NMAP(1) Guida di riferimento di Nmap NMAP(1) NOME nmap - Strumento di network exploration e security / port scanner SINOSSI nmap [Tipo di Scansione...] [Opzioni] {Obiettivo} DESCRIZIONE Nmap (<>) e uno strumento open-source per la network exploration e l'auditing. E stato progettato per scansionare rapidamente reti di grandi dimensioni, ma e indicato anche per l'utilizzo verso singoli host. Nmap usa pacchetti IP "raw" (grezzi, non formattati) in varie modalita per determinare quali host sono disponibili su una rete, che servizi (nome dell'applicazione e versione) vengono offerti da questi host, che sistema operativo (e che versione del sistema operativo) e in esecuzione, che tipo di firewall e packet filters sono usati, e molte altre caratteristiche. Nonostante Nmap sia comunemente usato per audits di sicurezza, molti sistemisti e amministratori di rete lo trovano utile per tutte le attivita giornaliere come ad esempio l'inventario delle macchine presenti in rete, per gestire gli aggiornamenti programmati dei servizi e per monitorare gli host o il loro uptime. L'output di Nmap e un elenco di obiettivi scansionati, con informazioni supplementari per ognuno a seconda delle opzioni usate. Tra queste informazioni e vitale la <>. Questa tabella elenca il numero della porta e il protocollo, il nome del servizio e lo stato attuale. Lo stato puo essere open (aperto), filtered (filtrato), closed (chiuso), o unfiltered (non filtrato). Aperto significa che vi e sulla macchina obiettivo un'applicazione in ascolto su quella porta per connessioni o pacchetti in entrata. Filtrato significa che un firewall, un filtro o qualche altro ostacolo di rete sta bloccando la porta al punto che Nmap non riesce a distinguere tra aperta o chiusa. Le porte chiuse non hanno alcuna applicazione in ascolto, anche se potrebbero aprirsi in ogni momento. Le porte vengono classificate come non filtrate quando rispondono ad una scansione di Nmap, ma non e stato possibile determinare se sono aperte o chiuse. Nmap mostra le combinazioni aperta|filtrata e chiusa|filtrata quando non puo determinare quale dei due stati descrive una porta. La tabella delle porte puo anche includere dettagli quali le versioni dei software disponibili se e stata usata l'opzione appropriata. Quando viene richiesta una scansione IP (-sO), Nmap fornisce informazioni sui protocolli IP supportati anziche sulle porte in ascolto. In aggiunta alla tabella delle porte notevoli, Nmap puo fornire ulteriori informazioni sugli obiettivi come ad esempio i nomi DNS risolti (reverse DNS names), il probabile sistema operativo in uso, il tipo di device e l'indirizzo fisico (MAC address). Una tipica scansione con Nmap e mostrata su Esempio 1, <>. Le uniche opzioni usate di Nmap in questo esempio sono -A, per abilitare la rilevazione del sistema operativo e della versione, lo script scanning e il traceroute, -T4 per un'esecuzione piu rapida e infine l'host obiettivo. Esempio 1. Una scansione di esempio # nmap -A -T4 scanme.nmap.org Nmap scan report for scanme.nmap.org (74.207.244.221) Host is up (0.029s latency). rDNS record for 74.207.244.221: li86-221.members.linode.com Not shown: 995 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 5.3p1 Debian 3ubuntu7 (protocol 2.0) | ssh-hostkey: 1024 8d:60:f1:7c:ca:b7:3d:0a:d6:67:54:9d:69:d9:b9:dd (DSA) |_2048 79:f8:09:ac:d4:e2:32:42:10:49:d3:bd:20:82:85:ec (RSA) 80/tcp open http Apache httpd 2.2.14 ((Ubuntu)) |_http-title: Go ahead and ScanMe! 646/tcp filtered ldp 1720/tcp filtered H.323/Q.931 9929/tcp open nping-echo Nping echo Device type: general purpose Running: Linux 2.6.X OS CPE: cpe:/o:linux:linux_kernel:2.6.39 OS details: Linux 2.6.39 Network Distance: 11 hops Service Info: OS: Linux; CPE: cpe:/o:linux:kernel TRACEROUTE (using port 53/tcp) HOP RTT ADDRESS [Cut first 10 hops for brevity] 11 17.65 ms li86-221.members.linode.com (74.207.244.221) Nmap done: 1 IP address (1 host up) scanned in 14.40 seconds L'ultima versione di Nmap si puo ottenere dal sito https://nmap.org. L'ultima versione di questa pagina del manuale e disponibile al sito https://nmap.org/book/man.html. E anche inclusa come capitolo di <> (https://nmap.org/book/). ELENCO DELLE OPZIONI Questo elenco delle possibili opzioni viene stampato quando Nmap viene eseguito senza argomenti; una versione aggiornata di questo elenco e sempre disponibile sul sito https://svn.nmap.org/nmap/docs/nmap.usage.txt. E utile per ricordarsi le opzioni piu comuni ma non dev'essere inteso come un'alternativa alla documentazione approfondita presente in questa pagina di manuale. Alcune opzioni "oscure" non sono neanche incluse qui. Nmap 6.47SVN ( https://nmap.org ) Usage: nmap [Scan Type(s)] [Options] {target specification} TARGET SPECIFICATION: Can pass hostnames, IP addresses, networks, etc. Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254 -iL : Input from list of hosts/networks -iR : Choose random targets --exclude : Exclude hosts/networks --excludefile : Exclude list from file HOST DISCOVERY: -sL: List Scan - simply list targets to scan -sn: Ping Scan - disable port scan -Pn: Treat all hosts as online -- skip host discovery -PS/PA/PU/PY[portlist]: TCP SYN/ACK, UDP or SCTP discovery to given ports -PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes -PO[protocol list]: IP Protocol Ping -n/-R: Never do DNS resolution/Always resolve [default: sometimes] --dns-servers : Specify custom DNS servers --system-dns: Use OS's DNS resolver --traceroute: Trace hop path to each host SCAN TECHNIQUES: -sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans -sU: UDP Scan -sN/sF/sX: TCP Null, FIN, and Xmas scans --scanflags : Customize TCP scan flags -sI : Idle scan -sY/sZ: SCTP INIT/COOKIE-ECHO scans -sO: IP protocol scan -b : FTP bounce scan PORT SPECIFICATION AND SCAN ORDER: -p : Only scan specified ports Ex: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9 --exclude-ports : Exclude the specified ports from scanning -F: Fast mode - Scan fewer ports than the default scan -r: Scan ports sequentially - don't randomize --top-ports : Scan most common ports --port-ratio : Scan ports more common than SERVICE/VERSION DETECTION: -sV: Probe open ports to determine service/version info --version-intensity : Set from 0 (light) to 9 (try all probes) --version-light: Limit to most likely probes (intensity 2) --version-all: Try every single probe (intensity 9) --version-trace: Show detailed version scan activity (for debugging) SCRIPT SCAN: -sC: equivalent to --script=default --script=: is a comma separated list of directories, script-files or script-categories --script-args=: provide arguments to scripts --script-args-file=filename: provide NSE script args in a file --script-trace: Show all data sent and received --script-updatedb: Update the script database. --script-help=: Show help about scripts. is a comma-separated list of script-files or script-categories. OS DETECTION: -O: Enable OS detection --osscan-limit: Limit OS detection to promising targets --osscan-guess: Guess OS more aggressively TIMING AND PERFORMANCE: Options which take are in seconds, or append 'ms' (milliseconds), 's' (seconds), 'm' (minutes), or 'h' (hours) to the value (e.g. 30m). -T<0-5>: Set timing template (higher is faster) --min-hostgroup/max-hostgroup : Parallel host scan group sizes --min-parallelism/max-parallelism : Probe parallelization --min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout : Specifies probe round trip time. --max-retries : Caps number of port scan probe retransmissions. --host-timeout : Give up on target after this long --scan-delay/--max-scan-delay : Adjust delay between probes --min-rate : Send packets no slower than per second --max-rate : Send packets no faster than per second FIREWALL/IDS EVASION AND SPOOFING: -f; --mtu : fragment packets (optionally w/given MTU) -D : Cloak a scan with decoys -S : Spoof source address -e : Use specified interface -g/--source-port : Use given port number --proxies : Relay connections through HTTP/SOCKS4 proxies --data : Append a custom payload to sent packets --data-string : Append a custom ASCII string to sent packets --data-length : Append random data to sent packets --ip-options : Send packets with specified ip options --ttl : Set IP time-to-live field --spoof-mac : Spoof your MAC address --badsum: Send packets with a bogus TCP/UDP/SCTP checksum OUTPUT: -oN/-oX/-oS/-oG : Output scan in normal, XML, s|: Output in the three major formats at once -v: Increase verbosity level (use -vv or more for greater effect) -d: Increase debugging level (use -dd or more for greater effect) --reason: Display the reason a port is in a particular state --open: Only show open (or possibly open) ports --packet-trace: Show all packets sent and received --iflist: Print host interfaces and routes (for debugging) --log-errors: Log