PenTest/nmap
1
0
Fork 0
mirror of https://github.com/nmap/nmap.git synced 2025-12-09 14:11:29 +00:00
Code Issues Projects Releases Wiki Activity
Files
d187c6801738d7ddb4dec76d8fe8cc612e840cf8
nmap/docs/nmap_manpage-pt.html
fyodor 327658663a latest codez
2005-04-25 03:59:42 +00:00

833 lines
51 KiB
HTML
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
<HTML>
<HEAD>
<TITLE>Nmap network security scanner man page (Portuguese translation)</TITLE>
</HEAD>
<BODY>
<H1>Nmap network security scanner man page (Portuguese translation)</H1>
<HR>
<PRE>
<!-- Manpage converted by man2html 3.0.1 -->
XXX
XXX WARNING: old character encoding and/or character set
XXX
<B>NMAP(1)</B> <B>NMAP(1)</B>
</PRE>
<H2>NOME</H2><PRE>
nmap - Ferramenta de exploração de rede e scanner de segurança.
</PRE>
<H2>SYNOPSIS</H2><PRE>
<B>nmap</B> [Tipo(s) de Scan] [Opções] &lt;computador ou rede #1 ... [#N]&gt;
</PRE>
<H2>DESCRICAO</H2><PRE>
<I>Nmap</I> é projetado para permitir aos administradores de sistemas e
indivíduos curiosos explorar grandes redes para determinar quais com-
putadores estão ativos e quais serviços são fornecidos. <I>Nmap</I> suporta
um grande número de técnicas de scan, como: UDP, TCP connect(), TCP SYN
(half open), ftp proxy (bounce attack), Reverse-ident, ICMP (ping
sweep), FIN, ACK sweep, Xmas Tree, SYN sweep, IP Protocol, and Null
scan. Veja as seções de <I>Tipos</I> <I>de</I> <I>Scan</I> para maiores detalhes. Nmap,
também, oferece um número de avançadas características, como: detecção
remota do SO via TCP/IP fingerprinting, stealth scanning, dynamic delay
e retransmission calculations, scanning paralelo, detecção de hosts
inativos através de pings paralelos, decoy scanning, detecção de portas
filtradas, scanning direto de RPC (não-portmapper), fragmentation scan-
ning e flexibilidade do alvo e especificação de porta.
Esforços significantes tem sido gastos na performance do nmap para
usuários comuns, usuários não-root. Infelizmente, várias interfaces
críticas do kernel (como os sockets raw) requerem privilégios de root.
Nmap deve ser executado como root sempre que possível.
O resultado da execução do nmap é usualmente uma lista de portas inter-
essantes na(s) máquina(s) sendo explorada(s). Nmap sempre fornece o
nome do serviço, o número, o estado, e o protocolo das portas "bem con-
hecidas". O estado pode ser tanto aberto (open), filtrado(filtered)
ou não filtrado (unfiltered). Aberto significa que a máquina alvo
aceitará (accept()) conexões na porta. Filtrado significa que o fire-
wall, filtro ou outro obstáculo da rede está cobrindo a porta e pre-
venindo o nmap de determinar quando a porta está aberta. Não filtrado
significa que a porta é conhecida pelo nmap para estar fechada e nenhum
firewall/filtro parece estar interferindo com a tentativa de determina-
lá pelo nmap. Portas não filtradas são um caso comum e são mostradas,
somente, quando a maioria das portas exploradas estão no estado fil-
trado.
Dependendo da opção usada, o nmap pode, também, reportar as seguintes
características do host remoto: SO em uso, sequenciabilidade do TCP, os
nomes dos usuários executando os programas em determinadas portas, o
nome DNS, quando um host tem um endereco de smurf, e várias outras.
</PRE>
<H2>OP<EFBFBD>Ç<EFBFBD>ÕES</H2><PRE>
Opções que juntamente fazem sentido podem geralmente ser combinadas.
Várias opções são específicas para certos modos de scan. <I>Nmap</I> tenta
capturar e avisar o usuário sobre erros ou combinações não suportadas
de opções.
Se você está impaciente, você pode ir direto para a seção de <I>exemplos</I>
no final, os quais demonstram o uso comum do nmap. Você pode, também,
executar <B>nmap</B> <B>-h</B> para uma rápida página de referência, a qual lista
todas as opções.
<B>TIPOS</B> <B>DE</B> <B>SCAN</B>
<B>-sT</B> TCP connect() scan: Esta é a mais básica forma de TCP scanning.
A chamada de sistema, connect(), provida pelo seu sistema opera-
cional é usada para abrir uma conexão para toda porta interes-
sante na máquina. Se a porta está no estado listening, connect()
irá ter sucesso, por outro lado a porta não será alcançada. Uma
grande vantagem desta técnica é que você não precisa de nenhum
privilégio especial. Qualquer usuário em UNIX está livre para
usar esta chamada.
Este tipo de scan é facilmente detectável pelo log do host alvo,
o qual mostrará o grupo de conexões e mensagens de erro para os
serviços os quais aceitam, accept(), a conexão somente para
tê-la imediatamente desligada.
<B>-sS</B> TCP SYN scan: Esta técnica é muito conhecida como "half-open"
scanning, porque não abre uma conexão TCP completa. É enviado um
pacote com o flag SYN setado, como se fosse abrir uma conexão
real e é esperado pela resposta. Uma resposta SYN/ACK indica que
a porta está no estado listening. O flag RST é uma indicação de
estado não listening. Se o flag SYN/ACK é recebido, o flag RST é
imediatamente enviado para encerrar a conexão (atualmente o
núcleo do SO faz isso por nós). A principal vantagem desta
técnica de scanning é que poucos sites irão registra-lá no
arquivo de log. Desafortunadamente é necessário privilégios de
super usuário (root) para construir estes pacotes SYN customiza-
dos.
<B>-sF</B> <B>-sX</B> <B>-sN</B>
Modos Stealth FIN, Xmas Tree, ou Null scan: Algumas vezes nem
mesmo a técnica SYN scanning é clandestina suficiente. Vários
firewalls e filtros de pacotes observam por SYNs para portas
restritas, e programas como Synlogger e Courtney estão
disponíveis para detectar este tipo de scan. Por outro lado,
scans avançados (stealth FIN, Xmas Tree, ou Null scan), podem
ser capazes de passar através destes filtros sem serem molesta-
dos.
