diff --git a/Makefile.in b/Makefile.in
index eb0f64105..d74e3df10 100644
--- a/Makefile.in
+++ b/Makefile.in
@@ -58,7 +58,7 @@ USE_NLS = @USE_NLS@
# A space-separated list of language codes supported (for man page
# installation). The user can install a subset of these with the LINGUAS
# environment variable or none of them with --disable-nls.
-ALL_LINGUAS =
+ALL_LINGUAS = de es fr hr hu it jp pl pt_BR pt_PT ro ru sk zh
# A space-separated list of language codes requested by the user.
LINGUAS ?= $(ALL_LINGUAS)
diff --git a/docs/nmap-de.1 b/docs/nmap-de.1
new file mode 100644
index 000000000..d4bec86f2
--- /dev/null
+++ b/docs/nmap-de.1
@@ -0,0 +1,2431 @@
+.\" Title: nmap
+.\" Author: [FIXME: author] [see http://docbook.sf.net/el/author]
+.\" Generator: DocBook XSL Stylesheets v1.74.0 : Input from list of hosts/networks
+ \-iR : Choose random targets
+ \-\-exclude : Exclude hosts/networks
+ \-\-excludefile : Exclude list from file
+HOST DISCOVERY:
+ \-sL: List Scan \- simply list targets to scan
+ \-sP: Ping Scan \- go no further than determining if host is online
+ \-PN: Treat all hosts as online \-\- skip host discovery
+ \-PS/PA/PU[portlist]: TCP SYN/ACK or UDP discovery to given ports
+ \-PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes
+ \-PO[protocol list]: IP Protocol Ping
+ \-n/\-R: Never do DNS resolution/Always resolve [default: sometimes]
+ \-\-dns\-servers : Specify custom DNS servers
+ \-\-system\-dns: Use OS\'s DNS resolver
+ \-\-traceroute: Trace hop path to each host
+SCAN TECHNIQUES:
+ \-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans
+ \-sU: UDP Scan
+ \-sN/sF/sX: TCP Null, FIN, and Xmas scans
+ \-\-scanflags : Customize TCP scan flags
+ \-sI : Idle scan
+ \-sO: IP protocol scan
+ \-b : FTP bounce scan
+PORT SPECIFICATION AND SCAN ORDER:
+ \-p : Only scan specified ports
+ Ex: \-p22; \-p1\-65535; \-p U:53,111,137,T:21\-25,80,139,8080
+ \-F: Fast mode \- Scan fewer ports than the default scan
+ \-r: Scan ports consecutively \- don\'t randomize
+ \-\-top\-ports : Scan most common ports
+ \-\-port\-ratio : Scan ports more common than
+SERVICE/VERSION DETECTION:
+ \-sV: Probe open ports to determine service/version info
+ \-\-version\-intensity : Set from 0 (light) to 9 (try all probes)
+ \-\-version\-light: Limit to most likely probes (intensity 2)
+ \-\-version\-all: Try every single probe (intensity 9)
+ \-\-version\-trace: Show detailed version scan activity (for debugging)
+SCRIPT SCAN:
+ \-sC: equivalent to \-\-script=default
+ \-\-script=: is a comma separated list of
+ directories, script\-files or script\-categories
+ \-\-script\-args=: provide arguments to scripts
+ \-\-script\-trace: Show all data sent and received
+ \-\-script\-updatedb: Update the script database\&.
+OS DETECTION:
+ \-O: Enable OS detection
+ \-\-osscan\-limit: Limit OS detection to promising targets
+ \-\-osscan\-guess: Guess OS more aggressively
+TIMING AND PERFORMANCE:
+ Options which take are in milliseconds, unless you append \'s\'
+ (seconds), \'m\' (minutes), or \'h\' (hours) to the value (e\&.g\&. 30m)\&.
+ \-T<0\-5>: Set timing template (higher is faster)
+ \-\-min\-hostgroup/max\-hostgroup : Parallel host scan group sizes
+ \-\-min\-parallelism/max\-parallelism : Probe parallelization
+ \-\-min\-rtt\-timeout/max\-rtt\-timeout/initial\-rtt\-timeout : Specifies
+ probe round trip time\&.
+ \-\-max\-retries : Caps number of port scan probe retransmissions\&.
+ \-\-host\-timeout : Give up on target after this long
+ \-\-scan\-delay/\-\-max\-scan\-delay : Adjust delay between probes
+ \-\-min\-rate : Send packets no slower than per second
+ \-\-max\-rate : Send packets no faster than per second
+FIREWALL/IDS EVASION AND SPOOFING:
+ \-f; \-\-mtu : fragment packets (optionally w/given MTU)
+ \-D : Cloak a scan with decoys
+ \-S : Spoof source address
+ \-e : Use specified interface
+ \-g/\-\-source\-port : Use given port number
+ \-\-data\-length : Append random data to sent packets
+ \-\-ip\-options : Send packets with specified ip options
+ \-\-ttl : Set IP time\-to\-live field
+ \-\-spoof\-mac : Spoof your MAC address
+ \-\-badsum: Send packets with a bogus TCP/UDP checksum
+OUTPUT:
+ \-oN/\-oX/\-oS/\-oG : Output scan in normal, XML, s|: Output in the three major formats at once
+ \-v: Increase verbosity level (use twice or more for greater effect)
+ \-d[level]: Set or increase debugging level (Up to 9 is meaningful)
+ \-\-reason: Display the reason a port is in a particular state
+ \-\-open: Only show open (or possibly open) ports
+ \-\-packet\-trace: Show all packets sent and received
+ \-\-iflist: Print host interfaces and routes (for debugging)
+ \-\-log\-errors: Log errors/warnings to the normal\-format output file
+ \-\-append\-output: Append to rather than clobber specified output files
+ \-\-resume : Resume an aborted scan
+ \-\-stylesheet : XSL stylesheet to transform XML output to HTML
+ \-\-webxml: Reference stylesheet from Nmap\&.Org for more portable XML
+ \-\-no\-stylesheet: Prevent associating of XSL stylesheet w/XML output
+MISC:
+ \-6: Enable IPv6 scanning
+ \-A: Enables OS detection and Version detection, Script scanning and Traceroute
+ \-\-datadir : Specify custom Nmap data file location
+ \-\-send\-eth/\-\-send\-ip: Send using raw ethernet frames or IP packets
+ \-\-privileged: Assume that the user is fully privileged
+ \-\-unprivileged: Assume the user lacks raw socket privileges
+ \-V: Print version number
+ \-h: Print this help summary page\&.
+EXAMPLES:
+ nmap \-v \-A scanme\&.nmap\&.org
+ nmap \-v \-sP 192\&.168\&.0\&.0/16 10\&.0\&.0\&.0/8
+ nmap \-v \-iR 10000 \-PN \-p 80
+SEE THE MAN PAGE (http://nmap\&.org/book/man\&.html) FOR MORE OPTIONS AND EXAMPLES
+.EB lightgray
+.fi
+.fam
+.ps +1
+.if n \{\
+.RE
+.\}
+.\"
+.\"
+.SH "Angabe von Zielen"
+.\" Zielangabe
+.PP
+Nmap betrachtet alles in der Kommandozeile, was keine Option (oder ein Argument einer Option) ist, als Bezeichnung eines Zielhosts\&. Der einfachste Fall ist die Beschreibung einer IP\-Zieladresse oder eines Zielhostnamens zum Scannen\&.
+.PP
+Manchmal möchten Sie ein ganzes Netzwerk benachbarter Hosts scannen\&. Dafür unterstützt Nmap Adressen im CIDR\-Stil\&..\" CIDR (Classless Inter-Domain Routing)
+Sie können /\fInumbits\fR
+an eine IPv4\-Adresse oder einen Hostnamen anfügen, und Nmap wird alle IP\-Adressen scannen, bei denen die ersten
+\fInumbits\fR
+mit denen der gegebenen IP oder des gegebenen Hostnamens übereinstimmen\&. Zum Beispiel würde 192\&.168\&.10\&.0/24 die 256 Hosts zwischen 192\&.168\&.10\&.0 (binär:
+\FC11000000 10101000 00001010 00000000\F[]) und 192\&.168\&.10\&.255 (binär:
+\FC11000000 10101000 00001010 11111111\F[], inklusive) scannen\&. 192\&.168\&.10\&.40/24 würde genau dieselben Ziele scannen\&. Dadurch, dass der Host
+\FCscanme\&.nmap\&.org\F[].\" scanme.nmap.org
+die IP\-Adresse 64\&.13\&.134\&.52 hat, würde die Angabe scanme\&.nmap\&.org/16 die 65\&.536 IP\-Adressen zwischen 64\&.13\&.0\&.0 und 64\&.13\&.255\&.255 scannen\&. Der kleinste erlaubte Wert ist /0, der das gesamte Internet scannt\&. Der größte Wert ist /32 und scannt lediglich den Host mit angegebenem Namen oder IP\-Adresse, da alle Adressen\-Bits festgelegt sind\&.
+.\" Adressbereiche
+.PP
+Die CIDR\-Notation ist kurz, aber nicht immer flexibel genug\&. Vielleicht möchten Sie z\&.B\&. 192\&.168\&.0\&.0/16 scannen, aber IPs auslassen, die mit \&.0 oder \&.255 enden, weil sie als Unternetzwerk und Broadcast\-Adressen benutzt werden können\&. Nmap unterstützt das in Form einer Oktett\-Bereichsadressierung\&. Statt eine normale IP\-Adresse anzugeben, können Sie eine mit Kommata getrennte Liste von Zahlen oder Bereichen für jedes Oktett angeben\&. Zum Beispiel überspringt 192\&.168\&.0\-255\&.1\-254 alle Adressen im Bereich, die mit \&.0 oder \&.255 enden, und 192\&.168\&.3\-5,7\&.1 scannt die vier Adressen 192\&.168\&.3\&.1, 192\&.168\&.4\&.1, 192\&.168\&.5\&.1 und 192\&.168\&.7\&.1\&. Beide Bereichsgrenzen können weggelassen werden, die Standardwerte sind 0 für die linke und 255 für die rechte Grenze\&. Wenn Sie allein
+\FC\-\F[]
+benutzen, ist das identisch mit 0\-255, aber denken Sie daran, im ersten Oktett 0\- zu benutzen, damit die Zielangabe nicht wie eine Kommandozeilenoption aussieht\&. Diese Bereiche müssen nicht auf die endgültigen Oktetts beschränkt sein: die Angabe 0\-255\&.0\-255\&.13\&.37 führt einen internetweiten Scan über alle IP\-Adressen aus, die mit 13\&.37 enden\&. Diese Art von breiter Abtastung kann bei Internet\-Umfragen und \-Forschungen hilfreich sein\&.
+.PP
+IPv6\-Adressen können nur durch ihre vollständige IPv6\-Adresse oder ihren Hostnamen angegeben werden\&. CIDR und Oktettbereiche werden für IPv6 nicht unterstützt, weil sie selten nützlich sind\&.
+.PP
+Nmap akzeptiert in der Kommandozeile mehrere Host\-Angaben, die auch nicht vom selben Typ sein müssen\&. Der Befehl
+\fBnmap scanme\&.nmap\&.org 192\&.168\&.0\&.0/8 10\&.0\&.0,1,3\-7\&.\-\fR
+macht also das, was Sie erwarten würden\&.
+.PP
+Auch wenn Ziele normalerweise in der Kommandozeile angegeben werden, gibt es auch die folgenden Optionen, um die Zielauswahl zu steuern:
+.PP
+\fB\-iL \fR\fB\fIinputfilename\fR\fR (Eingabe aus einer Liste) .\" -iL .\" Zielangabe: aus Liste
+.RS 4
+Eine sehr lange Liste von Hosts in der Kommandozeile anzugeben ist oft sehr umständlich, kommt aber sehr häufig vor\&. Ihr DHCP\-Server z\&.B\&. exportiert vielleicht eine Liste von 10\&.000 aktuellen Adresszuweisungen (engl\&. leases), die Sie scannen möchten\&. Oder vielleicht möchten Sie alle IP\-Adressen
+\fIaußer\fR
+denjenigen scannen, um Hosts zu finden, die unautorisierte statische IP\-Adressen benutzen\&. Erzeugen Sie einfach die Liste der zu scannenden Hosts und übergeben Sie deren Dateinamen als Argument zur Option
+\fB\-iL\fR
+an Nmap\&. Die Einträge dürfen alle Formate haben, die Nmap auf der Kommandozeile akzeptiert (IP\-Adresse, Hostname, CIDR, IPv6 oder Oktettbereiche)\&. Alle Einträge müssen durch ein oder mehrere Leerzeichen, Tabulatoren oder Zeilenumbrüche getrennt sein\&. Wenn Sie einen Bindestrich (\FC\-\F[]) als Dateinamen angeben, liest Nmap die Hosts von der Standardeingabe statt aus einer normalen Datei\&.
+.RE
+.PP
+\fB\-iR \fR\fB\fInum hosts\fR\fR (zufällige Auswahl von Zielen) .\" -iR .\" randomisierte Ziele .\" Zielangabe: randomisiert
+.RS 4
+Für internetweite Umfragen und andere Forschungsaktivitäten möchten Sie Ziele vielleicht zufällig auswählen\&. Das kann man mit der Option
+\fB\-iR\fR, die als Argument die Anzahl der zu erzeugenden IPs annimmt\&. Nmap lässt automatisch bestimmte unerwünschte IPs aus, wie solche in privaten, Multicast\- oder unbesetzten Adressbereichen\&. Für einen endlosen Scan kann man das Argument
+\FC0\F[]
+angeben\&. Denken Sie aber daran, dass manche Netzwerkadministratoren sich gegen unautorisierte Scans ihrer Netzwerke sträuben\&. Lesen Sie
+the section called \(lq\c
+.SH-xref "\c"
+\&\(rq
+sorgfältig, bevor Sie \-iR benutzen\&.
+.sp
+Falls Sie mal an einem regnerischen Tag wirklich Langeweile haben, probieren Sie einmal den Befehl
+\fBnmap \-sS \-PS80 \-iR 0 \-p 80\fR
+.\" -iR: Beispiel
+.\" -sS: Beispiel
+.\" -PS: Beispiel
+aus, um zufällig Webserver zu finden, auf denen Sie herumstöbern können\&.
+.RE
+.PP
+\fB\-\-exclude \fR\fB\fIhost1\fR\fR\fB[,\fIhost2\fR[,\&.\&.\&.]]\fR (Ziele ausklammern) .\" --exclude .\" Ausklammern von Zielen
+.RS 4
+Gibt eine mit Kommata getrennte Liste von Zielen an, die vom Scan ausgeschlossen sein sollen, selbst wenn sie in den angegebenen Netzwerkbereich fallen\&. Die übergebene Liste benutzt die normale Nmap\-Syntax und kann folglich Hostnamen, CIDR\-Netzblöcke, Oktettbereiche usw\&. enthalten\&. Das kann nützlich sein, wenn das zu scannende Netzwerk hochkritische Server und Systeme enthält, die man nicht anfassen darf, weil sie bekanntermaßen ungünstig auf Port\-Scans reagieren, oder Unternetze, die von anderen Leuten administriert werden\&.
+.RE
+.PP
+\fB\-\-excludefile \fR\fB\fIexclude_file\fR\fR (Liste aus Datei ausklammern) .\" --excludefile
+.RS 4
+Das bietet dieselbe Funktionalität wie die Option
+\fB\-\-exclude\fR, mit dem Unterschied, dass die ausgeklammerten Ziele in der mit Zeilenumbrüchen, Leerzeichen oder Tabulatoren getrennten Datei
+\fIexclude_file\fR
+statt auf der Kommandozeile angegeben werden\&.
+.RE
+.SH "Host-Erkennung"
+.\" Host-Erkennung
+.PP
+Einer der allerersten Schritte bei jeder Netzwerkerkundung ist die Reduktion einer (manchmal riesigen) Menge von IP\-Bereichen auf eine Liste aktiver oder interessanter Hosts\&. Wenn man für alle einzelnen IP\-Adressen alle Ports scannt, so ist das nicht nur langsam, sondern normalerweise auch unnötig\&. Was einen Host interessant macht, hängt natürlich stark vom Zweck der Untersuchung ab\&. Netzwerkadministratoren interessieren sich vielleicht nur für Hosts, auf denen ein bestimmter Dienst läuft, während Sicherheitsprüfer sich vielleicht für alle Geräte interessieren, die eine IP\-Adresse haben\&. Ein Administrator benötigt vielleicht nur einen ICMP\-Ping, um Hosts in seinem internen Netzwerk zu finden, während ein externer Penetrationstester vielleicht Dutzende ganz verschiedener Tests einsetzen wird, um zu versuchen, die Firewall\-Beschränkungen zu umgehen\&.
+.PP
+Da die Anforderungen bei der Host\-Erkennung so verschieden sind, bietet Nmap eine breite Palette von Optionen zur Anpassung der eingesetzten Verfahren\&. Trotz seines Namens geht ein Ping\-Scan weit über die einfachen ICMP Echo\-Request\-Pakete hinaus, die mit dem allgegenwärtigen Werkzeug
+ping
+verbunden sind\&. Man kann den Ping\-Schritt völlig auslassen, indem man einen List\-Scan (\fB\-sL\fR) benutzt, Ping ausschaltet (\fB\-PN\fR) oder beliebige Kombinationen von Multi Port TCP\-SYN/ACK, UDP\- und ICMP\-Testanfragen auf ein Netzwerk loslässt\&. Der Zweck dieser Anfragen ist der, Antworten hervorzurufen, die zeigen, dass eine IP\-Adresse tatsächlich aktiv ist (d\&.h\&. von einem Host oder Gerät im Netzwerk benutzt wird)\&. In vielen Netzwerken ist nur ein kleiner Prozentsatz von IP\-Adressen zu einem bestimmten Zeitpunkt aktiv\&. Das gilt besonders für einen privaten Adressraum wie 10\&.0\&.0\&.0/8\&. Dieses Netzwerk enthält 16,8 Millionen IPs, aber ich habe auch Firmen gesehen, die es mit weniger als tausend Rechnern benutzen\&. Mit der Host\-Erkennung kann man diese spärlichen Rechnerinseln in einem Meer von IP\-Adressen finden\&.
+.PP
+Falls keine Optionen für die Host\-Erkennung angegeben werden, sendet Nmap ein TCP\-ACK\-Paket an Port 80 und ein ICMP Echo\-Request an alle Zielrechner\&. Eine Ausnahme ist, dass bei allen Zielen in einem lokalen Ethernet\-Netzwerk ein ARP\-Scan benutzt wird\&. Für unprivilegierte Unix\-Shell\-Benutzer wird mit dem
+\fBconnect\fR\-Systemaufruf ein SYN\-Paket statt eines ACK gesendet\&..\" Benutzer ohne Sonderrechte: Beschränkungen
+Diese Standardeinstellungen sind äquivalent zu den Optionen
+\fB\-PA \-PE\fR\&. Diese Host\-Erkennung ist oft ausreichend, wenn man lokale Netzwerke scannt, aber für Sicherheitsüberprüfungen empfiehlt sich eine umfangreichere Menge von Erkennungstestpaketen\&.
+.PP
+Die Optionen
+\fB\-P*\fR
+(die Ping\-Typen auswählen) lassen sich kombinieren\&. Sie können Ihre Chancen steigern, bei strengen Firewalls durchzukommen, indem Sie viele Testpaketarten mit verschiedenen TCP\-Ports/\-Flags und ICMP\-Codes senden\&. Beachten Sie auch, dass die ARP\-Erkennung (\fB\-PR\fR).\" -PR
+bei Zielen in einem lokalen Ethernet\-Netzwerk standardmäßig erfolgt, selbst dann, wenn Sie andere
+\fB\-P*\fR\-Optionen angeben, weil sie fast immer schneller und effizienter ist\&.
+.PP
+Standardmäßig führt Nmap eine Host\-Erkennung und dann einen Port\-Scan auf jedem Host aus, den es als online erkennt\&. Das gilt auch dann, wenn Sie nicht standardmäßige Host\-Erkennungstypen wie UDP\-Testpakete (\fB\-PU\fR) angeben\&. Lesen Sie über die Option
+\fB\-sP\fR
+nach, um zu lernen, wie man nur eine Host\-Erkennung durchführt, oder über
+\fB\-PN\fR, um die Host\-Erkennung zu überspringen und einen Port\-Scan aller Zielhosts durchzuführen\&. Folgende Optionen steuern die Host\-Erkennung:
+.PP
+\fB\-sL\fR (List\-Scan) .\" -sL .\" List-Scan
+.RS 4
+Ein List\-Scan ist eine degenerierte Form der Host\-Erkennung, die einfach jeden Host im angegebenen Netzwerk (bzw\&. den Netzwerken) auflistet, ohne Pakete an die Ziel\-Hosts zu senden\&. Standardmäßig führt Nmap immer noch eine Reverse\-DNS\-Auflösung der Hosts durch, um deren Namen zu lernen\&. Es ist oft erstaunlich, wie viel nützliche Informationen einfache Hostnamen verraten\&. Zum Beispiel ist
+\FCfw\&.chi\F[]
+der Name einer Firewall einer Firma in Chicago\&.
+.\" DNS: Einträge als Informationsquelle
+Nmap gibt am Ende auch die gesamte Anzahl der IP\-Adressen aus\&. Ein List\-Scan ist eine gute Plausibilitätsprüfung, um sicherzustellen, dass Sie saubere IP\-Adressen für Ihre Ziele haben\&. Falls die Hosts Domainnamen enthalten, die Ihnen nichts sagen, lohnt sich eine weitere Untersuchung, um zu verhindern, dass Sie das Netzwerk der falschen Firma scannen\&.
+.sp
+Da die Idee einfach die ist, eine Liste der Zielhosts auszugeben, lassen sich Optionen für eine höhere Funktionalität wie z\&.B\&. Port\-Scanning, Betriebssystemerkennung oder Ping\-Scanning damit nicht kombinieren\&. Falls Sie einen Ping\-Scan abschalten und trotzdem solch höhere Funktionalität durchführen möchten, lesen Sie bei der Option
+\fB\-PN\fR
+weiter\&.
+.RE
+.PP
+\fB\-sP\fR (Ping\-Scan) .\" -sP .\" Ping-Scan
+.RS 4
+Diese Option verlangt, dass Nmap nur einen Ping\-Scan (Host\-Erkennung) durchführt und dann die verfügbaren Hosts ausgibt, die auf den Scan geantwortet haben\&. Darüber hinaus werden keine weiteren Tests (z\&.B\&. Port\-Scans oder Betriebssystemerkennung) durchgeführt, außer bei Host\-Scripts mit der Nmap Scripting Engine und traceroute\-Tests, sofern Sie diese Optionen angegeben haben\&. Das ist eine Stufe aufdringlicher als ein List\-Scan und kann oft für dieselben Zwecke benutzt werden\&. Sie führt schnell eine schwache Aufklärung des Zielnetzwerks durch, ohne viel Aufmerksamkeit zu erregen\&. Für Angreifer ist es wertvoller, zu wissen, wie viele Hosts verfügbar sind, als die Liste aller IPs und Hostnamen aus einem List\-Scan zu kennen\&.
+.sp
+Für Systemadministratoren ist diese Option oft ebenfalls wertvoll\&. Mit ihr kann man sehr leicht die verfügbaren Rechner in einem Netzwerk zählen oder die Server\-Verfügbarkeit überwachen\&. So etwas nennt man oft auch einen Ping\-Sweep, und es ist zuverlässiger als ein Pinging auf die Broadcast\-Adresse, weil viele Hosts auf Broadcast\-Anfragen nicht antworten\&.
+.sp
+Die Option
+\fB\-sP\fR
+sendet standardmäßig einen ICMP Echo\-Request und ein TCP\-ACK\-Paket an Port 80\&. Bei Ausführung ohne Sonderrechte wird nur ein SYN\-Paket (mit einem
+\fBconnect\fR\-Aufruf) an Port 80 an das Ziel gesendet\&. Wenn ein Benutzer mit Sonderrechten versucht, Ziele in einem lokalen Ethernet\-Netzwerk zu scannen, werden ARP\-Requests verwendet, es sei denn, die Option
+\fB\-\-send\-ip\fR
+wird angegeben\&. Die Option
+\fB\-sP\fR
+kann mit allen Erkennungsmethoden (die Optionen
+\fB\-P*\fR, außer
+\fB\-PN\fR) kombiniert werden, um eine höhere Flexibilität zu erhalten\&. Falls zwischen dem Ausgangs\-Host, auf dem Nmap läuft, und dem Zielnetzwerk strenge Firewalls installiert sind, empfehlen sich diese fortgeschrittenen Methoden\&. Ansonsten könnten Hosts übersehen werden, wenn die Firewall Testanfragen oder Antworten darauf verwirft
+.RE
+.PP
+\fB\-PN\fR (Ping abschalten) .\" -PN .\" Host-Erkennung: ausschalten
+.RS 4
+Eine weitere Möglichkeit ist die, die Erkennungsphase von Nmap völlig auszulassen\&. Normalerweise bestimmt Nmap in dieser Phase aktive Rechner, die es anschließend stärker scannt\&. Standardmäßig führt Nmap heftigere Tests wie Port\-Scans, Versions\- oder Betriebssystemerkennung bei Hosts durch, die es bereits als aktiv eingestuft hat\&. Das Ausschalten der Host\-Erkennung mit der Option
+\fB\-PN\fR
+bewirkt, dass Nmap versucht, die gewünschten Scan\-Funktionen auf
+\fIallen\fR
+angegebenen Ziel\-IP\-Adresssen durchzuführen\&. Wenn also ein Zieladressraum der Größe Klasse B (/16) auf der Kommandozeile angegeben wird, werden alle 65\&.536 IP\-Adressen gescannt\&. Eine richtige Host\-Erkennung wird wie bei einem List\-Scan übersprungen, aber statt anzuhalten und die Zielliste auszugeben, fährt Nmap mit der Durchführung der gewünschten Funktionen fort, so als ob jede Ziel\-IP aktiv wäre\&. Bei Rechnern im lokalen Ethernet\-Netzwerk wird ein ARP\-Scan weiterhin ausgeführt (es sei denn, es wird
+\fB\-\-send\-ip\fR
+angegeben), da Nmap MAC\-Adressen braucht, um Zielhosts weiter zu scannen\&. Diese Option lautete früher einaml
+\fBP0\fR
+(mit einer Null), wurde dann aber umbenannt, um Verwirrung mit der Option
+\fBPO\fR
+von Protokoll\-Pings (benutzt den Buchstaben O) zu vermeiden\&.
+.RE
+.PP
+\fB\-PS \fR\fB\fIport list\fR\fR (TCP\-SYN\-Ping) .\" -PS .\" SYN-Ping
+.RS 4
+Diese Option sendet ein leeres TCP\-Paket mit gesetztem SYN\-Flag\&. Der vorgegebene Zielport ist 80 (lässt sich zum Zeitpunkt des Kompilierens durch Ändern von
+\fIDEFAULT_TCP_PROBE_PORT_SPEC\fR.\" DEFAULT_TCP_PROBE_PORT_SPEC
+in
+\FCnmap\&.h\F[]
+konfigurieren),.\" nmap.h
+aber man kann einen alternativen Port als Parameter angeben\&. Die Syntax ist dieselbe wie bei
+\fB\-p\fR, mit dem Unterschied, dass Porttypenbezeichner wie
+\FCT:\F[]
+nicht erlaubt sind\&. Beispiele hierfür sind
+\fB\-PS22\fR
+und
+\fB\-PS22\-25,80,113,1050,35000\fR\&. Beachten Sie, dass es kein Leerzeichen zwischen
+\fB\-PS\fR
+und der Port\-Liste geben darf\&. Falls mehrere Tests angegeben werden, werden sie parallel durchgeführt\&.
+.sp
+Das SYN\-Flag bedeutet für das entfernte System, dass Sie versuchen, eine Verbindung herzustellen\&. Normalerweise wird der Zielport geschlossen sein, und es wird ein RST\-(Reset\-)Paket zurückgeschickt\&. Falls der Port offen ist, führt das Ziel den zweiten Schritt eines TCP\-three\-way\-handshake
+.\" Three-way-Handshake
+durch, indem es mit einem SYN/ACK\-TCP\-Paket antwortet\&. Der Rechner, auf dem Nmap läuft, bricht dann die entstehende Verbindung ab, indem er mit einem RST antwortet, statt ein ACK\-Paket zu senden, mit dem der three\-way handshake komplett und eine vollständige Verbindung hergestellt wäre\&. Das RST\-Paket wird als Antwort auf das unerwartete SYN/ACK vom Betriebssystem\-Kernel des Rechners gesendet, auf dem Nmap läuft, nicht von Nmap selbst\&.
+.sp
+Für Nmap ist es egal, ob der Port offen oder geschlossen ist\&. Aus beiden Antworten, ob RST oder SYN/ACK, schließt Nmap, dass der Host verfügbar ist und antwortet\&.
+.sp
+Auf Unix\-Rechnern kann im Allgemeinen nur der mit Sonderrechten ausgestattete Benutzer
+\FCroot\F[].\" Benutzer mit Sonderrechten
+rohe TCP\-Pakete senden und empfangen\&..\" rohe Pakete
+Bei normalen Benutzern kommt automatisch eine Umgehungslösung zum Tragen,.\" Benutzer ohne Sonderrechte: Beschränkungen
+bei der für alle Zielports der
+\fBconnect\fR\-Systemaufruf verwendet wird\&. Das bewirkt, dass an den Zielhost ein SYN\-Paket gesendet wird, mit der Absicht, eine Verbindung herzustellen\&. Falls
+\fBconnect\fR
+schnell ein erfolgreiches Ergebnis oder einen ECONNREFUSED\-Fehler zurückgibt, muss der darunterliegende TCP\-Stack ein SYN/ACK oder RST empfangen haben, und der Host wird als verfügbar vermerkt\&. Falls der Verbindungsversuch hängenbleibt, bis eine Zeitbeschränkung erreicht ist, wird der Host als inaktiv vermerkt\&. Diese Behelfslösung wird auch bei IPv6\-Verbindungen verwendet, da Nmap den Bau roher IPv6\-Pakete noch nicht unterstützt\&..\" IPv6: Beschränkungen
+.RE
+.PP
+\fB\-PA \fR\fB\fIport list\fR\fR (TCP\-ACK\-Ping) .\" -PA .\" ACK-Ping
+.RS 4
+Der TCP\-ACK\-Ping ist ziemlich ähnlich zum SYN\-Ping\&. Der Unterschied ist der, dass das TCP\-ACK\-Flag statt dem SYN\-Flag gesetzt wird, was Sie sich bestimmt schon gedacht haben\&. Ein solches ACK\-Paket erweckt den Eindruck, es wolle Daten auf einer bestehenden TCP\-Vebindung bestätigen, während eine solche Verbindung gar nicht existiert\&. Entfernte Hosts sollten darauf immer mit einem RST\-Paket antworten, wobei sie ihre Existenz verraten\&.
+.sp
+Die Option
+\fB\-PA\fR
+benutzt denselben Standard\-Port wie der SYN\-Test (80) und nimmt ebenfalls eine Liste von Zielports im selben Format an\&. Falls ein unprivilegierter Benutzer das ausprobiert oder falls ein IPv6\-Ziel angegeben wird, wird die bereits erwähnte Behelfslösung mit
+\fBconnect\fR
+eingesetzt\&. Diese ist nicht perfekt, da
+\fBconnect\fR
+tatsächlich ein SYN\-Paket statt eines ACK sendet\&.
+.sp
+Der Grund für die Existenz sowohl von SYN\- als auch ACK\-Ping\-Tests liegt darin, die Chancen für die Umgehung von Firewalls zu erhöhen\&. Viele Administratoren konfigurieren Router und andere einfache Firewalls so, dass sie eingehende SYN\-Pakete blockieren, außer bei solchen für öffentliche Dienste wie bei der Website oder dem Mailserver der Firma\&. Das verhindert weitere eingehende Verbindungen zur Organisation, während es den Benutzern freie Verbindungen ins Internet erlaubt\&. Dieser zustandslose Ansatz benötigt wenige Ressourcen in der Firewall bzw\&. im Router und wird von Hardware\- und Software\-Filtern weithin unterstützt\&. Die Firewall\-Software Netfilter/iptables.\" iptables
+in Linux bietet die komfortable Option
+\fB\-\-syn\fR, um diesen zustandslosen Ansatz zu implementieren\&. Wenn solche Firewall\-Regeln vorhanden sind, werden SYN\-Ping\-Tests (\fB\-PS\fR), die an geschlossene Zielports gesendet werden, sehr wahrscheinlich blockiert\&. In solchen Fällen greift der ACK\-Test, da er diese Regeln einfach kappt\&.
+.sp
+Eine weitere häufige Art von Firewalls verwendet zustandsbehaftete Regeln, die unerwartete Pakete verwerfen\&. Dieses Merkmal konnte man zuerst bei hochwertigen Firewalls finden, es hat sich aber mit der Zeit deutlich verbreitet\&. In Linux unterstützt das Netfilter/iptables\-System das mit der Option
+\FC\-\-state\F[], die Pakete nach einem Verbindungszustand kategorisiert\&. In solchen Fällen hat der SYN\-Test eine wesentlich bessere Chance auf Erfolg, da unerwartete ACK\-Pakete im Allgemeinen als fehlerhaft erkannt und verworfen werden\&. Eine Lösung aus diesem Dilemma besteht darin, mit
+\fB\-PS\fR
+und
+\fB\-PA\fR
+SYN\- und ACK\-Testpakete zu senden\&.
+.RE
+.PP
+\fB\-PU \fR\fB\fIport list\fR\fR (UDP\-Ping) .\" -PU .\" UDP-Ping
+.RS 4
+Eine weitere Möglichkeit bei der Host\-Erkennung ist der UDP\-Ping, bei dem ein leeres (außer bei Angabe von
+\fB\-\-data\-length\fR) UDP\-Paket an die angegebenen Ports gesendet wird\&. Die Portliste hat dasselbe Format wie bei den weiter oben beschriebenen Optionen
+\fB\-PS\fR
+und
+\fB\-PA\fR\&. Falls keine Ports angegeben werden, ist die Standardeinstellung 31338\&. Dieser Wert kann zum Zeitpunkt des Kompilierens dürch Änderung von
+\fIDEFAULT_UDP_PROBE_PORT_SPEC\fR.\" DEFAULT_UDP_PROBE_PORT_SPEC
+in
+\FCnmap\&.h\F[]
+konfiguriert werden\&..\" nmap.h
+Es wird absichtlich ein sehr unwahrscheinlicher Port verwendet, weil bei dieser bestimmten Art des Scannens das Senden an offene Ports oft unerwünscht ist\&.
+.sp
+Trifft der UDP\-Test beim Zielrechner auf einen geschlossenen Port, so sollte dieser ein ICMP\-Paket zurückschicken, das besagt, dass der Port nicht erreichbar ist\&. Daraus schließt Nmap, dass der Rechner läuft und verfügbar ist\&. Viele weitere Arten von ICMP\-Fehlern, z\&.B\&. bei unerreichbaren Hosts/Netzwerken oder überschrittener TTL (Time To Live), sind Zeichen für einen abgeschalteten oder unerreichbaren Host\&. Auch eine ausbleibende Antwort wird so interpretiert\&. Falls ein offener Port erreicht wird, ignorieren die meisten Dienste das leere Paket einfach und geben keine Antwort zurück\&. Deswegen wird als Standardport 31338 benutzt, bei dem es sehr unwahrscheinlich ist, dass er benutzt wird\&. Einige Dienste, wie z\&.B\&. das Character Generator\-Protokoll (chargen), antworten auf ein leeres UDP\-Paket und enthüllen damit Nmap gegenüber, dass der Rechner zugänglich ist\&.
+.sp
+Der Hauptvorteil dieses Scan\-Typs liegt darin, dass er Firewalls und Filter umgeht, die nur TCP überprüfen\&. Ich hatte z\&.B\&. einmal ein BEFW11S4, einen Wireless\-Breitband\-Router von Linksys\&. Die externe Schnittstelle dieses Geräts filterte standardmäßig alle TCP\-Ports, aber UDP\-Tests entlockten ihm weiterhin Meldungen über unerreichbare Ports und verrieten damit das Gerät\&.
+.RE
+.PP
+\fB\-PE\fR; \fB\-PP\fR; \fB\-PM\fR (ICMP\-Ping\-Arten) .\" -PE .\" -PP .\" -PM .\" ICMP-Ping
+.RS 4
+Zusätzlich zu den genannten ungewöhnlichen TCP\- und UDP\-Host\-Erkennungsarten kann Nmap auch Standardpakete senden, wie sie das allgegenwärtige Programm
+ping
+sendet\&. Nmap sendet ein ICMP Typ\-8\-Paket (Echo\-Request) an die Ziel\-IP\-Adressen und erwartet eine Typ\-0\-Antwort (Echo\-Reply) vom verfügbaren Host\&..\" ICMP Echo
+Zum Leidwesen von Netzwerkerkundern blockieren viele Hosts und Firewalls heute diese Pakete, statt, wie in
+\m[blue]\fBRFC 1122\fR\m[]\&\s-2\u[1]\d\s+2
+verlangt, darauf zu antworten\&. Aus diesem Grund sind ICMP\-Scans allein bei unbekannten Zielen über das Internet selten zuverlässig genug\&. Aber für Systemadministratoren, die ein internes Netzwerk überwachen, kann das ein praktischer und wirksamer Ansatz sein\&. Benutzen Sie die Option
+\fB\-PE\fR, um dieses Verhalten mit Echo\-Requests einzuschalten\&.
+.sp
+Auch wenn ein Echo\-Request die Standard\-ICMP\-Ping\-Abfrage ist, hört Nmap hier nicht auf\&. Der ICMP\-Standard (\m[blue]\fBRFC 792\fR\m[]\&\s-2\u[2]\d\s+2) spezifiziert auch Anfragepakete für Zeitstempel, Information und Adressmaske mit den jeweiligen Codes 13, 15 und 17\&. Während diese Anfragen angeblich den Zweck haben, an Informationen wie Address Mask und Timestamp zu gelangen, können sie auch leicht für die Host\-Erkennung benutzt werden\&. Im Moment implementiert Nmap keine Information\-Request\-Pakete, da sie nicht weit verbreitet sind (RFC 1122 besteht darauf, dass
+\(lqein Host diese Nachrichten NICHT implementieren SOLLTE\(rq)\&. Anfragen nach Timestamp und Address Mask können jeweils mit den Optionen
+\fB\-PP\fR
+und
+\fB\-PM\fR
+gesendet werden\&. Eine Timestamp\-Antwort (ICMP\-Code 14) oder Address\-Mask\-Antwort (Code 18) enthüllt, dass der Host greifbar ist\&. Diese beiden Abfragen können wertvoll sein, wenn Administratoren ausdrücklich Echo\-Request\-Pakete blockieren, aber vergessen, dass man für den gleichen Zweck auch andere ICMP\-Abfragen benutzen kann\&.
+.RE
+.PP
+\fB\-PO \fR\fB\fIprotocol list\fR\fR (IP\-Protokoll\-Ping) .\" -PO .\" IP-Protokoll-Ping
+.RS 4
+Die neueste Möglichkeit der Host\-Erkennung ist ein IP\-Protokoll\-Ping, der IP\-Pakete sendet, in deren IP\-Header die angegebene Protokollnummer gesetzt ist\&. Die Protokoll\-Liste hat dasselbe Format wie Portlisten bei den weiter oben vorgestellten Optionen der TCP\- und UDP\-Host\-Erkennung\&. Ohne Angabe von Protokollen werden standardmäßig mehrere IP\-Pakete für ICMP (Protokoll 1), IGMP (Protokoll 2) und IP\-in\-IP (Protokoll 4) gesendet\&. Die Standardprotokolle können zum Zeitpunkt des Kompilierens durch Veränderung von
+\fIDEFAULT_PROTO_PROBE_PORT_SPEC\fR.\" DEFAULT_PROTO_PROBE_PORT_SPEC
+in
+\FCnmap\&.h\F[]
+konfiguriert werden\&. Beachten Sie, dass für ICMP, IGMP, TCP (Protokoll 6) und UDP (Protokoll 17) die Pakete mit den richtigen Protokoll\-Headern gesendet werden, während andere Protokolle ohne weitere Daten über den IP\-Header hinaus gesendet werden (es sei denn, die Option
+\fB\-\-data\-length\fR
+wird angegeben)\&.
+.sp
+Diese Methode der Host\-Erkennung sucht nach Antworten, die entweder dasselbe Protokoll wie der Test haben, oder Meldungen, dass das ICMP\-Protokoll nicht erreichbar ist, was bedeutet, dass das gegebene Protokoll vom Zielhost nicht unterstützt wird\&. Beide Antworten bedeuten, dass der Zielhost am Leben ist\&.
+.RE
+.PP
+\fB\-PR\fR (ARP\-Ping) .\" -PR .\" ARP-Ping
+.RS 4
+Eines der häufigsten Einsatzszenarien für Nmap ist das Scannen eines Ethernet\-LANs\&. In den meisten LANs, besonders jenen, die durch
+\m[blue]\fBRFC 1918\fR\m[]\&\s-2\u[3]\d\s+2
+erteilte private Adressbereiche verwenden, wird der Großteil der IP\-Adressen meistens nicht genutzt\&. Wenn Nmap versucht, ein rohes IP\-Paket wie z\&.B\&. ein ICMP Echo\-Request zu senden, muss das Betriebssystem die der Ziel\-IP entsprechende Hardware\-Zieladresse (ARP) bestimmen, damit es den Ethernet\-Frame korrekt adressieren kann\&. Das ist oft langsam und problematisch, da Betriebssysteme nicht in der Erwartung geschrieben wurden, dass sie in kurzer Zeit Millionen von ARP\-Anfragen bei nicht erreichbaren Hosts durchführen müssen\&.
+.sp
+Beim ARP\-Scan ist Nmap mit seinen optimierten Algorithmen zuständig für ARP\-Anfragen\&. Und wenn es eine Antwort erhält, muss sich Nmap nicht einmal um die IP\-basierten Ping\-Pakete kümmern, da es bereits weiß, dass der Host aktiv ist\&. Das macht den ARP\-Scan viel schneller und zuverlässiger als IP\-basierte Scans\&. Deswegen wird er standardmäßig ausgeführt, wenn Ethernet\-Hosts gescannt werden, bei denen Nmap bemerkt, dass sie sich in einem lokalen Ethernet\-Netzwerk befinden\&. Selbst wenn verschiedene Ping\-Arten (wie z\&.B\&.
+\fB\-PE\fR
+oder
+\fB\-PS\fR) angegeben werden, benutzt Nmap stattdessen ARP bei allen Zielen, die im selben LAN sind\&. Wenn Sie einen ARP\-Scan auf gar keinen Fall durchführen möchten, geben Sie
+\fB\-\-send\-ip\fR
+an\&.
+.RE
+.PP
+\fB\-\-traceroute\fR (Traceroutes zum Host) .\" --traceroute .\" traceroute
+.RS 4
+Traceroutes werden nach einem Scan mit Hilfe der Information aus den Scan\-Ergebnissen durchgeführt, um den wahrscheinlichsten Port und das wahrscheinlichste Protokoll zu bestimmen, die zum Ziel führen\&. Es funktioniert mit allen Scan\-Arten außer Connect\-Scans (\fB\-sT\fR) und Idle\-Scans (\fB\-sI\fR)\&. Alle Traces benutzen Nmaps dynamisches Timing\-Modell und werden parallel durchgeführt\&.
+.sp
+Traceroute funktioniert dadurch, dass es Pakete mit kurzer TTL (Time To Live) sendet und damit versucht, ICMP Time\-Exceeded\-Nachrichten von Sprungstellen zwischen dem Scanner und dem Zielhost hervorzurufen\&. Standardimplementationen von Traceroute fangen mit einer TTL von 1 an und inkrementieren die TTL, bis der Zielhost erreicht ist\&. Nmaps Traceroute fängt mit einer hohen TTL an und verringert sie, bis sie Null erreicht\&. Durch dieses umgekehrte Vorgehen kann Nmap clevere Caching\-Algorithmen benutzen, um Traces über mehrere Hosts zu beschleunigen\&. Im Durchschnitt sendet Nmap je nach Netzwerkbedingungen 5\(en10 Pakete weniger pro Host\&. Wenn ein einziges Unternetz gescannt wird (z\&.B\&. 192\&.168\&.0\&.0/24), muss Nmap an die meisten Hosts eventuell nur ein einziges Paket senden\&.
+.RE
+.PP
+\fB\-n\fR (keine DNS\-Auflösung) .\" -n
+.RS 4
+Weist Nmap an,
+\fIniemals\fR
+eine Reverse\-DNS\-Auflösung.\" Reverse-DNS: ausschalten mit -n
+bei den gefundenen aktiven IP\-Adressen durchzuführen\&. Da DNS selbst mit Nmaps eingebautem parallelen Stub\-Resolver langsam sein kann, kann diese Option die Scan\-Zeiten dramatisch reduzieren\&.
+.RE
+.PP
+\fB\-R\fR (DNS\-Auflösung für alle Ziele) .\" -R
+.RS 4
+Weist Nmap an,
+\fIimmer\fR
+eine Reverse\-DNS\-Auflösung bei den Ziel\-IP\-Adressen durchzuführen\&. Normalerweise wird Reverse\-DNS nur bei anwortenden Hosts (die online sind) durchgeführt\&.
+.RE
+.PP
+\fB\-\-system\-dns\fR (verwendet DNS\-Auflösung des Systems) .\" --system-dns
+.RS 4
+Standardmäßig löst Nmap IP\-Adressen auf, indem es Anfragen direkt an die auf Ihrem Host konfigurierten Nameserver schickt und dann auf Antworten wartet\&. Um die Performance zu erhöhen, werden viele Anfragen (oftmals Dutzende) parallel ausgeführt\&. Wenn Sie diese Option angeben, verwenden Sie stattdessen die Auflösungsmethode Ihres Systems (zu jedem Zeitpunkt nur eine IP mit dem Aufruf
+\fBgetnameinfo\fR
+call)\&. Das ist langsam und selten nützlich, es sei denn, Sie finden einen Fehler bei der parallelen Auflösung in Nmap (bitte teilen Sie uns das mit)\&. Bei IPv6\-Scans wird immer die Auflösungsmethode des Systems verwendet\&.
+.\" IPv6: Beschränkungen
+.RE
+.PP
+\fB\-\-dns\-servers \fR\fB\fIserver1\fR\fR\fB[,\fIserver2\fR[,\&.\&.\&.]]\fR\fB \fR (Server, die für Reverse\-DNS\-Anfragen benutzt werden) .\" --dns-servers
+.RS 4
+Standardmäßig bestimmt Nmap Ihre DNS\-Server (für die rDNS\-Auflösung) aus Ihrer Datei resolv\&.conf (Unix) oder der Registry (Win32)\&. Mit dieser Option können Sie alternative Server dazu angeben\&. Diese Option bleibt unbeachtet, falls Sie
+\fB\-\-system\-dns\fR
+oder einen IPv6\-Scan benutzen\&. Oft ist es schneller, mehrere DNS\-Server zu benutzen, besonders dann, wenn Sie für Ihren Ziel\-IP\-Raum maßgebende Server benutzen\&. Diese Option kann auch die Heimlichkeit erhöhen, da Ihre Anfragen von fast jedem rekursiven DNS\-Server im Internet abprallen können\&.
+.sp
+Diese Option ist auch beim Scannen privater Netzwerke praktisch\&. Manchmal bieten nur einige wenige Nameserver saubere rDNS\-Information, und Sie wissen vielleicht nicht einmal, wo sie sind\&. Sie können das Netzwerk auf Port 53 scannen (vielleicht mit Versionserkennung), dann Nmap\-List\-Scans versuchen (\fB\-sL\fR) und dabei mit der Option
+\fB\-\-dns\-servers\fR
+immer nur einen Nameserver angeben, bis Sie einen finden, der funktioniert\&.
+.RE
+.\"
+.SH "Grundlagen von Port-Scans"
+.PP
+Nmap hat über die Jahre an Funktionalität zugelegt, aber angefangen hat es als effizienter Port\-Scanner, und das ist weiterhin seine Kernfunktion\&. Der einfache Befehl
+\fBnmap \fR\fB\fItarget\fR\fR
+scannt die am häufigsten verwendeten 1000 TCP\-Ports auf dem Host
+\fItarget\fR
+und klassifiziert jeden Port in einen der Zustände
+\FCoffen\F[],
+\FCgeschlossen\F[],
+\FCgefiltert\F[],
+\FCungefiltert\F[],
+\FCoffen|gefiltert\F[]
+oder
+\FCgeschlossen|gefiltert\F[]\&.
+.PP
+Diese Zustände sind keine echten Eigenschaften eines Ports selbst, sondern beschreiben, wie Nmap ihn sieht\&. Ein Nmap\-Scan z\&.B\&., bei dem Ausgangs\- und Zielnetzwerk identisch sind, könnte Port
+\FC135/tcp\F[]
+als offen anzeigen, während ein Scan zur selben Zeit mit denselben Optionen über das Internet diesen Port als
+\FCgefiltert\F[]
+anzeigen könnte\&.
+.PP
+\fBDie sechs von Nmap erkannten Port\-Zustände\fR
+.PP
+.\" offen Portzustand offen
+.RS 4
+Ein Programm ist bereit, TCP\-Verbindungen oder UDP\-Pakete auf diesem Port anzunehmen\&. Beim Port\-Scanning ist es oftmals das Ziel, solche Ports zu finden\&. Sicherheitsbewusste Leute wissen, dass jeder offene Port eine breite Einfahrtstrasse für Angriffe darstellt\&. Angreifer und Penetrationstester wollen offene Ports ausbeuten (engl\&. exploit), während Administratoren versuchen, sie zu schließen oder mit Firewalls zu schützen, ohne legitime Benutzer zu behindern\&. Offene Ports sind auch für Scans von Interesse, bei denen es nicht um Sicherheit geht, weil sie Dienste anzeigen, die im Netzwerk benutzt werden können\&.
+.RE
+.PP
+.\" geschlossen Portzustand geschlossen
+.RS 4
+Ein geschlossener Port ist erreichbar (er empfängt und antwortet auf Nmap\-Testpakete), aber es gibt kein Programm, das ihn abhört\&. Er kann von Nutzen sein, um zu zeigen, dass ein Host online ist und eine IP\-Adresse benutzt (Host\-Erkennung oder Ping\-Scanning), sowie als Teil der Betriebssystemerkennung\&. Weil geschlossene Ports erreichbar sind, sind sie es wert, gescannt zu werden, falls sie später einmal geöffnet werden sollten\&. Administratoren möchten solche Ports vielleicht mit einer Firewall blockieren, damit sie im Zustand gefiltert erscheinen, der als Nächstes beschrieben wird\&.
+.RE
+.PP
+.\" gefiltert Portzustand gefiltert
+.RS 4
+Nmap kann nicht feststellen, ob der Port offen ist, weil eine Paketfilterung verhindert, dass seine Testpakete den Port erreichen\&. Die Filterung könnte durch dafür vorgesehene Firewall\-Geräte, Router\-Regeln oder hostbasierte Firewall\-Software erfolgen\&. Weil sie so wenig Information bringen, sind diese Ports für Angreifer frustrierend\&. Manchmal antworten sie mit ICMP\-Fehlermeldungen wie Typ 3, Code 13 (Destination Unreachable: Communication Administratively Prohibited), aber Filter, die Testpakete ohne Antwort einfach verwerfen, kommen wesentlich häufiger vor\&. Das zwingt Nmap zu mehreren wiederholten Versuchen, um auszuschließen, dass das Testpaket wegen einer Netzwerküberlastung statt durch eine Filterung verworfen wurde\&. Diese Art der Filterung verlangsamt einen Scan dramatisch\&.
+.RE
+.PP
+.\" ungefiltert Portzustand ungefiltert
+.RS 4
+Der Zustand ungefiltert bedeutet, dass ein Port zugänglich ist, aber Nmap nicht feststellen kann, ob er offen oder geschlossen ist\&. Nur der ACK\-Scan, der benutzt wird, um Firewall\-Regelwerke zu bestimmen, klassifiziert Ports in diesen Zustand\&. Um festzustellen, ob ein ungefilterter Port offen ist, kann es hilfreich sein, ihn mit anderen Scan\-Methoden wie Window\-Scan, SYN\-Scan oder FIN\-Scan zu scannen\&.
+.RE
+.PP
+.\" offen|gefiltert Portzustand offen|gefiltert
+.RS 4
+Nmap klassifiziert einen Port in diesen Zustand, wenn es nicht feststellen kann, ob der Port offen oder gefiltert ist\&. Das kommt bei Scan\-Methoden vor, in denen offene Ports keine Antwort geben\&. Das Fehlen einer Antwort könnte auch bedeuten, dass ein Paketfilter das Testpaket verworfen hat oder dass keine Antwort provoziert werden konnte\&. Deswegen weiß Nmap nicht sicher, ob der Port offen ist oder gefiltert wird\&. Ports werden von den UDP\-, IP\-Protokoll\-, FIN\-, NULL\- und Xmas\-Scans auf diese Weise klassifiziert\&.
+.RE
+.PP
+.\" geschlossen|gefiltert Portzustand geschlossen|gefiltert
+.RS 4
+Dieser Zustand wird benutzt, wenn Nmap nicht feststellen kann, ob ein Port geschlossen ist oder gefiltert wird\&. Er wird nur vom IP\-ID\-Idle\-Scan benutzt\&.
+.RE
+.SH "Port-Scanning-Methoden"
+.PP
+Als Hobby\-Automechaniker kann ich mich stundenlang damit herumquälen, meine einfachsten Werkzeuge (Hammer, Klebeband, Schraubenschlüssel etc\&.) an mein Problem anzupassen\&. Wenn ich dann kläglich versage und meine alte Blechkiste zu einem echten Mechaniker schleppe, fischt er immer so lange in einer riesigen Werkzeugkiste herum, bis er das perfekte Ding gefunden hat, mit dem sich die Aufgabe fast von allein löst\&. Bei der Kunst des Port\-Scannings ist es ähnlich\&. Experten kennen Dutzende von Scan\-Methoden und wählen für jede Aufgabe die geeignete (oder eine Kombination von mehreren) aus\&. Auf der anderen Seite versuchen unerfahrene Benutzer und Script\-Kiddies,.\" Script Kiddies
+jedes Problem mit dem standardmäßigen SYN\-Scan zu lösen\&. Da Nmap gratis ist, ist Unwissen das einzige Hindernis auf dem Weg zur Meisterschaft im Port\-Scanning\&. Das ist bestimmt besser als in der Autowelt, wo man eventuell sehr viel Können haben muss, um festzustellen, dass man einen Federbein\-Kompressor benötigt, und dann immer noch Tausende dafür bezahlen muss\&.
+.PP
+Die meisten Scan\-Typen stehen nur privilegierten Benutzern zur Verfügung,.\" Benutzer mit Sonderrechten
+und zwar deswegen, weil sie rohe IP\-Pakete.\" rohe Pakete
+senden und empfangen, wofür auf Unix\-Systemen root\-Rechte benötigt werden\&. Auf Windows empfiehlt sich ein Administrator\-Account, wenngleich auf dieser Plattform Nmap manchmal auch für unprivilegierte Benutzer funktioniert, sofern WinPcap bereits in das Betriebssystem geladen wurde\&. Als Nmap 1997 veröffentlicht wurde, war die Voraussetzung von root\-Rechten eine ernsthafte Beschränkung, da viele Benutzer nur Zugriff zu Shell\-Accounts hatten\&. Die Welt von heute ist anders\&. Computer sind billiger, wesentlich mehr Menschen verfügen über einen immer verfügbaren direkten Internet\-Zugang, und Desktop\-Unix\-Systeme (inklusive Linux und Mac OS X) sind weit verbreitet\&. Eine Windows\-Version von Nmap ist nun auch verfügbar, wodurch es nun auf noch mehr Rechnern laufen kann\&. Aus all diesen Gründen sind Benutzer nur noch selten gezwungen, Nmap von einem beschränkten Shell\-Account aus einzusetzen\&. Das ist erfreulich, denn die privilegierten Optionen machen Nmap wesentlich mächtiger und flexibler\&.
+.PP
+Auch wenn Nmap versucht, genaue Ergebnisse zu produzieren, sollten Sie nicht vergessen, dass all seine Erkenntnisse auf Paketen basieren, die von den Zielrechnern (oder den Firewalls davor) zurückkommen\&. Solche Hosts können unzuverlässig sein und eine Antwort senden, die Nmap verwirren oder täuschen soll\&. Wesentlich häufiger sind Hosts, die nicht RFC\-konform sind und auf Testpakete von Nmap nicht so antworten, wie sie sollten\&. FIN\-, NULL\- und Xmas\-Scans sind für dieses Problem besonders anfällig\&. Solche Probleme sind spezifisch für bestimmte Scan\-Methoden und werden daher in den jeweiligen Abschnitten erörtert\&.
+.PP
+Dieser Abschnitt dokumentiert die etwa ein Dutzend von Nmap unterstützten Port\-Scan\-Methoden\&. Es darf immer nur eine Methode allein benutzt werden, mit der Ausnahme von UDP\-Scans (\fB\-sU\fR), die sich mit allen anderen TCP\-Scan\-Methoden kombinieren lassen\&. Hier eine Gedächtnisstütze: Optionen für Port\-Scan\-Methoden haben die Form
+\fB\-s\fR\fB\fIC\fR\fR, wobei
+\fIC\fR
+ein bedeutender Buchstabe im Scan\-Namen ist, normalerweise der erste\&. Die eine Ausnahme hiervon ist der als veraltet betrachtete FTP\-Bounce\-Scan (\fB\-b\fR)\&. Nmap führt standardmäßig einen SYN\-Scan durch, ersetzt diesen aber mit einem Connect\-Scan, falls der Benutzer nicht die nötigen Rechte hat, um rohe Pakete (benötigen unter Unix root\-Rechte) zu senden, oder falls er IPv6\-Ziele angegeben hat\&. Von den in diesem Abschnitt aufgelisteten Scans dürfen Benutzer ohne Sonderrechte nur den Connect\- und FTP\-Bounce\-Scan ausführen\&.
+.PP
+\fB\-sS\fR (TCP\-SYN\-Scan) .\" -sS .\" SYN-Scan
+.RS 4
+Der SYN\-Scan ist aus gutem Grund die Standardeinstellung und die beliebteste Scan\-Methode\&. Er kann schnell durchgeführt werden und scannt dabei Tausende von Ports pro Sekunde, wenn das Netzwerk schnell ist und nicht von einer intrusiven Firewall behindert wird\&. Der SYN\-Scan ist relativ unauffällig, da er TCP\-Verbindungen niemals abschließt\&. Außerdem funktioniert er auch bei allen konformen TCP\-Stacks und ist unabhängig von spezifischen Eigenarten von Plattformen, wie es bei den FIN\-/NULL\-/Xmas\-, Maimon\- und Idle\-Scans in Nmap der Fall ist\&. Er erlaubt auch eine klare, zuverlässige Unterscheidung zwischen den Zuständen
+\FCoffen\F[],
+\FCgeschlossen\F[]
+und
+\FCgefiltert\F[]\&.
+.sp
+Diese Methode wird oft als halboffenes Scannen bezeichnet, weil keine vollständige TCP\-Verbindung hergestellt wird\&. Sie senden ein SYN\-Paket, als ob Sie eine echte Verbindung herstellen würden, und warten dann auf eine Antwort\&. Ein SYN/ACK zeigt, dass jemand auf dem Port lauscht (dass er offen ist), während ein RST (Reset) anzeigt, dass niemand darauf lauscht\&. Falls nach mehreren erneuten Übertragungen keine Antwort erhalten wird, wird der Port als gefiltert markiert\&. Der Port wird auch dann als gefiltert markiert, wenn ein ICMP Unreachable\-Fehler (Typ 3, Code 1, 2, 3, 9, 10 oder 13) empfangen wird\&.
+.RE
+.PP
+\fB\-sT\fR (TCP\-Connect\-Scan) .\" -sT .\" Connect-Scan
+.RS 4
+Der TCP\-Connect\-Scan ist der standardmäßig eingestellte TCP\-Scan\-Typ, falls der SYN\-Scan nicht möglich ist\&. Das ist dann der Fall, wenn der Benutzer kein Recht hat, rohe Pakete zu senden, oder wenn er IPv6\-Netzwerke scannt\&. Statt rohe Pakete zu schreiben, wie es die meisten anderen Scan\-Typen machen, bittet Nmap das darunterliegende Betriebssystem, eine Verbindung mit dem Zielrechner und \-port herzustellen, indem es einen Systemaufruf namens
+\fBconnect\fR
+benutzt\&. Das ist derselbe Systemaufruf auf höherer Ebene, den Webbrowser, P2P\-Clients und die meisten anderen netzwerkfähigen Anwendungen benutzen, um eine Verbindung herzustellen\&. Er ist Teil einer Programmierschnittstelle, die unter dem Namen Berkeley Sockets\-API bekannt ist\&. Statt Antworten in Form roher Pakete von der Leitung zu lesen, benutzt Nmap diese API, um zu jedem Verbindungsversuch eine Statusinformation zu erhalten\&.
+.sp
+Wenn der SYN\-Scan verfügbar ist, ist er normalerweise die bessere Wahl\&. Nmap hat weniger Einfluss auf den
+\fBconnect\fR\-Systemaufruf als auf rohe Pakete, wodurch es weniger effizient wird\&. Der Systemaufruf beendet Verbindungen zu offenen Ziel\-Ports vollständig, statt sie in halboffenen Zustand zurückzusetzen, wie es der SYN\-Scan macht\&. Das dauert nicht nur länger und erfordert mehr Pakete, um an dieselbe Information zu gelangen, sondern es ist sehr viel wahrscheinlicher, dass die Zielrechner die Verbindung protokollieren\&. Ein anständiges IDS wird beides mitbekommen, aber die meisten Rechner verfügen nicht über ein solches Alarmsystem\&. Viele Dienste auf Ihrem durchschnittlichen Unix\-System fügen eine Notiz ins syslog hinzu und manchmal eine kryptische Fehlermeldung, wenn Nmap eine Verbindung herstellt und sofort wieder schließt, ohne Daten zu senden\&. Ganz armselige Dienste stürzen auch ab, wenn so etwas passiert, was aber eher selten ist\&. Ein Administrator, der in seinen Protokollen einen Haufen Verbindungsversuche von einem einzelnen System aus sieht, sollte wissen, dass er Ziel eines Connect\-Scans wurde\&.
+.RE
+.PP
+\fB\-sU\fR (UDP\-Scan) .\" -sU .\" UDP-Scan
+.RS 4
+Obwohl die meisten bekannten Dienste im Internet über das TCP\-Protokoll laufen, sind
+\m[blue]\fBUDP\fR\m[]\&\s-2\u[4]\d\s+2\-Dienste weitverbreitet\&. Drei der häufigsten sind DNS, SNMP und DHCP (auf den registrierten Ports 53, 161/162 und 67/68)\&. Weil UDP\-Scans im Allgemeinen langsamer und schwieriger als TCP\-Scans sind, werden diese Ports von manchen Sicherheitsprüfern einfach ignoriert\&. Das ist ein Fehler, denn ausbeutbare UDP\-Dienste sind recht häufig, und Angreifer ignorieren bestimmt nicht das ganze Protokoll\&. Zum Glück kann Nmap helfen, diese UDP\-Ports zu inventarisieren\&.
+.sp
+Ein UDP\-Scan wird mit der Option
+\fB\-sU\fR
+aktiviert\&. Er kann mit einem TCP\-Scan\-Typ wie einem SYN\-Scan (\fB\-sS\fR) kombiniert werden, um beide Protokolle im gleichen Durchlauf zu prüfen\&.
+.sp
+Beim UDP\-Scan wird ein leerer UDP\-Header (ohne Daten) an alle Ziel\-Ports geschickt\&. Falls ein ICMP Port\-unreachable\-Fehler (Typ 3, Code 3) zurückkommt, ist der Port
+\FCgeschlossen\F[]\&. Andere ICMP Unreachable\-Fehler (Typ 3, Codes 1, 2, 9, 10 oder 13) markieren den Port als
+\FCfiltered\F[]\&. Gelegentlich wird ein Dienst mit einem UDP\-Paket antworten, was beweist, das er
+\FCoffen\F[]
+ist\&. Falls nach einigen erneuten Übertragungen keine Antwort erhalten wird, wird der Port als
+\FCoffen|gefiltert\F[]
+klassifiziert\&. Das heißt, der Port könnte offen sein, oder aber es gibt Paketfilter, die die Kommunikation blockieren\&. Man kann eine Versionserkennung (\fB\-sV\fR) benutzen, um bei der Unterscheidung der wirklich offenen von den geschlossenen Ports zu helfen\&.
+.sp
+Eine große Herausforderung beim UDP\-Scanning ist Geschwindigkeit\&. Offene und gefilterte Ports antworten nur selten, wodurch Nmap Zeitbeschränkungen überschreitet und seine Anfragen erneut sendet, für den Fall, dass das Testpaket oder die Antwort verloren ging\&. Geschlossene Ports sind oftmals ein noch größeres Problem\&. Sie senden normalerweise eine ICMP Port\-unreachable\-Fehlermeldung zurück\&. Aber anders als die RST\-Pakete, die von geschlossenen TCP\-Ports als Antwort auf einen SYN\- oder Connect\-Scan geschickt werden, beschränken viele Hosts standardmäßig die Rate.\" Ratenbeschränkung
+der ICMP Port\-unreachable\-Nachrichten\&. Linux und Solaris sind dabei besonders streng\&. Der Linux\-Kernel 2\&.4\&.20 z\&.B\&. beschränkt Destination\-unreachable\-Nachrichten auf eine pro Sekunde (in
+\FCnet/ipv4/icmp\&.c\F[])\&.
+.sp
+Nmap erkennt eine Ratenbeschränkung und verlangsamt seinen Betrieb entsprechend, um zu vermeiden, dass das Netzwerk mit nutzlosen Paketen überflutet wird, die vom Zielrechner verworfen werden\&. Unglücklicherweise führt eine Beschränkung wie in Linux auf ein Paket pro Sekunde dazu, dass ein Scan von 65\&.536 Ports über 18 Stunden dauert\&. Um Ihre UDP\-Scans zu beschleunigen, können Sie z\&.B\&. mehr Hosts parallel scannen, zuerst nur einen schnellen Scan der beliebten Ports durchführen, von hinter der Firewall scannen und die Option
+\fB\-\-host\-timeout\fR
+benutzen, um langsame Hosts auszulassen\&.
+.RE
+.PP
+\fB\-sN\fR; \fB\-sF\fR; \fB\-sX\fR (TCP\-NULL\-, FIN\- und \-Xmas\-Scans) .\" -sN .\" -sF .\" -sX .\" NULL-Scan .\" FIN-Scan .\" Xmas-Scan
+.RS 4
+Diese drei Scan\-Typen (noch mehr sind mit der im nächsten Abschnitt beschriebenen Option
+\fB\-\-scanflags\fR
+möglich) beuten ein subtiles Schlupfloch im
+\m[blue]\fBTCP RFC\fR\m[]\&\s-2\u[5]\d\s+2
+aus, um zwischen
+\FCoffenen\F[]
+und
+\FCgeschlossenen\F[]
+Ports zu unterscheiden\&. Seite 65 von RFC 793 besagt:
+\(lqFalls der Zustand des [Ziel\-] Ports GESCHLOSSEN ist \&.\&.\&. bewirkt ein eingehendes Segment, in dem sich kein RST befindet, dass ein RST als Antwort gesendet wird\&.\(rq
+Die nächste Seite beschreibt dann Pakete, die ohne gesetztes SYN\-, RST\- oder ACK\-Bit an offene Ports geschickt werden, und dort heißt es weiter:
+\(lqEs ist unwahrscheinlich, dass Sie hierhin kommen, aber wenn doch, dann verwerfen Sie das Segment und springen Sie zurück\&.\(rq
+.sp
+Beim Scannen von Systemen, die konform zu diesem RFC\-Text sind, führt jedes Paket, das kein SYN\-, RST\- oder ACK\-Bit enthält, dazu, dass ein RST zurückgegeben wird, wenn der Port geschlossen ist, bzw\&. zu gar keiner Antwort, falls der Port offen ist\&. Solange keines dieser drei Bits gesetzt ist, sind alle Kombinationen der anderen drei (FIN, PSH und URG) okay\&. Das nutzt Nmap mit drei Scan\-Typen aus:
+.PP
+Null\-Scan (\fB\-sN\fR)
+.RS 4
+Setzt keinerlei Bits (der TCP\-Flag\-Header ist 0)\&.
+.RE
+.PP
+FIN\-Scan (\fB\-sF\fR)
+.RS 4
+Setzt nur das TCP\-FIN\-Bit\&.
+.RE
+.PP
+Xmas\-Scan (\fB\-sX\fR)
+.RS 4
+Setzt die FIN\-, PSH\- und URG\-Flags und beleuchtet das Paket wie einen Weihnachtsbaum (engl\&. Xmas)\&.
+.RE
+.sp
+Diese drei Scan\-Typen haben exakt dasselbe Verhalten und unterscheiden sich nur in den TCP\-Flags ihrer Testpakete\&. Wenn ein RST\-Paket empfangen wird, wird der Port als
+\FCgeschlossen\F[]
+betrachtet, während keine Antwort bedeutet, dass er
+\FCoffen|gefiltert\F[]
+ist\&. Der Port wird als
+\FCgefiltert\F[]
+markiert, falls ein ICMP Unreachable\-Fehler (Type 3, Code 1, 2, 3, 9, 10 oder 13) empfangen wird\&.
+.sp
+Der Schlüsselvorteil dieser Scan\-Arten ist, dass sie sich an bestimmten zustandslosen Firewalls und paketfilternden Routern vorbeschleichen können\&. Ein weiterer Vorteil ist, dass diese Scan\-Arten ncoh ein wenig unauffälliger sind als ein SYN\-Scan\&. Aber verlassen Sie sich nicht darauf \(en die meisten modernen IDS\-Produkte können so konfiguriert werden, dass sie diese Scans erkennen\&. Der große Nachteil ist, dass nicht alle Systeme sich ganz genau an RFC 793 halten\&. Eine Reihe von Systemen sendet RST\-Antworten auf die Testpakete, unabhängig davon, ob der Port offen ist oder nicht\&. Das bewirkt, dass alle Ports als
+\FCgeschlossen\F[]
+markiert werden\&. Hauptvertreter der Betriebssysteme, die das machen, sind Microsoft Windows, viele Cisco\-Geräte, BSDI und IBM OS/400\&. Aber auf den meisten Unix\-basierten Systemen funktioniert dieser Scan\&. Ein weiterer Nachteil dieser Scans ist, dass sie keine Unterscheidung zwischen
+\FCoffenen\F[]
+und bestimmten
+\FCgefilterten\F[]
+Ports machen, sondern lediglich das Ergebnis
+\FCoffen|gefiltert\F[]
+ausgeben\&.
+.RE
+.PP
+\fB\-sA\fR (TCP\-ACK\-Scan) .\" -sA .\" ACK-Scan
+.RS 4
+Dieser Scan unterscheidet sich insofern von den bisher hier vorgestellten, als er nie
+\FCoffene\F[]
+(oder auch nur
+\FCoffene|gefilterte\F[]) Ports bestimmt\&. Er wird dazu benutzt, Firewall\-Regeln zu bestimmen, festzustellen, ob sie zustandsbehaftet sind oder nicht, und welche Ports gefiltert werden\&.
+.sp
+Beim Testpaket eines ACK\-Scans wird nur das ACK\-Flag gesetzt (es sei denn, Sie benutzen
+\fB\-\-scanflags\fR)\&. Beim Scannen ungefilterter Systeme werden sowohl
+\FCoffene\F[]
+als auch
+\FCgeschlossene\F[]
+Ports ein RST\-Paket zurückgeben\&. Nmap markiert sie dann als
+\FCungefiltert\F[], d\&.h\&. sie werden vom ACK\-Paket erreicht, aber es kann nicht bestimmt werden, ob sie
+\FCoffen\F[]
+oder
+\FCgeschlossen\F[]
+sind\&. Ports, die nicht antworten oder bestimmte ICMP\-Fehlermeldungen zurückgeben (Type 3, Code 1, 2, 3, 9, 10 oder 13), werden als
+\FCgefiltert\F[]
+markiert\&.
+.RE
+.PP
+\fB\-sW\fR (TCP\-Window\-Scan) .\" -sW .\" Window-Scan
+.RS 4
+Der Window\-Scan ist genau derselbe wie der ACK\-Scan, nur dass er ein Implementationsdetail bestimmter Systeme zur Unterscheidung zwischen offenen und geschlossenen Ports nutzt, statt bei jedem erhaltenen RST immer nur
+\FCungefiltert\F[]
+anzugeben\&. Das geschieht durch Analyse der TCP\-Fenstergröße der zurückgegebenen RST\-Pakete\&. Auf manchen Systemen benutzen offene Ports eine positive Fenstergröße (sogar für RST\-Pakete), während geschlossene eine Fenstergröße von Null haben\&. Statt einen Port immer als
+\FCungefiltert\F[]
+aufzulisten, wenn von dort ein RST zurückkommt, listet der Window\-Scan den Port als
+\FCoffen\F[]
+oder
+\FCgeschlossen\F[]
+auf, je nachdem, ob die TCP\-Fenstergröße in diesem Reset jeweils positiv oder Null ist\&.
+.sp
+Dieser Scan baut auf einem Implementationsdetail einer Minderheit von Systemen im Internet auf, d\&.h\&. Sie können sich nicht immer darauf verlassen\&. Systeme, die es nicht unterstützen, werden normalerweise alle Ports als
+\FCgeschlossen\F[]
+zurückgeben\&. Natürlich ist es möglich, dass auf dem Rechner wirklich keine offenen Ports sind\&. Falls die meisten gescannten Ports
+\FCgeschlossen\F[], aber einige Ports mit geläufigen Nummern (wie 22, 25 und 53)
+\FCgefiltert\F[]
+sind, dann ist das System sehr wahrscheinlich anfällig\&. Gelegentlich zeigen Systeme auch genau das gegenteilige Verhalten\&. Falls Ihr Scan 1000 offene und drei geschlossene oder gefilterte Ports anzeigt, dann könnten jene drei sehr wohl die wirklich wahren offenen Ports sein\&.
+.RE
+.PP
+\fB\-sM\fR (TCP\-Maimon\-Scan) .\" -sM .\" Maimon-Scan
+.RS 4
+Der Maimon\-Scan wurde nach seinem Erfinder, Uriel Maimon,.\" Maimon, Uriel
+benannt\&. Er hat diese Methode im
+Phrack\-Magazin, Ausgabe #49 (November 1996),.\" Phrack
+beschrieben\&. Zwei Ausgaben später war diese Methode in Nmap enthalten\&. Sie macht genau das Gleiche wie der NULL\-, FIN\- und Xmas\-Scan, außer, dass sie ein FIN/ACK\-Testpaket verwendet\&. Laut
+\m[blue]\fBRFC 793\fR\m[]\&\s-2\u[5]\d\s+2
+(TCP) sollte als Antwort auf solch ein Paket ein RST\-Paket erzeugt werden, egal ob der Port offen oder geschlossen ist\&. Allerdings hatte Uriel bemerkt, dass viele von BSD abgeleitete Systeme das Paket einfach verwerfen, wenn der Port offen ist\&.
+.RE
+.PP
+\fB\-\-scanflags\fR (Benutzerdefinierter TCP\-Scan) .\" --scanflags
+.RS 4
+Wirklich fortgeschrittene Nmap\-Benutzer brauchen sich nicht auf die vorgefertigten Scan\-Typen zu beschränken\&. Mit der Option
+\fB\-\-scanflags\fR
+können Sie Ihren eigenen Scan entwerfen, für den Sie beliebige TCP\-Flags angeben können\&..\" TCP-Flags
+Lassen Sie Ihrer Kreativität freien Lauf und umgehen Sie Intrusion\-Detection\-Systeme,.\" Intrusion-Detection-Systeme: umgehen
+deren Hersteller einfach die Nmap\-Manpage durchgeblättert und spezifische Regeln dafür angegeben haben!
+.sp
+Das Argument für
+\fB\-\-scanflags\fR
+kann ein numerischer Flag\-Wert wie z\&.B\&. 9 (PSH und FIN) sein, aber symbolische Namen sind einfacher zu benutzen\&. Erstellen Sie einfach eine beliebige Kombination von
+\FCURG\F[],
+\FCACK\F[],
+\FCPSH\F[],
+\FCRST\F[],
+\FCSYN\F[]
+und
+\FCFIN\F[]\&. So setzt z\&.B\&.
+\fB\-\-scanflags URGACKPSHRSTSYNFIN\fR
+alle Flags, auch wenn das beim Scannen nicht besonders hilfreich ist\&. Die Reihenfolge, in der Sie diese Flags angeben, spielt keine Rolle\&.
+.sp
+Zusätzlich zu den gewünschten Flags können Sie einen TCP\-Scan\-Typen (z\&.B\&.
+\fB\-sA\fR
+oder
+\fB\-sF\fR) angeben\&. Dieser Basistyp sagt Nmap, wie es die Antworten interpretieren soll\&. Ein SYN\-Scan z\&.B\&. betrachtet das Fehlen einer Antwort als einen Hinweis auf einen
+\FCgefilterten\F[]
+Port, während ein FIN\-Scan das als einen Hinweis auf einen\FCoffen|gefilterten\F[]
+Port ansieht\&. Nmap verhält sich genauso wie beim Scan\-Basistyp, nur mit dem Unterschied, dass es die von Ihnen angegebenen TCP\-Flags benutzt\&. Ohne Angabe eines Basistyps wird ein SYN\-Scan benutzt\&.