errors/warnings to the normal-format output file --append-output: Append to rather than clobber specified output files --resume : Resume an aborted scan --stylesheet : XSL stylesheet to transform XML output to HTML --webxml: Reference stylesheet from Nmap.Org for more portable XML --no-stylesheet: Prevent associating of XSL stylesheet w/XML output MISC: -6: Enable IPv6 scanning -A: Enable OS detection, version detection, script scanning, and traceroute --datadir : Specify custom Nmap data file location --send-eth/--send-ip: Send using raw ethernet frames or IP packets --privileged: Assume that the user is fully privileged --unprivileged: Assume the user lacks raw socket privileges -V: Print version number -h: Print this help summary page. EXAMPLES: nmap -v -A scanme.nmap.org nmap -v -sn 192.168.0.0/16 10.0.0.0/8 nmap -v -iR 10000 -Pn -p 80 SEE THE MAN PAGE (https://nmap.org/book/man.html) FOR MORE OPTIONS AND EXAMPLES TARGET SPECIFICATION (SPECIFICA DEGLI OBIETTIVI) Ogni cosa sulla linea di comando di Nmap che non e un'opzione (o un argomento di un'opzione) e considerato come una specifica di un host obiettivo. Il caso piu semplice consiste nello specificare semplicemente un indirizzo IP o un nome di host per la scansione. A volte puo essere utile scansionare un'intera rete di host adiacenti. Per questo, Nmap supporta l'indirizzamento CIDR. Si possono aggiungere /numero di bit a un indirizzo IP o a un nome di host e Nmap eseguira la scansione su ogni indirizzo IP per il quale i primi numero di bit sono identici a quelli specificati nell'IP o nel nome di host fornito. Ad esempio, 192.168.10.0/24 eseguira la scansione sui primi 256 host tra 192.168.10.0 (in binario: 11000000 10101000 00001010 00000000) e 192.168.10.255 (in binario: 11000000 10101000 00001010 11111111), estremi inclusi. 192.168.10.40/24 fa esattamente la stessa cosa. Dato che l'host scanme.nmap.org corrisponde all'indirizzo IP 205.217.153.62, la specifica scanme.nmap.org/16 eseguirebbe la scansione sui 65.536 indirizzi IP tra 205.217.0.0 e 205.217.255.255. Il piu piccolo valore permesso e /1, che effettua la scansione su meta Internet. Il valore maggiore e 32, che effettua la scansione solo sull'host o sull'IP specificato poiche tutti i bit di indirizzo sono fissati. La notazione CIDR e breve ma non sempre abbastanza flessibile. Ad esempio, si potrebbe voler controllare 192.168.0.0/16 ma saltando qualsiasi IP termini con .0 o con .255 perche sono usati generalmente come indirizzi di broadcast. Nmap supporta questa funzione attraverso l'indirizzamento per intervalli di ottetti. Anziche specificare un normale indirizzo IP e possibile specificare una lista di valori o intervalli di valori separati da virgola per ogni ottetto. Ad esempio, 192.168.0-255.1-254 saltera tutti gli indirizzi nell'intervallo che termina per .0 o .255, mentre 192.168.3-5,7.1 eseguira la scansione dei quattro indirizzi 192.168.3.1, 192.168.4.1, 192.168.5.1 e 192.168.7.1. Entrambi i valori limite possono essere omessi; i valori di default sono 0 a sinistra e 255 a destra. Usare - da solo equivale a 0-255, ma ricorda di usare 0- nel primo ottetto cosi da non fare sembrare l'obiettivo un'opzione sulla riga di comando. Gli intervalli non devono necessariamente essere limitati agli ottetti finali: una specifica come 0-255.0-255.13.37 effettuera una scansione su tutta Internet per ogni indirizzo IP che termina per 13.37. Questa tipologia di campionamento puo essere utile per ricerche e sondaggi su tutta la rete Internet. Indirizzi IPV6 possono essere indicati solo mediante il loro indirizzo IPv6 completo o il loro hostname. L'indirizzamento CIDR e gli intervalli di ottetti non sono ancora supportati per IPv6. Gli indirizzi IPv6 con un non-global scope hanno bisogno di un ID di zona come suffisso. Sui sistemi Unix, questo e rappresentato dal simbolo percentuale (%) seguito dal nome di un'interfaccia; un indirizzo completo potrebbe essere fe80::a8bb:ccff:fedd:eeff%eth0. Su Windows, si usa l'identificativo numerico dell'interfaccia al posto del suo nome: fe80::a8bb:ccff:fedd:eeff%1. Puoi vedere la lista degli identificativi numerici con il comando netsh.exe interface ipv6 show interface. Nmap accetta piu indirizzi di obiettivi sulla linea di comando ed essi non devono essere necessariamente indicati nello stesso modo. Il comando nmap scanme.nmap.org 192.168.0.0/8 10.0.0,1,3-7.- fa esattamente cio che ci si aspetta. Cosi come gli obiettivi sono generalmente indicati sulla linea di comando, anche le seguenti opzioni sono disponibili per la selezione degli obiettivi: -iL (Input from list) Legge gli obiettivi da inputfilename. Inserire una grossa lista di host e spesso scomodo sulla linea di comando, anche se spesso e una necessita comune. Ad esempio, un server DHCP potrebbe esportare un elenco di 10.000 leases che si potrebbero voler controllare. Oppure si vogliono controllare tutti gli indirizzi IP di una rete tranne quelli presenti nel DHCP per individuare eventuali IP statici non autorizzati. E sufficiente generare la lista di host da controllare e passarla a Nmap come argomento dell'opzione -iL. Ogni elemento puo essere in uno qualsiasi dei formati accettati da Nmap sulla linea di comando (indirizzo IP, nome dell'host, notazione CIDR, IPv6 o intervalli di indirizzi). Ogni elemento dev'essere separato da uno o piu spazi, indentazioni (tabulazioni) o caratteri di a-capo. Si puo usare un trattino (-) come nome di file se si vuole che Nmap legga gli host dallo standard input piuttosto che da un file esistente. L'inputfilename puo contenere commenti. Ogni commento inizia con # e finisce con un carattere di a-capo. -iR (Choose random targets) Durante certe indagini su tutta Internet o altri tipi di ricerca, si potrebbe desiderare di scegliere gli obiettivi in maniera casuale. L'argomento num hosts indica a Nmap quanti indirizzi IP generare. Gli indirizzi privati, multicast o i pool di indirizzi non allocati vengono automaticamente saltati. Si puo specificare l'argomento 0 per una scansione senza fine. Va ricordato che alcuni amministratori di rete non apprezzano scansioni non autorizzate delle loro reti e potrebbero lamentarsi. Usare questa opzione a proprio rischio e pericolo! Se in un pomeriggio piovoso ci si trova ad essere annoiati, si puo provare questo comando nmap -sS -PS80 -iR 0 -p 80 per trovare in maniera casuale dei server web sui quali navigare. --exclude [,[,...]] (Exclude hosts/networks) Questa opzione specifica un elenco, separato da virgola, di obiettivi da escludere dalla scansione anche se sono parte dell'intervallo di rete specificato. La lista va specificata nella notazione usuale di Nmap, ovvero puo includere nomi di host, blocchi di indirizzi specificati mediante notazione CIDR, intervalli di ottetti, etc. Questo puo essere utile quando la rete che si vuole controllare include server intoccabili o di vitale importanza, sistemi che sono conosciuti per reagire in maniera negativa ad eventuali scansioni, o sottoreti amministrate da altri. --excludefile (Exclude list from file) Questa opzione offre le stesse funzionalita dell'opzione--exclude, con la differenza che gli obiettivi da escludere dalla scansione sono elencate in un exclude_file (separate da spazi bianchi, a-capo o tabulazioni) anziche sulla linea di comando. L'exclude_file puo contenere commenti. Ogni commento inizia con # e finisce con un carattere di a-capo. HOST DISCOVERING (RICERCA DI HOST) Uno dei primi passi in qualsiasi approccio di mappatura di una rete e quello di ridurre un intervallo di indirizzi IP (talvolta di notevoli dimensioni) ad una lista di host attivi o interessanti. Uno scan di ogni porta di ogni singolo indirizzo IP e lento e generalmente non necessario. Ovviamente cio che rende un host interessante dipende in larga misura dalle motivazioni della scansione. Gli amministratori di rete possono essere interessati solo a host sui quali e in esecuzione uno specifico servizio, mentre chi fa auditing di sicurezza e piu interessato a ogni singola periferica dotata di un indirizzo IP. Un sistemista puo accontentarsi di semplici ping ICMP per trovare gli host sulla propria rete, ma un penetration tester esterno puo dover usare un insieme di molti differenti probing (tentativi di scansione) per cercare di evitare le restrizioni imposte da un firewall. Poiche le necessita di host discovering sono cosi diverse, Nmap offre una notevole varieta di opzioni per la customizzazione delle tecniche usate. Il semplice host discovery e spesso chiamato <>, anche se va molto oltre il semplice pacchetto ICMP di tipo "echo request" associato al famoso strumento di ping. Un utente puo evitare il passaggio per l'utility <> usando una List Scan (scansione di tipo lista: -sL) o disabilitando il ping (-Pn), oppure mettendo alla prova la rete usando combinazioni arbitrarie di probe