A idéia é que portas fechadas são exigidas por responder aos
pacotes de teste com um RST, enquanto portas abertas precisam
ignorar os pacotes em questão (veja RFC 793 pp 64). A técnica de
scan FIN utiliza o limitado pacote FIN como teste, enquanto a
técnica de scan Xmas Tree seta os flags FIN, URG e PUSH. A
técnica de scan Null não seta nenhum flag. Desafortunadamente a
Microsoft (como usual) decidiu completamente ignorar o padrão e
faz as coisas do seu próprio jeito. Então este tipo de scan não
funcionará contra sistemas executando Windows95/NT. Do lado pos-
itivo, está é uma ótima maneira de distinguir entre duas
plataformas. Se o scan encontrar portas abertas, é possível
saber que a máquina não utiliza o Windows. Se as técnicas de
scan -sF, -sX ou -sN mostram todas as portas fechadas, mesmo
assim a técnica de scan SYN (-sS) mostra portas sendo abertas,
você poderá estar olhando para uma máquina Windows. Esta é a
maneira menos usada pelo nmap para testar a detecção do SO.
Exitem, também, alguns outros sistemas que são descobertos da
mesma maneira que descobrimos o windows. Estes incluem Cisco,
BSDI, HP/UX, MVS, and IRIX. Todos acima enviam resets (RST) de
portas abertas quando estes devem, somente, descartar o pacote.
<B>-sP</B> Ping scanning: Algumas vezes você somente quer saber quais os
hosts da rede estão ativos. O Nmap pode fazer isso enviando um
pacote de requisição ICMP (ICMP echo request) para todo endereço
IP especificado da rede. Os hosts que respondem estão vivos.
Desafortunadamente, vários sites, como a microsoft.com, blo-
queiam pacotes de requisição ICMP (echo request). Então, o nmap
pode, também, enviar um pacote ACK TCP para (por definição) a
porta 80. Se nós pegarmos o flag RST novamente, a máquina esta
viva. A terceira técnica envolve o envio de pacotes SYN e a
espera pelo pacote com o flag RST ou os flags SYN/ACK. O método
connect() é usado por usuários comuns (não root).
Por definição (para super usuários), o nmap usa tanto as técni-
cas do ICMP e a do flag ACK em paralelo. Você pode mudar as <B>-P</B>
opções descritas mais a frente.
Note que o ping, por definição, é feito de qualquer forma, e
somente os hosts que respondem são scanneados. Somente use esta
opção se você desejar vasculhar <B>sem</B> fazer qualquer scan real de
portas.
<B>-sU</B> UDP scans: Este método é usado para determinar quais portas UDP
(User Datagram Protocol, RFC 768) estão abertas no host. A
técnica implica em enviar 0 bytes de dados de pacotes UDP para
cada porta da máquina alvo. Se nós recebermos uma mensagem de
ICMP port unreachable (porta ICMP não alcançada), então a porta
está fechada. Por outro lado nós assumimos que a porta está
aberta.
Várias pessoas pensam que a técnica UDP scanning é supérfluo.
Eu, usualmente, lembro desta como uma recente falha no rpcbind
do Solaris. O Rpcbind pode ser encontrado escondido em uma porta
UDP não documentada em algum lugar acima de 32770. Então não
importa que a porta 111 esteja bloqueada por um firewall. Porém,
você pode encontrar quais as portas altas, maiores de 30.000,
que estão no estado listening? Com o scanner UDP você pode!
Existe, também, o programa cDc Back Orifice backdoor o qual se
oculta em uma porta UDP configurável em máquinas Windows. Alguns
serviços comumente vulneráveis que utilizam o UDP são: snmp,
tftp, NFS, etc.
Desafortunadamente UDP scanning é algumas vezes, dolorosamente,
vagarosa desde que a maioria dos hosts implementam a sugestão da
RFC 1812 (seção 4.3.2.8) de limitar a taxa de mensagens de erro
ICMP. Por exemplo, o núcleo do Linux (em net/ipv4/icmp.h) limita
a geração de mensagens de destination unreachable para 80 por 4
segundos, com 1/4 segundos de penalidade se esta for excedida. O
Solaris tem um limite muito mais restrito (mais ou menos 2 men-
sagens por segundo) e assim gasta um tempo maior para realizar o
scan. <I>Nmap</I> detecta esta taxa limitante e reduz conformemente,
por outro lado inunda a rede com pacotes sem uso que irão ser
ignorados pela máquina alvo.
Como é típico, a Microsoft ignorou a sugestão da RFC e não
parece ter feito nenhuma taxa limitante por completo no Win95 e
no NT. Então é possível scannear, <B>rapidamente</B> , todas as portas
de 64K das máquinas windows. Beleza!
<B>-sO</B> Scan do Protocolo IP: Este método é usado para determinar quais
protocolos IPs são usados no host. A técnica consiste em enviar
pacotes IP raw sem promover nenhum cabeçalho para cada protocolo
específico na máquina alvo. Se nós recebermos uma mensagem do
protocolo ICMP unreachable, então o protocolo não está sendo
usado. Por outro lado nós assumimos que está aberto. Note que
vários hosts (AIX, HP-UX, Digital UNIX) e firewalls podem não
enviar mensagens de protocolo unreachable. Assim faz parecer que
todos os protocolos estão "abertos".
Isso porque a técnica implementada é muito similar ao scanning
da porta UDP, onde a taxa limite de ICMP pode ser aplicada
também. Porém o campo do protocolo IP tem somente 8 bits, então
no máximo 256 protocolos podem ser testados, os quais devem ser
possíveis de serem testados em tempo razoável.
<B>-sA</B> ACK scan: Este método avançado é usualmente usado para mapear o
conjunto de regras de um firewall. Em particular, esta pode aju-
dar a determinar quando um firewall é stateful ou somente um
filtro de pacotes simples que bloqueia pacotes SYN de chegada.
