Keletas darbo su nuostabiu tinklo skaitytuvu pavyzdžių - NMAP
Nuskaitykite tinklą ir ieškokite aktyvių kompiuterių:
$ nmap -sn 192.168.1.0/ 24
Pagrindinių kompiuterių / tinklų sąrašo nuskaitymas iš failo:
$ nmap -iL input.txt
Dokumento formatas:
Įrašai gali būti pateikti bet kokiu formatu, su kuriuo veikia Nmap komandinė eilutė(IP adresai, prieglobos pavadinimai, CIDR, IPv6 arba oktetų diapazonai). Įrašai turi būti atskirti vienu ar daugiau tarpų, skirtukų arba naujų eilučių.
$ cat input.txt server.test.com 192.168.1.0/ 24 192.168.2.1,2 ,3 192.168.3.0-200
Nuskaityti kelis IP adresus:
$nmap 192.168.1.1 192.168.1.2 192.168.1.3 $nmap 192.168.1.1,2,3
5. IP/Hosts/Tinklų neįtraukimas į nuskaitymą
Išskirkite taikinius iš Nmap nuskaitymo:
$ nmap 192.168.1.0/ 24 --išskirti 192.168.1.1 $ nmap 192.168.1.0/ 24 --išskirti 192.168.1.1 192.168.1.5 $ nmap 192.0.16,218.18 ,3
Išskirti iš failo paimtų prieglobų sąrašą:
$ nmap 192.168.1.0/ 24 --excludefile exclude.txt
6. Nuskaitykite konkrečius prievadus
Nuskaityti vieną prievadą:
$ nmap -p 80 192.168.1.1
Nuskaityti kelis prievadus:
$ nmap -p 80 443 192.168.1.1
Nuskaitymo prievado diapazonas:
$ nmap -p 80 -1000 192.168.1.1
Nuskaityti visus prievadus:
$ nmap -p "*" 192.168.1.1
Nuskaitykite atvirus prievadus
$ nmap -Pn 192.168.1.1
7. Palaikomų IP protokolų nustatymas
Nustatykite, kuriuos IP protokolus (TCP, UDP, ICMP ir kt.) palaiko nuskaitytas pagrindinis kompiuteris:
$ nmap -sO 192.168.1.1
8. TCP/UDP prievadų nuskaitymas
Nuskaitykite visus TCP prievadus:
$ nmap -sT 192.168.1.1
Nuskaitykite konkrečius TCP prievadus:
$ nmap -p T:80 192.168.1.1
Nuskaitykite visus UDP prievadus:
$ nmap -sU 192.168.1.1
Nuskaitykite konkrečius UDP prievadus:
$ nmap -p U:53 192.168.1.1
Skirtingų prievadų nuskaitymo derinimas:
$ nmap -p U:53,79,113,T:21 -25,80,443,8080 192.168.1.1
9. Greitas nuskaitymas
Suaktyvinti Greitas režimas nuskaityti:
$ nmap -F 192.168.1.1
Rodyti prievado būsenos priežastį
Parodykite priežastį, kodėl Nmap mano, kad prievadas yra tam tikros būsenos:
$ nmap -- priežastis 192.168.1.1
11. Rodyti tik atvirus prievadus
Rodyti tik atvirus prievadus (arba galbūt atidarytus):
$ nmap --atviras 192.168.1.1
Rodyti tik atidarytus 22 prievadus:
Nmap -p22 -atviras 192.168.1.1
12. OS apibrėžimas
Įgalinti OS aptikimą:
$ nmap -O 192.168.1.1
* Identifikuoja nuotolinę operacinę sistemą, naudodamas TCP/IP kamino piršto atspaudą.
13. Paslaugų versijos nustatymas
Įgalinti paslaugos versijos aptikimą:
$ nmap -sV 192.168.1.1
* Nustato nuotoliniame serveryje veikiančių programų versijas.
14. Ugniasienės aptikimas
Sužinokite, ar jūsų kompiuteris yra apsaugotas paketų filtrų arba ugniasienės:
nmap -oX output.xml 192.168.1.1N žemėlapis -A 192.168.1.2
Ši komanda leis paleisti visus scenarijus ir daugybę kitų parinkčių, čia yra aprašymas iš žinyno meniu: Įgalinti OS aptikimą, versijos aptikimą, scenarijaus nuskaitymą ir traceroute.
Pavyzdžiui, „Samba“ paslaugai (445 prievadas) bus rodoma:
Pagrindinio kompiuterio scenarijaus rezultatai:
| smb-saugos režimas:
| account_used: svečias
| autentifikavimo_lygis: vartotojas
| challenge_response: palaikoma
|_ message_signing: išjungtas (pavojingas, bet numatytasis)
Sistemos administratorius įsivaizdavo esąs tinklo dievas,
bet elektrikas grubiai išsklaidė šį mitą.
IT humoras
Įvadas
Tinklo nuskaitymas yra vienas pirmųjų žingsnių įsilaužimo ar jo prevencijos procese, nes jis leidžia nustatyti labiausiai pažeidžiamus ir potencialiai pavojingus atvirus kompiuterio prievadus. Kadangi kiekvienas kompiuteris turi specifinių funkcijų rinkinį, naudodamiesi prievado skaitytuvu galite nustatyti, kurios paslaugos (FTP, žiniatinklio, pašto serveris ir tt) veikia kompiuteryje, taip pat kokia operacinė sistema jį valdo. Kuo daugiau paslaugų kompiuteryje veikia, tuo didesnė tikimybė, kad jis bus nulaužtas – juk kiekviena programinė įranga turi spragų.
Tinklo skaitytuvai skirti nuskaityti konkrečias tinklo adresą(IP adresai) arba adresai ir nustatyti atvirus ir galbūt nesaugius tiriamo kompiuterio prievadus. Nepaisant to, tokias programas dažniausiai naudoja įsilaužėliai, norėdami nustatyti galimus pažeidžiamumus ir vėliau įsilaužti į kompiuterį, o visai ne siekdami užtikrinti jo saugumą. Pasirodo, saugumas ir įsilaužimas, nors savo esme yra antipodai, leidžia naudoti tas pačias priemones.
TCP protokolo pagrindai
Norėdami suprasti, kaip vyksta nuskaitymas, turite suprasti, koks algoritmas naudojamas TCP ryšiui tarp kompiuterių užmegzti. Norėdami užmegzti TCP ryšį tarp kliento ir serverio, klientas siunčia užklausą (TCP paketą) su nustatyta SYN vėliava ir inicijuoja ryšį. Jei serveris klauso šio prievado, jis siunčia klientui paketą su nustatytomis SYN ir ACK vėliavėlėmis, tuo pačiu patvirtindamas kliento užklausą ir prašydamas užmegzti atvirkštinį ryšį. Tada klientas siunčia paketą su nustatyta ACK vėliava, patvirtindamas SYN serverio užklausą. Toliau perduodami duomenys, kurių gavimui patvirtinti kaskart siunčiamas paketas su ACK vėliava. Kai serveris arba klientas visiškai baigia perduoti duomenis, jis siunčia paketą su nustatyta FIN vėliava, taip informuodamas kitą pusę nutraukti ryšį. Kita pusė, gavusi paketą su FIN vėliava, siunčia grįžtamąjį paketą su nustatyta FIN vėliavėle, patvirtinančia ryšio pabaigą. Norėdami nutraukti ryšį, bet kuri pusė gali išsiųsti paketą su RST vėliava. Paketų mainų procesas aiškiau parodytas lentelėje. 1.
1 lentelė. Ryšio užmezgimas ir paketų mainų procesas
Dauguma skaitytuvų gauna informaciją apie turimus atvirus prievadus ir kompiuterio buvimą tinkle pagal šią seką.
Nmap tinklo skaitytuvas ir jo galimybės
Kadangi pastaruoju metu vis labiau populiarėja sistemos, pagrįstos Linux ir BSD OS, šiame leidinyje apžvelgsime pažangiausią operacinėms sistemoms skirtą tinklo skaitytuvą. Linux sistemos- Nmap. Ši programa yra viena iš labiausiai paplitusių tarp Linux vartotojų ir išsiskiria galingais įrankiais ir didelis greitis dirbti.
Tinklo skaitytuvas Nmap pasirodė 1997 m Operacinės sistemos paremtas UNIX ir toliau tobulinamas iki šiol. Nuo panašių OS programų „Windows“ pagrindu jis išsiskiria galingais integruotais įrankiais, dideliu greičiu, įvairiomis susijusiomis komunalinėmis paslaugomis, įvairiais nuskaitymo metodais ir populiarumu, nes beveik bet koks Linux platinimas su šiuo skaitytuvu tinklo saugumas. Tačiau, kaip ir dauguma labai specializuotų „Linux“ programų, ji neturi galutiniam vartotojui prieinamo apvalkalo ir yra paleidžiama iš komandinės eilutės. Žinoma, yra papildomų sąsajų šiai programai valdyti, pvz., Umit, Nmapfe, kurios naudoja Nmap variklį ir išveda informaciją langų režimas, ne komandinėje eilutėje. Tačiau vis tiek ši programa iš pradžių buvo sukurta dirbti komandų eilutėje, o „pridėtos“ paslaugos padidina veikimo laiką ir turi daug trūkumų, palyginti su originalu, įskaitant dizaino stilių. Be to, yra šios programos versija, skirta „Windows“ operacinėms sistemoms. Kadangi abiejų platformų darbo metodai ir daugelis komandų yra identiški, šiame straipsnyje bus aptarta Nmap 4.1 versija, skirta Linux sistemoms. Kadangi „Nmap“ yra beveik kiekviename „Linux“ paskirstyme, galite naudoti vadinamuosius „LiveCD“, kad nuskaitytumėte tinklą iš naujo neįdiegdami operacinės sistemos. Įkrovos diskaišio tipo nereikia diegti ir jis įkeliamas iš CD/DVD įrenginio, nereikia skaidyti HDD ir sukurti papildomus skaidinius - kietasis diskasšiuo atveju dalis tarnauja laisvosios kreipties atmintis kompiuteris.