+.RE
+.PP
+\fB\-sI \fR\fB\fIzombie host\fR\fR\fB[:\fIprobeport\fR]\fR (Idle\-Scan) .\" -sI .\" Idle-Scan
+.RS 4
+Diese fortgechrittene Scan\-Methode ermöglicht einen wirklich blinden TCP\-Port\-Scan des Ziels, d\&.h\&. es werden keine Pakete von Ihrer wahren IP\-Adresse an das Ziel gesendet\&. Stattdessen wird mit einem Angriff auf einem parallelen Kanal eine vorhersagbare Erzeugung von Folgen von IP\-Fragmentation\-IDs auf dem Zombie\-Host ausgebeutet, um an Information über offene Ports auf dem Ziel zu gelangen\&. IDS\-Systeme zeigen als Urheber des Scans den Zombie\-Rechner an, den Sie angeben (der aktiv sein und einige bestimmte Bedingungen erfüllen muss)\&.
+Da dieser faszinierende Scan\-Typ zu komplex ist, um ihn in diesem Handbuch vollständig zu beschreiben, habe ich einen Artikel mit vollständigen Details dazu geschrieben und unter \m[blue]\fB\%http://nmap.org/book/idlescan.html\fR\m[] veröffentlicht\&.
+.sp
+Dieser Scan\-Typ ist nicht nur extrem unauffällig (wegen seiner Blindheit), sondern erlaubt auch, IP\-basierte Vetrauensbeziehungen zwischen Rechnern festzustellen\&. Die Portliste zeigt offene Ports
+\fIaus der Sicht des Zombie\-Hosts\fR
+an\&. Also können Sie versuchen, ein Ziel mit verschiedenen Zombies zu scannen, von denen Sie denken, dass sie vertrauenswürdig sind.\" Vertrauensbeziehungen
+(über Router\-/Paketfilterregeln)\&.
+.sp
+Wenn Sie einen bestimmten Port auf dem Zombie auf IP\-ID\-Änderungen testen möchten, können Sie einen Doppelpunkt gefolgt von einer Portnummer an den Zombie\-Host hinzufügen\&. Sonst benutzt Nmap den Port, den es standardmäßig bei TCP\-Pings benutzt (80)\&.
+.RE
+.PP
+\fB\-sO\fR (IP\-Protokoll\-Scan) .\" -sO .\" IP-Protokoll-Scan
+.RS 4
+Der IP\-Protokoll\-Scan ermöglicht die Bestimmung der IP\-Protokolle (TCP, ICMP, IGMP etc\&.), die von Zielrechnern unterstützt werden\&. Rein technisch ist das kein Port\-Scan, da er über Nummern von IP\-Protokollen statt TCP\- oder UDP\-Ports vorgeht\&. Dennoch benutzt er die Option
+\fB\-p\fR
+für die Auswahl der zu scannenden Protokollnummern, gibt seine Ergebnisse im normalen Port\-Tabellenformat aus und benutzt sogar dieselbe grundlegende Scan\-Engine wie die echten Port\-Scanning\-Methoden\&. Damit ist er einem Port\-Scan ähnlich genug, um an dieser Stelle beschrieben zu werden\&.
+.sp
+Abgesehen davon, dass er schon als solcher nützlich ist, zeigt der Protokoll\-Scan die Macht von Open\-Source\-Software\&. Auch wenn die grundlegende Idee recht simpel ist, hatte ich nicht daran gedacht, ihn hinzuzufügen, und bekam auch keine Anfragen nach einer solchen Funktionalität\&. Dann, im Sommer 2000, hatte Gerhard Rieger.\" Rieger, Gerhard
+die Idee, schrieb einen exzellenten Patch als Implementation und sendete ihn an die Mailingliste
+nmap\-hackers\&..\" nmap-hackers Mailingliste
+Diesen Patch habe ich in den Nmap\-Baum aufgenommen und einen Tag später eine neue Version veröffentlicht\&. Es gibt nur wenig kommerzielle Software, deren Benutzer so enthusiastisch sind, dass sie eigene Verbesserungen dafür entwerfen und beitragen!
+.sp
+Der Protokoll\-Scan funktioniert auf ähnliche Weise wie der UDP\-Scan\&. Statt über das Portnummernfeld eines UDP\-Pakets zu iterieren, sendet er IP\-Paketheader und iteriert über das acht Bit große IP\-Protokollfeld\&. Die Header sind normalerweise leer, enthalten keine Daten und nicht einmal den richtigen Header für das behauptete Protokoll\&. Die drei Ausnahmen davon sind TCP, UDP und ICMP\&. Für diese werden richtige Protokoll\-Header verwendet, da manche Systeme sie sonst nicht versenden und weil Nmap bereits über die Funktionen verfügt, um sie zu erzeugen\&. Statt Nachrichten der Art ICMP Port unreachable sucht der Protokoll\-Scan nach ICMP
+\fIProtocol\fR
+unreachable\&. Falls Nmap zu irgendeinem Protokoll eine Antwort vom Zielhost erhält, markiert es das Protokoll als
+\FCoffen\F[]\&. Bei einem ICMP Protocol\-unreachable\-Fehler (Typ 3, Code 2) wird das Protokoll als
+\FCgeschlossen\F[]
+markiert\&. Bei anderen ICMP Unreachable\-Fehlern (Typ 3, Code 1, 3, 9, 10 oder 13) wird das Protokoll als
+\FCgefiltert\F[]
+markiert (auch wenn sie gleichzeitig beweisen, dass ICMP
+\FCoffen\F[]
+ist)\&. Falls nach einigen erneuten Übertragungen keine Antwort erhalten wird, wird das Protokoll als
+\FCoffen|gefiltert\F[]
+markiert\&.
+.RE
+.PP
+\fB\-b \fR\fB\fIFTP relay host\fR\fR (FTP\-Bounce\-Scan) .\" -b .\" FTP-Bounce-Scan
+.RS 4
+Eine interessante Eigenschaft des FTP\-Protokolls (\m[blue]\fBRFC 959\fR\m[]\&\s-2\u[6]\d\s+2) ist dessen Unterstützung sogenannter Proxy\-FTP\-Verbindungen\&. Damit kann sich ein Benutzer mit einem FTP\-Server verbinden und dann verlangen, dass Dateien an einen Server einer dritten Partei gesendet werden\&. Solch eine Eigenschaft ist auf vielen Ebenen sturmreif für Missbrauch, weswegen die meisten Server sie nicht mehr unterstützen\&. Ein solcher Missbrauch, den diese Eigenschaft ermöglicht, ist, den FTP\-Server für Port\-Scans anderer Hosts zu benutzen\&. Bitten Sie den FTP\-Server einfach, eine Datei nacheinander an alle interessanten Ports eines Zielhosts zu senden\&. Die Fehlermeldung wird beschreiben, ob der Port offen ist oder nicht\&. Das ist ein guter Weg, Firewalls zu umgehen, weil FTP\-Server von Organisationen oft an Orten platziert sind, von denen aus sie besseren Zugriff auf weitere interne Hosts haben, als es jeder alte Internet\-Host hätte\&. Nmap unterstützt den FTP\-Bounce\-Scan mit der Option
+\fB\-b\fR\&. Sie erwartet ein Argument der Form
+\fIusername\fR:\fIpassword\fR@\fIserver\fR:\fIport\fR\&. Dabei ist
+\fIServer\fR
+der Name oder die IP\-Adresse eines anfälligen FTP\-Servers\&. Wie bei einer normalen URL können Sie
+\fIusername\fR:\fIpassword\fR
+auch weglassen, wobei dann eine anonyme Anmeldung erfolgt (username:
+\FCanonymous\F[]
+password:\FC\-wwwuser@\F[])\&. Die Portnummer (samt Doppelpunkt davor) können Sie ebenfalls weglassen, wobei dann auf
+\fIserver\fR
+der Standard\-FTP\-Port (21) benutzt wird\&.
+.sp
+Als Nmap 1997 veröffentlicht wurde, war diese Schwachstelle weit verbreitet, wurde seitdem aber größtenteils behoben\&. Aber da es immer noch anfällige Server gibt, lohnt sich ein Versuch, falls alles andere versagt\&. Wenn Sie eine Firewall umgehen möchten, scannen Sie das Zielnetzwerk nach einem offenen Port 21 (oder sogar nach beliebigen FTP\-Diensten, falls Sie alle Ports mit Versionserkennung scannen können), und probieren Sie dann für jeden einen Bounce\-Scan aus\&. Nmap wird Ihnen sagen, ob der Host angreifbar ist oder nicht\&. Versuchen Sie lediglich, Ihre Spuren zu verwischen, dann brauchen Sie sich nicht (und tatsächlich sollten Sie das nicht einmal) auf Hosts im Zielnetzwerk zu beschränken\&. Bevor Sie anfangen, zufällige Internet\-Adressen nach anfälligen FTP\-Servern zu scannen, bedenken Sie, dass Sysadmins keinen Gefallen daran finden werden, dass Sie ihre Server auf diese Weise missbrauchen\&.
+.RE
+.SH "Port-Angabe und Scan-Reihenfolge"
+.\" Port-Angabe
+.PP
+Zusätzlich zu all den bisher erläuterten Scan\-Methoden bietet Nmap Optionen, mit denen man angibt, welche Ports gescannt werden und ob die Scan\-Reihenfolge randomisiert oder sequentiell ist\&. Nmap scannt standardmäßig für jedes Protokoll die 1000 meistbenutzten Ports\&.
+.\" vorgegebene Ports
+.PP
+\fB\-p \fR\fB\fIport ranges\fR\fR (scannt nur angegebene Ports) .\" -p
+.RS 4
+Diese Option gibt an, welche Ports Sie scannen möchten, und überschreibt die Voreinstellung\&. Einzelne Portnummern sind okay, ebenso wie mit einem Bindestrich getrennte Bereiche (z\&.B\&.
+\FC1\-1023\F[])\&. Anfangs\- und/oder Endwerte eines Bereichs können weggelassen werden und werden von Nmap dann mit jeweils 1 bzw\&. 65535 ersetzt\&. So können Sie mit
+\fB\-p\-\fR
+alle Ports von 1 bis 65535 scannen\&. Es ist erlaubt, den Port Null.\" Port Null
+zu scannen, wenn Sie ihn explizit angeben\&. Bei IP\-Protokoll\-Scans (\fB\-sO\fR) gibt diese Option die Protokollnummern an, die Sie scannen möchten (0\(en255)\&.
+.sp
+Wenn Sie sowohl TCP\- als auch UDP\-Ports scannen, können Sie ein bestimmtes Protokoll angeben, indem Sie den Portnummern ein
+\FCT:\F[]
+bzw\&.
+\FCU:\F[]
+voranstellen\&. Dieser Kennzeichner gilt so lange, bis Sie einen anderen angeben\&. Zum Beispiel werden bei dem Argument
+\fB\-p U:53,111,137,T:21\-25,80,139,8080\fR
+die UDP\-Ports 53, 111 und 137 sowie die angegebenen TCP\-Ports gescannt\&. Beachten Sie, dass Sie
+\fB\-sU\fR
+und mindestens einen TCP\-Scan\-Typ (z\&.B\&.
+\fB\-sS\fR,
+\fB\-sF\fR
+oder
+\fB\-sT\fR) angeben müssen, um sowohl UDP als auch TCP zu scannen\&. Falls kein Protokollkennzeichner angegeben ist, werden die Portnummern zu allen Protokolllisten hinzugefügt\&.
+.\" Port-Angabe: Joker in
+.\" Wildcards
+Ports können auch mit dem Namen angegeben werden, der für diesen Port in
+\FCnmap\-services\F[]
+definiert ist\&. Sie können bei diesen Namen sogar die Joker * und ? verwenden\&. Um z\&.B\&. FTP und alle Ports zu scannen, deren Namen mit
+\(lqhttp\(rq
+anfangen, benutzen Sie
+\fB\-p ftp,http*\fR\&. Passen Sie auf eine eventuelle Erweiterung durch die Shell auf und setzen Sie das Argument von
+\fB\-p\fR
+in Anführungszeichen, wenn Sie unsicher sind\&.
+.sp
+Port\-Bereiche können in eckigen Klammern angegeben werden, um Ports innerhalb dieses Bereiches anzugeben, die in
+\FCnmap\-services\F[]
+vorkommen\&. Zum Beispiel scannt Folgendes alle Ports in
+\FCnmap\-services\F[]
+kleiner oder gleich 1024:
+\fB\-p [\-1024]\fR\&. Passen Sie auf eine eventuelle Erweiterung durch die Shell auf und setzen Sie das Argument von
+\fB\-p\fR
+in Anführungszeichen, wenn Sie unsicher sind\&.
+.RE
+.PP
+\fB\-F\fR (schneller (beschränkter Port\-) Scan) .\" -F .\" schneller Scan
+.RS 4
+Gibt an, dass Sie weniger Ports scannen möchten, als standardmäßig vorgesehen\&. Normalerweise scannt Nmap die 1000 am häufigsten vorkommenden Ports bei jedem gescannten Protokoll\&. Mit
+\fB\-F\fR
+werden diese auf 100 beschränkt\&.
+.sp
+Nmap benötigt die Datei
+\FCnmap\-services\F[]
+mit Informationen zur Häufigkeit, um zu wissen, welche Ports am häufigsten benutzt werden\&. Wenn keine Angaben über die Port\-Häufigkeit verfügbar sind, vielleicht weil eine benutzerdefinierte
+\FCnmap\-services\F[]\-Datei verwendet wird, dann bedeutet
+\fB\-F\fR, dass nur Ports gescannt werden, die in der Dienstedatei mit Namen vorkommen (normalerweise scannt Nmap alle benannten Ports plus die Ports 1\(en1024)\&.
+.RE
+.PP
+\fB\-r\fR (Ports nicht randomisieren) .\" -r .\" Randomisierung von Ports
+.RS 4
+Standardmäßig randomisiert Nmap die Reihenfolge der gescannten Ports (bis auf einige allgemein zugängliche Ports, die aus Effizienzgründen vorgezogen werden)\&. Diese Randomisierung ist normalerweise erwünscht, aber Sie können stattdessen auch
+\fB\-r\fR
+für einen sequentiellen Port\-Scan angeben\&.
+.RE
+.PP
+\fB\-\-port\-ratio \fR
+.RS 4
+.\" --port-ratio
+Scannt alle Ports in der Datei
+\FCnmap\-services\F[]
+mit einem größeren Bruchteil als die Zahl, die als Argument angegeben wird\&.
+.RE
+.PP
+\fB\-\-top\-ports \fR
+.RS 4
+.\" --top-ports
+Scannt die N Ports mit dem höchsten Bruchteil in der Datei
+\FCnmap\-services\F[]\&.
+.RE
+.SH "Dienst- und Versionserkennung"
+.\" Versionserkennung
+.PP
+Lassen Sie Nmap auf einen entfernten Rechner los, und Sie erfahren z\&.B\&. dass die Ports
+\FC25/tcp\F[],
+\FC80/tcp\F[]
+und
+\FC53/udp\F[]
+offen sind\&. Dank der über 2200 bekannten Dienste in seiner Datenbank in
+\FCnmap\-services\F[].\" nmap-services
+würde Nmap noch ausgeben, dass diese Ports wahrscheinlich jeweils zu einem Mailserver (SMTP), Webserver (HTTP) und Nameserver (DNS) gehören\&. Normalerweise sind diese Angaben genau \(em die überwiegende Mehrheit an Daemons, die den TCP\-Port 25 abhören, sind tatsächlich Mailserver\&. Allerdings sollten Sie nicht Ihre Sicherheit darauf verwetten! Manche Leute können nicht nur Dienste auf seltsamen Ports betreiben, sondern tun es auch\&..\" Nicht-Standard-Ports
+.PP
+Selbst wenn Nmap recht hat und auf dem Server im obigen Beispiel SMTP\-, HTTP\- und DNS\-Server laufen, ist das nicht besonders viel an Information\&. Bei der Beurteilung der Angreifbarkeit (oder auch nur beim Erstellen einfacher Netzwerkinventare) Ihrer Firmen oder Kunden möchten Sie auch wissen, welche Mail\- und DNS\-Server und welche Versionen davon laufen\&. Eine genaue Versionsnummer hilft enorm bei der Bestimmung der Exploits, für die ein Server anfällig ist\&. Die Versionserkennung hilft Ihnen, an diese Information heranzukommen\&.
+.PP
+Nachdem TCP\- und/oder UDP\-Ports mit einer der anderen Scan\-Methoden entdeckt wurden, fragt die Versionserkennung diese Ports ab, um mehr darüber zu erfahren, was tatsächlich darauf läuft\&. Die Datenbank in
+\FCnmap\-service\-probes\F[].\" nmap-service-probes
+enthält Testpakete für die Abfrage verschiedenster Dienste und Ausdrücke für den Vergleich und das Parsen der Antworten\&. Nmap versucht, das Dienstprotokoll zu bestimmen (z\&.B\&. FTP, SSH, Telnet, HTTP), aber auch Anwendungsnamen (z\&.B\&. ISC BIND, Apache httpd, Solaris telnetd), Versionsnummer, Hostnamen, Gerätetyp (z\&.B\&. Drucker, Router), die Betriebssystemfamilie (z\&.B\&. Windows, Linux) und manchmal verschiedene Details: etwa ob ein X\-Server Verbindungen annimmt, die SSH\-Protokollversion oder der KaZaA\-Benutzername\&. Natürlich bieten die meisten Dienste nicht all diese Information\&. Falls Nmap mit OpenSSL\-Unterstützung kompiliert wurde, verbindet es sich mit SSL\-Servern, um den hinter dieser Verschlüsselungsebene.\" SSL: in Versionserkennung
+lauschenden Dienst zu ermitteln\&. Wenn RPC\-Dienste erkannt werden, wird automatisch Nmaps RPC\-Holzhammer.\" RPC-Holzhammer
+(\fB\-sR\fR).\" -sR
+benutzt, um die RPC\-Programm\- und Versionsnummern zu bestimmen\&. Manche UDP\-Ports bleiben im Zustand
+\FCoffen|gefiltert\F[], nachdem ein UDP\-Port\-Scan nicht bestimmen konnte, ob der Port offen oder gefiltert ist\&. Die Versionserkennung versucht, diesen Ports eine Antwort zu entlocken (genauso wie bei offenen Ports) und den Zustand auf offen zu ändern, wenn das gelingt\&.
+\FCOffene|gefilterte\F[]
+TCP\-Ports werden genauso behandelt\&. Beachten Sie, dass die Nmap\-Option
+\fB\-A\fR
+unter anderem auch die Versionserkennung einschaltet\&.
+A paper documenting the workings, usage, and customization of version detection is available at \m[blue]\fB\%http://nmap.org/book/vscan.html\fR\m[]\&.
+.PP
+Wenn Nmap Antworten von einem Dienst erhält, aber keine Übereinstimmungen dafür in seiner Datenbank finden kann, gibt es einen speziellen Fingerprint und eine URL aus, damit Sie diese Antwort einsenden können, falls Sie genau wissen, was auf diesem Port läuft\&. Bitte nehmen Sie sich ein paar Minuten Zeit, um sie einzusenden, damit Ihr Fund für alle ein Gewinn sein kann\&. Dank dieser Beiträge hat Nmap über 3000 Musterübereinstimmungen für über 350 Protokolle wie SMTP, FTP, HTTP usw\&..\" Einsenden von Dienst-Fingerprints
+.PP
+Die Versionserkennung wird mit den folgenden Optionen aktiviert und gesteuert:
+.PP
+\fB\-sV\fR (Versionserkennung) .\" -sV
+.RS 4
+Aktiviert die Versionserkennung wie oben beschrieben\&. Alternativ dazu können Sie
+\fB\-A\fR
+benutzen, was unter anderem auch die Versionserkennung aktiviert\&.
+.RE
+.PP
+\fB\-\-allports\fR (keine Ports von der Versionserkennung ausschließen) .\" --allports
+.RS 4
+Standardmäßig schließt Nmaps Versionserkennung den TCP\-Port 9100 aus, weil manche Drucker einfach alles ausdrucken, was an diesen Port gesendet wird, was zu Dutzenden von Seiten mit HTTP\-GET\-Requests, binären SSL\-Session\-Requests usw\&. führen würde\&. Dieses Verhalten kann man ändern, indem man die
+\FCExclude\F[]\-Anweisung in
+\FCnmap\-service\-probes\F[]
+verändert oder entfernt, oder Sie geben
+\fB\-\-allports\fR
+an, um alle Port zu scannen, unabhängig von einer
+\FCExclude\F[]\-Anweisung\&.
+.\" Exclude Anweisung (nmap-service-probes)
+.RE
+.PP
+\fB\-\-version\-intensity \fR\fB\fIintensity\fR\fR (Intensität des Versions\-Scans setzen) .\" --version-intensity
+.RS 4
+Bei einem Versions\-Scan (\fB\-sV\fR) sendet Nmap eine Reihe von Testpaketen, die alle über einen zugeordneten Seltenheitswert zwischen eins und neun verfügen\&. Die Testpakete mit kleineren Werten sind bei einer großen Zahl verbreiteter Dienste wirkungsvoll, während die mit höheren Werten seltener nützlich sind\&. Die Intensitätsstufe gibt an, welche Testpakete angewendet werden sollten\&. Je höher die Zahl, desto wahrscheinlicher wird der Dienst richtig identifiziert\&. Allerdings brauchen Scans mit hoher Intensität mehr Zeit\&. Diese Intensität muss zwischen 0 und 9 liegen\&.
+.\" Versionserkennung: Intensität
+Die Standardeinstellung ist 7\&.
+.\" Versionserkennung: Standardintensität
+Wenn ein Testpaket mit der
+\FCports\F[]\-Anweisung in
+\FCnmap\-service\-probes\F[]
+für den Zielport registriert ist, wird dieses Testpaket ausprobiert, unabhängig von der Intensitätsstufe\&. Das garantiert, dass die DNS\-Testpakete bei jedem offenen Port 53 immer benutzt werden, das SSL\-Testpaket bei Port 443 usw\&.
+.RE
+.PP
+\fB\-\-version\-light\fR (leichten Modus setzen) .\" --version-light
+.RS 4
+Das ist ein Alias für
+\fB\-\-version\-intensity 2\fR
+aus Bequemlichkeitsgründen\&. Dieser leichte Modus macht die Versionserkennung wesentlich schneller, identifiziert die Dienste aber mit geringerer Wahrscheinlichkeit\&.
+.RE
+.PP
+\fB\-\-version\-all\fR (benutze alle Testpakete) .\" --version-all
+.RS 4
+Das ist ein Alias für
+\fB\-\-version\-intensity 9\fR, der garantiert, dass jedes einzelne Testpaket bei jedem Port ausprobiert wird\&.
+.RE
+.PP
+\fB\-\-version\-trace\fR (verfolge Aktivität des Versions\-Scans) .\" --version-trace
+.RS 4
+Das bewirkt, dass Nmap umfangreiche Debugging\-Information darüber ausgibt, was die Versionserkennung gerade macht\&. Das ist eine Untermenge dessen, was Sie mit
+\fB\-\-packet\-trace\fR
+erhalten\&.
+.RE
+.PP
+\fB\-sR\fR (RPC\-Scan) .\" -sR .\" RPC scan .\" RPC-Holzhammer
+.RS 4
+Diese Methode funktioniert zusammen mit den verschiedenen Port\-Scan\-Methoden von Nmap\&. Sie nimmt alle offenen TCP\-/UDP\-Ports und überflutet sie mit NULL\-Befehlen für das SunRPC\-Programm, in dem Versuch, festzustellen, ob es RPC\-Ports sind, und wenn ja, welches Programm und welche Versionsnummer darauf läuft\&. Dadurch können Sie quasi dieselbe Information herausfinden wie mit
+\fBrpcinfo \-p\fR, selbst wenn der Portmapper des Ziels hinter einer Firewall liegt (oder von TCP\-Wrappern geschützt wird)\&. Köder funktionieren im Moment nicht mit dem RPC\-Scan\&..\" Köder: von Scans benutzte
+Das wird automatisch als Teil einer Versionserkennung aktiviert (\fB\-sV\fR), wenn Sie diese verlangen\&. Da die Versionserkennung das enthält und wesentlich umfangreicher ist, wird
+\fB\-sR\fR
+selten benötigt\&.
+.RE
+.\"
+.SH "Betriebssystem-Erkennung"
+.\" Betriebssystemerkennung
+.PP
+Eines der bekanntesten Merkmale von Nmap ist dessen Erkennung entfernter Betriebssysteme mit TCP/IP\-Stack\-Fingerprinting\&. Nmap sendet eine Reihe von TCP\- und UDP\-Paketen an den entfernten Host und untersucht praktisch jedes Bit in der Antwort\&. Nach der Durchführung Dutzender von Tests, wie z\&.B\&. einer TCP\-ISN\-Abtastung, Unterstützung und Reihenfolge von TCP\-Optionen, IP\-ID\-Abtastung und Prüfung der initialen Fenstergröße, vergleicht Nmap die Ergebnisse mit seiner Datenbank in
+\FCnmap\-os\-db\F[].\" nmap-os-db
+von über eintausend bekannten Betriebssystem\-Fingerprints und gibt die Details zum Betriebssystem aus, wenn es eine Übereinstimmung gefunden hat\&. Jeder Fingerprint enthält eine formlose Beschreibung des Betriebssystems und eine Klassifikation, aus der der Herstellername (z\&.B\&. Sun), das eigentliche Betriebssystem (z\&.B\&. Solaris), dessen Generation (z\&.B\&. 10) und der Gerätetyp (allgemein, Router, Switch, Spielkonsole usw\&.) hervorgeht\&.
+.PP
+Falls Nmap das Betriebssystem eines Rechner nicht erraten kann und die Umstände günstig sind (z\&.B\&. wenn mindestens ein offener und ein geschlossener Port gefunden wurde), präsentiert Nmap eine URL, unter der Sie den Fingerprint einsenden können, wenn Sie (ganz sicher) wissen, welches Betriebssystem auf dem Rechner läuft\&. Dadurch erweitern Sie den Pool der Betriebssysteme, die Nmap kennt, wodurch es für alle Benutzer genauer wird\&.
+.PP
+Die Betriebssystem\-Erkennung verwendet einige weitere Tests, die Informationen benutzen, die während des Vorgangs ohnehin gesammelt werden\&. Eine davon ist die Klassifikation der Vorhersagbarkeit der TCP\-Sequenznummern\&. Sie gibt ungefähr an, wie schwer es ist, eine gefälschte TCP\-Verbindung zum entfernten Host aufzubauen\&. Sie ist hilfreich zur Ausbeutung von Vertrauensbeziehungen auf Basis von Quell\-IPs (rlogin, Firewall\-Filter usw\&.) oder zum Verbergen des Ursprungs eines Angriffs\&. Diese Art von Täuschung wird kaum noch praktiziert, aber viele Rechner sind nach wie vor anfällig dafür\&. Die eigentliche Maßzahl basiert auf statistischen Abtastungen und kann schwanken\&. Im Allgemeinen ist es besser, die englische Bezeichnung wie z\&.B\&.
+\(lqworthy challenge\(rq
+oder
+\(lqtrivial joke\(rq
+zu benutzen\&. Das wird nur in der normalen Ausgabe im ausführlichen Modus (\fB\-v\fR) ausgegeben\&. Wenn dieser Modus zusammen mit
+\fB\-O\fR
+aktiviert ist, wird auch die IP\-ID\-Sequenzerzeugung berichtet\&. Die meisten Rechner finden sich in der Klasse
+\(lqincremental\(rq, d\&.h\&. sie inkrementieren das ID\-Feld im IP\-Header für jedes von ihnen gesendete Paket\&. Dadurch werden sie anfällig für diverse avancierte Angriffe mittels Täuschung und Sammlung von Informationen\&.
+.\" Betriebszeit-Schätzung
+.PP
+Eine weitere zusätzliche Information, die die Betriebssystem\-Erkennung aktiviert, ist eine Schätzung der Betriebszeit des Zielhosts\&. Dabei wird die TCP\-Timestamp\-Option (\m[blue]\fBRFC 1323\fR\m[]\&\s-2\u[7]\d\s+2) benutzt, um zu raten, wann ein Rechner das letzte Mal neu gestartet wurde\&. Wenn der Timestamp\-Zähler nicht bei null gestartet wurde oder der Zähler überläuft und wieder von vorn zählt, kann diese Schätzung ungenau werden, weshalb sie nur im ausführlichen Modus ausgegeben wird\&.
+.PP
+
+A paper documenting the workings, usage, and customization of OS detection is available at \m[blue]\fB\%http://nmap.org/book/osdetect.html\fR\m[]\&.
+.PP
+Eingeschaltet und gesteuert wird die Betriebssystem\-Erkennung mit den folgenden Optionen:
+.PP
+\fB\-O\fR (Betriebssystem\-Erkennung aktivieren) .\" -O
+.RS 4
+Aktiviert die Betriebssystem\-Erkennung wie oben beschrieben\&. Alternativ dazu können Sie
+\fB\-A\fR
+benutzen, um eine Betriebssystem\-Erkennung zusammen mit anderen Dingen einzuschalten\&.
+.RE
+.PP
+\fB\-\-osscan\-limit\fR (Betriebssystem\-Erkennung auf vielversprechende Ziele beschränken) .\" --osscan-limit
+.RS 4
+Die Betriebssystem\-Erkennung ist wesentlich effektiver, wenn mindestens ein offener und ein geschlossener TCP\-Port gefunden werden\&. Wenn Sie diese Option angeben, versucht Nmap eine Betriebssystem\-Erkennung gar nicht erst bei Hosts, die dieses Kriterium nicht erfüllen\&. Das kann viel Zeit sparen, besonders bei Scans mit
+\fB\-PN\fR
+auf vielen Hosts\&. Diese Option gilt nur, wenn eine Betriebssystem\-Erkennung mit
+\fB\-O\fR
+oder
+\fB\-A\fR
+verlangt wird\&.
+.RE
+.PP
+\fB\-\-osscan\-guess\fR; \fB\-\-fuzzy\fR (Ergebnisse der Betriebssystem\-Erkennung raten) .\" --osscan-guess .\" --fuzzy
+.RS 4
+Falls Nmap keine perfekte Übereinstimmung mit einem Betriebssystem finden kann, präsentiert es manchmal mögliche Kandidaten, die dem sehr nahe kommen\&. Damit Nmap das standardmäßig macht, muss die Übereinstimmung sehr hoch sein\&. Diese beiden (äquivalenten) Optionen lassen Nmap aggressiver schätzen\&. Dann gibt Nmap auch unvollkommene Übereinstimmungen aus, zusammen mit einem Vertrauensgrad (in Prozent)\&.
+.RE
+.PP
+\fB\-\-max\-os\-tries\fR (setzt die maximale Anzahl der Versuche für eine Betriebssystem\-Erkennung bei einem Ziel) .\" --max-os-tries
+.RS 4
+Wenn Nmap eine Betriebssystem\-Erkennung auf einem Ziel durchführt und dafür keine perfekte Übereinstimmung findet, macht es normalerweise einen weiteren Versuch\&. Standardmäßig macht Nmap fünf Versuche, wenn die Bedingungen zum Einsenden eines Betriebssystem\-Fingerprints günstig sind, und zwei, wenn sie es nicht sind\&. Die Angabe eines kleineren Wertes für
+\fB\-\-max\-os\-tries\fR
+(z\&.B\&. 1) beschleunigt Nmap, auch wenn Sie Versuche auslassen, bei denen das Betriebssystem möglicherweise erkannt werden könnte\&. Alternativ dazu kann ein hoher Wert gesetzt werden, um bei günstigen Bedinungen noch mehr Versuche zu erlauben\&. Das macht man aber selten, außer um bessere Fingerprints zu erzeugen, die man einsenden kann, um sie in Nmaps Betriebssystem\-Datenbank zu integrieren\&.
+.RE
+.\"
+.SH "Nmap Scripting Engine (NSE)"
+.\" Nmap Scripting Engine (NSE)
+.PP
+Die Nmap Scripting Engine (NSE) ist eines der mächtigsten und flexibelsten Merkmale von Nmap\&. Mit ihr können Benutzer einfache Scripts schreiben und weitergeben (geschrieben in der
+\m[blue]\fBProgrammiersprache Lua\fR\m[]\&\s-2\u[8]\d\s+2
+.\" Programmiersprache Lua), um eine breite Palette von Netzwerkaufgaben zu automatisieren\&. Diese Scripts werden dann parallel mit der Geschwindigkeit und Effizienz abgearbeitet, die Sie von Nmap erwarten\&. Als Benutzer können Sie auf eine wachsende und vielfältige Menge von Scripts vertrauen, die mit Nmap veröffentlicht werden, oder eigene Scripts für eigene Bedürfnisse schreiben\&.
+.PP
+Zu den Aufgaben, die wir bei der Konzeption dieses Systems anvisierten, gehören die Netzwerkerkennung, eine ausgefeiltere Versionserkennung sowie eine Verwundbarkeitserkennung\&. NSE kann aber sogar bei der Ausbeutung von Schwachstellen benutzt werden\&.
+.PP
+Um diese verschiedenen Anwendungen widerzuspiegeln und um die Auswahl des richtigen Scripts zu vereinfachen, verfügen alle Scripts über ein Kategorie\-Feld\&. Im Moment sind folgende Kategorien definiert:
+\FCsafe\F[],
+\FCintrusive\F[],
+\FCmalware\F[],
+\FCversion\F[],
+\FCdiscovery\F[],
+\FCvuln\F[],
+\FCauth\F[]
+und
+\FCdefault\F[]\&. Sie alle werden
+at \m[blue]\fB\%http://nmap.org/book/nse-usage.html#nse-categories\fR\m[]\&.
+.PP
+Die Nmap Scripting Engine wird detailliert
+at \m[blue]\fB\%http://nmap.org/book/nse.html\fR\m[]
+
+beschrieben und wird mit den folgenden Optionen gesteuert:
+.PP
+\fB\-sC\fR .\" -sC
+.RS 4
+Führt einen Script\-Scan mit dem Standardsatz an Scripts durch\&. Das ist äquivalent zu
+\fB\-\-script=default\fR\&. Manche der Scripts in dieser Kategorie werden als aufdringlich betrachtet und sollten nicht ohne Genehmigung auf einem Zielnetzwerk ausgeführt werden\&.
+.RE
+.PP
+\fB\-\-script \fR\fB\fIscript\-categories\fR\fR\fB|\fR\fB\fIdirectory\fR\fR\fB|\fR\fB\fIfilename\fR\fR\fB|all\fR.\" --script
+.RS 4
+Führt einen Script\-Scan (wie z\&.B\&.
+\fB\-sC\fR) durch und benutzt dabei die mit Kommata getrennte Liste von Script\-Kategorien, individuellen Scripts oder Script\-Verzeichnissen statt des Standardsatzes\&. Zuerst versucht Nmap, die Argumente als Kategorien zu interpretieren, dann (wenn das nicht gelingt) als Datei\- oder Verzeichnisnamen\&. Ein Script oder Verzeichnis von Scripts kann als absoluter oder relativer Pfad angegeben werden\&. Absolute Pfade werden unverändert benutzt\&. Relative Pfade werden an den folgenden Orten gesucht, bis sie gefunden werden:.\" Datendateien: Verzeichnis-Suchreihenfolge.\" Scripts, Orte
+\FC\-\-datadir/\F[];
+\FC$NMAPDIR/\F[];.\" NMAPDIR Umgebungsvariable
+\FC~/\&.nmap/\F[]
+(wird unter Windows nicht durchsucht);.\" .nmap Verzeichnis
+\FCNMAPDATADIR\F[]/ oder.\" NMAPDATADIR
+\FC\&./\F[]\&. In all diesen Verzeichnissen wird außerdem auch ein
+\FCscripts/\F[]\-Unterverzeichnis ausprobiert\&.
+.sp
+Falls ein Verzeichnis angegeben und gefunden wird, lädt Nmap alle NSE\-Scripts (alle Dateinamen, die mit
+\FC\&.nse\F[]
+enden) aus diesem Verzeichnis\&. Dateinamen ohne die Endung
+\FCnse\F[]
+werden ignoriert\&. Nmap sucht keine Unterverzeichnisse rekursiv durch, um Scripts zu finden\&. Wenn individuelle Dateinamen angegeben werden, dann muss deren Dateierweiterung nicht
+\FCnse\F[]
+lauten\&.
+.sp
+Nmap\-Scripts werden standardmäßig in einem
+\FCscripts\F[]\-Unterverzeichnis des Nmap\-Datenverzeichnisses gespeichert
+(see \m[blue]\fB\%http://nmap.org/book/data-files.html\fR\m[])\&.
+
+Aus Effizienzgründen werden Scripts in einer Datenbank indiziert, die in
+\FCscripts/script\&.db\F[]\&..\" script.db
+gespeichert ist und für jedes Script auflistet, in welche Kategorie bzw\&. Kategorien es gehört\&. Um alle Scripts in der Nmap\-Script\-Datenbank auszuführen, geben Sie das Argument
+\FCall\F[]
+an\&.
+.sp
+Die Scripts werden nicht in einer Sandbox ausgeführt und können Ihr System somit versehentlich oder böswillig beschädigen oder in Ihre Privatsphäre eindringen\&. Sie sollten Scripts von Dritten nur dann ausführen, wenn Sie deren Autoren vertrauen oder sie selbst eingehend studiert haben\&.
+.RE
+.PP
+\fB\-\-script\-args \fR\fB\fIname1\fR\fR\fB=\fR\fB\fIvalue1\fR\fR\fB,\fR\fB\fIname2\fR\fR\fB={\fR\fB\fIname3\fR\fR\fB=\fR\fB\fIvalue3\fR\fR\fB},\fR\fB\fIname4\fR\fR\fB=\fR\fB\fIvalue4\fR\fR .\" --script-args .\" Script-Argumente
+.RS 4
+Hiermit können Sie Argumente für NSE\-Scripts angeben\&. Argumente werden als
+\FCname=value\F[]\-Paare angegeben\&. Die Argumente werden verarbeitet und in einer Lua\-Tabelle gespeichert, auf die alle Scripts Zugriff haben\&. Die Namen werden als Strings (die alphanumerische Werte sein müssen) in
+\FCargument\-table\F[]
+als Schlüssel gespeichert\&. Die Werte sind ihrerseits entweder Strings oder Tabellen (innerhalb von \(oq\FC{\F[]\(cq und \(oq\FC}\F[]\(cq)\&. Sie könnten z\&.B\&. diese mit Kommmata getrennten Argumente angeben:
+\FCuser=bar,pass=foo,whois={whodb=nofollow+ripe}\F[]\&. String\-Argumente werden potenziell von mehreren Scripts benutzt, während Untertabellen normalerweise nur von einem Script benutzt werden\&. In Scripts, die eine Untertabelle annehmen, wird diese Untertabelle normalerweise nach dem Script benannt (in diesem Fall z\&.B\&.
+\FCwhois\F[])\&.
+.RE
+.PP
+\fB\-\-script\-trace\fR .\" --script-trace
+.RS 4
+Diese Option macht das, was
+\fB\-\-packet\-trace\fR
+macht, aber eine ISO\-Ebene höher\&. Wenn diese Option angegeben wird, wird die gesamte ein\- und ausgehende Kommunikation von Scripts ausgegeben\&. Die angezeigte Information enthält das Kommunikationsprotokoll, Quell\- und Zieladressen sowie die übertragenen Daten\&. Falls mehr als fünf Prozent der übertragenen Daten nicht druckbar sind, werden sie stattdessen als Hexadezimal\-Auszug ausgegeben\&. Auch die Angabe von
+\fB\-\-packet\-trace\fR
+schaltet diese Mitverfolgung von Scripts ein\&.
+.RE
+.PP
+\fB\-\-script\-updatedb\fR .\" --script-updatedb
+.RS 4
+Diese Option aktualisiert die Script\-Datenbank in
+\FCscripts/script\&.db\F[], die von Nmap benutzt wird, um die verfügbaren Standard\-Scripts und Kategorien zu bestimmen\&. Man muss die Datenbank nur dann aktualisieren, wenn man NSE\-Scripts in das Standardverzeichnis
+\FCscripts\F[]
+hinzufügt oder von dort entfernt, oder wenn man die Kategorie eines Scripts ändert\&. Diese Option wird ohne Argumente benutzt:
+\fBnmap \-\-script\-updatedb\fR\&.
+.RE
+.\"
+.SH "Timing und Performance"
+.\" Timing
+.\" Performance
+.PP
+Bei der Entwicklung von Nmap hatte dessen Performance immer eine der höchsten Prioritäten\&. Ein Standardscan (\fBnmap \fR\fB\fIhostname\fR\fR) eines Hosts in meinem lokalen Netzwerk dauert eine Fünftelsekunde\&. In dieser Zeit kann man kaum blinzeln, aber wenn man Hunderte oder Tausende von Rechnern scannt, dann kommt einiges zusammen\&. Außerdem können bestimmte Scan\-Optionen wie UDP\-Scanning und eine Versionserkennung die Scan\-Zeiten erheblich erhöhen\&. Das Gleiche gilt für bestimmte Firewall\-Konfigurationen und besonders für die Beschränkung der Antwortrate\&. Auch wenn Nmap parallel arbeitet und viele ausgefeilte Algorithmen benutzt, um diese Scans zu beschleunigen, hat doch der Benutzer die letzte Kontrolle darüber, was Nmap genau macht\&. Experten erstellen ihre Nmap\-Befehle sehr sorgfältig, um in einer beschränkten Zeit genau die gewünschte Information zu bekommen\&.
+.PP
+Um die Scan\-Zeiten zu verbessern, kann man z\&.B\&. nicht\-kritische Tests weglassen und auf die neueste Version von Nmap aktualisieren (Performance\-Verbesserungen werden häufig gemacht)\&. Auch die Optimierung von Timing\-Parametern kann einen großen Unterschied ausmachen\&. Diese Optionen werden im Folgenden beschrieben\&.
+.PP
+Manche Optionen erwarten einen
+\FCtime\F[]\-Parameter\&. Dieser wird standardmäßig in Millisekunden angegeben, aber Sie können \(oqs\(cq, \(oqm\(cq oder \(oqh\(cq an den Wert anhängen, um Sekunden, Minuten oder Stunden anzugeben\&. Das heißt, bei
+\fB\-\-host\-timeout\fR
+haben die Argumente
+\FC900000\F[],
+\FC900s\F[]
+und
+\FC15m\F[]
+alle denselben Effekt\&.
+.PP
+\fB\-\-min\-hostgroup \fR\fB\fInumhosts\fR\fR; \fB\-\-max\-hostgroup \fR\fB\fInumhosts\fR\fR (Größe der parallel gescannten Gruppen anpassen) .\" --min-hostgroup .\" --max-hostgroup
+.RS 4
+Nmap hat die Fähigkeit, Port\-Scans oder Versions\-Scans von mehreren Hosts parallel durchzuführen\&. Das macht Nmap, indem es den Ziel\-IP\-Adressraum in Gruppen aufteilt und dann jeweils eine Gruppe scannt\&. Im Allgemeinen sind größere Gruppen effizienter\&. Der Nachteil daran ist, dass die Host\-Ergebnisse erst dann ausgegeben werden können, wenn die gesamte Gruppe fertig ist\&. Wenn Nmap mit einer Gruppengröße von 50 anfängt, würde der Benutzer erst dann Ergebnisse sehen (bis auf die Aktualisierungen im ausführlichen Modus), wenn die ersten 50 Hosts abgearbeitet sind\&.
+.sp
+Diesen Konflikt löst Nmap standardmäßig mit einem Kompromissansatz\&. Es fängt mit einer kleinen Gruppengröße von etwa fünf an, damit die ersten Ergebnisse schnell kommen, und erhöht dann die Gruppengröße bis auf etwa 1024\&. Die genau vorgegebenen Zahlen hängen von den benutzten Optionen ab\&. Aus Effizienzgründen benutzt Nmap größere Gruppen bei UDP\-Scans oder bei TCP\-Scans über wenige Ports\&.
+.sp
+Falls mit
+\fB\-\-max\-hostgroup\fR
+eine maximale Gruppengröße angegeben wird, wird Nmap diese nie überschreiten\&. Und wenn Sie mit
+\fB\-\-min\-hostgroup\fR
+eine minimale Größe angeben, versucht Nmap, die Gruppengröße oberhalb dieses Wertes zu belassen\&. Falls es auf einer gegebenen Schnittstelle nicht genug Zielhosts gibt, um dieses Minimum zu erfüllen, muss Nmap einen kleineren Wert benutzen\&. Es können auch beide gesetzt werden, um die Gruppengröße in einem bestimmten Bereich zu belassen, aber das ist selten gewünscht\&.
+.sp
+Diese Optionen haben während der Host\-Entdeckungsphase eines Scans keinen Effekt\&. Dazu gehören einfache Ping\-Scans (\fB\-sP\fR)\&. Die Host\-Entdeckung funktioniert immer in großen Gruppen von Hosts, um die Geschwindigkeit und Genauigkeit zu verbessern\&.
+.sp
+Der Hauptnutzen dieser Optionen liegt darin, eine hohe minimale Gruppengröße anzugeben, damit der gesamte Scan schneller läuft\&. Häufig wird 256 gewählt, um ein Netzwerk in Brocken der Größe von Klasse C zu scannen\&. Bei einem Scan mit vielen Ports bringt eine größere Zahl vermutlich keine Vorteile\&. Bei Scans über nur wenige Ports können Gruppengrößen von 2048 oder mehr hilfreich sein\&.
+.RE
+.PP
+\fB\-\-min\-parallelism \fR\fB\fInumprobes\fR\fR; \fB\-\-max\-parallelism \fR\fB\fInumprobes\fR\fR (Parallelität von Testpaketen anpassen) .\" --min-parallelism .\" --max-parallelism
+.RS 4
+Diese Optionen steuern die Gesamtanzahl an Testpaketen, die für eine Host\-Gruppe anstehen dürfen\&. Sie werden beim Port\-Scanning und bei der Host\-Entdeckung benutzt\&. Abhängig von der Netzwerk\-Performance berechnet Nmap standardmäßig eine immer wechselnde ideale Parallelität\&. Falls Pakete verworfen werden, verlangsamt sich Nmap und erlaubt weniger unerledigte Testpakete\&. Die ideale Anzahl von Testpaketen steigt mit den zunehmenden Möglichkeiten des Netzwerks\&. Diese Optionen setzen minimale oder maximale Schranken für diese Variable\&. Standardmäßig kann die ideale Parallelität auf eins sinken, wenn sich das Netzwerk als unzuverlässig herausstellt, und im Idealfall kann sie auf mehrere hundert steigen\&.
+.sp
+Meistens setzt man
+\fB\-\-min\-parallelism\fR
+auf eine Zahl größer als eins, um Scans von langsamen Hosts oder Netzwerken zu beschleunigen\&. Aber das Spielen mit dieser Option kann gefährlich sein, weil die Genaugkeit leiden kann, wenn man einen zu großen Wert setzt\&. Dabei verringert sich auch Nmaps Möglichkeit, die Parallelität je nach Netzwerkbedingungen dynamisch anzupassen\&. Ein Wert von zehn mag vernünftig sein, auch wenn ich nur als letzter Ausweg an diesem Wert drehe\&.
+.sp
+Die Option
+\fB\-\-max\-parallelism\fR
+wird manchmal auf eins gesetzt, um zu verhindern, dass Nmap mehr als ein Testpaket auf einmal an Hosts sendet\&. In Kombination mit
+\fB\-\-scan\-delay\fR
+(wird später behandelt) kann das nützlich sein, auch wenn Letzteres diesen Zweck gut genug allein erfüllt\&.
+.RE
+.PP
+\fB\-\-min\-rtt\-timeout \fR\fB\fItime\fR\fR, \fB\-\-max\-rtt\-timeout \fR\fB\fItime\fR\fR, \fB\-\-initial\-rtt\-timeout \fR\fB\fItime\fR\fR (Timeouts von Testpaketen anpassen) .\" --min-rtt-timeout .\" --max-rtt-timeout .\" --initial-rtt-timeout
+.RS 4
+Nmap verwaltet einen laufenden Timeout\-Wert, der bestimmt, wie lange es auf eine Antwort zu einem Testpaket wartet, bevor es aufgibt oder das Paket erneut sendet\&. Dieser wird auf der Grundlage der Antwortzeiten bei früheren Testpaketen berechnet\&.
+
+Falls die Netzwerk\-Latenzzeit sich als groß genug und variabel erweist, kann dieser Timeout bis auf mehrere Sekunden wachsen\&. Er beginnt auch bei einem konservativen (hohen) Wert und kann diesen eine Weile behalten, wenn Nmap Hosts scannt, die nicht antworten\&.
+.sp
+Werden Werte für
+\fB\-\-max\-rtt\-timeout\fR
+und
+\fB\-\-initial\-rtt\-timeout\fR
+angegeben, die kleiner als deren Standardwerte sind, so kann die Scan\-Zeit erheblich verkürzt werden\&. Das gilt besonders für pinglose (\fB\-PN\fR) Scans und solche von stark gefilterten Netzwerken\&. Aber verlangen Sie nicht zu viel\&. Der Scan kann am Ende länger brauchen, wenn Sie einen so kleinen Wert angeben, dass bei vielen Testpaketen der Timeout erreicht wird und sie erneut gesendet werden, während die Antwort unterwegs ist\&.
+.sp
+Falls alle Hosts in einem lokalen Netzwerk sind, sind 100 Millisekunden ein vernünftig aggressiver Wert für
+\fB\-\-max\-rtt\-timeout\fR\&. Falls ein Routing ins Spiel kommt, pingen Sie zuerst einen Host im Netzwerk, sei es mit einem ICMP\-Ping oder mit einem Programm zur Erstellung benutzerdefinierter Pakete wie
+\fBhping2\fR,.\" hping2
+das eine höhere Chance hat, durch eine Firewall zu kommen\&. Betrachten Sie dann die maximale Umlaufzeit bei circa zehn Paketen\&. Diese möchten Sie vielleicht für
+\fB\-\-initial\-rtt\-timeout\fR
+verdoppeln und für
+\fB\-\-max\-rtt\-timeout\fR
+verdrei\- oder vervierfachen\&. Im Allgemeinen setze ich die maximale RTT nicht unter 100\ \&ms, egal, welche Ping\-Zeiten ich habe\&. Und ich gehe auch nicht über 1000\ \&ms\&.
+.sp
+Die Option
+\fB\-\-min\-rtt\-timeout\fR
+wird selten benutzt, könnte aber nützlich sein, wenn ein Netzwerk so unzuverlässig ist, dass selbst Nmaps Standardeinstellung zu aggressiv ist\&. Da Nmap das Timeout nur dann auf das Minimum reduziert, wenn das Netzwerk zuverlässig scheint, sollte ein Bedarf hierfür eher ungewöhnlich sein und sollte als Fehler auf der
+nmap\-dev\-Mailingliste.\" nmap-dev Mailingliste
+berichtet werden\&.
+.RE
+.PP
+\fB\-\-max\-retries \fR\fB\fInumtries\fR\fR (gibt die maximale Anzahl erneuter Sendeversuche bei Port\-Scan\-Testpaketen an) .\" --max-retries
+.RS 4
+Falls Nmap keine Antwort auf ein Testpaket eines Port\-Scans erhält, könnte das heißen, dass der Port gefiltert ist\&. Oder aber das Testpaket oder die Antwort darauf ging im Netzwerk verloren\&. Es ist auch möglich, dass der Zielhost eine Ratenbeschränkung aktiviert hat, die die Antwort temporär blockiert hat\&. Also versucht es Nmap erneut, indem es das ursprüngliche Paket noch einmal sendet\&. Falls Nmap eine mangelnde Netzwerkzuverlässigkeit feststellt, führt es eventuell viele weitere Wiederholungen durch, bevor es bei einem Port aufgibt\&. Das verbessert zwar die Genauigkeit, verlängert aber auch die Scan\-Zeiten\&. Wenn es auf die Performance ankommt, kann man die Scans durch eine Beschränkung der Anzahl dieser Wiederholungen beschleunigen\&. Sie können sogar
+\fB\-\-max\-retries 0\fR
+angeben, um sie ganz zu verbieten, auch wenn sich das nur in Situationen wie formlosen Überprüfungen empfiehlt, bei denen einige verpasste Ports oder Hosts nicht so wichtig sind\&.
+.sp
+Der Standardwert (ohne
+\fB\-T\fR\-Template) sind bis zu zehn Wiederholungen\&. Falls das Netzwerk zuverlässig zu sein scheint und die Zielhosts keine Ratenbeschränkung haben, führt Nmap normalerweise nur eine Wiederholung durch\&. Daher sind die meisten Scans gar nicht betroffen, wenn man
+\fB\-\-max\-retries\fR
+z\&.B\&. auf den kleinen Wert drei verringert\&. Solche Werte können Scans von langsamen (ratenbeschränkten) Hosts aber erheblich beschleunigen\&. Wenn Nmap frühzeitig bei Ports aufgibt, verlieren Sie eventuell einiges an Information, aber das kann vorteilhafter sein, als ein Timeout von
+\fB\-\-host\-timeout\fR
+zu erreichen und alle Informationen über das Ziel zu verlieren\&.
+.RE
+.PP
+\fB\-\-host\-timeout \fR\fB\fItime\fR\fR (bei langsamen Zielhosts aufgeben) .\" --host-timeout
+.RS 4
+Bei manchen Hosts braucht es einfach
+\fIlange\fR, sie zu scannen\&. Das kann an leistungsschwacher oder unzuverlässiger Netzwerk\-Hardware oder \-Software, an einer Paketratenbeschränkung oder einer restriktiven Firewall liegen\&. Die langsamsten paar Prozent der gescannten Hosts können einen Großteil der Scan\-Zeit verbrauchen\&. Dann ist es manchmal das Beste, die Verluste abzuschneiden und diese Hosts erst einmal wegzulassen\&. Geben Sie
+\fB\-\-host\-timeout\fR
+mit der gewünschten maximalen Wartezeit an\&. Sie können z\&.B\&.
+\FC30m\F[]
+angeben, um sicherzustellen, dass Nmap nicht mehr als eine halbe Stunde verschwendet, indem es auf einen einzelnen Host wartet\&. Beachten Sie, dass Nmap während dieser halben Stunde auch andere Hosts scannen kann, d\&.h\&. es ist keine komplette Zeitverschwendung\&. Ein Host, der das Timeout erreicht, wird übersprungen\&. Für diesen Host werden keine Ergebnisse der Port\-Tabelle, Betriebssystem\- oder Versionserkennung ausgegeben\&.
+.RE
+.PP
+\fB\-\-scan\-delay \fR\fB\fItime\fR\fR; \fB\-\-max\-scan\-delay \fR\fB\fItime\fR\fR (Verzögerung zwischen Testpaketen anpassen) .\" --scan-delay .\" --max-scan-delay
+.RS 4
+Diese Option bewirkt, dass Nmap mindestens die angegebene Zeit zwischen zwei Testpaketen an einen Host wartet\&. Das ist besonders bei einer Ratenbeschränkung.\" Ratenbeschränkung
+sinnvoll\&. Solaris\-Rechner (und viele andere auch) antworten auf UDP\-Scan\-Testpakete normalerweise nur mit einer ICMP\-Nachricht pro Sekunde\&. Wenn Nmap mehr sendet, ist das Verschwendung\&. Mit einem
+\fB\-\-scan\-delay\fR
+von
+\FC1s\F[]
+bleibt Nmap bei dieser langsamen Rate\&. Nmap versucht eine Ratenbeschränkung zu erkennen und die Scan\-Verzögerung entsprechend anzupassen, aber es schadet nicht, sie explizit anzugeben, falls Sie schon wissen, welche Rate am besten funktioniert\&.
+.sp
+Wenn Nmap die Scan\-Verzögerung nach oben anpasst, um mit der Ratenbeschränkung klarzukommen, verlangsamt sich der Scan dramatisch\&. Die Option
+\fB\-\-max\-scan\-delay\fR
+gibt die größte Verzögerung an, die Nmap erlaubt\&. Ein kleiner Wert für
+\fB\-\-max\-scan\-delay\fR
+kann Nmap beschleunigen, ist aber riskant\&. Ein zu kleiner Wert kann zu verschwenderischen wiederholten Sendungen führen und möglicherweise zu verpassten Ports, wenn das Ziel eine strenge Ratenbeschränkung implementiert\&.
+.sp
+Ein weiterer Einsatz von
+\fB\-\-scan\-delay\fR
+liegt bei der Umgehung schwellwertbasierter Intrusion\-Detection\- und \-Prevention\-Systeme (IDS/IPS)\&..\" intrusion detection systems: evading
+.RE
+.PP
+\fB\-\-min\-rate \fR\fB\fInumber\fR\fR; \fB\-\-max\-rate \fR\fB\fInumber\fR\fR (direkte Steuerung der Scan\-Rate) .\" --min-rate .\" --max-rate
+.RS 4
+Nmaps dynamisches Timing findet sehr gut die passende Scan\-Geschwindigkeit\&. Aber manchmal kennen Sie vielleicht die passende Scan\-Rate für ein Netzwerk, oder vielleicht müssen Sie garantieren, dass ein Scan bis zu einem bestimmten Zeitpunkt fertig wird\&. Oder Sie müssen Nmap vielleicht davon abhalten, zu schnell zu scannen\&. Für diese Situationen sind die Optionen
+\fB\-\-min\-rate\fR
+und
+\fB\-\-max\-rate\fR
+vorgesehen\&.
+.sp
+Bei der Option
+\fB\-\-min\-rate\fR
+versucht Nmap sein Bestes, um Pakete so schnell wie die damit angegebene Rate zu senden oder noch schneller\&. Das Argument ist eine positive Fießkommazahl, die die Paketrate in Paketen pro Sekunde angibt\&. Die Angabe
+\fB\-\-min\-rate 300\fR
+bedeutet z\&.B\&., dass Nmap eine Rate von 300 Paketen pro Sekunde oder höher einzuhalten versucht\&. Die Angabe einer Minimalrate hält Nmap nicht davon ab, bei günstigen Bedingungen schneller zu werden\&.
+.sp
+Umgekehrt beschränkt
+\fB\-\-max\-rate\fR
+die Senderate auf das angegebene Maximum\&. Bei
+\fB\-\-max\-rate 100\fR
+wird sie auf 100 Pakete pro Sekunde bei einem schnellen Netzwerk beschränkt\&. Und bei
+\fB\-\-max\-rate 0\&.1\fR
+wird der Scan auf ein Paket pro zehn Sekunden verlangsamt\&. Mit
+\fB\-\-min\-rate\fR
+und
+\fB\-\-max\-rate\fR
+gleichzeitig können Sie die Rate in einem bestimmten Bereich halten\&.
+.sp
+Diese beiden Optionen sind global und betreffen den gesamten Scan, nicht nur einzelne Hosts\&. Sie betreffen nur Port\-Scans und Host\-Entdeckungs\-Scans\&. Andere Merkmale wie die Betriebssystemerkennung implementieren ihr eigenes Timing\&.
+.sp
+Unter zwei Bedingungen kann die tatsächliche Scan\-Rate unter das verlangte Minimum fallen\&. Die erste ist, wenn das Minimum schneller als die schnellste Rate ist, mit der Nmap senden kann, was hardwareabhängig ist\&. In diesem Fall sendet Nmap Pakete einfach so schnell wie möglich, aber Sie sollten wissen, dass solch hohe Raten sehr wahrscheinlich einen Verlust an Genauigkeit bedeuten\&. Die zweite Bedingung ist, wenn Nmap nichts zu senden hat, z\&.B\&. am Ende eines Scans, nachdem die letzten Testpakete gesendet wurden und Nmap darauf wartet, dass sie einen Timeout verursachen oder beantwortet werden\&. Eine sinkende Scan\-Rate am Ende eines Scans oder zwischen Gruppen von Hosts ist normal\&. Die Senderate kann temporär das Maximum übersteigen, um unvorhergesehene Verzögerungen auszugleichen, aber im Durchschnitt bleibt die Rate bei oder unter dem Maximum\&.
+.sp
+Eine minimale Rate sollte man mit Vorsicht angeben\&. Scans, die schneller sind, als das Netzwerk erlaubt, können zu einem Verlust von Genauigkeit führen\&. In manchen Fällen kann die Wahl eines schnelleren Scans dazu führen, dass er
+\fIlänger\fR
+braucht als bei einer kleineren Rate\&. Das liegt daran, dass Nmaps Algorithmen für die
+
+adaptive retransmission
+die von einer zu hohen Scan\-Rate verursachte Netzwerküberlastung erkennen und die Anzahl der Wiederholungen erhöhen, um die Genauigkeit zu verbessern\&. Das heißt, selbst wenn Pakete mit höherer Rate gesendet werden, werden mehr Pakete insgesamt gesendet\&. Begrenzen Sie diese Anzahl von Wiederholungen nach oben mit der Option
+\fB\-\-max\-retries\fR, wenn Sie eine obere Grenze für die gesamte Scan\-Zeit setzen müssen\&.
+.RE
+.PP
+\fB\-\-defeat\-rst\-ratelimit\fR .\" --defeat-rst-ratelimit
+.RS 4
+Viele Hosts haben lange eine Ratenbeschränkung.\" Ratenbeschränkung
+benutzt, um die Anzahl der von ihnen gesendeten ICMP\-Fehlermeldungen (z\&.B\&. Port\-Unreachable\-Fehler) zu reduzieren\&. Manche Systeme wenden nun ähnliche Ratenbeschränkungen auf die von ihnen erzeugten RST\-(Reset\-)Pakete an\&. Das kann Nmap dramatisch verlangsamen, weil es sein Timing an diese Ratenbeschränkungen anpasst\&. Mit der Option
+\fB\-\-defeat\-rst\-ratelimit\fR
+können Sie Nmap sagen, dass es diese Ratenbeschränkungen ignorieren soll (z\&.B\&. bei Port\-Scans wie dem SYN\-Scan, die nicht\-antwortende Ports
+\fInicht\fR
+als
+\FCoffen\F[]
+behandeln)\&.
+.sp
+Diese Option kann die Genauigkeit reduzieren, da einige Ports nicht zu antworten scheinen, weil Nmap nicht lange genug auf eine ratenbeschränkte RST\-Antwort gewartet hat\&. Bei einem SYN\-Scan führt die ausbleibende Antwort dazu, dass für den Port der Zustand
+\FCgefiltert\F[]
+und
+\FCgeschlossen\F[]
+markiert wird, den wir sehen, wenn RST\-Pakete empfangen werden\&. Diese Option ist nützlich, wenn Sie sich nur für offene Ports interessieren und eine Unterscheidung zwischen
+\FCgeschlossenen\F[]
+und
+\FCgefilterten\F[]
+Ports die zusätzliche Zeit nicht wert ist\&.
+.RE
+.PP
+\fB\-T paranoid|sneaky|polite|normal|aggressive|insane\fR (setzt ein Timing\-Template) .\" -T .\" Timing-Templates
+.RS 4
+.\" -T0
+.\" -T1
+.\" -T2
+.\" -T3
+.\" -T4
+.\" -T5
+Auch wenn die feinkörnigen Timing\-Einstellungen im letzten Abschnitt mächtig und effektiv sind, finden manche Leute sie verwirrend\&. Außerdem kann die Wahl der passenden Werte manchmal mehr Zeit erfordern als der Scan, den Sie damit optimieren möchten\&. Deswegen bietet Nmap auch einen einfacheren Ansatz mit sechs Timing\-Templates\&. Diese können Sie mit der Option
+\fB\-T\fR
+und ihrer Nummer (0\(en5) oder mit ihrem Namen angeben\&. Diese Template\-Namen lauten:
+\fBparanoid\fR\ \&(\fB0\fR),
+\fBsneaky\fR\ \&(\fB1\fR),
+\fBpolite\fR\ \&(\fB2\fR),
+\fBnormal\fR\ \&(\fB3\fR),
+\fBaggressive\fR\ \&(\fB4\fR) und
+\fBinsane\fR\ \&(\fB5\fR)\&. Die ersten beiden sind für die Umgehung von IDS gedacht\&. Der Polite\-Modus verlangsamt den Scan, damit er weniger Bandbreite und Ressourcen auf dem Zielrechner verbraucht\&. Der Normal\-Modus ist der Standardwert, d\&.h\&.
+\fB\-T3\fR
+macht gar nichts\&. Der Aggressive\-Modus beschleunigt Scans, indem er davon ausgeht, dass Sie sich in einem einigermaßen schnellen und zuverlässigen Netzwerk befinden\&. Und schließlich geht der Insane\-Modus.\" insane (-T5) Timing-Template
+davon aus, dass sie sich in einem außergewöhnlich schnellen Netzwerk befinden bzw\&. gewillt sind, für mehr Geschwindigkeit auf etwas Genauigkeit zu verzichten\&.
+.sp
+Mit diesen Templates können Benutzer angeben, wie aggressiv sie vorgehen möchten, und trotzdem Nmap die Wahl der genauen Zeitwerte überlassen\&. Diese Templates führen außerdem auch kleine Geschwindigkeitsanpassungen aus, für die es zur Zeit keine feinkörnigen Einstellungsoptionen gibt\&. Zum Beispiel verbietet
+\fB\-T4\fR,.\" aggressive (-T4) Timing-Template
+dass die dynamische Scan\-Verzögerung bei TCP\-Ports über 10\ \&ms ansteigt, und
+\fB\-T5\fR
+begrenzt diesen Wert auf 5\ \&ms\&. Templates könen auch in Kombination mit feinkörnigen Einstellungen benutzt werden, wobei die feinkörnigeren Optionen die entsprechenden allgemeinen Werte aus den Templates überschreiben\&. Ich empfehle den Einsatz von
+\fB\-T4\fR
+beim Scannen halbwegs moderner und zuverlässiger Netzwerke\&. Wenn Sie diese Option angeben, auch dann, wenn Sie zusätzliche feinkörnige Einstellungen benutzen, profitieren Sie von den weiteren kleinen Optimierungen, die damit verbunden sind\&.
+.sp
+Falls Sie eine anständige Breitband\- oder Ethernet\-Verbindung haben, würde ich empfehlen, immer
+\fB\-T4\fR
+zu benutzen\&. Manche Leute lieben
+\fB\-T5\fR, was für meinen Geschmack aber zu aggressiv ist\&. Manchmal geben Leute
+\fB\-T2\fR
+an, weil sie denken, dadurch würden Hosts weniger abstürzen, oder weil sie sich selbst im Allgemeinen für höflich halten\&. Oft realisieren sie einfach nicht, wie langsam
+\fB\-T polite\fR.\" polite (-T2) Timing-Template
+tatsächlich ist\&. Ein solcher Scan kann zehnmal mehr Zeit benötigen als ein Standard\-Scan\&. Rechnerabstürze und Bandbreitenprobleme kommen mit den standardmäßigen Timing\-Optionen (\fB\-T3\fR) selten vor, weswegen ich das normalerweise vorsichtigen Scannern empfehle\&. Auf die Versionserkennung zu verzichten ist weit wirksamer bei der Reduktion dieser Probleme als das Herumprobieren mit Zeiteinstellungen\&.
+.sp
+Zwar sind
+\fB\-T0\fR.\" paranoid (-T0) Timing-Template
+und
+\fB\-T1\fR.\" sneaky (-T1) Timing-Template
+vielleicht hilfreich bei der Vermeidung von IDS\-Alarmen, benötigen aber außergewöhnlich viel Zeit beim Scannen von Tausenden von Rechnern oder Ports\&. Für einen derart langen Scan möchten Sie vielleicht doch lieber die genau benötigten Zeitwerte angeben, statt sich auf die vorgefertigten Werte von
+\fB\-T0\fR
+und
+\fB\-T1\fR
+zu verlassen\&.
+.sp
+Die Haupteffekte von
+\fBT0\fR
+sind die Serialisierung des Scans, bei der immer nur ein Port gescannt wird, und eine Wartezeit von fünf Minuten zwischen zwei Testpaketen\&.
+\fBT1\fR
+und
+\fBT2\fR
+sind ähnlich, warten aber jeweils nur 15 bzw\&. 0,4 Sekunden zwischen zwei Testpaketen\&.
+\fBT3\fR
+ist die Standardeinstellung in Nmap, die eine Parallelisierung.\" normal (-T3) Timing-Template
+beinhaltet\&.
+\fB\-T4\fR
+macht das Äquivalent von
+\fB\-\-max\-rtt\-timeout 1250 \-\-initial\-rtt\-timeout 500 \-\-max\-retries 6\fR
+und setzt die maximale TCP\-Scan\-Verzögerung auf 10 Millisekunden\&.
+\fBT5\fR
+macht das Äquivalent von
+\fB\-\-max\-rtt\-timeout 300 \-\-min\-rtt\-timeout 50 \-\-initial\-rtt\-timeout 250 \-\-max\-retries 2 \-\-host\-timeout 15m\fR
+und setzt die maximale TCP\-Scan\-Verzögerung auf 5\ \&ms\&.
+.RE
+.\"
+.\"
+.SH "Firewall-/IDS-Umgehung und -Täuschung"
+.\" Firewalls: umgehen
+.\" Intrusion-Detection-Systeme: umgehen
+.PP
+Viele Internet\-Pioniere hatten die Vision eines globalen, offenen Netzwerks, in dem ein universeller IP\-Adressraum virtuelle Verbindungen zwischen zwei beliebigen Knoten erlaubt\&. Dadurch können Hosts als echte, gleichberechtigte Partner agieren und Information untereinander senden und empfangen\&. Die Menschen könnten von ihrer Arbeitsstelle auf all ihre Systeme daheim zugreifen, die Einstellungen der Klimaanlage ändern oder die Türen für verfrühte Gäste aufsperren\&. Diese Vision einer universellen Konnektivität wurde durch eine Verknappung im Adressraum und Sicherheitsbedenken abgewürgt\&. In den frühen 1990er Jahren begannen Organisationen mit der Aufstellung von Firewalls mit dem ausdrücklichen Zweck einer Reduktion der Konnektivität\&. Riesige Netzwerke wurden mit Anwendungs\-Proxies, NAT (Network Address Translation)\-Geräten und Paketfiltern vom ungefilterten Internet abgeriegelt\&. Der ungehinderte Fluss von Informationen hat einer strengen Regulierung von zugelassenen Kommunikationskanälen und der darüber ausgetauschten Inhalte Platz gemacht\&.
+.PP
+Netzwerkhindernisse wie Firewalls können die Analyse eines Netzwerks außerordentlich schwer machen\&. Und leichter wird es nicht werden, da das Verhindern von Ausspähungen oft ein Schlüsselziel beim Einsatz dieser Geräte ist\&. Trotzdem bietet Nmap viele Eigenschaften, um beim Verständnis dieser komplexen Netzwerke zu helfen und um zu überprüfen, dass diese Filter arbeiten wie gewünscht\&. Es bietet sogar Mechanismen zur Umgehung schlechter Abwehrstrategien\&. Eine der besten Methoden, Ihre Lage in puncto Netzwerksicherheit zu verstehen, ist die, sie anzugreifen\&. Versetzen Sie sich selbst in die Denkweise eines Angreifers und wenden Sie Verfahren aus diesem Kapitel gegen Ihr Netzwerk an\&. Starten Sie einen FTP\-Bounce\-Scan, Idle\-Scan, Fragmentierungsangriff, oder versuchen Sie durch einen Ihrer eigenen Proxies zu tunneln\&.
+.PP
+Zusätzlich zur Beschränkung der Netzwerkaktivität überwachen Firmen ihren Datenverkehr immer mehr mit Intrusion\-Detection\-Systemen (IDS)\&. Alle wichtigen IDS werden mit Regeln ausgeliefert, die entworfen wurden, um Nmap\-Scans zu erkennen, weil Scans manchmal Vorboten von Angriffen sind\&. Viele dieser Produkte haben sich in Intrusion\-\fIPrevention\fR\-Systeme (IPS).\" Intrusion-Prevention-Systeme
+verwandelt, die für böswillig gehaltenen Datenverkehr aktiv blockieren\&. Dummerweise ist es für Netzwerkadministratoren und IDS\-Hersteller eine sehr schwierige Aufgabe, böswillige Absichten durch die Analyse von Paketdaten zuverlässig zu erkennen\&. Angreifer mit Geduld, Geschick und der Hilfe bestimmter Nmap\-Optionen können meist unerkannt an einem IDS vorbeikommen\&. Währenddessen müssen Administratoren mit riesigen Mengen falscher positiver Ergebnisse kämpfen, bei denen eine nicht böswillige Aktivität fehldiagnostiziert wird und Alarm schlägt oder blockiert wird\&.
+.PP
+Ab und zu schlagen Leute vor, dass Nmap keine Eigenschaften für die Umgehung von Firewallregeln oder IDS enthalten sollte\&. Ihr Argument ist, dass diese Eigenschaften genauso wahrscheinlich von Angreifern missbraucht werden wie von Administratoren, die die Sicherheit verbessern\&. Das Problem bei dieser Logik ist, dass diese Methoden trotzdem von Angreifern benutzt würden, die einfach andere Werkzeuge finden oder die Funktionalität in Nmap einbauen würden\&. Zugleich wäre es für Administratoren sehr viel schwerer, ihren Job zu machen\&. Das Aufstellen nur moderner, gepatchter FTP\-Server ist eine wesentlich bessere Verteidigung als der Versuch, die Verbreitung von Werkzeugen zu verhindern, die einen FTP\-Bounce\-Angriff implementieren\&.
+.PP
+Es gibt keine Wunderlösung (oder Nmap\-Option) zur Erkennung und Umgehung von Firewalls und IDS\-Systemen\&. Es braucht Kompetenz und Erfahrung\&. Eine Anleitung dazu würde den Rahmen dieses Referenz\-Handbuches sprengen, das nur die wichtigsten Optionen auflistet und beschreibt, was sie machen\&.
+.PP
+\fB\-f\fR (Pakete fragmentieren); \fB\-\-mtu\fR (benutzt angegebene MTU) .\" -f .\" --mtu
+.RS 4
+Die Option
+\fB\-f\fR
+bewirkt, dass der gewünschte Scan (inklusive Ping\-Scans) winzig fragmentierte IP\-Pakete benutzt\&. Die Idee dabei ist, den TCP\-Header über mehrere Pakete aufzuteilen, um es Paketfiltern, Intrusion\-Detection\-Systemen und anderen Ärgernissen schwerer zu machen, Ihre Aktivitäten zu durchschauen\&. Seien Sie dabei vorsichtig! Manche Programme haben Mühe, mit diesen winzigen Paketen umzugehen\&. Ein Sniffer alter Schule namens Sniffit ist beim Erhalt des ersten Fragments sofort mit einem Segmentation\-Fault\-Fehler abgestürzt\&. Wenn Sie diese Option einmal angeben, spaltet Nmap die Pakete in acht Bytes oder weniger nach dem IP\-Header auf\&. Das heißt, ein 20 Byte langer TCP\-Header würde in drei Pakete aufgeteilt, zwei mit acht Bytes des TCP\-Headers und eines mit den restlichen vier\&. Natürlich hat jedes Fragment auch einen IP\-Header\&. Geben Sie erneut
+\fB\-f\fR
+an, um 16 Bytes pro Fragment zu benutzen (was die Anzahl der Fragmente verkleinert)\&..\" -f: zweimal angeben
+Oder Sie geben eine eigene Offset\-Größe mit der Option
+\fB\-\-mtu\fR
+(für engl\&. maximum transmission unit) an\&. Wenn Sie
+\fB\-\-mtu\fR
+angeben, sollten Sie nicht auch
+\fB\-f\fR
+angeben\&. Das Offset muss ein Vielfaches von acht sein\&. Zwar kommen fragmentierte Pakete nicht durch Paketfilter und Firewalls durch, die alle IP\-Fragmente in eine Warteschlange stellen, wie z\&.B\&. die Option
+\fICONFIG_IP_ALWAYS_DEFRAG\fR
+im Linux\-Kernel, aber einige Netzwerke können sich den damit verbundenen Performance\-Einbruch nicht leisten und lassen sie folglich deaktiviert\&. Andere können sie nicht aktivieren, weil die Fragmente auf verschiedenen Routen in ihre Netzwerke kommen könnten\&. Manche Quellsysteme defragmentieren hinausgehende Pakete im Kernel\&. Ein Beispiel dafür ist Linux mit dem Verbindungsmodul iptables\&..\" iptables
+Führen Sie einen Scan aus, während ein Sniffer wie z\&.B\&.
+Wireshark.\" Wireshark
+läuft, um sicherzustellen, dass die gesendeten Pakete fragmentiert sind\&. Falls Ihr Host\-Betriebssystem Probleme macht, probieren Sie die Option
+\fB\-\-send\-eth\fR.\" --send-eth
+aus, um die IP\-Schicht zu umgehen und rohe Ethernet\-Rahmen zu schicken\&.
+.sp
+Eine Fragmentierung wird von Nmap nur für rohe Pakete unterstützt, die man mit TCP\- und UDP\-Port\-Scans (außer beim Connect\-Scan und FTP\-Bounce\-Scan) und der Betriebssystemerkennung benutzen kann\&. Merkmale wie die Versionserkennung und die Nmap Scripting Engine unterstützen im Allgemeinen keine Fragmentierung, weil sie sich auf den TCP\-Stack Ihres Hosts verlassen, um mit anderen Zielen zu kommunizieren\&.