Este tipo de scan envia pacotes com o flag ACK setado para uma
porta específica. Se um RST voltar, a porta é classificada como
"não filtrada". Se não voltar nada ou um ICMP unreachable
voltar, a porta é classificada como "filtrada". Note que o <I>nmap</I>
usualmente não imprime portas "não filtradas", obtendo, assim,
<B>nenhuma</B> porta mostrada na saída é usualmente um sinal que todos
os testes foram suscedidos (e retornado RSTs). Esta técnica de
scan nunca irá, obviamente, mostrar portas no estado "aberto".
<B>-sW</B> Window scan: Este scan avançado é muito similar ao ACK scan,
exceto que as vezes pode ser possível detectar portas abertas
mesmo sendo filtradas, isso devido a anomalia do tamanho da
janela TCP reportado por vários sistemas operacionais. Sistemas
vulneráveis para isso incluem no mínimo várias versões do AIX,
Amiga, BeOS, BSDI, Cray, Tru64 UNIX, DG/UX, OpenVMS, Digital
UNIX, FreeBSD, HP-UX, OS/2, IRIX, MacOS, NetBSD, OpenBSD, Open-
Step, QNX, Rhapsody, SunOS 4.X, Ultrix, VAX, and VxWorks. Vejam
no arquivo, na lista de discussão nmap-hackers, a lista com-
pleta.
<B>-sR</B> RPC scan. Este método trabalha em combinação com várias técni-
cas de scan de portas do Nmap. Ele pega todas as portas TCP/UDP
encontradas abertas e inunda elas com comandos NULL de programas
SunRPC numa tentativa de determinar quando elas são portas RPC,
e se são, qual programa e versão dos serviços. Com este método
você pode efetivamente obter a mesma informação como se usasse
rpcinfo -p mesmo se o portmapper alvo estiver atrás de um
firewall (ou protegido pelo TCP wrappers). Decoy não trabalha
correntemente com RPC scan, em algum ponto eu posso adicionar o
suporte decoy para UDP RPC scans.
<B>-b</B> <B>&lt;ftp</B> <B>relay</B> <B>host&gt;</B>
FTP bounce attack: Uma interessante "característica" do proto-
colo ftp (RFC 959) é sustentada para conexões ftp "proxy". Em
outras palavras, eu devo ser capaz de conectar do evil.com para
um servidor FTP, target.com, e requerer que o servidor envie um
arquivo para qualquer lugar na internet! Isto pode ter sido
explorado bem em 1985 quando a RFC foi escrita. Porém na inter-
net hoje, nós não podemos ter pessoas hijacking servidores ftp e
requisitando que os dados sejam jogados para arbitrários pontos
na internet. Como *Hobbit* escreveu em 1995, este protocolo
torna inútil "pode ser usado para portar virtualmente não deter-
mináveis emails ou news, forjando em servidores vários sites,
preenchendo discos, tentando saltar firewalls, e geralmente
sendo aborrecido, ficando, assim, difícil seguir a pista ao
mesmo tempo." O que nós iremos explorar disto é o scan de portas
TCP do servidor "proxy" de ftp. Então você pode conectar a um
servidor ftp atrás do firewall, e então scannear portas que
estão mais provávelmente bloqueadas (139 é uma boa). Se o servi-
dor ftp permitir ler de e escrever para algum diretório (como
/incoming), você pode enviar dados arbitrários para portas que
você achar abertas (nmap não faz isso por você).
Os argumentos passados para a opção b é o host que você quer
usar como proxy, na notação de padrão URL. O formato é: <I>user-</I>
<I>name:password@server:port.</I> Tudo, menos o <I>server</I> é opcional.
Para determinar quais servidores são vulneráveis para este
ataque, você pode ver meu artigo em <I>Phrack</I> 51. A versão atual-
izada está disponível em <I>nmap</I> URL (http://www.inse-
cure.org/nmap).
<B>OP</B><EFBFBD><B><EFBFBD></B><EFBFBD><EFBFBD><B><EFBFBD></B><EFBFBD><B>ES</B> <B>GERAIS</B>
Nenhuma destas são requeridas, porém algumas podem ser absoluta-
mente proveitosas.
<B>-P0</B> Pinga os hosts antes de scanneá-los. Isto permite scannear as
redes que não permitem ICMP echo requests (ou responses) através
dos seus firewalls. microsoft.com é um exemplo desta rede, e
então você deve sempre usar <B>-P0</B> ou <B>-PT80</B> quando portscanning
microsoft.com.
<B>-PT</B> Use TCP "ping" para determinar quais hosts estão ativos. Ao
invez de enviar pacotes ICMP echo request e esperar pelas
respostas, nós enviamos pacotes TCP ACK por toda parte na rede
alvo (ou para uma simples máquina) e então esperamos por
respostas. Hosts que estão ativos devem responder com um RST.
Esta opção preserva a eficiência de somente scannear hosts que
estão ativos, enquanto ainda permite scannear redes/hosts que
bloquearam pacotes ping. Para usuários não root, é usado o con-
nect(). Para setar a porta destino dos pacotes de teste usem
-PT&lt;número da porta&gt;. A porta default é 80, desde que está porta
é muitas vezes não filtrada.
<B>-PS</B> Está opção usa pacotes com SYN (connection request) ao invez de
pacotes com ACK para usuários root. Hosts que estão ativos devem
responder com RST (ou, raramente, um SYN|ACK).
<B>-PI</B> Está opção usa um pacote ping verdadeiro (ICMP echo request).
Esta encontra os hosts que estão ativos e também procura por um
endereço de broadcast para a subrede da sua rede. Estes são
endereços IPs que são externamente alcançáveis e traduzidos para
broadcast de pacotes IP de chegada para uma subrede de computa-
dores. Estes devem ser eliminados se encontrado, como ele per-
mitem por numerosos ataques de negação de serviço (DoS) (Smurf é
o mais comum).
<B>-PB</B> Este é o tipo de ping default. Ele usa tanto pacotes com ACK (
<B>-PT</B> ) e pacotes ICMP ( <B>-PI</B> ) sweeps em paralelo. Desta maneira
você pode obter os firewalls que filtram cada uma (porém não
ambas).
