitere Anwendungsbereiche Möglichkeiten für das Ausgangssignal: Optionen

--append-output (Ausgabedateien eher anhängen als überschreiben) .
Wenn Sie einen Dateinamen für ein Ausgabeformat-Flag angeben, wie z -Ochse or -An, diese Datei ist
standardmäßig überschrieben. Wenn Sie es vorziehen, den vorhandenen Inhalt der Datei zu behalten und
fügen Sie die neuen Ergebnisse hinzu, geben Sie die an --append-output Möglichkeit. Alle Ausgabedateinamen
die in dieser Nmap-Ausführung angegeben ist, wird dann angehängt und nicht überschrieben. Dies
funktioniert nicht gut für XML (-Ochse) scannen Sie Daten, da die resultierende Datei im Allgemeinen nicht geparst wird
richtig, bis Sie es von Hand reparieren.

--Lebenslauf Dateinamen (Abgebrochenen Scan fortsetzen) .
Einige umfangreiche Nmap-Läufe dauern sehr lange – in der Größenordnung von Tagen. Solche Scans nicht
immer bis zum Ende laufen. Einschränkungen können verhindern, dass Nmap während der Arbeit ausgeführt wird
Stunden könnte das Netzwerk ausfallen, die Maschine, auf der Nmap läuft, könnte a
geplanter oder ungeplanter Neustart, oder Nmap selbst könnte abstürzen. Der Administrator läuft
Nmap kann es auch aus anderen Gründen abbrechen, indem Sie Strg-C drücken. Neustart des
Der gesamte Scan von Anfang an kann unerwünscht sein. Zum Glück, wenn normal (-Anoder
greifbar (-oG)-Protokolle aufbewahrt wurden, kann der Benutzer Nmap bitten, das Scannen mit dem fortzusetzen
Ziel, an dem es arbeitete, als die Ausführung eingestellt wurde. Einfach angeben --Lebenslauf Option und
Übergeben Sie die normale/grepable Ausgabedatei als Argument. Keine anderen Argumente sind
zulässig, da Nmap die Ausgabedatei parst, um dieselben zuvor angegebenen zu verwenden.
Rufen Sie einfach Nmap auf als nmap --Lebenslauf Logdateiname. Nmap wird neue Ergebnisse an das anhängen
Datendateien, die in der vorherigen Ausführung angegeben wurden. Die Wiederaufnahme unterstützt kein XML
Ausgabeformat, da die Kombination der beiden Läufe in einer gültigen XML-Datei . wäre
schwer.

- Stylesheet Weg or URL (Setzen Sie das XSL-Stylesheet, um die XML-Ausgabe zu transformieren) .
Nmap wird mit einem XSL ausgeliefert. Stylesheet. namens nmap.xsl. zum Anzeigen oder Übersetzen von XML
Ausgabe an HTML.. Die XML-Ausgabe enthält eine XML-Stylesheet-Direktive, die auf verweist
nmap.xml, wo es ursprünglich von Nmap installiert wurde. Führen Sie die XML-Datei über ein XSLT aus
Prozessor wie z xsltproc[17]. um eine HTML-Datei zu erstellen. Direktes Öffnen der XML
Datei in einem Browser funktioniert nicht mehr gut, weil moderne Browser die Speicherorte begrenzen a
Stylesheet kann geladen werden. Wenn Sie ein anderes Stylesheet verwenden möchten, geben Sie es an
als Argument dafür - Stylesheet. Sie müssen den vollständigen Pfadnamen oder die URL übergeben. Eine gemeinsame
Aufruf ist - Stylesheet https://nmap.org/svn/docs/nmap.xsl. Dies teilt einem XSLT mit
Prozessor, um die neueste Version des Stylesheets von Nmap.Org zu laden. Der --webxml
Option macht dasselbe mit weniger Tippen und Auswendiglernen. Laden des XSL aus
Nmap.Org macht es einfacher, Ergebnisse auf einem Computer anzuzeigen, der kein Nmap hat (und daher
nmap.xsl) installiert. So ist die URL oft sinnvoller, aber das lokale Dateisystem
Der Speicherort von nmap.xsl wird aus Datenschutzgründen standardmäßig verwendet.