+.RE
+.PP
+\fB\-D \fR\fB\fIdecoy1\fR\fR\fB[,\fIdecoy2\fR]\fR\fB[,ME]\fR\fB[,\&.\&.\&.]\fR (verdeckt einen Scan mit Ködern) .\" -D .\" Köder
+.RS 4
+Führt einen Decoy\-Scan durch, was für den entfernten Host den Anschein erweckt, dass der oder die Hosts, die Sie als Köder angeben, das Zielnetzwerk ebenfalls scannen\&. Deren IDS kann also 5\(en10 Port\-Scans von eindeutigen IP\-Adressen verzeichnen, aber es weiß nicht, welche IP sie gescannt hat und welche unschuldige Köder waren\&. Das kann man zwar bekämpfen, indem man Router\-Pfade mitverfolgt, Antworten verwirft oder weitere aktive Mechanismen anwendet, aber im Allgemeinen ist es eine wirksame Methode zum Verbergen Ihrer IP\-Adresse\&.
+.sp
+Trennen Sie alle Köder mit Kommata voneinander, wobei Sie optional
+\FCME\F[].\" ME (Köder-Adresse)
+als einen der Köder angeben können, um die Position Ihrer echten IP\-Adresse zu bestimmen\&. Falls Sie
+\FCME\F[]
+an sechster Stelle oder später setzen, zeigen einige verbreitete Port\-Scan\-Detektoren (wie z\&.B\&. der hervorragende Scanlogd.\" Scanlogd
+von Solar Designer.\" Solar Designer) Ihre IP\-Adresse wahrscheinlich überhaupt nicht an\&. Wenn Sie kein
+\FCME\F[]
+angeben, setzt es Nmap an eine zufällig gewählte Position\&. Sie können auch
+\FCRND\F[].\" RND (Köder-Adresse)
+benutzen, um eine zufällige, nicht\-reservierte IP\-Adresse zu erzeugen, oder
+\FCRND:\fInumber\fR\F[], um
+\fInumber\fR
+Adressen zu erzeugen\&.
+.sp
+Beachten Sie, dass die Hosts, die Sie als Köder benutzen, eingeschaltet sein sollten, sonst könnten Sie versehentlich einen SYN\-Flood\-Angriff auf Ihre Ziele auslösen\&. Außerdem lässt sich der scannende Host sehr einfach bestimmen, wenn nur einer davon im Netzwerk eingeschaltet ist\&. Vielleicht möchten Sie IP\-Adressen statt \-Namen benutzen (damit die Köder\-Netzwerke Sie nicht in ihren Nameserver\-Protokollen sehen)\&.
+.sp
+Köder werden sowohl im initialen Ping\-Scan (mit ICMP, SYN, ACK oder was auch immer) als auch während der eigentlichen Port\-Scan\-Phase benutzt\&. Auch bei der Erkennung entfernter Betriebssysteme (\fB\-O\fR) werden Köder benutzt\&. Bei der Versionserkennung oder beim TCP\-Connect\-Scan funktionieren Köder jedoch nicht\&. Falls eine Scan\-Verzögerung stattfindet, wird sie zwischen zwei Stapeln vorgetäuschter Testpakete erzwungen, nicht zwischen einzelnen Testpaketen\&. Weil Köder stapelweise auf einmal gesendet werden, können sie vorübergehend die Beschränkungen der Überlastungssteuerung verletzen\&.
+.sp
+Man sollte hierbei noch erwähnen, dass beim Einsatz von zu vielen Ködern Ihr Scan sich verlangsamen und sogar ungenauer werden kann\&. Manche ISPs filtern außerdem Ihre vorgetäuschten Pakete, aber viele beschränken solche vorgetäuschten IP\-Pakete in keinster Weise\&.
+.RE
+.PP
+\fB\-S \fR\fB\fIIP_Address\fR\fR (Quelladresse vortäuschen) .\" -S .\" Vortäuschen der Quelladresse
+.RS 4
+Unter gewissen Umständen kann Nmap eventuell Ihre Quelladresse nicht bestimmen (wenn dem so ist, dann sagt Ihnen Nmap Bescheid)\&. Benutzen Sie in diesem Fall
+\fB\-S\fR
+mit der IP\-Adresse der Schnittstelle, über die Sie die Pakete senden möchten\&.
+.sp
+Eine weitere mögliche Anwendung dieses Flags ist eine Vortäuschung des Scans, um die Ziele glauben zu machen, dass
+\fIjemand anderes\fR
+sie scannt\&. Stellen Sie sich eine Firma vor, die wiederholt von einem Mitbewerber gescannt wird! Bei dieser Art von Anwendung werden im Allgemeinen die Optionen
+\fB\-e\fR
+und
+\fB\-PN\fR
+benötigt\&. Beachten Sie, dass Sie normalerweise Antwortpakete zurückbekommen (sie werden an die IP adressiert, die Sie vortäuschen), d\&.h\&. Nmap kann keinen sinnvollen Bericht produzieren\&.
+.RE
+.PP
+\fB\-e \fR\fB\fIinterface\fR\fR (angegebene Schnittstelle benutzen) .\" -e .\" interface
+.RS 4
+Sagt Nmap, auf welcher Schnittstelle es Pakete senden und empfangen soll\&. Nmap sollte das automatisch erkennen können, sagt Ihnen aber Bescheid, wenn nicht\&.
+.RE
+.PP
+\fB\-\-source\-port \fR\fB\fIportnumber\fR\fR\fB;\fR \fB\-g \fR\fB\fIportnumber\fR\fR (Quell\-Portnummer vortäuschen) .\" --source-port .\" -g .\" Quellportnummer
+.RS 4
+Eine Fehlkonfiguration, die überraschend häufig vorkommt, ist es, dem Netzwerkverkehr allein auf Basis der Quell\-Portnummer zu vertrauen\&. Wie das zustande kommt, kann man leicht verstehen\&. Ein Administrator setzt eine glänzende neue Firewall auf und wird sofort mit Beschwerden von undankbaren Benutzern überflutet, deren Anwendungen nicht mehr laufen\&. Vor allem DNS könnte einen Aussetzer haben, weil die UDP\-DNS\-Antworten von externen Servern nicht länger ins Netzwerk hineinkommen\&. Ein weiteres häufiges Beispiel ist FTP\&. Bei aktiven FTP\-Übertragungen versucht der entfernte Server, eine Verbindung zurück zum Client herzustellen, um die gewünschte Datei zu übertragen\&.
+.sp
+Für diese Probleme existieren sichere Lösungen, oftmals in Form von Proxies auf Anwendungsebene oder Protokoll\-parsenden Firewall\-Modulen\&. Leider gibt es auch einfachere, unsichere Lösungen\&. Viele Administratoren haben beobachtet, dass DNS\-Antworten von Port 53 und aktive FTP\-Antworten von Port 20 kommen, und sind in die Falle getappt, eingehenden Datenverkehr nur von diesen Ports zu erlauben\&. Oft gehen sie davon aus, dass kein Angreifer solche Firewall\-Lecks bemerken und ausbeuten würde\&. In anderen Fällen betrachten das Administratoren als kurzfristige Überbrückungsmaßnahme, bis sie eine sicherere Lösung implementieren können\&. Und dann vergessen sie diese Sicherheitsaktualisierung\&.
+.sp
+Aber nicht nur überarbeitete Netzwerkadministratoren tappen in diese Falle\&. Zahlreiche Produkte wurden mit diesen unsicheren Regeln ausgeliefert\&. Sogar Microsoft hat sich schuldig gmacht\&. Die IPsec\-Filter, die mit Windows 2000 und Windows XP ausgeliefert wurden, enthalten eine implizite Regel, die jeden TCP\- oder UDP\-Datenverkehr von Port 88 (Kerberos) erlaubt\&. Ein weiterer bekannter Fall sind Versionen der Zone Alarm Personal\-Firewall bis 2\&.1\&.25, die alle empfangenen UDP\-Pakete vom Quell\-Port 53 (DNS) oder 67 (DHCP) erlauben\&.
+.sp
+Nmap bietet die Optionen
+\fB\-g\fR
+und
+\fB\-\-source\-port\fR
+(sind äquivalent), um diese Schwächen auszunutzen\&. Geben Sie einfach eine Portnummer an, und Nmap wird, wenn möglich, Pakete von diesem Port senden\&. Damit es richtig funktioniert, muss Nmap für bestimmte Betriebssystemerkennungstests verschiedene Portnummern benutzen, und DNS\-Anfragen ignorieren das
+\fB\-\-source\-port\fR\-Flag, weil Nmap sich bei ihnen auf System\-Bibliotheken verlässt\&. Die meisten TCP\-Scans, inklusive dem SYN\-Scan, unterstützen die Option vollständig, ebenso wie der UDP\-Scan\&.
+.RE
+.PP
+\fB\-\-data\-length \fR\fB\fInumber\fR\fR (Zufallsdaten an gesendete Pakete anfügen) .\" --data-length
+.RS 4
+Normalerweise sendet Nmap minimale Pakete, die nur einen Header enthalten\&. Daher haben seine TCP\-Pakete im Allgemeinen nur 40 Bytes und die ICMP Echo\-Requests nur 28\&. Mit dieser Option sagen Sie Nmap, dass es die angegebene Anzahl von zufälligen Bytes an die meisten gesendeten Pakete hinzufügen soll\&. Pakete für die Betriebssystemerkennung (\fB\-O\fR) sind davon nicht betroffen,.\" --data-length: kein Effekt in der Betriebssystemerkennung
+weil dort aus Genauigkeitsgründen konsistente Pakete verlangt werden, aber die meisten Ping\- und Port\-Scan\-Pakete unterstützen das\&. Das kann den Scan etwas verlangsamen, aber auch etwas unauffälliger machen\&.
+.RE
+.PP
+\fB\-\-ip\-options \fR\fB\fIS|R [route]|L [route]|T|U \&.\&.\&. \fR\fR\fB;\fR \fB\-\-ip\-options \fR\fB\fIhex string\fR\fR (sendet Pakete mit angegebenen IP\-Optionen) .\" --ip-options .\" IP-Optionen
+.RS 4
+Laut
+\m[blue]\fBIP\-Protokoll\fR\m[]\&\s-2\u[9]\d\s+2
+können in den Paket\-Headern mehrere Optionen enthalten sein\&. Anders als die allgegenwärtigen TCP\-Optionen sieht man IP\-Optionen aus Gründen der praktischen Anwendbarkeit und Sicherheit nur selten\&. Tatsächlich blockieren die meisten Internet\-Router die gefährlichsten Optionen wie Source Routing sogar\&. Dennoch können diese Optionen in manchen Fällen nützlich sein, um die Netzwerk\-Route zu Zielrechnern zu bestimmen und zu manipulieren\&. Sie können z\&.B\&. vielleicht die Option Record Route dazu benutzen, einen Pfad zum Ziel sogar dann zu bestimmen, wenn traditionellere, traceroute\-artige Ansätze versagen\&. Oder wenn Ihre Pakete von einer bestimmten Firewall verworfen werden, können Sie mit den Optionen Strict oder Loose Source Routing möglicherweise eine andere Route angeben\&.
+.sp
+Die meisten Möglichkeiten bei der Angabe von IP\-Optionen hat man, wenn man einfach Werte als Argumente für
+\fB\-\-ip\-options\fR
+angibt\&. Stellen Sie vor jede Hex\-Zahl ein
+\FC\ex\F[]
+und zwei Ziffern\&. Einzelne Zeichen können Sie wiederholen, indem Sie ihnen ein Sternchen und dann die Anzahl der Wiederholungen nachstellen\&. So ist z\&.B\&.
+\FC\ex01\ex07\ex04\ex00*36\ex01\F[]
+ein Hex\-String mit 36 NUL\-Bytes\&.
+.sp
+Nmap bietet auch einen verkürzten Mechanismus für die Angabe von Optionen\&. Geben Sie einfach die Buchstaben
+\FCR\F[],
+\FCT\F[]
+oder
+\FCU\F[]
+an, um jeweils Record Route,.\" Record-Route-IP-Option
+Record Timestamp.\" Record-Timestamp-IP-Option
+oder beide Optionen gemeinsam anzugeben\&. Loose oder Strict Source Routing.\" Source Routing
+kann man mit
+\FCL\F[]
+bzw\&.
+\FCS\F[], gefolgt von einem Leerzeichen und einer mit Leerzeichen getrennten Liste von IP\-Adressen angeben\&.
+.sp
+Wenn Sie die Optionen in den gesendeten und empfangenen Paketen sehen möchten, geben Sie
+\fB\-\-packet\-trace\fR
+an\&. Mehr Informationen und Beispiele zum Einsatz von IP\-Optionen mit Nmap finden Sie unter
+\m[blue]\fB\%http://seclists.org/nmap-dev/2006/q3/0052.html\fR\m[]\&.
+.RE
+.PP
+\fB\-\-ttl \fR\fB\fIvalue\fR\fR (setzt IP\-Time\-to\-live\-Feld) .\" --ttl .\" Time-To-Live (TTL)
+.RS 4
+Setzt bei IPv4 das Time\-to\-live\-Feld in gesendeten Paketen auf den angegebenen Wert\&.
+.RE
+.PP
+\fB\-\-randomize\-hosts\fR (randomisiert Reihenfolge der Zielhosts) .\" --randomize-hosts .\" Randomisierung von Hosts
+.RS 4
+Verlangt von Nmap, dass es alle Gruppen von bis zu 16\&.384 Hosts durcheinanderwürfelt, bevor es sie scannt\&. Das kann den Scan für verschiedene Netzwerk\-Überwachungssysteme weniger offensichtlich machen, besonders dann, wenn Sie ihn mit einer langsamen Timing\-Option kombinieren\&. Wenn Sie größere Gruppen randomisieren möchten, müssen Sie
+\fIPING_GROUP_SZ\fR.\" PING_GROUP_SZ
+in
+\FCnmap\&.h\F[].\" nmap.h
+erhöhen und neu kompilieren\&. Eine alternative Lösung ist es, die Liste der Ziel\-IPs mit einem List\-Scan (\fB\-sL \-n \-oN \fR\fB\fIfilename\fR\fR) zu erzeugen, dann z\&.B\&. mit einem Perl\-Script zu randomisieren, um sie schließlich als Ganzes mit
+\fB\-iL\fR.\" -iL: Hosts randomisieren mit
+an Nmap zu übergeben\&.
+.RE
+.PP
+\fB\-\-spoof\-mac \fR\fB\fIMAC address, prefix, or vendor name\fR\fR (MAC\-Adresse vortäuschen) .\" --spoof-mac .\" Vortäuschen einer MAC-Adresse
+.RS 4
+Verlangt von Nmap, dass es in allen gesendeten rohen Ethernet\-Rahmen die angegebene MAC\-Adresse.\" MAC-Adresse
+benutzt\&. Diese Option impliziert
+\fB\-\-send\-eth\fR,.\" --send-eth: impliziert von --spoof-mac
+um sicherzustellen, dass Nmap tatsächlich Pakete auf Ethernet\-Ebene sendet\&. Die MAC\-Adresse kann in mehreren Formaten angegeben werden\&. Wenn es einfach die Zahl
+\FC0\F[]
+ist, wählt Nmap eine völlig zufällige MAC\-Adresse für diese Sitzung\&. Falls der angegebene String aus einer geraden Anzahl von Hexadezimalziffern besteht (in dem Paare optional mit Doppelpunkten getrennt sein können), benutzt Nmap diese als MAC\&. Werden weniger als 12 Hexadezimalziffern angegeben, dann füllt Nmap die restlichen sechs Bytes mit zufälligen Werten\&. Falls das Argument weder null noch ein Hex\-String ist, schaut Nmap in
+\FCnmap\-mac\-prefixes\F[]
+nach, um einen Herstellernamen zu finden, der den angegebenen String enthält (unabhängig von der Schreibweise)\&. Wird eine Übereinstimmung gefunden, benutzt Nmap die OUI dieses Herstellers (einen drei Byte langen Präfix).\" Organizationally Unique Identifier (OUI)
+und füllt die verbleibenden drei Bytes mit Zufallswerten\&. Gültige Beispiele für Argumente von
+\fB\-\-spoof\-mac\fR
+sind
+\FCApple\F[],
+\FC0\F[],
+\FC01:02:03:04:05:06\F[],
+\FCdeadbeefcafe\F[],
+\FC0020F2\F[]
+und
+\FCCisco\F[]\&. Diese Option betrifft nur Scans mit rohen Paketen wie den SYN\-Scan oder die Betriebssystemerkennung, keine verbindungsorientierten Merkmale wie die Versionserkennung oder die Nmap Scripting Engine\&.
+.RE
+.PP
+\fB\-\-badsum\fR (sendet Pakete mit falschen TCP/UDP\-Prüfsummen) .\" --badsum .\" TCP-Prüfsumme .\" Prüfsummen
+.RS 4
+Verlangt von Nmap, bei den an Zielhosts gesendeten Paketen ungültige TCP\- oder UDP\-Prüfsummen zu benutzen\&. Da so gut wie alle Host\-IP\-Stacks solche Pakete verwerfen, kommen eventuelle Antworten sehr wahrscheinlich von einer Firewall oder einem IDS, das sich nicht die Mühe macht, die Prüfsumme zu überprüfen\&. Mehr Details zu dieser Methode finden Sie unter
+\m[blue]\fB\%http://nmap.org/p60-12.html\fR\m[]\&.
+.RE
+.\"
+.\"
+.SH "Ausgabe"
+.\" Ausgabeformate
+.PP
+Alle Sicherheitswerkzeuge sind nur so gut wie die Ausgabe, die sie erzeugen\&. Komplexe Tests und Algorithmen haben einen geringen Wert, wenn sie nicht auf übersichtliche und verständliche Weise dargestellt werden\&. Da Nmap auf vielfältige Weise von verschiedenen Leuten und anderer Software benutzt wird, kann kein Format allein es allen recht machen\&. Daher bietet Nmap mehrere Formate, darunter den interaktiven Modus, den Menschen direkt lesen können, und XML, das von Software leicht geparst werden kann\&.
+.PP
+Zusätzlich zu verschiedenen Ausgabeformaten bietet Nmap Optionen zur Steuerung der Ausführlichkeit dieser Ausgabe sowie Debugging\-Meldungen\&. Die Ausgaben können an die Standardausgabe oder an benannte Dateien gehen, die Nmap überschreiben bzw\&. an die es seine Ausgabe anfügen kann\&. Mit den Ausgabedateien können außerdem abgebrochene Scans fortgesetzt werden\&.
+.PP
+Nmap erzeugt seine Ausgabe in fünf verschiedenen Formaten\&. Das Standardformat heißt
+interaktive Ausgabe.\" interaktive Ausgabe
+und wird an die Standardausgabe (stdout).\" Standardausgabe
+gesendet\&. Es gibt auch die
+normale Ausgabe,.\" normale Ausgabe
+die ähnlich zur interaktiven Ausgabe ist, außer dass sie weniger Laufzeitinformation und Warnungen ausgibt, weil man davon ausgeht, dass sie erst nach Abschluss des Scans analysiert wird und nicht, während er noch läuft\&.
+.PP
+Die
+XML\-Ausgabe.\" XML-Ausgabe
+ist eines der wichtigsten Ausgabeformate, da sie einfach nach HTML konvertiert, von Programmen wie Nmap\-GUIs geparst oder in Datenbanken importiert werden kann\&.
+.PP
+Die zwei verbleibenden Ausgabeformate sind die einfache
+grepbare Ausgabe,.\" grepbare Ausgabe
+in der die meiste Information über einen Zielhost in einer einzigen Zeile enthalten ist, und
+sCRiPt KiDDi3 0utPUt.\" scR1pT kIddI3-Ausgabe
+für Benutzer, die sich selbst als |<\-r4d sehen\&.
+.PP
+Die interaktive Ausgabe ist standardmäßig vorgegeben und verfügt über keine eigenen Kommandozeilenoptionen, aber die anderen vier Formate benutzen dieselbe Syntax\&. Sie erwarten ein Argument, den Namen der Datei, in der die Ergebnisse gespeichert werden sollen\&. Es können mehrere Formate angegeben werden, aber jedes nur einmal\&. Vielleicht möchten Sie z\&.B\&. eine normale Ausgabe für eine eigene Untersuchung speichern und eine XML\-Ausgabe desselben Scans für eine programmbasierte Analyse\&. Das erreichen Sie mit den Optionen
+\fB\-oX myscan\&.xml \-oN myscan\&.nmap\fR\&. Auch wenn in diesem Kapitel der Kürze wegen einfache Namen wie
+\FCmyscan\&.xml\F[]
+benutzt werden, empfehlen sich im Allgemeinen aussagekräftigere Namen\&. Welche Namen Sie wählen, ist Geschmackssache, aber ich benutze lange Namen, die das Scandatum und ein oder zwei Worte über den Scan enthalten, in einem Verzeichnis, das den Namen der gescannten Firma enthält\&.
+.PP
+Auch wenn diese Optionen Ergebnisse in Dateien speichern, gibt Nmap weiterhin die interaktive Ausgabe wie üblich auf die Standardausgabe aus\&. Zum Beispiel speichert der Befehl
+\fBnmap \-oX myscan\&.xml target\fR
+XML in
+\FCmyscan\&.xml\F[]
+und füllt die Standardausgabe mit demselben interaktiven Ergebnis, wie es auch ohne Angabe von
+\fB\-oX\fR
+der Fall wäre\&. Das können Sie ändern, indem Sie ein Minuszeichen als Argument für eines der Formate angeben\&. Dann schaltet Nmap die interaktive Ausgabe ab und gibt stattdessen Ergebnisse im gewünschten Format auf den Standardausgabestrom aus\&. Das heißt, der Befehl
+\fBnmap \-oX \- target\fR
+schreibt nur die XML\-Ausgabe auf die Standardausgabe\&..\" Ausgabe: auf stdout mit -
+Ernste Fehler werden weiterhin auf den normalen Standardfehlerstrom, stderr,.\" Standardfehlerausgabe
+ausgegeben\&.
+.PP
+Anders als bei anderen Nmap\-Argumenten ist das Leerzeichen zwischen dem Options\-Flag für eine Ausgabedatei (z\&.B\&.
+\fB\-oX\fR) und dem Dateinamen oder Minuszeichen obligatorisch\&. Falls Sie die Leerzeichen weglassen und Argumente wie z\&.B\&.
+\fB\-oG\-\fR
+oder
+\fB\-oXscan\&.xml\fR
+angeben, erzeugt Nmap aus Gründen der Rückwärtskompatibilität Ausgabedateien im
+\fInormalen Format\fR, die jeweils die Namen
+\FCG\-\F[]
+und
+\FCXscan\&.xml\F[]
+haben\&.
+.PP
+All diese Argumente unterstützen
+\fBstrftime\fR\-ähnliche.\" strftime Konvertierungen in Dateinamen
+Umwandlungen im Dateinamen\&.
+\FC%H\F[],
+\FC%M\F[],
+\FC%S\F[],
+\FC%m\F[],
+\FC%d\F[],
+\FC%y\F[]
+und
+\FC%Y\F[]
+sind alle exakt gleich wie in
+\fBstrftime\fR\&.
+\FC%T\F[]
+entspricht
+\FC%H%M%S\F[],
+\FC%R\F[]
+entspricht
+\FC%H%M\F[]
+und
+\FC%D\F[]
+entspricht
+\FC%m%d%y\F[]\&. Ein
+\FC%\F[], dem ein anderes Zeichen folgt, ergibt nur genau dieses Zeichen (\FC%%\F[]
+ergibt ein Prozentzeichen)\&. Also erzeugt
+\fB\-oX \'scan\-%T\-%D\&.xml\'\fR
+eine XML\-Datei in der Form
+\FCscan\-144840\-121307\&.xml\F[]\&.
+.PP
+Nmap bietet auch Optionen zur Steuerung der Scan\-Ausführlichkeit und Optionen, um an Ausgabedateien anzuhängen, statt sie zu überschreiben\&. All diese Optionen werden unten beschrieben\&.
+.PP
+\fBNmap\-Ausgabeformate\fR
+.PP
+\fB\-oN \fR\fB\fIfilespec\fR\fR (normale Ausgabe) .\" -oN .\" normale Ausgabe
+.RS 4
+Verlangt, dass eine
+\FCnormale Ausgabe\F[]
+in der angegebenen Datei gespeichert wird\&. Wie oben erwähnt, unterscheidet sich das leicht von der
+\FCinteraktiven Ausgabe\F[]\&.
+.RE
+.PP
+\fB\-oX \fR\fB\fIfilespec\fR\fR (XML\-Ausgabe) .\" -oX .\" XML-Ausgabe
+.RS 4
+Verlangt, dass eine
+\FCXML\-Ausgabe\F[]
+in der angegebenen Datei gespeichert wird\&. Nmap fügt eine DTD (Document Type Definition) hinzu, mit der XML\-Parser Nmaps XML\-Ausgabe validieren können\&. Diese ist vor allem für die Benutzung durch Programme gedacht, kann aber auch Menschen bei der Interpretation von Nmaps XML\-Ausgabe helfen\&. Die DTD definiert die gültigen Elemente des Formats und zählt an vielen Stellen die dafür erlaubten Attribute und Werte auf\&. Die neueste Version ist immer unter
+\m[blue]\fB\%http://nmap.org/data/nmap.dtd\fR\m[]
+verfügbar\&.
+.sp
+XML bietet ein stabiles Format, das man mit Software leicht parsen kann\&. Solche XML\-Parser sind für alle wichtigen Programmiersprachen wie C/C++, Perl, Python und Java gratis verfügbar\&. Manche Leute haben sogar Anbindungen für die meisten dieser Sprachen geschrieben, um speziell die Ausgabe und Ausführung von Nmap zu steuern\&. Beispiele sind
+\m[blue]\fBNmap::Scanner\fR\m[]\&\s-2\u[10]\d\s+2
+.\" Nmap::Scanner
+und
+\m[blue]\fBNmap::Parser\fR\m[]\&\s-2\u[11]\d\s+2
+.\" Nmap::Parser
+für Perl in CPAN\&. In fast allen Fällen, in denen eine nicht\-triviale Anwendung eine Schnittstelle zu Nmap benutzt, ist XML das bevorzugte Format\&.
+.sp
+Die XML\-Ausgabe verweist auf ein XSL\-Stylesheet, mit dem man die Ergebnisse als HTML formatieren kann\&. Am einfachsten benutzt man das, indem man einfach die XML\-Ausgabe in einem Webbrowser wie Firefox oder IE lädt\&. Standardmäßig funktioniert das nur auf dem Rechner, auf dem Sie Nmap ausgeführt haben (oder auf einem, der ähnlich konfiguriert ist), weil der Pfad zu
+\FCnmap\&.xsl\F[]
+darin festkodiert ist\&. Um portable XML\-Dateien zu erzeugen, die auf allen mit dem Web verbundenen Rechnern als HTML angezeigt werden, können Sie die Optionen
+\fB\-\-webxml\fR
+oder
+\fB\-\-stylesheet\fR
+benutzen\&.
+.RE
+.PP
+\fB\-oS \fR\fB\fIfilespec\fR\fR (ScRipT KIdd|3\-Ausgabe) .\" -oS .\" scR1pT kIddI3-Ausgabe
+.RS 4
+Die Script\-Kiddie\-Ausgabe ist ähnlich zur interaktiven Ausgabe, mit dem Unterschied, dass sie nachbearbeitet ist, um die \'l33t HaXXorZ besser anzusprechen! Vorher haben sie wegen dessen konsistent richtiger Schreibweise und Buchstabierung auf Nmap herabgesehen\&. Humorlose Menschen sollten wissen, dass diese Option sich über Script Kiddies lustig macht, bevor sie mich dafür angreifen, dass ich
+\(lqihnen helfe\(rq\&.
+.RE
+.PP
+\fB\-oG \fR\fB\fIfilespec\fR\fR (grepbare Ausgabe) .\" -oG .\" grepbare Ausgabe
+.RS 4
+Dieses Ausgabeformat wird zum Schluss beschrieben, weil es als überholt gilt\&. Das XML\-Ausgabeformat ist wesentlich leistungsstärker und für erfahrene Benutzer fast genauso bequem\&. XML ist eim Standard, für den Dutzende hervorragender Parser verfügbar sind, während die grepbare Ausgabe nur mein eigener einfacher Hack ist\&. XML ist erweiterbar und kann neue Nmap\-Eigenschaften unterstützen, die ich beim grepbaren Format aus Platzgründen oft weglassen muss\&.
+.sp
+Dessen ungeachtet ist die grepbare Ausgabe immer noch recht beliebt\&. Es ist ein einfaches Format, das pro Zeile einen Host auflistet und das mit Unix\-Standardwerkzeugen wie grep, awk, cut, sed, diff und auch mit Perl auf triviale Weise durchsucht und geparst werden kann\&. Selbst ich benutze es für einmalige schnelle Tests in der Kommandozeile\&. Zum Beispiel kann man alle Hosts, auf denen der SSH\-Port offen ist oder auf denen Solaris läuft, auf einfache Weise mit einem grep bestimmen, das die Hosts findet, umgeleitet in einen awk\- oder cut\-Befehl, der die gewünschten Felder ausgibt\&.
+.sp
+Die grepbare Ausgabe besteht aus Kommentaren (Zeilen, die mit einem # anfangen).\" grepbare Ausgabe: Kommentare in
+sowie aus Zielzeilen\&. Eine Zielzeile enthält eine Kombination aus sechs benannten Feldern, durch Tabulatoren getrennt, gefolgt von einem Doppelpunkt\&. Diese Felder lauten
+\FCHost\F[],
+\FCPorts\F[],
+\FCProtocols\F[],
+\FCIgnored State\F[],
+\FCOS\F[],
+\FCSeq Index\F[],
+\FCIP ID\F[]
+und
+\FCStatus\F[]\&.
+.sp
+Das wichtigste dieser Felder ist im Allgemeinen
+\FCPorts\F[], das Details zu einem interessanten Port enthält\&. Es ist eine mit Kommata getrennte Liste von Port\-Einträgen, wobei jeder Eintrag einen interessanten Port darstellt und aus sieben mit Schrägstrichen (/) getrennten Unterfeldern besteht\&. Diese Unterfelder lauten:
+\FCPort number\F[],
+\FCState\F[],
+\FCProtocol\F[],
+\FCOwner\F[],
+\FCService\F[],
+\FCSunRPC info\F[]
+und
+\FCVersion info\F[]\&.
+.sp
+Wie bei der XML\-Ausgabe kann diese Manpage auch hier nicht das vollständige Format dokumentieren\&. Eine detailliertere Betrachtung des grepbaren Ausgabeformats in Nmap finden Sie
+from \m[blue]\fB\%http://nmap.org/book/output-formats-grepable-output.html\fR\m[]\&.
+.RE
+.PP
+\fB\-oA \fR\fB\fIbasename\fR\fR (Ausgabe in allen Formaten) .\" -oA
+.RS 4
+Aus Gründen der Bequemlichkeit können Sie Scan\-Ergebnisse mit
+\fB\-oA \fR\fB\fIbasename\fR\fR
+gleichzeitig in normalem, in XML\- und in grepbarem Format speichern\&. Sie werden jeweils in
+\FC\fIbasename\fR\&.nmap\F[],
+\FC\fIbasename\fR\&.xml\F[]
+und
+\FC\fIbasename\fR\&.gnmap\F[], gespeichert\&. Wie in den meisten Programmen können Sie vor den Dateinamen ein Präfix mit einem Verzeichnispfad darin setzen, z\&.B\&.
+\FC~/nmaplogs/foocorp/\F[]
+unter Unix oder
+\FCc:\ehacking\esco\F[]
+unter Windows\&.
+.RE
+.PP
+\fBOptionen für Ausführlichkeit und Debugging\fR
+.PP
+\fB\-v\fR (größere Ausführlichkeit) .\" -v .\" Ausführlichkeit
+.RS 4
+Erhöht die Ausführlichkeit, d\&.h\&. Nmap gibt mehr Informationen über den laufenden Scan aus\&. Offene Ports werden angezeigt, direkt nachdem sie gefunden werden, und es werden Schätzungen für die Dauer bis zur Fertigstellung angegeben, falls Nmap meint, dass ein Scan mehr als ein paar Minuten benötigt\&. Noch mehr Information erhalten Sie, wenn Sie diese Option zweimal oder noch öfter angeben\&.
+.\" -v: mehrmals angeben
+.sp
+Die meisten Änderungen betreffen nur die interaktive Ausgabe, manche betreffen auch die normale und die Script\-Kiddie\-Ausgabe\&. Die anderen Ausgabearten sind für die Weiterverarbeitung durch Maschinen gedacht, d\&.h\&. Nmap kann in diesen Formaten standardmäßig alle Details angeben, ohne einen menschlichen Leser zu ermüden\&. Allerdings gibt es in den anderen Modi einige Änderungen, bei denen die Ausgabegröße durch Weglassen einiger Details erheblich reduziert werden kann\&. Zum Beispiel wird eine Kommentarzeile in der grepbaren Ausgabe, die eine Liste aller gescannten Ports enthält, nur im wortreichen Modus ausgegeben, weil sie ziemlich lang werden kann\&.
+.RE
+.PP
+\fB\-d [level]\fR (erhöhe oder setze Debugging\-Stufe) .\" -d .\" Debugging
+.RS 4
+Wenn nicht einmal der wortreiche Modus genug Daten für Sie liefert, können Sie beim Debugging noch wesentlich mehr davon bekommen! Wie bei der Ausführlichkeits\-Option (\fB\-v\fR) wird auch das Debugging mit einem Kommandozeilen\-Flag eingeschaltet (\fB\-d\fR), und die Debug\-Stufe kann durch eine mehrfache Angabe gesteigert werden\&..\" -d: mehrmals angeben
+Alternativ dazu können Sie eine Debug\-Stufe auch als Argument an
+\fB\-d\fR
+übergeben\&. So setzt z\&.B\&.
+\fB\-d9\fR
+die Stufe neun\&. Das ist die höchste verfügbare Stufe, die Tausende von Zeilen produziert, sofern Sie keinen sehr einfachen Scan mit sehr wenigen Ports und Zielen ausführen\&.
+.sp
+Eine Debugging\-Ausgabe ist sinnvoll, wenn Sie einen Fehler in Nmap vermuten oder wenn Sie einfach verwirrt darüber sind, was und warum Nmap etwas genau macht\&. Da dieses Merkmal überwiegend für Entwickler gedacht ist, sind Debug\-Zeilen nicht immer selbsterklärend\&. Vielleicht bekommen Sie etwas wie:
+\FCTimeout vals: srtt: \-1 rttvar: \-1 to: 1000000 delta 14987 ==> srtt: 14987 rttvar: 14987 to: 100000\F[]\&. Wenn Sie eine Zeile nicht verstehen, ist Ihre einzige Zuflucht, sie zu ignorieren, im Quellcode nachzuschauen oder Hilfe auf der Entwicklerliste (nmap\-dev)\&..\" nmap-dev Mailingliste
+zu erfragen\&. Manche Einträge sind selbsterklärend, aber je höher die Debug\-Stufe ist, desto obskurer werden die Meldungen\&.
+.RE
+.PP
+\fB\-\-reason\fR (Gründe für Host\- und Portzustände) .\" --reason .\" Angabe von Gründen
+.RS 4
+Gibt die Gründe an, warum ein Port auf einen bestimmten Zustand gesetzt wurde und warum ein Host als ein\- oder ausgeschaltet betrachtet wird\&. Diese Option zeigt die Paketart an, die einen Port\- oder Hostzustand ermittelt hat, z\&.B\&. ein
+\FCRST\F[]\-Paket von einem geschlossenen Port oder ein Echo Reply von einem eingeschalteten Host\&. Die Information, die Nmap angeben kann, hängt von der Art des Scans oder Pings ab\&. Der SYN\-Scan und der SYN\-Ping (\fB\-sS\fR
+und
+\fB\-PS\fR) sind sehr detailliert, aber der TCP\-Connect\-Scan (\fB\-sT\fR) wird durch die Implementierung des
+\fBconnect\fR\-Systemaufrufs beschränkt\&. Dieses Merkmal wird automatisch von der Debug\-Option (\fB\-d\fR).\" --reason: impliziert von -d
+aktiviert, und die Ergebnisse werden auch dann in XML\-Protokolldateien gespeichert, wenn diese Option gar nicht angegeben wird\&.
+.RE
+.PP
+\fB\-\-stats\-every \fR\fB\fItime\fR\fR (periodische Timing\-Statistik ausgeben) .\" --stats-every
+.RS 4
+Gibt periodisch eine Timing\-Statusmeldung nach einem Intervall der Länge
+\fItime\fR
+aus\&. Dabei kann diese Zeitangabe beschrieben werden, wie in
+the section called \(lq\c
+.SH-xref "Timing und Performance\c"
+\&\(rq
+dargestellt, d\&.h\&. Sie können z\&.B\&.
+\fB\-\-stats\-every 10s\fR
+benutzen, um alle 10 Sekunden eine Statusaktualisierung zu erhalten\&. Diese erscheint in der interaktiven Ausgabe (auf dem Bildschirm) und in der XML\-Ausgabe\&.
+.RE
+.PP
+\fB\-\-packet\-trace\fR (gesendete und empfangene Pakete und Daten mitverfolgen) .\" --packet-trace
+.RS 4
+Bewirkt, dass Nmap für jedes gesendete oder empfangene Paket eine Zusammenfassung ausgibt\&. Das wird bei der Fehlersuche oft gemacht, ist aber auch eine willkommene Methode für Neulinge, um genau zu verstehen, was Nmap unter der Oberfläche macht\&. Um zu verhindern, dass Tausende von Zeilen ausgegeben werden, möchten Sie vielleicht eine beschränkte Anzahl zu scannender Ports angeben, z\&.B\&. mit
+\fB\-p20\-30\fR\&. Wenn Sie nur wissen möchten, was im Versionserkennungssubsystem vor sich geht, benutzen Sie stattdessen
+\fB\-\-version\-trace\fR\&. Wenn Sie nur an einer Script\-Mitverfolgung interessiert sind, geben Sie
+\fB\-\-script\-trace\fR
+an\&. Mit
+\fB\-\-packet\-trace\fR
+erhalten Sie all das zusammen\&.
+.RE
+.PP
+\fB\-\-open\fR (zeige nur offene (oder möglicherweise offene) Ports an) .\" --open
+.RS 4
+Manchmal interessieren Sie sich nur für Ports, mit denen Sie tatsächlich eine Verbindung herstellen können (\FCoffene\F[]
+Ports), und wollen Ihre Ergebnisse nicht mit anderen Ports überhäufen, die
+\FCgeschlossen\F[],
+\FCgefiltert\F[]
+und
+\FCgeschlossen|gefiltert\F[]
+sind\&. Die Ausgabe wird normalerweise nach dem Scan mit Werkzeugen wie
+grep,
+awk
+und
+Perl
+angepasst, aber dieses Merkmal wurde auf überwältigend vielfachen Wunsch hinzugefügt\&. Geben Sie
+\fB\-\-open\fR
+an, um nur
+\FCoffene\F[],
+\FCoffene|gefilterte\F[]
+und
+\FCungefilterte\F[]
+Ports zu sehen\&. Diese drei Ports werden ganz wie gewöhnlich behandelt, d\&.h\&. dass
+\FCoffen|gefiltert\F[]
+und
+\FCungefiltert\F[]
+in Zählungen zusammengefasst werden, wenn es eine sehr große Anzahl davon gibt\&.
+.RE
+.PP
+\fB\-\-iflist\fR (liste Schnittstellen und Routen auf) .\" --iflist
+.RS 4
+Gibt die Liste der Schnittstellen und Systemrouten aus, die Nmap entdeckt hat\&. Das ist hilfreich bei der Fehlersuche bei Routing\-Problemen oder fehlerhaften Gerätebeschreibungen (z\&.B\&. wenn Nmap eine PPP\-Verbindung als Ethernet behandelt)\&.
+.RE
+.PP
+\fB\-\-log\-errors\fR (protokolliere Fehler/Warnungen in eine Datei im normalen Ausgabeformat) .\" --log-errors
+.RS 4
+Von Nmap ausgegebene Warnungen und Fehlermeldungen gehen normalerweise nur auf den Bildschirm (interaktive Ausgabe), was die Ordnung aller Ausgabedateien im normalen Format (üblicherweise mit
+\fB\-oN\fR
+angegeben) nicht stört\&. Wenn Sie diese Meldungen in den angegebenen normalen Ausgabedateien wirklich sehen möchten, können Sie diese Option benutzen\&. Diese ist dann hilfreich, wenn Sie die interaktive Ausgabe nicht übersehen oder wenn Sie Fehler beim Debugging speichern möchten\&. Die Fehlermeldungen und Warnungen werden auch im interaktiven Modus weiterhin erscheinen\&. Bei den meisten Fehlern bezüglich schlechter Kommandozeilenargumente wird das nicht funktionieren, da Nmap seine Ausgabedateien eventuell noch nicht initialisiert hat\&. Außerdem benutzen einige Nmap\-Fehlermeldungen und \-Warnungen ein anderes System, das diese Option noch nicht unterstützt\&.
+.sp
+Eine Alternative zu
+\fB\-\-log\-errors\fR
+ist die Umleitung der interaktiven Ausgabe (inklusive des Standardfehlerstroms) in eine Datei\&. Die meisten Unix\-Shells machen einem diesen Ansatz leicht, aber auf Windows kann er schwierig sein\&.
+.RE
+.PP
+\fBWeitere Ausgabeoptionen\fR
+.PP
+\fB\-\-append\-output\fR (an Ausgabedateien hinzufügen, statt sie zu überschreiben) .\" --append-output
+.RS 4
+Wenn Sie einen Dateinamen für ein Ausgabeformat wie z\&.B\&.
+\fB\-oX\fR
+oder
+\fB\-oN\fR
+angeben, wird diese Datei standardmäßig überschrieben\&. Wenn Sie deren Inhalt lieber behalten und die neuen Ergebnisse anhängen möchten, benutzen Sie die Option
+\fB\-\-append\-output\fR\&. Dann wird bei allen angegebenen Ausgabedateinamen dieses Nmap\-Aufrufs an die Dateien angehängt, statt sie zu überschreiben\&. Mit XML\-Scandaten (\fB\-oX\fR) funktioniert das nicht so gut, da die erzeugte Datei im Allgemeinen nicht mehr sauber geparst wird, es sei denn, Sie reparieren sie von Hand\&.
+.RE
+.PP
+\fB\-\-resume \fR\fB\fIfilename\fR\fR (abgebrochenen Scan fortsetzen) .\" --resume .\" Scans fortsetzen
+.RS 4
+Manche umfangreichen Nmap\-Läufe benötigen sehr viel Zeit \(en in der Größenordnung von Tagen\&. Solche Scans laufen nicht immer bis zum Ende\&. Vielleicht gibt es Beschränkungen, die verhindern, dass man Nmap während der normalen Arbeitszeit ausführen kann, das Netzwerk könnte abstürzen, der Rechner, auf dem Nmap läuft, könnte einen geplanten oder ungeplanten Neustart erleben oder Nmap selbst könnte abstürzen\&. Der Administrator, der Nmap ausführt, könnte es auch aus irgendeinem anderen Grund abbrechen, indem er
+ctrl\-C
+eingibt\&. Und den ganzen Scan von vorne neu zu starten, ist eventuell nicht wünschenswert\&. Wenn ein normales (\fB\-oN\fR) oder ein grepbares (\fB\-oG\fR) Protokoll geführt wurde, kann der Benutzer Nmap jedoch bitten, den Scan bei dem Ziel fortzusetzen, an dem es beim Abbruch gearbeitet hat\&. Geben Sie einfach die Option
+\fB\-\-resume\fR
+an und übergeben Sie die normale/grepbare Ausgabedatei als Argument\&. Andere Argumente sind nicht erlaubt, da Nmap die Ausgabedatei parst, um dieselben Argumente zu benutzen, die zuvor benutzt wurden\&. Rufen Sie Nmap einfach als
+\fBnmap \-\-resume \fR\fB\fIlogfilename\fR\fR
+auf\&. Nmap fügt neue Ergebnisse dann an die Datendateien an, die im vorherigen Lauf angegeben wurden\&. Diese Fortsetzung funktioniert nicht aus XML\-Ausgabedateien, weil es schwierig wäre, die zwei Läufe in einer gültigen XML\-Datei zu kombinieren\&.
+.RE
+.PP
+\fB\-\-stylesheet \fR\fB\fIpath or URL\fR\fR (setze XSL\-Stylesheet, um eine XML\-Ausgabe zu transformieren) .\" --stylesheet
+.RS 4
+Die Nmap\-Distribution enthält ein XSL\-Stylesheet.\" XSL
+.\" Stylesheet
+namens
+\FCnmap\&.xsl\F[]
+.\" nmap.xsl
+zum Betrachten oder Übersetzen einer XML\-Ausgabe nach HTML\&.
+.\" HTML aus XML-Ausgabe
+Die XML\-Ausgabe enthält eine
+\FCxml\-stylesheet\F[]\-Anweisung, die auf
+\FCnmap\&.xml\F[]
+an der Stelle verweist, wo es von Nmap ursprünglich installiert wurde (oder im aktuellen Arbeitsverzeichnis unter Windows)\&. Laden Sie einfach Nmaps XML\-Ausgabe in einem modernen Webbrowser, und er sollte
+\FCnmap\&.xsl\F[]
+im Dateisystem finden und benutzen, um die Ergebnisse darzustellen\&. Wenn Sie ein anderes Stylesheet benutzen möchten, geben Sie es als Argument für
+\fB\-\-stylesheet\fR
+an\&. Dabei müssen Sie den vollständigen Pfadnamen oder die URL angeben\&. Sehr häufig wird
+\fB\-\-stylesheet http://nmap\&.org/data/nmap\&.xsl\fR
+benutzt\&. Das sagt einem Browser, dass er die neueste Version des Stylesheets von Nmap\&.Org laden soll\&. Die Option
+\fB\-\-webxml\fR
+macht dasselbe, verlangt aber weniger Tipparbeit und Merkfähigkeit\&. Wenn man das XSL von Nmap\&.Org lädt, wird es einfacher, die Ergebnisse auf einem Rechner anzuschauen, auf dem kein Nmap (und folglich auch kein
+\FCnmap\&.xsl\F[]) installiert ist\&. Daher ist die URL oft nützlicher, doch aus Datenschutzgründen wird standardmäßig das
+\FCnmap\&.xsl\F[]
+im lokalen Dateisystem benutzt\&.
+.RE
+.PP
+\fB\-\-webxml\fR (lade Stylesheet von Nmap\&.Org) .\" --webxml
+.RS 4
+Diese bequeme Option ist nur ein Alias für
+\fB\-\-stylesheet http://nmap\&.org/data/nmap\&.xsl\fR\&.
+.RE
+.PP
+\fB\-\-no\-stylesheet\fR (lasse XSL\-Stylesheet\-Deklaration im XML weg) .\" --no-stylesheet
+.RS 4
+Geben Sie diese Option an, wenn Nmap in seiner XML\-Ausgabe auf keinerlei XSL\-Stylesheet verweisen soll\&. Die
+\FCxml\-stylesheet\F[]\-Anweisung wird dann weggelassen\&.
+.RE
+.\"
+.SH "Verschiedene Optionen"
+.PP
+Dieser Abschnitt beschreibt einige wichtige (und weniger wichtige) Optionen, für die es keinen anderen richtig passenden Ort gibt\&.
+.PP
+\fB\-6\fR (schaltet IPv6\-Scans ein) .\" -6 .\" IPv6
+.RS 4
+Seit 2002 unterstützt Nmap bei seinen beliebtesten Features IPv6\&. Insbesondere das Ping\-Scanning (nur für TCP), Connect\-Scanning und die Versionserkennung unterstützen IPv6\&. Die Befehlssyntax ist die übliche, nur dass man auch die Option
+\fB\-6\fR
+angibt\&. Natürlich müssen Sie die IPv6\-Syntax angeben, wenn Sie eine Adresse statt eines Hostnamens angeben\&. Eine Adresse könnte wie folgt aussehen:
+\FC3ffe:7501:4819:2000:210:f3ff:fe03:14d0\F[], d\&.h\&. es empfehlen sich Hostnamen\&. Die Ausgabe sieht genauso aus wie üblich\&. Nur die IPv6\-Adresse in der Zeile der
+\(lqinteressanten Ports\(rq
+deutet auf IPv6\&.
+.sp
+Zwar hat IPv6 die Welt nicht gerade im Sturm erobert, aber in einigen (besonders asiatischen) Ländern wird es stark eingesetzt, und von den meisten modernen Betriebssystemen wird es unterstützt\&. Um Nmap mit IPv6 zu benutzen, müssen sowohl die Quelle als auch das Ziel Ihres Scans für IPv6 konfiguriert sein\&. Falls Ihnen Ihr ISP (so wie die meisten) keine IPv6\-Adressen bereitstellt, gibt es frei verfügbare sogenannte Tunnel\-Broker,.\" IPv6-Tunnel-Broker
+die mit Nmap funktionieren\&. Weitere Tunnel\-Broker sind
+\m[blue]\fBin Wikipedia aufgelistet\fR\m[]\&\s-2\u[12]\d\s+2\&. Ein weiterer freier Ansatz sind 6to4\-Tunnels\&.
+.RE
+.PP
+\fB\-A\fR (aggressive Scan\-Optionen) .\" -A
+.RS 4
+Diese Option schaltet zusätzlich erweiterte und aggressive Optionen ein\&. Ich habe noch nicht entschieden, wofür sie genau steht\&. Im Moment schaltet sie die Betriebssystemerkennung (\fB\-O\fR), die Versionserkennung (\fB\-sV\fR), das Scannen mit Scripts (\fB\-sC\fR) und traceroute (\fB\-\-traceroute\fR) ein\&.
+.\" -A: eingeschaltete Merkmale von
+In der Zukunft kommen vielleicht noch weitere Eigenschaften hinzu\&. Ziel ist es, einen umfassenden Satz von Scan\-Optionen zu aktivieren, ohne dass man sich viele Flags merken muss\&. Weil aber das scriptbasierte Scannen mit dem Standardsatz als aufdringlich betrachtet wird, sollten Sie
+\fB\-A\fR
+nicht ohne Genehmigung auf Zielnetzwerke loslassen\&. Diese Option aktiviert nur Eigenschaften, aber keine Optionen für das Timing (z\&.B\&.
+\fB\-T4\fR) oder die Ausführlichkeit (\fB\-v\fR), die Sie eventuell auch benutzen möchten\&.
+.RE
+.PP
+\fB\-\-datadir \fR\fB\fIdirectoryname\fR\fR (gibt benutzerdefinierten Ort für Nmap\-Datendateien an) .\" --datadir
+.RS 4
+Nmap erhält einige spezielle Daten zur Laufzeit aus Dateien namens
+\FCnmap\-service\-probes\F[],
+\FCnmap\-services\F[],
+\FCnmap\-protocols\F[],
+\FCnmap\-rpc\F[],
+\FCnmap\-mac\-prefixes\F[]
+und
+\FCnmap\-os\-db\F[]\&. Falls der Ort einer dieser Dateien angegeben wurde (mit den Optionen
+\fB\-\-servicedb\fR
+oder
+\fB\-\-versiondb\fR), wird dieser Ort für diese Datei benutzt\&. Danach sucht Nmap diese Dateien im Verzeichnis, das mit der Option
+\fB\-\-datadir\fR
+angegeben wurde (sofern vorhanden)\&. Dateien, die dort nicht gefunden werden, werden in einem Verzeichnis gesucht, das durch die Umgebungsvariable NMAPDIR angegeben wird.\" NMAPDIR Umgebungsvariable\&. Danach kommt
+\FC~/\&.nmap\F[].\" .nmap Verzeichnis
+für echte und effektive UIDs (nur bei POSIX\-Systemen) oder der Ort des ausführbaren Nmap\-Programms (nur unter Win32) und dann ein bei der Kompilierung angegebener Ort wie z\&.B\&.
+\FC/usr/local/share/nmap\F[]
+oder
+\FC/usr/share/nmap\F[]\&. Als letzte Rettung sucht Nmap im aktuellen Arbeitsverzeichnis\&.
+.RE
+.PP
+\fB\-\-servicedb \fR\fB\fIservices file\fR\fR (gibt benutzerdefinierte Dienstedatei an) .\" --servicedb
+.RS 4
+Verlangt von Nmap, die angegebene Dienstedatei zu benutzen statt der Datendatei
+\FCnmap\-services\F[], die in Nmap enthalten ist\&. Bei dieser Option wird außerdem auch ein schneller Scan (\fB\-F\fR) benutzt\&. Weitere Details zu Nmaps Datendateien finden Sie in der Beschreibung zu
+\fB\-\-datadir\fR\&.
+.RE
+.PP
+\fB\-\-versiondb \fR\fB\fIservice probes file\fR\fR (gibt benutzerdefinierte Dienstepakete an) .\" --versiondb
+.RS 4
+Verlangt von Nmap, die angegebene Dienstepaketedatei zu benutzen statt der Datendatei
+\FCnmap\-service\-probes\F[], die in Nmap enthalten ist\&. Weitere Details zu Nmaps Datendateien finden Sie in der Beschreibung zu
+\fB\-\-datadir\fR\&.
+.RE
+.PP
+\fB\-\-send\-eth\fR (sendet rohe Ethernet\-Pakete) .\" --send-eth
+.RS 4
+Verlangt von Nmap, Pakete auf der rohen Ethernet\-(Datenlink\-)Schicht zu schicken, statt auf der höheren IP\-(Netzwerk\-)Schicht\&. Nmap wählt standardmäßig diejenige, die im Allgemeinen die beste für die gegebene Plattform ist\&. Rohe Sockets (IP\-Schicht).\" rohe Sockets
+sind im Allgemeinen auf Unix\-Rechnern am effizientesten, während unter Windows Ethernet\-Rahmen benötigt werden, da Microsoft keine rohen Sockets unterstützt\&. Trotz dieser Option benutzt Nmap rohe IP\-Pakete unter Unix, wenn es keine andere Wahl hat (z\&.B\&. Verbindungen über etwas anderes als Ethernet)\&.
+.RE
+.PP
+\fB\-\-send\-ip\fR (sendet auf der rohen IP\-Schicht) .\" --send-ip
+.RS 4
+Verlangt von Nmap, Pakete über rohe IP\-Sockets zu senden, statt über low\-level Ethernet\-Rahmen\&. Diese Option ist das Komplement zur weiter oben beschriebenen Option
+\fB\-\-send\-eth\fR\&.
+.RE
+.PP
+\fB\-\-privileged\fR (nimmt an, dass der Benutzer alle Sonderrechte genießt) .\" --privileged
+.RS 4
+Sagt Nmap, dass es davon ausgehen soll, dass es über genügend Rechte verfügt, um über rohe Sockets zu senden, Paket\-Sniffing und ähnliche Operationen zu betreiben, die auf Unix\-Rechnern normalerweise root\-Rechte.\" Benutzer mit Sonderrechten.\" autorisierte Benutzer
+benötigen\&. Standardmäßig terminiert Nmap, wenn solche Operationen verlangt werden, aber
+\fBgeteuid\fR
+nicht null ist\&.
+\fB\-\-privileged\fR
+ist nützlich bei Linux\-Kernel\-Capabilities und ähnlichen Systemen, die so konfiguriert sein können, dass sie Benutzern ohne Sonderrechte erlauben, rohe Paket\-Scans durchzuführen\&. Vergewissern Sie sich, dass Sie diese Option vor weiteren Optionen angeben, die Sonderrechte benötigen (SYN\-Scan, Betriebssystemerkennung usw\&.)\&. Als äquivalente Alternative zur Option
+\fB\-\-privileged\fR
+kann die Umgebungsvariable
+\fBNMAP_PRIVILEGED\fR.\" NMAP_PRIVILEGED Umgebungsvariable
+gesetzt werden\&.
+.RE
+.PP
+\fB\-\-unprivileged\fR (nimmt an, dass der Benutzer keine Sonderrechte für rohe Sockets genießt) .\" --unprivileged .\" Benutzer ohne Sonderrechte
+.RS 4
+Diese Option ist das Gegenteil von
+\fB\-\-privileged\fR\&. Sie sagt Nmap, dass es den Benutzer so behandeln soll, als genösse er keine Sonderrechte für rohe Sockets und Sniffing\&. Das ist nützlich beim Testen, Debugging oder falls die Möglichkeiten des rohen Netzwerkzugriffs auf Ihrem Betriebssystem vorübergehend irgendwie defekt sind\&. Als äquivalente Alternative zur Option
+\fB\-\-unprivileged\fR
+kann die Umgebungsvariable
+\fBNMAP_UNPRIVILEGED\fR.\" NMAP_UNPRIVILEGED Umgebungsvariable
+gesetzt werden\&.
+.RE
+.PP
+\fB\-\-release\-memory\fR (gibt Speicher vor Terminierung frei) .\" --release-memory
+.RS 4
+Diese Option ist nur bei der Suche nach Speicherlecks nützlich\&. Sie bewirkt, dass Nmap den von ihm belegten Speicher direkt vor seiner Terminierung freigibt, damit man echte Speicherlecks einfacher finden kann\&. Normalerweise macht Nmap das nicht, weil es das Betriebssystem ohnehin macht, wenn es den Prozess terminiert\&.
+.RE
+.PP
+\fB\-\-interactive\fR (startet im interaktiven Modus) .\" --interactive .\" interactive mode
+.RS 4
+Startet Nmap im interaktiven Modus, in dem es eine interaktive Nmap\-Eingabeaufforderung gibt, bei der man mehrere Scans ausführen kann (entweder synchron oder im Hintergrund)\&. Das ist nützlich für Leute, die von Mehrbenutzersystemen scannen, weil sie ihre Sicherheit meist testen wollen, ohne dass alle anderen im selben System genau mitbekommen, welche Systeme sie scannen\&. Benutzen Sie
+\fB\-\-interactive\fR, um diesen Modus zu aktivieren, und geben Sie dann
+h
+ein, um eine Hilfe zu erhalten\&. Diese Option wird selten benutzt, weil echte Shells für die Leute vertrauter sind und ihnen viel mehr Möglichkeiten bieten\&. Diese Option enthält einen bang(!)\-Operator zur Ausführung von Shell\-Befehlen, was einer der vielen Gründe dafür ist, Nmap nicht mit setuid root.\" setuid, warum nicht für Nmap
+zu installieren\&.
+.RE
+.PP
+\fB\-V\fR; \fB\-\-version\fR (gibt Versionsnummer aus) .\" -V .\" --version
+.RS 4
+Gibt Nmaps Versionsnummer aus und terminiert\&.
+.RE
+.PP
+\fB\-h\fR; \fB\-\-help\fR (gibt zusammengefasste Hilfeseite aus) .\" -h .\" --help
+.RS 4
+Gibt eine kurze Hilfeseite mit den am meisten benutzten Optionen aus\&. Sie kommt auch dann, wenn man Nmap ganz ohne Argumente startet\&.
+.RE
+.SH "Laufzeit-Interaktion"
+.PP
+Während der Ausführung von Nmap wird jeder Tastendruck abgefangen\&. Das ermöglicht Ihnen, mit dem Programm zu interagieren, ohne es abzubrechen und neu zu starten\&. Bestimmte Spezialtasten ändern Optionen, während alle anderen Tasten eine Statusmeldung über den Scan ausgeben\&. Konvention ist, dass der Ausgabeumfang durch
+\fIKleinbuchstaben vergrößert\fR
+und durch
+\fIGroßbuchstaben verkleinert\fR
+wird\&. Sie können auch \(oq\fI?\fR\(cq drücken, um eine Hilfe zu erhalten\&.
+.PP
+\fBv\fR / \fBV\fR
+.RS 4
+Vergrößert/verkleinert die Ausführlichkeit
+.RE
+.PP
+\fBd\fR / \fBD\fR
+.RS 4
+Vergrößert/verkleinert die Debugging\-Stufe
+.RE
+.PP
+\fBp\fR / \fBP\fR
+.RS 4
+Schaltet Paketverfolgung ein/aus
+.RE
+.PP
+\fB?\fR
+.RS 4
+Gibt einen Hilfeschirm zur Laufzeit\-Interaktion aus
+.RE
+.PP
+Alles andere
+.RS 4
+Gibt eine Statusmeldung wie die folgende aus:
+.sp
+Stats: 0:00:08 elapsed; 111 hosts completed (5 up), 5 undergoing Service Scan
+.sp
+Service scan Timing: About 28\&.00% done; ETC: 16:18 (0:00:15 remaining)
+.RE
+.SH "Beispiele"
+.PP
+Hier sind einige Anwendungsbeispiele für Nmap, von einfachen und routinemäßigen bis zu etwas komplexeren und esoterischen\&. Um die Sache etwas konkreter zu machen, werden einige echte IP\-Adressen und Domainnamen benutzt\&. Diese sollten Sie mit Adressen/Namen aus
+\fIIhrem eigenen Netzwerk\fR
+ersetzen\&. Auch wenn ich nicht der Meinung bin, dass Port\-Scans anderer Netzwerke illegal sind oder sein sollten, mögen manche Netzwerkadministratoren es nicht, wenn ihre Netzwerke unverlangt gescannt werden, und könnten sich beschweren\&. Der beste Ansatz ist der, sich zuerst eine Genehmigung zu verschaffen\&.
+.PP
+Zu Testzwecken haben Sie die Genehmigung, den Host
+\FCscanme\&.nmap\&.org\F[]
+zu scannen\&. Diese Genehmigung gilt nur für das Scannen mit Nmap und nicht für das Testen von Exploits oder Denial\-of\-Service\-Angriffen\&. Bitte führen Sie nicht mehr als ein Dutzend Scans pro Tag auf diesem Host durch, um die Bandbreite nicht zu erschöpfen\&. Falls diese freie Dienstleistung missbraucht wird, wird sie abgeschaltet, und Nmap wird dann
+\FCFailed to resolve given hostname/IP: scanme\&.nmap\&.org\F[]
+ausgeben\&. Diese Genehmigung gilt auch für die Hosts
+\FCscanme2\&.nmap\&.org\F[],
+\FCscanme3\&.nmap\&.org\F[]
+usw\&., auch wenn diese Hosts noch nicht existieren\&.
+.PP
+.\" -v: Beispiel
+\fBnmap \-v scanme\&.nmap\&.org\fR
+.PP
+Diese Option scannt alle reservierten TCP\-Ports auf dem Rechner
+\FCscanme\&.nmap\&.org\F[]\&. Die Option
+\fB\-v\fR
+schaltet den ausführlichen Modus an\&.
+.PP
+.\" -sS: Beispiel
+.\" -O: Beispiel
+\fBnmap \-sS \-O scanme\&.nmap\&.org/24\fR
+.PP
+Startet einen Stealth\-SYN\-Scan auf allen aktiven Rechnern unter den 256 IPs im Netzwerk der Größe
+\(lqKlasse C\(rq, in dem Scanme sitzt\&. Es versucht auch herauszufinden, welches Betriebssystem auf jedem aktiven Host läuft\&. Wegen des SYN\-Scans und der Betriebssystemerkennung sind dazu root\-Rechte notwendig\&.
+.PP
+.\" -p: Beispiel
+\fBnmap \-sV \-p 22,53,110,143,4564 198\&.116\&.0\-255\&.1\-127\fR
+.PP
+Startet eine Host\-Auflistung und einen TCP\-Scan in der ersten Hälfte von allen 255 möglichen acht\-Bit\-Unternetzen im Klasse\-B\-Adressraum 198\&.116\&. Dabei wird getestet, ob die Systeme SSH, DNS, POP3 oder IMAP auf ihren Standardports laufen haben oder irgendetwas auf Port 4564\&. Falls einer dieser Ports offen ist, wird eine Versionserkennung benutzt, um festzustellen, welche Anwendung darauf läuft\&.
+.PP
+.\" -iR: Beispiel
+.\" -PN: Beispiel
+\fBnmap \-v \-iR 100000 \-PN \-p 80\fR
+.PP
+Verlangt von Nmap, 100\&.000 Hosts zufällig auszuwählen und sie nach Webservern (Port 80) zu scannen\&. Eine Host\-Auflistung wird mit
+\fB\-PN\fR
+unterbunden, weil es Verschwendung ist, zuerst eine Reihe von Testpaketen zu senden, um festzustellen, ob ein Host aktiv ist, wenn Sie auf jedem Zielhost ohnehin nur einen Port testen\&.
+.PP
+.\" -oX: Beispiel
+.\" -oG: Beispiel
+\fBnmap \-PN \-p80 \-oX logs/pb\-port80scan\&.xml \-oG logs/pb\-port80scan\&.gnmap 216\&.163\&.128\&.20/20\fR
+.PP
+Das scannt 4096 IPs nach Webservern (ohne sie anzupingen) und speichert die Ausgabe im grepbaren und im XML\-Format\&.
+.SH "Das Nmap-Buch"
+.PP
+Auch wenn dieser Reference Guide alle wesentlichen Nmap\-Optionen genau beschreibt, kann er nicht vollständig zeigen, wie man diese Features anwendet, um Aufgaben der realen Welt zu lösen\&. Zu diesem Zweck haben wir das Buch
+Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning\&.
+Es zeigt, wie man Firewalls und Intrusion Detection\-Systeme unterwandert, die Performance von Nmap optimiert, und wie man häufige Netzwerkaufgaben mit der Nmap Scripting Engine automatisiert\&. Außerdem enthält es Tipps und Anleitungen für häufige Nmap\-Aufgaben wie die Netzwerkinventarisierung, Penetrationstests, die Erkennung schurkischer Wireless Access Points und das Verhindern von Wurmausbrüchen im Netzwerk\&. Dabei zeigt es mit Beispielen und Diagrammen, wie die Kommunikation auf der Leitung aussieht\&. Mehr als die Hälfte des Buches ist online frei verfügbar\&. Weitere Informationen finden Sie unter
+\m[blue]\fB\%http://nmap.org/book\fR\m[]\&.
+.PP
+Die deutsche Übersetzung dieses Buches von Dinu Gherman ist im Mai 2009 unter dem Titel
+\m[blue]\fBNmap: Netzwerke scannen, analysieren und absichern\fR\m[]\&\s-2\u[14]\d\s+2
+im
+\m[blue]\fBOpen Source Press\fR\m[]\&\s-2\u[15]\d\s+2\-Verlag erschienen\&.
+.SH "Fehler"
+.\" Fehlerberichte
+.PP
+Wie sein Autor ist auch Nmap selbst nicht perfekt\&. Aber Sie können helfen, es zu verbessern, indem Sie Fehlerberichte schicken oder sogar Patches schreiben\&. Falls Nmap sich nicht wie erwartet verhält, sollten Sie zuerst auf die neueste Version aktualisieren, die unter
+\m[blue]\fB\%http://nmap.org\fR\m[]
+verfügbar ist\&. Wenn das Problem anhält, versuchen Sie herauszufinden, ob es bereits erkannt und bearbeitet wurde\&. Suchen Sie nach der Fehlermeldung auf unserer Suchseite unter
+\m[blue]\fB\%http://insecure.org/search.html\fR\m[]
+oder bei Google\&. Stöbern Sie in den
+nmap\-dev\-Archiven unter
+\m[blue]\fB\%http://seclists.org/\fR\m[]\&..\" nmap-dev Mailingliste
+Lesen Sie auch diese Manpage vollständig\&. Wenn Sie keine Lösung finden, schicken Sie einen Fehlerbericht per E\-Mail an
+\FCnmap\-dev@insecure\&.org\F[]\&. Beschreiben Sie darin bitte alles, was Sie über das Problem wissen, inklusive der Nmap\-Version und der Betriebssystemversion, unter der Sie Nmap einsetzen\&. Berichte von Problemen und Fragen zur Anwendung von Nmap werden sehr viel wahrscheinlicher beantwortet, wenn sie an
+\FCnmap\-dev@insecure\&.org\F[]
+geschickt werden statt direkt an Fyodor\&. Wenn Sie sich erst auf der nmap\-dev\-Liste eintragen, bevor Sie Ihre E\-Mail schicken, entgeht Ihre Nachricht auch der Moderation und kommt schneller an\&. Eintragen können Sie sich unter
+\m[blue]\fB\%http://cgi.insecure.org/mailman/listinfo/nmap-dev\fR\m[]\&.
+.PP
+Code\-Patches zur Behebung von Fehlern sind noch besser als Fehlerberichte\&. Eine einfache Anweisung für die Erstellung von Patch\-Dateien mit Ihren Änderungen ist unter
+\m[blue]\fB\%http://nmap.org/data/HACKING\fR\m[]
+verfügbar\&. Patches können an
+nmap\-dev
+(empfohlen) oder direkt an Fyodor geschickt werden\&.
+.SH "Autor"
+.PP
+Fyodor
+\FCfyodor@insecure\&.org\F[]
+(\m[blue]\fB\%http://insecure.org\fR\m[])
+.PP
+Über die Jahre haben hunderte von Menschen wertvolle Beiträge zu Nmap geleistet\&. Sie sind detailliert in der Datei
+\FCCHANGELOG\F[].\" changelog
+aufgeführt, die mit dem Nmap\-Quellcode verbreitet wird und auch unter
+\m[blue]\fB\%http://nmap.org/changelog.html\fR\m[]
+verfügbar ist\&.
+.SH ""
+.PP
+Sorry, this section has not yet been translated to German\&. Please see the
+\m[blue]\fBEnglish version\fR\m[]\&\s-2\u[16]\d\s+2\&.
+.SH "Notes"
+.IP " 1." 4
+RFC 1122
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc1122.txt
+.RE
+.IP " 2." 4
+RFC 792
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc792.txt
+.RE
+.IP " 3." 4
+RFC 1918
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc1918.txt
+.RE
+.IP " 4." 4
+UDP
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc768.txt
+.RE
+.IP " 5." 4
+TCP RFC
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc793.txt
+.RE
+.IP " 6." 4
+RFC 959
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc959.txt
+.RE
+.IP " 7." 4
+RFC 1323
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc1323.txt
+.RE
+.IP " 8." 4
+Programmiersprache Lua
+.RS 4
+\%http://lua.org
+.RE
+.IP " 9." 4
+IP-Protokoll
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc791.txt
+.RE
+.IP "10." 4
+Nmap::Scanner
+.RS 4
+\%http://sourceforge.net/projects/nmap-scanner/
+.RE
+.IP "11." 4
+Nmap::Parser
+.RS 4
+\%http://nmapparser.wordpress.com/
+.RE
+.IP "12." 4
+in Wikipedia aufgelistet
+.RS 4
+\%http://en.wikipedia.org/wiki/List_of_IPv6_tunnel_brokers
+.RE
+.IP "13." 4
+Nmap Network Scanning: The Official
+Nmap Project Guide to Network Discovery and Security
+Scanning
+.RS 4
+\%http://nmap.org/book/
+.RE
+.IP "14." 4
+Nmap: Netzwerke scannen, analysieren und absichern
+.RS 4
+\%https://www.opensourcepress.de/index.php?26&backPID=178&tt_products=270
+.RE
+.IP "15." 4
+Open Source Press
+.RS 4
+\%http://www.opensourcepress.de
+.RE
+.IP "16." 4
+English version
+.RS 4
+\%http://nmap.org/book/man-legal.html
+.RE
diff --git a/docs/nmap-es.1 b/docs/nmap-es.1
new file mode 100644
index 000000000..3b73469c5
--- /dev/null
+++ b/docs/nmap-es.1
@@ -0,0 +1,1772 @@
+.\" Title: nmap
+.\" Author:
+.\" Generator: DocBook XSL Stylesheets v1.73.2 , Pablo Fernández
+
+y Javier Fernández\-Sanguino
+\. Aunque nuestra intención es hacer Nmap más accesible a los lectores españoles en todo el mundo no podemos garantizar que esta traducción está tan actualizada o completa como la versión oficial en inglés\. Este trabajo puede ser modificado y redistribuido bajo los términos de la
+\fILicencia Creative Commons Atribución\fR\&[2]\.
+.PP
+Esta traducción ha sido adaptada al español como se habla en España (localización \(Foes_ES\(Fc) por Javier Fernández\-Sanguino\. Cualquier comentario o errata sobre esta traducción debe enviarse a Javier Fernández\-Sanguino a la dirección arriba indicada\. El coordinador de la traducción quiere agradecer el esfuerzo de revisión realizado por Jesús Escoredo\.
+.SS "Glosario de traducción"
+.PP
+A continuación se listan las traducciones utilizadas a los términos originales en inglés en este documento, es decir, el glosario utilizado en este documento:
+.PP
+\fIDecoy\fR
+.RS 4
+Traducido con el término \(Foseñuelo\(Fc\.
+.RE
+.PP
+\fIFingerprinting\fR
+.RS 4
+\(FoIdentificación por huellas\(Fc (se entiende digitales), se utilizado conjuntamente con la detección de sistema operativo por lo que a veces se utiliza éste o se reduce a \(Foidentificación\(Fc\.
+.RE
+.PP
+\fIHost\fR
+.RS 4
+Traducido habitualmente como \(Foequipo\(Fc o \(Fosistema\(Fc\.
+.RE
+.PP
+\fIPort scan\fR
+.RS 4
+Barrido de puertos\.
+.RE
+.PP
+\fI(to) Probe\fR
+.RS 4
+Traducido con el término \(Fosondear\(Fc (o \(Fosonda\(Fc)\.
+.RE
+.PP
+\fI(to) Scan\fR
+.RS 4
+Traducido como \(Fosondear\(Fc (o \(Fosondeo\(Fc) o \(Foanálizar\(Fc (o \(Foanálisis\(Fc), no se utiliza \(Foescanear\(Fc (o \(Foescaneo\(Fc) ya que éste término es, literalmente
+\(lqpasar por el escáner\(rq\.
+.RE
+.PP
+\fI(To) Spoof\fR
+.RS 4
+Traducido por \(Fofalsificar\(Fc\.
+.RE
+.PP
+Existen otros términos que puedan aparecer en el documento traducidos pero cuya traducción es ambigua\. En este caso las traducciones se introducen en el texto acompañadas de notas de traducción (mostradas como \(FoN\. del T\.\(Fc) indicando el término original la primera vez que éste aparezca en el texto\.
+.PP
+Nótese que éste glosario difiere en algunos términos del utilizado para otras traducciones, como la traducción realizada por Marbo Babosa del artículo
+\fIDeteccion Remota de SO via Reconocimiento de Pila TCP/IP\fR\&[3]
+(documento traducido al español como se habla en México)\.
+.SH "RESUMEN DE OPCIONES"
+.PP
+Cuando se ejecuta Nmap sin parámetros se muestra este resumen de opciones\. Puede encontrar siempre la última versión en
+\fI\%http://www.insecure.org/nmap/data/nmap.usage.txt\fR\. Aunque ayuda a recordar las opciones más habituales no es un sustituto de la documentación en detalle que acompaña al resto de este manual\. Algunas de las opciones menos conocidas no se incluyen aquí\.
+.PP
+
+.sp
+.RS 4
+.nf
+Uso: nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos}
+ESPECIFICACIÓN DE OBJETIVO:
+ Se pueden indicar nombres de sistema, direcciones IP, redes, etc\.
+ Ej: scanme\.nmap\.org, microsoft\.com/24, 192\.168\.0\.1; 10\.0\.0\-255\.1\-254
+ \-iL : Lee una lista de sistemas/redes del archivo\.
+ \-iR : Selecciona objetivos al azar
+ \-\-exclude : Excluye ciertos sistemas o redes
+ \-\-excludefile : Excluye los sistemas indicados en el fichero
+DESCUBRIMIENTO DE HOSTS:
+ \-sL: Sondeo de lista \- Simplemente lista los objetivos a analizar
+ \-sP: Sondeo Ping \- Sólo determina si el objetivo está vivo
+ \-P0: Asume que todos los objetivos están vivos
+ \-PS/PA/PU [listadepuertos]: Análisis TCP SYN, ACK o UDP de los puertos indicados
+ \-PE/PP/PM: Solicita un análisis ICMP del tipo echo, marca de fecha y máscara de red
+ \-n/\-R: No hacer resolución DNS / Siempre resolver [por omisión: a veces]
+ \-\-dns\-servers : Especificar servidores DNS específicos
+ \-\-system\-dns: Utilizar la resolución del sistema operativo
+TÉCNICAS DE ANÁLISIS:
+ \-sS/sT/sA/sW/sM: Análisis TCP SYN/Connect()/ACK/Window/Maimon
+ \-sN/sF/sX: Análisis TCP Null, FIN, y Xmas
+ \-\-scanflags : Personalizar los indicadores TCP a utilizar
+ \-sI : Análisis pasivo (\(FoIdle\(Fc, N\. del T\.)
+ \-sO: Análisis de protocolo IP
+ \-b : Análisis por rebote FTP
+ESPECIFICACIÓN DE PUERTOS Y ORDEN DE ANÁLISIS:
+ \-p : Sólo sondear los puertos indicados
+ Ej: \-p22; \-p1\-65535; \-p U:53,111,137,T:21\-25,80,139,8080
+ \-F: Rápido \- Analizar sólo los puertos listados en el archivo nmap\-services
+ \-r: Analizar los puertos secuencialmente, no al azar\.