<B>-O</B> Esta opção ativa a identificação de hosts remotos via TCP/IP
fingerprinting. Em outras palavras, ela usa uma grande quanti-
dade de técnicas para detectar sutilezas na pilha de rede do
sistema operacional do computador que você está scanneando. Ele
usa estas informações para criar a fingerprint a qual é com-
parada com sua base de dados de conhecidos fingerprints de SOs
(o arquivo nmap-os-fingerprints) para decidir qual o tipo de
sistema que você está escanneando.
Se o Nmap está desabilitado para resolver o SO da máquina, e as
condições são boas (ex. ao menos uma porta aberta), Nmap irá
prover a URL que você pode usar para submeter a fingerprint se
você conhecer (com certeza) o SO sendo executado na máquina. Por
fazer isso você contribui para o conjunto de sistemas opera-
cionais conhecidos pelo nmap e então será mais correto para
todos.
A opção -O também possibilita classificar e fazer o prognostico
da sequência TCP. Esta é uma medida que descreve aproximadamente
qual a dificuldade em estabelecer uma conexão TCP forjada contra
um host remoto. Esta é útil para explorar o IP de origem
baseado na relação de confiança (rlogin, firewall filters, etc)
ou por esconder a origem do ataque. O número difficulty mostrado
é baseado em uma simples amostra estatística e pode variar. Este
número é geralmente melhor apresentado como uma frase em Inglês
como "worthy challenge" ou "trivial joke".
<B>-I</B> Esta ativa o scanning do ident reverso TCP. Como notado por Dave
Goldsmith em 1996 na mensagem para a Bugtraq, o protocolo ident
(rfc 1413) permite revelar o username dos donos dos processos
conectados via TCP, mesmo se estes processos não iniciaram a
conexão. Então você pode, por exemplo, conectar a porta http e
então usar o identd para encontrar quando o servidor está sendo
executado como root. Isto pode somente ser feito com uma conexão
TCP completa para a porta alvo (ex.: a opção de scanning -sT).
Quando <B>-I</B> é usada, o identd do host remoto é pesquisado para
cada porta aberta encontrada. Obviamente isso não funciona se o
host não estiver rodando o identd.
<B>-f</B> Esta opção requere os flags SYN, FIN, XMAS, ou NULL scan para
usar cuidadosos pacotes IP fragmentados. A idéia é dividir o
cabeçalho TCP sobre vários pacotes para ficar difícil para o
filtro de pacotes, sistemas de detecção de intrusão, e outros
aborrecimentos para detectar o que você está fazendo. Seja
cuidadoso com isso! Vários programas tem preocupações lidando
com estes cuidadosos pacotes. Enquanto este método não obtem
pacotes filtrados e firewalls que enfileram todos os fragmentos
IP (como a opção CONFIG_IP_ALWAYS_DEFRAG no kernel do linux),
várias redes não conseguem assegurar o golpe de performance que
este fato causa, então é melhor deixar este desabilitado.
Note que esta opção, ainda, não esta funcionando em todos os
sistemas. Esta funciona bem para o Linux, FreeBSD, e OpenBSD e
outras pessoas tem reportado sucessos com outras variações
*NIX.
<B>-v</B> Modo Verbose. Esta é uma opção altamente recomendada e fornece
mais informações sobre o que esta acontecendo. Você pode usá-la
duas vezes para um melhor efeito. Use <B>-d</B> em conjunto se você
realmente quiser ficar louco com a quantidade de informações na
tela!
<B>-h</B> Esta cômoda opção mostra uma rápida tela de referência das
opções usadas no nmap. Como você deve ter notado, está man page
não é exatamente uma rápida referência :o)
<B>-oN</B> <B>&lt;logfilename&gt;</B>
Este log mostra o resultado do seu scan em uma forma <B>humanamente</B>
<B>leg</B><EFBFBD><B><EFBFBD></B><EFBFBD><B>vel</B> no arquivo que você especificou como argumento.
<B>-oX</B> <B>&lt;logfilename&gt;</B>
Este log mostra o resultado do seu scan na forma de <B>XML</B> no
arquivo que você especificou como argumento. Isto permite aos
programas facilmente capturar e interpretar os resultados do
Nmap. Você pode fornecer o argumento ´-´(sem quotas) para colo-
car em uma stdout (para shell pipelines, etc). Neste caso uma
saída normal será suprimida. Tomar cuidado para as mensagem de
erro se você esta usando esta (elas, ainda, irão para stderr).
Também, note que ´-v´ pode causar algumas informações extras
para ser impressas.
<B>-oG</B> <B>&lt;logfilename&gt;</B>
Este log mostra o resultado do seu scan na forma do <B>grepable</B> no
arquivo que você especificou como argumento. Este simples for-
mato provê todas as informações em uma linha (então você pode
facilmente usar o grep para portas ou obter informações de SOs e
ver todos os endereços IPs). Este é o mecanismo preferido pelos
programas para interagir com o Nmap, porém agora é recomendado
usar a saída em XML (-oX). Este simples formato pode não conter
tantas informações quanto os outros formatos. Você pode fornecer
o argumento ´-´(sem quotas) para colocar em uma stdout (para
shell pipelines, etc). Neste caso uma saída normal será suprim-
ida. Tomar cuidado para as mensagem de erro se você esta usando
esta (elas, ainda, irão para stderr). Também, note que ´-v´ irá
fornecer várias informações extras para ser impressas.
<B>-oS</B> <B>&lt;logfilename&gt;</B>
thIs l0gz th3 r3suLtS of YouR ScanZ iN a <B>s|&lt;ipT</B> <B>kiDd|3</B> f0rM iNto
THe fiL3 U sPecfy 4s an arGuMEnT! U kAn gIv3 the 4rgument ´-´
(wItHOUt qUOteZ) to sh00t output iNT0 stDouT!@!!
<B>--resume</B> <B>&lt;logfilename&gt;</B>
O scan de rede que é cancelado devido a um control-C, inter-
rupção da rede, etc. pode ser resumido usando esta opção. O log-
filename precisa ser normal (-oN) ou parsable na máquina (-oM)
para registrar o scan abortado. Nenhuma outra opção pode ser
usada. Nmap começará na máquina depois que a última foi scan-
neada com sucesso e armazenada no arquivo de log.