Šiuo metu tinklo skaitytuvai leidžia nustatyti daugybę papildomų nuskaitomo kompiuterio parametrų. Nmap gali aptikti daugumą pagrindinių parametrų Tinklo adapteris: MAC adresas, kompiuterio pavadinimas domene, atviri prievadai, ugniasienės uždaryti prievadai, tiriamo kompiuterio tinklo adapterio mikroschemų rinkinio gamintojas, OS versija ir paslaugos. Atminkite, kad informaciją apie MAC adresus ir mikroschemų rinkinio gamintoją galima gauti tik tuose kompiuteriuose, kurie yra tame pačiame potinklyje kaip ir nuskaitomasis kompiuteris. Norėdami įvertinti visus šios programos privalumus, pažvelkime į dažniausiai jos veikimo metu naudojamus klavišus.
Kaip jau minėta, Nmap paleidžiamas iš komandinės eilutės. Kai paleisite programą be jokių jungiklių arba su arba be Nmap -h (--help) jungiklio, ekrane bus rodomas sąrašas turimus raktus ir nurodyti parametrai (1 pav.).
Ryžiai. 1. Jungiklių sąrašas įvedant komandą Nmap
Programos paleidimo sintaksė yra tokia: Nmap (tikslinė specifikacija), kur vietoj nuskaitymo tipo nurodomas nuskaitymo tipas (pagal numatytuosius nustatymus, jei ši vieta paliekama tuščia, Nmap atvirai nuskaitys turimus prievadus). Kaip parinktys įvedami visų rūšių raktai ir nuskaitymo parametrai, o vietoj tikslinės specifikacijos - arba kompiuterio IP adresas, arba IP adresų diapazonas (kuris nustatomas pagal potinklio kaukę), arba pagrindinio kompiuterio pavadinimas.
Potinklio kaukės
Labiausiai tikėtina, kad vartotojai, kurie tvarkė tinklo adapterių nustatymus, turėjo susidoroti su tokiu parametru kaip potinklio kaukė (Netmask). Tačiau ne visi supranta, kas tai yra.
Kaip žinote, IP adresas susideda iš keturių sveikųjų skaičių reikšmių (oktetas) ir yra pateikiamas forma xxx.xxx.xxx.xxx, kur xxx gali turėti reikšmes nuo 0 iki 254. Tačiau pats IP adresas yra nepakanka, o Kad tinklo įrenginys nustatytų, kuriam potinkliui priklauso kompiuteris, jam taip pat reikia potinklio kaukės, nurodančios, kuri IP adreso dalis yra tinklo ID, o kuri – pagrindinio kompiuterio ID. Tinklo ID iš esmės yra paties tinklo adresas, o pagrindinio kompiuterio ID yra paties tinklo mazgo adresas. Apsvarstykite pagrindinį kompiuterį, kurio IP adresas yra 10.242.10.242 ir potinklio kaukė 255.0.0.0 – šiuo atveju kompiuteris priklauso 10.0.0.0 tinklui. Čia tinklo ID yra 10.0.0.0, o pagrindinio kompiuterio ID yra 242.10.242. Norėdami gauti tinklo adresą, žinodami IP adresą ir potinklio kaukę, turite jiems pritaikyti bitinės jungties operaciją. Rezultatas yra bitais AND tarp IP adreso ir potinklio kaukės:
Pavyzdžiui, sudėtingesnės kaukės atveju:
IP adresas: 00001100 00100010 00111000 1001110 (12.34.56.78)
Potinklio kaukė: 11111111 11111111 11100000 0000000 (255.255.224.0)
Tinklo adresas: 00001100 00100010 00100000 0000000 (12.34.32.0)
Tačiau norėdami nuskaityti tinklą rašydami mažiau teksto, galite naudoti alternatyvų potinklio kaukės įrašą naudodami priešdėlius. Daugeliu atvejų už paprasti tinklai galite apsiriboti paprastomis potinklio kaukėmis, tokiomis kaip 255.0.0.0, 255.255.0.0 ir 255.255.255.0. Potinklio kaukė dažnai rašoma kartu su IP adresu formatu „IP adresas / kaukės vieno bitų skaičius“. Pavyzdžiui, IP adresas 12.34.56.78 su kauke 255.255.224.0 (ty susidedantis iš 19 vienetų ir 13 nulių) gali būti parašytas kaip 12.34.56.78/19. Trims nagrinėjamiems tipams yra alternatyvi ip/8, ip/16 ir ip/24 formos įvestis, kuri leidžia sumažinti įvedant komandų eilutėje įvedamų skaitmenų skaičių. Aukščiau pateiktame pavyzdyje potinklio kaukę galima parašyti taip: 10.242.10.242/8, kuri yra žymiai trumpesnė nei 10.242.10.242 mask 255.0.0.0. Todėl 10.0.0.0 tinklo IP adresų diapazonas gali būti parašytas kaip 10.0.0.0/8.
Pirmieji skenavimo bandymai
Grįžkime prie Nmap tinklo skaitytuvo. Kaip jau minėta, kaip tikslinę specifikaciją galite nurodyti IP adresą, adresų diapazoną ir pagrindinio kompiuterio pavadinimą. Jei reikia nuskaityti daug skirtingų IP adresų ir kompiuterių, rankiniu būdu įvesti viską į komandinę eilutę nėra labai patogu (ypač jei adresų skaičius viršija 20) - tam Nmap palaiko failo su adresais įkėlimą. Lentelėje 2 išvardija galimus klavišus, susijusius su nuskaitytų adresų įvedimu.
2 lentelė. Raktai, atsakingi už adresų įvedimą
Verta paminėti, kad failas, kuriame yra adresų sąrašas, turi būti suformatuotas tekstiniu formatu. Naujas adresas arba adresų diapazonas turi prasidėti nauja linija. Nuskaitytų adresų įvedimo pavyzdžiai parodyti pav. 2 ir 3.
Ryžiai. 2. Adresų įvedimas komandinėje eilutėje
Žinodami, kaip galite nustatyti tiriamų kompiuterių adresus, pažiūrėkime, kas galiausiai rodoma ekrane. Komandos komplektavimas Nmap 10.0.0.62 10.0.0.53 Norėdami nuskaityti atvirus prievadus kompiuteriuose su šiais adresais.
Ryžiai. 3. Nuskaitytų adresų iš failo nurodymas
Nuskaitymo rezultatai ir jų analizė
Fig. 4 paveiksle parodyta nuskaitymo rezultatų išvestis. Pirmiausia, naudodamas DNS serverį, Nmap bando nustatyti, ar pavadinimas atitinka nuskaitomą IP adresą. Jei operacija buvo sėkminga, pačioje pradžioje Nmap nurodo tikrąjį kompiuterio pavadinimą. Kaip matyti iš paveikslo, IP adresas 10.0.0.62 atitinka pavadinimą pakhomov.computerpresspublishing.ru. Bet kitam ištirtam adresui – 10.0.0.53 – tokio susirašinėjimo nėra. Tada Nmap rodo informaciją apie uždarytus arba užblokuotus prievadus (nerodomi 1674 uždaryti prievadai), o tada rodo (trijuose stulpeliuose) prievadus, kurių būsena yra skirtinga. Pirmas stulpelis rodo dabartinį prievado numerį, antrasis gali turėti skirtingas reikšmes, kurios nurodys prievado būseną, kurią nustato Nmap:
- atviras( atviras uostas) - prievadas atidarytas ir paslauga priima TCP arba UDP ryšius šiame prievade (šis prievadas yra labiausiai pažeidžiamas įsilaužimo);
- filtruojamas – prievadas uždarytas ugniasienės, kitos blokuojančios programos ar paslaugos (maršrutizatoriaus taisyklės, aparatinės įrangos ugniasienė ir kt.);
- uždarytas – prievadas uždarytas, nes šiame prievade kompiuteryje neklauso jokia paslauga ar kita programa.
Ryžiai. 4. Nuskaitymo rezultatas
Jei prievadas nustatytas kaip nefiltruotas, tai rodo, kad Nmap negalėjo tiksliai nustatyti, ar prievadas atidarytas, ar uždarytas, o tai paprastai priskiriama ACK nuskaitymu (aptarta vėliau). Taip pat yra dvi galiojančios reikšmės: atviras|filtruotas ir uždarytas|filtruotas – abiem atvejais Nmap negalėjo nustatyti prievado būsenos. Norėdami tiksliau nustatyti pirmojo atvejo reikšmę, turite naudoti FIN, Null, Xmas arba UDP nuskaitymo metodą. Tikėtina, kad šie nuskaitymo metodai suteiks daugiau Detali informacija. Kalbant apie uždarą|filtruotą reikšmę, ji rodoma tik tada, kai naudojamas „Idlescan“ nuskaitymo metodas.
Paskutiniame stulpelyje pateikiama šiek tiek informacijos apie numatomą paslaugą naudojant šį prievadą. Tarkime, jei prievadas numeris 80 atidarytas, Nmap praneš, kad šį prievadą dažniausiai naudoja žiniatinklio serveriai (http). Pažymėtina, kad siekiant didesnio saugumo, kai kurios paslaugos paleidžiamos ne savo standartiniame prievade, o kitame, todėl negalima teigti, kad žiniatinklio serveris veikia 80 prievade (kad būtų galima tiksliau nustatyti veikiančią paslaugą, skirtas versijų nuskaitymo metodas). Parodžius atvirų prievadų sąrašą, Nmap rodo fizinį (MAC) tinklo įrenginio adresą, taip pat, jei įmanoma, nustato tiriamo kompiuterio tinklo adapterio mikroschemų rinkinio gamintoją ir kai kuriais atvejais net jo pavadinimą.