+DETECCIÓN DE SERVICIO/VERSIÓN:
+ \-sV: Sondear puertos abiertos, para obtener información de servicio/versión
+ \-\-version\-intensity : Fijar de 0 (ligero) a 9 (probar todas las sondas)
+ \-\-version\-light: Limitar a las sondas más probables (intensidad 2)
+ \-\-version\-all: Utilizar todas las sondas (intensidad 9)
+ \-\-version\-trace: Presentar actividad detallada del análisis (para depurar)
+ DETECCIÓN DE SISTEMA OPERATIVO
+ \-O: Activar la detección de sistema operativo (SO)
+ \-\-osscan\-limit: Limitar la detección de SO a objetivos prometedores
+ \-\-osscan\-guess: Adivinar el SO de la forma más agresiva
+TEMPORIZADO Y RENDIMIENTO:
+ \-T[0\-5]: Seleccionar plantilla de temporizado (los números altos son más rápidos)
+ \-\-min\-hostgroup/max\-hostgroup : Paralelizar los sondeos
+ \-\-min\-parallelism/max\-parallelism : Paralelización de sondeos
+ \-\-min\-rtt\-timeout/max\-rtt\-timeout/initial\-rtt\-timeout : Indica
+ el tiempo de ida y vuelta de la sonda
+ \-\-max\-retries : Limita el número máximo de retransmisiones de las
+ sondas de análisis de puertos
+ \-\-host\-timeout : Abandonar un objetivo pasado este tiempo
+ \-\-scan\-delay/\-\-max\-scan\-delay : Ajusta el retraso entre sondas
+EVASIÓN Y FALSIFICACIÓN PARA CORTAFUEGOS/IDS:
+ \-f; \-\-mtu : fragmentar paquetes (opc\. con el MTU indicado)
+ \-D : Disimular el análisis con señuelos
+ N\. del T\.: \(FoME\(Fc es \(FoYO\(Fc mismo\.
+ \-S : Falsificar la dirección IP origen
+ \-e : Utilizar la interfaz indicada
+ \-g/\-\-source\-port : Utilizar el número de puerto dado
+ \-\-data\-length : Agregar datos al azar a los paquetes enviados
+ \-\-ttl : Fijar el valor del campo time\-to\-live (TTL) de IP
+ \-\-spoof\-mac : Falsificar la dirección MAC
+ \-\-badsum: Enviar paquetes con una suma de comprobación TCP/UDP falsa
+SALIDA:
+ \-oN/\-oX/\-oS/\-oG : Guardar el sondeo en formato normal, XML,
+ s|: Guardar en los tres formatos principales al mismo tiempo
+ \-v: Aumentar el nivel de mensajes detallados (\-vv para aumentar el efecto)
+ \-d[nivel]: Fijar o incrementar el nivel de depuración (Tiene sentido hasta 9)
+ \-\-packet\-trace: Mostrar todos los paquetes enviados y recibidos
+ \-\-iflist: Mostrar interfaces y rutas (para depurar)
+ \-\-append\-output: Agregar, en vez de sobreescribir, a los archivos indicados con \-o\.
+ \-\-resume : Retomar un análisis abortado/detenido
+ \-\-stylesheet : Convertir la salida XML a HTML según la hoja de estilo
+ XSL indicada
+ \-\-webxml: Referenciar a la hoja de estilo de Insecure\.Org para tener un XML más portable
+ \-\-no_stylesheet: No asociar la salida XML con ninguna hoja de estilos XSL
+MISCELÁNEO:
+ \-6: Habilitar análisis IPv6
+ \-A: Habilita la detección de SO y de versión
+ \-\-datadir : Indicar la ubicación de los archivos de datos Nmap
+ personalizados\.
+ \-\-send\-eth/\-\-send\-ip: Enviar paquetes utilizando tramas Ethernet o paquetes IP
+ "crudos"
+ \-\-privileged: Asumir que el usuario tiene todos los privilegios
+ \-V: Muestra el número de versión
+ \-h: Muestra esta página resumen de la ayuda\.
+EJEMPLOS:
+ nmap \-v \-A scanme\.nmap\.org
+ nmap \-v \-sP 192\.168\.0\.0/16 10\.0\.0\.0/8
+ nmap \-v \-iR 10000 \-P0 \-p 80
+.fi
+.RE
+.sp
+.SH "ESPECIFICACIóN DE OBJETIVOS"
+.PP
+Todo lo que se escriba en la línea de parámetros de Nmap que no sea una opción se considera una especificación de sistema objetivo\. El caso más sencillo es la indicación de sólo una IP, o nombre de sistema, para que sea analizado\.
+.PP
+Puede darse la situación en que uno desee analizar una red completa de equipos adyacentes\. Nmap soporta el direccionamiento estilo CIDR para estos casos\. Puede añadir /\fInumBits\fR
+a una dirección IP o nombre de sistema para que Nmap sondee toda IP cuyos primeros
+\fInumBits\fR
+sean los mismos que los de la dirección IP o nombre de sistema indicado\. Por ejemplo, 192\.168\.10\.0/24 analizaría los 256 sistemas que existen entre la dirección 192\.168\.10\.0 (que en binario se representa como
+11000000 10101000 00001010 00000000) y la dirección 192\.168\.10\.255 (binario:
+11000000 10101000 00001010 11111111), ambas inclusives\. De hecho, si usa 192\.168\.10\.40/24 obtendría exactamente el mismo resultado\. En el caso del sistema scanme\.nmap\.org que posee una dirección IP 205\.217\.153\.62, la especificación scanme\.nmap\.org/16 analizaría las 65\.536 direcciones IP entre 205\.217\.0\.0 y 205\.217\.255\.255\. La máscara mas pequeña permitida es /1, que analizaría media Internet\. La más grande, /32, analizaría únicamente la IP o nombre de sistema indicados porque todos los bits estarían fijos\.
+.PP
+La notación CDIR es breve pero no siempre es suficiemente flexible\. Por ejemplo, puede querer sondear la red 192\.168\.0\.0/16 pero omitir cualquier IP que termine por \.0 o por \.255 ya que son habitualmente direcciones de difusión\. Es posible hacer esto con Nmap mediante el direccionamiento por octetos\. En lugar de especificar una dirección IP normal puede especificar una lista separada por comas de números o rangos para cada octeto\. Por ejemplo, si utiliza 192\.168\.0\-255\.1\-254 se omitirán todas las direcciones del rango que terminen en \.0 o \.255\. Los rangos no tienen por qué estar limitados a los últimos octetos\. Por ejemplo, si especifica 0\-255\.0\-255\.13\.37 se realizará un sondeo en todo Internet de las direcciones IP que terminan en 13\.37\. Este tipo de muestreo amplio puede ser útil para encuestas en Internet y con fines de investigación\.
+.PP
+Sólo puede especificar direcciones IPv6 si utiliza su nombre IPv6 totalmente cualificado o su nombre de sistema\. No se soporta el uso de CIDR o rangos de octetos para IPv6 porque raramente son útiles\.
+.PP
+Con Nmap puede especificar múltiples sistemas en la línea de órdenes y no tienen por qué ser del mismo tipo\. Por ejemplo, la orden
+\fBnmap scanme\.nmap\.org 192\.168\.0\.0/16 10\.0\.0,1,3\-7\.0\-255\fR
+hace lo que uno esperaría\.
+.PP
+Aunque habitualmente se especifican los objetivos en la línea de órdenes puede utilizar las siguientes opciones para controlar la selección de objetivos:
+.PP
+\fB\-iL \fR (Entrada de una lista)
+.RS 4
+Toma la especificación de objetivos del archivo
+\fIarchivo_entrada\fR\. Habitualmente es un tanto molesto especificar una lista de sistemas muy grande en la línea de órdenes, pero es algo que también uno quiere hacer\. Por ejemplo, si tu servidor DHCP puede exportar un listado de las 10\.000 direcciones entregadas IP que querría analizar\. O tal vez quiera analizar todas las direcciones IP
+\fIexcepto\fR
+esas mismas direcciones, para así localizar sistemas que estén utilizando direcciones IP estáticas sin autorización\. Para sondear un número elevado de objetivos sólo tiene que generar la lista en un archivo, y entregárselo a Nmap con la opción
+\fB\-iL\fR\. Las entradas de ese archivo pueden estar en cualquiera de los formatos aceptados por Nmap en la línea de órdenes (direcciones IP, nombres de sistema, CIDR, IPv6 o rangos de octeto)\. Cada elemento debe estar separado por uno o más espacios, tabuladores, o por líneas\. Si quiere leer el archivo de la entrada estándar puede especificar un guión (\-) como nombre de archivo\.
+.RE
+.PP
+\fB\-iR \fR (Elegir objetivos al azar)
+.RS 4
+Cuando se quieren realizar encuestas que cubran toda Internet uno puede querer elegir objetivos al azar\. La opción
+\fIcant\. sistemas\fR
+indica a Nmap cuántas direcciones IP debe generar aleatoriamente\. Se filtran de forma automática las direcciones no deseables, incluyendo las direcciones privadas, de multicast o direccionamiento no asignado\. Si se utiliza el valor
+0, Nmap realizará un análisis que no acabará nunca\. Hay que tener en cuenta que a algunos administradores de red puede no gustarle que les analicen sus redes, y pueden llegar a quejarse \(r!Utilice esta opción bajo su propia responsabilidad! Si está realmente aburrido un día de tarde lluviosa, puede intentar la orden
+\fBnmap \-sS \-PS80 \-iR 0 \-p 80\fR
+para encontrar servidores web al azar para navegar\.
+.RE
+.PP
+\fB\-\-exclude \fR (Excluir equipo o redes)
+.RS 4
+Indica con una lista separada por comas los objetivos que deben excluirse del análisis\. Se excluirán aunque se encuentren dentro de un rango especificado en la línea de órdenes\. La lista que se indica utiliza la sintaxis normal de Nmap, por lo que puede incluir nombres de equipo, rangos de red CIDR, rangos de octeto, etc\. Esto puede ser útil cuando la red a analizar tiene objetivos que no se deben tocar, como puedan ser servidores de misión crítica, que pueden reaccionar adversamente a un análisis de puertos, o si la red incluye subredes administradas por otras personas\.
+.RE
+.PP
+\fB\-\-excludefile \fR (Excluir desde una Lista)
+.RS 4
+Al igual que
+\fB\-\-exclude\fR, esta función permite excluir objetivos, pero en lugar de utilizar la línea de órdenes toma el listado de un
+\fIarchivo\fR, que utiliza la misma sintaxis que la opción
+\fB\-iL\fR\.
+.RE
+.SH "DESCUBRIENDO SISTEMAS"
+.PP
+Uno de los primeros pasos en cualquier misión de reconocimiento de red es el de reducir un (muchas veces enorme) conjunto de rangos de direcciones IP en una lista de equipos activos o interesantes\. Analizar cada puerto de cada una de las direcciones IP es lento, y usualmente innecesario\. Por supuesto, lo que hace a un sistema interesante depende ampliamente del propósito del análisis\. Los administradores de red pueden interesarse sólo en equipos que estén ejecutando un cierto servicio, mientras que los auditores de seguridad pueden interesarse en todos y cada uno de los dispositivos que tengan una dirección IP\. Un administrador puede sentirse cómodo con obtener un listado de equipos en su red interna mediante un ping ICMP, mientras que un consultor en seguridad realizando un ataque externo puede llegar a utilizar un conjunto de docenas de sondas en su intento de saltarse las restricciones de los cortafuegos\.
+.PP
+Siendo tan diversas las necesidades de descubrimiento de sistemas, Nmap ofrece una gran variedad de opciones para personalizar las técnicas utilizadas\. Al descubrimiento de sistemas (\(FoHost Discovery\(Fc) se lo suele llamar sondeo ping, pero va más allá de la simple solicitud ICMP echo\-request de los paquetes asociados al querido y nunca bien ponderado
+ping\. Los usuarios pueden evitar el paso de ping utilizando un sondeo de lista (\fB\-sL\fR) o deshabilitando el ping (\fB\-P0\fR), o enviando combinaciones arbitrarias de sondas TCP SYN/ACK, UDP e ICMP a múltiples puertos de la red remota\. El propósito de estas sondas es el de solicitar respuestas que demuestren que una dirección IP se encuentra activa (está siendo utilizada por un equipo o dispositivo de red)\. En varias redes solo un pequeño porcentaje de direcciones IP se encuentran activos en cierto momento\. Esto es particularmente común en las redes basadas en direccionamiento privado RFC1918, como la 10\.0\.0\.0/8\. Dicha red tiene más de 16 millones de direcciones IP, pero la he visto siendo utilizada por empresas con menos de mil máquinas\. El descubrimiento de sistemas puede encontrar dichas maquinas en un rango tan grande como el indicado\.
+.PP
+Si no se proveen opciones de descurbrimiento de sistemas, Nmap envía un paquete TCP ACK al puerto 80 y un ICMP Echo Request a cada máquina objetivo\. Una excepción a este comportamiento es cuando se utiliza un análisis ARP, para los objetivos que se encuentren en la red Ethernet local\. Para usuarios de shell UNIX que no posean privilegios, un paquete SYN es enviado en vez del ACK, utilizando la llamada al sistema
+\fBconnect()\fR\. Estos valores por omisión son el equivalente a las opciones
+\fB\-PA \-PE\fR\. Este descubrimiento de sistemas es generalmente suficiente cuando se analizan redes locales, pero para auditorías de seguridad se recomienda utilizar un conjunto más completo de sondas de descubrimiento\.
+.PP
+Las opciones
+\fB\-P*\fR
+(que permiten seleccionar los tipos de ping) pueden combinarse\. Puede aumentar sus probabilidades de penetrar cortafuegos estrictos enviando muchos tipos de sondas utilizando diferentes puertos o banderas TCP y códigos ICMP\. Recuerde que el ARP discovery (\fB\-PR\fR) se realiza por omisión contra objetivos de la red Ethernet local incluso si se especifica otra de las opciones
+\fB\-P*\fR, porque es generalmente más rápido y efectivo\.
+.PP
+Las siguientes opciones controlan el descubrimiento de sistemas\.
+.PP
+\fB\-sL\fR (Sondeo de lista)
+.RS 4
+El sondeo de lista es un tipo de descubrimiento de sistemas que tan solo lista cada equipo de la/s red/es especificada/s, sin enviar paquetes de ningún tipo a los objetivos\. Por omisión, Nmap va a realizar una resolución inversa DNS en los equipos, para obtener sus nombres\. Es sorprendente cuanta información útil se puede obtener del nombre de un sistema\. Por ejemplo
+fw\.chi\.playboy\.com
+es el cortafuegos de la oficina en Chicago de Playboy Enterprises\. Adicionalmente, al final, Nmap reporta el número total de direcciones IP\. El sondeo de lista es una buena forma de asegurarse de que tenemos las direcciones IP correctas de nuestros objetivos\. Si se encontraran nombres de dominio que no reconoces, vale la pena investigar un poco más, para evitar realizar un análisis de la red de la empresa equivocada\.
+.sp
+Ya que la idea es simplemente emitir un listado de los sistemas objetivo, las opciones de mayor nivel de funcionalidad como análisis de puertos, detección de sistema operativo, o análisis ping no pueden combinarse con este sondeo\. Si desea deshabilitar el análisis ping aún realizando dicha funcionalidad de mayor nivel, compruebe la documentación de la opción
+\fB\-P0\fR\.
+.RE
+.PP
+\fB\-sP\fR (Sondeo ping)
+.RS 4
+Esta opción le indica a Nmap que
+\fIúnicamente\fR
+realice descubrimiento de sistemas mediante un sondeo ping, y que luego emita un listado de los equipos que respondieron al mismo\. No se realizan más sondeos (como un análisis de puertos o detección de sistema operativo)\. A diferencia del sondeo de lista, el análisis ping es intrusivo, ya que envía paquetes a los objetivos, pero es usualmente utilizado con el mismo propósito\. Permite un reconocimiento liviano de la red objetivo sin llamar mucho la atención\. El saber cuántos equipos se encuentran activos es de mayor valor para los atacantes que el listado de cada una de las IP y nombres proporcionado por el sondeo de lista\.
+.sp
+De la misma forma, los administradores de sistemas suelen encontrar valiosa esta opción\. Puede ser fácilmente utilizada para contabilizar las máquinas disponibles en una red, o monitorizar servidores\. A esto se lo suele llamar barrido ping, y es más fiable que hacer ping a la dirección de broadcast, ya que algunos equipos no responden a ese tipo de consultas\.
+.sp
+La opción
+\fB\-sP\fR
+envía una solicitud de eco ICMP y un paquete TCP al puerto 80 por omisión\. Cuando un usuario sin privilegios ejecuta Nmap se envía un paquete SYN (utilizando la llamada
+\fBconnect()\fR) al puerto 80 del objetivo\. Cuando un usuario privilegiado intenta analizar objetivos en la red Ethernet local se utilizan solicitudes ARP (\fB\-PR\fR) a no ser que se especifique la opción
+\fB\-\-send\-ip\fR\.
+.sp
+La opción
+\fB\-sP\fR
+puede combinarse con cualquiera de las opciones de sondas de descubrimiento (las opciones
+\fB\-P*\fR, excepto
+\fB\-P0\fR) para disponer de mayor flexibilidad\. Si se utilizan cualquiera de las opciones de sondas de descubrimiento y número de puerto, se ignoran las sondas por omisión (ACK y solicitud de eco ICMP)\. Se recomienda utilizar estas técnicas si hay un cortafuegos con un filtrado estricto entre el sistema que ejecuta Nmap y la red objetivo\. Si no se hace así pueden llegar a pasarse por alto ciertos equipos, ya que el cortafuegos anularía las sondas o las respuestas a las mismas\.
+.RE
+.PP
+\fB\-P0\fR (No realizar ping)
+.RS 4
+Con esta opción, Nmap no realiza la etapa de descubrimiento\. Bajo circunstancias normales, Nmap utiliza dicha etapa para determinar qué máquinas se encuentran activas para hacer un análisis más agresivo\. Por omisión, Nmap sólo realiza ese tipo de sondeos, como análisis de puertos, detección de versión o de sistema operativo contra los equipos que se están \(Fovivos\(Fc\. Si se deshabilita el descubrimiento de sistemas con la opción
+\fB\-P0\fR
+entonces Nmap utilizará las funciones de análisis solicitadas contra
+\fItodas\fR
+las direcciones IP especificadas\. Por lo tanto, si se especifica una red del tamaño de una clase B cuyo espacio de direccionamiento es de 16 bits, en la línea de órdenes, se analizará cada una de las 65\.536 direcciones IP\. El segundo carácter en la opción
+\fB\-P0\fR
+es un cero, y no la letra O\. Al igual que con el sondeo de lista, se evita el descubrimiento apropiado de sistemas, pero, en vez de detenerse y emitir un listado de objetivos, Nmap continúa y realiza las funciones solicitadas como si cada IP objetivo se encontrara activa\.
+.RE
+.PP
+\fB\-PS [lista de puertos]\fR (Ping TCP SYN)
+.RS 4
+Esta opción envía un paquete TCP vacío con la bandera SYN puesta\. El puerto destino por omisión es el 80 (se puede configurar en tiempo de compilación cambiando el valor de DEFAULT_TCP_PROBE_PORT en
+\fInmap\.h\fR), pero se puede añadir un puerto alternativo como parámetro\. También se puede especificar una lista de puertos separados por comas (p\.ej\.
+\fB\-PS22,23,25,80,113,1050,35000\fR)\. Si hace esto se enviarán sondas en paralelo a cada uno de los puertos\.
+.sp
+La bandera SYN indica al sistema remoto que quiere establecer una conexión\. Normalmente, si el puerto destino está cerrado se recibirá un paquete RST (de \(Foreset\(Fc)\. Si el puerto está abierto entonces el objetivo responderá con el segundo paso del saludo en tres pasos TCP respondiendo con un paquete TCP SYN/ACK\. El sistema donde se ejecuta Nmap romperá la conexión que se está estableciendo enviando un paquete RST en lugar de enviar el paquete ACK que completaría el saludo TCP\. Nmap no envía este paquete, sino que lo envía el núcleo del sistema donde se ejecuta Nmap respondiendo al paquete SYN/ACK que no esperaba\.
+.sp
+A Nmap no le importa si el puerto está abierto o cerrado\. Si, tal y como se acaba de describir, llega una respuesta RST ó SYN/ACK entonces Nmap sabrá que el sistema está disponible y responde\.
+.sp
+En sistemas UNIX, generalmente sólo el usuario privilegiado
+root
+puede enviar paquetes TCP crudos\. Los usuarios no privilegiados tienen una forma de evitar esta restricción utilizando la llamada al sistema \(Foconnect()\(Fc contra el puerto destino\. Esto hace que se envíe el paquete SYN al sistema, para establecer la conexión\. Si la llamada \(Foconnect()\(Fc devuelve un resultado de éxito rápidamente o un fallo ECONNREFUSED entonces se puede deducir que la pila TCP que tiene bajo ésta ha recibido un SYN/ACK o un RST y que puede marcar el sistema como disponible\. El sistema se puede marcar como no disponible si el intento de conexión se mantiene parado hasta que vence un temporizador\. Esta es también la forma en la que se gestiona esto en conexiones IPv6 ya que Nmap aún no puede crear paquetes IPv6 crudos\.
+.RE
+.PP
+\fB\-PA [lista de puertos]\fR (Ping TCP ACK)
+.RS 4
+El ping TCP ACK es muy parecido al ping SYN que se acaba de tratar\. La diferencia es que en este caso se envía un paquete con la bandera ACK en lugar de la SYN\. Este paquete indica que se han recibido datos en una conexión TCP establecida, pero se envían sabiendo que la conexión no existe\. En este caso los sistemas deberían responder con un paquete RST, lo que sirve para determinar que están vivos\.
+.sp
+La opción
+\fB\-PA\fR
+utiliza el mismo puerto por omisión que la sonda SYN (el puerto 80) y también puede tomar una lista de puertos destino en el mismo formato\. Si un usuario sin privilegios intenta hacer esto, o se especifica un objetivo IPv6, se utiliza el procedimiento descrito anteriormente\. Aunque en este caso el procedimiento no es perfecto porque la llamada \(Foconnect()\(Fc enviará un paquete SYN en lugar de un ACK\.
+.sp
+Se ofrecen tanto mecanismos de sondeo con ping SYN y ACK para maximizar las posibilidades de atravesar cortafuegos\. Muchos administradores configuran los enrutadores y algunos cortafuegos sencillos para que se bloqueen los paquetes SYN salvo para aquellos destinados a los servicios públicos, como pudieran ser el servidor web o el servidor de correo de la organización\. Esto evita que se realicen otras conexiones entrantes al mismo tiempo que permite a los usuarios realizar conexiones salientes a Internet\. Este acercamiento de filtrado sin estados toma pocos recursos de los cortafuegos/enrutadores y está ampliamente soportado por filtros hardware y software\. El programa de cortafuegos Netfilter/iptables de Linux ofrece la opción
+\fB\-\-syn\fR
+para implementar este acercamiento sin estados\. Cuando se han implementado reglas de filtrado como éstas es posible que se bloqueen las sondas ping SYN (\fB\-PS\fR) cuando éstas se envíen a un puerto cerrado\. Sin embargo, en estos casos, las sondas ACK podrían saltarse las reglas y llegar a su destino\.
+.sp
+Otros tipos de cortafuegos comunes utilizan reglas con estados que descartan paquetes no esperados\. Esta funcionalidad se encontraba antes fundamentalmente en los cortafuegos de gama alta pero se ha hecho cada vez más común\. El sistema Netfilter/iptables de Linux soporta esta posibilidad a través de la opción
+\fB\-\-state\fR, que hace categorías de paquetes en base a su estado de conexión\. En estos sistemas es más probable que funcione una sonda SYN, dado que los paquetes ACK no esperados se reconocen como falsos y se descartan\. Una solución a este dilema es enviar sondas SYN y ACK especificando tanto la opción
+\fB\-PS\fR
+como
+\fB\-PA\fR\.
+.RE
+.PP
+\fB\-PU [lista de puertos]\fR (Ping UDP)
+.RS 4
+El ping UDP es otra opción para descubrir sistemas\. Esta opción envía un paquete UDP vacío (salvo que se especifique
+\fB\-\-data\-length\fR) a los puertos indicados\. La lista de puertos se debe dar en el mismo formato que se ha indicado anteriormente para las opciones
+\fB\-PS\fR
+y
+\fB\-PA\fR
+\. Si no se especifica ningún puerto se utiliza el puerto 31338 por omisión\. Se puede configurar este puerto por omisión en el momento de compilar cambiando DEFAULT_UDP_PROBE_PORT en
+\fInmap\.h\fR\. Se utiliza un puerto alto y poco común por omisión porque no es deseable enviar este sondeo a otro tipo de puertos\.
+.sp
+La sonda UDP debería generar un paquete ICMP de puerto no alcanzable si da contra un puerto cerrado en el equipo objetivo\. Si llega éste entonces Nmap puede identificar ese sistema como vivo y alcanzable\. Otros errores ICMP, como el de sistema o red inalcanzables o TTL excedido indican un sistema que está muerto o que no es alcanzable\. Si no llega ninguna respuesta también se entiende que el sistema no está disponible\. Si se alcanza un puerto abierto la mayoría de los servicios simplemente descartarán el paquete vacío y no devolverán ninguna respuesta\. Ésta es la razón por la que se utiliza el puerto por omisión 31338 ya que es poco probable que esté utilizándose\. Algunos servicios, como chargen, responderán con un paquete UDP vacío lo que ayuda a Nmap a determinar que el sistema está disponible\.
+.sp
+La principal ventaja de este tipo de sondeos es que atraviesan cortafuegos y filtros que sólo analizan TCP\. Yo, por ejemplo, una vez fui propietario de un encaminador de banda ancha inalámbrico BEFW11S4\. El interfaz externo de este dispositivo filtraba por omisión todos los puertos TCP, pero las sondas UDP podían generar mensajes de puerto no alcanzable y permitían detectar al dispositivo\.
+.RE
+.PP
+\fB\-PE\fR; \fB\-PP\fR; \fB\-PM\fR (Tipos de ping ICMP)
+.RS 4
+Nmap puede enviar los paquetes estándar que envía el programa
+ping
+además de los tipos de descubrimiento de equipos con TCP y UDP\. Nmap envía paquetes ICMP tipo 7 (\(Foecho request\(Fc) a las direcciones IP objetivos y espera recibir un tipo 0 (\(FoEcho Reply\(Fc) de los sistemas que estén disponibles\. Lamentablemente para los exploradores de redes, muchos sistemas y cortafuegos ahora bloquean esos paquetes en lugar de responder como requiere el estándar
+\fIRFC 1122\fR\&[4]\. Por ésta razón los sondeos que sólo utilizan el protocolo ICMP no son muy fiables para analizar sistemas desconocidos en Internet\. Aunque pueda ser una forma eficiente y práctica de hacerlo para administradores que tengan que monitorizar una red interna\. Utilice la opción
+\fB\-PE\fR
+para activar este comportamiento de solicitud de eco\.
+.sp
+Nmap no hace sólo ésto, aunque la solicitud eco es la consulta estándar de ping ICMP\. El estándar ICMP (\fIRFC 792\fR\&[5]) también específica solicitudes de huellas de tiempo, de información y de máscara de red, que corresponden con los códigos 13, 15 y 17 respectivamente\. Aunque el objetivo de estas solicitudes es obtener la máscara de red o fecha actual de un sistema también pueden utilizarse para descubrir sistemas\. Un sistema que responde es por que está vivo y disponible\. Nmap no implementa los paquetes de solicitud de información en sí, ya que no están muy soportados\. El estándar RFC 1122 insiste en que
+\(lqun equipo NO DEBE implementar estos mensajes\(rq\. Las consultas de huella de tiempo y máscara de red se pueden enviar con las opciones
+\fB\-PP\fR
+y
+\fB\-PM\fR, respectivamente\. Si se recibe una respuesta de huella de tiempo (código ICMP 14) o de máscara de red (código 18) entonces es que el sistema está disponible\. Estas dos consultas pueden ser útiles cuando los administradores bloquean los paquetes de consulta eco explícitamente pero se olvidan de que se pueden utilizar otras consultas ICMP con el mismo fin\.
+.RE
+.PP
+\fB\-PR\fR (Ping ARP)
+.RS 4
+Una de las formas de uso más comunes de Nmap es el sondeo de una red de área local Ethernet\. En la mayoría de las redes locales hay muchas direcciones IP sin usar en un momento determinado\. Esto es así especialmente en las que utilizan rangos de direcciones privadas definidas en el RFC1918\. Cuando Nmap intenta enviar un paquete IP crudo, como pudiera ser una solicitud de eco ICMP, el sistema operativo debe determinar primero la dirección (ARP) correspondiente a la IP objetivo para poder dirigirse a ella en la trama Ethernet\. Esto es habitualmente un proceso lento y problemático, dado que los sistemas operativos no se escribieron pensando en que tendrían que hacer millones de consultas ARP contra sistemas no disponibles en un corto periodo de tiempo\.
+.sp
+El sondeo ARP hace que sea Nmap y su algoritmo optimizado el que se encargue de las solicitudes ARP\. Si recibe una respuesta, no se tiene ni que preocupar de los paquetes basados en IP dado que ya sabe que el sistema está vivo\. Esto hace que el sondeo ARP sea mucho más rápido y fiable que los sondeos basados en IP\. Por ello se utiliza por omisión cuando se analizan sistemas Ethernet si Nmap detecta que están en la red local\. Nmap utiliza ARP para objetivos en la misma red local aún cuando se utilicen distintos tipos de ping (como
+\fB\-PE\fR
+o
+\fB\-PS\fR)\. Si no quiere hacer un sondeo ARP tiene que especificar la opción
+\fB\-\-send\-ip\fR\.
+.RE
+.PP
+\fB\-n\fR (No realizar resolución de nombres)
+.RS 4
+Le indica a Nmap que
+\fInunca\fR
+debe realizar resolución DNS inversa de las direcciones IP activas que encuentre\. Ya que DNS es generalmente lento, esto acelera un poco las cosas\.
+.RE
+.PP
+\fB\-R\fR (Realizar resolución de nombres con todos los objetivos)
+.RS 4
+Le indica a Nmap que deberá realizar
+\fIsiempre\fR
+la resolución DNS inversa de las direcciones IP objetivo\. Normalmente se realiza esto sólo si se descubre que el objetivo se encuentra vivo\.
+.RE
+.PP
+\fB\-\-system\-dns\fR (Utilizar resolución DNS del sistema)
+.RS 4
+Por omisión, Nmap resuelve direcciones IP por si mismo enviando las consultas directamente a los servidores de nombres configurados en el sistema, y luego espera las respuestas\. Varias solicitudes (generalmente docenas) son realizadas en paralelo para mejorar el rendimiento\. Especifica esta opción si desea que sí utilice la resolución del sistema (una IP por vez utilizando la llamada getnameinfo())\. Este método es más lento y raramente útil, a no ser que hubiera un error en el código DNS de Nmap (por favor, notifíquelo si ese fuera el caso)\. Éste es el método por omisión para los sondeos IPv6\.
+.RE
+.PP
+\fB\-\-dns\-servers \fR (Servidores a utilizar para las consultas DNS)
+.RS 4
+Nmap generalmente determina los servidores DNS de su archivo resolv\.conf (UNIX) o del registro (Win32)\. Puede utilizar esta opción para especificar sus propios servidores\. Esta opción no se utiliza si utiliza la opción
+\fB\-\-system\-dns\fR
+o está realizando un sondeo IPv6\. La resolución a través de más de un servidor de DNS es generalmente más rápida que la consulta a uno solo\.
+.RE
+.SH "INTRODUCCIóN AL ANáLISIS DE PUERTOS"
+.PP
+Nmap comenzó como un analizador de puertos eficiente, aunque ha aumentado su funcionalidad a través de los años, aquella sigue siendo su función primaria\. La sencilla orden
+\fBnmap \fR\fB\fIobjetivo\fR\fR
+analiza más de 1660 puertos TCP del equipo
+\fIobjetivo\fR\. Aunque muchos analizadores de puertos han agrupado tradicionalmente los puertos en dos estados: abierto o cerrado, Nmap es mucho más descriptivo\. Se dividen a los puertos en seis estados distintos:
+abierto,
+cerrado,
+filtrado,
+no filtrado,
+abierto|filtrado, o
+cerrado|filtrado\.
+.PP
+Estos estados no son propiedades intrínsecas del puerto en sí, pero describen como los ve Nmap\. Por ejemplo, un análisis con Nmap desde la misma red en la que se encuentra el objetivo puede mostrar el puerto 135/tcp como
+abierto, mientras que un análisis realizado al mismo tiempo y con las mismas opciones, pero desde Internet, puede presentarlo como
+filtrado\.
+.PP
+\fBLos seis estados de un puerto, según Nmap\fR
+.PP
+abierto
+.RS 4
+Una aplicación acepta conexiones TCP o paquetes UDP en este puerto\. El encontrar esta clase de puertos es generalmente el objetivo primario de realizar un sondeo de puertos\. Las personas orientadas a la seguridad saben que cada puerto abierto es un vector de ataque\. Los atacantes y las personas que realizan pruebas de intrusión intentan aprovechar puertos abiertos, por lo que los administradores intentan cerrarlos, o protegerlos con cortafuegos, pero sin que los usuarios legítimos pierdan acceso al servicio\. Los puertos abiertos también son interesantes en sondeos que no están relacionados con la seguridad porque indican qué servicios están disponibles para ser utilizados en una red\.
+.RE
+.PP
+cerrado
+.RS 4
+Un puerto cerrado es accesible: recibe y responde a las sondas de Nmap, pero no tiene una aplicación escuchando en él\. Pueden ser útiles para determinar si un equipo está activo en cierta dirección IP (mediante descubrimiento de sistemas, o sondeo ping), y es parte del proceso de detección de sistema operativo\. Como los puertos cerrados son alcanzables, o sea, no se encuentran filtrados, puede merecer la pena analizarlos pasado un tiempo, en caso de que alguno se abra\. Los administradores pueden querer considerar bloquear estos puertos con un cortafuegos\. Si se bloquean aparecerían filtrados, como se discute a continuación\.
+.RE
+.PP
+filtrado
+.RS 4
+Nmap no puede determinar si el puerto se encuentra abierto porque un filtrado de paquetes previene que sus sondas alcancen el puerto\. El filtrado puede provenir de un dispositivo de cortafuegos dedicado, de las reglas de un enrutador, o por una aplicación de cortafuegos instalada en el propio equipo\. Estos puertos suelen frustrar a los atacantes, porque proporcionan muy poca información\. A veces responden con mensajes de error ICMP del tipo 3, código 13 (destino inalcanzable: comunicación prohibida por administradores), pero los filtros que sencillamente descartan las sondas sin responder son mucho más comunes\. Esto fuerza a Nmap a reintentar varias veces, considerando que la sonda pueda haberse descartado por congestión en la red en vez de haberse filtrado\. Esto ralentiza drásticamente los sondeos\.
+.RE
+.PP
+no filtrado
+.RS 4
+Este estado indica que el puerto es accesible, pero que Nmap no puede determinar si se encuentra abierto o cerrado\. Solamente el sondeo ACK, utilizado para determinar las reglas de un cortafuegos, clasifica a los puertos según este estado\. El analizar puertos no filtrados con otros tipos de análisis, como el sondeo Window, SYN o FIN, pueden ayudar a determinar si el puerto se encuentra abierto\.
+.RE
+.PP
+abierto|filtrado
+.RS 4
+Nmap marca a los puertos en este estado cuando no puede determinar si el puerto se encuentra abierto o filtrado\. Esto ocurre para tipos de análisis donde no responden los puertos abiertos\. La ausencia de respuesta puede también significar que un filtro de paquetes ha descartado la sonda, o que se elimina cualquier respuesta asociada\. De esta forma, Nmap no puede saber con certeza si el puerto se encuentra abierto o filtrado\. Los sondeos UDP, protocolo IP, FIN, Null y Xmas clasifican a los puertos de esta manera\.
+.RE
+.PP
+cerrado|filtrado
+.RS 4
+Este estado se utiliza cuando Nmap no puede determinar si un puerto se encuentra cerrado o filtrado, y puede aparecer aparecer sólo durante un sondeo IPID pasivo\.
+.RE
+.SH "TéCNICAS DE SONDEO DE PUERTOS"
+.PP
+Cuando intento realizar un arreglo de mi coche, siendo novato, puedo pasarme horas intentando utilizar mis herramientas rudimentarias (martillo, cinta aislante, llave inglesa, etc\.)\. Cuando fallo miserablemente y llevo mi coche antiguo en grúa al taller a un mecánico de verdad siempre pasa lo mismo: busca en su gran cajón de herramientas hasta que saca una herramienta que hace que la tarea se haga sin esfuerzo\. El arte de sondear puertos es parecido\. Los expertos conocen docenas de técnicas de sondeo y eligen la más apropiada (o una combinación de éstas) para la tarea que están realizando\. Los usuarios sin experiencia y los "script kiddies", sin embargo, intentan resolver cada problema con el sondeo SYN por omisión\. Dado que Nmap es libre, la única barrera que existe para ser un experto en el sondeo de puertos es el conocimiento\. Esto es mucho mejor que el mundo del automóvil, donde puedes llegar a saber que necesitas un compresor de tuerca, pero tendrás que pagar mil dolares por él\.
+.PP
+La mayoría de los distintos tipos de sondeo disponibles sólo los puede llevar a cabo un usuario privilegiado\. Esto es debido a que envían y reciben paquetes en crudo, lo que hace necesario tener acceso como administrador (root) en la mayoría de los sistemas UNIX\. En los entornos Windows es recomendable utilizar una cuenta de administrador, aunque Nmap algunas veces funciona para usuarios no privilegiados en aquellas plataformas donde ya se haya instalado WinPcap\. La necesidad de privilegios como usuario administrador era una limitación importante cuando se empezó a distribuir Nmap en 1997, ya que muchos usuarios sólo tenían acceso a cuentas compartidas en sistemas como usuarios normales\. Ahora, las cosas son muy distintas\. Los ordenadores son más baratos, hay más personas que tienen acceso permanente a Internet, y los sistemas UNIX (incluyendo Linux y MAC OS X) son más comunes\. También se dispone de una versión para Windows de Nmap, lo que permite que se ejecute en más escritorios\. Por todas estas razones, cada vez es menos necesario ejecutar Nmap utilizando cuentas de sistema compartidas\. Esto es bueno, porque las opciones que requieren de más privilegios hacen que Nmap sea más potente y flexible\.
+.PP
+Aunque Nmap intenta generar resultados precisos, hay que tener en cuenta que estos resultados se basan en los paquetes que devuelve el sistema objetivo (o los cortafuegos que están delante de éstos)\. Estos sistemas pueden no ser fiables y envíar respuestas cuyo objetivo sea confundir a Nmap\. Son aún más comunes los sistemas que no cumplen con los estándares RFC, que no responden como deberían a las sondas de Nmap\. Son especialmente susceptibles a este problema los sondeos FIN, Null y Xmas\. Hay algunos problemas específicos a algunos tipos de sondeos que se discuten en las entradas dedicadas a sondeos concretos\.
+.PP
+Esta sección documenta las aproximadamente doce técnicas de sondeos de puertos que soporta Nmap\. Sólo puede utilizarse un método en un momento concreto, salvo por el sondeo UDP (\fB\-sU\fR) que puede combinarse con cualquiera de los sondeos TCP\. Para que sea fácil de recordar, las opciones de los sondeos de puertos son del estilo
+\fB\-s\fR\fB\fIC\fR\fR, donde
+\fIC\fR
+es una letra característica del nombre del sondeo, habitualmente la primera\. La única excepción a esta regla es la opción obsoleta de sondeo FTP rebotado (\fB\-b\fR)\. Nmap hace un sondeo SYN por omisión, aunque lo cambia a un sondeo Connect() si el usuario no tiene los suficientes privilegios para enviar paquetes en crudo (requiere acceso de administrador en UNIX) o si se especificaron objetivos IPv6\. De los sondeos que se listan en esta sección los usuarios sin privilegios sólo pueden ejecutar los sondeos Connect() o de rebote FTP\.
+.PP
+\fB\-sS\fR (sondeo TCP SYN)
+.RS 4
+El sondeo SYN es el utilizado por omisión y el más popular por buenas razones\. Puede realizarse rápidamente, sondeando miles de puertos por segundo en una red rápida en la que no existan cortafuegos\. El sondeo SYN es relativamente sigiloso y poco molesto, ya que no llega a completar las conexiones TCP\. También funciona contra cualquier pila TCP en lugar de depender de la idiosincrasia específica de una plataforma concreta, al contrario de lo que pasa con los sondeos de Nmap Fin/Null/Xmas, Maimon o pasivo\. También muestra una clara y fiable diferenciación entre los estados
+abierto,
+cerrado, y
+filtrado\.
+.sp
+A esta técnica se la conoce habitualmente como sondeo medio abierto, porque no se llega a abrir una conexión TCP completa\. Se envía un paquete SYN, como si se fuera a abrir una conexión real y después se espera una respuesta\. Si se recibe un paquete SYN/ACK esto indica que el puerto está en escucha (abierto), mientras que si se recibe un RST (reset) indica que no hay nada escuchando en el puerto\. Si no se recibe ninguna respuesta después de realizar algunas retransmisiones entonces el puerto se marca como filtrado\. También se marca el puerto como filtrado si se recibe un error de tipo ICMP no alcanzable (tipo 3, códigos 1,2, 3, 9, 10, ó 13)\.
+.RE
+.PP
+\fB\-sT\fR (sondeo TCP connect())
+.RS 4
+El sondeo TCP Connect() es el sondeo TCP por omisión cuando no se puede utilizar el sondeo SYN\. Esto sucede, por ejemplo, cuando el usuario no tiene privilegios para enviar paquetes en crudo o cuando se están sondeando redes IPv6\. Nmap le pide al sistema operativo subyacente que establezcan una conexión con el sistema objetivo en el puerto indicado utilizando la llamada del sistema
+connect(), a diferencia de otros tipos de sondeo, que escriben los paquetes a bajo nivel\. Ésta es la misma llamada del sistema de alto nivel que la mayoría de las aplicaciones de red, como los navegadores web o los clientes P2P, utilizan para establecer una conexión\. Esta llamada es parte del interfaz de programación conocido como la API de conectores de Berkeley\. También, en lugar de leer las respuestas directamente de la línea, Nmap utiliza esta API para obtener la información de estado de cada intento de conexión\.
+.sp
+Generalmente es mejor utilizar un sondeo SYN, si éste está disponible\. Nmap tiene menos control sobre la llamada de alto nivel
+Connect()
+que cuando utiliza paquetes en crudo, lo que hace que sea menos eficiente\. La llamada al sistema completa las conexiones para abrir los puertos objetivo, en lugar de realizar el reseteo de la conexión medio abierta como hace el sondeo SYN\. Esto significa que se tarda más tiempo y son necesarios más paquetes para obtener la información, pero también significa que los sistemas objetivos van a registrar probablemente la conexión\. Un IDS decente detectará cualquiera de los dos, pero la mayoría de los equipos no tienen este tipo de sistemas de alarma\. Sin embargo, muchos servicios de los sistemas UNIX habituales añadirán una nota en el syslog, y algunas veces con un mensaje de error extraño, dado que Nmap realiza la conexión y luego la cierra sin enviar ningún dato\. Los servicios realmente patéticos morirán cuando ésto pasa, aunque esto no es habitual\. Un administrador que vea muchos intentos de conexión en sus registros que provengan de un único sistema debería saber que ha sido sondeado con este método\.
+.RE
+.PP
+\fB\-sU\fR (sondeos UDP)
+.RS 4
+Aunque la mayoría de los servicios más habituales en Internet utilizan el protocolo TCP, los servicios
+\fIUDP\fR\&[6]
+también son muy comunes\. Tres de los más comunes son los servicios DNS, SNMP, y DHCP (puertos registrados 53, 161/162, y 67/68 respectivamente)\. Dado que el sondeo UDP es generalmente más lento y más difícil que TCP, algunos auditores de seguridad ignoran estos puertos\. Esto es un error, porque es muy frecuente encontrarse servicios UDP vulnerables y los atacantes no ignoran estos protocolos\. Afortunadamente, Nmap puede utilizarse para hacer un inventario de puertos UDP\.
+.sp
+El sondeo UDP se activa con la opción
+\fB\-sU\fR\. Puede combinarse con un tipo de sondeo TCP como el sondeo SYN (\fB\-sS\fR) para comprobar ambos protocolos al mismo tiempo\.
+.sp
+Los sondeos UDP funcionan mediante el envío (sin datos) de una cabecera UDP para cada puerto objetivo\. Si se obtiene un error ICMP que indica que el puerto no es alcanzable (tipo 3, código 3) entonces se marca el puerto como
+cerrado\. Si se recibe cualquier error ICMP no alcanzable (tipo 3, códigos 1, 2, 9, 10, o 13) se marca el puerto como
+filtrado\. En algunas ocasiones se recibirá una respuesta al paquete UDP, lo que prueba que el puerto está
+abierto\. Si no se ha recibido ninguna respuesta después de algunas retransmisiones entonces se clasifica el puerto como
+abierto|filtrado\. Esto significa que el puerto podría estar abierto o que hay un filtro de paquetes bloqueando la comunicación\. Puede utilizarse el sondeo de versión (\fB\-sV\fR) para diferenciar de verdad los puertos abiertos de los filtrados\.
+.sp
+Uno de las grandes problemas con el sondeo UDP es hacerlo rápidamente\. Pocas veces llega una respuesta de un puerto abierto o filtrado, lo que obliga a expirar a Nmap y luego a retransmitir los paquetes en caso de que la sonda o la respuesta se perdieron\. Los puertos cerrados son aún más comunes y son un problema mayor\. Generalmente envían un error ICMP de puerto no alcanzable\. Pero, a diferencia de los paquetes RST que envían los puertos TCP cerrados cuando responden a un sondeo SYN o Connect, muchos sistemas imponen una tasa máxima de mensajes ICMP de puerto inalcanzable por omisión\. Linux y Solaris son muy estrictos con esto\. Por ejemplo, el núcleo de Linux versión 2\.4\.20 limita la tasa de envío de mensajes de destino no alcanzable a uno por segundo (en
+\fInet/ipv4/icmp\.c\fR)\.
+.sp
+Nmap detecta las limitaciones de tasa y se ralentiza para no inundar la red con paquetes inútiles que el equipo destino acabará descartando\. Desafortunadamente, un límite como el que hace el núcleo de Linux de un paquete por segundo hace que un sondeo de 65536 puertos tarde más de 18 horas\. Puede acelerar sus sondeos UDP incluyendo más de un sistema para sondearlos en paralelo, haciendo un sondeo rápido inicial de los puertos más comunes, sondeando detrás de un cortafuegos, o utilizando la opción
+\fB\-\-host\-timeout\fR
+para omitir los sistemas que respondan con lentitud\.
+.RE
+.PP
+\fB\-sN\fR; \fB\-sF\fR; \fB\-sX\fR (sondeos TCP Null, FIN, y Xmas)
+.RS 4
+Estos tres tipos de sondeos (aunque puede hacer muchos más a través de la opción
+\fB\-\-scanflags\fR
+que se describe en la próxima sección) aprovechan una indefinición en la
+\fIRFC de TCP\fR\&[7]
+que diferencia los puertos
+abiertos
+y
+cerrados\. La página 65 dice que
+\(lqsi el estado del puerto [destino] es CERRADO \.\.\.\. un segmento entrante que contiene un RST hace que se envíe un RST en la respuesta\.\(rq
+Después la página siguiente discute los paquetes que se envían a puertos abiertos sin fijar los bits SYN, RST, o ACK, diciendo:
+\(lqes improbable que llegue aquí, pero si lo hace, debe descartar el segmento y volver\.\(rq
+.sp
+Cuando se sondean sistemas que cumplen con el texto de esta RFC, cualquier paquete que no contenga los bits SYN, RST, o ACK resultará en el envío de un RST si el puerto está cerrado\. Mientras que no se enviará una respuesta si el puerto está cerrado\. Siempre y cuando se incluyan esos tres bits es válida la combinación de cualquiera de los otros tres (FIN, PSH, y URG)\. Nmap aprovecha esto con tres tipos de sondeo:
+.PP
+Sondeo Null(\fB\-sN\fR)
+.RS 4
+No fija ningún bit (la cabecera de banderas TCP es 0)
+.RE
+.PP
+sondeo FIN (\fB\-sF\fR)
+.RS 4
+Solo fija el bit TCP FIN\.
+.RE
+.PP
+sondeo Xmas (\fB\-sX\fR)
+.RS 4
+Fija los bits de FIN, PSH, y URG flags, iluminando el paquete como si fuera un árbol de Navidad\.
+.RE
+.sp
+Estos tres tipos de sondeos son exactamente los mismos en comportamiento salvo por las banderas TCP que se fijen en los paquetes sonda\. Si se recibe un paquete RST entonces se considera que el puerto está
+cerrado\. Si no se recibe ninguna respuesta el puerto se marca como
+cerrado|filtrado\. El puerto se marca
+filtrado
+si se recibe un error ICMP no alcanzable (tipo 3, código 1, 2, 3, 9, 10, o 13)\.
+.sp
+La ventaja fundamental de este tipo de sondeos es que pueden atravesar algunos cortafuegos que no hagan inspección de estados o encaminadores que hagan filtrado de paquetes\. Otra ventaja es que este tipo de sondeos son algo más sigilosos que, incluso, un sondeo SYN\. Sin embargo, no cuente con que pase siempre esto ya que la mayoría de los productos IDS pueden configurarse para detectarlos\. El problema es que no todos los sistemas siguen el estándar RFC 793 al pie de la letra\. Algunos sistemas envían respuestas RST a las sondas independientemente de si el puerto está o no cerrado\. Esto hace que la mayoría de los puertos se marquen como
+cerrados\. Algunos sistemas operativos muy utilizados que hacen ésto son Microsoft Windows, muchos dispositivos Cisco, BSDI, e IBM OS/400\. Este sondeo no funciona contra sistemas basados en UNIX\. Otro problema de estos sondeos es que no se puede distinguir los puertos
+abiertos
+de algunos puertos
+filtrados, lo que resulta en la respuesta
+abierto|filtrado\.
+.RE
+.PP
+\fB\-sA\fR (sondeo TCP ACK)
+.RS 4
+Este sondeo es distinto de otros que se han discutido hasta ahora en que no puede determinar puertos
+abiertos
+(o incluso
+abiertos|filtrados)\. Se utiliza para mapear reglas de cortafuegos, y para determinar si son cortafuegos con inspección de estados y qué puertos están filtrados\.
+.sp
+La sonda de un sondeo ACK sólo tiene fijada la bandera ACK (a menos que utilice
+\fB\-\-scanflags\fR)\. Cuando se sondean sistemas no filtrados los puertos
+abiertos
+y
+cerrados
+devolverán un paquete RST\. Nmap marca el puerto como
+no filtrado, lo que significa que son alcanzables por el paquete ACK, pero no se puede determinar si están
+abiertos
+o
+cerrados\. Los puertos que no responden o que envían mensajes de error ICMP en respuesta (tipo 3, código 1, 2, 3, 9, 10, o 13), se marcan como
+filtrados\.
+.RE
+.PP
+\fB\-sW\fR (sondeo de ventana TCP)
+.RS 4
+El sondeo de ventana (\(Fowindow\(Fc, N\. del T\.) es exactamente igual al sondeo ACK que se aprovecha de un detalle de implementación de algunos sistemas que permite diferenciar puertos abiertos de los cerrados, en lugar de imprimir
+no filtrado
+cuando se devuelve un RST\. Hace esto examinando el campo de ventana TCP del paquete RST devuelto\. Algunos sistemas fijan un tamaño de ventana positivo para puertos abiertos (incluso para paquetes RST) mientras que se utiliza una ventana de tamaño cero para los cerrados\. Así, en lugar de listar el puerto como
+no filtrado
+cuando se recibe un RST, el sondeo de ventana permite listar el puerto como
+abierto
+o
+cerrado
+en función de si el valor de la ventana TCP en ese paquete RST es positivo o cero, respectivamente\.
+.sp
+Este sondeo depende de un detalle de implementación de una minoría de sistemas q que existen en Internet, así que no es siempre fiable\. Los sistemas que no hacen ésto habitualmente harán que se muestren los puertos como
+cerrados\. Por supuesto, es posible que el sistema no tenga ningún puerto abierto\. Si la mayoría de los puertos están
+cerrados
+pero alguno de los números de puertos comunes (como pueda ser el 22, 25 ó 53) están
+filtrados, entonces el sistema es posible que sea susceptible a ésto\. Algunas veces hay sistemas que mostrarán el comportamiento justo contrario\. Si su sondeo muestra 1000 puertos abiertos y 3 puertos cerrados o filtrados entonces es posible que sean estos últimos los que están abiertos en realidad\.
+.RE
+.PP
+\fB\-sM\fR (sondeo TCP Maimon)
+.RS 4
+El sondeo Maimon debe su nombre a la persona que lo descubrió: Uriel Maimon\. Describió la técnica en la revista Phrack número 49 (noviembre de 1996)\. Nmap, que incluye esta técnica, se publicó dos números más tarde\. Esta técnica es exactamente la misma a los sondeos Null, FIN, y Xmas, pero en los que se envía una sonda FIN/ACK\. Según el RFC 793 (TCP), se debería generar un paquete RST cuando se responde a dicha sonda independientemente de si el puerto está cerrado o abierto\. Uriel se dio cuenta, sin embargo, de que muchos sistemas derivados de BSD simplemente descartan el paquete si el puerto está abierto\.
+.RE
+.PP
+\fB\-\-scanflags\fR (Sondeo TCP a medida)
+.RS 4
+Los usuarios realmente avanzados de Nmap no tienen por qué limitarse a los tipos de sondeos preparados que se ofrecen\. La opción
+\fB\-\-scanflags\fR
+le permite diseñar su propio sondeo mediante la especificación de banderas TCP arbitrarias\. Deje volar a su imaginación al tiempo que evita las reglas de los sistemas de detección de intrusos cuyos fabricantes sólo echaron un vistazo a la página de manual de Nmap y añadieron reglas específicas para detectarlo\.
+.sp
+La opción
+\fB\-\-scanflags\fR
+puede ser un valor numérico como el 9 (PSH y FIN), aunque es más sencillo utilizar nombres simbólicos\. Sólo tienes que juntar una combinación de
+URG,
+ACK,
+PSH,
+RST,
+SYN, y
+FIN\. Por ejemplo, la configuración
+\fB\-\-scanflags URGACKPSHRSTSYNFIN\fR
+fija todas las banderas, aunque no es muy útil para sondear\. No importa el orden en que se especifiquen los nombres\.
+.sp
+Además de poder especificar las banderas que desee se puede especificar el tipo de sondeo TCP (como
+\fB\-sA\fR
+o
+\fB\-sF\fR)\. Ésto le dice a Nmap cómo debe interpretar las respuestas\. Por ejemplo, un sondeo SYN considera que si no se recibe respuesta el puerto está
+filtrado
+mientras que si no se recibe una respuesta en un sondeo FIN se trata como
+abierto|filtrado\. Nmap se comportará igual que para el sondeo tipo base, con la diferencia de que utilizará las banderas TCP que usted especifique\. Se utiliza el sondeo SYN si no se especifica ningún tipo base\.
+.RE
+.PP
+\fB\-sI \fR (Sondeo ocioso)
+.RS 4
+Este es un método de sondeo avanzado que le permite hacer un sondeo de puertos TCP a ciegas de verdad (lo que significa que no se envía ningún paquete al sistema objetivo desde su dirección IP real)\. En lugar de ésto se utiliza un ataque con un canal alternativo que se aprovecha de la generación de la secuencia de los identificadores de fragmentación IP del sistema zombi para obtener información de los puertos abiertos en el objetivo\. Los sistemas IDS mostrarán que el sondeo lo está realizando el sistema zombi que especifique (que debe estar vivo y cumplir algunos requisitos)\. Este tipo de sondeo tan fascinante es demasiado complejo como para describirlo por completo en esta guía de referencia por lo que escribí y publiqué un documento informal que contiene todos los detalles, el documento está disponible en
+\fI\%http://nmap.org/book/idlescan.html\fR\.
+.sp
+Además de ser extraordinariamente sigiloso (debido a su funcionamiento a ciegas), este tipo de sondeo permite determinar las relaciones basadas en IP entre distintos sistemas\. El listado de puertos muestra los puertos abiertos
+\fIdesde la perspectiva del sistema zombi\.\fR
+Así que puede analizar el mismo objetivo con zombis distintos que cree que podrían ser de confianza para éste (a través de las reglas de filtrados de los paquetes o reglas de filtrados de encaminadores)\.
+.sp
+Puede añadir un número de puerto separado por dos puntos del sistema zombi si desea analizar un puerto específico del zombi para consultar los cambios IPID\. Si no lo hace Nmap utilizará el puerto que utiliza para pings TCP por omisión (el puerto 80)\.
+.RE
+.PP
+\fB\-sO\fR (sondeo de protocolo IP)
+.RS 4
+El sondeo de protocolo IP le permite determinar qué protocolos (TCP, ICMP, IGMP, etc\.) soportan los sistemas objetivo\. Esto no es, técnicamente, un sondeo de puertos, dado que cambia los números de protocolo IP en lugar de los números de puerto TCP ó UDP\. Pero también se puede utilizar la opción
+\fB\-p\fR
+para seleccionar los números de protocolo a analizar, los resultados se muestran en el formato de tabla utilizado para los puertos e incluso utiliza el mismo motor de sondeo que los métodos de sondeo de puertos reales\. Es tan parecido a un sondeo de puertos que debe tratarse aquí\.
+.sp
+El sondeo de protocolos, además de ser útil en sí mismo, demuestra el poder del software de fuentes abiertas (\(Foopensource\(Fc, N\. del T\.)\. Aunque la idea fundamental era bastante sencilla, no había pensado añadirla ni tampoco había habido personas que solicitaran esta funcionalidad\. Entonces, en el verano de 2000, se le ocurrió la idea a Gerhard Rieger y la implementó escribiendo un parche excelente, enviándolo posteriormente a la lista de correo de nmap\-hackers\. Incorporé ese parche en el árbol de código de Nmap y publiqué una nueva versión ese mismo día\. \(r!Pocas piezas de programas comerciales tienen usuarios tan entusiastas que diseñan y contribuyen sus propias mejoras!
+.sp
+El sondeo de protocolos utiliza mecanismos parecidos al sondeo UDP\. Envía cabeceras de paquetes IP iterando por el campo de 8 bits que indica el protocolo IP, en lugar de iterar por el campo de número de puerto de un paquete UDP\. Las cabeceras generalmente están vacías y no contienen datos\. De hecho, ni siquiera tienen una cabecera apropiada para el protocolo que se indica\. Las tres excepciones son TCP, UDP e ICMP\. Se incluye una cabecera de protocolo válida para éstos porque algunos sistemas no los enviarán sin ellas y porque Nmap ya tiene funciones para crearlas\. El sondeo de protocolos espera la recepción de mensajes de ICMP
+\fIprotocolo\fR
+no alcanzable en lugar de mensajes ICMP puerto no alcanzable\. Nmap marca el protocolo como
+abierto
+si recibe una respuesta en cualquier protocolo del sistema objetivo\. Se marca como
+cerrado
+si se recibe un error ICMP de protocolo no alcanzable (tipo 3, código 2)\. Si se reciben otros errores ICMP no alcanzable (tipo 3, códigos 1, 3, 9, 10, o 13) se marca el protocolo como
+filtrado
+(aunque al mismo tiempo indican que el protocolo ICMP está
+abierto)\. El protocolo se marca como
+abierto|filtrado
+si no se recibe ninguna respuesta después de las retransmisiones\.
+.RE
+.PP
+\fB\-b \fR (sondeo de rebote FTP)
+.RS 4
+Una funcionalidad interesante en el protocolo FTP (\fIRFC 959\fR\&[8]) es la posibilidad de utilizar conexiones FTP de pasarela\. Esta opción puede abusarse a muchos niveles así que muchos servidores han dejado de soportarla\. Una de las formas de abusar de ésta es utilizar el servidor de FTP para hacer un sondeo de puertos a otro sistema\. Simplemente hace falta decirle al servidor de FTP que envíe un fichero a cada puerto interesante del servidor objetivo cada vez\. El mensaje de error devuelto indicará si el puerto está abierto o no\. Esta es una buena manera de atravesar cortafuegos porque, habitualmente, los servidores de FTP de una organización están ubicados en un lugar en el que tienen más acceso a otros sistemas internos que el acceso que tiene un equipo en Internet\. Nmap puede hacer sondeos con rebotes de FTP con la opción
+\fB\-b\fR\. Esta opción toma un argumento como:
+\fIusuario\fR:\fIcontraseña\fR@\fIservidor\fR:\fIpuerto\fR\.
+\fIServidor\fR
+es el nombre de la dirección IP del servidor FTP vulnerable\. Al igual que con una URL normal, se puede omitir
+\fIusuario\fR:\fIcontraseña\fR, en caso de que se deseen utilizar credenciales de acceso anónimo (usuario:
+anonymous
+contraseña:wwwuser@) También se puede omitir el número de puerto (y los dos puntos que lo preceden)\. Si se omiten se utilizará el puerto FTP estándar (21) en
+\fIservidor\fR\.
+.sp
+Esta vulnerabilidad era muy habitual en 1997, el año que se publicó Nmap, pero ya ha sido arreglada en muchos sitios\. Aún siguen existiendo servidores vulnerables así que merece la pena probar este sondeo si lo demás falla\. Si su objetivo es atravesar un cortafuegos, analice la red objetivo en busca del puerto 21 (o incluso cualquier servicio FTP, si sondea todos los puertos y activa la detección de versiones)\. Después intente un sondeo de rebote utilizando cada uno\. Nmap le indicará si el sistema es o no vulnerable\. Si está intentado ocultar sus huellas no tiene que (y de hecho no debería) limitarse a servidores en la red objetivo\. En cualquier caso, antes de empezar a sondear Internet al azar para buscar servidores de FTP vulnerables, tenga en cuenta que pocos administradores de sistemas apreciarán el que abuse de sus servidores de esta forma\.
+.RE
+.SH "ESPECIFICACIóN DE PUERTOS Y ORDEN DE SONDEO"
+.PP
+Nmap ofrece distintas opciones para especificar los puertos que se van a sondear y si el orden de los sondeos es aleatorio o secuencial\. Estas opciones se añaden a los métodos de sondeos que se han discutido previamente\. Nmap, por omisión, sondea todos los puertos hasta el 1024 además de algunos puertos con números altos listados en el fichero
+\fInmap\-services\fR
+para los protocolos que se sondeen\.
+.PP
+\fB\-p \fR (Sólo sondea unos puertos específicos)
+.RS 4
+Esta opción especifica los puertos que desea sondear y toma precedencia sobre los valores por omisión\. Puede especificar tanto números de puerto de forma individual, así como rangos de puertos separados por un guión (p\. ej\. 1\-1023)\. Puede omitir el valor inicial y/o el valor final del rango\. Nmap utilizará 1 ó 65535 respectivamente\. De esta forma, puede especificar
+\fB\-p\-\fR
+para sondear todos los puertos desde el 1 al 65535\. Se permite sondear el puerto cero siempre que lo especifique explícitamente\. Esta opción especifica el número de protocolo que quiere sondear (de 0 a 255) en el caso de que esté sondeando protocolos IP (\fB\-sO\fR)\.
+.sp
+Puede especificar un protocolo específico cuando sondee puertos TCP y UDP si precede el número de puerto con
+T:
+o
+U:\. El calificador dura hasta que especifique otro calificador\. Por ejemplo, la opción
+\fB\-p U:53,111,137,T:21\-25,80,139,8080\fR
+sondearía los puertos UDP 53,111, y 137, así como los puertos TCP listados\. Tenga en cuenta que para sondear tanto UDP como TCP deberá especificar la opción
+\fB\-sU\fR
+y al menos un tipo de sondeo TCP (como
+\fB\-sS\fR,
+\fB\-sF\fR, o
+\fB\-sT\fR)\. Si no se da un calificador de protocolo se añadirán los números de puerto a las listas de todos los protocolos\.
+.RE
+.PP
+\fB\-F\fR (Sondeo rápido (puertos limitados))
+.RS 4
+Indica que sólo quiere sondear los puertos listados en el fichero
+\fInmap\-services\fR
+que se incluye con nmap (o el fichero de protocolos si indica
+\fB\-sO\fR)\. Esto es más rápido que sondear todos los 65535 puertos de un sistema\. La diferencia de velocidad con el sondeo TCP por omisión (unos 1650 puertos) no es muy alta dado que esta lista contiene muchos puertos TCP (más de 1200)\. La diferencia puede ser muy grande si especifica su propio fichero
+\fInmap\-services\fR
+más pequeño si utiliza la opción
+\fB\-\-datadir\fR\.
+.RE
+.PP
+\fB\-r\fR (No aleatorizar los puertos)
+.RS 4
+Nmap ordena de forma aleatoria los puertos a sondear por omisión (aunque algunos puertos comúnmente accesibles se ponen al principio por razones de eficiencia)\. Esta aleatorización generalmente es deseable, pero si lo desea puede especificar la opción
+\fB\-r\fR
+para analizar de forma secuencial los puertos\.
+.RE
+.SH "DETECCIóN DE SERVICIOS Y DE VERSIONES"
+.PP
+Si le indica a Nmap que mire un sistema remoto le podrá decir que tiene abiertos los puertos 25/tcp, 80/tcp y 53/udp\. Informará que esos puertos se corresponden habitualmente con un servidor de correo (SMTP), servidor de web (HTTP) o servidor de nombres (DNS), respectivamente, si utilizas su base de datos
+\fInmap\-services\fR
+con más de 2\.200 puertos conocidos\. Generalmente este informe es correo dado que la gran mayoría de demonios que escuchan en el puerto 25 TCP son, en realidad, servidores de correo\. \(r!Pero no debe confiar su seguridad en este hecho! La gente ejecuta a veces servicios distintos en puertos inesperados
+.PP
+Aún en el caso de que Nmap tenga razón y el servidor de ejemplo indicado arriba está ejecutando servidores de SMTP, HTTP y DNS ésto no dice mucho\. Cuando haga un análisis de vulnerabilidades (o tan sólo un inventario de red) en su propia empresa o en su cliente lo que habitualmente también quiere saber es qué versión se está utilizando del servidor de correcto y de DNS\. Puede ayudar mucho a la hora de determinar qué ataques pueden afectar a un servidor el saber el número de versión exacto de éste\. La detección de versiones le ayuda a obtener esta información\.
+.PP
+La detección de versiones pregunta para obtener más información de lo que realmente se está ejecutando una vez se han detectado los puertos TCP y/o UDP con alguno de los métodos de sondeo\. La base de datos
+\fInmap\-service\-probes\fR
+contiene sondas para consultar distintos servicios y reconocer y tratar distintas respuestas en base a una serie de expresiones\. Nmap intenta determinar el protocolo del servicio (p\. ej\. ftp, ssh, telnet ó http), el nombre de la aplicación (p\. ej\. Bind de ISC, http de Apache, telnetd de Solaris), un número de versión, un tipo de dispositivo (p\. ej\. impresora o router), la familia de sistema operativo (p\. ej\. Windows o Linux) y algunas veces algunos detalles misceláneos como, por ejemplo, si un servidor X acepta cualquier conexión externa, la versión de protocolo SSH o el nombre de usuario Kazaa)\. Por supuesto, la mayoría de los servicios no ofrecen toda esta información\. Si se ha compilado Nmap con soporte OpenSSL se conectará también a servidores SSL para determinar qué servicio escucha detrás de la capa de cifrado\. Se utiliza la herramienta de pruebas RPC de Nmap (\fB\-sR\fR) de forma automática para determinar el programa RPC y el número de versión si se descubren servicios RPC\. Algunos puertos UDP se quedan en estado
+open|filtered
+(N\. del T\., \'abierto|filtrado\') si un barrido de puertos UDP no puede determinar si el puerto está abierto o filtrado\. La detección de versiones intentará obtener una respuesta de estos puertos (igual que hace con puertos abiertos) y cambiará el estado a abierto si lo consigue\. Los puertos TCP en estado
+open|filtered
+se tratan de forma similar\. Tenga en cuenta que la opción
+\fB\-A\fR
+de Nmap actualiza la detección de versiones entre otras cosas\. Puede encontrar un documento describiendo el funcionamiento, modo de uso, y particularización de la detección de versiones en
+\fI\%http://www.insecure.org/nmap/vscan/\fR\.
+.PP
+Cuando Nmap obtiene una respuesta de un servicio pero no encuentra una definición coincidente en la base de datos se imprimirá una firma especial y un URL para que la envíe si sabe lo que está ejecutándose detrás de ese puerto\. Por favor, tómese unos minutos para enviar esta información para ayudar a todo el mundo\. Gracias a estos envíos Nmap tiene ahora alrededor de 3\.000 patrones para más de 350 protocolos distintos como smtp, ftp, http, etc\.
+.PP
+La detección de versiones se activa y controla con la siguientes opciones:
+.PP
+\fB\-sV\fR (Detección de versiones)
+.RS 4
+Activa la detección de versiones como se ha descrito previamente\. Puede utilizar la opción
+\fB\-A\fR
+en su lugar para activar tanto la detección de versiones como la detección de sistema operativo\.
+.RE
+.PP
+\fB\-\-allports\fR (No excluir ningún puerto de la detección de versiones)
+.RS 4
+La detección de versiones de Nmap omite el puerto TCP 9100 por omisión porque algunas impresoras imprimen cualquier cosa que reciben en este puerto, lo que da lugar a la impresión de múltiples páginas con solicitudes HTTP get, intentos de conexión de SSL, etc\. Este comportamiento puede cambiarse modificando o eliminando la directiva
+Exclude
+en
+\fInmap\-service\-probes\fR, o especificando
+\fB\-\-allports\fR
+para sondear todos los puertos independientemente de lo definido en la directiva
+Exclude\.
+.RE
+.PP
+\fB\-\-version\-intensity \fR (Fijar la intensidad de la detección de versiones)
+.RS 4
+Nmap envía una serie de sondas cuando se activa la detección de versiones (\fB\-sV\fR) con un nivel de rareza preasignado y variable de 1 a 9\. Las sondas con un número bajo son efectivas contra un amplio número de servicios comunes, mientras que las de números más altos se utilizan rara vez\. El nivel de intensidad indica que sondas deberían utilizarse\. Cuanto más alto sea el número, mayor las probabilidades de identificar el servicio\. Sin embargo, los sondeos de alta intensidad tardan más tiempo\. El valor de intensidad puede variar de 0 a 9\. El valor por omisión es 7\. Se probará una sonda independientemente del nivel de intensidad cuando ésta se registra para el puerto objetivo a través de la directiva
+\fInmap\-service\-probes\fR
+ports\. De esta forma se asegura que las sondas de DNS se probarán contra cualquier puerto abierto 53, las sondas SSL contra el puerto 443, etc\.
+.RE
+.PP
+\fB\-\-version\-light\fR (Activar modo ligero)
+.RS 4
+Éste es un alias conveniente para
+\fB\-\-version\-intensity 2\fR\. Este modo ligero hace que la detección de versiones sea más rápida pero también hace que sea menos probable identificar algunos servicios\.
+.RE
+.PP
+\fB\-\-version\-all\fR (Utilizar todas las sondas)
+.RS 4
+Éste es un alias para
+\fB\-\-version\-intensity 9\fR, hace que se utilicen todas las sondas contra cada puerto\.
+.RE
+.PP
+\fB\-\-version\-trace\fR (Trazar actividad de sondeo de versiones)
+.RS 4
+Esta opción hace que Nmap imprima información de depuración detallada explicando lo que está haciendo el sondeo de versiones\. Es un conjunto de lo que obtendría si utilizara la opción
+\fB\-\-packet\-trace\fR\.
+.RE
+.PP
+\fB\-sR\fR (Sondeo RPC)
+.RS 4
+Este método funciona conjuntamente con los distintos métodos de sondeo de puertos de Nmap\. Toma todos los puertos TCP/UDP que se han encontrado y los inunda con órdenes de programa NULL SunRPC con el objetivo de determinar si son puertos RPC y, si es así, los programas y número de versión que están detrás\. Así, puede obtener de una forma efectiva la misma información que
+\fBrpcinfo \-p\fR
+aunque el mapeador de puertos (\(Foportmapper\(Fc, N\. del T\.) está detrás de un cortafuegos (o protegido por TCP wrappers)\. Los señuelos no funcionan con el sondeo RPC actualmente\. Esta opción se activa automáticamente como parte de la detección de versiones (\fB\-sV\fR) si la ha seleccionado\. Rara vez se utiliza la opción
+\fB\-sR\fR
+dado que la detección de versiones lo incluye y es más completa\.
+.RE
+.SH "DETECCIóN DE SISTEMA OPERATIVO"
+.PP
+Uno de los aspectos más conocidos de Nmap es la detección del sistema operativo (SO) en base a la comprobación de huellas TCP/IP\. Nmap envía una serie de paquetes TCP y UDP al sistema remoto y analiza prácticamente todos los bits de las respuestas\. Nmap compara los resultados de una docena de pruebas como puedan ser el análisis de ISN de TCP, el soporte de opciones TCP y su orden, el análisis de IPID y las comprobaciones de tamaño inicial de ventana, con su base de datos
+\fInmap\-os\-fingerprints\fR\. Esta base de datos consta de más de 1500 huellas de sistema operativo y cuando existe una coincidencia se presentan los detalles del sistema operativo\. Cada huella contiene una descripción en texto libre del sistema operativo, una clasificación que indica el nombre del proveedor (por ejemplo, Sun), el sistema operativo subyacente (por ejemplo, Solaris), la versión del SO (por ejemplo, 10) y el tipo de dispositivo (propósito general, encaminador, conmutador, consola de videojuegos, etc\.)\.
+.PP
+Nmap le indicará una URL donde puede enviar las huellas si conoce (con seguridad) el sistema operativo que utiliza el equipo si no puede adivinar el sistema operativo de éste y las condiciones son óptimas (encontró al menos un puerto abierto y otro cerrado)\. Si envía esta información contribuirá al conjunto de sistemas operativos que Nmap conoce y la herramienta será así más exacta para todo el mundo\.
+.PP
+La detección de sistema operativo activa, en cualquier caso, una serie de pruebas que hacen uso de la información que ésta recoge\. Una de estas pruebas es la medición de tiempo de actividad, que utiliza la opción de marca de tiempo TCP (RFC 1323) para adivinar cuánto hace que un equipo fue reiniciado\. Esta prueba sólo funciona en sistemas que ofrecen esta información\. Otra prueba que se realiza es la clasificación de predicción de número de secuencia TCP\. Esta prueba mide de forma aproximada cuánto de difícil es crear una conexión TCP falsa contra el sistema remoto\. Se utiliza cuando se quiere hacer uso de relaciones de confianza basadas en la dirección IP origen (como es el caso de rlogin, filtros de cortafuegos, etc\.) para ocultar la fuente de un ataque\. Ya no se hace habitualmente este tipo de malversación pero aún existen muchos equipos que son vulnerables a ésta\. Generalmente es mejor utilizar la clasificación en inglés como:
+\(lqworthy challenge\(rq
+(\(Fodesafío difícil\(Fc, N\. del T\.) o
+\(lqtrivial joke\(rq
+(\(Fobroma fácil\(Fc, N\. del T\.)\. Esta información sólo se ofrece en la salida normal en el modo detallado (\fB\-v\fR)\. También se informa de la generación de números de secuencia IPID cuando se activa el modo detallado conjuntamente con la opción
+\fB\-O\fR\. La mayoría de los equipos estarán en la clase
+\(lqincremental\(rq, lo que significa que incrementan el campo ID en la cabecera IP para cada paquete que envían\. Esto hace que sean vulnerables a algunos ataques avanzados de obtención de información y de falseo de dirección\.
+.PP
+Puede encontrar un trabajo traducido a una docena de idiomas que detalla el modo de funcionamiento, utilización y ajuste de la detección de versiones en
+\fI\%http://www.insecure.org/nmap/osdetect/\fR\.
+.PP
+La detección de sistema operativo se activa y controla con las siguientes opciones:
+.PP
+\fB\-O\fR (Activa la detección de sistema operativo)
+.RS 4
+Tal y como se indica previamente, activa la detección de sistema operativo\. También se puede utilizar la opción
+\fB\-A\fR
+para activar la detección de sistema operativo y de versiones\.
+.RE
+.PP
+\fB\-\-osscan\-limit\fR (Limitar la detección de sistema operativo a los objetivos prometedores)
+.RS 4
+La detección de sistema operativo funcionará mejor si se dispone de un puerto TCP abierto y otro cerrado\. Defina esta opción si no quiere que Nmap intente siquiera la detección de sistema operativo contra sistemas que no cumplan este criterio\. Esta opción puede ahorrar mucho tiempo, sobre todo si está realizando sondeos
+\fB\-P0\fR
+sobre muchos sistemas\. Sólo es de aplicación cuando se ha solicitado la detección de sistema operativo con la opción
+\fB\-O\fR
+o
+\fB\-A\fR\.
+.RE
+.PP
+\fB\-\-osscan\-guess\fR; \fB\-\-fuzzy\fR (Aproximar los resultados de la detección de sistema operativo)
+.RS 4
+Cuando Nmap no puede detectar un sistema operativo que encaje perfectamente a veces ofrecerá posibilidades que se aproximen lo suficiente\. Las opciones tienen que aproximarse mucho al detectado para que Nmap haga esto por omisión\. Cualquiera de estas dos opciones (equivalentes) harán que Nmap intente aproximar los resultados de una forma más agresiva\.