<B>-iL</B> <B>&lt;inputfilename&gt;</B>
É feita a leitura de um arquivo alvo especificado na linha de
comando. O arquivo deve conter uma lista de hosts ou expressões
de rede separados por espaços, tabs, ou novas linhas. Use o
hífen (-) como <I>inputfilename</I> se você quisesse que o nmap leia
expressões do hosts de stdin (como no final do pipe). Veja a
seção <I>especifica<EFBFBD></I><EFBFBD><I><EFBFBD></I><EFBFBD><I>o</I> <I>do</I> <I>alvo</I> para maiores informações nas
expressões que você preencherá no arquivo.
<B>-iR</B> Esta opção fala para o Nmap para gerar seus próprios hosts para
scannear, usando simplesmente números randomicos :o). Isso nunca
irá terminar. Isso pode ser muito útil para tirar amostras
estatísticas da internet para estimar várias coisas. Se você
nunca estiver realmente entediado, tente <I>nmap</I> <I>-sS</I> <I>-iR</I> <I>-p</I> <I>80</I> para
encontrar vários servidores web para observar.
<B>-p</B> <B>&lt;port</B> <B>ranges&gt;</B>
Esta opção especifica quais portas você quer para descrever. Por
exemplo -p 23 irá tentar somente a porta 23 do host(s) alvo.
´-p 20-30,139,60000-´ irá scannear portas entre 20 e 30, porta
139, e todas as portas maiores que 60000. Por definição é para
scannear todas as portas entre 1 e 1024 tão bem quanto qualquer
porta listada no arquivo de serviços o qual vem com o nmap. Para
o scan de protocolos IP (-sO), especifica o número do protocolo
que você deseja para (0-255).
<B>-F</B> <B>Modo</B> <B>de</B> <B>scan</B> <B>r</B><EFBFBD><B><EFBFBD></B><EFBFBD><B>pido.</B>
Especifica que você somente deseja scannear por portas catalo-
gadas no arquivo services o qual vem com o nmap (ou o arquivo de
protocolos para -sO). Este é obviamente muito mais rápido do que
scannear todas 65535 portas no host.
<B>-D</B> <B>&lt;decoy1</B> <B>[,decoy2][,ME],...&gt;</B>
O processo de decoy scan será executado fazendo ele mostrar-se
para o host remoto que o(s) host(s) que você especificou como
decoys estão scanneando a rede alvo também. Então seus IDS pre-
cisarão reportar 5-10 scan de portas de um único endereço IP,
porém eles não saberão qual o endereço IP que os estava scanne-
ando e quais eram os decoys inocentes. Enquanto isto pode ser
descoberto através de uma rota, respostas soltas, e outras
mecanismos ativos, este é geralmente uma técnica extremamente
efetiva para esconder seu endereço IP.
Separando cada decoy host com vírgulas, você pode usar opcional-
mente ME como um dos decoys para representar a posição que
você quer seu endereço IP para ser usado. Se você colocar ME
na sexta posição ou outra maior, várias detectores comuns de
scan de portas não serão razoáveis para mostrar seu endereço IP
por completo. Se você não usar ME, o nmap irá colocar você em
uma posição randomica.
Note que os hosts que você usa como decoys devem estar ativos ou
você precisará acidentalmente inundar com pacotes SYN seu alvo.
Também, ele será muito fácil para determinar quais hosts estão
scanneando se somente um está atualmente ativo na rede. Você
deverá querer usar o endereço IP ao invez de nomes (então redes
decoy não irão ver você em seus nameserver logs).
Também, note que vários (estúpidos) "detectores de scan de por-
tas" irão firewall/deny roteamento para hosts que tentam fazer o
scan de portas. Então você precisa descuidadosamente causar a
perda de conexão da máquina que você está scanneando com a
máquina decoy que você esta usando. Isto pode causar maiores
problemas para a máquina alvo se o decoy está sendo usado, digo,
seu internet gateway ou até "localhost". Então você pode querer
ser cuidadoso com esta opção. A real moral da história é que os
detectores de scan de portas spoofable não devem gastar ações
contra a máquina que parece estar scanneando suas portas. Este
pode ser somente um decoy, ou seja, uma isca, uma armadilha!
Decoys são usados tanto em ping scan inicial (usando ICMP, SYN,
ACK, ou o que seja) e durante a fase de atual scanneamento de
porta. Decoy são também usados durante a detecção remota de SO (
<B>-O</B> ).
Este é um digno registrador que usa vários decoys que podem
atrasar seu scan e potencialmente até fazer este menos preciso.
Também, vários ISPs filtram pacotes spoofed, embora vários (cor-
rentemente a maioria) não restrigem pacotes IP spoofed por
inteiro.
<B>-S</B> <B>&lt;IP_Address&gt;</B>
Em várias circunstâncias, <I>nmap</I> pode não ser capaz de determinar
seu endereço de origem ( <I>nmap</I> irá avisá-lo se este é o caso).
Nesta situação, use -S com seu endereço IP (através da interface
que você deseja enviar pacotes).
Outro possível uso deste flag é para spoofar o scan para fazer o
alvo pensar que <B>algu</B><EFBFBD><B><EFBFBD></B><EFBFBD><B>m</B> <B>mais</B> está scanneando. Imagine uma compan-
hia sendo repetidamente port scanned pelo seu competidor! Este
não é um uso suportado (ou o principal propósito) deste flag. Eu
penso somente que isso levanta uma interessante discussão, em
que as pessoas devem estar cientes antes que elas acusem outras
pessoas de estar scanneando suas portas. <B>-e</B> geralmente será
requerida para este tipo de uso.
<B>-e</B> <B>&lt;interface&gt;</B>
Fala para o nmap qual interface enviar e receber pacotes. Nmap
deve ser capaz de detectar isto, porém este contará para você se
não puder.