TCP SYN/ACK, UDP e ICMP su differenti porte. Lo scopo di questi approcci e quello di sollecitare una risposta che dimostri l'esistenza di un host o di un dispositivo di rete con quell'indirizzo IP. In molte reti solo una piccola percentuale di indirizzi IP e attiva in ogni momento, specialmente negli spazi di indirizzamento privati previsti dall'RFC 1918 come ad esempio 10.0.0.0/8. Una rete di questo tipo ha 16 milioni di possibili IP, anche se e di uso comune in aziende con meno di un migliaio di macchine. L'host discovery puo trovare queste macchine in un mare di indirizzi IP non consecutivi. Se non viene fornita alcuna opzione di host discovery, Nmap manda di default ad ogni macchina obiettivo un pacchetto ICMP di tipo "echo request", un pacchetto TCP SYN alla porta 443, un pacchetto TCP ACK alla porta 80 e un pacchetto ICMP di tipo "timestamp request" (per IPv6, il pacchetto ICMP di tipo "timestamp request" viene escluso dato che non fa parte del ICMPv6). Questa default e l'equivalente delle opzioni -PE -PS443 -PA80 -PP. Eccezioni a questo comportamento sono le scansioni ARP (per IPv4) e Neighbor Discovery (per IPv6) che sono usate per tutti gli obiettivi in una rete ethernet locale. Se Nmap viene lanciato da un utente non privilegiato all'interno di un ambiente UNIX, i probe di default saranno pacchetti SYN alle porte 80 e 443 inviati mediante la chiamata di sistema connect. Questo tipo di host discovery e spesso sufficiente quando si deve effettuare una scansione su reti locali, anche se per un security auditing si raccomanda di usare un set di opzioni piu avanzato. L'opzione -P* (che permette di scegliere il tipo di ping) puo essere combinata. Si possono inoltre aumentare le probabilita di bypassare firewall particolarmente restrittivi mandando molti tipi di probe diversi usando porte o flag TCP differenti e svariati codici ICMP. Inoltre si tenga presente che l'ARP/Neighbor Discovery (-PR) viene effettuata di default all'interno di una rete locale, anche se vengono specificate altre opzioni -P*, poiche e quasi sempre piu veloce e piu efficiente. Di default, Nmap lancia un host discovery e in seguito un port scan su tutti gli host che sono online. Questo approccio viene tenuto anche quando si specificano metodi non standard per l'host discovery come i probe UDP (-PU). Si consulti la spiegazione per l'opzione -sn per sapere come effettuare solo host discovery; si usi -Pn per evitare l'host discovery e fare un portscan di tutti gli host di destinazione. Le seguenti opzioni controllano il comportamento dell'host discovery: -sL (List Scan) La List Scan e una forma banale di host discovery che semplicemente elenca ogni host delle reti specificate, senza inviare alcun pacchetto agli host obiettivo. Di default Nmap effettua una risoluzione inversa mediante DNS sugli host per ottenerne il nome completo. Spesso e sorprendente vedere quante informazioni utili possono fornire dei semplici hostname. Ad esempio, fw.chi e il nome del firewall di un'azienda di Chicago. Nmap mostra anche il numero totale di indirizzi IP alla fine della scansione. La lista scan e un buon controllo per essere sicuri di avere gli indirizzi IP corretti per la propria scansione. Se gli host mostrano nomi di dominio non conosciuti, vale la pena indagare oltre per evitare di scansionare la rete dell'azienda sbagliata. Poiche l'idea e quella di stampare semplicemente una lista di obiettivi, le opzioni per funzionalita di livello piu alto (come ad esempio il port scanning, le indagini sul tipo di sistema operativo in esecuzione o il ping scan) non possono essere combinate con questa. Se si vuole disabilitare il ping scan e mantenere allo stesso tempo la possibilita di utilizzare funzionalita di alto livello, si legga la sezione sull'opzione -Pn (No ping). -sn (No port scan) Questa opzione indica a Nmap di non effettuare un port scan dopo un host discovery e di mostrare gli host che hanno risposto. Quest'opzione e spesso conosciuta come <>, ma si puo anche richiedere il traceroute ed eseguire script host NSE. Quest'azione e un gradino piu invadente della List Scan, e spesso puo essere usata per lo stesso scopo. Essa permette una mappatura di una rete obiettivo senza attrarre molta attenzione. Sapere quanti host sono attivi e piu utile ad un attaccante rispetto ad una semplice List Scan di ogni indirizzo IP e nome di host. Gli amministratori di sistema trovano spesso questa opzione utile allo stesso modo. Puo essere usata facilmente per enumerare le macchine disponibili in una rete o tenere sotto osservazione la disponibilita di un singolo server. Questo approccio viene anche chiamato <>, ed e piu affidabile di un ping all'indirizzo broadcast poiche molti host non rispondono alle richieste di questa categoria. L'opzione -sn invia di default un pacchetto ICMP di tipo "echo request", un pacchetto TCP SYN alla porta 443, un pacchetto TCP ACK alla porta 80 e un pacchetto ICMP di tipo "timestamp request". Quando viene eseguita da un utente non privilegiato, viene inviati solo i pacchetti SYN (usando la chiamata connect ) alle porte 80 e 443 dell'obiettivo. Quando invece un utente privilegiato prova ad effettuare una scansione all'interno di una rete locale, vengono usate richieste ARP a meno che non venga specificata l'opzione --send-ip. L'opzione -sn puo essere usata in combinazione con qualsiasi tipo di discovery probe (ovvero la famiglia di opzioni -P*, tranne -Pn) per avere una migliore flessibilita. Se viene usato uno qualsiasi di questi probe con opzioni sul numero di porta, allora i probe di default vengono annullati. Si raccomanda di usare queste tecniche avanzate se ci sono dei firewall restrittivi tra l'host che lancia Nmap e le reti di destinazione, altrimenti le destinazioni potrebbero non essere raggiunte nel caso in cui il firewall dovesse bloccare i probe o le risposte a questi ultimi. Nelle versioni precedenti di Nmap, l'opzione -sn era chiamata -sP. -Pn (No ping) Questa opzione evita del tutto il passaggio di ricerca degli host di Nmap. Normalmente Nmap usa questo passaggio per trovare le macchine attive da sottoporre ad una scansione piu approfondita. Di default, Nmap esegue un probing approfondito (come ad esempio un port scan, una version detection dei servizi o un Operating System detection) solo sugli host che sono stati trovati attivi. Disabilitare l'host discovery attraverso l'opzione -Pn obbliga Nmap a tentare la scansione richiesta su tutti gli host destinazione specificati. Quindi se si specifica sulla linea di comando una rete di destinazione di classe B (in CIDR /16) verranno sottoposti a scansione tutti i 65.535 indirizzi IP. A differenza della List Scan (nel quale l'host discovery viene saltato) anziche interrompersi e mostrare la lista di destinazioni, Nmap continua ad eseguire le funzioni richieste come se ogni IP di destinazione fosse attivo. Per evitare sia un ping scan che un port scan, ma permettere l'esecuzione degli script NSE, utilizzare le due opzioni -Pn -sn insieme. Per le macchine in una rete ethernet locale, la scansione ARP verra ancora eseguita (a meno che siano specificate le opzioni --disable-arp-ping e --send-ip) in quanto Nmap necessita degli indirizzi fisici (MAC addresses) per ulteriori scansioni degli hosts. Nelle versioni precedenti di Nmap, -Pn era chiamata -P0 e -PN. -PS (TCP SYN Ping) Questa opzione invia un pacchetto TCP vuoto con il flag SYN attivo. La porta di destinazione di default e la 80 (configurabile durante la compilazione cambiando il parametro di define DEFAULT_TCP_PROBE_PORT nel file nmap.h), ma si possono specificare altre porte come parametro. La sintassi e la stessa dell'opzione -p tranne che gli indicatori del tipo di porta T: non sono permessi. Da notare che non ci devono essere spazi tra -PS e il numero di porta, ad esempio -PS22. Nel caso di piu porte specificate, separate da virgola (ad esempio -PS22-25,80,113,1050,35000), si tentera un probe verso ogni porta in parallelo. Il flag SYN indica al sistema remoto che si sta tentando di stabilire una connessione. Normalmente la porta di destinazione dovrebbe essere chiusa, e un pacchetto di RST (reset) viene mandato indietro. Se la porta fosse aperta, il destinatario effettuera il secondo passo della connessione TCP a tre vie (3-way-handshake) rispondendo con un pacchetto TCP SYN/ACK. La macchina che sta eseguendo Nmap interrompera la connessione inviando un pacchetto RST al posto di mandare l'usuale pacchetto ACK che completerebbe l'handshake e stabilirebbe una connessione completa. Il pacchetto RST viene mandato dal kernel della macchina che sta eseguendo Nmap, non da Nmap stesso. A Nmap non interessa se la porta e aperta o chiusa. In ogni caso l'RST o il SYN/ACK ricevuti indicano che l'host e disponibile e risponde alle connessioni. Nelle macchine UNIX solo l'utente privilegiato