--webxml (Stylesheet von Nmap.Org laden) .
Dies ist eine praktische Option, nichts weiter als ein Alias ​​für - Stylesheet
https://nmap.org/svn/docs/nmap.xsl.

--no-stylesheet (XSL-Stylesheet-Deklaration aus XML weglassen) .
Geben Sie diese Option an, um zu verhindern, dass Nmap irgendein XSL-Stylesheet mit seinem XML verknüpft
Ausgang. Die Direktive xml-stylesheet wird weggelassen.

SONSTIGES OPTIONAL

Dieser Abschnitt beschreibt einige wichtige (und nicht so wichtige) Optionen, die nicht wirklich passen
irgendwo anders.

-6 (Aktivieren Sie IPv6-Scannen) .
Nmap unterstützt IPv6 für seine beliebtesten Funktionen. Ping-Scannen, Port-Scannen,
Versionserkennung und die Nmap Scripting Engine unterstützen alle IPv6. Die Befehlssyntax
ist das gleiche wie üblich, außer dass Sie auch die hinzufügen -6 Möglichkeit. Natürlich müssen Sie verwenden
IPv6-Syntax, wenn Sie statt eines Hostnamens eine Adresse angeben. Eine Adresse könnte aussehen
wie 3ffe:7501:4819:2000:210:f3ff:fe03:14d0, daher werden Hostnamen empfohlen. Die Ausgabe
sieht wie gewohnt aus, wobei die IPv6-Adresse in der Zeile „Interessante Ports“ steht
das einzige IPv6-Werbegeschenk.

Obwohl IPv6 nicht gerade die Welt im Sturm erobert hat, wird es in einigen Fällen erheblich genutzt
(meist asiatische) Länder und die meisten modernen Betriebssysteme unterstützen es. Um Nmap zu verwenden
Bei IPv6 müssen sowohl die Quelle als auch das Ziel Ihres Scans für IPv6 konfiguriert sein. Wenn
Ihr ISP (wie die meisten von ihnen) weist Ihnen keine IPv6-Adressen zu, kostenloser Tunnel
Broker sind weit verbreitet und funktionieren gut mit Nmap. Ich verwende den kostenlosen IPv6-Tunnel
Makler. Dienst bei http://www.tunnelbroker.net. Andere Tunnelmakler sind gelistet at
Wikipedia [18]. 6to4-Tunnel sind ein weiterer beliebter, kostenloser Ansatz.

Unter Windows werden Raw-Socket-IPv6-Scans nur auf Ethernet-Geräten unterstützt (nicht
Tunnel) und nur unter Windows Vista. und später. Verwenden Sie die --unterpriviligiert. Option in
andere Situationen.

-A (Aggressive Scan-Optionen) .
Diese Option aktiviert zusätzliche erweiterte und aggressive Optionen. Derzeit ermöglicht dies
Betriebssystemerkennung (-O), Versionsscannen (-sV), Skript-Scannen (-SC) und Traceroute
(--traceroute).. Weitere Funktionen können in Zukunft hinzugefügt werden. Der Punkt ist, a zu ermöglichen
umfassendes Set an Scan-Optionen, ohne dass sich die Leute viele
Flaggen. Da jedoch das Scannen von Skripten mit der Standardeinstellung als aufdringlich angesehen wird,
du solltest nicht verwenden -A gegen Zielnetzwerke ohne Erlaubnis. Nur diese Option
aktiviert Funktionen und keine Timing-Optionen (wie z -T4) oder Ausführlichkeitsoptionen (-v) Das
möchtest du vielleicht auch. Optionen, die Privilegien erfordern (z. B. Root-Zugriff), wie OS
Erkennung und Traceroute werden nur aktiviert, wenn diese Berechtigungen verfügbar sind.