<B>-g</B> <B>&lt;portnumber&gt;</B>
Conjunto de números de portas de origens usadas no scan. Vários
ingênuos firewalls e filtros de pacotes instalados fazem uma
exceção em seus conjuntos de regras para permitir pacotes DNS
(53) ou FTP-DATA (20) para entrar e estabelecer a conexão. Obvi-
amente isto contesta completamente as vantagens de segurança do
firewall desde que intrusos podem somente mascarar como FTP ou
DNS por modificar suas portas de origem. Obviamente para UDP
scan você deve tentar 53 primeiro e TCP scans devem tentar 20
antes da porta 53. Note que isso é somente uma requisição --
nmap honrará isso somente quando esta estiver hábil para. Por
exemplo, você não pode amostrar todo TCP ISN de um host:porta
para um host:porta, então nmap muda a porta de origem mesmo que
seja usado -g.
Seja ciente que existe uma penalidade na performance em vários
scans por usar esta opção, porque eu algumas vezes armazeno
informações úteis no número da porta de origem.
<B>-r</B> Fala para o Nmap para <B>N</B><EFBFBD><B><EFBFBD></B><EFBFBD><B>O</B> randomizar a ordem na qual as portas
serão scanneada.
<B>--randomize_hosts</B>
Fala para o Nmap para embaralhar cada grupo acima de 2048 hosts
antes de scanneá-los. Isto pode fazer o scan menos evidente para
vários sistemas de monitoração de rede, especialmente quando
você combina estes com as opções de baixo tempo (slow timing)
(veja abaixo).
<B>-M</B> <B>&lt;max</B> <B>sockets&gt;</B>
Conjunto máximo de números de sockets que será usado em paralelo
pelo TCP connect() scan (por definição). Esta é útil para
diminuir um pouco o scan e anular a possibilidade de travar a
máquina remota. Outra aproximação é para usar -sS, a qual é
geralmente fácil para as máquinas descreverem.
<B>OP</B><EFBFBD><B><EFBFBD></B><EFBFBD><EFBFBD><B><EFBFBD></B><EFBFBD><B>ES</B> <B>DE</B> <B>TEMPO</B>
Geralmente o Nmap faz um bom trabalho em ajustar para as carac-
terísticas da rede um tempo de execução e scanning tão rápido
quanto possível enquanto minimiza as chances do hosts/portas
serem não detectadas. Entretanto, existem vários casos onde a
política de tempo default do Nmap pode não encontrar seus obje-
tivos. As seguintes opções provêem um fino nível de controle
sobre o tempo de scan:
<B>-T</B> <B>&lt;Paranoid|Sneaky|Polite|Normal|Aggressive|Insane&gt;</B>
Estas são políticas de tempo preservados para convenientemente
expressar suas prioridades para o Nmap. <B>Paranoid</B> modo de scan
<B>muito</B> lento na esperança de prevenir a detecção pelo sistema
IDS. Este serializa todos os scans (scanning não paralelo) e
geralmente espera no mínimo 5 minutos entre o envio de pacotes.
<B>Sneaky</B> é similar, exceto que somente espera 15 segundos entre o
envio de pacotes. <B>Polite</B> tem o significado para facilitar a
carga na rede e reduzir as chances de travar a máquina. Ele
serializa os testes e espera <B>no</B> <B>m</B><EFBFBD><B><EFBFBD></B><EFBFBD><B>nimo</B> 0.4 segundos entre eles.
<B>Normal</B> é o comportamento default do Nmap, o qual tenta executar
tão rápido quanto possível sem sobrecarregar a rede ou perder
hosts/portas. <B>Aggressive</B> esse modo adiciona um timeout de 5
minutos por host e nunca espera mais que 1.25 segundos para tes-
tar as respostas. <B>Insane</B> é somente adequando para redes muito
rápidas ou onde você não se importa em perder algumas
informações. Nesta opção o timeout dos hosts acontecem em 75
segundos e espera somente 0.3 segundos por teste individual.
Esta possibilita, de qualquer forma, uma varredura extremamente
rápida na rede :o). Você pode também referenciar isso por
números (0-5). Por exemplo, ´-T 0´ fornece para você o modo
Paranoid e ´-T 5´ é o modo Insane.
Estes modos, para preservar o tempo, NÃO devem ser usados em
combinação com controles de baixo nível, como os fornecidos
abaixo.
<B>--host_timeout</B> <B>&lt;milliseconds&gt;</B>
Especifica a soma de tempo que o Nmap permite para gastar scan-
neando um simples host antes de desistir daquele IP. O modo de
tempo default não tem o timeout do host.
<B>--max_rtt_timeout</B> <B>&lt;milliseconds&gt;</B>
Especifica a soma máxima de tempo do Nmap tem permitido para
esperar pela resposta de teste antes de retransmitir ou ocorrer
um timeout de um particular teste. O modo default seta este
valor em 9000.
<B>--min_rtt_timeout</B> <B>&lt;milliseconds&gt;</B>
Quando um host alvo começa a estabelecer um padrão de resposta
muito rápido, Nmap irá contrair a soma de tempo fornecida por
teste. Isto aumenta a velocidade do scan, porém pode levar a
perder pacotes quando a resposta gasta mais tempo que o usual.
Com este parâmetro você pode garantir que o Nmap irá esperar ao
menos a soma de tempo fornecida antes de abrir mão do teste.
<B>--initial_rtt_timeout</B> <B>&lt;milliseconds&gt;</B>
Especifica o timeout do teste inicial. Isto é geralmente útil
quando scanning firewalled hosts com -P0. Normalmente o Nmap
pode obter boas estimativas RTT do ping e dos primeiros testes.
O modo default usa 6000.
<B>--max_parallelism</B> <B>&lt;number&gt;</B>
Especifica o número máximo de Nmap scans permitidos para serem
performados em paralelo. Ajustando este para 1 significa que o
Nmap nunca irá tentar scannear mais que uma porta por vez. Este,
também, afeta outros scans paralelos como o ping sweep, RPC
scan, etc.
<B>--scan_delay</B> <B>&lt;milliseconds&gt;</B>
Especifica a <B>m</B><EFBFBD><B><EFBFBD></B><EFBFBD><B>nima</B> soma de tempo que o Nmap precisa esperar
entre testes. Este é, na maioria das vezes, útil para reduzir a
carga da rede ou para diminuir a maneira de scan para esquivar-
se do IDS.