root generalmente e abilitato all'invio e alla ricezione di pacchetti TCP "raw" (non formattati, grezzi). Per quanto riguarda gli utenti non privilegiati si deve ricorrere alla chiamata di sistema connect, la quale viene lanciata su ogni porta di destinazione. Questo ha l'effetto di inviare pacchetti SYN all'host di destinazione come per stabilire una connessione. Se la connect restituisce rapidamente un messaggio di successo o un messaggio di errore ECONNREFUSED significa che lo stack TCP sottostante deve aver ricevuto un SYN/ACK o un RST e l'host viene marcato come disponibile. Se il tentativo di connessione viene lasciato in sospeso fino al raggiungimento di un certo timeout l'host e marcato come down o non disponibile. -PA (TCP ACK Ping) Il ping TCP ACK e molto simile al ping SYN appena discusso. La differenza, come si puo facilmente indovinare, consiste nel fatto che viene sollevato il flag TCP ACK al posto del SYN. Un tale pacchetto ACK finge di confermare dei dati inviati in una connessione TCP gia stabilita, anche se tale connessione non esiste. In questo modo un host remoto rispondera sempre con un pacchetto RST, svelando cosi la propria esistenza e il fatto che siano attivi. L'opzione -PA usa la stessa porta di default del SYN probe (ovvero la porta 80) e puo ricevere in input un elenco di porte di destinazione nello stesso formato. Se un utente non privilegiato tenta quest'approccio si usa la scorciatoia della connect spiegata in precedenza. Questa scorciatoia non e ottimale perche in ogni caso la connect invia un pacchetto SYN e non un ACK. La ragione per offrire entrambi i tipi di probe (SYN e ACK) e quella di massimizzare le possibilita di bypassare firewall. Molti amministratori configurano router e semplici firewall per bloccare pacchetti SYN in arrivo tranne quelli destinati a servizi pubblici come il sito web aziendale o il mail server. Questo impedisce ogni altro tipo di connessione in entrata garantendo al tempo stesso agli utenti di effettuare connessioni verso l'esterno senza incontrare ostacoli. Questo approccio "non-stateful" (per "non-stateful" si intende in questo caso la capacita di un firewall di tenere traccia delle connessioni che lo attraversano, NdT) utilizza poche risorse sul firewall/router ed e largamente supportato da filtri software e hardware. Il firewall di Linux conosciuto come Netfilter/iptables offre l'opzione --syn per implementare questo approccio "stateless". Quando un firewall implementa regole di questo tipo, un probe SYN (-PS) viene facilmente bloccato quando viene mandato ad una porta chiusa. In questi casi un probe ACK passerebbe indisturbato, come se non vi fossero quelle regole. Un altro tipo comune di firewall utilizza regole "stateful" che lasciano cadere (drop) pacchetti non attesi. Questa caratteristica era inizialmente disponibile solo su firewall di fascia alta, anche se e diventata sempre piu comune nel corso degli anni. Il sistema Netfilter/iptables la supporta mediante l'opzione --state, la quale marca pacchetti a seconda dello stato della connessione. Un probe SYN funzionera piu facilmente verso un tale sistema, poiche pacchetti ACK non attesi sono generalmente riconosciuti come non validi e lasciati cadere. Una soluzione a questa situazione poco piacevole e quella di inviare entrambe le tipologie di probe specificando le opzioni -PS e -PA. -PU (UDP Ping) Un'altra opzione di host discovery e il ping UDP, la quale manda un pacchetto UDP alle porte indicate. Per molte porte, il pacchetto sara vuoto, anche se utilizzare un payload specifico del protocollo aumentale probabilita di risposta. Vedi la sezione <> (https://nmap.org/book/nmap-payloads.html) per una descrizione del database dei payloads. Il contenuto del pacchetto puo essere gestito con le opzioni --data, --data-string e --data-length. L'elenco di porte va specificato nello stesso formato gia discusso in precedenza nelle opzioni -PS e -PA. Se non si specifica alcuna porta viene usata la 40125 di default. Questo valore puo essere impostato durante la compilazione cambiando il parametro DEFAULT_UDP_PROBE_PORT nel file nmap.h. Si usa di default una porta poco comune perche inviare dati ad una porta gia aperta e spesso non desiderabile per questo tipo particolare di scansione. Una volta raggiunta una porta UDP chiusa sulla macchina di destinazione, il probe UDP dovrebbe provocare un pacchetto ICMP di tipo "port unreachable" (porta irraggiungibile). Questo indica a Nmap che l'host e funzionante e disponibile. Altri tipi di pacchetti ICMP di errore, come ad esempio host o rete "unreachable" (non disponibile) o "TTL exceeded" (superato il tempo di vita del pacchetto) indicano un host non funzionante o irraggiungibile. Una mancanza di risposta viene interpretata alla stessa maniera. Se si raggiunge una porta aperta la maggior parte dei servizi semplicemente ignorano il pacchetto vuoto e non rimandano alcuna risposta. Questo spiega perche il probe di default e la porta 40125, la quale si usa molto raramente. Pochi servizi, tra i quali <>, rispondono a un pacchetto UDP vuoto, rivelando cosi a Nmap la disponibilita della macchina in questione. Il vantaggio primario di questo tipo di scansione e che riesce a bypassare firewall e filtri che controllano solo pacchetti TCP. Ad esempio, una volta avevo un router a banda larga wireless Linksys BEFW11S4. L'interfaccia esterna di questa periferica filtrava tutte le porte TCP di default, ma i probe UDP provocavano messaggi di "Port unreachable" rivelando cosi l'esistenza del device. -PY (SCTP INIT Ping) Questa opzione invia un pacchetto SCTP contenente un INIT chunk minimale. La porta di destinazione di default e la 80 (configurabile durante la compilazione cambiando il valore di DEFAULT_SCTP_PROBE_PORT_SPEC nel file nmap.h). Altre porte possono essere specificate come parametro. La sintassi e la stessa dell'opzione -p tranne che gli indicatori del tipo di porta S: non sono permessi. Da notare che non ci devono essere spazi tra -PY e il numero di porta, ad esempio -PY22. Nel caso di piu porte specificate, separate da virgola (ad esempio -PY22,80,179,5060), si tentera un probe verso ogni porta in parallelo. L'INIT chunk suggerisce al sistema remoto che stai tentando di stabilire un'associazione. Normalmente la porta di destinazione dovrebbe essere chiusa e un ABORT chunk verra inviato come risposta. Se la porta invece dovesse essere aperta, l'obiettivo passera al secondo step della connessione SCTP a quattro vie (four-way-handshake) rispondendo con un INIT-ACK chunk. Se la macchina che sta eseguendo Nmap ha la funzione di SCTP stack, abbatte l'associazione nascente rispondendo con un ABORT chunk invece che inviare un COOKIE-ECHO chunk, che sarebbe lo step successivo nel processo di associazione. Il pacchetto ABORT viene mandato dal kernel della macchina che sta eseguendo Nmap in risposta ad un INIT-ACK inaspettato, non da Nmap stesso. Ad Nmap non interessa se la porta di destinazione risulta aperta o chiusa. Entrambi i pacchetti discussi in precedenza (ABORT e INIT-ACK) ricevuti in risposta, indicano ad Nmap che l'host e disponibile e risponde alle connessioni. Sulle macchine Unix, solo l'utente privilegiato root generalmente e abilitato ad inviare e ricevere pacchetti SCTP "raw" (non formattati, grezzi). Usare SCTP INIT Pings (-PY) non e attualmente possibile per gli utenti non privilegiati. -PE; -PP; -PM (ICMP Ping Types) In aggiunta ai meno comuni tipi di host discovery TCP, UDP e SCTP discussi in precedenza, Nmap puo anche mandare i pacchetti standard come il famoso programma ping. Nmap manda un pacchetto ICMP type 8 ("echo request") all'indirizzo IP di destinazione, aspettandosi un type 0 ("echo reply") di ritorno dagli host disponibili. Sfortunatamente per chi deve scoprire la topologia di una rete, molti host e firewall ora bloccano questo tipo di pacchetti anziche rispondere come richiesto dall'RFC 1122[1]. Per questa ragione le scansioni basate solo su ICMP sono raramente abbastanza affidabili nei riguardi di destinazioni sconosciute su Internet. Tuttavia per i sistemisti di rete che devono tenere sotto controllo una rete interna, esse possono essere un approccio pratico ed efficiente. Si usi l'opzione -PE per abilitare questo comportamento di "echo request". Mentre la "echo request" e la richiesta standard del ping ICMP, Nmap non si ferma qui. Gli standard ICMP (RFC 792[2] e RFC 950[3]) specificano inoltre i pacchetti "timestamp request", "information request" e "address mask request" (rispettivamente "richiesta di timestamp", ovvero data e ora, "richiesta di informazioni" e "richiesta della maschera di rete") mediante i codici ICMP 13, 15 e 17. Dato che lo scopo dichiarato di questo tipo di richieste e quello di avere informazioni quali la maschera di rete e l'ora corrente, essi possono facilmente essere usati