+.RE
+.SH "CONTROL DE TIEMPO Y RENDIMIENTO"
+.PP
+Una de las prioridades durante el desarrollo de Nmap ha sido siempre el rendimiento\. Un sondeo por omisión (\fBnmap \fR\fB\fInombre_de_sistema\fR\fR) de cualquier sistema en una red local tarda un quinto de segundo\. Esto es menos que el tiempo que uno tarda en parpadear, pero se va sumando al tiempo que se tarda cuando se realiza un sondeo sobre decenas o centenares o miles de equipos\. Además, ciertas opciones de sondeo como puedan ser el sondeo UDP y la detección de versiones pueden incrementar los tiempos de sondeos de forma sustancial\. También puede afectar a este tiempo algunas configuraciones de sistemas cortafuegos, especialmente cuando implementan limitaciones a la tasa de respuestas\. Aunque Nmap trabaja en paralelo y tiene muchos algoritmos avanzados para acelerar estos sondeos, el usuario tiene el control en última instancia de cómo funciona éste\. Los usuarios con experiencia pueden definir las órdenes a Nmap cuidadosamente para obtener sólo la información que necesitan mientras que, al mismo tiempo, cumplen las limitaciones de tiempo que tengan\.
+.PP
+Algunas técnicas que pueden ayudar a mejorar los tiempos de sondeo son el limitar el número de pruebas que no sean críticas y actualizar a la última versión de Nmap (se hacen mejoras de rendimiento con cierta frecuencia)\. La optimización de los parámetros de control de tiempo pueden introducir también diferencias significativas\. Las opciones aplicables se detallan a continuación\.
+.PP
+Algunas opciones aceptan un parámetro
+tiempo\. Este valor se especifica, por omisión, en milisegundos, aunque puede seguirlo de \(oqs\(cq, \(oqm\(cq, o \(oqh\(cq para indicar segundos, minutos, u horas\. Por tanto, el valor
+900000,
+900s, y
+15m
+hacen exáctamente lo mismo al aplicarse a la opción
+\fB\-\-host\-timeout\fR\.
+.PP
+\fB\-\-min\-hostgroup \fR; \fB\-\-max\-hostgroup \fR (Ajustar el tamaño del grupo para los sondeos paralelos)
+.RS 4
+Nmap tiene la capacidad de hacer un sondeo de puertos o versiones sobre múltiples sistemas en paralelo\. Hace eso dividiendo el espacio de direcciones IP en grupos y analizando un grupo cada vez\. Habitualmente es más eficiente utilizar grupos grandes\. La contrapartida es que los resultados por sistema no se pueden dar hasta que se ha terminado de analizar todo el grupo\. En este caso, si Nmap empezara con un tamaño de grupo de 50, el usuario no obtendría ningún resultado hasta que termine con los primeros 50 (excepto las actualizaciones que envía el modo detallado)
+.sp
+Nmap tiene una implementación de compromiso por omisión para resolver este conflicto\. Empieza los sondeos con un tamaño de grupo inferior a cinco para que los primeros resultados se obtengan con rapidez y después se incrementa el tamaño de grupo hasta, como mucho, 1024\. El número exacto por omisión depende de las opciones dadas en la ejecución\. Nmap utiliza grupos más grandes para los sondeos UDP y para aquellos sondeos TCP con pocos puertos por razones de eficiencia\.
+.sp
+Nmap nunca excede el tamaño indicado cuando éste se especifica con
+\fB\-\-max\-hostgroup\fR\. Si se indica un valor mínimo en
+\fB\-\-min\-hostgroup\fR
+Nmap intentará mantener el tamaño de los grupos por encima de ese nivel\. Nmap puede tener que utilizar grupos más pequeños si no hay suficientes sistemas objetivo en una interfaz dada para cumplir el mínimo especificado\. Se pueden especificar ambos valores para mantener el tamaño de grupo dentro de un rango específico, aunque ésto es poco habitual\.
+.sp
+El uso principal de esta opción es el de especificar el tamaño de grupo mínimo para que los sondeos se ejecuten más rápidamente\. 256 es un valor habitual para sondear la red en trozos del tamaño de una clase C\. Si se trata de un sondeo con muchos puertos no sirve de mucho incrementar ese número\. Si los sondeos son de pocos puertos puede ayudar utilizar un tamaño de grupo de 2048 o más elementos\.
+.RE
+.PP
+\fB\-\-min\-parallelism \fR; \fB\-\-max\-parallelism \fR (Ajustar el número de sondas enviadas en paralelo)
+.RS 4
+Esta opción controla el número de sondas activas para un grupo de sistemas\. Éstas se utilizan para los sondeos de puertos y el descubrimiento de equipos\. Por omisión, Nmap calcula un valor ideal del número de sondas a enviar en paralelo basado en el rendimiento de la red\. Si se pierden paquetes Nmap reduce este valor para ir más lento y permitir menos sondas activas\. El valor ideal de las sondas se incrementará a medida que la red muestre que puede utilizarse de nuevo\. Estas opciones ponen un valor mínimo o máximo a esa variable\. Por omisión, el valor ideal puede ser inferior a 1 si la red no es fiable e incrementarse a varios cientos si ésta funciona correctamente\.
+.sp
+Lo más habitual es fijar el valor
+\fB\-\-min\-parallelism\fR
+a un número mayor que uno para que los sondeos contra sistemas o redes poco eficientes sean rápidos\. Esta es una opción que tiene sus riesgos, ya que si se define un valor demasiado elevado se puede reducir la precisión del sondeo\. Si se fija también se impide a Nmap controlar el paralelismo de forma dinámica basándose en las condiciones de la red\. Un valor razonable puede ser diez, aunque sólo debe ajustarse como último recurso\.
+.sp
+A veces se fija la opción
+\fB\-\-max\-parallelism\fR
+a uno para evitar que Nmap envíe más de una sonda a la vez a los sistemas\. Esto puede ser útil conjuntamente con
+\fB\-\-scan\-delay\fR
+(del que se habla más adelante), aunque habitualmente es suficiente con utilizar este último por sí sólo\.
+.RE
+.PP
+\fB\-\-min\-rtt\-timeout \fR, \fB\-\-max\-rtt\-timeout \fR, \fB\-\-initial\-rtt\-timeout \fR (Ajustar expiración de sondas)
+.RS 4
+Nmap mantiene un valor de expiración en ejecución para saber cuánto tiempo debe esperar para recibir la respuesta a una sonda o para retransmitir la sonda\. Este valor está calculado en base a los tiempos de respuesta de las sondas previamente enviadas\. El valor de expiración puede llegar a ser de varios segundos si se demuestra que la latencia de la red es significativa y variable\. También empieza en un valor conservador (alto) y puede mantenerse en ese valor durante un tiempo cuando Nmap sondee equipos que no respondan\.
+.sp
+Se pueden recortar los tiempos de análisis de forma apreciable si se especifican valores para
+\fB\-\-max\-rtt\-timeout\fR
+y
+\fB\-\-initial\-rtt\-timeout\fR
+por debajo de los de por omisión\. Esto es especialmente verdadero en sondeos en los que no se envían paquetes ICMP (\fB\-P0\fR) y en aquellos realizados en redes con mucho filtrado\. Sin embargo, no se debería establecer a valores muy agresivos\. El sondeo puede acabar tardando más de lo esperado si se especifica un valor bajo que hace que las sondas expiren y se retransmitan mientras está llegando la respuesta\.
+.sp
+En el caso de que todos los sistemas estén en una red local al equipo que sondea, un valor razonablemente agresivo para
+\fB\-\-max\-rtt\-timeout\fR
+es 100 milisegundos\. Si se está rutando, primero envíe un ping a un equipo en la red con la herramienta ICMP ping, o con una herramienta para construir paquetes a medida como hping2 dado que es más probable que atraviese cualquier cortafuegos\. Consulte el tiempo máximo de la ronda (tiempo entre solicitud y respuesta) después de haber enviado unos diez paquetes\. Una vez obtenido ese valor puede utilizarlo el doble de éste para
+\fB\-\-initial\-rtt\-timeout\fR
+y triplicarlo o cuadruplicarlo para
+\fB\-\-max\-rtt\-timeout\fR\. Yo no configuro habitualmente el valor máximo rtt por debajo de 100ms, independientemente del valor que den los ping\. Ni tampoco lo pongo por encima de 1000ms\.
+.sp
+La opción
+\fB\-\-min\-rtt\-timeout\fR
+se utiliza rara vez, aunque puede ser útil cuando la red es tan poco fiable que incluso los valores por omisión son demasiado agresivos\. Dado que Nmap sólo reduce el tiempo al mínimo cuando la red parece fiable este valor es poco habitual y debería reportarse como una errata en la lista de correo nmap\-dev\.
+.RE
+.PP
+\fB\-\-max\-retries \fR (Especifica el número máximo de sondas de puertos que se retransmiten)
+.RS 4
+Un puerto podría estar filtrado si Nmap no recibe ninguna respuesta a una sonda de análisis de puertos\. O puede que la sonda o la respuesta a ésta se perdiera en la red\. También puede darse el caso de que el sistema objetivo tenga una limitación de tasa de tráfico que haga que la respuesta quede bloqueada temporalmente\. Así, Nmap lo intenta de nuevo retransmitiendo la sonda inicial\. Puede que lo haga más de una vez, si Nmap detecta que hay problemas en el funcionamiento de la red, antes de abandonar los sondeos de un puerto\. Cuando el rendimiento es crítico, se pueden acelerar los sondeos limitando el número de retransmisiones permitidas\. Puede especificar
+\fB\-\-max\-retries 0\fR
+para que no se haga ninguna retransmisión, aunque no se recomienda\.
+.sp
+El valor por omisión (cuando no hay una plantilla
+\fB\-T\fR) es permitir las retransmisiones\. Nmap generalmente sólo hará una retransmisión si la red parece fiable y el sistema objetivo no tiene una limitación de tasa de tráfico\. Es por esto por lo que la mayoría de los sondeos no se verán afectados si reduce el valor de
+\fB\-\-max\-retries\fR
+a un valor pequeño, como pudiera ser tres\. Estos valores pueden hacer que los sondeos a equipos lentos (limitados en tasa) sean más rápidos\. Puede que pierda información cuando Nmap dé por finalizado el análisis de un puerto antes de tiempo, aunque eso puede ser mejor que hacer que la expire el
+\fB\-\-host\-timeout\fR
+y se pierda toda la información del objetivo\.
+.RE
+.PP
+\fB\-\-host\-timeout \fR (Abandona equipos objetivo lentos)
+.RS 4
+Hay algunos equipos en los que simplemente se tarda
+\fIdemasiado\fR
+en sondearlos\. Esto puede deberse a hardware de red de bajo rendimiento o poco fiable o bien a software, limitaciones de tasas de paquetes o un cortafuegos demasiado restrictivo\. Puede llegar a darse que Nmap dedica la mayor parte del tiempo de análisis en sondear un porcentaje reducido de sistemas\. A veces es mejor reducir las bajas y saltarse esos sistemas inicialmente\. Esto puede hacerse con la opción
+\fB\-\-host\-timeout\fR, indicando el tiempo máximo que está dispuesto a esperar\. Yo especifico habitualmente
+30m
+para asegurarse de que Nmap no gasta más de media hora en un solo sistema\. Tenga en cuenta que Nmap puede estar sondeando otros equipos al mismo tiempo durante esa media hora, por lo que no se pierde todo ese tiempo\. Cualquier sistema que expire se salta\. No se imprimirá la tabla de puertos, la detección de sistema operativo o la detección de versiones para ese sistema\.
+.RE
+.PP
+\fB\-\-scan\-delay \fR; \fB\-\-max\-scan\-delay \fR (Ajusta la demora entre sondas)
+.RS 4
+Esta opción hace que Nmap espere al menos el tiempo indicado entre cada sonda enviada a un sistema determinado\. Esto es muy útil cuando se quiere limitar la tasa de tráfico\. Los sistemas Solaris (entre otros) responderán a paquetes de sondeos UDP con sólo un mensaje ICMP por segundo\. Enviar más que eso con Nmap sería perder el tiempo\. Un valor de
+1s
+para
+\fB\-\-scan\-delay\fR
+hará que Nmap se mantenga a esa velocidad reducida\. Nmap intenta detectar limitaciones de tasa y ajustar la demora del sondeo como considere necesario, pero a veces viene bien especificarlo de forma explícita si ya sabe qué valor es mejor\.
+.sp
+El sondeo se ralentiza de forma drástica cuando Nmap incrementa el valor del tiempo de espera para poder tratar las limitaciones de tasa\. Puede utilizar la opción
+\fB\-\-max_scan\-delay\fR
+para indicar el tiempo máximo de espera que permitirá Nmap\. Si especifica un valor muy pequeño tendrá retransmisiones inútiles de paquetes y posiblemente no detecte puertos para los que el objetivo implemente tasas de tráfico estrictas\.
+.sp
+También se puede usar
+\fB\-\-scan\-delay\fR
+para evitar sistemas de detección y prevención de intrusos (IDS/IPS) basados en umbrales\.
+.RE
+.PP
+\fB\-T \fR (Fija una plantilla de tiempos)
+.RS 4
+Algunas personas encuentran confusos los controles de grano fino explicados previamente, aunque éstos sean muy potentes y efectivos\. Además, se puede a veces tardar más tiempo en encontrar los valores más apropiados que en hacer el análisis que se quiere optimizar\. Nmap ofrece un acercamiento más sencillo, basado en seis plantillas de tiempos\. Puede especificar cualquiera de éstas con la opción
+\fB\-T\fR
+seguido de un número o su nombre\. Los nombre de las plantillas son: paranoico (0), sigiloso (1), amable (2), normal (3), agresivo (4) y loco (5) (respectivamente "paranoid", "sneaky", "polite", "normal", "aggressive" e "insane", N\. de\. T\.)\. Las primeras dos se utilizan para evadir IDS\. El modo amable reduce el sondeo para que éste utilice menos ancho de banda y menos recursos de los sistemas analizados\. El modo normal es el valor por omisión, así que la opción
+\fB\-T3\fR
+no hace nada realmente\. El modo agresivo hace que los sondeos sean más rápidos al asumir que está en una red razonablemente más rápida y fiable\. En modo loco asume que está en una red extraordinariamente rápida o que está dispuesto a sacrificar fiabilidad por velocidad\.
+.sp
+Estas plantillas permiten que el usuario especifique cuan agresivo quiere ser, al mismo tiempo que deja que sea Nmap el que escoja los valores exactos de tiempos\. Las plantillas hacen también algunos ajustes menores de velocidad para los cuales no existe aún una opción de control de grano fino\. Por ejemplo,
+\fB\-T4\fR
+prohíbe que la expiración en sondeos dinámicos exceda los 10ms para puertos TCP y
+\fB\-T5\fR
+limita ese valor a 5 milisegundos\. Las plantillas pueden utilizarse combinadas con controles de grano fino, siempre que se especifique primero la plantilla\. Si no lo hace así los valores especificados por la plantilla modificarán los valores que defina como opción\. Le recomiendo utilizar
+\fB\-T4\fR
+cuando sondee redes razonablemente modernas y fiables\. Mantenga esa opción al principio de la línea de órdenes aún cuando especifique otras opciones de control de grano fino para poder beneficiarse de las optimizaciones menores que activa\.
+.sp
+Le recomiendo que empiece siempre con
+\fB\-T4\fR
+si está utilizando una conexión de banda ancha o conexión Ethernet decente\. Algunas personas adoran la opción
+\fB\-T5\fR
+aunque es demasiado agresiva para mi gusto\. Otras personas especifican la opción
+\fB\-T2\fR
+porque piensan que es menos probable que bloqueen sistemas o porque se consideran a sí mismos amables en general\. Muchas veces no se dan cuenta de lo lenta que
+\fB\-T Polite\fR
+es realmente\. Su sondeo puede llegar a tardar diez veces más que un sondeo por omisión\. Dado que las caídas de sistemas y problemas de ancho de banda son raros con las opciones de tiempos por omisión (\fB\-T3\fR), lo recomiendo habitualmente para las personas cuidadosas\. Para reducir estos problemas es más efectivo omitir la detección de versiones que jugar con los valores de tiempos\.
+.sp
+Mientras que puede ser útil evitar alarmas de IDS con
+\fB\-T0\fR
+y
+\fB\-T1\fR, éste tardará mucho más tiempo para sondear miles de sistemas o puertos\. Para este tipo de sondeos puede que prefiera fijar los valores exactos de tiempos que necesita antes que utilizar los valores predefinidos para
+\fB\-T0\fR
+y
+\fB\-T1\fR\.
+.sp
+Los efectos principales del uso de
+\fBT0\fR
+es la serialización de los sondeos de forma que sólo se sondea un puerto cada vez, y se espera cinco minutos antes de enviar cada sonda\. Las opciones
+\fBT1\fR
+y
+\fBT2\fR
+son similares pero sólo esperan 15 y 0\.4 segundos entre sondas, respectivamente\. El comportamiento por omisión de Nmap es
+\fBT3\fR, que incluye sondeos en paralelo\.
+\fBT4\fR
+es equivalente a especificar
+\fB\-\-max\-rtt\-timeout 1250 \-\-initial\-rtt\-timeout 500 \-\-max\-retries 6\fR
+y fija el valor máximo para las demoras de sondeos TCP a 10 milisegundos\.
+\fBT5\fR
+hace lo mismo que
+\fB\-\-max\-rtt\-timeout 300 \-\-min\-rtt\-timeout 50 \-\-initial\-rtt\-timeout 250 \-\-max\-retries 2 \-\-host\-timeout 15m\fR
+así como definir el valor máximo para las demoras de sondeos TCP a 5ms\.
+.RE
+.SH "EVASIóN DE CORTAFUEGOS/IDS Y FALSIFICACIóN"
+.PP
+Muchos pioneros de Internet habían previsto una red global abierta con un espacio de direcciones IP universal que permitiese conexiones virtuales entre dos nodos cualquiera\. Esto permitiría a los equipos actuar como verdaderos iguales, sirviendo y recuperando información el uno del otro\. La gente podría acceder a todos los sistemas de su casa desde el trabajo, cambiando las propiedades del control del clima o desbloqueando puertas\. Esta visión de una conectividad universal fue sofocada por la escasez del espacio de direcciones y los problemas de seguridad\. Al comienzo de la década de los años 90, las organizaciones empezaron a replegar cortafuegos con el propósito de reducir la conectividad\. Se acordonaron redes enormes para protegerlas de la Internet no filtrada con pasarelas (\(Foproxies\(Fc, N\. del T\.) de aplicación, sistemas de traducción de direcciones de red y filtros de paquetes\. Del flujo sin restricciones de la información se pasó a una regulación estricta de los canales de comunicación aprobados y del contenido que pasa por ellos\.
+.PP
+Los filtros de red como los cortafuegos pueden hacer muy difícil el análisis de una red\. Esto no va a ser más fácil en el futuro, ya que uno de los objetivos de estos dispositivos es generalmente limitar el reconocimiento casual de la red\. En cualquier caso, Nmap ofrece varias funcionalidades para ayudar a entender estas redes complejas, y que también sirven para verificar que los filtros funcionan como se espera de ellos\. Incluso tiene mecanismos para saltarse las defensas que no hayan sido implementadas del todo correctamente\. Uno de los mejores métodos de entender la posición de la seguridad de su red es intentar comprometerla\. Empiece a pensar como un atacante, e intenta utilizar las técnicas de esta sección contra sus propias redes\. Lance un sondeo de rebote FTP, un sondeo pasivo, un ataque de fragmentación, o intente realizar un túnel desde una de sus propias pasarelas\.
+.PP
+Las compañías, además de restringir la actividad de red, están monitorizando cada vez más el tráfico con sistemas de detección de intrusos (IDS, \(FoIntrusion Detection Systems\(Fc, N\. del T\.)\. Todos los IDS principales vienen preinstalados con reglas diseñadas para detectar sondeos de Nmap porque, a veces, se realizan sondeos previos a un ataque\. Muchos de estos productos han mutado recientemente para convertirse en sistemas de
+\fIprevención\fR
+de intrusiones (IPS) que bloquean activamente el tráfico reconocido como maligno\. Desafortunadamente para los administradores de redes y para los fabricantes de IDS es muy difícil detectar las malas intenciones analizando los datos de los paquetes\. Los atacantes con paciencia, habilidad y con la ayuda de ciertas opciones de Nmap pueden, generalmente, esquivar el análisis de los IDS sin ser detectados\. Mientras tanto, los administradores deben lidiar con un alto número de falsos positivos debido a que algunas actividades inocentes se diagnostican erróneamente y generan alarmas o se bloquean\.
+.PP
+Algunas personas sugieren que Nmap no debería ofrecer funcionalidades de evasión de cortafuegos o para esquivar los IDS, argumentando que es igual de probable que las funcionalidades las utilicen los atacantes como que las utilicen los administradores para mejorar la seguridad\. El problema con esta forma de pensar es que los atacantes van a utilizar estos métodos de todas formas: encontrarían otra herramienta para hacerlo o parchearían a Nmap para añadírsela\. Al mismo tiempo, los administradores tendrían muchos más problemas para hacer su trabajo\. Es mucho mejor defensa utilizar servidores FTP modernos y parcheados que intentar prevenir la distribución de herramientas que permitan la implementación de ataques de rebote FTP\.
+.PP
+No hay ninguna herramienta mágica (u opción de Nmap) que permita detectar y evitar cortafuegos y sistemas IDS\. Esto requiere habilidad y experiencia\. Un tutorial va más allá del alcance de esta guía de referencia, que sólo lista las opciones relevantes y describe lo que hacen\.
+.PP
+\fB\-f\fR (fragmentar los paquetes); \fB\-\-mtu\fR (utilizar el MTU especificado)
+.RS 4
+La opción
+\fB\-f\fR
+hace que el sondeo solicitado (incluyendo los sondeos ping) utilicen paquetes IP fragmentados pequeños\. La idea es dividir la cabecera del paquete TCP entre varios paquetes para hacer más difícil que los filtros de paquetes, sistemas de detección de intrusos y otras molestias detecten lo que se está haciendo\. \(r!Tenga cuidado con esta opción! Algunos programas tienen problemas para manejar estos paquetes tan pequeños\. El viejo sniffer llamado Sniffit da un fallo de segmentación inmediatamente después de recibir el primero de estos pequeños fragmentos\. Especifica esta opción una sola vez y Nmap dividirá los paquetes en ocho bytes o menos después de la cabecera de IP\. De esta forma, una cabecera TCP de veinte bytes se dividiría en 3 paquetes\. Dos con ocho bytes de cabecera TCP y uno con los últimos ocho\. Obviamente, cada fragmento tiene su propia cabecera IP\. Especifica la opción
+\fB\-f\fR
+otra vez para utilizar fragmentos de dieciséis bytes (reduciendo la cantidad de fragmentos)\. O puedes especificar tu propio tamaño con la opción
+\fB\-\-mtu\fR\. No utilice la opción
+\fB\-f\fR
+si utiliza
+\fB\-\-mtu\fR\. El tamaño debe ser múltiplo de ocho\. Aunque la utilización de paquetes fragmentados no le ayudará a saltar los filtros de paquetes y cortafuegos que encolen todos los fragmentos IP (como cuando se utiliza la opción CONFIG_IP_ALWAYS_DEFRAG del núcleo de Linux), algunas redes no pueden tolerar la pérdida de rendimiento que esto produce y deshabilitan esa opción\. Otros no pueden habilitar esta opción porque los fragmentos pueden tomar distintas rutas para entrar en su red\. Algunos sistemas defragmentan los paquetes salientes en el núcleo\. Un ejemplo de ésto es Linux con el módulo de seguimiento de conexiones de iptables\. Realice un sondeo con un programa de captura de tráfico, como Ethereal, para asegurar que los paquetes que se envían están fragmentándose\. Intente utilizar la opción
+\fB\-\-send\-eth\fR, si su sistema operativo le está causando problemas, para saltarse la capa IP y enviar tramas directamente a la capa Ethernet en crudo\.
+.RE
+.PP
+\fB\-D \fR (Esconde un sondeo con señuelos)
+.RS 4
+Realiza un sondeo con señuelos\. Esto hace creer que el/los equipo/s que utilice como señuelos están también haciendo un sondeo de la red\. De esta manera sus IDS pueden llegar a informar de que se están realizando de 5 a 10 sondeos de puertos desde distintas direcciones IP, pero no sabrán qué dirección IP está realizando el análisis y cuáles son señuelos inocentes\. Aunque esta técnica puede vencerse mediante el seguimiento del camino de los encaminadores, descarte de respuesta (\(Foresponse\-dropping\(Fc, N\. del T\.), y otros mecanismos activos, generalmente es una técnica efectiva para esconder su dirección IP\.
+.sp
+Se debe separar cada equipo de distracción mediante comas, y puede utilizar
+ME
+(\(FoYO\(Fc, N\. del T\.) como uno de los señuelos para representar la posición de su verdadera dirección IP\. Si pone
+ME
+en la sexta posición o superior es probable que algunos detectores de sondeos de puertos habituales (como el excelente scanlogd de Solar Designer) ni siquiera muestren su dirección IP\. Si no utiliza
+ME, Nmap le pondrá en una posición aleatoria\.
+.sp
+Tenga en cuenta que los equipos que utilice como distracción deberían estar conectados o puede que accidentalmente causes un ataque de inundación SYN a sus objetivos\. Además, sería bastante sencillo determinar qué equipo está realmente haciendo el sondeo si sólo uno está disponible en la red\. Puede que quiera utilizar direcciones IP en lugar de nombres (de manera que no aparezca en los registros del servidor de nombres de los sistemas utilizados como señuelo)\.
+.sp
+Se utilizan los señuelos tanto para el sondeo de ping inicial (si se utiliza ICMP, SYN, ACK, o cualquier otro) como durante la fase de sondeo\. También se utilizan los señuelos durante la detección de sistema operativo (\fB\-O\fR)\. Los señuelos no funcionarán con la detección de versión o el sondeo TCP connect()\.
+.sp
+Vale la pena tener en cuenta que utilizar demasiados señuelos puede ralentizar el sondeo y potencialmente hacerlo menos exacto\. Además, algunos proveedores de acceso a Internet filtrarán los paquetes falsificados, aunque hay muchos que no lo hacen\.
+.RE
+.PP
+\fB\-S \fR (Falsifica la dirección de origen)
+.RS 4
+Nmap puede que no sea capaz de determinar tu dirección IP en algunas ocasiones (Nmap se lo dirá si pasa)\. En esta situación, puede utilizar la opción
+\fB\-S\fR
+con la dirección IP de la interfaz a través de la cual quieres enviar los paquetes\.
+.sp
+Otro uso alternativo de esta opción es la de falsificar la dirección para que los objetivos del análisis piensen que
+\fIalgún otro\fR
+los está sondeando\. \(r!Imagine una compañía a los que les sondea repetidamente la competencia! Generalmente es necesaria la opción
+\fB\-e\fR
+si lo quiere utilizar así, y también sería recomendable la opción
+\fB\-P0\fR\.
+.RE
+.PP
+\fB\-e \fR (Utilizar la interfaz especificada)
+.RS 4
+Indica a Nmap a través de qué interfaz debe enviar y recibir los paquetes\. Nmap debería detectar esto automáticamente, pero se lo dirá si no\.
+.RE
+.PP
+\fB\-\-source\-port ;\fR \fB\-g \fR (Falsificar el puerto de origen)
+.RS 4
+Un error de configuración sorprendentemente común es confiar en el tráfico basándose únicamente en el número de puerto origen\. Es fácil entender por qué pasa esto\. Un administrador que está configurando su nuevo y flamante cortafuegos, recibe de repente quejas de todos sus usuarios desagradecidos que le dicen que sus aplicaciones han dejado de funcionar\. En particular, puede romperse el DNS porque las respuestas UDP de DNS de servidores externos ya no pueden entrar en la red\. Otro ejemplo habitual es el caso del FTP\. En una transferencia activa de FTP, el servidor remoto intenta establecer una conexión de vuelta con el cliente para transferir el archivo solicitado\.
+.sp
+Existen soluciones seguras para estos problemas, como las pasarelas en el nivel de aplicación o los módulos de cortafuegos que realizan un análisis del protocolo\. Desgraciadamente, también hay soluciones más fáciles y menos seguras\. Al darse cuenta que las respuestas de DNS vienen del puerto 53 y que las conexiones activas de FTP vienen del puerto 20, muchos administradores caen en la trampa de configurar su sistema de filtrado para permitir el tráfico entrante desde estos puertos\. Generalmente asumen que ningún atacante se dará cuenta de estos agujeros en el cortafuegos ni los aprovechará\. En otros casos, los administradores consideran esto una solución a corto plazo hasta que puedan implementar una solución más segura\. Y después se olvidan de hacer la mejora de la seguridad\.
+.sp
+Los administradores de red con mucho trabajo no son los únicos que caen en esta trampa\. Muchos productos se lanzan al mercado con estas reglas inseguras\. Hasta Microsoft lo ha hecho\. Los filtros de IPsec que se preinstalan con Windows 2000 y Windows XP contienen una regla implícita que permite todo el tráfico TCP o UDP desde el puerto 88 (Kerberos)\. Otro caso conocido es el de las versiones de Zone Alarm Firewall Personal que, hasta la versión 2\.1\.25, permitían cualquier paquete entrante UDP desde el puerto 53 (DNS) o 67 (DHCP)\.
+.sp
+Nmap ofrece las opciones
+\fB\-g\fR
+y
+\fB\-\-source\-port\fR
+(son equivalentes) para aprovecharse de estas debilidades\. Simplemente indique el número de puerto y Nmap enviará los paquetes desde ese puerto cuando sea posible\. Nmap debe utilizar distintos números de puerto para ciertos tipos de prueba en la detección de sistema operativo para que funcionen correctamente, y las solicitudes de DNS ignoran la opción
+\fB\-\-source\-port\fR
+porque Nmap depende de las librerías del sistema para hacerlas\. Esta opción se soporta completamente en muchos sondeos TCP, incluyendo el sondeo SYN, al igual que los sondeos UDP\.
+.RE
+.PP
+\fB\-\-data\-length \fR (Añadir datos aleatorios a los paquetes enviados)
+.RS 4
+Normalmente Nmap envía paquetes mínimos que contienen sólo la cabecera\. Así, los paquetes TCP que envía son generalmente de 40 bytes y las solicitudes echo de ICMP son de tan sólo 28\. Esta opción le dice a Nmap que añada el número indicado de bytes aleatorios a la mayoría de los paquetes que envía\. Esta opción no afecta a los paquetes enviados para la detección de sistema operativo (\fB\-O\fR), pero sí a la mayoría de los paquetes de ping y de sondeo de puertos\. Esta opción hace que el sondeo sea un poco más lento, pero también que el sondeo sea un poco más difícil de detectar\.
+.RE
+.PP
+\fB\-\-ttl \fR (Indica el valor del campo tiempo\-de\-vida de la cabecera IP)
+.RS 4
+Establece el campo tiempo\-de\-vida (\(Fotime\-to\-live\(Fc, N\. del T\.) en la cabecera de los paquetes IPv4 al valor especificado\.
+.RE
+.PP
+\fB\-\-randomize\-hosts\fR (Mezclar aleatoriamente la lista de equipos a sondear)
+.RS 4
+Indica a Nmap que debe mezclar aleatoriamente cada grupo de hasta 8096 equipos antes de hacer un sondeo\. Esto puede hacer que el sondeo sea menos obvio para algunos sistemas de monitorización de la red, especialmente cuando se combina con las opciones que ralentizan el sondeo\. Si quiere mezclar aleatoriamente listas más grandes, incremente el valor de la constante PING_GROUP_SZ en
+\fInmap\.h\fR
+y recompile el programa\. Una solución alternativa es generar la lista de sistemas a sondear con un sondeo de lista (\fB\-sL \-n \-oN \fR\fB\fIfichero\fR\fR), ordenarlo aleatoriamente con un script de Perl, y luego darle a Nmap la lista entera con la opción
+\fB\-iL\fR\.
+.RE
+.PP
+\fB\-\-spoof\-mac \fR (Falsifica la dirección MAC)
+.RS 4
+Solicita a Nmap que utilice la MAC dada para todas las tramas de Ethernet enviadas\. Esta opción activa implícitamente la opción
+\fB\-\-send\-eth\fR
+para asegurar que Nmap envía los paquetes del nivel Ethernet\. La MAC dada puede tener varios formatos\. Nmap elegirá una MAC completamente aleatoria para la sesión si se utiliza el valor
+\(lq0\(rq\. Nmap utilizará la MAC indicada si el parámetro es un número par de dígitos hexadecimales (separando opcionalmente cada dos dígitos con dos puntos)\. Nmap rellenará los 6 bytes restantes con valores aleatorios si se dan menos de 12 dígitos hexadecimales\. Si el argumento no es ni 0 ni un conjunto de dígitos hexadecimales, Nmap mirará en
+\fInmap\-mac\-prefixes\fR
+para encontrar un fabricante cuyo nombre coincida con el parámetro utilizado (en esta búsqueda no diferenciará entre mayúsculas y minúsculas)\. Si se encuentra algún fabricante, Nmap utilizará el OUI del fabricante (prefijo de 3 bytes) y rellenará los otros 3 bytes aleatoriamente\. Ejemplos de argumentos
+\fB\-\-spoof\-mac\fR
+son:
+Apple,
+0,
+01:02:03:04:05:06,
+deadbeefcafe,
+0020F2, y
+Cisco\.
+.RE
+.PP
+\fB\-\-badsum\fR (Envía paquetes con sumas de comprobación TCP/UDP erróneas)
+.RS 4
+Esta opción le indica a Nmap que debe generar sumas de comprobación inválidas para los paquetes que se envíen a los equipos objetivos\. Cualquier respuesta que se reciba vendrá de un cortafuegos o un IDS que no comprobó la suma, dado que la mayoría de las pilas IP descartan estos paquetes\. Para obtener más información de esta técnica puede consultar
+\fI\%http://www.phrack.org/phrack/60/p60-0x0c.txt\fR
+.RE
+.SH "SALIDA"
+.PP
+La utilidad de una herramienta de seguridad está limitada por la salida que genera\. De poco sirven pruebas y algoritmos complejos si luego no se presentan de una forma organizada y comprensible\. Dada la cantidad de formas en las que puede utilizarse Nmap, tanto por personas como por otros programas, no es posible complacer a todos con un único formato\. Por ello Nmap ofrece varios formatos, incluyendo el modo interactivo para que los humanos lo lean directamente y un formato XML para que sea interpretado por otros programas\.
+.PP
+Además de ofrecer distintos formatos de salida, Nmap ofrece opciones adicionales para controlar cuanta información de más se muestra en la salida, así como opciones para controlar los mensajes de depuración que se muestran\. Los tipos de salida pueden enviarse a la salida estándar o a algún archivo especificando su nombre\. Nmap puede añadir información al archivo o sobreescribirlo\. Los formatos de salida pueden utilizarse también para retomar un sondeo que se haya interrumpido\.
+.PP
+Nmap puede generar la salida en cinco formatos distintos\. El formato por omisión es el llamado
+salida interactiva, y se envía a la salida estándar (\(Fostdout\(Fc)\. También está la
+salida normal, que es similar a la salida
+interactiva
+salvo que muestra menos información de ejecución y menos advertencias, ya que se espera que se analice una vez que el sondeo haya terminado en lugar de ser analizada interactivamente\.
+.PP
+La salida XML es uno de los formatos de salida más importantes, ya que puede convertirse a HTML, los programas (como la interfaz de usuario de Nmap) pueden interpretarla fácilmente o puede importarse a una base de datos\.
+.PP
+Los dos tipos de salida restantes son la sencilla
+salida para grep
+(o \(Fogrepeable\(Fc) que incluye la mayoría de la información de un sistema analizado en una sola línea, y la
+s4L1d4 sCRiPt KiDDi3
+para usuarios que se consideran a sí mismos |<\-r4d\.
+.PP
+Aunque se utiliza la salida interactiva por omisión y no tiene ninguna opción de la línea de órdenes, los demás formatos utilizan la misma sintaxis\. Toman un solo argumento, que es el archivo donde se guardarán los resultados\. Pueden especificarse múltiples formatos al mismo tiempo, pero sólo puede especificar el mismo formato una vez\. Por ejemplo, puede querer guardar la salida normal para su propia visualización mientras se guarda la información del mismo sondeo en formato XML para realizar un análisis posterior con un programa\. Para hacer ésto debe utilizar las opciones
+\fB\-oX misondeo\.xml \-oN misondeo\.nmap\fR\. Se recomienda utilizar nombres más descriptivos, si bien este capítulo utiliza nombres sencillos como
+misondeo\.xml
+por razones de brevedad\. Los nombres elegidos son una cuestión de preferencia personal\. Yo utilizo nombres largos que incluyen la fecha del análisis y una palabra o dos describiendo el sondeo, dentro de un directorio con el nombre de la empresa que estoy analizando\.
+.PP
+Nmap seguirá imprimiendo la salida interactiva en \(Fostdout\(Fc como lo hace habitualmente aunque se guarden en archivos la salida con estas opciones\. Por ejemplo, la orden
+\fBnmap \-oX misondeo\.xml destino\fR
+imprime XML en
+\fImisondeo\.xml\fR
+y llena la salida estándar con los mismos resultados interactivos que habría impreso si no se hubiese especificado la opción
+\fB\-oX\fR\. Puedes cambiar este comportamiento dando un guión como argumento a una de las opciones de salida\. Esto hace que Nmap desactive la salida interactiva y que imprima en su lugar los resultados en el formato especificado en la salida estándar\. Con lo que la orden
+\fBnmap \-oX \- destino\fR
+enviará únicamente la salida XML a la salida estándar (\(Fostdout\(Fc)\. Los errores graves seguirán presentándose, posiblemente, en la salida normal de error, \(Fostderr\(Fc\.
+.PP
+A diferencia de algunos argumentos de Nmap, es obligatorio separar con un espacio la opción de salida (como
+\fB\-oX\fR) y el nombre del archivo o el guión\. Si los omite y pone el argumento como
+\fB\-oG\-\fR
+o
+\fB\-oXsondeo\.xml\fR, una funcionalidad de compatibilidad con versiones anteriores hará que se cree una
+\fIsalida normal\fR
+en los ficheros llamados
+\fIG\-\fR
+y
+\fIXscan\.xml\fR
+respectivamente\.
+.PP
+Nmap también ofrece opciones para controlar la información extra que se ofrece sobre el sondeo y añadirlo a los archivos de salida en lugar de sobreescribirlos\. Todas estas opciones se describen a continuación\.
+.PP
+\fBFormatos de salida de Nmap\fR
+.PP
+\fB\-oN \fR (Salida normal)
+.RS 4
+Solicita que la
+salida normal
+sea redirigida al archivo especificado\. Como se ha dicho anteriormente, esto difiere un poco de la
+salida interactiva\.
+.RE
+.PP
+\fB\-oX \fR (salida XML)
+.RS 4
+Solicita que la
+salida en XML
+se redirigida al archivo especificado\. Nmap incluye un DTD que pueden utilizar los intérpretes de XML para validar la salida XML\. Aunque está dirigida a que la utilicen programas, también puede ayudar a que una persona interprete la salida de Nmap\. El DTD define los elementos legales del formato, y generalmente enumera los atributos y valores que pueden tener\. La última versión está siempre disponible en
+\fI\%http://www.insecure.org/nmap/data/nmap.dtd\fR\.
+.sp
+XML ofrece un formato estable que es fácilmente interpretado por cualquier programa\. Hay intérpretes libres de XML para los lenguajes de ordenador más importantes, incluyendo C/C++, Perl, Python, y Java\. La gente ha escrito librerías para la mayoría de estos lenguajes que manejan específicamente la salida de Nmap\. Por ejemplo
+\fINmap::Scanner\fR\&[9]
+y
+\fINmap::Parser\fR\&[10]
+en el CPAN de Perl\. XML es el formato preferente en la mayoría de los casos en que una aplicación no trivial quiere utilizar Nmap\.
+.sp
+La salida de XML hace referencia a la hoja de estilo XSL que puede utilizarse para formatear los resultados en HTML\. La forma más fácil de utilizarla es simplemente cargar la salida XML en un navegador web como Firefox o IE\. Por omisión, ésto solo funcionará en el equipo en el que ejecutó Nmap (o uno configurado igual que dicho equipo) ya que la ruta de
+\fInmap\.xsl\fR
+se incluye directamente dentro del archivo\. Puede utilizar la opción
+\fB\-\-webxml\fR
+o
+\fB\-\-stylesheet\fR
+para crear un XML portable que pueda mostrarse como HTML en cualquier ordenador conectado a la web\.
+.RE
+.PP
+\fB\-oS \fR (SaLiDa ScRipT KIdd|3)
+.RS 4
+La salida \(Foscript kiddie\(Fc es como la salida interactiva, excepto que se post\-procesa para que la vean mejor los \(Fol33t HaXXorZ\(Fc a los que antes no les gustaba Nmap por su uso consistente de mayúsculas y minúsculas\. Aquellos que no tengan sentido del humor deberían tomar nota de que esta opción es una broma sobre los \(Foscript kiddies\(Fc antes de criticarme por
+\(lqayudarlos\(rq\.
+.RE
+.PP
+\fB\-oG \fR (Salida \(Fogrepeable\(Fc)
+.RS 4
+Este formato de salida se trata el último porque está obsoleto\. La salida en formato XML es mucho más poderosa, y es igual de conveniente para los usuarios experimentados\. XML es un estándar para el que se dispone de docenas de intérpretes, mientras que la salida para grep es un \(Fohack\(Fc propio\. XML puede extenderse para soportar nuevas funcionalidades de Nmap tan pronto como se liberen, mientras que en general tengo que omitir estas funcionalidades de la salida para grep por no tener un lugar donde ponerlas\.
+.sp
+Sin embargo, la salida para grep es todavía bastante popular\. Es simplemente un formato que lista cada sistema en una línea y que puede ser fácilmente tratado con herramientas estándar de UNIX como grep, awk, cut, sed, diff y Perl\. Incluso yo la utilizo para pruebas rápidas que hago desde la línea de órdenes\. Sólo hace falta un grep para identificar todos los sistemas con el puerto de ssh abierto o que ejecuten Solaris, enviando la salida a través de un conector a awk o cut para mostrar los campos deseados\.
+.sp
+La salida para grep consiste en comentarios (líneas que empiezan por una almohadilla, \(Fo#\(Fc) y líneas de objetivo\. Una línea de objetivo incluye una combinación de seis campos marcados, separados por tabulaciones y seguidos de dos puntos\. Los campos (en inglés) son
+Host
+(Sistema),
+Ports
+(Puertos),
+Protocols
+(Protocolos),
+Ignored State
+(Estado omitido),
+OS
+(Sistema operativo),
+Seq Index
+(índice de secuencia),
+IPID, y
+Status
+(Estado)\.
+.sp
+El campo más importante de todos habitualmente es
+Ports, que es el que da los detalles de cada puerto interesante encontrado\. Consiste en una lista separada por comas de entradas de puerto\. Cada entrada de puerto representa uno de los puertos de interés y se muestra con siete subcampos separados por una barra (\(Fo/\(Fc)\. Los subcampos son:
+Port number
+(Número de puerto),
+State
+(Estado),
+Protocol
+(Protocolo),
+Owner
+(Propietario),
+Service
+(Servicio),
+SunRPC info
+(Información SunRPC), y
+Version info
+(Información de versión)\.
+.sp
+Esta página de manual, al igual que en el caso de la salida XML, no puede incluir la documentación completa de este formato\. Puede encontrar más información detallada de la salida de Nmap para grep en
+\fI\%http://www.unspecific.com/nmap-oG-output\fR\.
+.RE
+.PP
+\fB\-oA \fR (Salida en todos los formatos)
+.RS 4
+Por comodidad, puede especificar la opción
+\fB\-oA \fR\fB\fInombre_base\fR\fR
+para guardar los resultados de los sondeos en
+\fInombre_base\fR\.nmap,
+\fInombre_base\fR\.xml, y
+\fInombre_base\fR\.gnmap, respectivamente\. Al igual que la mayoría de los programas puede poner un prefijo con la ruta del directorio como pudiera ser
+\fI~/registros_nmap/empresa_foo/\fR
+en UNIX o
+\fIc:\ehacking\esco\fR
+en Windows\.
+.RE
+.PP
+\fBOpciones de depuración y de detalle\fR
+.PP
+\fB\-v\fR (Incrementa el nivel de detalle)
+.RS 4
+Hace que Nmap imprima más información sobre el sondeo que está realizando incrementando el nivel de detalle\. Los puertos abiertos se muestran en cuanto se encuentran y se muestra una estimación del tiempo que Nmap espera que dure la tarea de sondeo si piensa que va a durar más de un par de minutos\. Puede utilizarlo dos veces para obtener aún más detalle\. No tiene ningún efecto el utilizarlo más de dos veces\.
+.sp
+La mayoría de los cambios sólo afectan a la salida interactiva, y algunos también afectan a la salida \(Foscript kiddie\(Fc\. Dado que los demás formatos van a ser tratados por programas, Nmap da información detallada en estos formatos por omisión sin fatigar a un usuario humano\. Sin embargo, hay algunos cambios en los otros modos que hacen que el tamaño de la salida resultante se reduzca sustancialmente al omitir información detallada\. Por ejemplo, sólo se imprime una línea de comentario con todos los puertos sondeados en el formato de salida para grep si se activa el modo de detalle, porque puede ser demasiada información\.
+.RE
+.PP
+\fB\-d [level]\fR (Incrementar o fijar el nivel de depuración)
+.RS 4
+Cuando no obtiene suficientes datos ni siquiera con el modo de detalle, \(r!puede utilizar el modo de depuración para inundarse de detalles! Al igual que con la opción de detalle (\fB\-v\fR), puede activar la depuración con una opción en la línea de órdenes (\fB\-d\fR)\. Puede incrementar el nivel de depuración si la especifica múltiples veces\. También puede fijar directamente el nivel de depuración si da un argumento a la opción
+\fB\-d\fR\. Por ejemplo, si utiliza
+\fB\-d9\fR
+se fijaría el nivel de depuración en el nueve\. Ese es el nivel más alto de depuración y provocará que se impriman miles de líneas a no ser que haga sondeos muy sencillos con pocos puertos y objetivos\.
+.sp
+La salida de depuración es útil cuando sospecha que hay un fallo en Nmap o simplemente si está confundido y quiere saber qué hace Nmap y por qué\. Las líneas de depuración no son auto\-explicativas, dado que esta función está dirigida a los desarrolladores\. Puede obtener algo como esto:
+Timeout vals: srtt: \-1 rttvar: \-1 to: 1000000 delta 14987 ==> srtt: 14987 rttvar: 14987 to: 100000\. Su único recurso si no entiende una línea es ignorarla, buscarla en el código fuente, o solicitar ayuda en la lista de desarrolladores (nmap\-dev)\. Algunas líneas sí son auto\-explicativas, pero los mensajes se vuelven más y más extraños a medida que se incrementa el nivel de depuración\.
+.RE
+.PP
+\fB\-\-packet\-trace\fR (Trazar paquetes y datos enviados y recibidos)
+.RS 4
+Esta opción hace que Nmap imprima un resumen de cada paquete que envía o recibe\. Esto se utiliza muchas veces para poder depurar el programa, pero también es útil para los usuarios nuevos que quieren entender exactamente que es lo que hace Nmap bajo el capó\. Puede especificar un número reducido de puertos para evitar que se impriman miles de líneas, como por ejemplo
+\fB\-p20\-30\fR\. Si sólo está interesado en el funcionamiento del subsistema de detección de versiones debe utilizar la opción
+\fB\-\-version\-trace\fR\.
+.RE
+.PP
+\fB\-\-iflist\fR (Listar interfaces y rutas)
+.RS 4
+Imprime la lista de interfaces y las rutas del sistema tal y como las detecta Nmap\. Esta opción es útil para depurar problemas de enrutamiento o caracterizaciones equivocadas del tipo de interfaz (como por ejemplo, cuando Nmap trata una conexión PPP como una interfaz Ethernet)\.
+.RE
+.PP
+\fBOpciones misceláneas de salida\fR
+.PP
+\fB\-\-append\-output\fR (Añadir en lugar de borrar los archivos de salida)
+.RS 4
+El fichero especificado como salida de un formato como pueda ser
+\fB\-oX\fR
+or
+\fB\-oN\fR
+se sobreescribe por omisión\. Si prefiere mantener el contenido existente y añadir los nuevos resultados tendrá que especificar la opción
+\fB\-\-append\-output\fR\. La información obtenida se añadirá a los ficheros especificados en esa ejecución de Nmap en lugar de sobreescribirlos\. Esto no funciona bien para los ficheros de salida XML (\fB\-oX\fR) ya que el fichero resultante no se podrá leer correctamente, por regla general, hasta que lo arregle manualmente\.
+.RE
+.PP
+\fB\-\-resume \fR (Continuar un sondeo detenido)
+.RS 4
+Algunas ejecuciones de Nmap tardan mucho tiempo, del orden de días\. Esos sondeos no siempre se ejecutan hasta el final\. Es posible que haya restricciones que impidan los sondeos de Nmap durante la jornada laboral, se puede caer la red o el sistema donde se está ejecutando Nmap puede sufrir un reinicio esperado o uno no planificado, o incluso es posible que Nmap aborte\. El administrador que está ejecutando Nmap podría cancelarlo también por cualquier otra razón, simplemente pulsando
+ctrl\-C\. En estos casos puede no desearse empezar el sondeo completo desde el principio\. Afortunadamente, si se ha guardado una salida normal (\fB\-oN\fR) o para tratarla con grep (\fB\-oG\fR), el usuarios puede pedir a Nmap que continúe el sondeo con el objetivo en el que estaba trabajando cuando se detuvo la ejecución\. Simplemente se tiene que especificar la opción
+\fB\-\-resume\fR
+y dar un archivo de salida normal o \(Fogrepeable\(Fc como argumento\. No se puede dar ningún otro argumento, ya que Nmap trata el archivo para utilizar las mismas opciones que se especificaron entonces\. Sólo se debe llamar a Nmap con
+\fBnmap \-\-resume \fR\fB\fIarchivo_de_registro\fR\fR\. Nmap añadirá cualquier resultado nuevo a los ficheros de datos especificados en la ejecución previa\. No se soporta la capacidad de reanudar un sondeo con el formato de salida XML porque combinar dos salidas en un sólo fichero XML válido sería difícil\.
+.RE
+.PP
+\fB\-\-stylesheet \fR (Fija la hoja de estilo XSL para transformar la salida XML)
+.RS 4
+Nmap se distribuye conjuntamente con una hoja de estilo XSL llamada
+\fInmap\.xsl\fR
+para poder ver o traducir la salida XML a HTML\. La Salida XML incluye una directiva
+xml\-stylesheet
+que apunta al punto donde está instalado
+\fInmap\.xml\fR
+(o al directorio de trabajo actual en Windows)\. Para mostrar los resultados basta cargar la salida XML en un navegador de web moderno y éste recogerá y utilizará el archivo
+\fInmap\.xsl\fR
+del sistema de ficheros\. Si quiere especificar una hoja de estilo diferente, tiene que especificarla como argumento a la opción
+\fB\-\-stylesheet\fR\. Puede dar una ruta completa o un URL\. Una forma habitual de llamar a esta opción es la siguiente:
+\fB\-\-stylesheet http://www\.insecure\.org/nmap/data/nmap\.xsl\fR\. Esto le dice al navegador que descargue la última versión de la hoja de estilo de Insecure\.Org\. La opción
+\fB\-\-webxml\fR
+hace lo mismo pero con menos teclas y es más fácil de recordar\. Esto facilita la visualización de resultados en un sistema que no tiene Nmap instalado (y que por tanto carece de un archivo
+\fInmap\.xsl\fR)\. Así, la URL es lo más útil, pero se utiliza el sistema de ficheros local para el archivo nmap\.xsl por omisión por razones de privacidad\.
+.RE
+.PP
+\fB\-\-webxml\fR (Carga la hoja de estilo de Insecure\.Org)
+.RS 4
+Esta opción es simplemente un alias para
+\fB\-\-stylesheet http://www\.insecure\.org/nmap/data/nmap\.xsl\fR\.
+.RE
+.PP
+\fB\-\-no_stylesheet\fR (Omite la declaración de hoja de estilo XSL del XML)
+.RS 4
+Puede utilizar esta opción para evitar que Nmap asocie una hoja de estilo XSL a su salida XML\. En este caso, se omite la directiva
+xml\-stylesheet
+de la salida\.
+.RE
+.SH "OPCIONES MISCELáNEAS"
+.PP
+Esta sección describe algunas opciones importantes (y no tan importantes) que no encajan realmente en ningún otro sitio\.
+.PP
+\fB\-6\fR (Activa el sondeo IPv6)
+.RS 4
+Nmap tiene soporte IPv6 para la mayoría de sus funcionalidades más populares desde 2002\. En particular, tiene soporte de: sondeo ping (TCP\-only), sondeo connect() y detección de versiones\. La sintaxis de las órdenes es igual que las habituales salvo que debe especificar la opción
+\fB\-6\fR
+Por supuesto, debe utilizarse la sintaxis IPv6 si se indica una dirección en lugar de un nombre de sistema\. Una dirección IPv6 sería parecida a
+3ffe:7501:4819:2000:210:f3ff:fe03:14d0, por lo que se recomienda utilizar nombres de equipo\. La salida es igual que en los otros casos\. Lo único que distingue que esta opción está habilitada es que se muestran las direcciones IPv6 en la línea que indica los
+\(lqpuertos de interés\(rq\.
+.sp
+Aunque IPv6 no se está utilizando en todo el mundo, sí que se utiliza mucho en algunos países (generalmente asiáticos) y muchos sistemas operativos modernos lo soportan\. Tanto el origen como el objetivo de su sondeo deben estar configurados para utilizar IPv6 si desea utilizar Nmap con IPv6\. Si su ISP (como sucede con la mayoría) no le da direcciones IPv6, puede encontrar gestores de túneles gratuitos en muchos sitios y funciona bien con Nmap\. Uno de los mejores lo gestiona BT Exact en
+\fI\%https://tb.ipv6.btexact.com/\fR\. También he utilizado el que Hurricane Electric ofrece en
+\fI\%http://ipv6tb.he.net/\fR\. Los túneles IPv6 a IPv4 (\(Fo6to4\(Fc) son también otro método muy popular y gratuito \.
+.RE
+.PP
+\fB\-A\fR (Opciones de sondeos agresivos)
+.RS 4
+Esta opción activa algunas opciones avanzadas y agresivas\. Aún no he decidido qué significa exactamente\. Actualmente esto activa la detección de sistema operativo (\fB\-O\fR) y el análisis de versiones (\fB\-sV\fR)\. Aunque se añadirán más opciones en el futuro\. La idea es que esta opción active un conjunto de opciones para evitar que los usuarios de Nmap tengan que recordar un número de opciones muy elevado\. Esta opción sólo activa funcionalidades, no afecta a las opciones de temporización (como
+\fB\-T4\fR) o de depuración (\fB\-v\fR) que quizás desee activar también\.
+.RE
+.PP
+\fB\-\-datadir \fR (Indica la ubicación de un archivo de datos de Nmap)
+.RS 4
+Nmap obtiene algunos datos especiales al ejecutarse de los archivos llamados
+\fInmap\-service\-probes\fR,
+\fInmap\-services\fR,
+\fInmap\-protocols\fR,
+\fInmap\-rpc\fR,
+\fInmap\-mac\-prefixes\fR, y
+\fInmap\-os\-fingerprints\fR\. Nmap buscará primero estos ficheros en el directorio que se especifique con la opción
+\fB\-\-datadir\fR
+(si se indica alguno)\. Los archivos que no se encuentren allí se buscarán en el directorio especificado por la variable de entorno NMAPDIR\. A continuación se buscará en
+\fI~/\.nmap\fR
+tanto para el identificador (UID) real como el efectivo (sólo en sistemas POSIX) o la ubicación del ejecutable de Nmap (sólo sistemas Win32), y también en una ubicación compilada en la aplicación como pudiera ser
+\fI/usr/local/share/nmap\fR
+o
+\fI/usr/share/nmap\fR\. Nmap, por último, buscará en el directorio actual\.
+.RE
+.PP
+\fB\-\-send\-eth\fR (Enviar tramas Ethernet en crudo)
+.RS 4
+Le indica a Nmap que debe enviar paquetes en la capa Ethernet en crudo (enlace de datos) en lugar de en la capa IP (red)\. Por omisión, Nmap elegirá cuál utilizar en función de lo que sea mejor para la plataforma donde esté ejecutándose\. Los sockets crudos (capa IP) son generalmente más eficientes para sistemas UNIX, mientras que las tramas Ethernet son necesarias en sistemas Windows ya que Microsoft deshabilitó el soporte de sockets crudos\. Nmap seguirá utilizando paquetes IP crudos en UNIX, aunque se especifique esta opción, cuando no se pueda hacer de otra forma (como es el caso de conexiones no Ethernet)\.
+.RE
+.PP
+\fB\-\-send\-ip\fR (Enviar al nivel crudo IP)
+.RS 4
+Indica a Nmap que debe enviar utilizando sockets IP crudos en lugar de enviar tramas Ethernet de bajo nivel\. Esta opción es complementaria a la opción
+\fB\-\-send\-eth\fR
+descrita previamente\.
+.RE
+.PP
+\fB\-\-privileged\fR (Asumir que el usuario tiene todos los privilegios)
+.RS 4
+Esta opción le dice a Nmap que simplemente asuma que el usuario con el que se ejecuta tiene suficientes privilegios para trabajar con sockets crudos, capturar paquetes y hacer otras operaciones similares que generalmente sólo puede hacerla en sistemas UNIX el usuario root\. Por omisión, Nmap aborta si se han solicitado esas operaciones pero el resultado de geteuid() no es cero\. La opción
+\fB\-\-privileged\fR
+es útil con las capacidades del núcleo Linux y sistemas similares que pueden configurarse para permitir realizar sondeos con paquetes crudos a los usuarios no privilegiados\. Asegúrese de indicar esta opción antes de cualquier otra opción que pueda requerir de privilegios específicos (sondeo SYN, detección de SO, etc\.)\. Una forma alternativa a
+\fB\-\-privileged\fR
+es fijar la variable de entorno NMAP_PRIVILEGED\.
+.RE
+.PP
+\fB\-\-interactive\fR (Comienza en modo interactivo)
+.RS 4
+Comienza Nmap en modo interactivo\. En este modo, Nmap ofrece un indicador interactivo que facilita el lanzamiento de múltiples sondeos (tanto síncronos como en segundo plano)\. Es útil para aquellas personas que tienen que sondear desde sistemas multi\-usuario, ya que generalmente quieren hacer un análisis de seguridad sin que los demás usuarios sepan exactamente qué sistemas se están analizando\. Puede utilizar la opción
+\fB\-\-interactive\fR
+para activar este modo y después utilizar
+h
+para obtener la ayuda\. Esta opción se utiliza muy poco porque los intérpretes de línea de órdenes habituales son mucho más cómodos y tienen más funciones\. Esta opción incluye un operador de exclamación (\(Fo!\(Fc) para ejecutar órdenes de la shell, que es una de las muchas razones por las que Nmap no se debe instalar con el bit \(Fosetuid\(Fc de root\.
+.RE
+.PP
+\fB\-V\fR; \fB\-\-version\fR (Mostrar el número de versión)
+.RS 4
+Imprime el número de versión de Nmap y aborta\.
+.RE
+.PP
+\fB\-h\fR; \fB\-\-help\fR (Mostrar la página resumen de ayuda)
+.RS 4
+Imprime una pequeña pantalla de ayuda con las opciones de órdenes más habituales\. Pasa lo mismo si ejecuta Nmap sin argumentos\.
+.RE
+.SH "EJECUCIóN INTERACTIVA"
+.PP
+Todas las pulsaciones de teclado se capturan durante la ejecución de Nmap\. Esto le permite interactuar con el programa sin abortarlo ni reiniciarlo\. Algunas teclas especiales cambiarán las opciones mientras que otras teclas imprimirán un mensaje de estado informándole del estado del sondeo\. La convención es que las
+\fIletras en minúsculas incrementan\fR
+la cantidad de información que se imprime, mientras que las
+\fIletras en mayúsculas reducen\fR
+la información impresa\. Tambén puede pulsar \(oq\fI?\fR\(cq para obtener ayuda\.
+.PP
+\fBv\fR / \fBV\fR
+.RS 4
+Incrementa / Reduce el detalle (más / menos verboso)
+.RE
+.PP
+\fBd\fR / \fBD\fR
+.RS 4
+Incrementa / Reduce el nivel de depuración
+.RE
+.PP
+\fBp\fR / \fBP\fR
+.RS 4
+Activa / Desactiva la traza de paquetes
+.RE
+.PP
+\fB?\fR
+.RS 4
+Imprime la pantalla de ayuda de la ejecución interactiva
+.RE
+.PP
+Cualquier otra tecla
+.RS 4
+Imprime un mensaje de estado similar a ésta:
+.sp
+Stats: 0:00:08 elapsed; 111 hosts completed (5 up), 5 undergoing Service Scan
+.sp
+Service scan Timing: About 28\.00% done; ETC: 16:18 (0:00:15 remaining)
+.RE
+.SH "EJEMPLOS"
+.PP
+A continuación se muestran algunos ejemplos de utilización, desde lo más simple y rutinario hasta algo más complejo y esotérico\. Se utilizan algunas direcciones IP y dominios para concretar un poco las cosas\. En su lugar deberías poner las direcciones o nombres de
+\fItu propia red\.\fR\. Mientras que yo no considero que sondear los puertos de otras redes es o debería ser ilegal, algunos administradores de redes no aprecian un sondeo no solicitado de sus redes y pueden quejarse\. Lo mejor es pedir permiso primero\.
+.PP
+A modo de prueba, tienes permiso de sondear el servidor
+scanme\.nmap\.org\. Este permiso sólo incluye sondear mediante Nmap y no para probar "exploits" o ataques de denegación de servicio\. Por favor, para conservar el ancho de banda no inicie más de una docena de sondeos contra este servidor el mismo día\. Si se abusa de este servicio de sondeo se desconectará y Nmap reportará
+Failed to resolve given hostname/IP: scanme\.nmap\.org
+("No se pudo resolver la dirección IP o nombre datos: scanme\.nmap\.org")\. Este permiso también se aplica a los servidores
+analizame2\.nmap\.org,
+analizame3\.nmap\.org, y así sucesivamente, aunque esos servidores actualmente no existen\.
+.PP
+
+\fBnmap \-v scanme\.nmap\.org\fR
+.PP
+Esta opción sondea todos los puertos TCP reservados en el servidor
+scanme\.nmap\.org\. La opción
+\fB\-v\fR
+activa el modo detallado (también llamado verboso)\.
+.PP
+
+\fBnmap \-sS \-O scanme\.nmap\.org/24\fR
+.PP
+Lanza un sondeo de tipo SYN sigiloso contra cada una de las 255 máquinas en la
+\(lqclase C\(rq
+de la red donde está el sistema "analizame"\. También intenta determinar cual es el sistema operativo que se ejecuta en cada máquina que esté encendida\. Esto requiere permisos de root por la opción de sondeo SYN y por la de detección de sistema operativo\.
+.PP
+
+\fBnmap \-sV \-p 22,53,110,143,4564 198\.116\.0\-255\.1\-127\fR
+.PP
+Lanza una enumeración de equipos y un sondeo TCP a cada uno de la primera mitad de las 255 posibles subredes de 8 bit en la red de clase B 198\.116\. Esto probará si los sistemas están ejecutando sshd, DNS, pop3d, imapd o tienen un servidor en el puerto 4564\. Para cualquier puerto que se encuentre abierto, se realizará una detección de versión para determinar qué aplicación se está ejecutando\.
+.PP
+
+\fBnmap \-v \-iR 100000 \-P0 \-p 80\fR
+.PP
+Solicita a Nmap que elija 100\.000 sistemas aleatoriamente y los sondee buscando servidores web (puerto 80)\. La enumeración de sistemas se deshabilita con
+\fB\-P0\fR
+ya que es un desperdicio enviar un par de pruebas para determinar si el sistema debe ser analizado cuando de todas maneras sólo se va a analizar un puerto\.
+.PP
+
+\fBnmap \-P0 \-p80 \-oX logs/pb\-port80scan\.xml \-oG logs/pb\-port80scan\.gnmap 216\.163\.128\.20/20\fR
+.PP
+Esto sondea 4096 IPs para buscar cualquier servidor web (sin enviar sondas ICMP) y guarda la salida en formato para grep y en XML\.
+.SH "FALLOS"
+.PP
+Al igual que su autor, Nmap no es perfecto\. Pero tu puedes ayudar a hacerlo mejor enviando informes de fallo o incluso escribiendo parches\. Si Nmap no se comporta como tú esperas, primero actualiza a la última versión disponible en
+\fI\%http://www.insecure.org/nmap/\fR\. Si el problema persiste, investiga para determinar si la causa ya ha sido descubierta y solucionada\. Busca en Google el mensaje de error o navega en los archivos de Nmap\-dev en
+\fI\%http://seclists.org/\fR\. También deberías leer este manual completo\. Si esto no te ayuda, envía un informe de error en inglés a
+\. Por favor, incluya todo lo que haya visto del problema, así como qué versión de Nmap está utilizando y sobre qué versión del sistema operativo está trabajando\. Hay muchas más probabilidades de que un informe de fallo o una pregunta sobre el uso de Nmap se contesten si se envían a nmap\-dev@insecure\.org que si se envían directamente a Fyodor\.
+.PP
+Es mejor enviar parches para arreglar el código que un informe de error\. Puedes encontrar las instrucciones básicas para crear parches con sus cambios en
+\fI\%http://www.insecure.org/nmap/data/HACKING\fR\. Puede enviar los parches a nmap\-dev (recomendado) o directamente a Fyodor\.
+.SH "AUTOR"
+.PP
+Fyodor
+
+(\fI\%http://www.insecure.org\fR)
+.PP
+Cientos de personas han realizado valiosas contribuciones a Nmap a lo largo de los años\. Sus nombres se detallan en el archivo
+\fICHANGELOG\fR
+que se distribuye conjuntamente con Nmap y que está también disponible en
+\fI\%http://www.insecure.org/nmap/changelog.html\fR\.
+.SH "NOTAS LEGALES"
+.SS "Unofficial Translation Disclaimer / Descargo de traducción no oficial"
+.PP
+This is an unnofficial translation of the
+\fINmap license details\fR\&[11]
+into Spanish\. It was not written by Insecure\.Com LLC, and does not legally state the distribution terms for Nmap \-\- only the original English text does that\. However, we hope that this translation helps Spanish speakers understand the Nmap license better\.
+.PP
+Esta es una traducción no oficial de los
+\fIdetalles de la licencia de Nmap details\fR\&[11]
+al español\. Esta traducción no ha sido escrita por Insecure\.Com LLC por lo que no refleja legalmente los términos de distribución de Nmap, eso sólo puede hacerlo el texto original en inglés\. Esperamos, sin embargo, que esta traducción pueda ayudar a aquellas personas que hablan español a entender mejor la licencia de Nmap\.
+.SS "Licencia y copyright de Nmap"
+.PP
+The Nmap Security Scanner is (C) 1996\-2005 Insecure\.Com LLC\. Nmap is also a registered trademark of Insecure\.Com LLC\. This program is free software; you may redistribute and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; Version 2\. This guarantees your right to use, modify, and redistribute this software under certain conditions\. If you wish to embed Nmap technology into proprietary software, we may be willing to sell alternative licenses (contact
+)\. Many security scanner vendors already license Nmap technology such as host discovery, port scanning, OS detection, and service/version detection\.
+.PP
+\fITraducción no autorizada:\fR
+La herramienta de sondeos de seguridad Nmap es (C) 1996\-2005 Insecure\.Com LLC\. Nmap también es una marca registrada por Insecure\.Com LLC\. Este programa es software libre\. Puede redistribuirlo y/o modificarlo bajo los términos de la Licencia Pública General de GNU según es publicada por la Free Software Foundation, versión 2\. Esto garantiza su derecho a utilizarla, modificarla y redistribuirla bajo ciertas condiciones\. Si desea introducir la tecnología de Nmap en programas propietarios podemos vender licencias alternativas (póngase en contacto con
+)\. Hay muchos fabricantes de herramientas de análisis de seguridad que licencian la tecnología de Nmap como es el descubrimiento de equipos, sondeos de puertos, detección de sistema operativo y detección de servicios y versiones\.
+.PP
+Tenga en cuenta que la GPL impone restricciones importantes en los
+\(lqtrabajos derivados\(rq, pero no ofrece una definición precisa de ese término\. Para evitar malentendidos, a continuación se definen, para los propósitos de esta licencia, las condiciones bajo las que una aplicación constituye un
+\(lqtrabajo derivado\(rq:
+.sp
+.RS 4
+\h'-04'\(bu\h'+03'Integra código fuente de Nmap
+.RE
+.sp
+.RS 4
+\h'-04'\(bu\h'+03'Lee o incluye los ficheros de Nmap que están bajo derechos de copia, eso incluye
+\fInmap\-os\-fingerprints\fR
+o
+\fInmap\-service\-probes\fR\.
+.RE
+.sp
+.RS 4
+\h'-04'\(bu\h'+03'Ejecuta Nmap y analiza los resultados (en contraposición del intérprete de órdenes típico o la ejecución desde un menú, que simplemente muestra la salida de Nmap en crudo y no son, por tanto, trabajos derivados)
+.RE
+.sp
+.RS 4
+\h'-04'\(bu\h'+03'Integra o incluye o agrega Nmap en un instalador ejecutable propietario, como los que produce InstallShield\.
+.RE
+.sp
+.RS 4
+\h'-04'\(bu\h'+03'Enlaza a una librería o ejecuta un programa que hace cualquiera de las cosas descritas anteriormente\.
+.RE
+.PP
+Se debe considerar que el término
+\(lqNmap\(rq
+incluye las porciones o trabajos derivados de Nmap\. Esta lista no es exclusiva, su único objetivo es clarificar la interpretación de trabajos derivados con algunos ejemplos comunes\. Estas restricciones no se aplican cuando redistribuye Nmap\. Por ejemplo, nada le impide escribir y vender una interfaz propietaria a Nmap\. Sólo debe distribuirla de forma separada e indicar a sus usuarios que vayan a
+\fI\%http://www.insecure.org/nmap/\fR
+para obtener Nmap\.
+.PP
+No consideramos que las restricciones sean añadidos a la GPL, sino simplemente una forma de clarificar cómo interpretamos el término
+\(lqtrabajos derivados\(rq
+y su aplicación al producto Nmap licenciado GPL\. Esto es parecido a la interpretación que Linus Torvalds ha dado a
+\(lqtrabajos derivados\(rq
+y su aplicación a los módulos del núcleo de Linux\. Nuestra interpretación sólo aplica a Nmap, no hablamos en nombre de otros productos GPL\.
+.PP
+Estaremos encantados de ayudarle si tiene alguna pregunta de cómo aplican las restricciones de licenciamiento GPL al uso de Nmap en trabajos que no son GPL\. Tal y como se menciona más arriba, ofrecemos licencias alternativas para integrar Nmap en aplicaciones propietarias así como en dispositivos hardware\. Ya se han vendido este tipo de contratos a fabricantes de dispositivos de seguridad y habitualmente incluye una licencia perpetua, al tiempo que se da soporte prioritario y actualizaciones\. Estos contratos financian el desarrollo continuo de la tecnología Nmap\. Por favor, contacte con
+
+si desea más información\.
+.PP
+Insecure\.Com LLC da permiso para enlazar el código de este programa con cualquier librería de OpenSSL que se distribuya bajo una licencia idéntica a la indicada en el fichero Copying\.OpenSSL adjunto, así como a la distribución de la combinación enlazada que incluye a ambos\. Ésta es una excepción especial a los términos de la GPL\. Debe obedecer los demás términos de la GPL de GNU en cualquier otro aspecto en relación al código que utilice que no sea OpenSSL\. Si modifica este fichero puede extender esta excepción a su versión del fichero, aunque no está obligado a hacerlo\.
+.PP
+Si recibe estos ficheros con un acuerdo de licencia por escrito o contrato que indique términos distintos de los que se describen arriba entonces dicha licencia alternativa toma precedencia sobre estos comentarios\.
+.SS "Licencia Creative Commons para esta guía Nmap"
+.PP
+Esta guía de referencia de Nmap Reference Guide es (C) 2005 Insecure\.Com LLC\. Se distribuye bajo la versión 2\.5 de la
+\fILicencia Creative Commons de Reconocimiento\fR\&[2]\. Esta licencia le permite redistribuir y modificar el trabajo como desee siempre que reconozca la fuente original\. Puede, si lo desea, tratar este documento con la misma licencia con la que distribuya Nmap (como se ha discutido previamente)\.
+.SS "Disponibilidad del código fuente y contribuciones de la comunidad"
+.PP
+Se da el código fuente de este programa porque creemos que los usuarios tienen el derecho a saber cómo funciona un programa con exactitud antes de ejecutarlo\. También le permite auditar el programa en búsqueda de agujeros de seguridad (no se ha encontrado ninguno aún)\.
+.PP
+El código fuente le permite migrar Nmap a otras plataformas, arreglar erratas y añadir nuevas funciones\. Le pedimos encarecidamente que envíe sus cambios a
+
+para que puedan incorporarse en la distribución principal\. Al enviar estos cambios a Fyodor o cualquiera de las listas de correo de desarrollo en Insecure\.Org se asume que está ofreciendo a Fyodor y a Insecure\.Com LLC derechos ilimitados y no exclusivos para reutilizar, modificar y relicenciar el código\. Nmap siempre estará disponible como software libre, pero esto es importante porque la incapacidad de relicenciar el código ha dado muchos problemas a otros proyectos de software libre (como es el caso de KDE y NASM)\. También relicenciamos el código de forma ocasional a terceros, como se ha descrito previamente\. Puede especificar condiciones especiales de licencia para sus contribuciones, sólo tiene que indicarlas cuando las envíe\.
+.SS "Sin garantía"
+.PP
+Este programa se distribuye con la esperanza de que sea útil, pero SIN NINGUNA GARANTÍA, incluso sin la garantía MERCANTIL implícita o sin garantizar la CONVENIENCIA PARA UN PROPÓSITO PARTICULAR\. Véase la Licencia Pública General de GNU para más detalles en
+\fI\%http://www.gnu.org/copyleft/gpl.html\fR, o en el fichero COPYING que se incluye con Nmap\.
+.PP
+También debería tener en cuenta que se sabe que Nmap ha provocado en algunas ocasiones que alguna aplicación mal escrita se bloquee, como también ha pasado con pilas TCP/IP e incluso sistemas operativos\. Esto es muy raro, pero es importante tenerlo en mente\.
+\fINunca debería utilizar Nmap contra sistemas de misión crítica\fR
+a no ser que esté preparado para sufrir una caída\. Reconocemos que Nmap puede bloquear sus sistemas o redes y hacemos un descargo de responsabilidad frente a cualquier daño o problemas que Nmap pueda causar\.
+.SS "Uso inapropiado"
+.PP
+Debido al ligero riesgo de que se produzcan caídas porque un
+\fIblack hat\fR
+(persona que ataca sistemas sin autorización, N\. del T\.) utilice Nmap para realizar un análisis antes de atacar algún sistema hay administradores que se molestan y se quejan cuando se sondean sus sistemas\. Así, por regla general es recomendable pedir permiso para hacer cualquier tipo de sondeo, aún uno ligero, de una red\.
+.PP
+Nunca debería instalar Nmap con privilegios especiales (p\. ej\. suid root) por razones de seguridad\.
+.SS "Programas de terceros"
+.PP
+Este producto incluye programas desarrollados por la
+\fIFundación Apache Software Foundation\fR\&[12]\. También se distribuye una versión modificada de la
+\fIlibrería portable de captura de paquetes Libpcap\fR\&[13]
+conjuntamente con nmap\. La versión para Windows de Nmap utiliza la librería
+\fIWinPcap library\fR\&[14]
+que es una versión derivada de la libcap\. La
+\fIlibrería PCRE\fR\&[15], software libre escrito por Philip Hazel, da el soporte de expresiones regulares\. Algunas de las funciones de acceso a bajo nivel de la red utiliza la librería de red
+\fILibdnet\fR\&[16], escrita por Dug Song\. Se distribuye una versión modificada con Nmap\. Nmap puede, opcionalmente, enlazar con las
+\fIherramientas criptográficas OpenSSL\fR\&[17]
+para poder hacer un análisis de versiones SSL\. Todos los programas de terceros descritos en este párrafo se distribuyen libremente bajo licencias tipo BSD\.
+.SS "Clasificación de control de exportación de los EEUU"
+.PP
+Control de exportación de los EEUU: Insecure\.Com LLC cree que Nmap se encuentra dentro del capítulo US ECCN (número de clasificación de control de exportación) 5D992\. Esta categoría se denomina
+\(lqProgramas de seguridad de la información no controlados en 5D002\(rq\. La única restricción a esta clasificación es AT (anti\-terrorismo), que se aplica a casi todos los bienes y deniega la exportación a un número reducido de naciones rebeldes como Irán o Corea del Norte\. Así, la exportación de Nmap no requiere de una licencia especial, permiso o cualquier otra autorización del gobierno\.