Kompiuterio buvimo tinkle nuskaitymo metodai
Aukščiau aptarti pavyzdžiai yra gana paprasti ir nereikalauja įvesti papildomų raktų, tačiau dažniausiai tinka daugumai tinkle esančių kompiuterių. Tačiau agresyviam nuskaitymui, norint gauti kuo daugiau informacijos apie tiriamą kompiuterį, būtina teisingai nustatyti nuskaitymo parametrus. Norint nustatyti, kurie kompiuteriai veikia tinkle, Nmap leidžia naudoti kelis tinklo nuskaitymo metodus – visi jie patenka į skyrių „Host Discovery“.
Kompiuterio aptikimas naudojant Ping metodą
Paprasčiausias būdas yra aptikti veikiančius kompiuterius naudojant Ping. Norėdami tai padaryti, komandų eilutėje turite naudoti jungiklį -sP. Nmap tinklo skaitytuvas siunčia ICMP aido užklausas nurodytu IP adresu arba adresais ir laukia atsakymo. Jei gaunamas atsakymas, tai reiškia, kad nuskaitomas kompiuteris veikia, o tai rodoma kaip nuskaitymo rezultatas. Fig. 5 paveiksle parodytas šio metodo naudojimo rezultatas.
Ryžiai. 5. Nuskaitymo rezultatas naudojant -sP
Tačiau šiandien daugelis kompiuterių, turinčių bent kokią nors užkardą, yra linkę blokuoti ICMP užklausas, todėl net jei kompiuteris įjungtas, Nmap praneš, kad kompiuterio tinkle nėra. Šiuo atveju Nmap suteikia kitokį metodą, leidžiantį nustatyti, ar kompiuteris yra tinkle. Aptartas Ping nuskaitymo pavyzdys yra pagrįstas pateikta ryšio užmezgimo sekos lentele.
Atradimas naudojant SYN/ACK ir UDP paketus
Jei paslauga klausosi prievado ir Nmap bando užmegzti ryšį su juo (siunčia paketą su SYN vėliava), paslauga gali atsakyti paketu su SYN/ACK vėliavėlėmis, kurios parodys, kad kompiuteris yra tinklą. Bet jei šiame prievade nėra paslaugos, serveris atsako paketu su RST vėliava, kuri taip pat rodo, kad nurodytu IP adresu yra kompiuteris. Jei iš serverio nieko nebuvo gauta atsakant į išsiųstą SYN paketą, tai reiškia, kad kompiuteris išjungtas arba srautą blokuoja ugniasienė. Siekiant išvengti ugniasienės blokavimo, buvo sukurtas kitas nuskaitymo metodas. Nmap skaitytuvas paprastai siunčia paketus su SYN/ACK vėliavėlėmis ir UDP paketu standartiniame 80 prievade, kuris dažniausiai naudojamas žiniatinklio srautui, todėl jį labai retai blokuoja ugniasienė. Naudodami -PS, -PA ir -PU jungiklius galite nurodyti, kuris paketas bus siunčiamas į serverį ir per kurį prievadą. Šių komandų pavyzdys parodytas fig. 6. Beje, prievado pavadinimas rašomas kartu su paketo tipu: -PS80,81.
Ryžiai. 6. Nuskaitymo rezultatas naudojant -PA, -PS ir -PU
Kompiuterio aptikimas naudojant įvairius ICMP paketus
Aukščiau pateiktas metodas neleidžia tiksliai nustatyti kompiuterio buvimo tinkle. Nmap tinklo skaitytuvas turi kitą galimybę nustatyti kompiuterio buvimą tinkle. Norėdami naudoti šią funkciją, turite nurodyti papildomus jungiklius -PE, -PP arba -PM. Pirmasis metodas naudoja ICMP aido užklausas, tačiau, kaip minėta, ICMP srautas dažnai blokuojamas, todėl šis metodas ne visada taikomas, tačiau pagal ICMP specifikaciją taip pat yra laiko žymų užklausos ir adreso kaukės užklausos ). Naudodami šiuos metodus taip pat galite gauti atsakymą iš nuotolinis kompiuteris, tačiau dažnai jie neduoda norimo rezultato. Norėdami naudoti ICMP aido metodą, turite nurodyti raktą -PE, o kitiems dviem aprašytiems metodams - atitinkamai -PP ir -PM klavišus. Fig. 7 paveiksle parodyti bandymai nuskaityti naudojant tris metodus.
Ryžiai. 7. Nuskaitymo rezultatas naudojant -PE, -PP ir -PM klavišus
Išjungti kompiuterio aptikimą nuskaitant
Paprastai neįmanoma tiksliai nustatyti, ar kompiuteris yra tinkle, arba, jei toks yra, jo nuskaitymą gali užblokuoti užkarda. Šiuo atžvilgiu buvo įdiegta parinktis -P0, kai tikrinamas kompiuteris nėra nuskaitomas dėl jo buvimo tinkle (tai yra, jis visai nepinguojamas), o nuskaitomi tik kompiuterio prievadai. Naudojant šią parinktį, Nmap automatiškai daro prielaidą, kad nuskaitomi IP adresai yra tinkle ir nesiunčia užklausų nustatyti kompiuterio buvimą tinkle, o tai žymiai padidina nuskaitymo greitį. Ši parinktis paprastai naudojama slaptam nuskaitymui naudojant toliau aprašytus metodus, nes tokiu atveju tiriamame kompiuteryje nelieka jokios informacijos apie ICMP aido užklausas.
Pagal numatytuosius nustatymus, kai nuskaito IP adresą, Nmap gauna kompiuterio pavadinimo informaciją iš sistemos DNS. Norėdami padidinti nuskaitymo greitį, galite išjungti šią parinktį pridėdami jungiklį -n. Beje, beveik visose programose ir paslaugose, kurios vienaip ar kitaip susijusios su tinklo aplinka, jungiklis -n naudojamas būtent šia prasme (netstat -n, route -n ir tt). Taip pat yra keletas parinkčių, leidžiančių gauti kompiuterio pavadinimą naudojant ne tik sistemos DNS, bet ir išorinį DNS serveriai. Norėdami suaktyvinti šią parinktį, turite paleisti Nmap mygtuku --dns serveriai
Ryžiai. 8. Naudojant jungiklius -n ir -R --dns-servers
Prievadų nuskaitymo nuotoliniame kompiuteryje metodai
Nmap tinklo skaitytuvas apima įvairių nuskaitymo metodų naudojimą norint gauti reikiamą informaciją. Tačiau padarykime išlygą, kad daugelis metodų apima įvairias manipuliacijas su TCP paketų vėliavėlėmis žemu lygiu, todėl norint, kad sistema veiktų, reikia šakninės (supervartotojo) teisės. Naudojami metodai gali veikti tik atskirai vienas nuo kito tik UDP prievadų nuskaitymas gali būti atliekamas kartu su kitais nuskaitymo metodais. Prievadų nuskaitymas pagrįstas tuo pačiu metodu, kuriuo siunčiami paketai su pakeistomis vėliavėlėmis inicijuojant TCP ir UDP ryšius.
Nuskaitymas naudojant SYN metodą
Dažniausias ir numatytasis metodas yra TCP SYN nuskaitymas. Daugumai tiriamų kompiuterių šio metodo pakanka atviriems prievadams nustatyti. TCP SYN nuskaitymas yra greičiausias, palyginti su kitais metodais – jis gali nuskaityti kelis šimtus prievadų per sekundę, o nuskaitantis kompiuteris lieka šešėlyje, nes niekada nenutraukia TCP ryšio (dauguma stebėjimo paslaugų neregistruoja ryšio duomenų). Norėdami naudoti šį metodą, turite turėti supervartotojo (root) teises. Nmap skaitytuvas siunčia paketą su SYN vėliava į tiriamą kompiuterį, tarsi norėtų atidaryti įprastą TCP ryšį, vadovaudamasis straipsnio pradžioje pateiktomis taisyklėmis. Jei atsakymas (paketas su SYN/ACK vėliavėlėmis) bus gautas iš prašomo pagrindinio kompiuterio, prievadas bus priskirtas kaip atidarytas, o jei gautas paketas su RST vėliava, jis bus uždarytas. Jei nuskaitytas kompiuteris nereaguoja, daroma prielaida, kad šis prievadas yra filtruojamas ugniasienės. Norėdami naudoti šį nuskaitymo metodą, turite paleisti Nmap su jungikliu -sS (9 pav.).
Ryžiai. 9. Nuskaitymas naudojant -sS jungiklį (TCP SYN nuskaitymas)
Kaip matote iš paveikslėlio, dauguma prievadų yra atviri, tačiau kai kuriuos blokuoja ugniasienė.
