Hvordan Nmap Scanner virker?
Nmap er en meget effektiv portscanner, kendt som de-facto-værktøjet til at finde åbne porte og tjenester.
Nmap udfører flere faser for at nå sit formål:
Nmap host discovery
den første fase af en portscanning er host discovery. Her forsøger scanneren at kontrollere, om målværten er live, før den faktisk undersøger efter åbne porte., Denne fase er hovedsageligt nødvendig ved scanning af et stort udvalg af IP-adresser for at optimere tiden for hele scanningen. Det giver ingen mening at spilde tid på at undersøge åbne havne på en ‘ død ‘ vært (f.eks. der er ingen server på en given IP).
denne fase kan dog undertiden føre til ikke at finde nogle åbne porte, fordi værten ‘liveness’ ikke altid kan registreres korrekt (f.eks. på grund af fire .alls, der kun tillader adgang til en bestemt port og slipper alt andet)., I dette tilfælde har du muligheden “don’ t ping host” (eller Nmap-PN), der springer over værtsopdagelsesfasen og bare scanner porten.
Åbn porte detection
for at afgøre, om en TCP-port er åben, udnytter Nmap den trevejs håndtryksmekanisme, der bruges af TCP til at etablere en forbindelse mellem en klient og en server.
der er to hovedmetoder til detektering af åbne TCP-porte:
Connect-Scan (Nmap-sT)
i dette tilfælde udfører Nmap et fuldt trevejs håndtryk med målserveren og etablerer en fuld TCP-forbindelse., Rækkefølgen af pakker for denne type scanning er: SYN
SYN-ACK
ACK
RST
.
fordelen ved denne metode er, at den ikke kræver root/administratoradgang på klientmaskinen, mens ulempen er, at den er temmelig støjende, og serveren kan logge forbindelserne forsøgt fra andre værter.
SYN-Scan (Nmap-SS)
dette er standard scanning metode, også aktiveret i vores scanner., I denne metode udfører Nmap en halvåben TCP-forbindelse, idet man ved, at porten er åben umiddelbart efter, at serveren reagerer med SYN-ACK
. Rækkefølgen af pakkerne i dette tilfælde er: SYN
SYN-ACK
RST
.
fordelen ved denne metode er, at den er stealthier end en Connect-Scan, men den kræver, at Nmap kører med root/administratorrettigheder (fordi den skal oprette ra.-stik på lavt niveau for at sende de enkelte pakker, i stedet for at forlade kernestakken for at gøre forbindelsen).,
Nmap service detection
når Nmap har fundet en liste over porte, kan den foretage en mere dybdegående kontrol for at bestemme den nøjagtige type service, der kører på den port, inklusive dens version. Dette er nødvendigt, fordi det er muligt for fælles tjenester at køre på ikke-standardporte (f.eks. en serverebserver, der kører på port 32566). Service detektion er aktiveret med kommandoen Nmap -sV
.
Nmap gør tjeneste afsløring ved at sende en række foruddefinerede Sonder for forskellige protokoller til målet porten for at se, om det reagerer i overensstemmelse hermed., For eksempel, det sender:
- SSL-KLIENT-HEJ – for at kontrollere for SSL-tjenester
- HTTP GET-anmodning – for at kontrollere for HTTP-tjeneste
- SIP-INDSTILLINGER – for at kontrollere, SIP/RTSP-protokollen
- og mange andre
Du kan finde flere oplysninger om Nmap og dens indre funktionalitet i vores blog-indlæg Inde Nmap, verdens mest berømte port scanner.
En kort historie om Nmap Port Scanner
Nmap blev først indført i September 1997 i artiklen Kunsten at Scanne, i den velkendte Phrack Magasin, af dens forfatter – Fjodor (Gordon Lyon).,
da det fik en masse berygtethed, er Nmap blevet henvist til i flere bøger, og det blev også brugt i flere kunstneriske film som et hackingværktøj (f.eks. matrix).
Det har udviklet sig meget over tid (den aktuelle version er 7.70) fra en simpel portscanner til et robust værktøj, der indeholder avancerede fingeraftryksfunktioner og en kompleks scripting-motor. Nmap har i øjeblikket mere end 500 scripts, der kan køre efter service detection er blevet deaktiveret, dækker aspekter som avanceret service opdagelse, brute-tvinger og nogle sårbarhed identifikation.