+.SH "NOTES"
+.IP " 1." 4
+versión original en inglés
+.RS 4
+\%http://www.insecure.org/nmap/man/
+.RE
+.IP " 2." 4
+Licencia Creative Commons Atribución
+.RS 4
+\%http://creativecommons.org/licenses/by/2.5/
+.RE
+.IP " 3." 4
+Deteccion Remota de SO via Reconocimiento de Pila TCP/IP
+.RS 4
+\%http://www.insecure.org/nmap/nmap-fingerprinting-article-mx.html
+.RE
+.IP " 4." 4
+RFC 1122
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc1122.txt
+.RE
+.IP " 5." 4
+RFC 792
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc792.txt
+.RE
+.IP " 6." 4
+UDP
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc768.txt
+.RE
+.IP " 7." 4
+RFC de TCP
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc793.txt
+.RE
+.IP " 8." 4
+RFC 959
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc959.txt
+.RE
+.IP " 9." 4
+Nmap::Scanner
+.RS 4
+\%http://sourceforge.net/projects/nmap-scanner/
+.RE
+.IP "10." 4
+Nmap::Parser
+.RS 4
+\%http://www.nmapparser.com
+.RE
+.IP "11." 4
+Nmap license details
+.RS 4
+\%http://www.insecure.org/nmap/man/man-legal.html
+.RE
+.IP "12." 4
+Fundación Apache Software Foundation
+.RS 4
+\%http://www.apache.org
+.RE
+.IP "13." 4
+librería portable de captura de paquetes Libpcap
+.RS 4
+\%http://www.tcpdump.org
+.RE
+.IP "14." 4
+WinPcap library
+.RS 4
+\%http://www.winpcap.org
+.RE
+.IP "15." 4
+librería PCRE
+.RS 4
+\%http://www.pcre.org
+.RE
+.IP "16." 4
+Libdnet
+.RS 4
+\%http://libdnet.sourceforge.net
+.RE
+.IP "17." 4
+herramientas criptográficas OpenSSL
+.RS 4
+\%http://www.openssl.org
+.RE
diff --git a/docs/nmap-fr.1 b/docs/nmap-fr.1
new file mode 100644
index 000000000..326828fd6
--- /dev/null
+++ b/docs/nmap-fr.1
@@ -0,0 +1,2022 @@
+.\" Title: nmap
+.\" Author:
+.\" Generator: DocBook XSL Stylesheets v1.73.2
+et 4N9e Gutek
+<4n9e@futurezone\.biz>\. Elle a été relue et corrigée par Ghislaine Landry
+\. Ce travail peut être modifié et redistribué selon les termes de la license
+\fICreative Commons Attribution License\fR\&[2]\.
+.PP
+Mise a jour au 19 dec 2007\.
+.SH "RéSUMé DES OPTIONS"
+.PP
+Ce résumé des options est affiché quand Nmap est exécuté sans aucun argument; la plus récente version est toujours disponible sur
+\fI\%http://www.insecure.org/nmap/data/nmap.usage.txt\fR
+\. Il sert d\'aide\-mémoire des options les plus fréquemment utilisées, mais ne remplace pas la documentation bien plus détaillée de la suite de ce manuel\. Les options obscures n\'y sont pas incluses\.
+.PP
+
+.sp
+.RS 4
+.nf
+Nmap 4\.50 (insecure\.org)
+Utilisation: nmap [Type(s) de scan] [Options] {spécifications des cibles}
+
+SPÉCIFICATIONS DES CIBLES:
+Les cibles peuvent être spécifiées par des noms d\'hôtes, des adresses IP, des adresses de réseaux, etc\.
+Exemple: scanme\.nmap\.org, microsoft\.com/24, 192\.168\.0\.1; 10\.0\-255\.0\-255\.1\-254
+\-iL : Lit la liste des hôtes/réseaux cibles à partir du fichier
+\-iR : Choisit les cibles au hasard
+\-\-exclude : Exclut des hôtes/réseaux du scan
+\-\-excludefile : Exclut des hôtes/réseaux des cibles à partir du fichier
+
+DÉCOUVERTE DES HÔTES:
+\-sL: List Scan \- Liste simplement les cibles à scanner
+\-sP: Ping Scan \- Ne fait que déterminer si les hôtes sont en ligne \-P0: Considère que tous les hôtes sont en ligne \-\- évite la découverte des hôtes
+\-PN: Considérer tous les hôtes comme étant connectés \-\- saute l\'étape de découverte des hôtes
+\-PS/PA/PU [portlist]: Découverte TCP SYN/ACK ou UDP des ports en paramètre
+\-PE/PP/PM: Découverte de type requête ICMP echo, timestamp ou netmask
+\-PO [num de protocole]: Ping IP (par type)
+\-n/\-R: Ne jamais résoudre les noms DNS/Toujours résoudre [résout les cibles actives par défaut]
+\-\-dns\-servers : Spécifier des serveurs DNS particuliers
+
+TECHNIQUES DE SCAN:
+\-sS/sT/sA/sW/sM: Scans TCP SYN/Connect()/ACK/Window/Maimon
+\-sN/sF/sX: Scans TCP Null, FIN et Xmas
+\-sU: Scan UDP
+\-\-scanflags : Personnalise les flags des scans TCP
+\-sI : Idlescan (scan passif)
+\-sO: Scan des protocoles supportés par la couche IP
+\-b : Scan par rebond FTP
+\-\-traceroute: Détermine une route vers chaque hôte
+\-\-reason: Donne la raison pour laquelle tel port apparait à tel état
+
+SPÉCIFICATIONS DES PORTS ET ORDRE DE SCAN:
+\-p : Ne scanne que les ports spécifiés
+Exemple: \-p22; \-p1\-65535; \-pU:53,111,137,T:21\-25,80,139,8080
+\-F: Fast \- Ne scanne que les ports listés dans le fichier nmap\-services
+\-r: Scan séquentiel des ports, ne mélange pas leur ordre
+\-\-top\-ports : Scan de ports parmis les plus courants
+\-\-port\-ratio : Scan pourcent des ports les plus courants
+
+DÉTECTION DE SERVICE/VERSION:
+\-sV: Teste les ports ouverts pour déterminer le service en écoute et sa version
+\-\-version\-light: Limite les tests aux plus probables pour une identification plus rapide
+\-\-version\-intensity : De 0 (léger) à 9 (tout essayer)
+\-\-version\-all: Essaie un à un tous les tests possibles pour la détection des versions
+\-\-version\-trace: Affiche des informations détaillées du scan de versions (pour débogage)
+
+SCRIPT SCAN:
+\-sC: équivalent de \-\-script=safe,intrusive
+\-\-script=: est une liste de répertoires ou de scripts séparés par des virgules
+\-\-script\-args=: passer des arguments aux scripts
+\-\-script\-trace: Montre toutes les données envoyées ou recues
+\-\-script\-updatedb: Met à jour la base de données des scripts\. Seulement fait si \-sC ou \-\-script a été aussi donné\.
+
+DÉTECTION DE SYSTÈME D\'EXPLOITATION:
+\-O: Active la détection d\'OS
+\-\-osscan\-limit: Limite la détection aux cibles prométeuses \-\-osscan\-guess: Détecte l\'OS de façon plus agressive
+\-\-osscan\-guess: Devine l\'OS de facon plus agressive
+
+TEMPORISATION ET PERFORMANCE:
+Les options qui prennent un argument de temps sont en milisecondes a moins que vous ne spécifiiez \'s\'
+(secondes), \'m\' (minutes), ou \'h\' (heures) à la valeur (e\.g\. 30m)\.
+
+\-T[0\-5]: Choisit une politique de temporisation (plus élevée, plus rapide)
+\-\-min\-hostgroup/max\-hostgroup : Tailles des groupes d\'hôtes à scanner en parallèle
+\-\-min\-parallelism/max\-parallelism : Parallélisation des paquets de tests (probes) \-\-min_rtt_timeout/max\-rtt\-timeout/initial\-rtt\-timeout : Spécifie le temps d\'aller\-retour des paquets de tests
+\-\-min_rtt_timeout/max\-rtt\-timeout/initial\-rtt\-timeout : Spécifie le temps d\'aller\-retour des paquets de tests
+\-\-min\-rtt\-timeout/max\-rtt\-timeout/initial\-rtt\-timeout : Précise
+le round trip time des paquets de tests\.
+\-\-max\-retries : Nombre de retransmissions des paquets de tests des scans de ports\.
+\-\-host\-timeout : Délai d\'expiration du scan d\'un hôte \-\-scan\-delay/\-\-max_scan\-delay : Ajuste le délai de retransmission entre deux paquets de tests
+\-\-scan\-delay/\-\-max\-scan\-delay : Ajuste le delais entre les paquets de tests\.
+
+ÉVASION PARE\-FEU/IDS ET USURPATION D\'IDENTITÉ
+\-f; \-\-mtu : Fragmente les paquets (en spécifiant éventuellement la MTU)
+\-D : Obscurci le scan avec des leurres
+\-S : Usurpe l\'adresse source
+\-e : Utilise l\'interface réseau spécifiée
+\-g/\-\-source\-port : Utilise le numéro de port comme source
+\-\-data\-length : Ajoute des données au hasard aux paquets émis
+\-\-ip\-options : Envoi des paquets avec les options IP spécifiées\.
+\-\-ttl : Spécifie le champ time\-to\-live IP
+\-\-spoof\-mac : Usurpe une adresse MAC
+\-\-badsum: Envoi des paquets TCP/UDP avec une somme de controle erronnée\.
+
+SORTIE:
+\-oN/\-oX/\-oS/\-oG : Sortie dans le fichier en paramètre des résultats du scan au format normal, XML, s|: Sortie dans les trois formats majeurs en même temps
+\-v: Rend Nmap plus verbeux (\-vv pour plus d\'effet)
+\-d[level]: Sélectionne ou augmente le niveau de débogage (significatif jusqu\'à 9)
+\-\-packet\-trace: Affiche tous les paquets émis et reçus
+\-\-iflist: Affiche les interfaces et les routes de l\'hôte (pour débogage)
+\-\-log\-errors: Journalise les erreurs/alertes dans un fichier au format normal
+\-\-append\-output: Ajoute la sortie au fichier plutôt que de l\'écraser
+\-\-resume : Reprend un scan interrompu
+\-\-stylesheet : Feuille de styles XSL pour transformer la sortie XML en HTML
+\-\-webxml: Feuille de styles de références de Insecure\.Org pour un XML plus portable
+\-\-no_stylesheet: Nmap n\'associe pas la feuille de styles XSL à la sortie XML
+
+DIVERS:
+\-6: Active le scan IPv6
+\-A: Active la détection du système d\'exploitation et des versions
+\-\-datadir : Spécifie un dossier pour les fichiers de données de Nmap
+\-\-send\-eth/\-\-send\-ip: Envoie des paquets en utilisant des trames Ethernet ou des paquets IP bruts
+\-\-privileged: Suppose que l\'utilisateur est entièrement privilégié \-V: Affiche le numéro de version
+\-\-unprivileged: Suppose que l\'utilisateur n\'a pas les privilèges d\'usage des raw socket
+\-h: Affiche ce résumé de l\'aide
+
+EXEMPLES:
+nmap \-v \-A scanme\.nmap\.org
+nmap \-v \-sP 192\.168\.0\.0/16 10\.0\.0\.0/8
+nmap \-v \-iR 10000 \-P0 \-p 80
+
+.fi
+.RE
+.sp
+.SH "SPéCIFICATION DES CIBLES"
+.PP
+Tout ce qui n\'est pas une option (ou l\'argument d\'une option) dans la ligne de commande de Nmap est considéré comme une spécification d\'hôte cible\. Le cas le plus simple est de spécifier une adresse IP cible ou un nom d\'hôte à scanner\.
+.PP
+\ Si vous désirez scanner un réseau entier d\'hôtes consécutifs, Nmap supporte l\'adressage du style CIDR\. Vous pouvez ajouter /
+\fInumbits\fR
+à une adresse IP ou à un nom d\'hôte de référence et Nmap scannera toutes les adresses IP dont les
+\fInumbits\fR
+bits de poids fort sont les mêmes que la cible de référence\. Par exemple, 192\.168\.10\.0/24 scannerait les 256 hôtes entre 192\.168\.10\.0 (en binaire:
+11000000 10101000 00001010 00000000) et 192\.168\.10\.255 (en binaire:11000000 10101000 00001010 11111111) inclusivement\. 192\.168\.10\.40/24 ferait donc aussi la même chose\. Étant donné que l\'hôte scanme\.nmap\.org est à l\'adresse IP 205\.217\.153\.62, scanme\.nmap\.org/16 scannerait les 65 536 adresses IP entre 205\.217\.0\.0 et 205\.217\.255\.255\. La plus petite valeur autorisée est /1 qui scanne la moitié d\'Internet\. La plus grande valeur autorisée est 32, ainsi Nmap ne scanne que la cible de référence car tous les bits de l\'adresse sont fixés\.
+.PP
+La notation CIDR est concise mais pas toujours des plus pratiques\. Par exemple, vous voudriez scanner 192\.168\.0\.0/16 mais éviter toutes les adresses se terminant par \.0 ou \.255 car se sont souvent des adresses de diffusion (broadcast)\. Nmap permet de le faire grâce à l\'adressage par intervalles\. Plutôt que de spécifier une adresse IP normale, vous pouvez spécifier pour chaque octet de l\'IP une liste d\'intervalles séparés par des virgules\. Par exemple, 192\.168\.0\-255\.1\-254 évitera toutes les adresses se terminant par \.0 ou \.255\. Les intervalles ne sont pas limités aux octets finals: 0\-255\.0\-255\.13\.37 exécutera un scan de toutes les adresses IP se terminant par 137\.37\. Ce genre de spécifications peut s\'avérer utile pour des statistiques sur Internet ou pour les chercheurs\.
+.PP
+Les adresses IPv6 ne peuvent être spécifiées que par une adresse IPv6 pleinement qualifiée ou un nom d\'hôte\. L\'adressage CIDR ou par intervalles n\'est pas géré avec IPv6 car les adresses ne sont que rarement utiles\.
+.PP
+Nmap accepte les spécifications de plusieurs hôtes à la ligne de commande, sans qu\'elles soient nécessairement de même type\. La commande
+\fBnmap scanme\.nmap\.org 192\.168\.0\.0/8 10\.0\.0,1,3\-7\.0\-255\fR
+fait donc ce à quoi vous vous attendez\.
+.PP
+Même si les cibles sont souvent spécifiées dans les lignes de commandes, les options suivantes sont également disponibles pour sélectionner des cibles :
+.PP
+\fB\-iL \fR(Lit la liste des hôtes/réseaux cibles depuis le fichier)
+.RS 4
+Lit les spécifications des cibles depuis le fichier
+\fIinputfilename\fR\. Il est souvent maladroit de passer une longue liste d\'hôtes à la ligne de commande\. Par exemple, votre serveur DHCP pourrait fournir une liste de 10 000 baux que vous souhaiteriez scanner\. Ou alors voudriez scanner toutes les adresses IP
+\fIsauf\fR
+celles des baux DHCP pour identifier les hôtes qui utilisent des adresses IP statiques non\-autorisées\. Générez simplement la liste des hôtes à scanner et passez ce fichier comme argument de l\'option
+\fB\-iL\fR\. Les entrées peuvent être spécifiées dans n\'importe quel des formats acceptés par la ligne de commande de Nmap (adresses IP, noms d\'hôtes, CIDR, IPv6 ou par intervalles)\. Les entrées doivent être séparées par un ou plusieurs espaces, tabulations ou retours chariot\. Vous pouvez utiliser un tiret (\-) comme nom de fichier si vous souhaitez que Nmap lise les hôtes depuis l\'entrée standard\.
+.RE
+.PP
+\fB\-iR \fR(Choisit des cibles au hasard)
+.RS 4
+Pour des études à l\'échelle d\'Internet ou autres, vous pourriez désirer de choisir vos cibles au hasard\. L\'argument\
+\fInum hosts\fR
+indique à Nmap combien d\'IPs il doit générer\. Les IPs à éviter, comme les plages d\'adresses privées, multicast ou non allouées sont automatiquement évitées\. On peut aussi utiliser l\'argument
+0
+pour effectuer un scan sans fin\. Rappelez\-vous bien que certains administrateurs de réseau s\'irritent lorsqu\'on scanne leur réseau sans permission et peuvent porter plainte\. Utilisez cette option à vos risques et périls! Un jour de pluie où vous ne savez pas quoi faire, essayez la commande
+\fBnmap \-sS \-PS80 \-iR 0 \-p 80\fR
+pour trouver des serveurs Web au hasard sur lesquels fureter\.
+.RE
+.PP
+\fB\-\-exclude \fR (Exclut des hôtes/des réseaux des cibles)
+.RS 4
+Spécifie une liste de cibles séparées par des virgules à exclure du scan, même si elles font partie de la plage réseau que vous avez spécifiée\. La liste que vous donnez en entrée utilise la syntaxe Nmap habituelle, elle peut donc inclure des noms d\'hôtes, des blocs CIDR, des intervalles, etc\. Ceci peut être utile quand le réseau que vous voulez scanner comprend des serveurs à haute disponibilité, des systèmes reconnus pour réagir défavorablement aux scans de ports ou des sous\-réseaux administrés par d\'autres personnes\.
+.RE
+.PP
+\fB\-\-excludefile \fR (Exclut des hôtes/des réseaux des cibles depuis le fichier)
+.RS 4
+Cette option offre les mêmes fonctionnalités que l\'option
+\fB\-\-exclude\fR, à la différence qu\'ici les cibles à exclure sont spécifiées dans le fichier
+\fIexclude_file\fR
+au lieu de la ligne de commande\. Les cibles sont séparées entre elles dans le fichier par des retours chariot, des espaces ou des tabulations\.
+.RE
+.SH "DéCOUVERTE DES HôTES"
+.PP
+Une des toutes premières étapes dans la reconnaissance d\'un réseau est de réduire un ensemble (quelques fois énorme) de plages d\'IP à une liste d\'hôtes actifs ou intéressants\. Scanner tous les ports de chacune des IP est lent et souvent inutile\. Bien sûr, ce qui rend un hôte intéressant dépend grandement du but du scan\. Les administrateurs de réseau peuvent être uniquement intéressés par les hôtes où un certain service est actif tandis que les auditeurs de sécurité peuvent s\'intéresser à tout équipement qui dispose d\'une adresse IP\. Alors que l\'administrateur se satisferait d\'un ping ICMP pour repérer les hôtes de son réseau, l\'auditeur pourrait utiliser un ensemble varié de douzaines de paquets de tests (probes) dans le but de contourner les restrictions des pare\-feux\.
+.PP
+Parce que les besoins de découverte des hôtes sont si différents, Nmap propose une grande panoplie d\'options pour individualiser les techniques utilisées\. La découverte d\'hôte est souvent appelée \(Fo scan ping \(Fc (ping scan), mais celle\-ci va bien au delà d\'une simple requête echo ICMP associée à l\'incontournable outil
+ping\. Les utilisateurs peuvent entièrement éviter l\'étape scan ping en listant simplement les cibles (\fB\-sL\fR), en désactivant le scan ping(\fB\-P0\fR) ou alors en découvrant le réseau avec des combinaisons de tests TCP SYN/ACK, UDP et ICMP\. Le but de ces tests est de solliciter une réponse des cibles qui prouvera qu\'une adresse IP est effectivement active (utilisée par un hôte ou un équipement réseau)\. Sur de nombreux réseaux, seul un petit pourcentage des adresses IP sont actives à un moment donné\. Ceci est particulièrement courant avec les plages d\'adresses privées (définies par la sainte RFC 1918) comme 10\.0\.0\.0/8\. Ce réseau comprend 16 millions d\'IPs, mais il s\'est déjà vu utilisé par des entreprises disposant de moins d\'un millier de machines\. La découverte des hôtes permet de trouver ces machines dans l\'immensité de cet océan d\'adresses IP\.
+.PP
+Lorsqu\'aucune option de découverte n\'est spécifiée, Nmap envoie un paquet TCP ACK sur le port 80 ainsi qu\'une requête d\'echo ICMP à chaque machine cible\. Une exception à cette règle est qu\'un scan ARP est utilisé pour chaque cible du réseau Ethernet local\. Pour les utilisateurs UNIX non\-privilégiés, un paquet SYN est utilisé à la place du ACK en utilisant l\'appel système\
+\fBconnect()\fR\. Ces options par défaut sont équivalentes à la combinaison d\'option
+\fB\-PA \-PE\fR\. Cette méthode de découverte des hôtes est souvent suffisante lors de scans de réseaux locaux, mais un ensemble plus complet de tests de découverte est recommandé pour les audits de sécurité\.
+.PP
+Les options suivantes contrôlent la découverte des hôtes\.
+.PP
+\fB\-sL\fR (Liste simplement)
+.RS 4
+Cette forme dégénérée de découverte d\'hôtes liste simplement chaque hôte du(des) réseau(x) spécifié(s), sans envoyer aucun paquet aux cibles\. Par défaut, Nmap utilise toujours la résolution DNS inverse des hôtes pour connaître leurs noms\. Il est souvent étonnant de constater combien ces simples informations peuvent être utiles\. Par exemple,
+fw\.chi\.playboy\.com
+est le pare\-feu du bureau de Chicago de Playboy Enterprises\. Nmap rend également compte du nombre total d\'adresses IP à la fin de son rapport\. Cette simple liste est un bon test pour vous assurer que vos adresses IP cibles sont les bonnes\. Si jamais ces noms de domaines ne vous disent rien, il vaudrait mieux s\'arrêter là afin d\'éviter de scanner le réseau de la mauvaise entreprise\.
+.sp
+Comme l\'idée est de simplement afficher une liste des cibles, les options de fonctionnalités plus haut niveau comme le scan de ports, la détection du système d\'exploitation ou la découverte des hôtes ne peuvent pas être combinées avec la liste simple\. Si vous voulez juste désactiver la découverte des hôtes mais quand même effectuer des opérations de plus haut niveau, lisez sur l\'option
+\fB\-P0\fR\.
+.RE
+.PP
+\fB\-sP\fR(Scan ping)
+.RS 4
+Cette option indique à Nmap de n\'effectuer
+\fIque\fR
+le scan ping (la découverte des hôtes), puis d\'afficher la liste des hôtes disponibles qui ont répondu au scan\. Aucun autre test (comme le scan des ports ou la détection d\'OS) n\'est effectué\. Ce scan est légèrement plus intrusif que la simple liste, et peut souvent être utilisé dans le même but\. Il permet un survol d\'un réseau cible sans trop attirer l\'attention\. Savoir combien d\'hôtes sont actifs est plus précieux pour un attaquant que la simple liste de chaque IP avec son nom d\'hôte\.
+.sp
+Les gestionnaires des systèmes apprécient également cette option\. Elle peut facilement être utilisée pour compter le nombre de machines disponibles sur un réseau ou pour contrôler la disponibilité d\'un serveur\. Cette option est souvent appelée \(Fo balayage ping \(Fc (ping sweep)\. Elle est plus fiable que sonder par ping l\'adresse de diffusion (broadcast) car beaucoup d\'hôtes ne répondent pas à ces requêtes\.
+.sp
+L\'option
+\fB\-sP\fR
+envoie une requête d\'echo ICMP et un paquet TCP sur le port par défaut (80)\. Lorsqu\'exécutée par un utilisateur non\-privilégié, un paquet SYN est envoyé (en utilisant l\'appel système
+\fBconnect()\fR) sur le port 80 de la cible\. Lorsqu\'un utilisateur privilégié essaie de scanner des cibles sur un réseau local Ethernet, des requêtes ARP (\fB\-PR\fR) sont utilisées à moins que l\'option
+\fB\-\-send\-ip\fRsoit spécifiée\. L\'option
+\fB\-sP\fR
+peut être combinée avec chacun des tests de découverte des hôtes (les options
+\fB\-P*\fR, sauf
+\fB\-P0\fR) pour une plus grand flexibilité\. Dès qu\'un test de ce type est utilisé avec un numéro de port, il est prépondérante sur les tests par défaut (ACK et requête echo)\. Quand des pare\-feux restrictifs sont présents entre la machine exécutant Nmap et le réseau cible, il est recommandé d\'utiliser ces techniques avancées\. Sinon des hôtes peuvent être oubliés quand le pare\-feu rejète les paquets ou leurs réponses\.
+.RE
+.PP
+\fB\-PN\fR (Pas de scan ping)
+.RS 4
+Cette option évite complètement l\'étape de découverte des hôtes de Nmap\. En temps normal, Nmap utilise cette étape pour déterminer quelles sont les machines actives pour effectuer un scan approfondi\. Par défaut, Nmap n\'examine en profondeur, avec le scan des ports ou la détection de version, que les machines qui sont actives\. Désactiver la détection des hôtes avec l\'option
+\fB\-P0\fRconduit Nmap à effectuer les scans demandés sur
+\fItoutes\fR
+les adresses IP cibles spécifiées\. Ainsi, si une adresse IP de classe B (/16) est spécifiée à la ligne de commande, toutes les 65 536 adresses IP seront scannées\. Le deuxième caractère dans l\'option
+\fB\-P0\fR
+est bien un zéro et non pas la lettre O\. La découverte des hôtes est évitée comme avec la liste simple, mais au lieu de s\'arrêter et d\'afficher la liste des cibles, Nmap continue et effectue les fonctions demandées comme si chaque adresse IP était active\. Pour les machines sur un reseau local en ethernet, un scan ARP scan sera quand même effectué (à moins que \-\-send\-ip ne soit spécifié) parceque Nmap a besoin de l\'adresse MAC pour les scans ulterieurs\. Cette option s\'appelait P0 (avec un zéro) auparavant, mais a été renommée afin d\'éviter la confusion avec le Ping par protocoles PO (lettre O)\.
+.RE
+.PP
+\fB\-PS [portlist]\fR(Ping TCP SYN)
+.RS 4
+Cette option envoie un paquet TCP vide avec le drapeau (flag) SYN activé\. La destination par défaut de ce paquet est le port 80 (configurable à la compilation en changeant la définition DEFAULT_TCP_PROBE_PORT dans
+\fInmap\.h\fR\ ), mais un autre port peut être spécifié en paramètre (ex\.:\
+\fB\-PS22,23,25,80,113,1050,35000\fR), auquel cas les paquets de tests (probes) seront envoyés en parallèle sur chaque port cible\.
+.sp
+Le drapeau SYN fait croire que vous voulez établir une connexion sur le système distant\. Si le port de destination est fermé, un paquet RST (reset) est renvoyé\. Si le port s\'avère être ouvert, la cible va entamer la seconde étape de l\'établissement de connexion TCP en 3 temps (TCP 3\-way\-handshake) en répondant par un paquet TCP SYN/ACK\. La machine exécutant Nmap avortera alors la connexion en cours d\'établissement en répondant avec un paquet RST au lieu d\'un paquet ACK qui finaliserait normalement l\'établissement de la connexion\. Le paquet RST est envoyé par le noyau (kernel) de la machine exécutant Nmap en réponse au paquet SYN/ACK inattendu; ce n\'est pas Nmap lui\-même qui l\'émet\.
+.sp
+Nmap ne tient pas compte si le port est réellement ouvert ou fermé\. Les paquets RST ou SYN/ACK évoqués précédemment indiquent tout deux que l\'hôte est disponible et réceptif\.
+.sp
+Sur les systèmes UNIX, seuls les utilisateurs privilégiés
+root
+sont généralement capables d\'envoyer et de recevoir des paquets TCP bruts (raw packets)\. Pour les utilisateurs non\-privilégiés, Nmap contourne cette restriction avec l\'appel système connect() utilisé sur chaque port de la cible\. Ceci revient à envoyer un paquet SYN sur l\'hôte cible pour établir une connexion\. Si connect() réussi ou échoue avec ECONNREFUSED, la pile TCP/IP sous\-jacente doit avoir reçu soit un SYN/ACK soit un RST et l\'hôte est alors considéré comme étant actif\. Si la tentative de connexion est toujours en cours jusqu\'à l\'expiration du délai d\'établissement, l\'hôte est considéré comme étant inactif\. Cette technique est aussi utilisée pour les connexions IPv6, du fait que les paquets bruts IPv6 ne sont pas encore supportés par Nmap\.
+.RE
+.PP
+\fB\-PA [portlist]\fR(Ping TCP ACK)
+.RS 4
+Le ping TCP ACK ressemble fortement aux tests SYN précédemment évoqués\. À la différence que, comme on l\'imagine bien, le drapeau TCP ACK est utilisé à la place du drapeau SYN\. Un tel paquet ACK acquitte normalement la réception de données dans une connexion TCP précédemment établie, or ici cette connexion n\'existe pas\. Ainsi, l\'hôte distant devrait systématiquement répondre par un paquet RST qui trahirait son existence\.
+.sp
+L\'option
+\fB\-PA\fR
+utilise le même port par défaut que le test SYN (80), mais peut aussi prendre une liste de ports de destination dans le même format\. Si un utilisateur non\-privilégié essaie cette option, ou si une cible IPv6 est spécifiée, la technique connect() précédemment évoquée est utilisée\. Cette technique est imparfaite car connect() envoie un paquet SYN et pas un ACK\.
+.sp
+La raison pour laquelle Nmap offre à la fois les tests SYN et ACK est de maximiser les chances de contourner les pare\-feux\. De nombreux administrateurs configurent leurs routeurs et leurs pare\-feux pour bloquer les paquets entrants SYN sauf ceux destinés aux services publics comme les sites Web de l\'entreprise ou le serveur de messagerie\. Ceci empêche les autres connexions entrantes dans l\'organisation, tout en permettant un accès complet en sortie à l\'Internet\. Cette approche sans état de connexion est peu consommatrice des ressources des pare\-feux/routeurs et est largement supportée dans les dispositifs de filtrage matériels ou logiciels\. Le pare\-feu logiciel Linux Netfilter/iptables par exemple propose l\'option
+\fB\-\-syn\fR
+qui implante cette approche sans état (stateless)\. Quand de telles règles de pare\-feu sont mises en place, les paquets de tests SYN (
+\fB\-PS\fR) seront certainement bloqués lorsqu\'envoyés sur des ports fermés\. Dans ces cas là, les tests ACK contournent ces règles, prenant ainsi toute leur saveur\.
+.sp
+Un autre type courant de pare\-feux utilise des règles avec état de connexion (statefull) qui jettent les paquets inattendus\. Cette fonctionnalité était à la base fréquente sur les pare\-feux haut\-de\-gamme, mais elle s\'est répandue avec le temps\. Le pare\-feu Linux Netfilter/iptables supporte ce mécanisme grâce à l\'option
+\fB\-\-state\fR
+qui catégorise les paquets selon les états de connexion\. Un test SYN marchera certainement mieux contre ces systèmes, car les paquets ACK sont généralement considérés comme inattendus ou bogués et rejetés\. Une solution à ce dilemme est d\'envoyer à la fois des paquets de tests SYN et ACK en utilisant conjointement les options
+\fB\-PS\fR
+et
+\fB\-PA\fR\.
+.RE
+.PP
+\fB\-PU [portlist]\fR(Ping UDP)
+.RS 4
+Une autre option de découverte des hôtes est le ping UDP, qui envoie un paquet UDP vide (à moins que l\'option \
+\fB\-\-data\-length\fR
+ne soit utilisée) aux ports spécifiés\. La liste des ports est écrite dans le même format que les options
+\fB\-PS\fR
+et
+\fB\-PA\fR
+précédemment évoquées\. Si aucun port n\'est spécifié, le port par défaut est le 31338\. Cette valeur par défaut peut être modifiée à la compilation en changeant la définition DEFAULT_UDP_PROBE_PORT dans le fichier
+\fInmap\.h\fR\. Un numéro de port très peu courant est utilisé par défaut, car envoyer des paquets sur un port ouvert n\'est que peu souhaitable pour ce type de scan particulier\.
+.sp
+Lorsqu\'on atteint un port fermé sur la cible, le test UDP s\'attend à recevoir un paquet ICMP \(Fo port unreachable \(Fc en retour\. Ceci indique à Nmap que la machine est active et disponible\. De nombreuses autres erreurs ICMP, comme \(Fo host/network unreachable \(Fc ou \(Fo TTL exceeded \(Fc indiquent un hôte inactif ou inaccessible\. Une absence de réponse est également interprétée de la sorte\. Si un port ouvert est atteint, la majorité des services ignorent simplement ce paquet vide et ne répondent rien\. Ceci est la raison pour laquelle le port par défaut du test est le 31338, qui n\'a que très peu de chances d\'être utilisé\. Très peu de services, comme chargen, répondront à un paquet UDP vide, dévoilant ainsi à Nmap leur présence\.
+.sp
+L\'avantage principal de ce type de scan est qu\'il permet de contourner les pare\-feux et dispositifs de filtrage qui n\'observent que TCP\. Les routeurs sans\-fil Linksys BEFW11S4 par exemple sont de ce type\. L\'interface externe de cet équipement filtre tous les ports TCP par défaut, mais les paquets de tests UDP se voient toujours répondre par des messages ICMP \(Fo port unreachable \(Fc, rendant ainsi l\'équipement désuet\.
+.RE
+.PP
+\fB\-PE\fR; \fB\-PP\fR; \fB\-PM\fR(Types de ping ICMP)
+.RS 4
+En plus des inhabituels types de découverte des hôtes TCP et UDP précédemment évoqués, Nmap peut également envoyer les paquets standard émis par l\'éternel programme
+ping\. Nmap envoie un paquet ICMP type 8 (echo request) aux adresses IP cibles, attendant un type 0 (echo reply) en provenance des hôtes disponibles\. Malheureusement pour les explorateurs de réseaux, de nombreux hôtes et pare\-feux bloquent désormais ces paquets, au lieu d\'y répondre comme indiqué par la
+\fIRFC 1122\fR\&[3]\. Pour cette raison, les scans \(Fo purs ICMP \(Fc sont rarement fiables contre des cibles inconnues d\'Internet\. Cependant, pour les administrateurs surveillants un réseau local cette approche peut être pratique et efficace\. Utilisez l\'option
+\fB\-PE\fR
+pour activer ce comportement de requête echo\.
+.sp
+Même si la requête echo est le standard de la requête ICMP, Nmap ne s\'arrête pas là, Le standard ICMP (\fIRFC 792\fR\&[4]) spécifie également les requêtes \(Fo timestamp \(Fc, \(Fo information \(Fc et \(Fo adress mask \(Fc, dont les codes sont respectivement 13, 15 et 17\. Si le but avoué de ces requêtes est d\'obtenir des informations comme le masque réseau ou l\'heure courante, elles peuvent facilement être utilisées pour la découverte des hôtes: un système qui y répond est actif et disponible\. Nmap n\'implante actuellement pas les requêtes d\'informations, car elles ne sont que rarement supportées\. La RFC 1122 insiste sur le fait
+\(lqqu\'un hôte ne DEVRAIT PAS implanter ces messages\(rq\. Les requêtes timestamp et masque d\'adresse peuvent être émises avec les options
+\fB\-PP\fR
+et
+\fB\-PM\fR, respectivement\. Une réponse timestamp (code ICMP 14) ou masque d\'adresse (code ICMP 18) révèle que l\'hôte est disponible\. Ces deux requêtes peuvent être très utiles quand les administrateurs bloquent spécifiquement les requêtes echo mais oublient que les autres requêtes ICMP peuvent être utilisées dans le même but\.
+.RE
+.PP
+\fB\-PR\fR(Ping ARP)
+.RS 4
+Un des usages les plus courant de Nmap est de scanner un LAN Ethernet\. Sur la plupart des LANS, particulièrement ceux qui utilisent les plages d\'adresses privées de la RFC 1918, la grande majorité des adresses IP sont inutilisées à un instant donné\. Quand Nmap essaie d\'envoyer un paquet IP brut (raw packet) comme une requête ICMP echo, le système d\'exploitation doit déterminer l\'adresse matérielle (ARP) correspondant à la cible IP pour correctement adresser la trame Ethernet\. Ceci est souvent lent et problématique, car les systèmes d\'exploitation n\'ont pas été écrits pour gérer des millions de requêtes ARP contre des hôtes indisponibles en un court intervalle de temps\.
+.sp
+Les requêtes ARP sont prises en charge par Nmap qui dispose d\'algorithmes optimisés pour gérer le scan ARP\. Si Nmap reçoit une réponse à ces requêtes, il n\'a pas besoin de poursuivre avec les ping basés sur IP car il sait déjà que l\'hôte est actif\. Ceci rend le scan ARP bien plus rapide et fiable que les scans basés sur IP\. Ainsi, c\'est le comportement adopté par défaut par Nmap quand il remarque que les hôtes scannés sont sur le réseau local\. Même si d\'autres types de ping (comme
+\fB\-PE\fR
+ou
+\fB\-PS\fR) sont spécifiés, Nmap utilise ARP pour chaque cible qui sont sur le même sous\-réseau que la machine exécutant Nmap\. Si vous ne souhaitez vraiment pas utiliser le scan ARP, utilisez l\'option
+\fB\-\-send\-ip\fR
+.RE
+.PP
+\fB\-PO\fR[protolist] (IP Protocol Ping)
+.RS 4
+Une autre otpion de découverte d\'hôtes est le Ping IPProto, qui envoie des paquets IP avec les numéros de protocole(s) spécifiés dans le champ Protocol de l\'en\-tête IP\. La liste des protocoles prend le même format qu\'avec la liste des ports dans les options de découverte en TCP et UDP présentées précédement\. Si aucun protocole n\'est précisé, par défaut ce sont des paquets IP multiples ICMP (protocol 1), IGMP (protocol 2), et IP\-in\-IP (protocol 4) qui sont envoyés\. Les protocoles par défaut peuvent être configurés à la compilation en changeant DEFAULT_PROTO_PROBE_PORT_SPEC dans nmap\.h\. Notez que pour ICMP, IGMP, TCP (protocol 6), et UDP (protocol 17), les paquets sont envoyés avec l\'en\-tête supplémentaire cependant que les autres protocoles sont envoyés sans données supplémentaires en sus de l\'en\-tête IP (à moins que l\'option \-\-data\-length ne soit spécifiée)\.
+.sp
+Cette méthode de découverte des hôtes recherche les réponses dans le même protocole que la requète, ou le message ICMP Protocol Unreachable qui signifie que le protocole spécifié n\'est pas supporté par l\'hôte (ce qui implique indirectement qu\'il est connecté)\.
+.RE
+.PP
+\fB\-\-reason\fR(Raisons données à l\'état de l\'hôte et des ports)
+.RS 4
+Montre les raisons pour lesquelles chaque port est désigné par un état spécifique et un hôte connecté ou non\. Cette option affiche le type de paquet qui à déterminé l\'état du port ou de l\'hôte\. Par exemple, un paquet RST en provenance d\'un port fermé ou un echo relpy pour un hôte connecté\. L\'information que Nmap peut fournir est déterminée par le type de scan ou de ping\. Le scan SYN et le ping SYN (\-sS et \-PT) sont très détaillés, mais les TCP connect scan et ping (\-sT) sont limités par l\'implémentation de l\'appel système connect\. Cette fonctionnalité est automatiquement activée par le mode de deboguage (\-d) et les résultats sont enregistrés dans la sortie XML même si cette option n\'est pas spécifiée\.
+.RE
+.PP
+\fB\-n\fR(Pas de résolution DNS)
+.RS 4
+Indique à Nmap de ne
+\fIjamais\fR
+faire la résolution DNS inverse des hôtes actifs qu\'il a trouvé\. Comme la résolution DNS est souvent lente, ceci accélère les choses\.
+.RE
+.PP
+\fB\-R\fR(Résolution DNS pour toutes les cibles)
+.RS 4
+Indique à Nmap de
+\fItoujours\fRfaire la résolution DNS inverse des adresses IP cibles\. Normalement, ceci n\'est effectué que si une machine est considérée comme active\.
+.RE
+.PP
+\fB\-\-dns\-servers \fR (Serveurs à utiliser pour les requètes DNS inverses)
+.RS 4
+Par defaut Nmap va essayer de déterminer vos serveurs DNS (pour le résolution rDNS) depuis votre fichier resolv\.conf (UNIX) ou le registre (Win32)\. En alternative, vous pouvez utiliser cette option pour spécifier des serveurs alternatifs\. Cette option n\'est pas honorée si vous utilisez
+\fB\-\-system\-dns\fR
+ou un scan IPv6 \. Utiliser plusieurs serveurs DNS est souvent plus rapide, spécialement si vous utilisez les serveurs dédiés pour votre espace d\'adresses cible\. Cette option peut aussi améliorer la discretion, comme vos requètes peuvent être relayées par n\'importe quel serveur DNS récursif sur Internet\.
+.sp
+Cette option est aussi utile lors du scan de reseaux privés\. Parfois seuls quelques serveurs de noms fournissent des informations rDNS propres, et vous pouvez même ne pas savoir où ils sont\. Vous pouvez scanner le reseau sur le port 53 (peut être avec une détection de version), puis essayer un list scan (\fB\-sL\fR) spécifiant chaque serveur de nom un a la fois avec
+\fB\-\-dns\-servers\fR
+jusqu\'a en trouver un qui fonctionne\.
+.RE
+.PP
+\fB\-\-system_dns\fR(Utilise la résolution DNS du système)
+.RS 4
+Par défaut, Nmap résout les adresses IP en envoyant directement les requêtes aux serveurs de noms configurés sur votre machine et attend leurs réponses\. De nombreuses requêtes (souvent des douzaines) sont effectuées en parallèle pour améliorer la performance\. Spécifiez cette option si vous souhaitez utiliser la résolution de noms de votre système (une adresse IP à la fois par le biais de l\'appel getnameinfo())\. Ceci est plus lent est rarement utile à moins qu\'il n\'y ait une procédure erronée dans le code de Nmap concernant le DNS \-\- nous contacter s\'il vous plaît dans cette éventualité\. La résolution système est toujours utilisée pour les scans IPv6\.
+.RE
+.SH "LES BASES DU SCAN DE PORTS"
+.PP
+Même si le nombre de fonctionnalités de Nmap a considérablement augmenté au fil des ans, il reste un scanner de ports efficace, et cela reste sa fonction principale\. La commande de base
+\fBnmap \fR\fB\fItarget\fR\fR\fB \fR
+scanne plus de 1 660 ports TCP de l\'hôte
+\fItarget\fR\. Alors que de nombreux autres scanners de ports ont partitionné les états des ports en ouverts ou fermés, Nmap a une granularité bien plus fine\. Il divise les ports selon six états:
+ouvert (open),
+fermé (closed),
+filtré (filtered),
+non\-filtré (unfiltered),
+ouvert|filtré (open|filtered), et
+fermé|filtré (closed|filtered)\.
+.PP
+Ces états ne font pas partie des propriétés intrinsèques des ports eux\-mêmes, mais décrivent comment Nmap les perçoit\. Par exemple, un scan Nmap depuis le même réseau que la cible pourrait voir le port 135/tcp comme ouvert alors qu\'un scan au même instant avec les mêmes options au travers d\'Internet pourrait voir ce même port comme
+filtré\.
+.PP
+\fBLes six états de port reconnus par Nmap \fR
+.PP
+ouvert (open)
+.RS 4
+Une application accepte des connexions TCP ou des paquets UDP sur ce port\. Trouver de tels ports est souvent le but principal du scan de ports\. Les gens soucieux de la sécurité savent pertinemment que chaque port ouvert est un boulevard pour une attaque\. Les attaquants et les pen\-testers veulent exploiter ces ports ouverts, tandis que les administrateurs essaient de les fermer ou de les protéger avec des pare\-feux sans gêner leurs utilisateurs légitimes\. Les ports ouverts sont également intéressants pour des scans autres que ceux orientés vers la sécurité car ils indiquent les services disponibles sur le réseau\.
+.RE
+.PP
+fermé (closed)
+.RS 4
+Un port fermé est accessible (il reçoit et répond aux paquets émis par Nmap), mais il n\'y a pas d\'application en écoute\. Ceci peut s\'avérer utile pour montrer qu\'un hôte est actif (découverte d\'hôtes ou scan ping), ou pour la détection de l\'OS\. Comme un port fermé est accessible, il peut être intéressant de le scanner de nouveau plus tard au cas où il s\'ouvrirait\. Les administrateurs pourraient désirer bloquer de tels ports avec un pare\-feu, mais ils apparaîtraient alors dans l\'état filtré décrit dans la section suivante\.
+.RE
+.PP
+filtré (filtered)
+.RS 4
+Nmap ne peut pas toujours déterminer si un port est ouvert car les dispositifs de filtrage des paquets empêchent les paquets de tests (probes) d\'atteindre leur port cible\. Le dispositif de filtrage peut être un pare\-feu dédié, des règles de routeurs filtrants ou un pare\-feu logiciel\. Ces ports ennuient les attaquants car ils ne fournissent que très peu d\'informations\. Quelques fois ils répondent avec un message d\'erreur ICMP de type 3 code 13 (\(Fo destination unreachable: communication administratively prohibited \(Fc), mais les dispositifs de filtrage qui rejettent les paquets sans rien répondre sont bien plus courants\. Ceci oblige Nmap à essayer plusieurs fois au cas où ces paquets de tests seraient rejetés à cause d\'une surcharge du réseau et pas du filtrage\. Ceci ralenti terriblement les choses\.
+.RE
+.PP
+non\-filtré (unfiltered)
+.RS 4
+L\'état non\-filtré signifie qu\'un port est accessible, mais que Nmap est incapable de déterminer s\'il est ouvert ou fermé\. Seul le scan ACK, qui est utilisé pour déterminer les règles des pare\-feux, catégorise les ports dans cet état\. Scanner des ports non\-filtrés avec un autre type de scan, comme le scan Windows, SYN ou FIN peut aider à savoir si un port est ouvert ou pas\.
+.RE
+.PP
+ouvert|filtré (open|filtered)
+.RS 4
+Nmap met dans cet état les ports dont il est incapable de déterminer l\'état entre ouvert et filtré\. Ceci arrive pour les types de scans où les ports ouverts ne renvoient pas de réponse\. L\'absence de réponse peut aussi signifier qu\'un dispositif de filtrage des paquets a rejeté le test ou les réponses attendues\. Ainsi, Nmap ne peut s\'assurer ni que le port est ouvert, ni qu\'il est filtré\. Les scans UDP, protocole IP, FIN, Null et Xmas catégorisent les ports ainsi\.
+.RE
+.PP
+fermé|filtré (closed|filtered)
+.RS 4
+Cet état est utilisé quand Nmap est incapable de déterminer si un port est fermé ou filtré\. Cet état est seulement utilisé par le scan Idle basé sur les identifiants de paquets IP\.
+.RE
+.SH "TECHNIQUES DE SCAN DE PORTS"
+.PP
+Comme un débutant tâchant d\'effectuer une réparation automobile, je peux me battre pendant des heures en essayant d\'utiliser convenablement mes rudimentaires outils (marteau, clefs, etc\.) pour la tâche à laquelle je me suis attablé\. Une fois que j\'ai lamentablement échoué et que j\'ai fait remorqué ma guimbarde par un vrai mécanicien, à chaque fois il farfouille dans sa grosse caisse à outils pour y trouver le parfait bidule qui, d\'un coup de cuillère à pot, répare le truc\. L\'art du scan de port, c\'est la même chose\. Les experts connaissent des douzaines de techniques de scan et choisissent la bonne (ou une combinaison) pour une tâche donnée\. D\'un autre côté, les utilisateurs inexpérimentés et les script kiddies essaient de tout résoudre avec le scan SYN par défaut\. Comme Nmap est gratuit, la seule barrière à franchir pour atteindre la maîtrise du scan est la connaissance\. C\'est bien mieux que l\'automobile, où il faut une grande expérience pour déterminer que vous avez besoin d\'une plieuse à tablier hydraulique, mais il faut quand même payer des centaines d\'euros pour en disposer d\'une\.
+.PP
+La plupart des types de scans ne sont disponibles que pour les utilisateurs privilégiés\. Ceci est dû au fait qu\'ils émettent et reçoivent des paquets bruts (raw), qui nécessitent les droits root sur les systèmes UNIX\. L\'utilisation d\'un compte administrateur est conseillé sous Windows, bien que Nmap puisse fonctionner avec des utilisateurs non\-privilégiés si WinPcap est déjà chargé avec l\'OS\. Ce besoin des droits root était une sérieuse restriction quand Nmap a été diffusé en 1997, car beaucoup d\'utilisateurs avaient seulement accès à des comptes Internet partagés\. Maintenant, le monde est différent\. Les ordinateurs sont moins chers, bien plus de gens disposent d\'un accès 24/24 direct à Internet et les systèmes UNIX de bureau (comme Linux et Mac OS X) sont répandus\. Une version Windows de Nmap est désormais disponible, permettant ainsi de le lancer sur encore plus de machines\. Pour toutes ces raisons, les utilisateurs ont bien moins besoin de lancer Nmap depuis des comptes Internet limités\. Ceci est heureux, car les options privilégiés rendent Nmap bien plus puissant et flexible\.
+.PP
+Si Nmap essaie de produire des résultats précis, il faut garder à l\'esprit que toute sa perspicacité est basée sur les paquets renvoyés par les machines cibles (ou les pare\-feux qui les protègent)\. De tels hôtes ne sont pas toujours dignes de confiance et peuvent répondre dans le but de brouiller ou d\'enduire Nmap d\'erreurs\. Les hôtes qui ne respectent pas les RFCs et ne répondent pas comme ils devraient sont encore plus courants\. Les scans FIN, Null et Xmas sont les plus sensibles à ce problème\. Ces points sont spécifiques à certains types de scan et sont donc abordés dans leur section propre de la documentation\.
+.PP
+Cette section documente la douzaine de techniques de scan de ports gérées par Nmap\. Les méthodes ne peuvent pas être utilisés simultanément, excepté le scan UDP (\fB\-sU\fR) qui peut être combiné avec chacun des types de scan TCP\. A titre d\'aide mémoire, les options de type de scan sont de la forme
+\fB\-s\fR\fB\fIC\fR\fR\fB \fR, où
+\fIC\fRest un caractère prépondérant dans le nom du scan, souvent le premier\. La seule exception est le désuet scan par rebond FTP (\fB\-b\fR)\. Par défaut, Nmap effectue un scan SYN, bien qu\'il y substitue un scan connect() si l\'utilisateur ne dispose pas des droits suffisants pour envoyer des paquets bruts (qui requièrent les droits root sous UNIX) ou si des cibles IPv6 sont spécifiées\. Des scans listés dans cette section, les utilisateurs non\-privilégiés peuvent seulement exécuter les scans connect() et le scan par rebond FTP\.
+.PP
+\fB\-sS\fR(Scan TCP SYN)
+.RS 4
+Le scan SYN est celui par défaut et le plus populaire pour de bonnes raisons\. Il peut être exécuté rapidement et scanner des milliers de ports par seconde sur un réseau rapide lorsqu\'il n\'est pas entravé par des pare\-feux\. Le scan SYN est relativement discret et furtif, vu qu\'il ne termine jamais les connexions TCP\. Il marche également contre toute pile respectant TCP, au lieu de dépendre des particularités environnementales spécifiques comme les scans Fin/Null/Xmas, Maimon ou Idle le sont\. Il permet de plus une différentiation fiable entre les états
+ouvert,
+fermé
+et
+filtré\.
+.sp
+Cette technique est souvent appelée le scan demi\-ouvert (half\-open scanning), car il n\'établi pas pleinement la connexion TCP\. Il envoie un paquet SYN et attend sa réponse, comme s\'il voulait vraiment ouvrir une connexion\. Une réponse SYN/ACK indique que le port est en écoute (ouvert), tandis qu\'une RST (reset) indique le contraire\. Si aucune réponse n\'est reçue après plusieurs essais, le port est considéré comme étant filtré\. Le port l\'est également si un message d\'erreur \(Fo unreachable ICMP (type 3, code 1,2, 3, 9, 10 ou 13) \(Fc est reçu\.
+.RE
+.PP
+\fB\-sT\fR(Scan TCP connect())
+.RS 4
+Le scan TCP connect() est le type de scan par défaut quand le SYN n\'est pas utilisable\. Tel est le cas lorsque l\'utilisateur n\'a pas les privilèges pour les paquets bruts (raw packets) ou lors d\'un scan de réseaux IPv6\. Plutôt que d\'écrire des paquets bruts comme le font la plupart des autres types de scan, Nmap demande au système d\'exploitation qui l\'exécute d\'établir une connexion au port de la machine cible grâce à l\'appel système
+connect()\. C\'est le même appel système haut\-niveau qui est appelé par les navigateurs Web, les clients P2P et la plupart des applications réseaux qui veulent établir une connexion\. Cet appel fait partie de l\'interface d\'application connue sous le nom de \(Fo Berkeley Sockets API \(Fc\. Au lieu de lire les réponses brutes sur le support physique, Nmap utilise cette application API pour obtenir l\'état de chaque tentative de connexion\.
+.sp
+Si le scan SYN est disponible, il vaut mieux l\'utiliser\. Nmap a bien moins de contrôles sur l\'appel système haut niveau \
+connect()
+que sur les paquets bruts, ce qui le rend moins efficace\. L\'appel système complète les connexions ouvertes sur les ports cibles au lieu de les annuler lorsque la connexion est à demie ouverte, comme le fait le scan SYN\. Non seulement c\'est plus long et demande plus de paquets pour obtenir la même information, mais de plus la probabilité que les cibles activent la connexion est plus grande\. Un IDS décent le fera, mais la plupart des machines ne disposent pas de ce système d\'alarme\. De nombreux services sur les systèmes UNIX standards noteront cette connexion dans le journal, accompagné d\'un message d\'erreur sibyllin si Nmap ouvre puis referme la connexion sans n\'envoyer aucune donnée\. Les services réseaux les plus piteux risquent même de tomber en panne, mais c\'est assez rare\. Un administrateur qui verrait un tas de tentatives de connexions dans ses journaux en provenance d\'une seule machine devrait se rendre compte qu\'il a été scanné\.
+.RE
+.PP
+\fB\-sU\fR(Scan UDP)
+.RS 4
+Même si les services les plus connus d\'Internet son basés sur le protocole TCP, les services
+\fIUDP\fR\&[5]
+sont aussi largement utilisés\. DNS, SNMP ou DHCP (ports 53, 161/162 et 67/68) sont les trois exemples les plus courants\. Comme le scan UDP est généralement plus lent et plus difficile que TCP, certains auditeurs de sécurité les ignorent\. C\'est une erreur, car les services UDP exploitables sont courants et les attaquants eux ne les ignoreront pas\. Par chance, Nmap peut aider à répertorier les ports UDP\.
+.sp
+Le scan UDP est activé avec l\'option\fB\-sU\fR\. Il peut être combiné avec un scan TCP, comme le scan SYN (\
+\fB\-sS\fR), pour vérifier les deux protocoles lors de la même exécution de Nmap\.
+.sp
+Le scan UDP envoie un en\-tête UDP (sans données) à chaque port visé\. Si un message ICMP \(Fo port unreachable (type 3, code 3) \(Fc est renvoyé, le port est alors
+fermé\. Les autres messages d\'erreur \(Fo unreachable ICMP (type 3, codes 1, 2, 9, 10, or 13) \(Fc rendront le port
+filtré\. À l\'occasion, il arrive qu\'un service répond par un paquet UDP, prouvant que le port est dans l\'état
+ouvert\. Si aucune réponse n\'est renvoyée après plusieurs essais, le port est considéré comme étant
+ouvert|filtré\. Cela signifie que le port peut être soit ouvert, soit qu\'un dispositif de filtrage bloque les communications\. Le scan de versions (\
+\fB\-sV\fR) peut être utilisé pour différencier les ports ouverts de ceux filtrés\.
+.sp
+Une des grandes difficultés avec le scan UDP est de l\'exécuter rapidement\. Les ports ouverts et filtrés ne renvoient que rarement des réponses, laissant Nmap expirer son délai de retransmission au cas où les paquets se soient perdus\. Les ports fermés posent encore un plus grand problème: ils renvoient normalement une erreur ICMP \(Fo port unreachable \(Fc\. Mais à la différence des paquets RST renvoyés par les ports TCP fermés en réponse à un scan SYN ou à un connect(), de nombreux hôtes limitent par défaut la cadence d\'émission de ces messages\. Linux et Solaris étant particulièrement stricts à ce sujet\. Par exemple, le kernel 2\.4\.20 limite cette cadence des destinations inaccessibles (\(Fo destination unreachable \(Fc) à un par seconde (cf\.\fInet/ipv4/icmp\.c\fR)\.
+.sp
+Nmap détecte cette limitation de fréquence et s\'y ralenti conformément afin d\'éviter de saturer le réseau avec des paquets inutiles que la machine cible rejettera\. Malheureusement, une limitation à la Linux d\'un paquet par seconde fera qu\'un scan des 65 536 ports prendra plus de 18 heures\. Les idées pour accélérer les scans UDP incluent le scan des cibles en parallèle, ne scanner que les ports les plus courants en premier, scanner derrière le pare\-feu et utiliser l\'option
+\fB\-\-host\-timeout\fRpour éviter les hôtes les plus lents\.
+.RE
+.PP
+\fB\-sN\fR; \fB\-sF\fR; \fB\-sX\fR (Scans TCP Null, FIN et Xmas)
+.RS 4
+Ces trois types de scans (d\'autres sont possibles en utilisant l\'option
+\fB\-\-scanflags\fR
+décrite dans la section suivante) exploitent une subtile faille de la
+\fIRFC TCP\fR\&[6]
+pour différencier les ports entre
+ouverts
+et
+fermés\. La page 65 indique que
+\(lqsi le port [de destination] est dans l\'état fermé\.\.\. un segment ne contenant pas le drapeau RST provoque l\'émission d\'un paquet RST comme réponse\.\(rq\. La page suivante indique que pour les paquets envoyés à des ports sans aucun des drapeaux SYN, RST ou ACK activés:
+\(lqil est peut vraisemblable que cela arrive, mais si cela est le cas, il faut rejeter le segment\.\(rq
+.sp
+Pour les systèmes respectant ce texte de la RFC, chaque paquet ne contenant ni SYN, ni RST, ni ACK se voit renvoyé un RST si le port est fermé et aucune réponse si le port est ouvert\. Tant qu\'aucun de ces drapeaux n\'est utilisé, toute combinaison des trois autres (FIN, PSH et URG) son valides\. Nmap exploite cela avec les trois types de scans:
+.PP
+Scan Null (\fB\-sN\fR)
+.RS 4
+N\'active aucun des bits (les drapeaux de l\'en\-tête TCP vaut 0)\.
+.RE
+.PP
+Scan FIN (\fB\-sF\fR)
+.RS 4
+N\'active que le bit FIN\.
+.RE
+.PP
+Scan Xmas (\fB\-sX\fR)
+.RS 4
+Active les drapeaux FIN, PSH et URG, illuminant le paquet comme un arbre de Noël (NDT: la fracture cognitive entre la culture anglo\-saxonne et française se ressent fortement dans cette traduction\.\.\.)\.
+.RE
+.sp
+Ces trois types de scan ont exactement le même comportement, sauf pour les drapeaux TCP utilisés dans des paquets de tests (probes packets)\. Si un RST est reçu, le port est considéré comme étant
+fermé, tandis qu\'une absence de réponse signifiera qu\'il est dans l\'état
+ouvert|filtré\. Le port est marqué comme \
+filtré
+si un message d\'erreur ICMP \(Fo unreachable (type 3, code 1, 2, 3, 9, 10 ou 13) \(Fc est reçu\.
+.sp
+L\'avantage principal de ces types de scans est qu\'ils peuvent furtivement traverser certains pare\-feux ou routeurs filtrants sans état de connexion (non\-statefull)\. Un autre avantage est qu\'ils sont même un peu plus furtifs que le scan SYN\. N\'y comptez pas trop dessus cependant \-\- la plupart des IDS modernes sont configurés pour les détecter\. L\'inconvénient majeur est que tous les systèmes ne respectent pas la RFC 793 à la lettre\. Plusieurs systèmes renvoient des RST aux paquets quelque soit l\'état du port de destination, qu\'il soit ouvert ou pas\. Ceci fait que tous les ports sont considérés commefermé\. Les plus connus des systèmes qui ont ce comportement sont Microsoft Windows, plusieurs équipements Cisco, BSDI et IBM OS/400\. Ce type de scan fonctionne cependant très bien contre la plupart des systèmes basés sur UNIX\. Un autre désagrément de ce type de scan et qu\'ils ne peuvent pas distinguer les ports
+ouvertsde certains autres qui sont
+filtrés, vous laissant face à un laconique
+ouvert|filtré\.
+.RE
+.PP
+\fB\-sA\fR(Scan TCP ACK)
+.RS 4
+Ce type de scan est différent des autres abordés jusqu\'ici, dans le sens où ils ne peuvent pas déterminer si un port est\
+ouvert(ni même
+ouvert|filtré)\. Il est utilisé pour établir les règles des pare\-feux, déterminant s\'ils sont avec ou sans états (statefull/stateless) et quels ports sont filtrés\.
+.sp
+Le scan ACK n\'active que le drapeau ACK des paquets (à moins que vous n\'utilisiez l\'option
+\fB\-\-scanflags\fR)\. Les systèmes non\-filtrés réagissent en retournant un paquet RST\. Nmap considère alors le port comme
+non\-filtré, signifiant qu\'il est accessible avec un paquet ACK, mais sans savoir s\'il est réellement\
+ouvert
+ou
+fermé\. Les ports qui ne répondent pas ou renvoient certains messages d\'erreur ICMP (type 3, code 1, 2, 3, 9, 10, ou 13), sont considérés comme
+filtrés\.
+.RE
+.PP
+\fB\-sW\fR(Scan de fenêtre TCP)
+.RS 4
+Le scan de fenêtre TCP est exactement le même que le scan ACK à la différence près qu\'il exploite un détail de l\'implémentation de certains systèmes pour identifier les ports fermés des autres, au lieu de toujours afficher
+non\-filtrélorsqu\'un RST est renvoyé\. Sur certains systèmes, les ports ouverts utilisent une taille de fenêtre TCP positive (même pour les paquets RST), tandis que les ports fermés ont une fenêtre de taille nulle\. Ainsi, au lieu de toujours afficher
+non\-filtré
+lorsqu\'un RST est reçu, le scan de fenêtre indique que le port est
+ouvert
+ou
+fermé
+selon que la taille de fenêtre TCP de ce paquet RST est respectivement positive ou nulle\.
+.sp
+Ce scan repose sur un détail d\'implémentation d\'une minorité de systèmes Internet, vous ne pouvez donc pas toujours vous y fier\. Les systèmes qui ne le supportent pas vont certainement se voir considérés leurs ports comme
+fermés\. Bien sûr, il se peut que la machine n\'ait effectivement aucun port ouvert\. Si la plupart des ports scannés sont
+fermés
+mais que quelques\-uns courants, comme le 22, 25 ou le 53, sont\
+filtrés, le système est vraisemblablement prédisposé à ce type de scan\. Quelquefois, les systèmes ont le comportement exactement inverse\. Si votre scan indique que 1 000 ports sont ouverts et que 3 seulement sont fermés ou filtrés, ces trois derniers sont certainement ceux qui sont ouverts\.
+.RE
+.PP
+\fB\-sM\fR(Scan TCP Maimon)
+.RS 4
+Le scan Maimon est nommé ainsi d\'après celui qui l\'a découvert, Uriel Maimon\. Il a décrit cette technique dans le numéro 49 de Phrack Magazine (Novembre 1996)\. Nmap, qui inclut cette technique, a été publié deux numéros plus tard\. Cette technique est la même que les scans NUll, FIN et Xmas, à la différence près que le paquet de test est ici un FIN/ACK\. Conformément à la RFC 793 (TCP), un paquet RST devrait être renvoyé comme réponse à un tel paquet, et ce, que le port soit ouvert ou non\. Uriel a cependant remarqué que de nombreux systèmes basés sur BSD rejettent tout bonnement le paquet si le port est ouvert\.
+.RE
+.PP
+\fB\-\-scanflags\fR(Scan TCP personnalisé)
+.RS 4
+Les utilisateurs réellement experts de Nmap ne veulent pas se limiter aux seuls types de scans proposés\. L\'option
+\fB\-\-scanflags\fRvous permet de créer votre propre type de scan en spécifiant vos propres combinaisons de drapeaux TCP\. Laisser courir votre imagination, tout en contournant les systèmes de détection d\'intrusion dont les vendeurs n\'ont fait qu\'ajouter des règles spécifiques d\'après la documentation Nmap!
+.sp
+L\'argument de l\'option
+\fB\-\-scanflags\fR
+peut être soit un nombre comme 9 (PSH et FIN), mais l\'utilisation des noms symboliques est plus facile\. Mélanger simplement les drapeaux
+URG,
+ACK,
+PSH,
+RST,
+SYN
+et
+FIN\. Par exemple,
+\fB\-\-scanflags URGACKPSHRSTSYNFIN\fR
+les activent tous, bien que cela ne soit pas très utile pour effectuer un scan\. L\'ordre dans lequel les drapeaux sont spécifiés n\'a pas d\'importance\.
+.sp
+En sus de la spécification des drapeaux désirés, vous pouvez spécifier également un type de scan TCP (comme
+\fB\-sA\fR
+ou
+\fB\-sF\fR)\. Ce type de scan de base indique à Nmap comment interpréter les réponses\. Par exemple, un scan SYN considère que l\'absence de réponse indique qu\'un port est
+filtré, tandis qu\'un scan FIN considèrera la même absence comme un port
+ouvert|filtré\. Nmap se comportera de la même façon que le type de scan de base, à la différence près qu\'il utilisera les drapeaux TCP que vous avez spécifié à la place\. Si vous n\'en spécifiez pas, le type de scan SYN par défaut sera utilisé\.
+.RE
+.PP
+\fB\-sI \fR(Scan passif \-\- idlescan)
+.RS 4
+Cette méthode de scan avancé permet de faire un véritable scan de port TCP en aveugle, (dans le sens où aucun paquet n\'est envoyé directement à la cible depuis votre vraie adresse IP)\. En effet, la technique employée consiste à récolter des informations sur les ports ouverts de la cible en utilisant un exploit basé sur la prédictibilité de la génération des identifiants de fragmentation IP de l\'hôte relais (le zombie)\. Les systèmes IDS considéreront que le scan provient de la machine zombie que vous avez spécifié (qui doit remplir certains critères)\. Le mécanisme de cette incroyable technique est trop complexe pour être expliqué en détail dans ce guide; un papier informel a été posté pour rendre compte de tous ces détails:\fI\%http://nmap.org/book/idlescan.html\fR\.
+.sp
+En plus de son incroyable furtivité (en raison du caractère aveugle de la technique), ce type de scan permet de déterminer les relations de confiance entre les machines\. La liste des ports ouverts est établie
+\fIdu point de vue de l\'hôte zombie\.\fR
+Ainsi, vous pouvez essayer de scanner une cible en utilisant différents zombies pour lesquels vous pensez qu\'il existe une relation de confiance entre eux et la cible (d\'après les règles des dispositifs de filtrage)\.
+.sp
+Vous pouvez ajouter les deux points (:) suivis d\'un numéro de port de l\'hôte zombie si vous souhaitez tester les changements d\'identifiants IP sur un port particulier du zombie\. Par défaut, Nmap utilisera le port utilisé pour les pings tcp (le port 80)\.
+.RE
+.PP
+\fB\-sO\fR(Scan du protocole IP)
+.RS 4
+Le scan du protocole IP permet de déterminer quels protocoles IP (TCP, ICMP, IGMP, etc\.) sont supportés par les cibles\. Ce n\'est donc pas techniquement un scan de ports, car Nmap essaie les différents numéros de protocoles IP à la place des numéros de ports TCP ou UDP\. Ce scan permet néanmoins d\'utiliser l\'option
+\fB\-p\fR
+pour sélectionner les numéros de protocoles à scanner \-\- le rapport de Nmap étant toujours dans le style habituel des tables de ports \-\- et utilise le même moteur de scan utilisé pour le scan de ports\. Ainsi, cette technique est suffisamment proche du scan de port pour être présenté ici\.
+.sp
+Au delà de son intérêt propre, le scan de protocoles illustre la puissance des logiciels en libre accès\. L\'idée de base est assez simple: je n\'avais même pas particulièrement pensé à l\'ajouter ni reçu de requête me demandant une telle fonctionnalité\. En fait, à l\'été 2000, Gerhard Rieger a eu cette idée et a écrit un excellent programme de correction pour l\'implanter; il l\'a ensuite envoyé à la liste de distribution nmap\-hackers\. Je l\'ai par la suite ajouté à l\'arbre de développement de Nmap et j\'ai publié la nouvelle version le lendemain même\. Très peu de logiciels commerciaux peuvent se targuer d\'avoir des utilisateurs si enthousiastes concevant et proposant leur propres améliorations!
+.sp
+Le scan de protocole fonctionne d\'une façon similaire du scan UDP\. Au lieu de parcourir les champs de numéro de port des paquets UDP, il envoie des paquets d\'en\-têtes IP et parcours les 8 bits du champ protocole IP\. Les en\-têtes son généralement vides, ne contenant pas de données ni même l\'en\-tête du protocole sollicité\. Les trois seules exceptions étant TCP, UDP et ICMP\. Un en\-tête exact de ces protocoles est inclus, sinon certains systèmes refusent de les émettre et Nmap dispose déjà des fonctions permettant de construire ces en\-têtes\. Au lieu de scruter les messages ICMP \(Fo port unreachable \(Fc, comme pour le scan UDP, le scan de protocole attend de recevoir les messages ICMP \(Fo\fIprotocol\fRunreachable \(Fc\. Dès que Nmap reçoit une réponse d\'un protocole en provenance de la cible, Nmap considère ce protocole comme
+ouvert\. Une erreur ICMP \(Fo protocol unreachable \(Fc (type 3, code 2) fait en sorte que le port est considéré comme étant
+fermé\. Les autres messages d\'erreur ICMP \(Fo unreachable (type 3, code 1, 3, 9, 10, or 13) \(Fc font en sorte que le port est considéré comme étant
+filtré
+(tout en prouvant que le protocole ICMP est quant à lui
+ouvert)\. Si aucune réponse n\'est reçue après plusieurs transmissions, le protocole est considéré comme étant
+ouvert|filtré\.
+.RE
+.PP
+\fB\-b \fR(Scan par rebond FTP)
+.RS 4
+Une caractéristique intéressante du protocole FTP (\fIRFC 959\fR\&[7]) est qu\'il supporte les connexions par proxy ftp (proxy ftp connections, ainsi nommées dans la RFC)\. Ceci permet à un utilisateur de se connecter à un serveur FTP, puis de demander qu\'un fichier soit envoyé à un tiers serveur FTP\. Une telle fonctionnalité est propre à être détournée à tous les niveaux, c\'est pourquoi la plupart des serveurs ont cessé de la supporter\. Un des détournements possible de cette caractéristique conduit le serveur FTP à scanner les ports d\'autres hôtes\. Demandez simplement au serveur FTP d\'envoyer un fichier à chaque port intéressant de votre cible, et il se chargera d\'effectuer le scan\. Le message d\'erreur permettra de savoir si le port est ouvert ou non\. C\'est un très bon moyen de contourner les pare\-feux car les serveurs FTP des organisations sont souvent situés de telle façon à avoir plus d\'accès aux hôtes du réseau internes que toute autre machine Internet\. Nmap supporte le scan par rebond FTP avec l\'option
+\fB\-b\fR\. Cette option prend un argument du type
+\fIusername\fR:\fIpassword\fR@\fIserver\fR:\fIport\fR\.
+\fIServer\fR
+est le nom ou l\'adresse IP d\'un serveur FTP vulnérable\. Comme pour une adresse URL traditionnelle, vous pouvez omettre
+\fIusername\fR:\fIpassword\fR, (user:
+anonymous, password:
+\-wwwuser@) pour accéder de manière anonyme\. Le numéro de port (et les deux points) peuvent être également omis si le port FTP par défaut (21) est utilisé par le serveur
+\fIserver\fR\.
+.sp
+Cette vulnérabilité était très répandue en 1997 quand Nmap a été publié mais a largement été corrigée depuis\. Il existe encore quelques serveurs vulnérables qui traînent, autant les essayer si rien d\'autre ne marche (!!!)\. Si votre but est de contourner un pare\-feu, scannez le réseau cible pour trouver un port 21 ouvert (ou un serveur FTP sur tout autre port en activant la détection de version), essayez ensuite pour chacun d\'entre eux le scan par rebond FTP\. Nmap vous indiquera si chaque hôte y est vulnérable ou pas\. Si vous voulez juste essayer de masquer vos attaques, vous n\'avez pas besoin (et même en fait, vous ne devriez pas) vous limiter aux hôtes du réseau cible\. Avant de vous lancer dans un scan sur des adresses Internet au hasard, à la recherche de serveurs FTP vulnérables, pensez bien que les gestionnaires des systèmes n\'apprécieront pas trop que vous détourniez leurs serveurs à cet effet\.
+.RE
+.SH "SPéCIFICATIONS DES PORTS ET ORDRE DU SCAN"
+.PP
+En plus de toutes les méthodes de scan abordées précédemment, Nmap propose des options permettant la spécification des ports à scanner ainsi que l\'ordre (au hasard ou séquentiel) dans lequel le scan doit se faire\. Par défaut, Nmap scanne tous les ports jusqu\'au 1 024 inclusivement ainsi que les ports supérieurs listés dans le fichier
+\fInmap\-services\fRpour le ou les protocoles demandés)\.
+.PP
+\fB\-p \fR(Ne scanne que les ports spécifiés)
+.RS 4
+Cette option spécifie quels ports vous voulez scanner et remplace le comportement par défaut\. Les ports peuvent être spécifiés un à un ou par plages (séparés par des tirets, notamment 1\-1023)\. Les valeurs de début ou de fin des plages peuvent être omises, de sorte que Nmap utilisera les ports 1 et 65 535, respectivement\. Ainsi, vous pouvez spécifier
+\fB\-p\-\fR
+pour scanner tous les ports de 1 à 65 535\. Le scan du port 0 est autorisé si spécifié explicitement\. Pour ce qui est du scan du protocole IP (\fB\-sO\fR), cette option spécifie les numéros de protocoles que vous souhaitez scanner (0\-255)\.
+.sp
+Lorsque vous scannez à la fois des ports TCP et UDP, vous pouvez spécifier un protocole particulier en préfixant les numéros de ports par
+T:
+(pour TCP) ou
+U:
+(pour UDP)\. Le qualificateur reste actif à moins que vous n\'en indiquiez un autre\. Par exemple, l\'argument
+\fB\-p U:53,111,137,T:21\-25,80,139,8080\fRscannerait les ports UDP numéros 53 111 et 137 et les ports TCP de 21 à 25 inclusivement, 80, 139 et 8080\. Notez que si vous voulez à la fois scanner TCP et UDP, vous devez spécifier
+\fB\-sU\fR
+et au moins un type de scan TCP (comme
+\fB\-sS\fR,
+\fB\-sF\fR
+ou
+\fB\-sT\fR)\. Si aucun qualificateur de protocole n\'est spécifié, les numéros de ports sont alors valables pour tous les protocoles\.
+.RE
+.PP
+\fB\-F\fR(Scan rapide (limite aux ports connus)
+.RS 4
+Cette option indique que vous souhaitez seulement scanner les ports listés dans le fichier
+\fInmap\-services\fR
+fourni avec Nmap (ou le fichier des protocoles avec l\'option
+\fB\-sO\fR)\. Ceci est bien plus rapide que de scanner les 65 535 ports d\'un hôte\. Comme cette liste contient beaucoup de ports TCP (plus de 1 200), la différence de vitesse avec le comportement par défaut (environ 1 650 ports) est relativement négligeable\. Par contre, la différence peut être énorme si vous spécifiez votre propre mini\-fichier
+\fInmap\-services\fR
+en utilisant l\'option
+\fB\-\-datadir\fR\.
+.RE
+.PP
+\fB\-r\fR(Ne mélange pas les ports)
+.RS 4
+Par défaut, Nmap mélange au hasard l\'ordre des ports (sauf que certains ports couramment accessibles sont placés vers le début de la liste pour des raisons d\'efficacité)\. Ce mélange est normalement souhaitable, mais vous pouvez spécifier l\'option
+\fB\-r\fR
+pour effectuer un scan de port séquentiel\.
+.RE
+.SH "DéTECTION DE SERVICES ET DE VERSIONS"
+.PP
+Supposons que Nmap vous ai signalé que les ports 25/tcp, 80/tcp et 53/udp d\'une machine distante sont ouverts\. En utilisant sa base de données
+\fInmap\-services\fRd\'environ 2 200 services bien connus, Nmap indique que ces ports correspondent probablement à un serveur de messagerie (SMTP), un serveur Web (HTTP) et un serveur de noms (DNS), respectivement\. Cette consultation est souvent pertinente \-\- une vaste majorité des démons écoutant sur le port 25, étant bien des serveurs de messagerie\. Cependant, en sécurité, il ne faudrait pas trop parier là\-dessus ! Les gens peuvent lancer des services sur des ports bizarres et ils le font effectivement\.
+.PP
+Même si Nmap a raison, et que les serveurs hypothétiques du dessus sont bien des serveurs SMTP, HTTP et DNS, ce n\'est pas très utile\. Lors d\'audit de sécurité (ou bien lors de simples inventaires de réseau) de votre entreprise ou de clients, vous voulez réellement savoir de quels serveurs de messagerie et de noms il s\'agit, ainsi que leurs versions\. Connaître avec précision le numéro de version aide considérablement à déterminer à quels exploits un serveur est vulnérable\. La détection de version vous permet d\'obtenir une telle information\.