per l'host discovery. Un sistema che risponde e funzionante e disponibile. Nmap non implementa allo stato attuale pacchetti di "information request", poiche in genere non sono supportati comunemente. L'RFC 1122 specifica che <> (il maiuscolo negli RFC indica comportamenti precisi). Il timestamp (data e ora) e le richieste di maschera di rete possono essere inviate rispettivamente mediante le opzioni -PP e -PM. Una risposta di tipo timestamp (codice ICMP 14) o di tipo address mask (codice 18) rivela che un host e disponibile. Queste due richieste possono essere utili qualora un amministratore dovesse bloccare i pacchetti di "echo request" ma dimenticarsi che altre query ICMP possono essere usate per lo stesso scopo. -PO (IP Protocol Ping) Una delle nuove opzioni di host discovery e la IP Protocol Ping, la quale invia pacchetti IP con lo specifico numero di protocollo impostato nel loro IP header. La lista dei protocolli ha lo stesso formato della lista delle porte vista in precedenza nelle opzioni di host discovery TCP, UDP e SCTP. Se nessun protocollo viene specificato, di default vengono inviati pacchetti IP multipli per ICMP (protocollo 1), IGMP (protocollo 2) e IP-in-IP (protocollo 4). I protocolli di default possono essere configurati in fase di compilazione cambiando il valore di DEFAULT_PROTO_PROBE_PORT_SPEC nel file nmap.h. Si tenga presente che per i protocolli ICMP, IGMP, TCP (protocollo 6), UDP (protocollo 17) e SCTP (protocollo 132), i pacchetti vengono inviati con i loro opportuni headers mentre gli altri protocolli vengono inviati senza nessun dato aggiuntivo oltre all'IP header (a meno che non siano specificate le opzioni --data, --data-string o --data-length). Questo metodo di host discovery cerca sia risposte utilizzando lo stesso protocollo di un probe, che messaggi "unreachable" utilizzando il protocollo ICMP, che significa che il protocollo non e supportato dall'host di destinazione. Entrambe le risposte indicano che l'obiettivo e attivo. -PR (ARP Ping) Una delle situazioni piu comuni di utilizzo di Nmap e la scansione di una LAN ethernet. Nella maggior parte delle LAN, specialmente quelle in cui viene usato il benedetto intervallo di indirizzi privati specificato dall'RFC 1918, la maggior parte degli indirizzi IP e inutilizzato. Quando Nmap prova ad inviare pacchetti IP raw come le "echo request" ICMP, il sistema operativo deve determinare l'indirizzo hardware (ARP) corrispondente all'indirizzo IP di destinazione, in modo da poter indirizzare correttamente il frame ethernet. Questo e spesso lento e problematico, in quanto i sistemi operativi non sono stati scritti prevedendo di dover fare milioni di richieste ARP verso host inesistenti in un breve lasso di tempo. L'ARP scan lascia a Nmap e ai suoi algoritmi ottimizzati l'incarico delle richieste ARP. Nel caso in cui si riceva una risposta, Nmap non si deve neanche preoccupare dei ping basati su IP perche a questo punto sa gia che l'host e raggiungibile. Questo rende l'ARP scan molto veloce e molto piu affidabile delle normali scansioni basate su IP. Infatti questo e il comportamento di default quando si deve effettuare uno scan su host che Nmap riconosce come presenti nella rete locale. Anche se vengono specificati differenti tipi di ping (come -PE o -PS), Nmap usa comunque ARP per ogni target che e sulla stessa LAN. Se non si vuole assolutamente un ARP scan, specificare l'opzione --disable-arp-ping. Per IPv6 (opzione -6), -PR utilizza ICMPv6 Neighbor Discovery al posto di ARP. Neighbor Discovery, definito nell'RFC 4861, puo essere visto come l'equivalente per IPv6 di ARP. --disable-arp-ping (No ARP or ND Ping) Nmap normalmente esegue un ARP o IPv6 Neighbor Discovery (ND) discovery degli host locali connessi ad una rete ethernet, anche se altre opzioni di host discovery, come -Pn o -PE, vengono utilizzate. Per disabilitare questo comportamento implicito, utilizzare l'opzione --disable-arp-ping. Il comportamento di default e solitamente piu veloce, ma quest'opzione e utile nelle reti che utilizzano un proxy ARP, nelle quali un router risponde in modo speculare a tutte le richieste ARP, facendo sembrare attivi tutti gli obiettivi di un ARP scan. --traceroute (Trace path to host) I traceroutes vengono eseguiti in fase di post-scan utilizzando informazioni provenienti dai risultati della scansione per determinare la porta e il protocollo che piu probabilmente raggiungono l'obiettivo. Opera con tutte le tipologie di scansione tranne le connect scans (-sT) e le idle scans (-sI). Tutti i tracciamenti utilizzano il modello di timing dinamico ("dynamic timing model") di Nmap e vengono eseguiti in parallelo. Traceroute lavora inviando pacchetti con un basso TTL (time-to-live) in attesa di ricevere un messaggio ICMP "Time Exceeded" dagli intermediari (hops) posti tra la macchina che esegue la scansione e l'host obiettivo. Le implementazioni standard di traceroute iniziano con un TTL settato a 1 e aumentano il TTL finche l'host di destinazione non viene raggiunto. I traceroute di Nmap iniziano con un alto TTL e lo diminuiscono fino ad arrivare a zero. Lavorare a ritroso consente ad Nmap di utilizzare intelligenti algoritmi di caching per velocizzare il tracciamento su piu host. In media Nmap invia 5-10 pacchetti in meno per host, in base alle condizioni della rete. Se una singola subnet viene scansionate (ad esempio 192.168.0.0/24) Nmap potrebbe dover inviare solo due pacchetti per la maggior parte degli host. -n (No DNS resolution) Indica a Nmap di non effettuare mai una risoluzione inversa del nome mediante DNS sugli indirizzi IP rilevati. Poiche il DNS e spesso lento anche con il risolutore parallelo integrato di Nmap, questa opzione rende l'intero processo di scansione piu veloce. -R (DNS resolution for all targets) Indica a Nmap di effettuare sempre la risoluzione inversa dei nomi mediante DNS sugli indirizzi IP rilevati. Generalmente la risoluzione inversa viene effettuata solo quando un host viene rilevato come attivo. --system-dns (Use system DNS resolver) Di default Nmap risolve gli indirizzi IP mandando richieste direttamente ai name servers (server dei nomi) configurati sulla macchina su cui e in esecuzione Nmap. Molte richieste (spesso nell'ordine delle dozzine) sono effettuate in parallelo per migliorare le performance. Si specifichi quest'opzione se si vuole usare il proprio DNS (richiedendo un indirizzo IP alla volta usando la system call getnameinfo). Questa operazione e piu lenta e raramente utile a meno che non ci sia un bug nel codice di risoluzione dei nomi di Nmap (per favore si contattino gli sviluppatori se questo e il caso). Il resolver di sistema e sempre usato per le scansioni su IPv6. --dns-servers [,][,...]]; (Servers to use for reverse DNS queries) Di default Nmap cerchera di determinare i server DNS da usare per le reverse query usando il file resolv.conf (UNIX) o il Registro (Win32) sulla macchina su cui viene eseguito. In alternativa si puo usare quest'opzione per indicare server alternativi. Tuttavia quest'opzione viene ignorata nel caso si specifichi l'opzione --system-dns o se si sta eseguendo una scansione IPv6. L'uso di piu server DNS e spesso piu veloce specialmente se si specificano server DNS autoritari per lo spazio IP di destinazione. Quest'opzione inoltre attrae meno l'attenzione, dato che le tue richieste possono essere rimbalzate praticamente da ogni server DNS su Internet. Quest'opzione torna utile anche quando si eseguono scansioni di reti private. Alle volte solo alcuni name server forniscono le correte informazioni di reverse e non sempre potresti sapere dove questi si trovano. Puoi scansionare la rete sulla porta 53 (magari con una version detection), quindi provare delle List Scan (-sL) di Nmap specificando ogni volta un name server diverso con l'opzione --dns-servers finche non si trova quello desiderato. FONDAMENTI DI PORT SCANNING Nonostante Nmap nel corso degli anni abbia ampliato le proprie funzionalita, inizio come un efficiente port scanner e tale resta la sua funzione di base. Il semplice comando nmap target effettua una scansione di 1.000 porte TCP sull'host target. Mentre molti port scanner considerano tutte le porte chiuse o aperte, Nmap e molto piu preciso. Divide le porte in sei categorie o stati: open (aperta), closed (chiusa), filtered (filtrata), unfiltered (non filtrata), open|filtered (aperta|filtrata), closed|filtered (chiusa|filtrata). Questi stati non sono proprieta intrinseche delle porte stesse, ma descrivono come Nmap le vede. Ad esempio, uno scan Nmap proveniente dalla stessa rete nella quale risiede l'obiettivo puo mostrare la porta 135/tcp come aperta, mentre una scansione nello stesso momento con gli stessi parametri ma proveniente da Internet puo mostrare quella stessa porta come filtered. I sei stati nei quali Nmap classifica le porte open (aperta) Un'applicazione accetta attivamente su questa porta connessioni TCP, datagrammi UDP o associazioni SCTP. La ricerca di questo tipo di porte e spesso l'obiettivo primario del port scanning. Chi si dedica alla sicurezza sa che ogni porta aperta e una strada verso un attacco. Gli attaccanti e i tester di sicurezza (penetration testers, conosciuti anche come "pen-testers", NdT) hanno come obiettivo quello di trovare e trarre vantaggio dalle porte aperte, mentre d'altro canto gli amministratori di rete e i sistemisti provano a chiuderle o a proteggerle con firewall senza limitare gli utenti autorizzati al loro uso. Le porte aperte sono anche interessanti per tutta una serie di scansioni non indirizzate unicamente alla sicurezza, perche mostrano che servizi sono disponibili in una rete. closed (chiusa) Una porta chiusa e accessibile (riceve e risponde ai pacchetti di probe di Nmap) ma non vi e alcuna applicazione in ascolto su di essa. Esse possono rendersi utili nel mostrare che un host e attivo su un indirizzo IP (durante l'host discovery o il ping scanning) o in quanto parte integrante dell'Operating System discovery. Poiche una porta chiusa e raggiungibile, puo essere interessante effettuare una scansione piu tardi nel caso alcune vengano aperte. Chi amministra una macchina o una rete puo voler bloccare tali porte con un firewall ed in questo caso esse apparirebbero come filtrate, come mostrato in seguito. filtered (filtrata) In questo caso Nmap non puo determinare con esattezza se la porta sia aperta o meno, perche un filtro di pacchetti impedisce ai probe di raggiungere la porta. Questo filtro puo esser dovuto a un firewall dedicato, alle regole di un router, o a un firewall software installato sulla macchina stessa. Queste porte forniscono poche informazioni e rendono frustrante il lavoro dell'attaccante. A volte esse rispondono con un messaggio ICMP del tipo 3, codice 13 ("destination unreachable: communication administratively prohibited", ovvero "destinazione non raggiungibile: comunicazione impedita da regole di gestione"), ma in genere sono molto piu comuni i filtri di pacchetti che semplicemente ignorano i tentativi di connessione senza rispondere. Questo obbliga Nmap a riprovare diverse volte, semplicemente per essere sicuri che il pacchetto non sia stato perduto a causa di una congestione di rete o di problemi simili piuttosto che dal firewall o dal filtro stesso. Questo riduce drammaticamente la velocita della scansione. unfiltered (non filtrata) Lo stato "unfiltered" indica che una porta e accessibile, ma che Nmap non e in grado di determinare se sia aperta o chiusa. Solo la scansione di tipo ACK, usata per trovare e classificare le regole di un firewall, posiziona una porta in questo stato. Una scansione di porte in questo stato ("non filtrate") mediante altri tipi di scansione come il Window scan (scan per finestre di connessione), il SYN scan o il FIN scan aiuta a determinare se la porta sia aperta o chiusa. open|filtered (aperta|filtrata) Nmap posiziona le porte in questo stato quando non e in grado di determinare se una porta sia aperta o filtrata. Questo accade in quelle scansioni per le quali una porta aperta non risponde in alcun modo. La mancanza di informazioni puo significare inoltre che un filtro di pacchetti ha lasciato cadere ("drop") il probe o qualsiasi risposta sia stata generata in seguito a questo. Scansioni che classificano porte in questo stato sono le scansioni UDP, IP, FIN, NULL e Xmas. closed|filtered (chiusa|filtrata) Questo stato e usato quando Nmap non e in grado di determinare se una porta sia chiusa o filtrata. Viene usato solo per l'IP ID idle scan. TECNICHE DI PORT SCANNING Un neofita inesperto che cerca di aggiustarsi l'automobile puo arrovellarsi per ore cercando di usare i pochi strumenti che ha (martello, nastro isolante, pinza, ecc.) per cio che deve fare. Una volta che si e arreso dopo l'ennesimo fallimento e si e deciso a portare il proprio macinino da un vero meccanico, ecco che questi inevitabilmente si mette a cercare in una gigantesca cassetta degli attrezzi estraendone il "coso" perfetto per fare quel lavoro senza alcuno sforzo. L'arte del port scanning e molto simile. Chi e esperto capisce e conosce tutte le tecniche e sceglie quella appropriata (o una combinazione appropriata) per un certo lavoro. Utenti inesperti o script kiddes, d'altro canto, provano a risolvere ogni problema con la scansione SYN di default. Poiche Nmap e free (in lingua inglese significa sia "libero" che "gratuito", e per questo e lasciato inalterato, NdT) l'unico limite alla capacita di fare port scanning e solo la conoscenza. Questo lo rende sicuramente piu accessibile del mondo delle automobili, dov'e richiesta non solo una notevole abilita per sapere che serve uno specifico strumento, ma e anche necessario andarselo a comprare. La maggior parte delle scansioni e disponibile solo per gli utenti privilegiati. Questo e dovuto al fatto che esse inviano e ricevono pacchetti "raw" (non formattati o "grezzi", ovvero semplici stringhe di bit), i quali richiedono l'accesso come root su sistemi UNIX. L'uso di un account di amministrazione su Windows e raccomandato, nonostante Nmap a volte funzioni anche per gli utenti non privilegiati quando WinPcap e gia stato caricato nel sistema operativo. Nel 1997, quando Nmap venne rilasciato, la necessita di avere privilegi di root era una seria limitazione perche molti utenti avevano solo accesso ad account su macchine che davano semplici shell condivise. Ora il mondo e cambiato: i computer sono piu economici, molta piu gente ha una connessione a Internet diretta e sempre attiva, e i sistemi UNIX per desktop (includendo tra questi macchine Linux o OS X) sono ormai la maggioranza. Una versione di Nmap per Windows e ora disponibile, cosi da poterlo eseguire su ancora piu desktop. Per tutte queste ragioni gli utenti hanno sempre meno necessita di usare Nmap da account limitati, il che non fa che migliorare la situazione, in quanto le opzioni privilegiate fanno di Nmap uno strumento molto piu potente e flessibile. Nonostante Nmap faccia del proprio meglio per produrre risultati accurati, si tenga presente che tutte le sue conclusioni sono basate su pacchetti che tornano indietro dalle macchine di destinazione (o dai firewall che le proteggono). Tali host possono essere inaffidabili e restituire risposte mirate proprio a confondere e sviare Nmap. Sono molto piu comuni inoltre host che non rispettano gli RFC e che non rispondono come dovrebbero ai tentativi di connessione di Nmap. Scansioni come FIN, NULL e Xmas sono particolarmente suscettibili a questo problema. Tali problematiche sono specifiche a certi tipi di scansione ed in quanto tali vengono discusse nelle sezioni individuali ad esse dedicate. Questa sezione documenta le molteplici tecniche di port scanning supportate da Nmap. Si puo usare solo un metodo per volta, a parte l'UDP scan (-sU) e gli SCTP scan (-sY, -sZ) che possono essere combinati con uno qualsiasi dei TCP scan. Per ricordarsi le varie opzioni di port scan, esse sono della forma -sC, dove C e un carattere significativo del nome della scansione, in genere il primo. L'unica eccezione a questa regola generale e il cosiddetto FTP bounce scan che viene tuttavia sconsigliato (opzione -b). Di default Nmap effettua un SYN scan, oppure un connect scan se l'utente non ha privilegi sufficienti per mandare pacchetti raw (che richiedono l'accesso come root su UNIX). Di tutte le scansioni elencate di seguito, gli utenti non privilegiati possono solo effettuare scansioni connect ed FTP bounce. -sS (TCP SYN scan) Il SYN scan e l'opzione di default ed e la piu usata per buone ragioni. Puo essere effettuato velocemente: effettua la scansione su migliaia di porte al secondo su una rete veloce non limitata da firewall restrittivi. Il SYN scan e relativamente nascosto e poco invasivo, poiche non completa mai le connessioni TCP. Funziona inoltre con ogni stack TCP compatibile e non dipende dalle idiosincrasie di piattaforme specifiche come fanno gli altri tipi di scan di Nmap quali FIN/NULL/Xmas, Maimon e Idle scan. Inoltre permette una differenziazione chiara ed affidabile tra le porte appartenenti agli stati open, closed e filtered. Questa tecnica e spesso indicata come "scanning semi-aperto" (tradotto letteralmente per esigenze di comprensione, da "half-open scanning", NdT), perche non viene aperta una connessione TCP completa. Viene mandato un pacchetto SYN come se si fosse sul punto di aprire una connessione reale e si attende una risposta. Un SYN/ACK indica che la porta e in ascolto (aperta), mentre un RST (reset) indica che la porta non e in ascolto. Se non viene ricevuta nessuna risposta dopo diverse ritrasmissioni la porta viene marcata come filtrata. La porta viene marcata come tale anche se viene ricevuto un pacchetto di errore "ICMP unreachable" (tipo 3, codici 1, 2, 3, 9, 10, 13). La porta viene considerata aperta anche nel caso in cui un pacchetto SYN (senza il flag ACK) viene ricevuto in risposta. Questo in base ad una feature TCP estremamente rara conosciuta come "apertura simultanea" ("simultaneous open") o connessione "split handshake" (vedere https://nmap.org/misc/split- handshake.pdf). -sT (TCP connect scan) La scansione di tipo TCP connect e la scansione TCP di default dove la scansione SYN non e un'opzione viabile. Questo e il caso in cui un utente non ha privilegi sull'invio di pacchetti "raw". Anziche scrivere pacchetti "raw" come in molti altri tipi di scansioni, Nmap richiede al sistema operativo sottostante di stabilire una connessione con la macchina di destinazione invocando la chiamata di sistema connect. Questa e la stessa chiamata di alto livello invocata per stabilire una connessione da browser web, client p2p e molte altre applicazioni orientate all'utilizzo in rete. Essa e parte dell'interfaccia di programmazione conosciuta come Berkeley Sockets API. Anziche leggere le risposte ai pacchetti "raw" inviati direttamente sul cavo, Nmap usa questa API per ottenere informazioni sullo stato di ogni tentativo di connessione. Quand'e possibile, il SYN scan e generalmente una scelta migliore. Nmap ha meno controllo sulla syscall connect rispetto ai pacchetti "raw", rendendolo quindi meno efficiente. La syscall completa le connessioni alle porte aperte specificate anziche limitarsi al reset dovuto alla scansione semi-aperta del SYN scan. Non solo questo approccio richiede piu tempo e numero maggiore di pacchetti per ottenere le stesse informazioni, ma le macchine obiettivo sono piu propense a tenere traccia (log) della connessione. Inoltre un IDS ("Intrusion Detection System", sistema di controllo delle intrusioni) decente se ne accorgera. Tuttavia la maggior parte delle macchine non hanno tali sistemi di allarme. Molti servizi sui propri sistemi UNIX standard aggiungeranno una nota al syslog, e alle volte un messaggio di errore criptico, quando Nmap si connette e chiude la connessione senza inviare dati di alcun tipo. Solo alcuni patetici servizi andranno in crash in queste condizioni, nonostante non sia comune. Un amministratore che dovesse vedere un insieme di tentativi di connessioni provenienti da un singolo sistema sapra infine che e vittima di un connect scan. -sU (UDP scans) Cosi come i servizi piu comuni su Internet girano attraverso il protocollo TCP, anche i servizi UDP[4] sono altrettanto diffusi. DNS, SNMP e DHCP (sulle porte registrate 53, 161/162 e 67/68) sono tre dei piu comuni. Poiche lo scan su UDP e generalmente piu lento e piu difficoltoso di quello su TCP, alcuni esaminatori di sicurezza ("security auditors") ignorano questo tipo di porte. Cio e un errore, poiche i servizi UDP vulnerabili sono abbastanza comuni e un attaccante sicuramente non ignorera completamente questo protocollo. Fortunatamente Nmap puo aiutare ad enumerare le porte UDP. Lo scan UDP si attiva con l'opzione -sU. Puo essere combinato con uno scan di tipo TCP come ad esempio un SYN scan (-sS) per controllare entrambi i protocolli nel corso della stessa sessione. Lo scan UDP funziona inviando pacchetti UDP ad ogni porta di destinazione. Per alcune porte comuni, come la 53 e la 161, un carico dati viene aggiunto per aumentare le probabilita di risposta, ma per la maggior parte delle porte il pacchetto viene inviato vuoto, a meno che non vengano specificate le opzioni --data, --data-string o --data-length. Se viene restituito un errore ICMP "port unreachable" (tipo 3, codice 3) significa che la porta e closed (chiusa). Altri errori ICMP di tipo "unreachable" (irraggiungibile) come quelli del tipo 3, codici 1, 2, 9, 10 o 13 andranno ad identificare la porta come filtered (filtrata). Talvolta un servizio rispondera con un pacchetto UDP, dimostrando quindi che lo stato della porta e open (aperta). Se non viene ricevuta alcuna risposta dopo alcune ritrasmissioni, la porta viene classificata come open|filtered (aperta|filtrata). Questo significa che la porta puo essere aperta o che probabilmente un filtro di pacchetti sta bloccando la comunicazione. Un version detection (-sV) puo essere usato per aiutare a differenziare le porte veramente aperte da quelle che sono filtrate. La sfida maggiore con l'UDP scan e la velocita. Le porte aperte e filtrate raramente inviano qualche risposta, lasciando Nmap in timeout e facendolo ritrasmettere per evitare il caso in cui il probe o la risposta siano andati perduti. Le porte chiuse sono spesso un problema ancora maggiore: esse generalmente rimandano un pacchetto ICMP "port unreachable error", ma a differenza dei pacchetti RST rimandati dalle porte chiuse TCP come risposta ad un SYN o connect scan, molti host limitano il tasso di invio di tali pacchetti di default. Linux e Solaris sono particolarmente restrittivi da questo punto di vista. Ad esempio, il kernel 2.4.20 limita i messaggi di "destination unreachable" a uno al secondo (definito in net/ipv4/icmp.c). Nmap si accorge di questi limiti sulla frequenza di invio e rallenta l'invio dei probe in maniera dinamica, per evitare di intasare la rete con pacchetti inutili che la macchina di destinazione ignorera comunque. Sfortunatamente, un limite come quello di Linux di un pacchetto al secondo rende una scansione su 65.535 porte di una durata teorica di piu di 18 ore. Suggerimenti per rendere piu veloce gli scan UDP sono quelli di effettuare scansioni su piu host in parallelo, fare uno scan veloce preliminare sulle porte piu usate, effettuare la scansione dall'interno del firewall ed infine usare l'opzione --host-timeout per evitare host troppo lenti nel rispondere. -sY (SCTP INIT scan) SCTP[5] e un'alternativa relativamente nuova rispetto ai protocolli TCP ed UDP, il quale combina molte delle caratteristiche di entrambi aggiungendo nuove funzionalita come il multi-homing e il multi-streaming. Principalmente Viene utilizzato per i servizi collegati ai protocolli SS7/SIGTRAN, ma potenzialmente puo essere utilizzato per altre applicazioni. Lo scan SCTP INIT scan e l'equivalente del TCP SYN scan: viene eseguito velocemente e scansiona migliaia di porte al secondo su una rete veloce non limitata da firewall restrittivi. Come il SYN scan, l'INIT scan e relativamente nascosto e poco invasivo, dato che non completa mai le connessioni SCTP. Consente inoltre una chiara ed affidabile differenziazione tra gli stati della porta open (aperta), closed (chiusa) e filtered (filtrata). Questa tecnica e conosciuta come "half-open" (semi-aperta), in quanto non si completata l'associazione SCTP. Viene inviato un INIT chunk, esattamente come se si volesse iniziare una reale associazione. Se si riceve un INIT-ACK chunk in risposta, significa che la porta e in ascolto (aperta), mentre se si riceve un ABORT chunk significa che la porta non e in ascolto (chiusa). Se non si riceve nessuna risposta dopo alcune ritrasmissioni, la porta viene marcata come filtered. La porta viene anche considerata filtrata se viene ricevuto un messaggio ICMP "unreachable error" (tipo 3, codice 1, 2, 3, 9, 10 o 13). -sN; -sF; -sX (TCP NULL, FIN, and Xmas scans) Queste tre tipologie di scansione (e molte altre sono possibili con l'opzione --scanflags descritta nella prossima sezione) sfruttano una piccola vulnerabilita nell'RFC del protocollo TCP[6] per distinguere tra le porte open (aperte) e closed (chiuse). A pagina 65 si dice che <>. La pagina successiva discute di pacchetti inviati a porte aperte senza i bit SYN, RST o ACK impostati, indicando che: <>. Quando si scansionano sistemi aderenti a questo testo RFC, qualunque pacchetto che non contenga i bit SYN, RST o ACK causera un RST di ritorno se la porta e chiusa e nessuna risposta se la porta e aperta. Finche nessuno di questi tre bit e incluso, qualunque combinazione degli altri tre bit (FIN, PSH, e URG) va bene. Nmap sfrutta tutto cio tramite questi tre tipi di scan: NULL scan (-sN) Non manda nessun bit (il TCP flag header e 0). FIN scan (-sF) Setta solo il bit FIN. Xmas scan (-sX) Setta i bit FIN, PSH e URG, accendendo il pacchetto come un albero di natale. Questi tre tipi di scan sono esattamente identici nel comportamento, ad eccezione delle attivazioni dei tre bit nei pacchetti TCP usati per la verifica delle porte. Se viene ricevuto un pacchetto RST, la porta e considerata closed, mentre l'assenza di risposta indica che la porta e open|filtered. La porta e marcata come filtered se viene ricevuto un pacchetto ICMP "unreachable" (tipo 3, codice 1, 2, 3, 9, 10 o 13). Il vantaggio sostanziale di questi tipi di scan e che possono penetrare in certi non-stateful firewall e packet filtering router. Un altro vantaggio e che questi tipi di scansione sono un po piu invisibili anche dei SYN scan. In ogni caso non e corretto fare cieco affidamento su questo, gran parte dei moderni prodotti IDS possono essere configurati in modo da rilevarli. Il grande svantaggio e che non tutti i sistemi seguono alla lettera la RFC 793. Un buon numero di sistemi manda risposte RST ai pacchetti di controllo indipendentemente dal fatto che le porte siano aperte o chiuse. Questo causa il fatto che tutte le porte appaiano come closed. I piu diffusi sistemi operativi che fanno questo sono Microsoft Windows, molti apparati Cisco, BSDI e IBM OS/400. Questo scan funziona applicato alla maggior parte dei sistemi UNIX. Un altro svantaggio di questi scan e che non riescono a distinguere tra le porte open e quelle filtered, dando come risposta open|filtered. -sA (TCP ACK scan) Questo scan e diverso dagli altri discussi finora dal momento che non serve per determinare se le porte sono open (o open|filtered). Viene usato per mappare le regole di firewalling determinando se sono stateful o no e quali porte sono filtrate. I pacchetti dell'ACK scan hanno soltanto il flag ACK abilitato (a meno che non si usi --scanflags). Mentre si scansionano sistemi non filtrati, sia le porte open che le porte closed manderanno pacchetti RST. Nmap poi le cataloga come unfiltered, nel senso che e possibile raggiungerle con un pacchetto ACK, ma che siano aperte o chiuse non e determinabile. Le porte che non rispondono, o mandano certi errori ICMP (tipo 3, codice 1, 2, 3, 9, 10 o 13), sono etichettate come filtered. -sW (TCP Window scan) Il window scan e esattamente la stessa cosa di ACK scan, ad eccezione del fatto che sfrutta un dettaglio di implementazione di certi sistemi per differenziare le porte aperte e quelle chiuse, invece di scrivere sempre unfiltered quando restituisce un RST. Lo fa esaminando il campo TCP Window del pacchetto RST che ritorna. In alcuni sistemi le porte aperte usano una grandezza della finestra positiva (anche per i pacchetti RST), mentre nelle porte chiuse la grandezza della finestra e zero. Quindi, invece di catalogare sempre le porte come unfiltered quando si riceve un RST di ritorno, il Window scan lista le porte come open o closed a seconda che il valore in quel RST (reset) sia, rispettivamente, positivo o pari a zero. Questo scan fa affidamento a un dettaglio implementativo di una minoranza di sistemi presenti in Internet, quindi cio non e sempre affidabile. Nei sistemi in cui questo dettaglio implementativo non sussiste, di norma lo scan segnalera tutte le porte closed. Ovviamente sara possibile che la macchina non abbia realmente nessuna porta aperta. Se la maggior parte delle porte e closed, ma alcune porte comuni (come la 22, la 25 o la 53) appaiono filtered, il sistema e quasi sicuramente suscettibile a questo tipo di scan. Occasionalmente, alcuni altri sistemi presenteranno un comportamento esattamente opposto. Se lo scan riporta 1.000 porte aperte e 3 chiuse o filtrate, allora quelle 3 saranno con ogni probabilita proprio quelle aperte. -sM (TCP Maimon scan) Il Maimon scan e stato nominato cosi in onore al suo scopritore, Uriel Maimon. Egli descrisse questa tecnica nell'articolo #49 della rivista Phrack (Novembre 1996). Nmap, che incluse questa tecnica, fu rilasciato due articoli dopo. Questa tecnica esattamente uguale ai NULL, FIN e Xmas scan, ad eccezione del fatto che i pacchetti di scansione sono FIN/ACK. In accordo con la RFC 793[6] (TCP), un pacchetto RST dovrebbe essere generato in risposta a tale stimolo. Ad ogni modo, Uriel noto che in molti sistemi derivati da BSD il pacchetto veniva scartato se la porta era aperta. --scanflags (Custom TCP scan) Gli utilizzatori molto avanzati di Nmap hanno necessita di non limitarsi semplicemente ad utilizzare le scansioni tipiche offerte. L'opzione --scanflags consente di designare una scansione personalizzata specificando arbitrariamente i flag TCP necessari. Liberate la vostra inventiva, ed evitate cosi che i vendor di Intrusion Detection Systems trovino nuove regole da aggiungere ai loro sistemi semplicemente sfogliando la "Man Page" di Nmap! I parametri dell'opzione --scanflags possono essere un valore numerico indicante i flag TCP, come ad esempio 9 (PSH e FIN) anche se l'utilizzo di nomi simbolici risulta comunque piu semplice. Basta mettere creare una qualsiasi combinazione di URG, ACK, PSH, RST, SYN e FIN. Per esempio, --scanflags URGACKPSHRSTSYNFIN imposta tutti i flag, anche se non risulta molto utile al fine della scansione. L'ordine con cui vengono specificati non e rilevante. Oltre allo specificare i flag desiderati, e possibile indicare un tipo di scansione TCP (come -sA o -sF). Questo specifica come Nmap deve interpretare le risposte. Per esempio, un SYN scan considera la mancanza di risposta come una porta filtered, mentre un FIN scan interpreta lo stesso comportamento per identificare una porta open|filtered. Nmap si comportera nello stesso modo che per la scansione normale, tranne che per il fatto di interpretare i flag TCP che sono stati specificati. Se non viene indicato un diverso tipo di scansione, viene automaticamente utilizzata la SYN scan. -sZ (SCTP COOKIE ECHO scan) L'SCTP COOKIE ECHO e piu avanzato rispetto all'SCTP scan. Sfrutta il fatto che le implementazioni SCTP dovrebbero lasciar cadere (drop) in modo trasparente i pacchetti che contengono dei COOKIE ECHO chunk sulle porte aperte ed inviare un ABORT se la porta e chiusa. Il vantaggio di questo tipo di scansione sta nel fatto che e meno rilevabile rispetto all'INIT scan. Inoltre, ci possono essere firewall che utilizzano regole non-stateful che bloccano gli INIT chunk, ma non i COOKIE ECHO chunk. Non illudersi pero che quest'opzione renda un port scan invisibile; un buon IDS riesce ad individuare anche le scansioni SCTP COOKIE ECHO. Lo svantaggio e che le scansioni SCTP COOKIE ECHO non differenziano le porte tra open e filtered lasciando come stato open|filtered in entrambi i casi. -sI [:] (idle scan) Questo metodo di scansione avanzato permette di effettuare una scansione TCP completamente invisibile dell'obiettivo (ovvero nessun pacchetto viene inviato dall'indirizzo IP reale da cui si sta effettuando la scansione.) Viene diversamente utilizzato un unico attacco parallelo che utilizza la predicibilita dell'ID relativo alla sequenza di frammentazione generato dallo zombie host per ottenere informazioni sulle porte aperte dell'obiettivo. I sistemi IDS interpreteranno la scansione come se provenisse dalla macchina zombie specificata (che deve essere attiva e rispondere a certi criteri). Tutti i dettagli su questa affascinante tecnica di scansione si trovano al seguente link << TCP Idle Scan (-sI)[7]>>. Oltre che essere straordinariamente nascosto (grazie alla sua natura "invisibile"), questo tipo di scansione permette di creare una mappa indicante le relazioni tra le macchine da un punto di vista dell'indirizzo IP. I risultati dalla scansione mostrano le porte aperte dalla prospettiva dell'indirizzo IP della macchina zombie. Risulta cosi possibile effettuare scansioni utilizzando diversi zombie che si ritiene possano attraversare router o sistemi con packet filter. E possibile aggiungere i due punti (:) seguiti dal numero di porta per l'host zombie, se si vuole sondare una particolare porta per vedere i cambiamenti nell'IP ID. Diversamente Nmap utilizzera the porta che utilizza di default per i ping TCP (80). -sO (IP protocol scan) L'IP protocol scan permette di determinare che protocolli IP (TCP, ICMP, IGMP, ecc.) sono supportati dalle macchine obiettivo. Non e tecnicamente un port scan, dato che utilizza i numeri indicanti il protocollo IP e non i numeri di porta TCP o UDP. Utilizza comunque ancora l'opzione -p per scegliere il protocollo da scansionare, riporta i risultati nel normale formato della tabella delle porte ed utilizza lo stesso engine sottostante al port scanning reale. Per questo motivo e profondamente analogo ad un port scan e viene trattato in questa sezione. Oltre che essere intrinsecamente utile, il protocol scan dimostra la potenza del software open-source. Per quanto l'idea fondamentale e abbastanza semplice, non immaginavo di aggiungerla fino a quando non avessi ricevuto richieste per questa funzionalita. Nell'estate del 2000, Gerhard Rieger concepi l'idea e scrisse un'eccellente patch che la implementasse, spedendola poi alla mailing list nmap-hackers. Io incorporai questa patch in Nmap e ne rilasciai una nuova versione il giorno seguente. Alcuni software commerciali ebbero clienti talmente soddisfatti da contribuire allo sviluppo di questa tecnica con i loro miglioramenti! Il protocol scan funziona in modo simile all'UDP scan solo che invece di agire sul campo "port number" del pacchetto UDP, invia degli header di pacchetto IP e agisce sul campo di 8 bit relativo al protocollo. