Июл 18 2009

Полезная утилита Nmap

Есть в портах утилита Nmap, несмотря на то, что у этой утилиты репутация «хакерской», на саморм деле она очень полезная и не раз облегчала мою жизнь, не зря она находится в разделе security.
Установить ее просто:

cd /usr/ports/security/nmap/
make install clean

Лишних вопросов система при сборке nmap не задает, устанавливается быстро и просто.
Первая, как говорится полезность, это понятно при разработке файервола, потом можно отсканить свою систему и посмотреть добились ли мы нужного эффекта. Сканировать рекомендую с внутренней сети и снаружи, ну для того, что бы убедится что файервол работает как для исходящего трафика так и для входящего. Сканировать можно несколькими методами.
Простой скан портов:

nmap 192.168.1.1

Это простой скан по самым употребимым портам.

Скан TCP портов:

nmap -sT 192.168.1.1


Скан UDP портов:

nmap -sU 192.168.1.1

и скрытый скан, в этом режиме происходит сканирование SYN пакетами, а не стандартными ASK, таким образом система не замечает, несанкционированного запроса, а видит пришедший SYN пакет, без предшевствуещего ему пакета ASK, и если порт в системе существует(готов принимать соеденения), то уведомляет хост от которого пришел SYN, что не было ASK. Таким образом сканируются только TCP порты. Стелс сканирование запускается так:

nmap -sS 192.168.1.1

Изменяя настройки сетевой подсистемы, можно представить для злоумышленника, что у нас совсем не та операционная система. Для того, что бы было проще настраивать изменения фингерпринта своей операционной системы, нужно видеть что дают наши настройки, nmap умеет детектировать операционную систему, для этого нужно запустить nmap с такими ключами:

nmap -O 192.168.1.1

При любом сканировании nmap выполняет предварительный ping исследуемой системы, но если вы закрыли icmp echo, то дальнейшее сканирование не пойдет. Для того, что бы отключить эту проверку нужно добавить ключ -P0:

nmap -P0 192.168.1.1

И самый часто используемый метод сканирования, таким образом проще всего определять что у нас еще живо в сети, какие сегменты и тому подобное, это ping скан. Запускается он так:

nmap -sP 192.168.1.0/24

Кроме того, вывод результатов сканирования обязательно сопровождается указанием мак адреса устройства(если конечно вы сканируете локальну сеть) и какому производителю этот мак пренадлежит.

В общем и целом, nmap утилита, которая должна входить у инструментарий сисадмина.

Добавить в закладки:

google.com bobrdobr.ru del.icio.us technorati.com linkstore.ru news2.ru rumarkz.ru memori.ru moemesto.ru

Украинская Баннерная Сеть