+.PP
+Après avoir découvert les ports TCP ou UDP par une des méthodes de scan, la détection de version interroge ces ports pour savoir quelle version tourne actuellement\. La base de données
+\fInmap\-service\-probes\fR
+contient les tests à effectuer selon les services, ainsi que les chaînes de caractères auxquelles comparer les réponses\. Nmap essaie de déterminer le protocole (p\. ex\.: ftp, ssh, telnet, http), le nom de l\'application (p\. ex\.: ISC Bind, Appache httpd, Solaris telnetd), le numéro de version, le nom d\'hôte, le type d\'équipement (p\. ex\.: imprimante, routeur), la famille d\'OS (p\. ex\.: Windows, Linux) et quelquefois des détails divers (p\. ex\.: si un serveur X accepte ou non des connexions, la version du protocole SSH, le nom d\'utilisateur KaZaA)\. Bien sûr, la plupart des services ne fournissent pas autant d\'informations\. Si Nmap a été compilé avec le support de OpenSSL, il se connectera aux serveurs SSL pour déduire le service écoutant derrière la couche de cryptage\. Quand des services RPC sont découverts, la moulinette RPC de Nmap (\fB\-sR\fR) est automatiquement utilisée pour déterminer le programme RPC et sa version\. Des ports peuvent rester dans l\'état
+ouvert|filtré\ lorsqu\'un scan de ports UDP a été incapable de déterminer si le port était ouvert ou fermé\. La détection de version tentera d\'obtenir une réponse de ces ports (comme s\'ils étaient ouverts), et changera l\'état à ouvert si elle y parvient\. Les ports TCP
+ouverts|filtré
+sont traités de la même façon\. Notez que l\'option\fB\-A\fRde Nmap active notamment la détection de version\. Un papier documentant le fonctionnement, l\'utilisation et la personnalisation de la détection de version est disponible à
+\fI\%http://www.insecure.org/nmap/vscan/\fR\.
+.PP
+Lorsque Nmap reçoit une réponse d\'un service mais ne parvient pas à le faire correspondre à un service de sa base de données, il affiche une empreinte et une adresse URL où vous pouvez l\'envoyer si vous êtes sûr de ce qui tourne sur ce port\. Prendre quelques minutes pour faire cette soumission permettra à tout le monde de bénéficier de votre découverte\. Grâce à ces soumissions, Nmap dispose d\'environ 3 000 empreintes de référence liées à plus de 350 protocoles, comme smtp, ftp et http\.
+.PP
+La détection de version est activée et contrôlée grâce aux options suivantes:
+.PP
+\fB\-sV\fR(Détection de version)
+.RS 4
+Active la détection de version, tel que discuté ci\-dessus\. Autrement, vous pouvez utiliser l\'option
+\fB\-A\fR\ pour activer à la fois la détection de version et celle du système d\'exploitation\.
+.RE
+.PP
+\fB\-\-allports(tous les ports)\fR(N\'exclut aucun port de la détection de version)
+.RS 4
+Par défaut, la détection de version de Nmap évite le port TCP 9100 car certaines imprimantes impriment tout bonnement tout ce qui est envoyé sur ce port, ce qui conduit à l\'impression de douzaines de pages de requêtes HTTP, des requêtes de sessions SSL en binaire, etc\. (ce qui est particulièrement furtif)\. Ce comportement peut être changé en modifiant ou en supprimant la directive\
+Exclude
+du fichier
+\fInmap\-service\-probes\fR, ou en spécifiant l\'option
+\fB\-\-allports\fR
+pour scanner tous les ports sans tenir compte d\'aucune directive
+Exclude\.
+.RE
+.PP
+\fB\-\-version\-intensity \fR(Sélectionne l\'intensité du scan de version)
+.RS 4
+Lors d\'un scan de version (\fB\-sV\fR), Nmap envoie une série de paquets de tests, à chacun duquel est associé une valeur de rareté allant de 1 à 9\. Les tests aux basses valeurs sont efficaces pour une grande variété de services courants, tandis que les hautes valeurs indiquent ceux qui ne sont que rarement utiles\. Le niveau d\'intensité spécifie quels tests doivent être effectués\. Plus la valeur est haute, plus le service a de chances d\'être correctement identifié\. Cependant, ces scans\-ci sont plus longs\. La valeur d\'intensité doit être comprise entre 0 et 9, la valeur par défaut étant le 7\. Quand un test est inscrit sur le port cible par le biais de la directive
+\fInmap\-service\-probes\fR
+ports, ce test est tenté quelque soit le niveau d\'intensité\. Cela permet de s\'assurer que les tests DNS seront toujours tentés sur chaque port 53 ouvert, les tests SSL sur chaque 443, etc\.
+.RE
+.PP
+\fB\-\-version\-light\fR(Active le mode léger)
+.RS 4
+Il s\'agit d\'un raccourci pour
+\fB\-\-version\-intensity 2\fR\. Ce mode léger rend le scan de version bien plus rapide, mais il est un peu moins susceptible d\'identifier les services\.
+.RE
+.PP
+\fB\-\-version\-all\fR(Essaie chaque test possible)
+.RS 4
+Il s\'agit d\'un raccourci pour\fB\-\-version\-intensity 9\fRforçant chaque test unitaire à être testé contre chaque port\.
+.RE
+.PP
+\fB\-\-version\-trace\fR(Trace l\'activité du scan de version)
+.RS 4
+Ceci force Nmap à afficher un nombre considérable d\'informations de débogage à propos de ce que fait le scan de version\. Il s\'agit d\'un sous\-ensemble de ce que vous obtenez avec l\'option
+\fB\-\-packet\-trace\fR\.
+.RE
+.PP
+\fB\-sR\fR(Scan RPC)
+.RS 4
+Cette méthode fonctionne conjointement avec les différentes méthodes de scan de Nmap\. Il prend tous les ports TCP/UDP ouverts et les submerge avec les commandes NULL du programme SunRPC dans le but de déterminer s\'il s\'agit de ports RPC, et le cas échéant, de quel programme et quel numéro de version il s\'agit\. Vous pouvez aussi obtenir les mêmes informations avec
+\fBrpcinfo \-p\fR, et ce, même si le mapper de port (portmapper) de la cible se trouve derrière un pare\-feu (ou protégé par des wrappers TCP)\. Les leurres ne fonctionnent pas avec le scan RPC\. Cette option est automatiquement activée par le scan de version (\fB\-sV\fR)\. Comme la détection de version inclus le scan RPC, et est bien plus complète, on a rarement besoin de l\'option
+\fB\-sR\fR\.
+.RE
+.SH "NMAP SCRIPTING ENGINE (NSE)"
+.PP
+Le moteur de scripts de Nmap (Nmap Scripting Engine \-NSE) allie l\'efficacité avec laquelle Nmap traite le réseau avec la souplesse d\'un langage léger comme Lua, fournissant ainsi une infinité d\'opportunités\. Une documentation plus complète du NSE (y compris ses API) peut être obtenue sur
+\fI\%http://www.insecure.org/nmap/nse\fR\. Le but du NSE est de fournir à Nmap une infrastructure flexible afin d\'étendre ses capacités et ainsi offrir à ses utilisateurs une facon simple de créer leurs propres tests personnalisés\. Le cadre d\'usage du NSE englobe (mais encore une fois n\'est pas limité à) :
+.PP
+\fIDétection de version évoluée \fR(catégorie
+version) \- Alors que Nmap propose déja son système de détection de Service et de Version qui est inégalé en termes d\'efficacité et de couverture, cette puissance trouve sa limite lorsqu\'il s\'agit de services qui demandent des tests plus complexes\. La version 2 du Protocole Skype par exemple peut être identifié en envoyant deux paquets de tests pour lesquels le système n\'est pas prévu d\'origine: un simple script NSE peut alors faire le travail et mettre ainsi à jour les informations sur le service tournant sur le port\.
+.PP
+\fIDétection de Malware\fR
+(catégories
+malware
+et
+backdoor)\- Que ce soit les attaquants ou les vers, ils laissent souvent des portes dérobées, par exemple sous la forme de serveurs SMTP écoutant sur des ports inhabituels, le plus souvent utilisés par les spammers pour le relais de leurs mails, ou sous forme de serveur FTP donnant des accès à des données critiques aux crackers\. Quelques lignes de code Lua peut aider à identifier facilement ces pièges\.
+.PP
+\fIDétection de vulnérabilités\fR
+(catégorie
+vulnerability)\- Le NSE permet de détecter les risques allant par exemple des mots de passe par défaut sur Apache au test de capacité d\'agir en tant que relais pour un serveur SMTP concernant les mails en provenance de domaines divers\.
+.PP
+\fIDécouverte du Réseau et Collecte d\'Informations\fR
+(catégories
+safe,
+intrusive
+et
+discovery) \- En vous fournissant un langage de scripts et une API réseau asynchrone vraiment efficace d\'une part et la collecte d\'informations durant les étapes ultérieures du scan d\'autre part, le NSE est concu pour écrire des programmes clients adaptés aux services en écoute sur la machine cible\. Ces clients peuvent collecter des informations comme : liste des partages NFS/SMB/RPC disponibles, le nombre de canaux d\'un réseau IRC ou les utilisateurs actuellement connectés\.
+.PP
+Afin de refléter ces différents usages et pour simplifier le choix des scripts à employer, chaque script contient un champ qui l\'associe a une ou plusieurs de ces catégories\. Pour maintenir le lien entre scripts et catégories un fichier appelé script\.db est installé avec les scripts distribués\. Ainsi si par exemple vous voulez voir si une machine est infectée par un ver Nmap vous donne un script que vous pouvez facilement utiliser par la commande
+nmap \-\-script=malware ip\-cible
+afin d\'analyser les résultats après coup\.Les scripts de version sont systématiquement lancés de facon implicite lorsqu\'un scan de scripts est invoqué\. Le fichier
+script\.db
+est lui même un script Lua et peut être mis à jour via l\'option
+\fB\-\-script\-updatedb\fR\.
+.PP
+Un script NSE est simplement un code Lua qui a (parmis quelques champs d\'information comme le nom, l\'identifiant et la catégorie) 2 fonctions: un test dans le cas où le script en particulier doit être lancé contre une cible et un port spécifiques (appelés hostrule et portrule respectivement) et une action qui doit être menée si le test est positif\. Les scripts ont acces à la plupart des informations collectées par Nmap durant les étapes précédentes\. Pour chaque hôte ceci inclus l\'adresse IP, le nom de l\'hôte et (si disponible) le système d\'exploitation\. Si un script est destiné à un port en particulier, il a accès au numéro du port, son protocole (tcp, udp ou ssl), le service tournant derrière ce port et des informations optionnelles en provenance d\'un scan de version\. Par convention les scripts NSE ont une extension \.nse\. Toutefois vous n\'avez pas besoin de suivre cette recommandation pour le moment, ceci pouvant changer dans l\'avenir\. Nmap donnera une mise en garde si un fichier a une autre extension\. Une documentation plus exhaustive sur le NSE comprenant une description de son API peut être obtenue sur
+\fI\%http://insecure.org/nmap/nse/\fR\.
+.PP
+\fB\-sC\fR
+.RS 4
+effectue un scan de scripts en utilisant la catégorie de scripts par défaut\. Cette option est équivalente à
+\-\-script=safe,intrusive
+.RE
+.PP
+\fB\-\-script \fR
+.RS 4
+Lance un scan de scripts (comme
+\fB\-sC\fR) avec les scripts que vous avez choisi plutôt que ceux par défaut\. Les arguments peuvent être des catégories de scripts, des scripts uniques ou des répertoires contenant des scripts qui doivent être lancés contre les hôtes cibles à la place des scripts par défaut\. Nmap va essayer d\'interpréter les arguments d\'abord comme des catégories puis comme des noms de fichiers ou des répertoires\. Les chemins absolus sont interpretés tels quels, les chemins relatifs sont recherchés dans les endroits suivants :
+\-\-datadir/; $(NMAPDIR)/; ~user/nmap/
+(non cherché sous Windows);
+NMAPDATADIR/ ou \./\. A scripts/
+les sous répertoires sont aussi essayés dans chacun d\'eux\. Donnez l\'argument
+all
+pour exécuter tous les scripts de la base de données de Nmap\.
+.sp
+Si un répertoire est précisé et trouvé, Nmap charge tous les scripts NSE (chaque fichier se terminant par \.nse) dans ce répertoire\. L\'extension nse est obligatoire\. Nmap ne fait pas de recherche récursive dans les sous répertoires éventuels pour trouver les scripts\. Lorsque des noms de scripts individuels sont spécifiés, l\'extension est facultative\.
+.sp
+Les scripts de Nmap sont stockés dans un répertoire scripts du répertoire de données par défaut de Nmap\. Les scripts sont indexés dans une base de données dans
+scripts/script\.db\. La base de données liste tous les scripts dans chaque catégorie\. Un seul script peut être dans plusieurs catégories\.
+.RE
+.PP
+\fB\-\-script\-args=\fR
+.RS 4
+vous permet de passer des arguments aux scripts NSE\. Les arguments sont passés sous la forme de paires
+name=value
+\. L\'arguments fourni est interprété et stocké dans une table Lua à laquelle tous les scripts ont accès\. Les noms sont pris comme des chaînes (qui doivent être des valeurs alphanumériques) et utilisés comme des clés dans la table
+argument\-table\. Les valeurs sont soit des chaînes soit des tables elles mêmes (encadrées par\'{\' et \'}\')\. Les sous tables permettent de supplanter les arguments pour des scripts spécifiques (c\'est à dire lorsque vous souhaitez fournir différents couples login/password pour des scripts différents)\. Par exemple vous pouvez passer les arguments séparés par des virgules :
+user=bar,password=foo, and anonFTP={password=nobody@foobar\.com}\. Si vous souhaitez outrepasser une option d\'un script, vous devriez indexer la sous table avec l\'identifiant du script étant donné que c\'est la seule facon qu\'a le script de connaitre ses arguments particuliers\.
+.RE
+.PP
+\fB\-\-script\-trace\fR
+.RS 4
+Cette option fait ce que fait
+\fB\-\-packet\-trace\fR
+, juste une couche OSI au dessus\. Si cette option est spécifiée toutes les communications entrantes et sortantes en provenance d\'un script sont affichées\. Les informations affichées incluent le protocole de communication, la source, la cible et les données transmises\. Si plus de 5% du traffic n\'est pas imprimable, alors la sortie se fait au format hexadécimal\.
+.RE
+.PP
+\fB\-\-script\-updatedb\fR
+.RS 4
+met à jour la base de données de scripts qui contient les correspondances des catégories avec les noms de fichiers\. La base de données est un script Lua qui est interprété pour choisir les scripts en fonction des catégories passées en arguments à
+\fB\-\-script\fR
+\. Ceci devrait être lancé si vous avez changé le champ categories d\'un script, si vous avez ajouté de nouveaux scripts ou si vous en avez retiré du répertoire
+scripts/
+\.
+.RE
+.SH "TIMING ET PERFORMANCES"
+.PP
+L\'une des priorités les plus importantes dans le développement de Nmap a toujours été la performance\. Un scan par défaut (\fBnmap \fR\fB\fIhostname\fR\fR\fB \fR) d\'un hôte sur mon réseau local prend un cinquième de seconde\. Il s\'agit donc de très peu de temps mais les minutes s\'accumulent lorsque vous scannez des dizaines ou des centaines de milliers d\'hôtes\. De plus, certains scans tels que le scan UDP et la détection de version peuvent accroître le temps global du scan de façon significative\. De plus, certains pare\-feux limitent le taux de réponses dans leur configuration\. Bien que Nmap utilise un fonctionnement en parallèle et beaucoup d\'autres algorithmes avancés afin d\'accélérer ces scans, l\'utilisateur garde le contrôle total sur le fonctionnement de Nmap\. Les utilisateurs confirmés choisissent avec une grande attention leurs commandes afin d\'obtenir seulement les informations dont ils ont besoin en un minimum de temps\.
+.PP
+Les techniques permettant d\'affiner les temps de scan sont entre autres d\'éviter les tests non essentiels et d\'avoir les versions les plus récentes de Nmap (les augmentations de performance sont fréquentes)\. Optimiser ses paramètres de temps en temps peut ainsi faire toute la différence\. Ces options sont décrites ci\-dessous\.
+.PP
+\fB\-\-min\-hostgroup \fR; \fB\-\-max\-hostgroup \fR (Ajuste la quantité du groupe de scans en parallèle)
+.RS 4
+Nmap peut scanner des ports ou faire un scan de version sur de multiples hôtes en parallèle\. Pour ce faire, Nmap divise la plage des adresses IP des cibles en groupe puis scanne ces groupes un à la fois\. En général, scanner un grand nombre de groupes améliore l\'efficacité de la procédure\. En contrepartie, les résultats ne peuvent être fournis que lorsque tout le groupe d\'hôtes a été scanné\. Par conséquent, si Nmap a commencé avec un groupe de 50, l\'utilisateur ne recevra aucun résultat tant que les premiers 50 hôtes ne seront pas terminés (exception faite des informations données en mode verbeux)\.
+.sp
+Par défaut, Nmap adopte un compromis dans son approche de ce conflit\. Il commence avec une quantité aussi petite que 5 groupes de façon à obtenir rapidement les premiers résultats et augmente ensuite la quantité de groupes jusqu\'à un maximum de1 024\. Les valeurs exactes par défaut dépendent des options configurées\. Par soucis d\'efficacité, Nmap utilise une quantité de groupes plus grande lorsqu\'il s\'agit de scans UDP ou sur peu de ports en TCP\.
+.sp
+Lorsqu\'un maximum est spécifié en quantité de groupes avec l\'option
+\fB\-\-max\-hostgroup\fR, Nmap ne va jamais dépasser cette valeur\. Spécifiez une quantité minimale avec l\'option
+\fB\-\-min\-hostgroup\fR
+et Nmap tentera de garder la quantité de groupes au\-dessus de cette valeur\. Nmap devra peut\-être utiliser des groupes plus petits que ceux que vous demandez s\'il n\'y a plus assez d\'hôtes cibles sur une interface donnée par rapport au minimum que vous avez spécifié Les deux valeurs doivent être déterminés pour de conserver la quantité de groupes dans une plage spécifique, quoique ceci ne soit que rarement souhaité\.
+.sp
+Le premier usage de ces options est de spécifier un minimum assez grand pour que le scan entier se fasse plus vite\. Un choix fréquent est 256 pour scanner un réseau de Classe C\. S\'il s\'agit d\'un scan incluanrt beaucoup de ports, dépasser cette valeur n\'aidera pas à grand chose\. S\'il s\'agit de scans sur peu de ports, une quantité de groupes de 2 048 ou plus peut faciliter la procédure\.
+.RE
+.PP
+\fB\-\-min\-parallelism \fR; \fB\-\-max\-parallelism\' \fR (Ajuste la mise en parallèle des paquets de test, probes)
+.RS 4
+Ces options permettent de contrôler le nombre total de probes idéal pour un groupe d\'hôtes\. Elles permettent de scanner des ports et de découvrir des hôtes (host discovery)\. Par défaut, Nmap calcule un parallélisme idéal et variable basé sur les performances du réseau\. Si des paquets sont rejetés, Nmap ralentit sa cadence en permettant moins de probes simultanés\. Le nombre idéal de probes augmente graduellement en même temps que le réseau démontre ses performances\. Ces options fixent les limites maximales et minimales selon cette variable\. Par défaut, le parallélisme idéal peut chuter à 1 si le réseau s\'avère trop faible et monter à plusieurs centaines dans des conditions parfaites\.
+.sp
+L\'usage habituel consiste à régler l\'option
+\fB\-\-min\-parallelism\fR
+à une valeur supérieure à 1 pour accélérer les scans sur des réseaux de faible performance\. Il est risqué de trop modifier cette option puisqu\'établir une valeur trop élevée peut affecter la précision des résultats\. Modifier cette option réduit aussi la capacité de Nmap à contrôler le parallélisme de façon dynamique selon les conditions du réseau\. Une valeur de 10 peut être raisonnable bien que je n\'ajuste personnellement celle\-ci qu\'en dernier ressort\.
+.sp
+L\'option
+\fB\-\-max\-parallelism\fR
+est parfois réglée à 1 afin d\'éviter d\'envoyer plus d\'un probe en même temps vers les hôtes\. Ceci peut être intéressant en combinaison avec l\'option
+\fB\-\-scan\-delay\fR
+(on verra plus tard), bien que cette option serve déjà elle\-même à cet effet\.
+.RE
+.PP
+\fB\-\-min_rtt_timeout \fR, \fB\-\-max\-rtt\-timeout \fR, \fB\-\-initial\-rtt\-timeout \fR (Ajuste la durée de vie des paquets de test, probe timeouts)
+.RS 4
+Nmap conserve une valeur de durée de vie qui détermine combien de temps il devra attendre avant d\'envoyer une réponse à un probe avant de l\'abandonner ou de le renvoyer\. Cette valeur est calculée en fonction du temps de réponse des probes précédents\. Si le temps de latence du réseau est significatif et variable, ce délai d\'inactivité ou cette durée de vie, peut augmenter jusqu\'à plusieurs secondes\. Elle est également de niveau élevé et peut rester ainsi pendant un bon moment lorsque Nmap scanne des hôtes sans réponse\.
+.sp
+Ces options acceptent des valeurs en millisecondes\. Spécifier un
+\fB\-\-max\-rtt\-timeout\fR
+et un
+\fB\-\-initial\-rtt\-timeout\fR
+plus bas que ceux par défaut peuvent raccourcir le temps de scan de façon significative\. C\'est particulièrement vrai pour les scans sans ping préalable (\fB\-P0\fR) et ceux contre des réseaux très filtrés\. Toutefois, ne soyez pas trop agressif\. Le scan peut se finir en un temps plus significatif si, au contraire, vous spécifiez des valeurs tellement basses que les durées de vie des probes sont terminées et ceux\-ci renvoyés alors que leurs réponses sont en fait encore en transit\.
+.sp
+Si tous les hôtes sont sur un réseau local, 100 millisecondes est une valeur de
+\fB\-\-max\-rtt\-timeout\fR
+seront suffisantes\. Si vous etes face a un routage, mesurez d\'abord le temps de réponse d\'un hôte sur le réseau \e l\'aide du ping ICMP de Nmap ou d\'un autre outil, comme hping2 qui est plus à même de passer un pare\-feu si le paquet est spécialement forgé\. Regardez les durées de transit sur 10 paquets ou plus\. Vous pouvez doubler cette valeur pour
+\fB\-\-initial\-rtt\-timeout\fR
+et tripler ou quadrupler le
+\fB\-\-max\-rtt\-timeout\fR\. Généralement, je ne règle pas le rtt maximum à moins de 100ms, et ce, quelles que soient les mesures de ping\. De plus, je n\'excède pas 1 000ms\.
+.sp
+
+\fB\-\-min_rtt_timeout\fR
+est une option rarement utilisée qui peut s\'avérer utile lorsqu\'un réseau est si lent que même les réglages par défaut de Nmap sont trop agressifs\. Comme Nmap ne réduit le délai d\'inactivité au minimum que lorsque le réseau semble suffisamment rapide, ce genre de besoin est inhabituel et devrait être rapporté en tant que procédure erronée à la liste de développement de nmap\-dev\.
+.RE
+.PP
+\fB\-\-max\-retries \fR (Spécifie le nombre maximum de retransmisison des paquets de test (probes))
+.RS 4
+Quand Nmap ne reçoit pas de réponse à un paquet de test sur un port, cela peut signifier que le port est filtré\. Ou simplement que la réponse s\'est perdue sur le réseau\. Il est également possible que l\'hôte cible ait limité son taux d\'émission ce qui a temporairement bloqué la réponse\. Pour ces raisons, Nmap recommence l\'émission du paquet de test\. Si Nmap détecte que le réseau est peu fiable, il peut essayer de re\-émettre le paquet plus de fois encore avant de s\'arrêter\. Si cette technique améliore la fiabilité, elle ralonge la durée du scan\. Quand la performance est un facteur critique, les scans peuvent être accélérés en limitant le nombre de retransmissions autorisé\. Vous pouvez même spécifier
+\fB\-\-max\-retries 0\fR
+pour éviter toute retransmission, bien que cela ne soit pas trop recommandé\.
+.sp
+Le paramétrage par défaut (sans politique
+\fB\-T\fR
+spécifiée) est d\'autoriser jusqu\'à dic retransmissions\. Si le réseau a l\'air fiable et que les hôtes cibles ne limitent pas leur taux d\'émission, Nmap ne fait généralement qu\'une seule retransmission\. Ainsi, réduire
+\fB\-\-max\-retries\fR
+à une valeur basse comme trois n\'affecte pas la plupart des scans\. Une telle valeur peut accélérer significativement les scans pour des hôtes lents (qui limitent leurs émissions)\. Généralement, vous perdez des informations si Nmap cesse de scanner un port trop tôt, mais cela peut être préférable à laisser
+\fB\-\-host\-timeout\fR
+expirer et perdre alors toutes les informations concernant la cible\.
+.RE
+.PP
+\fB\-\-host\-timeout \fR (Abandon des hôtes cibles trop lents)
+.RS 4
+Certains hôtes prennent du temps
+\fIlong\fR
+à scanner, tout simplement\. Ceci peut être dû à du matériel ou à des logiciels réseau peu performants ou inefficaces, à un taux de paquets limité ou à un pare\-feu restrictif\. Le faible pourcentage de hôtes lents scannés peut ralentir le temps de scan tout entier\. Il est donc parfois préférable d\'écarter temporairement ces hôtes du scan initial\. Ceci peut être fait en spécifiant
+\fB\-\-host\-timeout\fR
+avec le nombre de millisecondes maximales que vous êtes prêt à attendre\. Je choisis souvent 1 800 000 secondes pour m\'assurer que Nmap ne perde pas plus d\'une demi\-heure sur un seul hôte\. Notez que Nmap peut être en train de scanner d\'autres hôtes en même temps durant cette demi\-heure, ce n\'est donc pas une perte complète\. Un hôte qui dépasse cette valeur est abandonné\. Pas de listage des ports, de détection d\'OS ou de détection de version dans les résultats pour celui\-ci\.
+.RE
+.PP
+\fB\-\-scan\-delay \fR; \fB\-\-max_scan\-delay \fR (Ajuste le délai entre les paquets de test)
+.RS 4
+Cette option force Nmap à attendre d\'obtenir au moins la valeur donnée en millisecondes entre chaque probe qu\'il envoie sur un hôte donné\. C\'est particulièrement utile en cas de limitation de nombre de paquets (taux limite)\. Les machines Solaris (parmi beaucoup d\'autres) vont habituellement répondre à des paquets de test d\'un scan UDP par seulement un message ICMP par seconde\. Tout ce qui est envoyé au\-delà par Nmap serait inutile\. Un
+\fB\-\-scan\-delay\fR
+de 1 000 gardera Nmap à ce taux suffisamment lent\. Nmap essaie de détecter le taux limite et d\'ajuster le délai en conséquence, mais il ne fait pas de mal de le préciser si vous savez déjà quelle valeur est la meilleure\.
+.sp
+Une autre utilisation de
+\fB\-\-scan\-delay\fR
+est d\'éviter les détections éventuelles des systèmes de détection et de prévention d\'intrusion (IDS/IPS) basées sur ce genre de règle\.
+.RE
+.PP
+\fB\-\-defeat\-rst\-ratelimit\fR
+.RS 4
+Beaucoup d\'hôtes utilisent depuis longtemps un filtrage pour réduire le nombre de messages d\'erreur ICMP (comme les erreurs de ports inaccessibles) qu\'ils envoient\. Certains systèmes appliquent a présent des limitations similaires aux paquets RST (reset) qu\'ils génèrent\. Ceci peut ralentir Nmap dramaticalement étant donné qu\'il ajuste son timing pour refléter ces limitations\. Vous pouvez dire a Nmap d\'ignorer ces limitations (pour les scans de ports comme le SYN scan qui
+\fIne traitent pas\fR
+les ports muets comme étant
+ouverts) en spécifiant
+\fB\-\-defeat\-rst\-ratelimit\fR\.
+.sp
+Utiliser cette option peut réduire la précision, puisque certains ports apparaitront comme muets parcequ\'Nmap n\'attend alors pas assez longtemps une réponse RST qui serait limitée\. Dans le cas d\'un SYN scan, l\'absence de réponse se traduit par un port marqué
+filtré
+plutot que
+fermé
+quand des paquets RST sont recus\. Cette option est utile quand vous n\'avez besoin que des ports ouverts, et que distinguer des
+fermés
+ou des
+filtrés
+ne vaut pas le temps supplémentaire que cela suppose\.
+.RE
+.PP
+\fB\-T \fR (Régler un profil de comportement au niveau du délai)
+.RS 4
+Bien que les contrôles avancés et précis du délai dont il est fait mention dans les sections précédentes soient précis et efficaces, certains peuvent les trouver compliqués\. Qui plus est, choisir les valeurs appropriées peut parfois prendre plus de temps que le scan que vous essayez d\'optimiser\. De ce fait, Nmap offre une approche plus simple, avec six profils de timing\. Vous pouvez les spécifier grâce à l\'option
+\fB\-T\fR
+et aux numéros (0 à 5) ou aux noms correspondants\. Les noms des profils sont paranoid (0), sneaky (1), polite (2), normal (3), agressive (4), et insane (5)\. Les deux premiers sont pour éviter les IDS\. Le profile \(Fo Polite \(Fc ralentit le scan afin d\'utiliser moins de bande passante et moins de ressources sur la machine cible\. Le profil \(Fo Normal \(Fc est celui par défaut et donc
+\fB\-T3\fR
+ne fait rien\. Le profil \(Fo Agressive \(Fc accélère les scans, partant du principe que vous travaillez sur un réseau suffisamment rapide et efficace\. Enfin, le profil \(Fo Insane \(Fc suppose que vous êtes sur un réseau extraordinairement rapide ou que vous êtes prêt à sacrifier un peu de précision pour plus de vitesse\.
+.sp
+Ces profils permettent à l\'utilisateur de spécifier à quel point il souhaite être agressif tout en laissant Nmap choisir les valeur adéquates\. Les profils effectuent aussi quelques ajustements que les options avancées ne permettent pas encore\. Par exemple,
+\fB\-T4\fR
+empêche la variation dynamique du délai de dépasser 10ms pour les ports TCP et
+\fB\-T5\fR
+met cette valeur à 5 millisecondes\. Les profils peuvent être utilisés en combinaison avec les options avancées en autant que le profil est précisé en premier\. Dans le cas contraire, les valeurs normalisées pour le profil risquent d\'écraser celles que vous spécifiez\. Je vous recommande d\'utiliser
+\fB\-T4\fR
+lorsque vous scannez des réseaux plus ou moins rapides, efficaces et modernes\. Utilisez cette option (en début de ligne de commande) même si vous ajoutez des options avancées afin de bénéficier des petites améliorations liée à cette option\.
+.sp
+Si vous travaillez sur une connexion large bande ou Ethernet, je vous recommande toujours d\'utiliser
+\fB\-T4\fR\. Certains aiment utiliser
+\fB\-T5\fR
+quoique ce soit, à mon avis, trop agressif\. Les gens utilisent parfois
+\fB\-T2\fR
+parce qu\'ils pensent que le rsique que les hôtes tombent en panne soit moins grand ou parce qu\'ils se considèrent comme respectueux d\'une façon générale\. Souvent ils ne réalisent pas à quel point l\'option
+\fB\-T Polite\fR
+est lente en réalité\. Leur scan peut prendre dix fois plus de temps qu\'un scan par défaut\. Les machines qui tombent en panne et les problèmes liés à la bande passante sont rares avec les options de scan par défaut (\fB\-T3\fR)\. C\'est pourquoi je les recommande habituellement pour les scanneurs précautionneux\. Le fait de ne pas faire de détection de version est bien plus efficace pour limiter ces problèmes que de jouer sur les valeurs de timing\.
+.sp
+Bien que les options
+\fB\-T0\fR
+et
+\fB\-T1\fR
+puissent être utiles pour éviter les alertes des IDS, elles prendront un temps énorme pour scanner des milliers de machines ou de ports\. Lorsqu\'il s\'agit de tels scans, vous devriez régler les valeurs exactes de timing dont vous avez besoin plutôt que de vous appuyer sur les options
+\fB\-T0\fR
+et
+\fB\-T1\fR
+et les valeurs qui y sont associées\.
+.sp
+Les effets principaux de
+\fBT0\fR
+sont de mettre les scans en série de façon à ce que seul un port ne soit scanné à la fois, puis d\'attendre 5 minutes entre chaque envoi de probe\.
+\fBT1\fR
+et
+\fBT2\fR
+sont semblables mais n\'attendent que 15 secondes et 0,4 secondes, Respectivement, entre chaque probe\.
+\fBT3\fR
+est le profil par défaut de Nmap et comporte la mise en parallèle\.
+\fBT4\fR
+est l\'équivalent de
+\fB\-\-max\-rtt\-timeout 1250 \-\-initial\-rtt\-timeout 500 \-\-max\-retries 6\fR
+et met le délai maximum de scan TCP à 10 millisecondes\.
+\fBT5\fR
+fait la même chose que
+\fB\-\-max\-rtt\-timeout 300 \-\-min_rtt_timeout 50 \-\-initial\-rtt\-timeout 250 \-\-max\-retries 2 \-\-host\-timeout 900000\fR
+tout en mettant le délai maximum de scan TCP à 5 millisecondes\.
+.RE
+.SH "TIMING ET PERFORMANCES"
+.PP
+L\'une des priorités les plus importantes dans le développement de Nmap a toujours été la performance\. Un scan par défaut (\fBnmap \fR\fB\fIhostname\fR\fR\fB \fR) d\'un hôte sur mon réseau local prend un cinquième de seconde\. Il s\'agit donc de très peu de temps mais les minutes s\'accumulent lorsque vous scannez des dizaines ou des centaines de milliers d\'hôtes\. De plus, certains scans tels que le scan UDP et la détection de version peuvent accroître le temps global du scan de façon significative\. De plus, certains pare\-feux limitent le taux de réponses dans leur configuration\. Bien que Nmap utilise un fonctionnement en parallèle et beaucoup d\'autres algorithmes avancés afin d\'accélérer ces scans, l\'utilisateur garde le contrôle total sur le fonctionnement de Nmap\. Les utilisateurs confirmés choisissent avec une grande attention leurs commandes afin d\'obtenir seulement les informations dont ils ont besoin en un minimum de temps\.
+.PP
+Les techniques permettant d\'affiner les temps de scan sont entre autres d\'éviter les tests non essentiels et d\'avoir les versions les plus récentes de Nmap (les augmentations de performance sont fréquentes)\. Optimiser ses paramètres de temps en temps peut ainsi faire toute la différence\. Ces options sont décrites ci\-dessous\.
+.PP
+\fB\-\-min\-hostgroup \fR; \fB\-\-max\-hostgroup \fR (Ajuste la quantité du groupe de scans en parallèle)
+.RS 4
+Nmap peut scanner des ports ou faire un scan de version sur de multiples hôtes en parallèle\. Pour ce faire, Nmap divise la plage des adresses IP des cibles en groupe puis scanne ces groupes un à la fois\. En général, scanner un grand nombre de groupes améliore l\'efficacité de la procédure\. En contrepartie, les résultats ne peuvent être fournis que lorsque tout le groupe d\'hôtes a été scanné\. Par conséquent, si Nmap a commencé avec un groupe de 50, l\'utilisateur ne recevra aucun résultat tant que les premiers 50 hôtes ne seront pas terminés (exception faite des informations données en mode verbeux)\.
+.sp
+Par défaut, Nmap adopte un compromis dans son approche de ce conflit\. Il commence avec une quantité aussi petite que 5 groupes de façon à obtenir rapidement les premiers résultats et augmente ensuite la quantité de groupes jusqu\'à un maximum de1 024\. Les valeurs exactes par défaut dépendent des options configurées\. Par soucis d\'efficacité, Nmap utilise une quantité de groupes plus grande lorsqu\'il s\'agit de scans UDP ou sur peu de ports en TCP\.
+.sp
+Lorsqu\'un maximum est spécifié en quantité de groupes avec l\'option
+\fB\-\-max\-hostgroup\fR, Nmap ne va jamais dépasser cette valeur\. Spécifiez une quantité minimale avec l\'option
+\fB\-\-min\-hostgroup\fR
+et Nmap tentera de garder la quantité de groupes au\-dessus de cette valeur\. Nmap devra peut\-être utiliser des groupes plus petits que ceux que vous demandez s\'il n\'y a plus assez d\'hôtes cibles sur une interface donnée par rapport au minimum que vous avez spécifié Les deux valeurs doivent être déterminés pour de conserver la quantité de groupes dans une plage spécifique, quoique ceci ne soit que rarement souhaité\.
+.sp
+Le premier usage de ces options est de spécifier un minimum assez grand pour que le scan entier se fasse plus vite\. Un choix fréquent est 256 pour scanner un réseau de Classe C\. S\'il s\'agit d\'un scan incluanrt beaucoup de ports, dépasser cette valeur n\'aidera pas à grand chose\. S\'il s\'agit de scans sur peu de ports, une quantité de groupes de 2 048 ou plus peut faciliter la procédure\.
+.RE
+.PP
+\fB\-\-min\-parallelism \fR; \fB\-\-max\-parallelism\' \fR (Ajuste la mise en parallèle des paquets de test, probes)
+.RS 4
+Ces options permettent de contrôler le nombre total de probes idéal pour un groupe d\'hôtes\. Elles permettent de scanner des ports et de découvrir des hôtes (host discovery)\. Par défaut, Nmap calcule un parallélisme idéal et variable basé sur les performances du réseau\. Si des paquets sont rejetés, Nmap ralentit sa cadence en permettant moins de probes simultanés\. Le nombre idéal de probes augmente graduellement en même temps que le réseau démontre ses performances\. Ces options fixent les limites maximales et minimales selon cette variable\. Par défaut, le parallélisme idéal peut chuter à 1 si le réseau s\'avère trop faible et monter à plusieurs centaines dans des conditions parfaites\.
+.sp
+L\'usage habituel consiste à régler l\'option
+\fB\-\-min\-parallelism\fR
+à une valeur supérieure à 1 pour accélérer les scans sur des réseaux de faible performance\. Il est risqué de trop modifier cette option puisqu\'établir une valeur trop élevée peut affecter la précision des résultats\. Modifier cette option réduit aussi la capacité de Nmap à contrôler le parallélisme de façon dynamique selon les conditions du réseau\. Une valeur de 10 peut être raisonnable bien que je n\'ajuste personnellement celle\-ci qu\'en dernier ressort\.
+.sp
+L\'option
+\fB\-\-max\-parallelism\fR
+est parfois réglée à 1 afin d\'éviter d\'envoyer plus d\'un probe en même temps vers les hôtes\. Ceci peut être intéressant en combinaison avec l\'option
+\fB\-\-scan\-delay\fR
+(on verra plus tard), bien que cette option serve déjà elle\-même à cet effet\.
+.RE
+.PP
+\fB\-\-min_rtt_timeout \fR, \fB\-\-max\-rtt\-timeout \fR, \fB\-\-initial\-rtt\-timeout \fR (Ajuste la durée de vie des paquets de test, probe timeouts)
+.RS 4
+Nmap conserve une valeur de durée de vie qui détermine combien de temps il devra attendre avant d\'envoyer une réponse à un probe avant de l\'abandonner ou de le renvoyer\. Cette valeur est calculée en fonction du temps de réponse des probes précédents\. Si le temps de latence du réseau est significatif et variable, ce délai d\'inactivité ou cette durée de vie, peut augmenter jusqu\'à plusieurs secondes\. Elle est également de niveau élevé et peut rester ainsi pendant un bon moment lorsque Nmap scanne des hôtes sans réponse\.
+.sp
+Ces options acceptent des valeurs en millisecondes\. Spécifier un
+\fB\-\-max\-rtt\-timeout\fR
+et un
+\fB\-\-initial\-rtt\-timeout\fR
+plus bas que ceux par défaut peuvent raccourcir le temps de scan de façon significative\. C\'est particulièrement vrai pour les scans sans ping préalable (\fB\-P0\fR) et ceux contre des réseaux très filtrés\. Toutefois, ne soyez pas trop agressif\. Le scan peut se finir en un temps plus significatif si, au contraire, vous spécifiez des valeurs tellement basses que les durées de vie des probes sont terminées et ceux\-ci renvoyés alors que leurs réponses sont en fait encore en transit\.
+.sp
+Si tous les hôtes sont sur un réseau local, 100 millisecondes est une valeur de
+\fB\-\-max\-rtt\-timeout\fR
+seront suffisantes\. Si vous etes face a un routage, mesurez d\'abord le temps de réponse d\'un hôte sur le réseau \e l\'aide du ping ICMP de Nmap ou d\'un autre outil, comme hping2 qui est plus à même de passer un pare\-feu si le paquet est spécialement forgé\. Regardez les durées de transit sur 10 paquets ou plus\. Vous pouvez doubler cette valeur pour
+\fB\-\-initial\-rtt\-timeout\fR
+et tripler ou quadrupler le
+\fB\-\-max\-rtt\-timeout\fR\. Généralement, je ne règle pas le rtt maximum à moins de 100ms, et ce, quelles que soient les mesures de ping\. De plus, je n\'excède pas 1 000ms\.
+.sp
+
+\fB\-\-min_rtt_timeout\fR
+est une option rarement utilisée qui peut s\'avérer utile lorsqu\'un réseau est si lent que même les réglages par défaut de Nmap sont trop agressifs\. Comme Nmap ne réduit le délai d\'inactivité au minimum que lorsque le réseau semble suffisamment rapide, ce genre de besoin est inhabituel et devrait être rapporté en tant que procédure erronée à la liste de développement de nmap\-dev\.
+.RE
+.PP
+\fB\-\-max\-retries \fR (Spécifie le nombre maximum de retransmisison des paquets de test (probes))
+.RS 4
+Quand Nmap ne reçoit pas de réponse à un paquet de test sur un port, cela peut signifier que le port est filtré\. Ou simplement que la réponse s\'est perdue sur le réseau\. Il est également possible que l\'hôte cible ait limité son taux d\'émission ce qui a temporairement bloqué la réponse\. Pour ces raisons, Nmap recommence l\'émission du paquet de test\. Si Nmap détecte que le réseau est peu fiable, il peut essayer de re\-émettre le paquet plus de fois encore avant de s\'arrêter\. Si cette technique améliore la fiabilité, elle ralonge la durée du scan\. Quand la performance est un facteur critique, les scans peuvent être accélérés en limitant le nombre de retransmissions autorisé\. Vous pouvez même spécifier
+\fB\-\-max\-retries 0\fR
+pour éviter toute retransmission, bien que cela ne soit pas trop recommandé\.
+.sp
+Le paramétrage par défaut (sans politique
+\fB\-T\fR
+spécifiée) est d\'autoriser jusqu\'à dic retransmissions\. Si le réseau a l\'air fiable et que les hôtes cibles ne limitent pas leur taux d\'émission, Nmap ne fait généralement qu\'une seule retransmission\. Ainsi, réduire
+\fB\-\-max\-retries\fR
+à une valeur basse comme trois n\'affecte pas la plupart des scans\. Une telle valeur peut accélérer significativement les scans pour des hôtes lents (qui limitent leurs émissions)\. Généralement, vous perdez des informations si Nmap cesse de scanner un port trop tôt, mais cela peut être préférable à laisser
+\fB\-\-host\-timeout\fR
+expirer et perdre alors toutes les informations concernant la cible\.
+.RE
+.PP
+\fB\-\-host\-timeout \fR (Abandon des hôtes cibles trop lents)
+.RS 4
+Certains hôtes prennent du temps
+\fIlong\fR
+à scanner, tout simplement\. Ceci peut être dû à du matériel ou à des logiciels réseau peu performants ou inefficaces, à un taux de paquets limité ou à un pare\-feu restrictif\. Le faible pourcentage de hôtes lents scannés peut ralentir le temps de scan tout entier\. Il est donc parfois préférable d\'écarter temporairement ces hôtes du scan initial\. Ceci peut être fait en spécifiant
+\fB\-\-host\-timeout\fR
+avec le nombre de millisecondes maximales que vous êtes prêt à attendre\. Je choisis souvent 1 800 000 secondes pour m\'assurer que Nmap ne perde pas plus d\'une demi\-heure sur un seul hôte\. Notez que Nmap peut être en train de scanner d\'autres hôtes en même temps durant cette demi\-heure, ce n\'est donc pas une perte complète\. Un hôte qui dépasse cette valeur est abandonné\. Pas de listage des ports, de détection d\'OS ou de détection de version dans les résultats pour celui\-ci\.
+.RE
+.PP
+\fB\-\-scan\-delay \fR; \fB\-\-max_scan\-delay \fR (Ajuste le délai entre les paquets de test)
+.RS 4
+Cette option force Nmap à attendre d\'obtenir au moins la valeur donnée en millisecondes entre chaque probe qu\'il envoie sur un hôte donné\. C\'est particulièrement utile en cas de limitation de nombre de paquets (taux limite)\. Les machines Solaris (parmi beaucoup d\'autres) vont habituellement répondre à des paquets de test d\'un scan UDP par seulement un message ICMP par seconde\. Tout ce qui est envoyé au\-delà par Nmap serait inutile\. Un
+\fB\-\-scan\-delay\fR
+de 1 000 gardera Nmap à ce taux suffisamment lent\. Nmap essaie de détecter le taux limite et d\'ajuster le délai en conséquence, mais il ne fait pas de mal de le préciser si vous savez déjà quelle valeur est la meilleure\.
+.sp
+Une autre utilisation de
+\fB\-\-scan\-delay\fR
+est d\'éviter les détections éventuelles des systèmes de détection et de prévention d\'intrusion (IDS/IPS) basées sur ce genre de règle\.
+.RE
+.PP
+\fB\-\-defeat\-rst\-ratelimit\fR
+.RS 4
+Beaucoup d\'hôtes utilisent depuis longtemps un filtrage pour réduire le nombre de messages d\'erreur ICMP (comme les erreurs de ports inaccessibles) qu\'ils envoient\. Certains systèmes appliquent a présent des limitations similaires aux paquets RST (reset) qu\'ils génèrent\. Ceci peut ralentir Nmap dramaticalement étant donné qu\'il ajuste son timing pour refléter ces limitations\. Vous pouvez dire a Nmap d\'ignorer ces limitations (pour les scans de ports comme le SYN scan qui
+\fIne traitent pas\fR
+les ports muets comme étant
+ouverts) en spécifiant
+\fB\-\-defeat\-rst\-ratelimit\fR\.
+.sp
+Utiliser cette option peut réduire la précision, puisque certains ports apparaitront comme muets parcequ\'Nmap n\'attend alors pas assez longtemps une réponse RST qui serait limitée\. Dans le cas d\'un SYN scan, l\'absence de réponse se traduit par un port marqué
+filtré
+plutot que
+fermé
+quand des paquets RST sont recus\. Cette option est utile quand vous n\'avez besoin que des ports ouverts, et que distinguer des
+fermés
+ou des
+filtrés
+ne vaut pas le temps supplémentaire que cela suppose\.
+.RE
+.PP
+\fB\-T \fR (Régler un profil de comportement au niveau du délai)
+.RS 4
+Bien que les contrôles avancés et précis du délai dont il est fait mention dans les sections précédentes soient précis et efficaces, certains peuvent les trouver compliqués\. Qui plus est, choisir les valeurs appropriées peut parfois prendre plus de temps que le scan que vous essayez d\'optimiser\. De ce fait, Nmap offre une approche plus simple, avec six profils de timing\. Vous pouvez les spécifier grâce à l\'option
+\fB\-T\fR
+et aux numéros (0 à 5) ou aux noms correspondants\. Les noms des profils sont paranoid (0), sneaky (1), polite (2), normal (3), agressive (4), et insane (5)\. Les deux premiers sont pour éviter les IDS\. Le profile \(Fo Polite \(Fc ralentit le scan afin d\'utiliser moins de bande passante et moins de ressources sur la machine cible\. Le profil \(Fo Normal \(Fc est celui par défaut et donc
+\fB\-T3\fR
+ne fait rien\. Le profil \(Fo Agressive \(Fc accélère les scans, partant du principe que vous travaillez sur un réseau suffisamment rapide et efficace\. Enfin, le profil \(Fo Insane \(Fc suppose que vous êtes sur un réseau extraordinairement rapide ou que vous êtes prêt à sacrifier un peu de précision pour plus de vitesse\.
+.sp
+Ces profils permettent à l\'utilisateur de spécifier à quel point il souhaite être agressif tout en laissant Nmap choisir les valeur adéquates\. Les profils effectuent aussi quelques ajustements que les options avancées ne permettent pas encore\. Par exemple,
+\fB\-T4\fR
+empêche la variation dynamique du délai de dépasser 10ms pour les ports TCP et
+\fB\-T5\fR
+met cette valeur à 5 millisecondes\. Les profils peuvent être utilisés en combinaison avec les options avancées en autant que le profil est précisé en premier\. Dans le cas contraire, les valeurs normalisées pour le profil risquent d\'écraser celles que vous spécifiez\. Je vous recommande d\'utiliser
+\fB\-T4\fR
+lorsque vous scannez des réseaux plus ou moins rapides, efficaces et modernes\. Utilisez cette option (en début de ligne de commande) même si vous ajoutez des options avancées afin de bénéficier des petites améliorations liée à cette option\.
+.sp
+Si vous travaillez sur une connexion large bande ou Ethernet, je vous recommande toujours d\'utiliser
+\fB\-T4\fR\. Certains aiment utiliser
+\fB\-T5\fR
+quoique ce soit, à mon avis, trop agressif\. Les gens utilisent parfois
+\fB\-T2\fR
+parce qu\'ils pensent que le rsique que les hôtes tombent en panne soit moins grand ou parce qu\'ils se considèrent comme respectueux d\'une façon générale\. Souvent ils ne réalisent pas à quel point l\'option
+\fB\-T Polite\fR
+est lente en réalité\. Leur scan peut prendre dix fois plus de temps qu\'un scan par défaut\. Les machines qui tombent en panne et les problèmes liés à la bande passante sont rares avec les options de scan par défaut (\fB\-T3\fR)\. C\'est pourquoi je les recommande habituellement pour les scanneurs précautionneux\. Le fait de ne pas faire de détection de version est bien plus efficace pour limiter ces problèmes que de jouer sur les valeurs de timing\.
+.sp
+Bien que les options
+\fB\-T0\fR
+et
+\fB\-T1\fR
+puissent être utiles pour éviter les alertes des IDS, elles prendront un temps énorme pour scanner des milliers de machines ou de ports\. Lorsqu\'il s\'agit de tels scans, vous devriez régler les valeurs exactes de timing dont vous avez besoin plutôt que de vous appuyer sur les options
+\fB\-T0\fR
+et
+\fB\-T1\fR
+et les valeurs qui y sont associées\.
+.sp
+Les effets principaux de
+\fBT0\fR
+sont de mettre les scans en série de façon à ce que seul un port ne soit scanné à la fois, puis d\'attendre 5 minutes entre chaque envoi de probe\.
+\fBT1\fR
+et
+\fBT2\fR
+sont semblables mais n\'attendent que 15 secondes et 0,4 secondes, Respectivement, entre chaque probe\.
+\fBT3\fR
+est le profil par défaut de Nmap et comporte la mise en parallèle\.
+\fBT4\fR
+est l\'équivalent de
+\fB\-\-max\-rtt\-timeout 1250 \-\-initial\-rtt\-timeout 500 \-\-max\-retries 6\fR
+et met le délai maximum de scan TCP à 10 millisecondes\.
+\fBT5\fR
+fait la même chose que
+\fB\-\-max\-rtt\-timeout 300 \-\-min_rtt_timeout 50 \-\-initial\-rtt\-timeout 250 \-\-max\-retries 2 \-\-host\-timeout 900000\fR
+tout en mettant le délai maximum de scan TCP à 5 millisecondes\.
+.RE
+.SH "ÉVITEMENT DE PARE-FEUX/IDS ET MYSTIFICATION"
+.PP
+Beaucoup de pionniers d\'Internet envisageaient un réseau global ouvert avec un espace d\'adressage IP universel permettant des connexions virtuelles entre n\'importe quel noeuds\. Ceci permet aux hôtes d\'agir en véritables relais, recevant et renvoyant l\'information les uns aux autres\. Les gens pourraient accéder à l\'ensemble de leur système domestique du bureau, en changeant les réglages de climatisation ou en déverrouillant leur porte pour les premiers invités\. Cette vision d\'une connectivité universelle a été étouffée par la réduction de l\'espace d\'adressage et les considérations de sécurité\. Au début des années 90, les organisations commencèrent à déployer des pare\-feux dans le but explicite de réduire la connectivité\. De gigantesques réseaux furent cernés et coupés (NdT : le texte original dit
+\(lqbarrés par un cordon de police\(rq) d\'Internet non filtré par des proxies applicatifs, la conversion des adresses réseau (network address translation) et les filtrages de paquets\. Le flux d\'information libre céda la place à une régulation stricte de canaux de communication approuvés et du contenu qui y transitait\.
+.PP
+Les outils d\'obstruction du réseau comme les pare\-feux peuvent rendre la cartographie d\'un réseau beaucoup trop difficile\. Ce fait ne va pas aller en s\'arrangeant puisque l\'étouffement de toute possibilité de reconnaissance est souvent un point clé de l\'implémentation des interfaces\. Nonobstant, Nmap offre un certain nombre de fonctionnalités afin d\'aider à comprendre ces réseaux complexes ainsi que de s\'assurer que les filtres agissent comme ils sont censés le faire\. Il supporte même des mécanismes pour contourner les défenses établies de façon trop faibles\. Une des meilleures méthodes pour mieux comprendre votre réseau et la sécurité qui y est déployée est de tenter de la contourner\. Mettez\-vous à la place de l\'attaquant et déployez les techniques de cette section contre vos réseaux\. Lancez un scan \(Fo FTP bounce \(Fc, un \(Fo Idle scan \(Fc, une attaque par fragmentation, ou tentez d\'établir un tunnel à travers un de vos propres proxies\.
+.PP
+Outre le fait de restreindre l\'activité du réseau, les compagnies surveillent de plus en plus le trafic à l\'aide de systèmes de détection d\'intrusion (IDS)\. Tous les principaux IDSs sont prévus pour détecter les scans de Nmap parce que les scans sont parfois précurseurs d\'attaques\. Beaucoup de ces produits ont récemment migré vers des systèmes de
+\fIprévention\fR
+et d\'intrusion (IPS) qui bloquent de façon active un trafic supposé malveillant\. Malheureusement pour les administrateurs de réseau et les distributeurs d\'IDS, la fiabilité de détection de mauvaises intentions par analyse des données de paquets demeure un problème\. Les attaquants, avec de la patience, un certain niveau d\'expertise et certaines quelques fonctions de Nmap, peuvent traverser un IDS sans être détectés\. Dans le même temps, les administrateurs doivent composer avec un grand nombre de fausses alertes (false positive) qui bloquent et signalent une activité innocente\.
+.PP
+De temps en temps, les gens suggèrent que Nmap ne devrait pas offrir de possibilités de contourner les règles des pare\-feux ou de tromper les IDSs\. Ils font valoir que ces fonctionnalités sont utilisées par les attaquants de la même façon que les administrateurs les utilisent pour renforcer leur sécurité\. Le problème avec cette logique est que ces méthodes seront toujours utilisées par les attaquants, qui ne feront que trouver d\'autres outils ou corriger ces fonctions sur Nmap\. Dans le même temps, les administrateurs trouveront plus de difficultés à faire leur travail\. Déployer seulement des serveurs FTP modernes et corrigés est une défense bien plus efficace que d\'empêcher la distribution d\'outils permettant les attaques \(Fo FTP Bounce \(Fc\.
+.PP
+Il n\'y a pas de méthode miracle (ni d\'option dans Nmap) pour détecter et tromper les pare\-feux et les systèmes IDS\. Cela demande un niveau de connaissances et de l\'expérience\. Un tutoriel est prévu pour ce guide de référence qui ne fait que lister les options relatives à ces sujets et ce qu\'elles font\.
+.PP
+\fB\-f\fR (fragmentation de paquets); \fB\-\-mtu\fR (utiliser le MTU spécifié)
+.RS 4
+L\'option
+\fB\-f\fR
+force le scan demandé (y compris les scans de type ping) à utiliser des paquets IP fragmentés en petits paquets\. L\'idée est de partager l\'en\-tête TCP en plusieurs paquets pour rendre plus difficile la détection de ce que vous faites par les dispositifs de filtrage de paquets, les systèmes de détection et d\'intrusion et autres systèmes ennuyeux\. Il faudra cependant faire attention ! Certains programmes ont du mal à gérer ces petits paquets\. Les anciens sniffers comme Sniffit souffraient d\'erreurs de segmentation immédiatement après avoir reçu le premier fragment\. Spécifiez cette option une fois, et Nmap partage les paquets en 8 bytes ou moins après l\'en\-tête IP\. Par exemple, un en\-tête de 20 bytes sera fragmenté en 3 paquets\. Deux avec 8 bytes d\'en\-tête TCP et un avec les 4 derniers\. Bien entendu, chaque paquet a son en\-tête IP\. Spécifiez encore
+\fB\-f\fR
+pour utiliser 16 bytes par fragment (ceci réduit le nombre de fragments)\. Vous pouvez aussi spécifier votre propre taille d\'offset avec l\'option
+\fB\-\-mtu\fR\. Par contre, ne spécifiez pas
+\fB\-f\fR
+si vous utilisez
+\fB\-\-mtu\fR\. L\'offset doit être un multiple de 8\. Bien que les paquets fragmentés ne tromperont pas les filtrages de paquets et les pare\-feux, tenant compte de tous les fragments IP, comme l\'option CONFIG_IP_ALWAYS_DEFRAG dans le noyau Linux, certains réseaux ne peuvent supporter la perte de performance que cela entraîne et de ce fait laisse ceci désactivé\. D\'autres ne peuvent pas l\'activer parce que les fragments peuvent prendre différentes routes au sein de leur réseau\. Certains systèmes source défragmentent les paquets sortant dans le noyau\. Linux, avec le module de connection \(Fo tracking iptables \(Fc est un très bon exemple\. Faites donc ce genre de scan avec un sniffer comme Ethereal tournant en même temps afin de vous assurer que les paquets envoyés sont bien fragmentés\. Si votre système d\'exploitation causait des problèmes, essayez l\'option
+\fB\-\-send\-eth\fR
+pour contourner la couche IP et envoyer des trames en raw Ethernet\.
+.RE
+.PP
+\fB\-D \fR (Dissimuler un scan avec des leurres)
+.RS 4
+Engendrez un scan avec des leurres, ce qui fait croire à l\'hôte distant que les hôtes que vous avez spécifié exécutent eux aussi un scan contre lui\. Un IDS fera état d\'un scan de 5 à 10 ports depuis des adresses IP différentes, dont la vôtre, sans pouvoir faire la différence entre les leurres et la véritable origine\. Bien que ceci puisse être repéré par la tracabilité des routeurs, le renvoi de réponses (response\-dropping), et d\'autres mécanismes actifs, ceci reste une technique généralement efficace pour cacher votre adresse IP\.
+.sp
+Séparez chaque leure par une virgule et vous pourrez utiliser de façon facultative
+ME
+en tant que l\'un des leurres pour représenter la position de votre véritable adresse IP\. Si vous mettez
+ME
+en sixième position ou après, certains systèmes de détection de scans de ports (comme l\'excellent scanlogd de Solar Designer) sont incapables de voir votre adresse IP\. Si vous n\'utilisez pas
+ME, Nmap vous placera à une position aléatoire\.
+.sp
+Notez que les hôtes que vous utilisez comme leurres devraient être réellement actifs; sinon, vous risquez d\'inonder votre cible par des SYN\. Sans compter qu\'il serait très facile de déterminer quel hôte est en train de scanner si en fait un seul est actif sur le réseau\. Vous pourriez utiliser des adresses IP plutôt que des noms afin de ne pas apparaître dans les logs des serveurs de nom du réseau\.
+.sp
+Les leurres sont utilisés autant dans la phase initiale de scan ping (utilisant les ICMP, SYN, ACK, ou quoi que ce soit) que dans la phase proprement dite de scan de ports\. Les leurres sont aussi utilisés pendant la détection d\'OS distant (\fB\-O\fR)\. Les leurres ne fonctionnent pas avec la détection de version ou un scan de type TCP connect()\.
+.sp
+Il est inutile d\'utiliser trop de leurres car cela pourrait ralentir votre scan et potentiellement le rendre moins précis\. Enfin, certains FAI peuvent filtrer vos paquets usurpés (spoofés) toutefois beaucoup ne le font pas du tout\.
+.RE
+.PP
+\fB\-S \fR (Usurper votre adresse source)
+.RS 4
+Dans certaines circonstances, Nmap n\'est pas capable de déterminer votre adresse source ( Nmap vous avisera le cas échéant)\. Dans cette situation, utilisez
+\fB\-S\fR
+avec l\'adresse IP de l\'interface avec laquelle vous souhaitez envoyer les paquets\.
+.sp
+Un autre usage possible de ce drapeau est d\'usurper (spoofer) le scan afin de faire croire à la cible que
+\fIquelqu\'un d\'autre\fR
+est en train de les scanner\. Imaginez une compagnie constamment scannée pas un concurrent ! L\'option
+\fB\-e\fR
+est généralement requise pour ce genre d\'usage et
+\fB\-P0\fR
+est à conseiller quoi qu\'il en soit\.
+.RE
+.PP
+\fB\-e \fR (Utiliser l\'interface précisée)
+.RS 4
+Avise Nmap sur quelle interface envoyer et recevoir les paquets\. Nmap devrait pouvoir la détecter automatiquement mais il vous le dira si ce n\'est pas le cas\.
+.RE
+.PP
+\fB\-\-source\-port ;\fR \fB\-g \fR (Usurper le numéro du port source)
+.RS 4
+L\'une des erreurs de configuration les plus surprenantes est de faire confiance au trafic sur la base du port d\'où il provient\. Il est facile de comprendre pourquoi une telle situation se produit\. Un administrateur va régler un tout nouveau pare\-feu et être noyé sous les plaintes des utilisateurs dont les applications ne fonctionnent plus\. En particulier, les DNS peuvent être cassés parce que les réponses UDP DNS depuis les serveurs externes ne peuvent plus entrer sur le réseau\. Le FTP est un autre exemple\. Dans les transferts actifs en FTP, le serveur distant essaie d\'établir une connexion en retour vers le client afin de transférer le fichier demandé\.
+.sp
+La solution sécurisée pour ce problème existe, souvent sous la forme de proxies applicatifs ou de modules de filtrage de protocoles au niveau du pare\-feu\. Malheureusement, il existe aussi des solutions faciles non sécurisées\. En remarquant que les réponses DNS viennent du port 53 et le FTP actif du port 20, beaucoup d\'administrateurs sont tombés dans le piège de seulement permettre le trafic entrant depuis ces ports\. Ils imaginent souvent qu\'aucun attaquant n\'aura noté et pensé exploiter de telles failles de pare\-feux\. Dans d\'autres cas, l\'administrateur va considérer que c\'est une solution à court terme jusqu\'à ce qu\'il implémente une solution plus sécurisée\. Ils oublient par la suite d\'effectuer la mise à jour de sécurité\.
+.sp
+Les administrateurs de réseau surchargés de travail ne sont pas les seuls à tomber dans ce piège\. Beaucoup de produits sont pensés avec ce genre de règle mal sécurisée\. Même Microsoft en a été coupable\. Les filtres IPsec, fournis avec Windows 2000 et Windows XP, contiennent une règle implicite qui autorise tout trafic depuis le port 88 (Kerberos) en TCP ou UDP\. Dans un autre cas bien connu, les versions du pare\-feu Zone Alarm personal firewall jusqu\'à 2\.1\.25 permettaient tout paquet UDP provenant du port 53 (DNS) ou 67 (DHCP)\.
+.sp
+Nmap propose les options
+\fB\-g\fR
+et
+\fB\-\-source\-port\fR
+qui sont équivalentes pour exploiter ces faiblesses\. Fournissez simplement un numéro de port et Nmap enverra les paquets depuis ce port si possible\. Nmap doit utiliser certains numéros de port afin que certains tests de détection d\'OS fonctionnent correctement\. De plus, les requêtes DNS ignorent le drapeau
+\fB\-\-source\-port\fR
+parce que Nmap se fonde sur un système de bibliothèques pour les traiter\. La plupart des scans TCP, y compris le SYN scan, supportent entièrement l\'option comme le fait aussi le scan UDP\.
+.RE
+.PP
+\fB\-\-data\-length \fR (Ajoute des données aléatoires aux paquets envoyés)
+.RS 4
+Normalement, Nmap envoie des paquets minimalistes contenant seulement un en\-tête\. Donc ces paquets TCP ne font généralement que 40 bytes et les ICMP echo request seulement 28 bytes\. Cette option indique à Nmap d\'ajouter le nombre donné de bytes aléatoires à la plupart des paquets qu\'il envoie\. Les paquets de la détection d\'OS (\fB\-O\fR) ne sont pas affectés, contrairement à la plupart des paquets de ping et de scan de port\. Cette procédure ralentit bien entendu les choses mais permet toutefois de faire passer un scan pour un peu moins suspect\.
+.RE
+.PP
+\fB\-\-ip\-options ;>\fR \fB\-\-ip\-options >\fR (Envoie des paquets avec les options IP spécifiées)
+.RS 4
+Le
+\fIprotocole IP\fR\&[8]
+offre plusieurs options pouvant être placées dans l\'entête des paquets\. Contrairement aux options TCP habituelles, les options IP sont rarement rencontrées pour des raisons pratiques et de sécurité\. En fait, beaucoup de routeurs Internet bloquent les options les plus dangereuses comme le routage de source\. CEpendant les options peuvent s\'avérer utiles dans certains cases for determining and manipulating the network route to cas de machines cibles\. Par exemple vous pouvez être en mesure d\'utiliser l\'enregistrement de routage pour déterminer un chemin vers une cible quand bien même une approche plus traditionnelle de Traceroute échouerait\. Ou si vos paquets sont rejettés par un pare\-feu, vous pouvez spécifier une autre route avec des options plus ou moins vagues de routage\.
+.sp
+La facon la plus puissante de spécifier ces options IP est simplement de passer ces valeurs en argument à
+\fB\-\-ip\-options\fR\. Faites précéder chaque nombre héxadécimal par
+\ex
+puis les deux chiffres\. Vous pouvez répèter certains charactères en les séparant par un asterisk suivit du nombre de répétions\. Par exemple,
+\ex01\ex07\ex04\ex00*36\ex01
+est une chaine héxa contenant 36 NUL bytes\.
+.sp
+Nmap propose aussi un mechanisme de raccourcis pour spécifier ces options\. Donnez simplement la lettre
+R,
+T, ou
+U
+pour demander l\'enregistrement de routage, de timestamp, ou les deux simultanement, respectivement\. Un routage strict ou plus vague peut être spécifié avec un
+L
+ou un
+S
+suivit d\'un espace et d\'une liste séparée d\'espaces d\'adresses IP\.
+.sp
+Si vous souhaitez voir les options dans les paquets envoyés et recus, spécifiez
+\fB\-\-packet\-trace\fR\. Pour plus d\'information et d\'exemples de l\'utilisation des options IP avec Nmap, voir
+\fI\%http://seclists.org/nmap-dev/2006/q3/0052.html\fR\.
+.RE
+.PP
+\fB\-\-badsum\fR (Envoyer des paquets avec des sommes de contrôle TCP/UDP erronnées)
+.RS 4
+Demande a Nmap d\'utiliser une somme de contrôle TCP ou UDP erronnée pour les paquets envoyés aux hôtes cibles\. Comme virtuellement toutes les piles IP des hôtes rejettent ces paquets, toute réponse recue doivent venir d\'un pare\-feu ou d\'un IDS qui ne se préoccuppe pas de vérifier les sommes de contrôle\. Pour plus de détails sur cette technique, voir
+\fI\%http://www.phrack.org/phrack/60/p60-0x0c.txt\fR
+.RE
+.PP
+\fB\-\-ttl \fR (Règle la valeur du champ IP de durée de vie (time\-to\-live))
+.RS 4
+Règle le champ IPv4 du time\-to\-live dans les paquets envoyés à la valeur donnée\.
+.RE
+.PP
+\fB\-\-randomize\-hosts\fR (Met les hôtes dans un ordre aléatoire)
+.RS 4
+Indique à Nmap de mélanger tous les groupes contenant jusqu\'à 8 096 hôtes avant de les scanner\. Ceci peut rendre les scans moins évidents pour de nombreux systèmes de surveillance réseau, spécialement si vous le combinez à des options de délai lentes\. Si vous souhaitez mélanger des groupes de taille plus importante, augmentez la valeur PING_GROUP_SZ dans
+\fInmap\.h\fR
+et recompilez\. Une autre solution serait de générer la liste des IP cibles avec un scan de listage (list scan,
+\fB\-sL \-n \-oN \fR\fB\fIfilename\fR\fR\fB \fR), le mélanger à l\'aide d\'un script Perl, puis fournir la liste complète à Nmap avec
+\fB\-iL\fR\.
+.RE
+.PP
+\fB\-\-spoof\-mac \fR (Usurpation d\'adresses MAC)
+.RS 4
+Demande à Nmap d\'utiliser l\'adresse MAC spécifiée pour l\'ensemble des trames en raw Ethernet qu\'il envoie\. Cette option implique
+\fB\-\-send\-eth\fR
+pour s\'assurer que Nmap envoie vraiment des paquets au niveau Ethernet\. Le MAC donné peut prendre plusieurs formes\. S\'il s\'agit seulement de la chaîne
+\(lq0\(rq, Nmap choisit une adresse MAC totalement aléatoire pour la session\. Si la chaîne est un nombre hexadécimal (avec les paires de nombres éventuellement séparées par les deux points), Nmap utilisera ceci comme adresse MAC\. Si moins de 12 chiffres sont spécifiés, Nmap remplit le reste avec des valeurs aléatoires\. Si l\'argument n\'est ni 0 ni une chaîne hexadécimale, Nmap recherche dans sa base de données
+\fInmap\-mac\-prefixes\fR
+un nom de fournisseur contenant la chaîne en question (non sensible à la casse)\. Si une correspondance est trouvée, Nmap utilise le numéro OUI du distributeur (un préfixe de 3 bytes) et utilise les 3 bytes restants de façon aléatoire\. Des exemples de valeurs
+\fB\-\-spoof\-mac\fR
+valides sont
+Apple,
+0,
+01:02:03:04:05:06,
+deadbeefcafe,
+0020F2
+et
+Cisco\.
+.RE
+.SH "COMPTES RENDUS"
+.PP
+Tout outil de sécurité n\'est vraiment utile qu\'en fonction des comptes rendus qu\'il génère\. Des tests aussi complexes soient\-ils et des algorithmes n\'ont finalement qu\'une faible valeur s\'ils ne sont pas présentés et organisés de façon compréhensible\. Étant donné que les utilisateurs emploient Nmap et d\'autres Logiciels de diverses façons, il n\'y a pas un format qui puisse convenir à tout le monde\. Nmap propose donc plusieurs formats, y compris le mode interactif permettant d\'être directement intelligible et le XML pour une meilleure portabilité entre logiciels (parsing)\.
+.PP
+Outre le fait de proposer différents formats de sortie, Nmap comporte des options permettant aussi bien de contrôler la verbosité des comptes rendus que le déboggage\. Les différents types de sorties peuvent être envoyés à des comptes rendus normalisés ou à des fichiers spécifiques, dont le contenu peut s\'agrémenter des scans successifs ou remplacer un contenu précédent\. Ces fichiers de sortie peuvent aussi être utilisés pour reprendre un scan temporairement suspendu\.
+.PP
+Nmap rend les résultats disponibles en 5 formats différents\. Le format par défaut est appelé
+interactive output\. Il est envoyé en sortie standard (stdout)\. On trouve aussi le
+normal output, qui est semblable à
+interactive
+à ceci près qu\'il affiche moins d\'informations de fonctionnement et d\'alertes étant donné qu\'il est plutôt destiné à être analysé à la fin des scans au lieu de façcon interactive\.
+.PP
+La sortie au format XML est l\'une des plus importante qui peut être converti en HTML\. Elle est facilement traitée par des programmes tiers comme les interfaces graphiques pour Nmap, ou importée au sein de bases de données\.
+.PP
+Les deux autres formats restants sont le simple
+grepable output, qui inclus la plupart des informations concernant une cible dans une seule ligne, et le
+sCRiPt KiDDi3 0utPUt
+pour les utilisateurs qui se prennent au sérieux |<\-r4d\.
+.PP
+Alors que le format interactif représente la sortie par défaut et ne nécessite pas d\'option de ligne de commande particulière, les quatre autres options de format utilisent la même syntaxe\. Ils prennent un argument qui représente le nom du fichier dans lequel les résultats devraient être inscrits\. Des formats multiples peuvent être spécifiés mais chaque format ne devrait être spécifié qu\'une seule fois\. Par exemple, vous pourriez souhaiter sauvegarder une sortie de type normal (normal output) pour votre propre usage tout en sauvegardant un XML du même scan pour une analyse par un programme\. Vous pouvez le faire à l\'aide des options
+\fB\-oX myscan\.xml \-oN myscan\.nmap\fR\. Bien que ce chapitre utilise des noms de fichier simples, notamment
+myscan\.xml, àdes fins pratiques, des noms plus explicites sont en général recommandés\. Le choix des noms relève des préférences personnelles, toutefois pour ma part, j\'en utilise de longs contenant la date du scan ainsi qu\'un mot ou deux décrivant le scan\. Je les enregistre ensuite dans un répertoire nommé selon la compagnie pour laquelle je suis en train d\'effectuer le scan\.
+.PP
+Même si ces options sauvegardent les résultats dans des fichiers, Nmap continue à fournir la sortie interactive en stdout comme d\'habitude\. Par exemple, la commande
+\fBnmap \-oX myscan\.xml target\fR
+génère un fichier XML intitulé
+\fImyscan\.xml\fR
+tout en donnant la sortie standard avec le même résultat interactif qu\'il aurait donné si l\'option
+\fB\-oX\fR
+n\'avait pas été spécifiée du tout\. Vous pouvez changer cette procédure en entrant un tiret en argument sur l\'un des types de format\. Ceci force Nmap à désactiver la sortie interactive et d\'inscrire à la place les résultats dans le format que vous avez spécifié pour le flux de sortie standard\. Par conséquent, la commande
+\fBnmap \-oX \- target\fR
+enverra seulement une sortie XML en stdout\. Les erreurs sérieuses sont susceptibles d\'être inscrites dans le flux normal d\'erreur, le stderr\.
+.PP
+Contrairement à certains arguments de Nmap, l\'espace entre le drapeau de l\'option fichier (comme
+\fB\-oX\fR) et le nom de fichier ou le tiret est obligatoire\. Si vous l\'omettez et entrez des arguments tels que
+\fB\-oG\-\fR
+ou
+\fB\-oXscan\.xml\fR, une fonction de compatibilité d\'arrière\-plan de Nmap forcera la création de formats de type
+\fInormal format\fR
+comme fichiers de sortie nommés
+\fIG\-\fR
+et
+\fIXscan\.xml\fR, respectivement\.
+.PP
+Nmap offre en outre l\'option de contrôler la verbosité du scan et d\'ajouter les résultats les uns à la suite des autres dans un même fichier plutôt que d\'écraser les résultats précédants\. Toutes ces options sont décrites ci\-dessous\.
+.PP
+\fBFormats de Sortie sur Nmap\fR
+.PP
+\fB\-oN \fR (sortie Normale)
+.RS 4
+Demande que le format
+normal output
+soit appliqué au fichier donné\. Tel que décrit ci\-dessus, cette procédure diffère légèrement d\'une sortie de type
+interactive output\.
+.RE
+.PP
+\fB\-oX \fR (sortie XML)
+.RS 4
+Demande que le format
+XML output
+soit donné au fichier spécifié\. Nmap contient une définition de type de document (DTD) qui permet le traitement XML des résultats de Nmap\. Bien que ce soit d\'abord pensé aux fins d\'utilisation de programmation, cette procédure peut aussi aider à interpréter la sortie XML de Nmap\. Le DTD définit les éléments légaux du format et énumère souvent les attributs et les valeurs qu\'ils peuvent prendre\. La dernière version est toujours disponible sur
+\fI\%http://www.insecure.org/nmap/data/nmap.dtd\fR\.
+.sp
+Le XML offre un format stable facilement traitable au moyen d\'un logiciel\. Des outils de traitement XML sont offerts gratuitement dans tous les grands langages de programmation, y compris C/C++, Perl, Python et Java\. Des gens ont même écrit des outils spécifiques dans ces langages destinés au support de traitement des sorties de Nmap\. Notons comme exemples le
+\fINmap::Scanner\fR\&[9]
+et le
+\fINmap::Parser\fR\&[10]
+en Perl CPAN\. Dans la plupart des cas où une application tierce doit interagir avec Nmap, le XML est le format privilégié\.