--datadir Verzeichnisname (Geben Sie den Speicherort der benutzerdefinierten Nmap-Datendatei an) .
Nmap erhält zur Laufzeit einige spezielle Daten in Dateien namens nmap-service-probes,
nmap-services, nmap-protocols, nmap-rpc, nmap-mac-prefixes und nmap-os-db. Wenn die
Der Speicherort einer dieser Dateien wurde angegeben (unter Verwendung der --servicedb or
--versiondb Optionen), wird dieser Speicherort für diese Datei verwendet. Danach sucht Nmap
diese Dateien in dem mit dem angegebenen Verzeichnis --datadir Option (falls vorhanden). Beliebige Dateien
dort nicht gefunden, werden im angegebenen Verzeichnis gesucht NMAPDIR.
Umgebungsvariable. Als nächstes kommt ~/.nmap. für echte und effektive UIDs; oder unter Windows,
STARTSEITE\AppData\Roaming\nmap (wobei STARTSEITE ist das Home-Verzeichnis des Benutzers, wie z
C:\Benutzer\Benutzer). Darauf folgt der Speicherort der ausführbaren nmap-Datei und dasselbe
Ort mit angehängtem ../share/nmap. Dann ein einkompilierter Ort wie z
/usr/local/share/nmap oder /usr/share/nmap.

--servicedb Leistungen Datei (Datei mit benutzerdefinierten Diensten angeben) .
Fordert Nmap auf, die angegebene Dienstedatei anstelle der nmap-services-Datendatei zu verwenden
das kommt mit Nmap. Die Verwendung dieser Option bewirkt auch einen schnellen Scan (-F) benutzt werden. Sehen
die Beschreibung für --datadir für weitere Informationen zu den Datendateien von Nmap.

--versiondb Sonden Datei (Angepasste Service-Probe-Datei angeben) .
Fordert Nmap auf, die angegebene Service-Probes-Datei anstelle von nmap-service-probes zu verwenden
data-Datei, die mit Nmap geliefert wird. Siehe die Beschreibung für --datadir zu weiteren Informationen und Erklärungen
auf den Datendateien von Nmap.

--sende-eth (Verwenden Sie Raw-Ethernet-Senden) .
Fordert Nmap auf, Pakete auf der rohen Ethernet-Schicht (Datenverbindung) und nicht auf der höheren zu senden
IP-(Netzwerk-)Schicht. Standardmäßig wählt Nmap diejenige aus, die im Allgemeinen am besten für die
Plattform, auf der es läuft. Raw-Sockets (IP-Schicht). sind im Allgemeinen am effizientesten für
Unix-Maschinen, während für den Windows-Betrieb seither Ethernet-Frames benötigt werden
Microsoft hat die Raw-Socket-Unterstützung deaktiviert. Nmap verwendet trotz Unix immer noch rohe IP-Pakete
diese Option, wenn es keine andere Wahl gibt (z. B. Nicht-Ethernet-Verbindungen).

--sende-ip (Auf Roh-IP-Ebene senden) .
Fordert Nmap auf, Pakete über Raw-IP-Sockets zu senden, anstatt Ethernet auf niedrigerer Ebene zu senden
Rahmen. Es ist die Ergänzung zu den --sende-eth zuvor besprochene Option.

--privilegiert (Angenommen, der Benutzer ist voll privilegiert) .
Weist Nmap an, einfach davon auszugehen, dass es privilegiert genug ist, um Raw-Socket-Sends durchzuführen.
Paket-Sniffing und ähnliche Operationen, die normalerweise Root-Rechte erfordern. auf Unix
Systeme. Standardmäßig wird Nmap beendet, wenn solche Operationen angefordert werden, aber geteuid ist nicht
Null. --privilegiert ist nützlich mit Linux-Kernel-Fähigkeiten und ähnlichen Systemen, die
kann so konfiguriert werden, dass unprivilegierte Benutzer Scans von Rohpaketen durchführen können. Sicher sein zu
Geben Sie dieses Optionsflag vor allen Flags für Optionen an, die Berechtigungen erfordern (SYN
Scan, Betriebssystemerkennung usw.). Der NMAP_PRIVILEGIERT. Umgebungsvariable kann als an . gesetzt werden
gleichwertige Alternative zu --privilegiert.