Nuskaitymas naudojant connect() sistemos funkciją
Būna situacijų, kai neturite supervartotojo teisių, tačiau būtina nuskaityti nuotolinį kompiuterį. Šiuo atveju Nmap naudoja metodą, pagrįstą ryšio užmezgimu naudojant connect() sistemos funkciją, kurią naudoja dauguma programų – p2p klientai, naršyklės ir tinklo programos. Tokiu atveju Nmap siunčia užklausą pačiai operacinei sistemai, kuri užmezga TCP ryšį. Jei ryšys užmegztas, prievadas pažymimas kaip atidarytas, o jei ne, kaip uždarytas. Nustačius prievado būseną, Nmap nutraukia ryšį, tai yra, naudojant connect() funkciją, siunčiamas paketas su RST vėliava. Tačiau šis metodas turi vieną trūkumą: kadangi ryšys yra visiškai užmegztas, jis lieka nuskaitytos sistemos žurnaluose ir žurnaluose, todėl stebėjimo sistemos beveik visada nustatys, kuris kompiuteris atliko nuskaitymą. Šiuo atžvilgiu šis metodas naudojamas retai. Norėdami paleisti aukščiau pateiktą nuskaitymą, turite paleisti Nmap naudodami jungiklį -sT. Nuskaitymo metodo, naudojant sistemos funkciją connect() pavyzdys, parodytas pav. 10.
Ryžiai. 10. Nuskaitykite naudodami -sT jungiklį (TCP connect() nuskaitymas)
UDP protokolo prievadų nuskaitymas
Nepamirškite apie UDP paslaugas, kurios yra beveik taip pat plačiai paplitusios kaip paslaugos, kuriose naudojamas TCP protokolas. Dažniausiai UDP protokolą naudojančios paslaugos yra DNS, SNMP ir DHCP. Kadangi UDP nuskaitymas yra sudėtingesnis ir lėtesnis nei TCP nuskaitymas, daugelis apsaugos sistemų į tai nepaiso ir nepaiso klausymosi (filtravimo) šiuose prievaduose. Tačiau šiuo atveju paslaugos, klausančios šiuose prievaduose, taip pat gali būti pažeidžiamos įsilaužimo, nes Nmap leidžia nustatyti, kurie prievadai yra atidaryti ir kokios paslaugos juos klausosi. Kadangi UDP yra kitoks protokolas nei TCP, nuskaitymo metodas skiriasi nuo anksčiau aptartų. Nmap siunčia UDP paketą su tuščia antrašte į visus tikrinamus prievadus ir laukia atsakymo. Jei atsakydamas jis gauna ICMP paketą su klaida nepasiekiama klaida, prievadas laikomas uždarytu. Gavęs paketus su kitomis klaidomis, Nmap daro prielaidą, kad prievadą filtruoja ugniasienė. Gautas UDP atsako paketas rodo, kad paslauga yra, o prievadas pažymėtas atidarytas. Jei po kelių bandymų atsakymas negaunamas, Nmap pažymi prievadą kaip atidarytą|filtruotą, nes negali tiksliai nustatyti, ar prievadas atidarytas, ar užkarda blokuoja srautą tame prievade. Be to, daugelis kompiuterių per sekundę gali siųsti tik ribotą skaičių ICMP klaidų pranešimų. Tai daroma siekiant apsaugoti nuo tinklo perkrovos. Norėdami išsiaiškinti prievado būseną, galite naudoti jungiklį -sV (šiuo atveju Nmap bando nustatyti nuskaitytame prievade veikiančią paslaugą ir jos versiją), tačiau tada nuskaitymo greitis sumažinamas dydžiu. UDP nuskaitymas gali būti vykdomas vienu metu su bet kuriuo TCP nuskaitymo metodu, nes jie naudoja skirtingus protokolus. UDP nuskaitymas paleidžiamas, kai nurodomas jungiklis -sU. Greičių skirtumai parodyti fig. 11, kuriame pateikiami nuoseklūs nuskaitymo be parinkties -sV ir jos naudojimo pavyzdžiai.
Ryžiai. 11. UDP nuskaitymas su -sV jungikliu ir be jo
Paveikslėlyje parodyta, kad nuskaitymas naudojant paslaugos versijos aptikimo parinktį užtruko beveik 10 kartų ilgiau (54 sekundes, palyginti su 4) nei be jos. Tačiau ši parinktis padėjo nustatyti, kad 53 ir 137 UDP prievadai buvo atidaryti, nors ankstesnis nuskaitymas negalėjo tiksliai nustatyti jų būsenos. Tuo pačiu metu net ir ši parinktis ne visada padeda gauti patikimos informacijos – iš devynių neaiškios būklės uostų buvo tiksliai nustatyti tik du (53 ir 137). Nmap taip pat leidžia nustatyti tiriamo kompiuterio atsako laiką, taip pašalinant lėtus pagrindinius kompiuterius ir žymiai padidinant UDP nuskaitymo greitį. Parinktis, atsakinga už nuskaityto kompiuterio atsaką, gali būti naudojama ne tik su UDP nuskaitymu, bet ir visais kitais būdais. Norėdami naudoti šią parinktį, turite įvesti raktą --hosts-timeout
Nuskaitymas FIN, Xmas ir Null metodais
Kadangi TCP ryšys yra pagrįstas straipsnio pradžioje aptartu trijų krypčių rankos paspaudimu, nutraukus ryšio seką taip pat galima gauti informacijos apie uždarytus ir atvirus tiriamo pagrindinio kompiuterio prievadus. Yra FIN nuskaitymo metodas, kai paketai su FIN vėliava siunčiami į nuotolinį pagrindinį kompiuterį, kuris dažniausiai naudojamas nutraukiant ryšį. Tokiu atveju uždaras kompiuterio prievadas pagal TCP protokolo specifikaciją turi siųsti atsakymo paketą su RST vėliava. Jei prievadas yra atidarytas arba užblokuotas ugniasienės, iš jo nebus atsakyta. Kaip ir SYN nuskaitymo atveju, ryšys nėra pilnai užmegztas, todėl tiriamo pagrindinio kompiuterio sistemos žurnaluose gali nelikti jokios informacijos, tuo tarpu dauguma stebėjimo sistemų gali įrašyti tokio tipo nuskaitymą. Šis metodas yra labiau slaptas nei TCP ryšio nuskaitymas ir leidžia nustatyti, ar prievadas uždarytas, ar atidarytas (užblokuotas), todėl yra keletas šio metodo modifikacijų. Naudojant nulinio nuskaitymo metodą, vietoj paketo su FIN vėliava siunčiamas paketas su tuščia antrašte (0 bitų, visos vėliavėlės išjungtos). Šis metodas veikia pagal aukščiau aprašytą principą. Kitas metodas, turintis panašų veikimo algoritmą, vadinamas Kalėdų nuskaitymu. Tokiu atveju šeimininkui siunčiamas paketas, nuspalvintas keliomis vėliavėlėmis (FIN, PSH ir URG) eglutės stiliumi. Kiekvienas iš nagrinėjamų metodų turi savo raktus: -sN, -sF ir -sX (atitinkamai Null-, FIN- ir Xmas-nuskaitymas). Fig. 12 rodo visų trijų tipų nuskaitymo pavyzdžius, o palyginimui Fig. 13 – SYN nuskaitymo metodas.
Ryžiai. 12. Nuskaitymas naudojant -sN, -sF ir -sX jungiklius
Lyginant nuskaitymo rezultatus naudojant SYN ir Null, FIN ir Xmas, akivaizdu, kad jų pagalba daugelis prievadų nebuvo identifikuoti kaip tiksliai atidaryti, o tik kaip atidaryti|filtruoti. Taip yra todėl, kad dauguma operacinių sistemų Windows šeima, Cisco ir kiti tinklo įrenginiai ne visada atitinka specifikacijas, todėl tokio tipo sistemų nuskaitymo rezultatas greičiausiai bus neigiamas. Tuo pačiu metu nuskaitymas šiais trimis metodais tinka identifikuoti atvirus prievadus UNIX pagrindu veikiančiose sistemose, kurios atitinka TCP protokolo specifikaciją, taip pat leidžia apeiti daugybę užkardų ir paketų filtravimo.
Ryžiai. 13. SYN nuskaitymas
Nuskaitymas naudojant įvairias vėliavėles
Nmap leidžia nustatyti vėliavėles, kurios bus naudojamos tokio tipo nuskaitymui, kuriam reikia paleisti programą su jungikliu --scanflags. Šiuo atveju vėliavėlių tipai gali būti skirtingi – URG, ACK, PSH, RST, SYN ir FIN. Komandos sintaksė yra tokia: Nmap --scanflags URGACKPSHRSTSYNFIN. Be šios komandos, galite nurodyti du nuskaitymo būdus: -sA ir -sF (jei jie nenurodyti, pagal numatytuosius nustatymus naudojamas SYN nuskaitymo metodas).
Nuskaitymas naudojant ACK ir lango metodus
Norint nustatyti, kurie kompiuterio prievadai yra filtruoto, o kurie – nefiltruoto, yra atskiras nuskaitymo tipas – ACK. Jį taip pat galima įjungti naudojant --scanflags ACK jungiklį. Kadangi daugelis užkardų žiūri tik į SYN paketus konkrečiame prievade ir taip atlieka filtravimą, siųsdamos paketus su ACK vėliava, yra didelė tikimybė nustatyti, ar tikrinamame kompiuteryje yra ugniasienė, ar ne. Tokiu atveju paketas su ACK vėliava siunčiamas ne kaip ryšio dalis, o atskirai. Jei priimančioji pusė siunčia grįžtamąjį paketą su RST vėliavėle (atitinkamai, prievadas neužblokuotas ugniasienės), prievadas pažymimas kaip nefiltruotas, tačiau jei pagrindinis kompiuteris nereaguoja į paketą, tada jame įdiegiama ugniasienė ir prievadas yra filtruoto būsenoje. Norėdami suaktyvinti šį metodą, turite paleisti Nmap naudodami jungiklį -sA. Fig. 14 paveiksle parodytas šio nuskaitymo metodo pavyzdys.