+.sp
+Les sorties XML font référence à une feuille de style XSL qui peut être utilisée dans le but de formater les résultats au format HTML\. La façon la plus simple d\'utiliser ceci est de charger la sortie XML dans un navigateur Web, comme Firefox ou IE\. Par défaut, cette démarche ne pourra être appliquée qu\'à partir dela machine sur laquelle vous utilisez Nmap (ou une machine configurée de façon semblable) en raison du chemin système vers
+\fInmap\.xsl\fR
+codé en dur\. Utilisez l\'option
+\fB\-\-webxml\fR
+ou
+\fB\-\-stylesheet\fR
+pour une façon de générer un fichier XML portable qui rendra un format HTML sur toute machine connectée au Web\.
+.RE
+.PP
+\fB\-oS \fR (s0r713 ScRipT KIdd|3)
+.RS 4
+Le format de sortie Script kiddie est similaire à la sortie interactive, sauf qu\'il est post\-traité de façon à mieux coller au style l33t HaXXorZ qui s\'intéresse à Nmap soit les lettres majuscules et le contenu unique de sa prononciation\. Les gens dénués d\'humour devraient réaliser que cette option est surtout une moquerie envers les script kiddies avant de me descendre en flammes en m\'accusant de
+\(lqles aider\(rq\.
+.RE
+.PP
+\fB\-oG \fR (sortie Grepable)
+.RS 4
+Ce format de sortie vit ses derniers instants de support parce qu\'il devient désuet\. Le format XML est bien plus puissant et presque aussi pratique pour les utilisateurs expérimentés\. Le XML est un standard pour lequel des douzaines d\'excellents outils de traitement sont disponibles alors que le format de sortie grepable est mon propre bidouillage\. Le XML est évolutif afin de supporter les fonctions ultérieures de Nmap au rythme où elles sont disponibles alors que j\'omets souvent ces fonctions pour les sorties grepables par manque de place\.
+.sp
+Toutefois, le format de sortie grepable reste toujours populaire\. C\'est un format simple qui liste chaque hôte sur une seule ligne et peut être facilement traité à l\'aide d\'outils uniformisés sous UNIX, notamment grep, awk, cut, sed, diff et Perl\. Je l\'utilise même souvent pour certains tests en ligne de commande\. Trouver tous les hôtes ayant le port ssh ouvert ou tournant sous Solaris ne prend qu\'un simple grep pour identifier l\'hôte, envoyé sur un awk ou traité pour afficher le champ désiré\.
+.sp
+Le format Grepable consiste en une suite de commentaires (des lignes commençant par un dièze (#) et des lignes cibles\. Une ligne cible inclus une combinaison de 6 champs étiquetés, séparés par des tabulations et suivis d\'un séparatif\. Les champs sont
+Host,
+Ports,
+Protocols,
+Ignored State,
+OS,
+Seq Index,
+IPID
+et
+Status\.
+.sp
+Le plus important de ces champs est généralement
+Ports
+qui donne les détails sur chaque port considéré\. C\'est une liste d\'entrées séparées par une virgule\. Chaque entrée de port représente un port considéré et prend la forme de 7 sous\-champs séparés d\'une barre oblique (/) \. Ces sous\-champs sont les suivants :
+Port number,
+State,
+Protocol,
+Owner,
+Service,
+SunRPC info
+et
+Version info\.
+.sp
+Comme pour le format XML, cette page\-manuel ne permet pas de documenter de façon exhaustive l\'ensemble de ce format\. Une vision plus détaillée est disponible sur
+\fI\%http://www.unspecific.com/nmap-oG-output\fR\.
+.RE
+.PP
+\fB\-oA \fR (sortie en tous formats)
+.RS 4
+À votre convenance, vous pouvez spécifier
+\fB\-oA \fR\fB\fIbasename\fR\fR\fB \fR
+pour stocker les résultats de scans en format normal, XML et grepable, et ce, en une seule fois\. Ils sont stockés dans
+\fIbasename\fR\.nmap,
+\fIbasename\fR\.xml et
+\fIbasename\fR\.gnmap, respectivement\. Comme pour la plupart des programmes, vous pouvez ajouter en préfixe au nom de fichier un chemin d\'accès, comme
+\fI~/nmaplogs/foocorp/\fR
+sous UNIX ou
+\fIc:\ehacking\esco\fR
+sous Windows\.
+.RE
+.PP
+\fBoptions de verbosité et déboggage\fR
+.PP
+\fB\-v\fR (Augmenter le niveau de verbosité)
+.RS 4
+Augmente le niveau de verbosité, forçant Nmap à afficher plus d\'informations sur le scan qu\'il effectue\. Les ports ouverts sont indiqués au fur et à mesure où ils sont trouvés ainsi qu\'une évaluation du temps qui reste à scanner si Nmap pense que cela prendra quelques minutes\. Utilisez cette option deux fois pour encore plus de verbosité\. L\'utiliser plus de deux fois n\'a aucun effet\.
+.sp
+La plupart des changements modifient seulement la sortie interactive et certains touchent aussi les sorties normales et les script kiddies\. Les autres sorties sont conçues de façon à traiter par une machine, c\'est pourquoi Nmap peut donner des détails importants par défaut dans ces formats sans pour autant fatiguer un utilisateur humain\. Toutefois, il y a quelques modifications dans les autres modes pour lesquels les tailles de sorties peuvent être réduites substantiellement par omission de quelques détails\. Par exemple, une ligne commentée dans le format grepable qui fournit une liste de tous les ports scannés n\'est affichée que dans le mode verbeux parce que cela peut s\'avérer très long\.
+.RE
+.PP
+\fB\-d [level]\fR (Augmenter ou régler le niveau de déboggage)
+.RS 4
+Quand même le mode verbeux ne donne pas assez d\'informations pour vous, le déboggage est là pour vous noyer sous encore plus de données! Comme avec l\'option de verbosité (\fB\-v\fR), le déboggage est mis en place avec un drapeau de ligne de commande (\fB\-d\fR) et le niveau de déboggage peut être augmenté en le spécifiant plusieurs fois\. Autrement, vous pouvez définir un niveau de déboggage en donnant un argument à
+\fB\-d\fR\. Par exemple,
+\fB\-d9\fR
+définit le niveau 9\. C\'est le plus haut niveau et fournira des milliers de lignes à moins que vous ne lanciez un scan très simple avec très peu de ports et de cibles\.
+.sp
+La sortie de déeboggage est utile lorsqu\'une procédure erronée est soupçonnée dans Nmap ou si vous désirez simplement savoir ce que fait Nmap et pourquoi\. Comme cette fonctionnalité est surtout faite pour les développeurs, les lignes de déboggage ne sont pas toujours tres explicites\. Vous pouvez obtenir quelque chose comme :
+Timeout vals: srtt: \-1 rttvar: \-1 to: 1000000 delta 14987 ==> srtt: 14987 rttvar: 14987 to: 100000\. Si vous ne comprenez pas une ligne, vos seuls recours sont de l\'ignorer, la chercher dans le code source ou obtenir de l\'aide sur la liste de développement (nmap\-dev)\. Certaines sont quand même assez explicites, mais les messages deviennent de plus en plus obscures au fur et à mesure où le niveau de déboggage est élevé\.
+.RE
+.PP
+\fB\-\-packet\-trace\fR (Trace les paquets et les données envoyés et reçus)
+.RS 4
+Force Nmap à afficher un résumé de chaque paquet envoyé ou reçu\. C\'est souvent utilisé pour le déboggage mais c\'est aussi une bonne façon pour les nouveaux utilisateurs de mieux comprendre ce que Nmap fait en arrière\-lan\. Afin d\'éviter d\'afficher des milliers de lignes, vous pouvez spécifier un nombre limité de ports à scanner, notamment
+\fB\-p20\-30\fR\. Si vous ne vous préoccupez que de ce que fait le sous\-système de détection de version, utilisez plutôt
+\fB\-\-version\-trace\fR
+à la place\.
+.RE
+.PP
+\fB\-\-open\fR (Montre seulement les ports ouverts (ou potentiellement ouverts))
+.RS 4
+Il arrive que vous ne soyez interressé que par les ports sur lesquels vous pouvez effectivment vous connecter (état
+open ), et ne voulez pas de résultats pollués par ceux qui sont
+closed ,
+filtered , et
+closed|filtered
+\. La personnalisation est en général faite après le scan en utilisant des outils comme grep, awk, ou Perl, mais cette fonctionnalité a été ajoutée à cause d\'un grand nombre de demandes à cet égard\. Spécifiez
+\fB\-\-open\fR
+pour voir seulement les ports
+open ,
+open|filtered , et
+unfiltered \. Ces trois états sont traités pour ce qu\'ils sont normalement, ce qui signifie que
+open|filtered
+et
+unfiltered
+peuvent être regroupés dans le comptage si il y en a un grand nombre\.
+.RE
+.PP
+\fB\-\-log\-errors\fR (Journalise les erreurs/alertes dans un fichier en mode normal)
+.RS 4
+Les alertes et erreurs affichées par Nmap vont habituellement uniquement sur l\'écran (sortie interactive), laissant un eventuel fichier de sortie qui aurait été spécifié en ordre\. Mais quand vous souhaitez quand même voir ces messages dans le fichier de sortie que vous avez spécifié, ajoutez cette option\. C\'est utile quand vous ne regardez pas l\'affichage interactif ou si vous essayez de debogger un probleme\. Le message apparait quand même à l\'écran\. Ceci ne marchera pas pour la plupart des erreurs dues à une ligne de commande erronnée, étant donné que Nmap n\'aura pas encore ouvert de fichier de sortie a ce stade\. De plus, certains messages d\'alerte/erreurs utilisent un système différent qui n\'est pas encore supporté par cette option\. Une alternative à cette option est de rediriger l\'affichage interactif (flux d\'erreurs standard inclus) vers un fichier\. Tandis que la plupart des shells UNIX permettent ceci facilement, cela peut s\'avérer difficile sous Windows\.
+.RE
+.PP
+\fB\-\-iflist\fR (Dresse la liste des interfaces et des routes)
+.RS 4
+Affiche la liste des interfaces et des routes système telles que détectées par Nmap\. C\'est utile pour le déboggage lié aux problèmes de cheminement ou de détermination des interfaces (comme lorsque Nmap traite une connexion PPP en tant qu\'Ethernet)\.
+.RE
+.PP
+\fBOptions de sortie diverses\fR
+.PP
+\fB\-\-append\-output\fR (Ajouter au fichier plutôt que de l\'écraser)
+.RS 4
+Lorsque vous spécifiez un fichier pour un format de sortie comme
+\fB\-oX\fR
+ou
+\fB\-oN\fR, ce fichier est écrasé par défaut\. Si vous préférez garder le contenu existant du fichier et rajouter les nouveaux résultats, spécifiez l\'option
+\fB\-\-append\-output\fR\. Tout fichier de sortie spécifié dans cette configuration de session de Nmap se verra agrémenté des nouveaux résultats plutôt qu\'écrasé\. Cela ne fonctionne pas très bien pour les données de scan au format XML (\fB\-oX\fR) dont le fichier résultant ne sera pas vraiment correct et devra être rectifié à la main\.
+.RE
+.PP
+\fB\-\-resume \fR (Reprendre un scan abandonné)
+.RS 4
+Certaines sessions importantes de Nmap peuvent prendre beaucoup de temps \-\- de l\'ordre de plusieurs jours\. De tels scans ne sont pas toujours menés à terme\. Des restrictions peuvent empêcher Nmap d\'être utilisé pendant les heures de travail, soit parce que le réseau peut s\'écrouler, la machine sur laquelle Nmap tourne peut subir une réinitialisation voulue ou non ou Nmap lui même peut tomber en panne\. L\'administrateur qui utilise Nmap peut l\'annuler pour toute autre raison de toutes façons, en appuyant sur
+ctrl\-C\. Recommencer tout le scan à partir du début peut être indésirable\. Heureusement, si le format normal (\fB\-oN\fR) ou grepable (\fB\-oG\fR) a été conservé, l\'utilisateur peut demander à Nmap de reprendre le scan sur la cible qu\'il traitait au moment d\'être arrêté\. Spécifiez simplement l\'option
+\fB\-\-resume\fR
+avec le nom du fichier de sortie normal/grepable en argument\. Aucun autre argument n\'est autorisé puisque Nmap va chercher dans le fichier de sortie en question sa configuration précédente\. Appelez donc simplement Nmap de cette façon :
+\fBnmap \-\-resume \fR\fB\fIlogfilename\fR\fR\fB \fR\. Nmap ajoutera les nouveaux résultats aux données déjà présentes dans le fichier en question lors de la précédente exécution\. Le redémarrage n\'est pas possible à partir d\'un format XML parce que combiner les deux sessions dans un même fichier XML serait difficile\.
+.RE
+.PP
+\fB\-\-stylesheet \fR (Défini la feuille de style XSL pour transformer la sortie XML)
+.RS 4
+Nmap dispose d\'une feuille de style XSL nommée
+\fInmap\.xsl\fR
+afin de visionner ou transcrire la sortie XML en HTML\. La sortie XML comprend une directive
+xml\-stylesheet
+qui pointe sur
+\fInmap\.xml\fR
+où il a été initialement installé par Nmap (où dans le répertoire courant sous Windows)\. Chargez simplement la sortie XML de Nmap dans un navigateur à jour et il devrait retrouver
+\fInmap\.xsl\fR
+depuis le système de fichiers puis utilisez\-le pour obtenir le compte rendu des résultats\. Si vous préférez utiliser une feuille de style différente, spécifiez là en argument à
+\fB\-\-stylesheet\fR\. Vous devez donner le chemin ou l\'adresse URL complète\.
+\fB\-\-stylesheet http://www\.insecure\.org/nmap/data/nmap\.xsl\fR
+est une utilisation classique qui indique au navigateur de charger la dernière version de la feuille de style de Insecure\.Org\. Cette procédure rend plus facile le visionnage des résultats sur une machine qui ne dispose pas de Nmap (et donc de
+\fInmap\.xsl\fR) \. Par conséquent, l\'adresse URL est souvent plus utile toutefois le nmap\.xsl local est utilisé par défaut pour des raisons de confidentialité\.
+.RE
+.PP
+\fB\-\-webxml\fR (Charge la feuille de style depuis Insecure\.org)
+.RS 4
+Cette option est seulement un alias pour
+\-\-stylesheet http://insecure\.org/nmap/data/nmap\.xsl\.
+.RE
+.PP
+\fB\-\-no_stylesheet\fR (Ne pas déclarer de feuille de style XSL pour le XML)
+.RS 4
+Spécifiez cette option pour empêcher Nmap d\'associer toute feuille de style XSL avec les sorties XML\. La directive
+xml\-stylesheet
+est omise\.
+.RE
+.SH "OPTIONS DIVERSES"
+.PP
+Cette section décrit quelques options plus ou moins importantes qui ne trouvent pas vraiment leur place ailleurs\.
+.PP
+\fB\-6\fR (Activer le scan en IPv6)
+.RS 4
+Depuis 2002, Nmap a proposé le support IPv6 pour ses fonctionnalités les plus populaires\. En particulier les ping scan (TCP seulement), connect() scan et détection de version qui supportent l\'IPv6\. La synthaxe de la commande est la même qu\'habituellement, sauf que vous précisez aussi l\'option
+\fB\-6\fR
+\. Bien sûr, vous devez utiliser la synthaxe IPv6 si vous spécifiez une adresse plutôt qu\'un nom d\'hôte\. Une adresse doit ressembler à
+3ffe:7501:4819:2000:210:f3ff:fe03:14d0, c\'est pourquoi les noms d\'hôtes sont recommandés\. Les résultats de sortie ressemblent à ceux obtenus habituellement avec la notation IPv6 sur la ligne
+\(lqinteresting ports\(rq
+\.
+.sp
+Bien qu\'on ne puisse pas dire que l\'IPv6 ait bouleversé le monde, son utilisation reste notable dans certains pays (particulièrement en Asie)\. De plus, la plupart des systèmes d\'exploitation modernes le supportent\. Pour utiliser Nmap avec des IPv6, la source et la cible du scan doivent être configurées pour l\'IPv6\. Si votre fournisseur d\'accès Internet (comme dans la plupart des cas) ne vous a pas alloué d\'adresse IPv6, des tunnels libres sont disponibles et fonctionnent très bien avec Nmap\. L\'un des meilleurs est entretenu par BT Exact sur
+\fI\%https://tb.ipv6.btexact.com/\fR\. J\'en ai aussi utilisé un que Hurricane Electric fournit sur
+\fI\%http://ipv6tb.he.net/\fR\. Les tunnels 6to4 sont aussi une autre approche libre et populaire\.
+.RE
+.PP
+\fB\-A\fR (option de scan agressif)
+.RS 4
+Cette option active des options agressives supplémentaires avancées\. Je n\'ai pas vraiment déterminé ce que cela signifie jusqu\'à présent\. Pour le moment, ceci active la détection d\'OS (\fB\-O\fR) et le scan de version (\fB\-sV\fR)\. Davantage de fonctions peuvent être ajoutées dans le futur\. L\'idée est d\'activer un panel complet d\'options de scan sans que les gens aient à se rappeler d\'un grand nombre de drapeaux\. Cette option ne fait qu\'activer des options sans aucun réglage d\'options de délai (comme
+\fB\-T4\fR) ou de verbosité (\fB\-v\fR) que vous pourriez par ailleurs souhaiter\.
+.RE
+.PP
+\fB\-\-datadir \fR (Indique l\'emplacement personnalisé des fichiers de données pour Nmap)
+.RS 4
+Nmap obtient certaines informations pendant son fonctionnement depuis les fichiers
+\fInmap\-service\-probes\fR,
+\fInmap\-services\fR,
+\fInmap\-protocols\fR,
+\fInmap\-rpc\fR,
+\fInmap\-mac\-prefixes\fR
+et
+\fInmap\-os\-fingerprints\fR\. Nmap, dans un premier temps, recherche ces fichiers dans un répertoire indiqué avec l\'option
+\fB\-\-datadir\fR
+(si elle existe)\. Tout fichier non trouvé à cet emplacement sera cherché dans l\'emplacement spécifié par la variable d\'environnement NMAPDIR \. Puis vient
+\fI~/\.nmap\fR
+pour les UIDs véritables et proprement dits (systèmes POSIX seulement) ou l\'emplacement de l\'exécutable Nmap (Win32 seulement), et enfin un emplacement comme
+\fI/usr/local/share/nmap\fR
+ou
+\fI/usr/share/nmap\fR
+\. En dernier ressort, Nmap va chercher dans le répertoire courant\.
+.RE
+.PP
+\fB\-\-servicedb \fR (spécifier un fichier de services spécifique)
+.RS 4
+Demande à Nmap d\'utiliser le fichier de services précisé plutot que le fichier
+nmap\-services
+fournis\. Utiliser cette option force aussi l\'usage d\'un scan rapide (\fB\-F\fR)\. Voir la description de
+\fB\-\-datadir\fR
+pour plus d\'informations sur les fichiers de données de Nmap\.
+.RE
+.PP
+\fB\-\-versiondb \fR (spécifier un fichier d\'empreintes de services spécifique)
+.RS 4
+Demande à Nmap d\'utiliser le fichier d\'empreintes de services précisé plutot que le fichier
+nmap\-services\-probes
+fournis\. Utiliser cette option force aussi l\'usage d\'un scan rapide (\fB\-F\fR)\. Voir la description de
+\fB\-\-datadir\fR
+pour plus d\'informations sur les fichiers de données de Nmap\.
+.RE
+.PP
+\fB\-\-send\-eth\fR (Utiliser l\'envoi par raw Ethernet)
+.RS 4
+Demande à Nmap d\'envoyer les paquets à la couche raw Ethernet (liaison données) plutôt que sur la couche plus élevée IP (réseau)\. Par défaut, Nmap choisit celui qui convient le mieux à la plateforme sur laquelle il tourne\. Les raw sockets (couche IP) sont en général plus efficaces sur les machines UNIX, alors que les trames Ethernet frames sont obligatoires pour Windows depuis que Microsoft a désactivé le support des raw sockets\. Nmap utilise toujours des paquets en raw IP sous UNIX en dépit de cette option quand il n\'y a pas d\'autre choix (par exemple, une connexion non Ethernet)\.
+.RE
+.PP
+\fB\-\-send\-ip\fR (Envoyer au niveau raw IP)
+.RS 4
+Demande à Nmap d\'envoyer les paquets par le biais des sockets raw IP plutôt que d\'envoyer des trames de niveau inférieur en Ethernet\. C\'est le complément de l\'option
+\fB\-\-send\-eth\fR
+discuté précédement\.
+.RE
+.PP
+\fB\-\-privileged\fR (Suppose que l\'utilisateur a des privilèges)
+.RS 4
+Dit à Nmap de supposer simplement qu\'il a les privilèges suffisants pour effectuer des envois en raw socket, intercepter des paquets et des opérations similaires qui, habituellement, nécessitent des privilèges root sur les systèmes UNIX\. Par défaut, Nmap quitte si de telles opérations sont tentées mais que le geteuid() n\'équivaut pas à zéro\.
+\fB\-\-privileged\fR
+est utile avec les capacités des noyaux Linux et des systèmes similaires pouvant être configurés pour permettre à des utilisateurs non privilégiés d\'accomplir des scans avec des raw\-packets\. Assurez\-vous de bien fournir cette option avant tout autre pour les options qui nécessitent des privilèges (SYN scan, détection de système d\'exploitation, etc\.)\. La variable NMAP_PRIVILEGED peut être utilisée comme équivalent alternatif à
+\fB\-\-privileged\fR\.
+.RE
+.PP
+\fB\-\-unprivileged\fR (Suppose que l\'utilisateur n\'a pas les privilèges d\'utiliser les raw sockets)
+.RS 4
+Cette option est l\'opposée de
+\fB\-\-privileged\fR\. Elle précise à Nmap de faire comme si l\' utilisateur n\'avait pas les privilègues de raw sockets et de sniffing\. C\'est utile dans un environnement de tests, de deboggage, ou si les opérations en raw sur le reseau ne sont pas disponibles pour une tierce raison\. La variable d\'environnement NMAP_UNPRIVILEGED peut être utilisée comme alternative à
+\fB\-\-unprivileged\fR\.
+.RE
+.PP
+\fB\-\-release\-memory\fR (Libérer la mémoire avant de quitter)
+.RS 4
+Cette option n\'est utile que dans le cadre du deboggage de fuites de mémoire\. Elle force Nmap a libérer la mémoire allouée juste avant de quitter de facon a repérer les véritables fuites de mémoire\. En temps normal Nmap ne fait pas ceci étant donné que l\'OS le fait de toutes facons à la fin du processus\.
+.RE
+.PP
+\fB\-\-interactive\fR (Démarrer en mode interactif)
+.RS 4
+Démarre Nmap en mode interactif, qui offre un prompt interactif avec Nmap permettant le lancement facile de plusieurs scans (que ce soit en synchronisation ou en arrière\-plan)\. Cette procédure est utile pour les gens qui scannent à partir de systèmes multi\-utilisateurs puisqu\'ils souhaitent souvent tester leur sécurité sans que d\'autre utilisateur sur le système ne sache précisément quels systèmes ils sont en train de scanner\. Utilisez
+\fB\-\-interactive\fR
+pour activer ce mode puis entrez
+h
+pour obtenir l\'aide sur les commandes\. Cette option est rarement utilisée parce que de vrais shells sont en général plus familiers et complets\. Cette option inclus un opérateur dit \(Fo bang \(Fc (!) pour l\'exécution des commandes de shell, qui est une des raisons de ne pas installer Nmap en tant que setuid root\.
+.RE
+.PP
+\fB\-V\fR; \fB\-\-version\fR (Affiche le numéro de version)
+.RS 4
+Donne le numéro de version de Nmap et quitte\.
+.RE
+.PP
+\fB\-h\fR; \fB\-\-help\fR (Affiche le sommaire d\'aide)
+.RS 4
+Affiche un petit écran d\'aide avec les options les plus courantes \. Lancer Nmap sans aucun argument fait la même chose\.
+.RE
+.SH "INTERACTION à LA VOLéE"
+.PP
+Au cours de l\'exécution de Nmap, toutes les touches pressées sont capturées\. Ceci permet d\'interagir avec le programme sans l\'arrêter et le relancer\. Certaines touches spéciales changeront les options tandis que les autres touches afficheront un message d\'état parlant du scan en cours\. La convention est que
+\fIles minuscules baissent\fR
+le niveau d\'affichage et que
+\fIles majuscules l\'augmentent\fR\.
+.PP
+\fBv\fR / \fBV\fR
+.RS 4
+Augmente / Baisse la verbosité
+.RE
+.PP
+\fBd\fR / \fBD\fR
+.RS 4
+Augmente / Baisse le niveau de déboggage
+.RE
+.PP
+\fBp\fR / \fBP\fR
+.RS 4
+Active / Désactive le traçage des paquets
+.RE
+.PP
+\fB?\fR (aide)
+.RS 4
+Affiche un ecran d\'aide durant l\'execution\.
+.RE
+.PP
+N\'importe quoi d\'autre
+.RS 4
+Affiche un message d\'état qui se lit comme suit :
+.sp
+Stats: 0:00:08 elapsed; 111 hosts completed (5 up), 5 undergoing Service Scan
+.sp
+Service scan Timing: About 28\.00% done; ETC: 16:18 (0:00:15 remaining)
+.RE
+.SH "EXEMPLES"
+.PP
+Voici quelques exemples d\'utilisation de Nmap, du plus simple au un peu plus complexe et ésotérique\. De véritables adresses IP et noms de domaine sont utilisés pour rendre les choses plus concrètes\. Vous devez les substituer avec celles de
+\fIvotre propre réseau\.\fR\. Bien que je ne crois pas que scanner les prots d\'autres réseaux soit ou devrait être illégal, certains administrateurs de réseau n\'apprécient pas les scans non sollicités de leur réseau et peuvent s\'en plaindre\. La meilleure approche est donc d\'obtenir d\'abord leur autorisation\.
+.PP
+Pour des raisons de tests, vous avez l\'autorisation de scanner l\'hôte
+scanme\.nmap\.org\. Cette permission inclus seulement les scans avec Nmap et non pas l\'essai d\'exploits ou d\'attaques de Denis de Service\. Afin de préserver la bande passante, veuillez ne lancer qu\'une douzaine de scans sur cet hôte au maximum par jour\. En cas d\'abus de ce libre service de cible de scan, il serait fermé et Nmap afficherait le message suivant :
+Failed to resolve given hostname/IP: scanme\.nmap\.org\. Ces permissions s\'appliquent aussi à l\'hôte
+scanme2\.nmap\.org, à
+scanme3\.nmap\.org, et ainsi de suite, même si ces hôtes n\'existent présentement pas\.
+.PP
+
+\fBnmap \-v scanme\.nmap\.org\fR
+.PP
+Cette option scanne tous les ports réservés TCP sur la machine
+scanme\.nmap\.org
+\. L\'option
+\fB\-v\fR
+active le mode verbeux\.
+.PP
+
+\fBnmap \-sS \-O scanme\.nmap\.org/24\fR
+.PP
+Lance un scan furtif (stealth SYN scan) contre chaque machine active parmi les 255 machines du réseau de
+\(lqclasse C\(rq
+sur lequel Scanme réside\. Il essaie aussi de déterminer le système d\'exploitation sur chaque hôte actif\. Cette démarche nécessite les privilèges de root puisqu\'on utilise un SYN scan et une détection d\'OS\.
+.PP
+
+\fBnmap \-sV \-p 22,53,110,143,4564 198\.116\.0\-255\.1\-127\fR
+.PP
+Lance une recherche des hôtes et un scan TCP dans la première moitié de chacun des 255 sous\-réseaux à 8 bits dans l\'espace d\'adressage de classe B 198\.116 Cela permet de déterminer si les systèmes font tourner sshd, DNS, pop3d, imapd ou le port 4564\. Pour chacun de ces ports qui sont ouverts, la détection de version est utilisée pour déterminer quelle application est actuellement lancée\.
+.PP
+
+\fBnmap \-v \-iR 100000 \-P0 \-p 80\fR
+.PP
+Demande à Nmap de choisir 100 000 hôtes de façon aléatoire et de les scanner dans le but de trouver les serveurs Web (port 80)\. L\'énumération des hôtes est désactivée avec
+\fB\-P0\fR
+puisque envoyer en premier lieu quelques probes pour déterminer si un hôte est actif est inutile lorsque vous ne cherchez à tester qu\'un port sur chaque hôte\.
+.PP
+
+\fBnmap \-PN \-p80 \-oX logs/pb\-port80scan\.xml \-oG logs/pb\-port80scan\.gnmap 216\.163\.128\.20/20\fR
+.PP
+Cette procédure scanne 4 096 adresses IP à la recherche de serveurs Web (sans les pinguer au préalable) et sauvegarde la sortie en format grepable et XML\.
+.PP
+
+\fBhost \-l company\.com | cut \-d \-f 4 | nmap \-v \-iL \-\fR
+.PP
+Effectue un transfert de zone DNS afin de trouver les hôtes au sein de company\.com et ensuite fournir les adresses IP à Nmap\. Les commandes ci\-dessus concerne mon GNU/Linux \-\- les autres systèmes ont d\'autres commandes pour effectuer les transferts de zone\.
+.SH "BOGUES"
+.PP
+Comme son auteur, Nmap n\'est pas parfait\. Mais vous pouvez aider à l\'améliorer en envoyant les rapports de bogues ou même en écrivant des programmes de correction\. Si Nmap ne satisfait pas à vos attentes, mettez\-le d\'abord à jour en utilisant la dernière version disponible sur
+\fI\%http://www.insecure.org/nmap/\fR\. Si le problème persiste, faites quelques recherches afin de déterminer s\'il a déjà été remarqué et signalé\. Essayez pour cela de mettre l\'erreur en argument sur Google ou parcourez les archives de Nmap\-dev sur
+\fI\%http://seclists.org/\fR\. Lisez ce manuel en entier quoiqu\'il en soit\. Si rien ne semble fonctionner, envoyez un rapport de bogue à
+\. Veillez à inclure tout ce que vous avez appris au sujet de ce bogue ainsi que la version de Nmap concernée et le système d\'exploitation que vous utilisez\. Les rapports de problèmes et les questions sur l\'utilisation de Nmap envoyés à nmap\-dev@insecure\.org ont plus de chance de trouver une réponse que ceux envoyés à Fyodor directement\.
+.PP
+Les codes de programmes de correction destinés à régler des bogues sont encore meilleurs que les rapports de bogues\. Les instructions de base pour créer des fichiers de programmes de correction avec vos modifications sont disponibles sur
+\fI\%http://www.insecure.org/nmap/data/HACKING\fR\. Les programmes de correction peuvent être envoyés à nmap\-dev (recommandé) ou à Fyodor directement\.
+.SH "AUTEUR"
+.PP
+Fyodor
+
+(\fI\%http://www.insecure.org\fR)
+.PP
+Traduction française :
+.PP
+Romuald THION
+
+4N9e Gutek
+<4n9e@futurezone\.biz>
+Relecture et corrections : Ghislaine Landry
+
+.PP
+Bien qu\'un soin particulier ait été apporté à cette traduction, il est possible que certaines erreurs s\'y soient glissées\. Le cas échéant, n\'hésitez pas à communiquer avec les traducteurs\. La traduction ne remplace pas au texte original (version anglaise), tout particulièrement en ce qui concerne les dispositions légales\. Une erreur d\'interprétation dans cette traduction ne peut, en aucun cas, se substituer à ces dispositions\. Insecure\.Com LLC n\'assume aucune responsabilité en ce qui a trait aux erreurs éventuelles de traduction ou d\'interprétation\.
+.PP
+Des centaines de personnes ont apporté de précieuses contributions à Nmap au cours des années\. Celles\-ci sont détaillées dans le fichier
+\fICHANGELOG\fR
+qui est distribué avec Nmap mais aussi disponible sur
+\fI\%http://www.insecure.org/nmap/changelog.html\fR\.
+.SH "DISPOSITIONS LéGALES"
+.SS "Droits d\'auteur et licence"
+.PP
+Le Nmap Security Scanner est sous droits d\'auteur (C) 1996\-2005 Insecure\.Com LLC\. Nmap est aussi une marque déposée de Insecure\.Com LLC\. Ce programme est un logiciel libre; vous pouvez le redistribuer ou le modifier selon les termes de la licence GNU General Public License comme publiée par la Free Software Foundation; Version 2\. Cela garantie vos droits d\'utilisation, de modification et de redistribution de ce logiciel, et ce, sous certaines conditions\. Si vous souhaitez inclure la technologie Nmap dans un logiciel propriétaire, nous nous réservons le droit de vendre d\'autres licences (communiquez avec
+)\. Beaucoup de distributeurs de scanners de sécurité ont déjà acquis une licence pour les technologies Nmap, notamment la découverte d\'hôte, le scan de ports, le détection du système d\'exploitation et la détection de service ou de version\.
+.PP
+Notez que la licence GPL comporte d\'importantes restrictions relativement aux
+\(lqtravaux dérivés\(rq, bien qu\'elle ne donne pas de détails suffisants quant à la définition de ceux\-ci\. Afin d\'éviter toute incompréhension, nous considérons une application comme constituant un
+\(lqtravail dérivé\(rq
+dans le cadre de cette licence au cas où elle correspondrait à l\'un de ces termes :
+.sp
+.RS 4
+\h'-04'\(bu\h'+03'Intègre le code source de Nmap
+.RE
+.sp
+.RS 4
+\h'-04'\(bu\h'+03'Lis ou inclus les fichiers déposés de Nmap, comme
+\fInmap\-os\-fingerprints\fR
+ou
+\fInmap\-service\-probes\fR\.
+.RE
+.sp
+.RS 4
+\h'-04'\(bu\h'+03'Exécute Nmap et traite les résultats (par opposition à une simple exécution en système essentiel ou en menu applicatif, qui ne fait qu\'afficher les sorties brutes de Nmap et, de ce fait, ne sont pas des travaux dérivés\.)
+.RE
+.sp
+.RS 4
+\h'-04'\(bu\h'+03'Intègre/Inclus/Concatène Nmap dans un installeur exécutable propriétaire, comme ceux produits par InstallShield\.
+.RE
+.sp
+.RS 4
+\h'-04'\(bu\h'+03'Lie à une librairie ou à un programme exécutable qui fait l\'une des procédures ci\-dessus\.
+.RE
+.PP
+Le terme
+\(lqNmap\(rq
+doit être pris comme incluant aussi toute portion ou travail dérivé de Nmap\. Cette liste n\'est pas exhaustive; elle est simplement conçue de façon à clarifier notre interprétation des travaux dérivés au moyen de quelques exemples connus\. Ces restrictions s\'appliquent seulement lorsque vous redistribuez Nmap\. Par exemple, rien ne vous empêche d\'écrire et de vendre une interface graphique propriétaire pour Nmap\. Distribuez\-la seulement en entier et assurez\-vous de diriger les gensvers le lien
+\fI\%http://www.insecure.org/nmap/\fR
+de façon à télécharger Nmap\.
+.PP
+Nous ne considérons pas ce document comme étant un ajout à la licence GPL, mais simplement une clarification de la façon dont nous interprétons
+\(lqles travaux dérivés\(rq
+qui s\'appliquent à notre produit Nmap sous licence GPL\. Ceci est semblable à la façon dont Linus Torvalds a annoncé son interprétation des
+\(lq travaux dérivés\(rq
+qui s\'appliquent aux modules du noyau Linux\. Notre interprétation fait seulement référence à Nmap; nous ne parlons d\'aucun autre produit sous GPL\.
+.PP
+Si vous avez des questions à propos des restrictions de la licence GPL et de l\'utilisation de Nmap dans le cadre des travaux non\-GPL, nous serions heureux de vous aider\. Tel que mentionné ci\-dessus, nous offrons une autre licence afin d\'intégrer Nmap au sein d\'applications propriétaires\. Ces contrats ont été vendus à de nombreux distributeurs du domaine de la sécurité et comportent généralement une licence perpétuelle tout en fournissant un support, des mises à jour prioritaires et une aide au développement constant de la technologie Nmap\. Veuillez envoyer un courriel à
+
+pour obtenir plus d\'informations\.
+.PP
+Comme exception particulière à la licence GPL, Insecure\.Com LLC permet de lier le code de ce programme à toute version de la librairie OpenSSL, qui est distribuée sous une licence identique à celle spécifiée dans le fichier Copying\.OpenSSL ci\-inclus, et de distribuer les combinaisons de liens incluant les deux\. Vous devez observer le GNU GPL dans tous ses aspects pour toute portion du code utilisée autre que OpenSSL\. Si vous modifiez ce fichier, vous pouvez étendre cette exception à votre version du fichier mais vous n\'êtes toutefois pas obligé de le faire\.
+.PP
+Si vous recevez ces fichiers avec une licence écrite ou un contrat établissant les termes autres que ceux mentionnés ci\-dessus, cette autre licence prend la préséance sur ces commentaires\.
+.SS "Licence Creative Commons pour cette documentation de Nmap"
+.PP
+Ce guide de référence Nmap est déposé par 2005 Insecure\.Com LLC\. Il est ainsi sous licence 2\.5 de la licence
+\fICreative Commons Attribution License\fR\&[2]\. Ceci vous permez de redistribuer et modifier ce travail comme bon vous semble, tant que vous citez la source originale\. Autrement, vous pouvez considérer ce document comment tombant sous le coup de la même licence que Nmap lui\-même\.
+.SS "Disponibilité du code source et contribution communautaire"
+.PP
+La source est fournie avec ce programme car nous croyons que les utilisateurs ont le droit de savoir exactement ce qu\'un programme va faire avant d\'être lancé\. Cela vous permet aussi de vérifier ce logiciel relativement à d\'éventuelles vulnérabilités (aucune n\'a été trouvée à ce jour)\.
+.PP
+Le code source vous permet aussi d\'utiliser Nmap sur de nouvelles plateformes, de régler des bogues et d\'ajouter de nouvelles fonctionnalités\. Vous êtes fortement encouragés à présenter vos modifications à
+
+dans le but de les intégrer dans la distribution principale\. Lorsque vous envoyez ces changements à Fyodor ou à l\'une des listes de développement d\'Insecure\.Org, il est recommandé que vous cédiez à Fyodor et à Insecure\.Com LLC le droit illimité et non exclusif de réutiliser, de modifier et de concéder de nouveau une licence pour le code\. Nmap sera toujours disponible en Open Source et ce, principalement en raison de l\'impossibilité de concéder de nouveau une licence pour le code, ce qui a occasionné des problèmes dévastateurs pour d\'autres projets de développement libres (comme KDE et NASM)\. Nous concédons aussi occasionnellement une licence pour le code à des tierces parties, tel que décrit ci\-dessus\. Si vous souhaitez spécifier une condition de licence à votre contribution, indiquez\-le simplement au moment de nous l\'envoyer\.
+.SS "Pas de garanties"
+.PP
+Ce programme est distribué dans l\'espoir qu\'il sera utile, mais SANS AUCUNE GARANTIE; sans même la garantie implicite de VALEUR MARCHANDE ou DE FONCTIONNEMENT POUR UNE UTILISATION PARTICULIÈRE\. Consultez la licence GNU General Public License pour obtenir plus de détails sur
+\fI\%http://www.gnu.org/copyleft/gpl.html\fR
+ou sur le fichier COPYING inclus avec Nmap\.
+.PP
+Il faut également noter que Nmap est reconnu pour avoir occasionnellement fait tomber en panne des applications mal écrites, des piles TCP/IP, et même des systèmes d\'exploitation\. Bien que ce soit extrêmement rare, il est important de le garder en tête\.
+\fINmap ne doit jamais être lancé contre des systèmes d\'importance critique\fR
+à moins que vous ne soyez prêts à en payer le prix\. Nous acceptons ici que Nmap puisse faire tomber en panne vos systèmes ou réseaux et nous nous dégageons de toute responsabilité pour tout dommage ou problème que Nmap pourrait causer\.
+.SS "Usage inapproprié"
+.PP
+De part le faible risque de tomber en panne et de quelques piratages électroniques au moyen de Nmap aux fins de reconnaissance avant attaque des systèmes, certains administrateurs sont désormais mécontents et peuvent se plaindre lorsque leur système est scanné\. C\'est pourquoi il est souvent préférable de demander d\'abord la permission avant d\'effectuer le scan d\'un réseau, et ce, aussi simple soit\-il\.
+.PP
+Nmap ne devrait jamais être installé avec des privilèges spéciaux (par exemple, suid root) pour des raisons de sécurité\.
+.SS "Logiciels Tierce Partie"
+.PP
+Ce produit comporte un logiciel développé par la
+\fIApache Software Foundation\fR\&[11]\. Une version modifiée de la librairie de capture de paquets Libpcap
+\fIde chez tcpdump\fR\&[12]
+est distribuée en accompagnement de Nmap\. La version Windows de Nmap emploie la version dérivée de Libpcap
+\fIWinPcap library\fR\&[13]\. Le support des expressions régulières est assuré par la librairie
+\fIPCRE \fR\&[14], qui consiste en un logiciel open source écrit par Philip Hazel\. Certaines fonctions réseau utilisent la librairie réseau
+\fILibdnet\fR\&[15]
+écrite par Dug Song\. Une version modifiée est distribuée avec Nmap\. Nmap peut éventuellement pointer sur l\'outil de cryptographie
+\fIOpenSSL cryptography toolkit\fR\&[16]
+pour le support de détection de version dans le cas du SSL\. Tous les logiciels tierce partie décrits dans ce paragraphe peuvent être de nouveau distribués sous les licences de type BSD\.
+.SS "Classification et contrôle des exportations depuis les États\-Unis (US Export Control Classification)"
+.PP
+Contrôle des exportations : Insecure\.Com LLC pense que Nmap tombe sous la juridiction de l\'US ECCN (export control classification number), numéro 5D992\. Cette catégorie est appelée
+\(lqInformation Security software not controlled by 5D002\(rq, logiciel de sécurité et d\'informations non contrôlé par le chapitre 5D002\. La seule restriction de cette classification concerne l\'anti\-terrorisme qui s\'applique à la plupart des biens et des valeurs exportés vers des pays sensibles comme l\'Iran et la Corée du Nord\. C\'est pourquoi l\'exportation de Nmap ne requiert aucune licence particulière, permis, ou autre autorisation gouvernementale\.
+.SH "NOTES"
+.IP " 1." 4
+version originale en Anglais
+.RS 4
+\%http://www.insecure.org/nmap/man/
+.RE
+.IP " 2." 4
+Creative Commons Attribution License
+.RS 4
+\%http://creativecommons.org/licenses/by/2.5/
+.RE
+.IP " 3." 4
+RFC 1122
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc1122.txt
+.RE
+.IP " 4." 4
+RFC 792
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc792.txt
+.RE
+.IP " 5." 4
+UDP
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc768.txt
+.RE
+.IP " 6." 4
+RFC TCP
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc793.txt
+.RE
+.IP " 7." 4
+RFC 959
+.RS 4
+\%http://www.rfc-editor.org/rfc/rfc959.txt
+.RE
+.IP " 8." 4
+protocole IP
+.RS 4
+\%http://www.ietf.org/rfc/rfc0791.txt
+.RE
+.IP " 9." 4
+Nmap::Scanner
+.RS 4
+\%http://sourceforge.net/projects/nmap-scanner/
+.RE
+.IP "10." 4
+Nmap::Parser
+.RS 4
+\%http://www.nmapparser.com
+.RE
+.IP "11." 4
+Apache Software Foundation
+.RS 4
+\%http://www.apache.org
+.RE
+.IP "12." 4
+de chez tcpdump
+.RS 4
+\%http://www.tcpdump.org
+.RE
+.IP "13." 4
+WinPcap library
+.RS 4
+\%http://www.winpcap.org
+.RE
+.IP "14." 4
+PCRE
+.RS 4
+\%http://www.pcre.org
+.RE
+.IP "15." 4
+Libdnet
+.RS 4
+\%http://libdnet.sourceforge.net
+.RE
+.IP "16." 4
+OpenSSL cryptography toolkit
+.RS 4
+\%http://www.openssl.org
+.RE
diff --git a/docs/nmap-hr.1 b/docs/nmap-hr.1
new file mode 100644
index 000000000..b31d94727
--- /dev/null
+++ b/docs/nmap-hr.1
@@ -0,0 +1,1684 @@
+.\" Title: nmap
+.\" Author:
+.\" Generator: DocBook XSL Stylesheets v1.73.2 : Naziv datoteke u kojoj se nalazi popis hostova/mreža
+ \-iR : Odaberi nasumične hostove
+ \-\-exclude : Ne skeniraj navedene hostove/mreže
+ \-\-excludefile : Ne skeniraj navedene hostove/mreže koji se nalaze u navedenoj datoteci
+OTKRIVANJE HOSTOVA:
+ \-sL: List Scan \- samo navedi mete koje skeniraš
+ \-sP: Ping Scan \- samo ustanovi da li je host online i ne radi ništa više
+ \-P0: Smatraj sve hostove online \-\- ne pokušavaj ustanoviti da li postoje\.
+ \-PS/PA/PU [lista_portova]: koristi TCP SYN/ACK ili UDP za otkrivanje hostova
+ \-PE/PP/PM: ICMP echo, timestamp i netmask pokušaji skeniranja
+ \-n/\-R: Ne pokušavaj raditi DNS rezoluciju/uvijek koristi DNS rezoluciju [default: ponekad]
+TEHNIKE SKENIRANJA:
+ \-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon skenovi
+ \-sN/sF/sX: TCP Null, FIN, and Xmas skenovi
+ \-\-scanflags : Navedi TCP flagove pomoću kojih želiš skenirati
+ \-sI : Idlescan
+ \-sO: IP protocol scan
+ \-b : FTP bounce scan
+SPECIFIKACIJA PORTOVA I REDOSLJED SKENIRANJA:
+ \-p : Skeniraj samo navedene portove
+ Primjer: \-p22; \-p1\-65535; \-p U:53,111,137,T:21\-25,80,139,8080
+ \-F: Brzo \- Skeniraj samo portove navedene u nmap\-services fileu
+ \-r: Skeniraj portove po redu \- ne randomiziraj
+OTKRIVANJE SERVISA/VERZIJA:
+ \-sV: Pokušaj na osnovu otvorenih portova saznati informacije o servisu/verziji
+ \-\-version_light: Koristi najvjerovatnije skenove zbog ubrzane detekcije verzije
+ \-\-version_all: Isprobaj sve vrste skenova za saznavanje verzije
+ \-\-version_trace: Pokaži detaljnu aktivnost skeniranja verzije (za debugging)
+DETEKCIJA OS\-a:
+ \-O: Uključi OS detekciju
+ \-\-osscan_limit: Ograniči OS detekciju samo na one ciljeve koji obećavaju
+ \-\-osscan_guess: Pogađaj OS malo agresivnije
+TIMING I PERFORMANSE:
+ \-T[0\-6]: Podesi predložak za timing (veći broj je brže)
+ \-\-min_hostgroup/max_hostgroup : Paralelno skeniraj hostove / veličina sken grupe
+ \-\-min_parallelism/max_parallelism : Paraleliziraj sonde
+ \-\-min_rtt_timeout/max_rtt_timeout/initial_rtt_timeout : Navedi vrijeme potrebno za povratak (engl\. round trip time) sonde\.
+ \-\-host_timeout : Odustani od skeniranja ciljanog računala nakon navedenog vremena u milisekundama
+ \-\-scan_delay/\-\-max_scan_delay : Podesi pauzu između slanja upita
+OBILAŽENJE FIREWALL\-a/IDS\-a I SPOOFING:
+ \-f; \-\-mtu : fragmentiraj pakete (opcionalno sa zadanim MTU\-om)
+ \-D : Sakrij skan korištenjem mamaca
+ \-S : Spoofaj ishodišnu (source) adresu
+ \-e : Koristi navedeni interface (mrežni adapter)
+ \-g/\-\-source_port : Koristi navedeni broj ishodišnog (source) porta
+ \-\-data_length : Dodaj random podatke u poslane pakete
+ \-\-ttl : Podesi IP time\-to\-live polje
+ \-\-spoof_mac : Spoofaj svoju MAC adresu
+ISPIS:
+ \-oN/\-oX/\-oS/\-oG : Ispiši scan normalno, kao XML, s|: Ispis u tri glavna formata istovremeno
+ \-v: Povećaj verbose nivo (ako želite postići veći efekt, stavite opciju \-vv)
+ \-d[nivo]: Podesi ili povećaj debuging nivo (Ima smisla do brojke 9, više od toga ne)
+ \-\-packet_trace: Pokaži sve poslane i primljene pakete
+ \-\-iflist: Ispiši host interface i rute (za debuging)
+ \-\-append_output: Dodaj ispis u postojeće datoteke \- nemoj ih prepisati
+ \-\-resume : Nastavi prekinuti scan
+ \-\-stylesheet : XSL stylesheet za transformiranje XML generiranog dokumenta u HTML
+ \-\-no_stylesheet: Spriječi povezivanje XSL stylesheet\-a s XML ispisom
+RAZNO:
+ \-6: Omogući skeniranje IPv6 protokola
+ \-A: Omogući prepoznavanje OS\-a i verzije OS\-a
+ \-\-datadir : Navedi customizirani Nmap data file
+ \-\-send_eth/\-\-send_ip: šalji sirove (RAW) ethernet frame\-ove ili IP pakete
+ \-\-privileged: Pretpostavka da je korisnik koji je pokrenuo Nmap u potpunosti privilegiran (ima admin ovlasti)
+ \-V: Ispiši verziju Nmap\-a
+ \-h: Ispiši ovaj help ekran
+PRIMJERI:
+ nmap \-v \-A scanme\.nmap\.org
+ nmap \-v \-sP 192\.168\.0\.0/16 10\.0\.0\.0/8
+ nmap \-v \-iR 10000 \-P0 \-p 80
+.fi
+.RE
+.sp
+.SH "ODABIR CILJANOG RAčUNALA"
+.PP
+Sve što unesete u komandnu liniju Nmap\-a, a nije opcija ili argument opcije (dakle nije parametar samog programa), tretira se kao ciljano računalo\. Najjednostavniji slučaj je da unesete IP adrese ili naziv ciljanog hosta\.
+.PP
+Ponekad želite skenirati čitavu mrežu hostova\. Za tu namjenu Nmap podržava CIDR adresiranje\. Dakle, nakon IP adrese ili naziva računala, možete dodati /\fInumbits (broj bitova)\fR
+koji se koriste kao mrežni ID\. Npr\. 192\.168\.10\.0/24 će skenirati 256 hostova između 192\.168\.10\.0 (binarno:
+11000000 10101000 00001010 00000000) i 192\.168\.10\.255 (binarno:
+11000000 10101000 00001010 11111111) uključujući i 192\.168\.10\.0 i 192\.168\.10\.255\. 192\.168\.10\.40/24 će učiniti istu stvar\. Ako smo pak odabrali scanme\.nmap\.org, a recimo da je IP adresa tog hosta 205\.217\.153\.62, scanme\.nmap\.org/16 bi skeniralo 65,536 IP adresa između 205\.217\.0\.0 i 205\.217\.255\.255\. Najmanja dozvoljena vrijednost je 1 (što bi skeniralo gotovo cijeli internet), dok je najveća dozvoljena vrijednost 32, što skenira samo jednog hosta\.
+.PP
+CIDR notacija je kratka, ali nije uvijek dovoljno fleksibilna\. Npr\. želite skenirati 192\.168\.0\.0/16, ali želite izbjeći sve IP adrese koje završavaju s \.0 ili \.255, jer su to mrežni ID i broadcast IP adresa u klasful adresiranju\. Nmap za tu situaciju podržava adresiranje na nivou okteta\. Umjesto da navedete normalnu IP adresu, možete navesti listu brojeva odvojenih zarezom (1,2,3) ili područja za svaki oktet (1\-254)\. Npr\. 192\.168\.0\-255\.1\-254 će preskočiti sve adrese u navedenom području koje završavaju na \.0 i \.255, tj\. skenirat će sve IP adrese od 192\.168\.0\.1 do 192\.168\.255\.254, preskačući one IP adrese koje u zadnjem oktetu imaju 0 ili 255\. Područja nisu limitirana na zadnji oktet, recimo, 0\-255\.0\-255\.13\.37 će skenirati SVE IP adrese koje završavaju na 13\.37\. Ovaj način skeniranja može biti koristan za razna istraživanja i ispitivanja\.
+.PP
+IPv6 adrese mogu biti specificirane isključivo u potpunosti definirane (fully qualified) kao IP adrese ili naziv hosta\. CIDR i oktet područja nisu podržani za IPv6 jer se rijetko koriste\.
+.PP
+Nmap prihvaća navođenje više hostova u komandnoj liniji, a hostovi ne moraju biti istog tipa\. Naredba
+\fBnmap scanme\.nmap\.org 192\.168\.0\.0/8 10\.0\.0,1,3\-7\.0\-255\fR
+će učiniti upravo ono što očekujete od nje\.
+.PP
+Ciljevi skeniranja su obično navedeni u samoj komandnoj liniji, ali podržane su i sljedeće opcije:
+.PP
+\fB\-iL \fR (Iščitaj parametre iz liste)
+.RS 4
+Iščita informacije o ciljanom hostu iz
+\fIulazne datoteke\fR\. Proslijediti Nmapu veliku količinu hostova iz komandne linije izgleda nepregledno, ali to je ono što u većini slučajeva i želimo\. Npr\. iz DHCP servera ste izvukli popis 10 000 trenutno iznajmljenih IP adresa i želite ih skenirati ili možda želite skenirate sve ip adrese
+\fIosim\fR
+tih kako bi pronašli hostove koji imaju neautoriziranu statičku IP adresu\. Da bi to postigli, generirajte popis hostova koje želite skenirati u neku datoteku i proslijedite tu datoteku Nmap\-u kao argument opciji
+\fB\-iL\fR\. U datoteci mogu biti unosi u bilo kojem formatu koji Nmap podržava u samoj komandnoj liniji (IP adresa, naziv hosta, CIDR, IPv6, ili oktet nekog područja)\. Svaki unos mora biti odvojen s jednim ili s više razmaka, tabom ili novim redom\. Isto tako možete staviti minus (\-), ukoliko želite da Nmap iščita hostove iz standardnog unosa umjesto iz navedene datoteke\.
+.RE
+.PP
+\fB\-iR \fR (Nasumično odaberi ciljano računalo)
+.RS 4
+Za istraživače interneta i ostale koji žele odabrati ciljano računalo nasumično\. Argument
+\fIbroj hostova\fR
+kaže Nmap\-u koliko IP adresa da generira\. Neželjene IP adrese, poput privatnih, multicast ili nedodjeljenih IP adresnih područja su automatski izbačene\. Argument
+0
+može biti naveden za skeniranje koje nikad neće završiti\. Imajte na umu da neki mrežni administratori ne vole neautorizirano skeniranje i mogli bi se žaliti vašem ISP\-u, što bi pak moglo rezultirati zabranom pristupa internetu za vas\. Koristitte ovu opciju na vlastitu odgovornost\. Ukoliko se pak, jednog kišnog popodneva, nađete u situaciji da ne znate što bi sa sobom, iskušajte naredbu
+\fBnmap \-sS \-PS80 \-iR 0 \-p80\fR
+kako bi nasumično pronašli web servere za browsanje\.
+.RE
+.PP
+\fB\-\-exclude \fR (isključi iz skeniranja hostove/mreže)
+.RS 4
+Navedite zarezom odvojenu listu hostova koje želite isključiti iz skena iako se nalaze u mrežnom području koje ste specificirali\. Popis koji proslijedite na ovaj način koristi normalnu Nmap sintaksu, pa možete upisati naziv hosta, CIDR mrežne blokove, oktete rangeva isl\. To može biti korisno u slučaju kad mreža koju želite skenirati ima nedodirljive i kritične servere, sisteme za koje se zna da će odmah reagirati na port sken, ili postoje podmreže koje administriraju drugi administratori i ne želite skenirati njihov dio mreže\.
+.RE
+.PP
+\fB\-\-excludefile \fR (Isključi iz skeniranja koristeći ulazni file)
+.RS 4
+Ova opcija nudi istu funkcionalnost kao i prije opisana opcija
+\fB\-\-exclude\fR, s tim da hostove koje ne želite skenirati ne navodite u komandnoj liniji, već unutar datoteke\. Hostovi mogu biti navedeni u datoteci (\fInaziv_datoteke\fR) koji kao delimiter koristi novi red, razmak ili tab\.
+.RE
+.SH "POSTUPAK PRONALAžENJA HOSTOVA"
+.PP
+Jedan od prvih koraka kad je u pitanju sakupljanje informacija o mreži je smanjivanje (ponekad velike) količine IP adresnih područja u popis aktivnih i zanimljivih hostova\. Skeniranje svih portova za svaku adresu je sporo i najčešće nepotrebno\. Naravno, ono što nekog hosta čini zanimljivim uvelike ovisi o razlogu samog skena\. Mrežni administratori će možda biti zainteresirani samo za hostove koji imaju pokrenut određeni servis, dok će sigurnosni auditori biti zainteresirani za svaki uređaj s IP adresom\. Administratoru će možda biti dovoljno korištenje ICMP pinga kako bi pronašao hostove na mreži, dok će vanjski penetration tester koristiti široki spektar alata i nebrojene sonde u pokušaju da obiđe zabrane postavljene na vatrozidu\.
+.PP
+Budući da su potrebe korisnika kod pronalaženja hostova tako različite, Nmap nudi široki spektar opcija za prilagođavanje korištenim tehnikama\. Pronalaženje hostova (engl host discovery) se ponekad naziva Ping scan, ali ide daleko dalje od običnog ICMP echo paketa povezanog sa sveprisutnim
+ping
+alatom\. Korisnici mogu preskočiti dio pinganja s list skenom (\fB\-sL\fR) ili isključivanjem pinganja (\fB\-P0\fR) ili da pristupe mreži s kombinacijama multi port TCP SYN/ACK, UDP i ICMP sondi\. Namjena tih sondi je iznuđivanje odgovora koji dokazuje da je IP adresa u stvari aktivna (korištena je od strane hosta ili mrežnog uređaja)\. Na većini mreža je samo jedan mali postotak IP adresa aktivan\. To je pogotovo točno za mreže blagoslovljene RFC1918 dokumentom (privatni adresni prostor poput 10\.0\.0\.0/8)\. Navedena mreža ima 16 miliona IP adresa, ali imao sam prilike vidjeti da je koriste firme s manje od tisuću mašina\. Postupak pronalaženja hostova može pronaći koja su to računala u tom moru neaktivnih IP adresa\.
+.PP
+Ukoliko ne navedete nikakvu opciju Postupku pronalaženja hostova, Nmap šalje TCP ACK paket namjenjen portu 80 i ICMP echo zahtijev na ciljano računalo\. Izuzetak od ovog pravila je taj da je ARP sken korišten za ciljana računala na lokalnoj ethernet mreži\. Za neprivilegirane UNIX shell korisnike, Nmap šalje SYN paket umjesto ACK\-a korištenjem
+\fBconnect()\fR
+sistemskog poziva\. To je jednako opcijama
+\fB\-PA \-PE\fR\. Takav način pronalaženja hostova je obično dostatan kad su u pitanju lokalne mreže, ali preporučen je malo potpuniji set sondi za istraživanje kod sigurnosnog auditinga\.
+.PP
+Opcija
+\fB\-P*\fR
+(koja odabire ping tipove) može biti kombinirana\. Možete povećati šanse provaljivanja vatrozida slanjem mnogo sondi koje koriste različite TCP portove/zastavice (engl\. flags) i ICMP kodove\. Također imajte na umu da se po defaultu na lokalnoj mreži za otkrivanje hostova koristi ARP discovery (\fB\-PR\fR) čak i kad navedete druge
+\fB\-P*\fR
+opcije zbog toga jer je gotovo uvijek brži i efikasniji\.
+.PP
+Sljedeće opcije upravljaju postupkom otkrivanja hostova\.
+.PP
+\fB\-sL\fR (List Sken)
+.RS 4
+List sken nije skeniranje hosta, već saznavanje nekih javno dostupnih informacija o njemu bez slanja ijednog paketa prema tom hostu\. List scan jednostavno ispiše svakog hosta kojeg smo specificirali i napravi reverse DNS rezoluciju da bi saznao njegovo ime\. Iznenađujuće je koliko korisnih informacija možete dobiti ovim načinom "skeniranja"\. Npr\.
+fw\.chi\.playboy\.com
+je vatrozid Čikaškog (Chichago) ureda firme Playboy Enterprises\. Nmap na kraju navede i ukupan broj IP adresa koje pripadaju tom hostu\. List Sken je koristan u situacijama kada se želite uvjeriti da imate ispravne IP adrese koje želite skenirati\. Ukoliko List sken izbaci nazive domena koje ne poznajete bilo bi dobro provjeriti prije nego pokrenete skeniranje, jer ne bi bilo dobro da počnete skenirati krive hostove ;\-)\.
+.sp
+Kako je ideja samo ispisati popis ciljanih hostova, ne možete kombinirati opcije za funkcionalnosti višeg nivoa, poput skeniranja portova, detekcije OS\-a, ping skeniranja isl\. Ukoliko želite isključiti ping skeniranje, a ipak koristiti funkcionalnosti višeg nivoa, pročitajte opis
+\fB\-P0\fR
+opcije\.
+.RE
+.PP
+\fB\-sP\fR (Ping Sken)
+.RS 4
+Ova opcija kaže Nmap\-u da napravi
+\fIsamo\fR
+ping sken (otkrivanje hostova) i da ispiše hostove koji su odgovorili na skeniranje\. Ne radi se nikakvo dodatno testiranje (poput port skeniranja ili detekcije OS\-a)\. To je način skeniranja koji je stupanj intruzivniji od list skena ali se može koristiti u istu svrhu\. Dozvoljava lagano "pretraživanje neprijateljskog teritorija" (engl\. reconnaissance), bez pretjeranog privlačenja pažnje, jer znati koliko hostova je stvarno "živo" na mreži je važnija informacija za napadača ili sigurnosnog auditora, nego lista koju je izbacio list scans popisom svih IP adresa i hostova koji postoje\.
+.sp
+Sistemski administratori također nalaze ovu opciju poprilično korisnom\. Može se koristiti za pronalaženje dostupnih računala na mreži ili koristiti kao alat za nadgledanje dostupnosti servera\. Taj način primjene se naziva ping sweep i mnogo je pouzdaniji od pinganja broadcast adrese zato jer mnogi hostovi ne odgovaraju na broadcast upite\. (Konkretno windows mašine ne odgovaraju na broadcast ping, ali odgovaraju na druge tipove broadcast paketa)\.
+.sp
+Po defaultu
+\fB\-sP\fR
+opcija šalje ICMP echo i TCP paket na port 80\. Kad je pokrenuta od strane neprivilegiranog korisnika (korisnika koji nije lokalni administrator), poslan je SYN paket na port 80 (korištenjem API poziva
+\fBconnect()\fR
+)\. Kad privilegirani korisnik pokušava skenirati hostve na lokalnoj mreži, koriste se ARP zahtjevi (\fB\-PR\fR) osim ako nije specificirana opcija
+\fB\-\-send_ip\fR\. Opciju
+\fB\-sP\fR
+možete kombinirati s bilo kojim tipom otkrivajućih (discovery) tipova skeniranja (sve
+\fB\-P*\fR
+opcije osim
+\fB\-P0\fR
+opcije) kako bi postigli veću fleksibilnost\. Ukoliko se koristi bilo koji od tih tipova skeniranja i port broj, automatski su defaultne postavke skeniranja premošćene (ACK i echo zahtjevi)\. Ukoliko su između hosta na kojem je pokrenut Nmap i ciljanog hosta nalaze vatrozidi, preporuka je koristiti upravo te tehnike kako vatrozid ne bi filtrirao upite ili odgovore na njih\.
+.RE
+.PP
+\fB\-P0\fR (Bez pinganja)
+.RS 4
+Ova opcija preskače fazu otkrivanja hostova\. Ukliko ne koristite ovu opciju, Nmap pokušava ping skeniranjem saznati koja računala su dostupna kako bi SAMO njih i skenirao\. Ukoliko koristite ovu opciju Nmap će skenirati svakog navedenog hosta bez obzira da li je dostupan ili ne, jer neće raditi provjeru\. Ukoliko odaberete kompletnu klasu B (/16 po CIDR notaciji) Nmap će skenirati svih 65536 hostova, bez obzira da li su "živi" ili ne\. Napomena: drugi karakter u ovoj opciji je NULA, a ne veliko slovo O\. Ukoliko je na hostu zatvoren ICMP protokol (što je slučaj kod 90% računala na internetu), a niste stavili
+\fB\-P0\fR
+opciju, Nmap neće skenirati ta računala, dakle, ukoliko želite skenirati računala koja ne odgovaraju na ICMP echo upit, a znate da postoje i da su "živi" stavite ovu opciju\.
+.RE
+.PP
+\fB\-PS [lista_portova]\fR (TCP SYN Ping)
+.RS 4
+Ova opcija šalje prazan TCP paket s upaljenim SYN flagom\. Defaultni odredišni port je 80 (možete se konfigurirati kod kompajliranja programa na način da promijenite DEFAULT_TCP_PROBE_PORT u
+\fInmap\.h\fR
+biblioteci), no, možete navesti i neki drugi port kao parametar\. Isto tako je moguće poslati zarezom odvojenu listu portova kao parametar ovoj opciji (npr\.
+\fB\-PS22, 23,25,80,113,1050,35000\fR)\. U tom će slučaju nmap poslati paket na svaki od navedenih portova paralelno\.
+.sp
+SYN flag u paketu kaže ciljanom hostu da se želite spojiti na navedeni port/portove\. Ukoliko je port zatvoren, odgovor koji će Nmap dobiti od ciljanog hosta je RST (reset)\. Ukoliko je port otvoren, ciljano računalo će poslati SYN/ACK paket, što je drugi korak u trostrukom rukovanju TCP protokola\. Računalo na kojem je pokrenut Nmap u tom trenutku prekida konekciju na način da pošalje RST paket (umjesto ACK paketa koji bi završio trostruko rukovanje i uspostavio konekciju sa ciljanim hostom)\. RST paket je poslao kernel računala na kojem je pokrenut Nmap, jer je dobio SYN/ACK paket koji nije očekivao\.
+.sp
+Nmap ne zanima da li je port otvoren ili zatvoren, RST ili SYN/ACK odgovor koji je dobio dovoljan su odgovor da je računalo "živo"\. Bez obzira na to RST odgovor znači da je računalo tu i da je "živo", dok SYN/ACK odgovor uz to znači i da računalo "sluša" na navedenom portu\.
+.sp
+Na UNIX mašinama samo privilegirani korisnik
+root
+može slati i primati sirove (RAW) TCP pakete\. Za neprivilegirane korisnike napravljen je obilazni put u kojem Nmap automatski poziva connect() API na svaki navedeni port\. To je postiglo efekt slanja SYN paketa na coljani host i iniciran je poušaj ostvarivanja konekcije\. Ukoliko connect() API vrati brzi odgovor uspješnog spajanja ili ECONNREFUSED grešku, TCP stack na OS\-u je dobio SYN/ACK ili RST od ciljanog hosta i host je označen kao dostupan\. Ukoliko konekcija "visi" dok ne istekne timeout, ciljani host je označen kao nedostupan (ugašen)\. Navedeni obilazni put se koristi i kod IPv6 konekcija, je Nmap još nema implementiranu izradu sirovih (RAW) paketa za IPv6 protokol\.
+.RE
+.PP
+\fB\-PA [lista_portova]\fR (TCP ACK Ping)
+.RS 4
+TCP ACK ping je sličan SYN pingu\. Razlika je, što je lako zaključiti iz samog naziva, u tome što se umjsto SYN flaga upali ACK flag\. Takav paket podrazumijeva da je konekcija već uspostavljena iako nije, samim tim bi ciljani hostovi uvijek trebali odgovoriti s RST paketom, te na taj način potvrditi svoje postojanje\.
+.sp
+\fB\-PA\fR
+opcija koristi isti defaultni port kao i SYN scan (port 80) i isto kao i SYN scan može primiti listu portova u istom formatu\. Ukoliko neprivilegirani korisnik pokuša pokrenuti Nmap s ovom opcijom ili je u pitanju IPv6 TCP konekcija, koristi se obilazni put opisan u TCP SYN pingu\. Ova opcija nije savršena, jer connect() u stvari šalje SYN pakete umjesto ACK paketa
+.sp
+Razlog zašto koristiti i SYN i ACK sonde je radi povećavanja šansi za obilaženje vatrozida\. Mnogi administratori konfiguriraju rutere i ostale jednostavne vatrozide na način da zaustavljaju dolazeće SYN pakete osim ako nisu namijenjeni nekim javnim servisima, poput weba ili mail servera\. Takav način podešavanja uređaja sprječava nedozovljene konekcije prema računalima tvrtke, ali omogućava neograničen izlazni promet prema internetu\. Ovakav pristup konekcija bez stanja (engl\. stateless) oduzima malo resursa na vatrozidima/ruterima i podržan je na gotovo svim hardverskim i softverskim filterima\. Netfilter/ iptables, poznati vatrozid na Linux operativnom sustavu nudi opciju
+\fB\-\-syn\fR
+kako bi mogli implementirati ovakav pristup konekcija bez stanja (engl\. stateless)\. Kod tako konfiguriranih vatrozida, sonde SYN ping (\fB\-PS\fR) će najvjerovatnije biti blokirane kad ih pošaljete na zatvorene portove\. No međutim, ACK sonde će bez problema prolaziti kroz njih\.
+.sp
+Drugi tip vatrozida podržava konekcije sa stanjem (engl\. stateful) koji odbacuju sve neočekivane pakete\. Ova opcija se u početku koristila samo kod naprednijih vatrozid rješenja, ali je vremenom postala rasprostranjenija\. Linux vatrozid Netfilter/iptables podržava ovu opciju korištenjem opcije
+\fB\-\-state\fR, koja kategorizira pakete vezano uz stanje konekcije\. Skeniranjem takvih sustava veća je vjerovatnost da ćemo od SYN sonde dobiti nekakvu informaciju, nego od ACK, jer se ACK sonde koje nemaju uspostavljenu konekciju tretiraju kao lažne i odbačeni su bez ikakvog odgovora\. U slučaju dvojbe, najbolje je poslati i SYN i ACK sonde naviođenjem opcija
+\fB\-PS\fR
+i
+\fB\-PA\fR\.
+.RE
+.PP
+\fB\-PU [lista_portova]\fR (UDP Ping)
+.RS 4
+Još jedna metoda detekcije hostova je i UDP ping\. UDP ping šalje prazne UDP pakete (osim ako nije definirana opcija
+\fB\-\-data_length\fR) na navedene portove\. Portlist opcija ima isti format kao i prije obrađene opcije
+\fB\-PS\fR
+i
+\fB\-PA\fR\. Ukoliko nije naveden niti jedan port, defaultni je 31338\. To se može promijeniti kod kompajliranja promjenom DEFAULT_UDP_PROBE_PORT u
+\fInmap\.h\fR
+biblioteci\. Namjerno je odabran visoki nestandardni port, jer bi slanje paketa na otvorene UDP portove dalo neželjene rezultate za ovu vrstu skena\.
+.sp
+Nakon što je ciljano računalo dobilo paket na zatvoreni port, trebalo bi odgovoriti ICMP paketom " nedostupan port" (engl\. port unreachable)\. Na osnovu toga Nmap može zaključiti da je ciljani host "živ"\. Drugi tipovi ICMP grešaka, poput nedostupan host/mreža ili premašen TTL (engl\. TTL exceeded) nagovještavaju da je host ugašen ili nedostupan\. Ukoliko nema nikakvog odgovora, Nmap također zaključi da je host ugašen/ nedostupan\. Ukoliko je paket stigao na otvoreni UDP port, većina servisa će jednostavno ignorirati prazan UDP paket i Nmap neće dobiti nikakav odgovor\. Zbog toga je defaultni port 32338, jer je mala mogućnost da će neki servis koristiti taj port\. Postoje i neki servisi, poput chargen\-a, koji će odgovoriti na prazan UDP paket i na taj način otkriti Nmapu da je host "živ"\.
+.sp
+Glavna prednost ovog tipa skeniranja je da obilazi vatrozide i paket filtere koji skeniraju samo TCP promet\. Npr\. Linksys BEFW11S4 bežični (wireless) ruter na vanjskom mrežnom adapteru filtrira samo TCP portove, a na UDP skenove odgovara s ICMP port nedostupan\.
+.RE
+.PP
+\fB\-PE\fR; \fB\-PP\fR; \fB\-PM\fR (ICMP tipovi pinganja)
+.RS 4
+Uz do sad navedene tipove skeniranja i otkrivanja hostova, Nmap može slati i standardne ICMP pakete korištenjem klasičnog
+ping
+programa\. Nmap šalje ICMP paket tipa 8 (echo request) na ciljanu IP adresu očekujući odgovor tipa 0 (echo reply), ukoliko je host "živ"\. Na štetu mrežnih istraživača, većina hostova i vatrozida na internetu blokira te pakete umjesto da na njih odgovara kako je opisano u
+\fIRFC 1122\fR\&[4]
+dokumentu\. Zbog toga su ICMP skenovi rijetko ili gotovo nikad pouzdani kad se ciljani host nalazi na internetu, ali za sistem administratore koji nadgledaju unutrašnje mreže, ovo je praktičan i najjednostavniji pristup za skeniranje hostova\. Opisani način skeniranja možete upaliti korištenjem
+\fB\-PE\fR
+opcije\.
+.sp
+Bez obzira na to što je echo zahtijev standardni ICMP ping upit, Nmap se nije zaustavio na tome\. Ako pogledate ICMP standard (\fIRFC 792\fR\&[5]) vidjet ćete da je u njemu naveden i timestamp zahtijev, information zahtijev i zahtijev za adresnom maskom i to pod kodovima 13,15 i 17\. Iako je namjena tih upita saznati informacije poput adresne maske i trenutnog vremena, vrlo ih je lako iskoristiti za otkrivanje hostova\. Host koji odgovori je "živ"\. Nmap u trenutnoj verziji ne podržava information zahtijev, jer se ne koristi često\. RFC 1122 inzistira na tome da
+\(lqhost NE BI TREBAO implementirati taj ICMP tip poruka\(rq\. Upite za timestamp i adresnu masku možete poslati s
+\fB\-PP\fR
+i
+\fB\-PM\fR
+opcijama\. Timestamp odgovor (ICMP kod 14) ili odgovor adresne maske (kod 18) otkrivaju da je ciljani host "živ"\. Ta dva upita su korisni u slučajevima kad administratori blokiraju echo zahtijev pakete, ali zaborave blokirati ostale ICMP pakete\.
+.RE
+.PP
+\fB\-PR\fR (ARP Ping)
+.RS 4
+Jedan od najčešćih scenarija korištenja Nmap\-a je skeniranje ethernet LAN\-a\. Na većini LAN\-ova, posebno na onima koji koriste privatne ip adrese definirane u RFC 1918 dokumentu je većina IP adresa u stvari neiskorištena\. Kad Nmap pokuša poslati sirovi IP paket poput ICMP echo zahtjeva, operativni sustav mora ustanoviti MAC adresu računala koja pripada ciljanoj IP adresi, kako bi moglo adresirati ethernet frame\. To je obično sporo i problematično jer operativni sustavi nisu napisani s pretpostavkom da će u vrlo kratkom vremenskom periodu morati poslati milione ARP zahtjeva prema nepostojećim hostovima\.
+.sp
+ARP sken zadužuje Nmap i njegove optimizirane algoritme za ARP zahtjeve i ukoliko Nmap dobije odgovor ne mora uopće pokretati IP bazirani ping, jer već zna da je računalo dostupno\. Ovo čini ARP scan mnogo bržim i pouzdanijim od IP baziranog skena, pa se defaultno koristi kod skeniranje hostova na ethernetu za koje Nmap zaključi da su na lokalnoj mreži\. Čak ako ste i naveli neke druge tipove pinga, (poput
+\fB\-PE\fR
+ili
+\fB\-PS\fR), Nmap će koristiti ARP sken za sve hostove koji su na istoj mreži\. Ukoliko ne želite koristiti ARP sken, navedite opciju
+\fB\-\-send\-ip\fR\.
+.RE
+.PP
+\fB\-n\fR (Bez DNS rezolucije)
+.RS 4
+Ova opcija kaže Nmap\-u da
+\fInikad\fR
+ne radi obrnutu DNS rezoluciju (engl\. reverse DNS lookup) na aktivnim IP adresama koje pronađe\. Kako je obrnuta DNS rezolucija često spora, ova opcija ubrzava postupak\.
+.RE
+.PP
+\fB\-R\fR (DNS rezolucija za sva ciljana računala)
+.RS 4
+Ova opcija kaže Nmap\-u da
+\fIuvijek\fR
+radi obrnutu rezoluciju ciljanih IP adresa\. U normalnim okolnostima to se radi samo kad je potvrđeno da računalo postoji\.
+.RE
+.PP
+\fB\-\-system_dns\fR (Koristi sistemski DNS rezolver)
+.RS 4
+Defaultno Nmap radi rezolving adresa slanjem upita direktno imenskim serverima (engl\. name servers) koji su podešeni na vašem računalu i čeka odgovore\. Mnogo zahtjeva je poslano istovremeno (10 i više) kako bi brže radilo\. Ovu opciju navedite ukoliko želite koristiti sistemski rezolver (jedna po jedna IP adresa pozivom sistemskog API poziva getnameinfo())\. Ovo je sporije i rijetko je korisno osim ako u Nmap DNS kodu postoji greška \-\- molim kontaktirajte nas u tom slučaju\. Sistemski rezolver se uvijek koristi za IPv6 skenove\.
+.RE
+.PP
+\fB\-\-dns_servers