--unterpriviligiert (Angenommen, der Benutzer hat keine Raw-Socket-Berechtigungen) .
Diese Option ist das Gegenteil von --privilegiert. Es weist Nmap an, den Benutzer so zu behandeln
fehlende Netzwerk-Roh-Socket- und Sniffing-Berechtigungen. Dies ist nützlich zum Testen,
Debuggen, oder wenn die rohe Netzwerkfunktionalität Ihres Betriebssystems irgendwie
gebrochen. Der NMAP_UNPRIVILEGIERT. Umgebungsvariable kann als Äquivalent gesetzt werden
als Alternative --unterpriviligiert.

--Release-Speicher (Speichern vor dem Beenden freigeben) .
Diese Option ist nur zum Debuggen von Speicherlecks nützlich. Es bewirkt, dass Nmap freigegeben wird
zugewiesenen Speicher kurz vor dem Beenden, sodass tatsächliche Speicherlecks leichter zu erkennen sind.
Normalerweise überspringt Nmap dies, da das Betriebssystem dies beim Beenden des Prozesses sowieso tut.

-V; --Version (Versionsnummer drucken) .
Gibt die Nmap-Versionsnummer aus und wird beendet.

-h; --help (Zusammenfassungsseite der Hilfe drucken) .
Druckt einen kurzen Hilfebildschirm mit den gebräuchlichsten Befehlsflags. Ausführen von Nmap ohne
Alle Argumente tun dasselbe.

LAUFZEIT INTERAKTION

Während der Ausführung von Nmap werden alle Tastendrücke erfasst. Dadurch können Sie interagieren
mit dem Programm, ohne es abzubrechen und neu zu starten. Bestimmte Sondertasten werden sich ändern
Optionen, während alle anderen Tasten eine Statusmeldung ausgeben, die Sie über den Scan informiert.
Die Konvention ist das Klein Briefe Energie die Druckmenge und Groß
Briefe verringern der Druck. Sie können auch '?' für Hilfe.

v / V
Erhöhen/verringern Sie den Ausführlichkeitsgrad

d / D
Erhöhen / verringern Sie den Debugging-Level

p / P
Paketverfolgung ein-/ausschalten

?
Drucken Sie einen Hilfebildschirm zur Laufzeitinteraktion

Noch etwas
Drucken Sie eine Statusmeldung wie diese aus:

Statistik: 0:00:07 abgelaufen; 20 Hosts abgeschlossen (1 in Betrieb), 1 wird einem Service-Scan unterzogen
Service-Scan-Timing: Ungefähr 33.33 % erledigt; USW: 20:57 (0:00:12 verbleibend)

Beispiele:

Hier sind einige Beispiele für die Nmap-Nutzung, von einfach und routinemäßig bis hin zu etwas komplexer
und esoterisch. Einige tatsächliche IP-Adressen und Domänennamen werden verwendet, um die Dinge zu verbessern
Beton. An ihrer Stelle sollten Sie Adressen/Namen von ersetzen deine besitzen Netzwerk.
Obwohl ich nicht der Meinung bin, dass das Port-Scannen anderer Netzwerke illegal ist oder sein sollte, sind einige Netzwerke
Administratoren mögen unaufgefordertes Scannen ihrer Netzwerke nicht und können sich beschweren.
Zuerst die Erlaubnis einzuholen ist der beste Ansatz.

Zu Testzwecken haben Sie die Berechtigung, den Host scanme.nmap.org zu scannen. Dies
Die Berechtigung umfasst nur das Scannen über Nmap und nicht das Testen von Exploits oder Denial-of-Service
Anschläge. Um Bandbreite zu sparen, starten Sie bitte nicht mehr als ein Dutzend Scans dagegen
dieser Gastgeber pro Tag. Wenn dieser kostenlose Scan-Zieldienst missbraucht wird, wird er deaktiviert
und Nmap meldet Fehler beim Auflösen des angegebenen Hostnamens/der angegebenen IP-Adresse: scanme.nmap.org. Diese
Berechtigungen gelten jedoch auch für die Hosts scanme2.nmap.org, scanme3.nmap.org usw
Diese Hosts existieren derzeit nicht.

nmap -v scanme.nmap.org.

Diese Option scannt alle reservierten TCP-Ports auf dem Computer scanme.nmap.org . Der -v ganz ohne irgendetwas tun oder drücken zu müssen.
aktiviert den ausführlichen Modus.

nmap -H.H -O scanme.nmap.org/24.

Startet einen Stealth-SYN-Scan für jeden Rechner, der von den 256 IPs auf dem aktiv ist
Klasse-C-großes Netzwerk, in dem sich Scanme befindet. Es wird auch versucht, festzustellen, was funktioniert
Das System läuft auf jedem Host, der betriebsbereit ist. Dies erfordert Root-Rechte
wegen des SYN-Scans und der OS-Erkennung.

nmap -sV -p 22,53,110,143,4564 198.116.0-255.1-127.

Startet die Host-Aufzählung und einen TCP-Scan bei der ersten Hälfte von jedem der 255 möglichen
Acht-Bit-Subnetze im 198.116-Klasse-B-Adressraum. Dies testet, ob die Systeme laufen
SSH, DNS, POP3 oder IMAP auf ihren Standardports oder alles auf Port 4564. Für alle
Wenn diese Ports offen sind, wird die Versionserkennung verwendet, um festzustellen, um welche Anwendung es sich handelt
läuft.

nmap -v -gehen 100000 -PN -p 80.

Fordert Nmap auf, zufällig 100,000 Hosts auszuwählen und sie nach Webservern (Port 80) zu durchsuchen. Gastgeber
Aufzählung wird mit deaktiviert -PN seit dem ersten Senden ein paar Sonden, um festzustellen, ob
ein Host hochgefahren ist, ist verschwenderisch, wenn Sie ohnehin nur einen Port auf jedem Zielhost prüfen.

nmap -PN -p80 -Ochse logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20.

Dies scannt 4096 IPs nach beliebigen Webservern (ohne sie zu pingen) und speichert die Ausgabe in
grepable und XML-Formate.

NMAP BUCHEN

Dieses Referenzhandbuch beschreibt zwar alle wesentlichen Nmap-Optionen, kann es jedoch nicht vollständig demonstrieren
wie Sie diese Funktionen anwenden, um reale Aufgaben schnell zu lösen. Dafür haben wir Nmap . veröffentlicht
Netzwerk-Scanning: Der offizielle Nmap-Projektleitfaden zur Netzwerkerkennung und -sicherheit
Scannen. Zu den Themen gehören das Unterlaufen von Firewalls und Intrusion Detection-Systemen, die Optimierung
Nmap-Leistung und Automatisierung allgemeiner Netzwerkaufgaben mit der Nmap Scripting Engine.
Es werden Hinweise und Anweisungen für häufige Nmap-Aufgaben wie z. B. das Nehmen von Netzwerken bereitgestellt
Bestandsaufnahme, Penetrationstests, Erkennung betrügerischer drahtloser Zugangspunkte und Unterdrückung
Netzwerkwurmausbrüche. Beispiele und Diagramme zeigen die tatsächliche Kommunikation auf dem Draht. Mehr
Mehr als die Hälfte des Buches ist kostenlos online verfügbar. Sehen https://nmap.org/book Für weitere
Informationen.

Verwenden Sie nmap online mit den Diensten von onworks.net