Ryžiai. 14. Nuskaitykite ACK metodu
Kadangi kompiuteris jau buvo ištirtas naudojant SYN nuskaitymą (žr. 13 pav.), galime pasakyti, kad ACK nuskaitymas gali nustatyti tik kai kurių pagrindinio kompiuterio prievadų būseną. Šis metodas turi analogą, kuris veikia tuo pačiu principu, tačiau iš šeimininko gautus rezultatus interpretuoja kiek kitaip. TCP lango nuskaitymas daro prielaidą, kad kai kuriuose pagrindiniuose kompiuteriuose paslaugos naudoja teigiamą lango lauką atsakymo pakete (ne nulį). Todėl su pagalba šis metodas Nmap analizuoja gaunamų paketų antraštes su RST vėliava ir, jei gaunamame pakete yra teigiama lauko reikšmė, tada Nmap pažymi tą prievadą kaip atidarytą. Paketo, kurio lauko reikšmė yra nulis, gavimas reiškia, kad prievadas uždarytas. Norėdami suaktyvinti šį nuskaitymo metodą, turite įvesti jungiklį -sW.
Maimon skenavimas
Kitas nuskaitymo metodas, pagrįstas trijų krypčių ryšiu, yra metodas, aprašytas specialisto, vardu Uriel Maimon. Jo metodas yra beveik identiškas FIN, Xmas ir Null metodams, išskyrus tai, kad paketai siunčiami su FIN/ACK vėliavėlėmis. Čia, jei prievadas uždarytas, pagrindinis kompiuteris turėtų atsakyti RST paketu. Norėdami suaktyvinti šį nuskaitymo metodą, turite įvesti jungiklį -sM.
Visi aukščiau pateikti metodai yra pagrįsti tuo pačiu trijų krypčių prisijungimo metodu TCP ryšiui.
Slaptas nuskaitymas naudojant idlescan algoritmą
Nė vienas iš aptartų metodų neleidžia visiškai paslėpti nuskaitymo pagrindinio kompiuterio IP adreso. Kadangi suklastoti išeinančio paketo IP adresą nėra taip sunku, buvo rastas nuskaitymo būdas, kurio metu tiriamas kompiuteris negali nustatyti tikslaus kompiuterio, iš kurio atliekamas nuskaitymas, IP adreso. Tuščiosios eigos nuskaitymo metodas yra beveik identiškas SYN nuskaitymui savo veikimo algoritmu. Norėdami suprasti, kaip paslėptas nuskaitančio kompiuterio IP adresas, turite žinoti, kad kiekvienas IP paketas turi savo fragmento identifikavimo numerį (IPID). Daugelis operacinių sistemų padidina šį skaičių kiekvienam tolesniam išsiųstam paketui, todėl galite lengvai nustatyti, kiek paketų išsiuntė pagrindinis kompiuteris. Verta manyti, kad jei kompiuteris gauna paketą su SYN/ACK vėliavėlėmis iš adreso, iš kurio neprašė prisijungti, tada atsakydamas jis išsiųs paketą su RST vėliava. Šis metodas apima kito „zombių“ kompiuterio naudojimą, kurio vardu paketai bus siunčiami į nuskaitytą kompiuterį. Toliau apsvarstysime idlescan metodo algoritmą.
Tegul nuskaitymo kompiuteris būna užpuolikas, zombių kompiuteris – zombiu, o nuskaitomas kompiuteris – taikiniu.
Pirmasis atvejis – tiriamas prievadas atidarytas:
- užpuolikas siunčia zombiui paketą su SYN/ACK vėliavėlėmis, o atsakydamas zombis siunčia paketą su RST vėliava. Pavyzdžiui, šio paketo identifikavimo numeris (IPID) yra 123;
- užpuolikas zombio kompiuterio vardu siunčia paketą su SYN vėliava į norimą prievadą;
- target siunčia atsakymo užklausą su SYN/ACK vėliavėlėmis į zombių kompiuterį. Atsakydamas, zombis siunčia paketą su RST vėliava į tikslinį kompiuterį, nes zombis neketino su juo užmegzti ryšio. Šio paketo numeris padidintas vienu – IPID 124;
- užpuolikas siunčia paketą su SYN/ACK vėliava kompiuterio zombiui, atsakydamas zombis siunčia paketą su RST vėliava. Šio paketo IPID padidintas dviem – 125.
Antras atvejis – prievadas uždarytas:
- užpuolikas siunčia zombiui paketą su SYN/ACK vėliavėlėmis, atsakydamas zombis siunčia paketą su RST vėliava. Pavyzdžiui, šio paketo identifikavimo numeris (IPID) yra 123;
- užpuolikas zombio kompiuterio vardu siunčia paketą su SYN vėliava į norimą prievadą;
- taikinys siunčia paketą su RST vėliava į zombių kompiuterį. zombis nieko nesiunčia atsakydamas;
- užpuolikas siunčia paketą su SYN/ACK vėliava kompiuterio zombiui, atsakydamas zombis siunčia paketą su RST vėliava. Šio paketo IPID padidintas vienu, 124.
Taigi, paprasta aritmetika galite apskaičiuoti, ar tiriamo kompiuterio prievadas yra atidarytas ar uždarytas. Privalumas šis metodas yra tai, kad labai sunku nustatyti nuskaitančio kompiuterio IP adresą, nes tikslinis kompiuteris mano, kad nuskaitymą atliko zombių kompiuteris, o nuskaitančio kompiuterio užklausos lieka tik zombių žurnaluose. Norėdami suaktyvinti šį nuskaitymo metodą, turite įvesti jungiklį -sI
Ryžiai. 15. Nuskaitymas naudojant idlescan metodą
Kaip matyti iš paveikslo, „zombių“ kompiuteris buvo kompiuteris, kurio IP adresas buvo 10.0.0.79, o nuskaityto kompiuterio IP adresas buvo 10.0.0.62. Išanalizavus rezultatus, galima teigti, kad idlescan metodas ne visada teisingai nustato prievado būseną (ar jis atidarytas, ar užblokuotas ugniasienės). Be to, jei palyginsime nuskaitymo laiką, SYN metodo greitis yra daug didesnis, nes nuskaitant tuščiąja eiga, Nmap kartais turi siųsti paketus kelis kartus, nes zombių kompiuteris taip pat gali intensyviai dirbti ir aktyviai keistis paketais, taip numušdamas IPID skaitiklis, kurio Nmap apskaičiuojamas. Šis metodas yra tinkamiausias, jei reikia paslėpti nuskaitymą, tačiau jis vis tiek nepateikia tikslaus tiriamo kompiuterio atvirų prievadų vaizdo. Šio tipo nuskaitymą rekomenduojama atlikti naudojant jungiklį -P0, nes tokiu atveju Nmap prieš nuskaitydamas neapklausia pagrindinio kompiuterio. Kai kuriais atvejais, jei zombių kompiuteris elgiasi agresyviai ir trukdo gauti nuskaitymo rezultatus (negalima rodyti nuskaitymo rezultatų), o reikia gauti informacijos apie atvirus prievadus, galite naudoti parinktį -v -v (verbose mode). Šiuo režimu Nmap rodo visą paslaugų ir gautą informaciją ekrane internete.
Ieškokite atvirų protokolų
Kai kuriais atvejais nuotoliniame pagrindiniame kompiuteryje būtina apibrėžti atvirus protokolus. Kadangi kiekvienam transportavimo sluoksnio IP protokolui priskiriamas atskiras eilės numeris, o kiekvienas IP paketas turi protokolo lauką, nurodantį paketų antraščių tipą ir protokolo numerį, galite sužinoti, kokie protokolai yra atidaryti jūsų testuojamame kompiuteryje. Kad nustatytų, ar priegloboje yra protokolas, Nmap siunčia kelis paketus su tuščiomis antraštėmis, kuriose protokolo lauke yra tik protokolo numeris. Jei protokolas nepasiekiamas, kompiuteris grąžins ICMP pranešimą „protocol unavailable“. Jei pagrindinis kompiuteris neatsako jokiais paketais, tai gali reikšti, kad protokolas yra prieinamas arba ugniasienė blokuoja ICMP srautą. Ši situacija labai panaši į UDP nuskaitymą, kai taip pat neįmanoma tiksliai nustatyti, ar prievadas atidarytas, ar filtruojamas ugniasienės. Norėdami įjungti protokolo nuskaitymą, turite naudoti jungiklį -sO. Fig. 16 paveiksle parodytas šio metodo naudojimo pavyzdys.
Ryžiai. 16. Ieškokite galimų protokolų
Dėl to Nmap išveda atvirus ir filtruotus protokolus, nes gali tiksliai nustatyti šią būseną. Likę nuskaityti protokolai pažymėti kaip atidaryti|filtruoti.