</PRE>
<H2>ESPECIFICA<EFBFBD>Ç<EFBFBD>ÃO DO ALVO</H2><PRE>
Tudo que não é uma opção (ou argumento de opção) no nmap é tratado como
especificação do host alvo. No caso mais simples são registrados sim-
ples hostnames ou endereços IPs na linha de comando. Se você quiser
scannear uma subrede de endereços IPs, você pode anexar <20><><B><EFBFBD></B><EFBFBD><EFBFBD><B>/mask</B><EFBFBD><EFBFBD><B><EFBFBD></B><EFBFBD><EFBFBD> para o
hostname ou endereço IP. <B>mask</B> precisa estar entre 0 (faz o scan de
toda internet) e 32 (faz o scan de um simples host especificado). Use
/24 para scannear a classe de endereço C e /16 para a classe de
endereço B.
Nmap, também, tem a mais poderosa notação a qual permite você especi-
ficar um endereço IP usando uma lista/fileira para cada elemento. Então
você pode scannear todo o endereço classe B da rede 192.168.*.*
especificando 192.168.*.* ou 192.168.0-255.0-255 ou até
192.168.1-50,51-255.1,2,3,4,5-255. E é claro, você pode usar a
notação de máscara: 192.168.0.0/16. Estes todos são equivalentes.
Outra coisa interessante para fazer é dividir em pedaços a Internet de
outra maneira. Ao invez de scannear todos os hosts da classe B, scan
*.*.5.6-7 com o objetivo de explorar todos os endereços IPs que ter-
minam em .5.6 ou .5.7 escolhendo seus próprios números. Para mais
informações dos hosts específicos para scannear, veja a seção de <I>exemp-</I>
<I>los.</I>
</PRE>
<H2>EXEMPLOS</H2><PRE>
Aqui existem vários exemplos de uso do nmap, do simples e normal para
um pouco mais complexo/esotérico. Note que números atuais e vários
nomes de domínios atuais são usados para tornar as coisas mais concre-
tas. Em seus lugares você deve substituir por endereços/nomes da <B>sua</B>
<B>pr</B><EFBFBD><B><EFBFBD></B><EFBFBD><B>pria</B> <B>rede.</B> Eu não penso que scannear portas de outras rede é ile-
gal; nem deve o scanneamento de portas ser feito por outros como um
ataque. Eu tenho scanneado centenas de milhares de máquinas e tenho
recebido somente uma reclamação. Porém eu não sou advogado e alguma
pessoa pode estar irritado pelos testes do <I>nmap</I>
<B>nmap</B> <B>-v</B> <B>target.example.com</B>
Esta opção faz o scan de todas as portas TCP reservadas na máquina tar-
get.example.com. A opção -v significa ligar o modo verbose.
<B>nmap</B> <B>-sS</B> <B>-O</B> <B>target.example.com/24</B>
Lança um stealth SYN scan contra cada máquina que está ativa,
abrangendo todas as 255 máquinas de classe C onde target.example.com
reside. Este exemplo, também, tenta determinar o sistema operacional
que esta executando em cada host que esta ativo. Este requere
privilégios de root (super usuário) por causa da técnica SYN scan e da
detecção de SOs.
<B>nmap</B> <B>-sX</B> <B>-p</B> <B>22,53,110,143,4564</B> <B>198.116.*.1-127</B>
Envia um Xmas tree scan para a primeira metade de cada uma das 255 pos-
sibilidades de subredes de 8 bit no espaço de endereços classe B em
198.116. Nós estamos testando quando o sistema executa sshd, DNS,
pop3d, imapd, ou a porta 4564. Note que o Xmas scan não trabalha com a
Microsoft devido a sua deficiente pilha TCP. O mesmo acontece com
CISCO, IRIX, HP/UX, e BSDI.
<B>nmap</B> <B>-v</B> <B>--randomize_hosts</B> <B>-p</B> <B>80</B> <20><><B><EFBFBD></B><EFBFBD><EFBFBD><B>*.*.2.3-5</B><EFBFBD><EFBFBD><B><EFBFBD></B><EFBFBD><EFBFBD>
Em lugar de focar somente um específico IP, é interessante, algumas
vezes, abranger um fatia de toda a internet e fazer o scan de um
pequena amostra de cada fatia. Este comando encontra todos os servi-
dores web em máquinas com endereços IPs terminando em .2.3, .2.4, ou
.2.5. Se você é super usuário (root) você pode adicionar -sS. Também,
você irá encontrar mais máquinas interessantes começando com 127.,
então você pode querer usar 127-222 ao invez dos primeiros asterísti-
cos porque essa parte tem uma alta densidade de máquinas interessantes
(IMHO).
<B>host</B> <B>-l</B> <B>company.com</B> <B>|</B> <B>cut</B> <20><><B><EFBFBD></B><EFBFBD><EFBFBD><B>-d</B> <20><><B><EFBFBD></B><EFBFBD><EFBFBD> <B>-f</B> <B>4</B> <B>|</B> <B>./nmap</B> <B>-v</B> <B>-iL</B> <B>-</B>
Fazer uma transferência de zona de DNS para encontrar hosts em com-
pany.com e então alimentar os endereços IPs para o <I>nmap.</I> Os comandos
acima são para minha caixa GNU/Linux. Você pode precisar de diferentes
comandos/opções em outros sistemas operacionais.
</PRE>
<H2>BUGS</H2><PRE>
Bugs? O que é bugs? Envie-me os bugs que você encontrar. Patches são
uma boa também :o) Lembrem-se de, também, enviar novos SO fingerprints
para que possamos aumentar nossa base de dados. O Nmap irá fornecer
para você uma URL de submissão quando um apropriado fingerprint for
encontrado.
</PRE>
<H2>AUTOR</H2><PRE>
Fyodor <I>&lt;fyodor@insecure.org&gt;</I>
</PRE>
<H2>TRADUTOR</H2><PRE>
Antônio Pires de Castro Jr <I>&lt;apcastro@ic.unicamp.br&gt;;</I> <I>&lt;apcastro@onde-</I>
<I>for.com.br&gt;</I> Texto traduzido em 17 de Outubro de 2000.
</PRE>
<H2>NOTA DO TRADUTOR</H2><PRE>
Esta tradução foi realizada usando a man page oficial do nmap (NMAP
2.54BETA7), e não possui nenhum compromisso com www.insecure.org. Este
trabalho foi realizado pela livre e expontânea vontade do tradutor.
Qualquer correção desta pode ser feita enviando um email para o tradu-
tor.
</PRE>
<H2>DISTRIBUI<EFBFBD>Ç<EFBFBD>ÃO</H2><PRE>
A mais nova versão do <I>nmap</I> pode ser obtida em <I>http://www.inse-</I>
<I>cure.org/nmap/</I>
<I>nmap</I>
(C) 1997,1998,1999,2000 por Fyodor (fyodor@insecure.org)
<I>libpcap</I> é, também, distribuída junto com nmap. Esta é uma copyrighted
por Van Jacobson, Craig Leres and Steven McCanne, todos do Laboratório
Nacional de Lawrence em Berkeley, University of California, Berkeley,
CA. A versão distribuída com o nmap pode ser modificada, a fonte orig-
inal está disponível em ftp://ftp.ee.lbl.gov/libpcap.tar.Z .
Este programa é um software livre; você pode redistribuí-lo e/ou
modificá-lo sobre os termos da Licença Pública Geral GNU como publicado
pelo Free Software Foundation; Versão 2. Esta garante seu direito de
usar, modificar e redistribuir o Nmap sobre certas condições. Se esta
licença for inaceitável para você, o Insecure.Org pode estar querendo
negociar alternativas licenças (entre em contato com fyodor@inse-
cure.org).
O código de origem é fornecido para este software porque nós acredita-
mos que os usuários tem o direito de conhecer exatamente qual o pro-
grama ele irá usar antes de executá-lo. Isto, também, permite você
auditar o software para furos de segurança (nenhum foi encontrado).
O código de origem também permite você portar o Nmap para novas
plataformas, consertar bugs, e adicionar novas características. Você
esta altamente encorajado para enviar suas mudanças para fyodor@inse-
cure.org para possíveis encorporações em sua principal distribuição.
Por enviar estas mudanças para Fyodor ou uma das listas de discussão
dos desenvolvedores insecure.org, será assumido que você está ofere-
cendo nenhum limite a Fyodor, não-exclusivo direito de reusar, modi-
ficar, e relicenciar o código. Isto é importante por causa da incapaci-
dade para relicenciar códigos, isso tem causado devastadores problemas
para outros projetos de software livres (como KDE e NASM). O código
fonte do Nmap sempre estará disponível. Se você desejar especificar
especiais condições de licença das suas contribuições, somente diga
quando você as enviar.
Este programa é distribuído na esperança de ser útil, porém <B>SEM</B> <B>NENHUMA</B>
<B>GARANTIA;</B> sem mesmo implicar garantia de <B>COMERCIABILIDADE</B> ou <B>ADAPTA</B><EFBFBD><B><EFBFBD></B><EFBFBD><EFBFBD><B><EFBFBD></B><EFBFBD><B>O</B>
<B>PARA</B> <B>UM</B> <B>PROP</B><EFBFBD><B><EFBFBD></B><EFBFBD><B>SITO</B> <B>PARTICULAR.</B> Veja a Licença Pública Geral GNU por
mais detalhes (esta está no arquivo COPYING da distribuição do <I>nmap</I> ).
Também deve ser notado que o Nmap tem sido conhecido por travar certas
aplicações pobremente escritas, pilhas TCP/IP, e mesmo certos sistemas
operacionais. <B>O</B> <B>Nmap</B> <B>nunca</B> <B>deve</B> <B>ser</B> <B>executado</B> <B>contra</B> <B>sistemas</B> <B>cr</B><EFBFBD><B><EFBFBD></B><EFBFBD><B>ticos</B>
<B>de</B> <B>miss</B><EFBFBD><B><EFBFBD></B><EFBFBD><B>o</B> <B>ao</B> <B>menos</B> <B>que</B> <B>voc</B><EFBFBD><B><EFBFBD></B><EFBFBD> <B>esteja</B> <B>preparado</B> <B>para</B> <B>sofrer</B> <B>com</B> <B>o</B> <B>tempo</B>
<B>ocioso.</B> <B>N</B><EFBFBD><B><EFBFBD></B><EFBFBD><B>s</B> <B>reconhecemos</B> <B>aqui</B> <B>que</B> <B>o</B> <B>Nmap</B> <B>pode</B> <B>travar</B> <B>seu</B> <B>sistema</B> <B>ou</B>
<B>rede</B> <B>e</B> <B>n</B><EFBFBD><B><EFBFBD></B><EFBFBD><B>s</B> <B>renunciamos</B> <B>todas</B> <B>responsabilidades</B> <B>por</B> <B>qualquer</B> <B>dano</B> <B>ou</B>
<B>problemas</B> <B>que</B> <B>o</B> <B>Nmap</B> <B>possa</B> <B>causar.</B>
Por menosprezar os riscos de travar e por causa de vários usuários
malíciosos gostarem de usar o Nmap para fazer o levantamento topológico
da rede antes de atacar o sistema, existem administradores que estão
preocupados e podem reclamar quando seus sistemas são scanneados. Por
isso, é muitas vezes conveniente requerer permissão antes de fazer,
mesmo que seja, um simples scan na rede.
O Nmap nunca deve ser executado com privilégios (ex.: suid root) por
razões de segurança.
Todas as versões do Nmap igual á ou maiores que 2.0 são acreditadas não
ter problemas, em todos os aspectos, com o bug do ano 2000 (Y2K).
Porém, não existe razão para acreditar que versões anteriores a 2.0 são
susceptíveis a problemas, porém nós não as testamos.
<B>NMAP(1)</B>
</PRE>
<HR>
<ADDRESS>
Man(1) output converted with
<a href="http://www.oac.uci.edu/indiv/ehood/man2html.html">man2html</a>
</ADDRESS>
</BODY>
</HTML>
Reference in New Issue View Git Blame Copy Permalink