Slaptas nuskaitymas naudojant ftp atmetimo metodą
Nmap tinklo skaitytuvas palaiko ftp bounce nuskaitymo metodą, kurio esmė yra ftp serverio galimybė siųsti failus trečiajai šaliai. Kadangi ši funkcija labai dažnai naudojama kitiems tikslams (nuskaitymui, bandymams įsilaužti), daugelis ftp serverių jos nebepalaiko arba blokuoja. FTP atmetimo metodas leidžia nuskaityti nuotolinio kompiuterio prievadus ftp serverio vardu. Nuskaitymo kompiuteris siunčia FTP serveriui užklausą užmegzti TCP ryšį konkrečiame prievade su nuskaitomu kompiuteriu, kad būtų galima perkelti failą. Iš ftp serverio gautų klaidų analizavimas leidžia Nmap nustatyti, ar prievadas atidarytas, ar uždarytas. Šiuo atveju užtikrinamas nuskaitymo slaptumas, nes tiriamam kompiuteriui ryšio iniciatorius yra FTP serveris, o ne nuskaitomas kompiuteris. Šis metodas visų pirma patogus, nes paprastai ugniasienė leidžia srautą iš žinomo ftp serverio, nes pastarasis paprastai turi daugiau prieigos teisių tiek prie išorinių, tiek prie vidinių tinklo išteklių. Taigi, nuskaitant kitais būdais, atsiranda galimybė apeiti prievadų filtrus ir ugniasienes, kurios neleidžia srauto. Norėdami nuskaityti kompiuterį šiuo metodu, turite rasti tinkamą ftp serverį, kuris palaiko aprašytą funkciją, ir prisijungimo vardą / slaptažodį, kad galėtumėte prisijungti prie šio ftp serverio. Norėdami paleisti Nmap nuskaitydami šiuo metodu, turite nurodyti raktą -b
Ryžiai. 17. Nuskaitymas naudojant ftp bounce metodą
Kaip matyti iš paveikslo, skenavimas šiuo metodu davė teigiamų rezultatų. Tačiau nuskaitymas šiuo metodu ne visada įmanomas, nes labai dažnai ftp serveris negali užmegzti ryšio su nuotoliniu kompiuteriu naudodamas privilegijuotus prievadus (žemiau 1024). Tokių klaidų atveju Nmap rodo eilutę jūsų ftp bounce serveris neleidžia privilegijuotų prievadų arba recv problema iš ftp bounce serverio. Kaip ir atliekant tuščiosios eigos nuskaitymą, norint paslėpti buvimą, rekomenduojama nurodyti jungiklį -P0, kad Nmap nebandytų siųsti ICMP aido užklausų į nuskaitomą kompiuterį. Verta atkreipti dėmesį dažnas užšalimas Nmap naudojant ftp bounce į konkrečius pagrindinius kompiuterius. Kad vis tiek gautum reikalinga informacija, turėtumėte paleisti Nmap su parinktimis -v -v, su kuriomis tinklo skaitytuvas parodys gautą informaciją internete.
Nuskaityti prievado nustatymai
Nmap skaitytuvas turi daug papildomi nustatymai. Lentelėje 3 aprašomi nuskaitymo prievadų nustatymai.
3 lentelė. Nuskaitymo prievado nustatymai
Pagal numatytuosius nustatymus Nmap nuskaito visus prievadus, įskaitant privilegijuotuosius prievadus (nuo 0 iki 1024) ir prievadus, apibrėžtus Nmap-services faile. Šį failą kūrėjai nuolat atnaujina ir apima prievadus, naudojamus įprastoms programoms ir paslaugoms. Faile yra paslaugos pavadinimas, aprašymas ir naudojamas protokolas. Kadangi Nmap leidžia nuskaityti ne tik TCP, bet ir UDP prievadus, naudojant -p jungiklį galite aiškiai nurodyti protokolą ir jo prievadą. 25-ojo UDP ir 80-ojo TCP prievadų nuskaitymas atrodys taip: Nmap -p U:25,T:80.
Veikiančių paslaugų versijų nustatymas
Kaip pažymėta straipsnio pradžioje, Nmap su didele tikimybe leidžia nustatyti operacinės sistemos versiją, kuri veikia nuotoliniame kompiuteryje. Tuo pačiu metu Nmap taip pat gali nustatyti paslaugų, veikiančių nuotoliniame kompiuteryje, versijas, jei konkrečios paslaugos prievadai yra atidaryti. OS ir paslaugų versijos nustatymas padės susidaryti aiškesnį vaizdą apie tai, koks pažeidžiamas yra tiriamas kompiuteris ir kurios paslaugų spragos gali likti atviros įsilaužimui. Norėdami gauti informacijos apie veikiančios paslaugos ar operacinės sistemos versiją, Nmap naudoja savo duomenų bazę, kurioje yra specifinės tai konkrečiai versijai būdingos žymos. programinė įranga. Informacija renkama po bet kokio nuskaitymo naudojant bet kokį atvirų prievadų analizės metodą. Programos versijų nustatymas ne visada duoda teigiamą rezultatą, tačiau dažniausiai tokiu būdu gauta informacija padeda susidaryti vaizdą apie nuotoliniame kompiuteryje naudojamą sistemą. Tuo atveju, jei Nmap gauna informaciją apie pagrindinį kompiuterį, bet negali jos suderinti su konkrečiu aprašymu savo duomenų bazėje, programa rodo rezultatą ekrane. Jei norite, jei OS ar paslaugos versija yra žinoma, bet Nmap negalėjo jos nustatyti, galite nukopijuoti išvestį ir išsiųsti ją kūrėjui – šis aprašas bus įtrauktas į kitą programos versiją. Lentelėje 4 paveiksle pavaizduoti nuotoliniame pagrindiniame kompiuteryje veikiančių paslaugų versijų nustatymo klavišai.
4 lentelė. Nuskaitymo parametrai, siekiant nustatyti paslaugų versijas
-allports jungiklis, parodytas lentelėje. 4 paprastai nenaudojamas, nes jei ši parinktis įjungta, Nmap taip pat siųs paketus per TCP prievadą 9100. Taip yra todėl, kad daugelis spausdintuvų turi tokį trūkumą: kai jie gauna paketus per 9100 prievadą, jie automatiškai išspausdina gautą informaciją ir venkite kalnų sugadinto popieriaus, nustatant versiją TCP prievadas 9100 praleidžiamas.
OS versijos nustatymas nuotoliniame kompiuteryje
Žinoma, vienas iš įdomiausių variantų yra nustatyti nuotolinio kompiuterio operacinę sistemą. Šiuo atveju vykdomų paslaugų versijoms nustatyti naudojamas modernizuotas metodas. Nmap gamina įvairūs testai, siunčiant paketus skirtingais protokolais su skirtingomis sąlygomis į tiriamą kompiuterį. Palyginus gautus rezultatus su pamatinėmis reikšmėmis, nurodytomis Nmap-os-fingerprints faile, programa sukuria apibendrintą rezultatą kompiuteriui. Priklausomai nuo gaunamos informacijos kiekio ir kokybės, Nmap gali nustatyti OS gamintoją, apytikslę jos versiją ir įrangos tipą, kadangi galutinis nuskaitymo rezultatas ne visada būna kompiuteris – tai gali būti ir maršrutizatorius, valdomas jungiklis. ir kt. Norėdami suaktyvinti šį nuskaitymo būdą, turite nurodyti jungiklį -O, taip pat jungiklį -A, kuris aktyvuoja operacinės sistemos versijos ir veikiančių paslaugų versijų aptikimą. Fig. 18 parodytas OS apibrėžimo pavyzdys.
Ryžiai. 18. Operacinės sistemos apibrėžimas
Laiko delsos nustatymai
Didelis darbinis greitis nustatomas laikinai s atsakymų ir paketų siuntimo parametrai. Pagal numatytuosius nustatymus Nmap naudoja efektyviausius laiko nustatymus, kad gautų patikimus nuskaitymo rezultatus. Tačiau šį skaitytuvą naudojantiems saugos specialistams gali prireikti specialių laikinų tam tikrų nuskaitymo metodų nustatymų. s x konstantos Šiuo atžvilgiu Nmap kūrėjai numatė kai kurias konstantas nustatyti rankiniu būdu, taip pat galimybę nustatyti nuskaitymo „grafiką“. Kai kurie jungikliai naudoja laiko nustatymą, kuris pagal numatytuosius nustatymus įvedamas milisekundėmis, tačiau galima įrašyti laiką kaip s, m ir h – šie pažodiniai argumentai pridedami prie pabaigos. skaitinė reikšmė, žymiai sutrumpinant įrašą ir jį supaprastinant. Pavyzdžiui, 600 000, 600 s, 10 m nurodo tą patį laiką. Pastaba galimi raktai laikina s x parametrai ir našumas pateikti lentelėje. 5.
5 lentelė. Laiko ir veikimo parametrai
Nuskaitymo tvarkaraštis
Kaip minėta aukščiau, Nmap leidžia nustatyti nuskaitymo tvarkaraštį, kad būtų bandoma paslėpti jūsų buvimą nuo ugniasienės ir apsaugos sistemų. Yra šeši nuskaitymo tvarkaraščiai: Paranoidinis, Sneaky, Mandagus, Normalus, Agresyvus ir Insane, o įprastas grafikas yra numatytasis. Laikinas s Vėlavimai ir kiti susiję veiksniai pateikti lentelėje. 6.
6 lentelė. Įvairių nuskaitymo tvarkaraščių charakteristikos
Papildomos komandų eilutės parinktys
Beveik visi svarbius parametrus komandinė eilutė aprašyta aukščiau. Žemiau yra keletas dažniausiai naudojamų parametrų:
- -S
- -e
- -v; -d- dabartinės nuskaitymo būsenos rodymas internete. -d direktyva įgalina derinimo režimą, kuris rodo visą įmanomą informaciją apie esamą veikimo būseną, taip pat klaidas ir jų kodus;
- -g
- - duomenų ilgis
- -ttl
- -spoof-mac
- -badsum- siunčia TCP ir ICMP paketus su sugadinta kontroline suma. Ugniasienės arba apsaugos sistemos paprastai reaguos į tokį paketą;
- -6 - naudokite IPv6 tinklų nuskaitymą. Tokiu atveju turite nurodyti IPv6 adresą arba pagrindinio kompiuterio pavadinimą;
- - žurnalo klaidos- visos klaidos įrašomos į žurnalo failą;
- -oN; -oM; -oS; -oA; -oG
Išvada
Žinoma, ne visos skaitytuvo parinktys buvo pakankamai apgalvotos. Dauguma vartotojų apsiriboja standartiniais nuskaitymo metodais. Nmap skaitytuvas skirtas ne tik paprastiems tinklo vartotojams, bet ir sistemos administratoriai ir apsaugos sistemų kūrėjai bei daug įrankių jiems pravers darbe. Nmap nuolat atnaujinamas ir tobulinamas. Kadangi, kaip ir daugelis kitų Linux sistemoms skirtų programų, ji yra nemokama, bet kas gali prisidėti prie jos rašymo.
Baigdamas norėčiau pažymėti, kad tinklo skaitytuvai ir kt panašias programas pirmiausia sukurti siekiant užkirsti kelią įsilaužimams ar aktyvioms atakoms. Nuskaitant kompiuterį, visiškai įmanoma aptikti ne tik daugybę atvirų prievadų, bet net ir Trojos arklys, kurio nepastebėjo antivirusinė programa. Todėl galimybė dirbti su tokia programine įranga visada padės sunkioje kovos su įsilaužimu užduotyje. Aptariamas tinklo skaitytuvas suteikia vartotojui plačiausią spektrą įvairių tipų skenavimas ir papildomos funkcijos apie stebėjimą. Pasirinkę ir derindami skirtingus nuskaitymo būdus, galite sužinoti informaciją apie savo kompiuterį arba tinklo įrenginį su bet kuria operacine sistema.
Šiandien beveik bet kuris vartotojas gali atsakyti į klausimą, kas yra IP tinklo skaitytuvas. Tai speciali uostymo programa, identifikuojanti konkretų kompiuterio terminalą vietinis tinklas arba užmezgant interneto ryšį. Kaip ši sistema veikia, gali spėlioti. Kas yra tinklo skaitytuvas? Paprastai visos šio tipo komandos ar programos gali būti suskirstytos į kelias klases, atsižvelgiant į apibrėžiamus parametrus. Turėtų būti aišku, kad programinės įrangos tinklo skaitytuvas turi veikti keliais režimais, įskaitant prijungtų įrenginių išorinių ir vidinių IP adresų nustatymą, atpažinimą. belaidžiai tinklai, paleisti diagnostikos sistemą ir turėti prieigą prie išteklių, pagrįstų HTTP ir FTP protokolais.
Windows operacinės sistemos įrankiai nuskaitymui
„Windows“ šeimos operacinėse sistemose yra a speciali priemonė, kuris jau yra integruotas į operacinę sistemą, kaip taisyklė, paslaugų teikėjai nustato automatiškai jų naudojimo metu. ryšio nustatymai Jums tereikia įdiegti šią instaliaciją – automatiškai gauti IPad suknelę. Tuo pačiu režimu nustatomi šliuzai ir potinklio kaukė. Pirminis ir alternatyvus DNS serveriai šiuo atveju nenaudojami. Kai kuriais atvejais reikia įvesti jų adresus Rankinis režimas, ypač jei sąranka atliekama naudojant „Google“ paslaugas. Tačiau bet kurį vidinį adresą galite atpažinti naudodami paprasčiausią ping komandą, kurią reikia įvesti iš atitinkamos konsolės nurodant vidinį adresą vietinis kompiuteris arba terminalą, kuris jungiasi prie įmonių tinklas. Norėdami peržiūrėti visus esančių įrenginių adresus Šis momentas prijungtas prie vieno iš tinklo protokolai, turite naudoti komandą ipconfig. Daugelis vartotojų neįvertina komandinės eilutės. Bet būtent jame, nurodydami pagrindinės komandos papildymą atnaujinimo arba išleidimo6 forma, galite taikyti automatiniai nustatymai IPv6 protokolu arba net atnaujinkite konfigūraciją naudodami DHCP serverio nustatymus.
Išorinė užklausa, pagrįsta ping komanda
Kalbant apie išorines užklausas, gautas naudojant ping komandą, jas dažniausiai pateikia tik tinklo administratorius arba teikėjas. Šio metodo trūkumas yra nustatyti išorinį IP įrenginio, prijungto prie interneto, adresą. Tokiu atveju vidinis adresas gali būti paslėptas arba priskirtas automatiškai. Tikrinant virtualius WLAN tinklus, atliekamas tik ADSL modemo arba maršrutizatoriaus ping. Jo adresas niekaip neatitinka vietinio kompiuterio terminalo adreso.
Wi-Fi tinklo skaitytuvas
Pereikime tiesiai prie programinės įrangos produktų svarstymo Turbūt neverta to paminėti Google Play galite parsisiųsti nemokamas įrankis, kuris gali atpažinti virtualūs tinklai, kurios yra arti vartotojo. Jei gerai ieškosite internete, galite rasti ne tik tinklo skaitytuvą, bet ir visą programinės įrangos paketą, leidžiantį nulaužti slaptažodį ir netgi veikti kaip anonimizatorius. Tai šiek tiek panašu į virtualių tarpinių serverių ir prieigos protokolų naudojimą. Klausimo esmė yra nenaudojamo adreso nustatymas arba prisijungimas prie jo. Taigi, bet kuris IP adresų skaitytuvas tinkle nustato juos pagal teikėjo paskirtus. Pati paslauga, jei ji naudoja virtualų tarpinį serverį, gali apie tai tik spėlioti.
Paprasčiausios programos
Tarp visų šiandienos internete esančių įvairovės populiariausi yra šie programinės įrangos produktai:
— viešųjų belaidžių tinklų skaitytuvas Nemokamas WiFi detektorius;
— vietinio prievado ir IP adresų skaitytuvas Net Scan;
- įrankis belaidžiam ryšiui InSSiDer tinklai;
— nemokamų adresų tikrinimo sistema vietiniai ryšiai- Piktas IP skaitytuvas.
Visi aukščiau paminėto tipo tinklo skaitytuvai veikia tuo pačiu principu. Tai yra prijungto įrenginio išorinio IP adreso nustatymas, nesvarbu mobilusis įrenginys naudojate nešiojamąjį arba stalinį kompiuterį. Naudojamos visos programos, priklausančios „Windows 7 tinklo skaitytuvo“ programų kategorijai paslėpta komanda pingavimas, apie kurį vartotojas gali net nežinoti. Šiuo atveju išorinė užklausa vykdoma ne „Windows“ atliekamos operacijos forma, o remiantis jos pačios raida, atsižvelgiant į naudojamą protokolą ir DHCP serverį. Tokiu atveju gali kilti tarpinio serverio ryšio parinkties gedimų. Norėdami pakeisti šiuos nustatymus, turite naudoti tinklo arba tinklo adapterio nustatymus. Jie turi būti nustatyti taip, kad būtų uždrausta naudoti tarpinius serverius vietiniams adresams. Tai bent jau IPv4 protokolo nustatymai. Mobiliosios programos tuo pačiu metu jie yra gana paklausūs. Paprasčiausioje versijoje galima pateikti tokį pavyzdį. Tarkime, vartotojas ateina į kavinę ir turi skubiai išsiųsti paštu arba parašyk žinutę. Jis nežino slaptažodžio prisijungti prie virtualaus tinklo. Jei planšetiniame kompiuteryje ar išmaniajame telefone įdiegėte atitinkamą programą, tinklo skaitytuvas veiks automatiškai. Jis aptiks artimiausią belaidžio ryšio grandinę. Priklausomai nuo programinės įrangos produktas, taip pat gali būti galimybė pasiekti tinklą be slaptažodžio. Tačiau ši galimybė yra neteisėta. Tikriausiai nereikia dar kartą priminti, kad šiandien yra puiki sumaįsilaužėlių, kurie kartais apima programas šio tipo. Tuo pačiu metu niekas nesupranta, kad tinklo IP adresų skaitytuvas nustato tik šaltinį, per kurį prisijungiama prie interneto ir prieiga prie tinklo.
Išvada
Blogiausia, kad ne viena tokio tipo programa, nuskaitydama išorinius ir vidinius adresus, negali apeiti konfigūracijos hosts failas, kuriame saugoma informacija apie skambučius standartiniais adresais. Jo turinyje kartais gali būti įrašų, kurie blokuoja tam tikrus išteklius. Prieiga prie šių nustatymų „Windows“ šeimos operacinėse sistemose yra labai svarbi, net ir tarpinių ir DNS serverių atžvilgiu. Todėl, diegdami tinklo skaitytuvą, turite pagalvoti apie šio programinės įrangos produkto naudojimo tikslingumą. Deja, skaitytuvo programos, kurių nevaldo „Windows“ operacinė sistema, gali sukelti konfliktų sistemos lygiu. Pavyzdžiui, kai kurių dinaminių bibliotekų, reikalingų tinkamam „Windows“ ir įrenginių tvarkyklių veikimui, darbas gali būti užblokuotas. Taip pat turėtumėte atkreipti dėmesį į įsiskverbimo į tam tikrus virtualius tinklus teisėtumą, jau nekalbant apie programinės įrangos, paimtos iš neoficialių šaltinių, diegimą.
TCP nuskaitymas.
Naudodamas TCP prisijungimo metodą, nmap nuskaitys kompiuterio prievadų diapazoną (1-65535) su IP adresu, parinktis -sV naudojama versijoms gauti. vykdomos paslaugos:
$ nmap -sV xxx.xxx.xxx.xxx -p 1-65535
Taip pat verta paminėti, kad šioje srityje turime SERVICE ir STATE.
Lauke PASLAUGA visada rodoma /etc/services failo reikšmė, atitinkanti prievado numerį. Tai nereiškia, kad paslauga, nurodyta lauke PASLAUGA, bus pasiekiama šiame prievade. paleiskite žiniatinklio serverį prie 22 prievado ir SSH prie 80 prievado, bet nmap vis tiek rašys, kad 22 prievadas yra ssh, o 80 - HTTP.
Lauke STATE – vienu atveju ssh prievadas atidarytas, kitu – filtruojamas. Filtruota reikšmė reiškia, kad prievadas atmeta arba nutraukia srautą. Tai nenurodo, ar šiame uoste yra paslauga, ar ne.
T „Paranojiškas|Slaptas|Mandagus|Normalus|Agresyvus|Beprotiškas" – laikini režimai. Naudojant „Paranoidinį“ nuskaitymas užtruks labai ilgai, bet tada turėsite didesnę galimybę likti nepastebėti nuskaitymo detektorių. Ir atvirkščiai, naudokite „Insane“, kai nuskaitote greitus arba silpnai apsaugotus tinklus.
ON/-oM „logfile“ – išveda rezultatus į žurnalo failą normalia (-oN) arba mašinine (-oM) forma.
OS "logfile" - ši parinktis leidžia atnaujinti nuskaitymą, jei jis dėl kokių nors priežasčių buvo nutrauktas ir rezultatas buvo įrašytas (buvo įjungta parinktis -oN "logfile" arba -oM "logfile"). Norėdami tęsti, turite paleisti „Nmap“, nurodydami tik šią funkciją ir failą, kuriame buvo įrašytas ankstesnis nuskaitymas („logfile“).
Ar nerimaujate dėl savo ar bet kurio kito tinklo saugumo? Norint užtikrinti tinklo saugumą, labai svarbu apsaugoti maršruto parinktuvą nuo nepageidaujamų jungčių. Vienas iš paprasti metodai yra Nmap arba Network Mapper. Tai nuskaitymo programa, kuri tikrina, kurie prievadai atidaryti, o kurie uždaryti, taip pat kitą informaciją. Saugos specialistai naudoja šią programą tinklo saugumui patikrinti. Norėdami sužinoti, kaip naudotis šia programa, žr. 1 veiksmą.
Žingsniai
Naudojant Zenmap
- Yra Zenmap programinė įranga operacinėms Windows sistemos, Linux ir Mac OS X. Diegimo programas galite rasti oficialioje Nmap svetainėje.
-
Paleiskite „Nmap – Zenmap“ GUI programą. Jei diegimo metu palikote visus elementus nepaliestus, darbalaukyje turėtų pasirodyti programos piktograma. Jei ne, pažiūrėkite į pradžios meniu ir paleiskite Zenmap.
Įveskite nuskaitymo tikslą.„Zenmap“ daro tinklo nuskaitymą labai paprastu procesu. Pirmiausia pasirinkite nuskaitymo tikslą. Galite įvesti domeną (example.com), IP adresą (127.0.0.1), tinklą (192.168.1.0/24) arba jų derinį.
- Atsižvelgiant į atsisiuntimą ir nuskaitymo tikslą, Nmap naudojimas gali pažeisti jūsų IPT naudotojo politiką. Visada patikrinkite vietines vartotojo taisykles, kai naudojate Nmap, kai nuskaitote už savo tinklo ribų.
-
Pasirinkite savo profilį. Profiliai – tai grupė modifikacijų, pakeičiančių nuskaitymo struktūrą. Profiliai leidžia greitai pasirinkti skirtingi tipai nuskaito nereikalaujant pakeitimų komandinėje eilutėje. Pasirinkite tinkamiausią profilį pagal savo poreikius:
- Intensyvus skenavimas- platus skenavimas. Apima operacinę sistemą, versiją, scenarijaus atpažinimą, sekimą ir agresyvų nuskaitymo laiką.
- Ping nuskaitymas- Šis nuskaitymas nustato jūsų nuskaitymo objekto būseną internete ir nenuskaito prievadų.
- Greitas nuskaitymas- nuskaito greičiau nei įprastas nuskaitymas, naudojant agresyvų nuskaitymo laiką ir prievadų atranką.
- Reguliarus nuskaitymas- tai standartinis Nmap nuskaitymas be jokių pakeitimų. Rezultatas apima ping ir atvirus prievadus.
-
Spustelėkite Nuskaityti, kad pradėtumėte nuskaitymą. Aktyvūs nuskaitymo rezultatai bus rodomi skirtuke Nmap Output. Nuskaitymo laikas priklausys nuo pasirinkto profilio, fizinio atstumo iki tikslo ir tinklo konfigūracijos.
Peržiūrėkite savo rezultatus. Kai nuskaitymas bus baigtas, Nmap Output skirtuko apačioje pamatysite pranešimą „Nmap is done“. Dabar galite patikrinti rezultatus, atsižvelgdami į pasirinktą nuskaitymo tipą. Visi rezultatai renkami skirtuke Išvestis, tačiau pasirinkę kitus skirtukus galite išsamiau ištirti gautą rezultatą.
- Prievadai / kompiuteriai– Šiame skirtuke bus rodomi prievadų nuskaitymai, įskaitant tuose prievaduose veikiančias paslaugas.
- Topologija- Rodo atlikto nuskaitymo pėdsaką. Galite pamatyti, kiek „apynių“ reikia, kad jūsų duomenys pasiektų norimą tikslą.
- Informacija apie šeimininką- rodo visa informacija apie paskirtį, prievadų skaičių, IP adresus, pagrindinio kompiuterio pavadinimus, operacines sistemas ir kt.
- Nuskaito- šiame skirtuke įrašoma ankstesnių nuskaitymų istorija. Tokiu būdu galite greitai iš naujo paleisti anksčiau atliktą nuskaitymą naudodami tam tikrą parametrų rinkinį.
Atsisiųskite Nmap diegimo programą. Diegimo programą galite rasti kūrėjų svetainėje ir atsisiųsti nemokamai. Rekomenduojama atsisiųsti iš kūrėjų svetainės, kad išvengtumėte virusų ar suklastotų failų atsisiuntimo pavojaus. Atsisiųsdami Nmap taip pat gausite Zenmap, grafinę Nmap sąsają, kuri palengvina programos naudojimą pradedantiesiems, kai atlieka nuskaitymą nežinant komandų.
Komandinės eilutės naudojimas
-
Įdiekite Nmap. Nmap nėra didelis ir nemokama programa. Programą galite atsisiųsti kūrėjo svetainėje. Vykdykite instrukcijas, pagrįstas operacine sistema:
Atidarykite komandų eilutę. Nmap komandos veikia komandinėje eilutėje ir rodo rezultatus tiesiai po komanda. Galite naudoti parinktis, kad pakeistumėte nuskaitymo struktūrą. Galite vykdyti nuskaitymą iš bet kurios komandų eilutės nurodytos vietos.
-
Nuskaitykite reikiamus prievadus. Norėdami pradėti paprastą nuskaitymą, parašykite nmap
. Taip bus pradėtas pasirinkto tikslo ping ir nuskaitymo prievadai. Šį nuskaitymą labai lengva atpažinti. Rezultatai bus matomi jūsų ekrane. Gali tekti slinkti į viršų, kad pamatytumėte visus rezultatus. - Atsižvelgiant į atsisiuntimą ir nuskaitymo tikslą, Nmap naudojimas gali prieštarauti jūsų IPT taisyklėms. Visada patikrinkite vietines vartotojo taisykles, kai naudojate Nmap, kai nuskaitote už savo tinklo ribų.
-
Atlikite modifikuotą nuskaitymą. Galite naudoti komandų kintamuosius, kad pakeistumėte nuskaitymo parametrus, todėl nuskaitymas bus didesnis ar mažesnis. Galite pridėti kelis kintamuosius, palikdami tarpą tarp jų. Kintamieji dedami prieš taikinį: nmap
- -sS– Tai slaptas SYN nuskaitymas. Šį nuskaitymą aptikti sunkiau nei įprastą, bet gali užtrukti ilgiau. Dauguma naujesnių užkardų gali aptikti –sS nuskaitymą.
- -sn- Tai yra ping nuskaitymas. Šis nuskaitymas nenaudoja prievado aptikimo, o tik tikrina taikinio internetinę būseną.
- -O– Šis nuskaitymas nustato taikinio operacinės sistemos tipą.
- -A– Šis kintamasis apima platesnės informacijos aptikimą: operacinę sistemą, versiją, scenarijus ir sekimą.
- -F- leidžia greitai nuskaityti ir sumažina nuskaitytų prievadų skaičių.
- -v- rodo šis kintamasis didelis kiekis nuskaitymo rezultatus, kad jie būtų įskaitomi.
-
Išveskite nuskaitymo rezultatus į XML failą. Galite sukonfigūruoti nuskaitymo rezultatų išvestį į XML failą ir vėliau lengvai juos atidaryti bet kurioje žiniatinklio naršyklėje. Norėdami tai padaryti, naudokite kintamąjį -Jautis su failo pavadinimu duomenims išvesti. Visa komanda atrodo taip: nmap –oX ScanResults.xml
. - Jūsų XML failas bus išsaugotas dabartiniame komandų eilutės kataloge.
- Įdomu, kaip vyksta skenavimas? Paspauskite tarpo klavišą arba bet kurį mygtuką, kol vyksta nuskaitymas, kad peržiūrėtumėte Nmap eigą.
- Tikslas neatsako? Pabandykite prie nuskaitymo pridėti kintamąjį „-P0“. Dėl to Nmap nuskaitymas pradės veikti, net jei programa „mano“, kad taikinys neegzistuoja. Tai gali būti naudinga, kai kompiuteris yra apsaugotas ugniasienės.
- Jei nuskaitymas trunka ilgai (daugiau nei 20 minučių), pabandykite pridėti „-F“ kintamąjį, kad Nmap nuskaitymas paveiktų tik neseniai naudotus prievadus.
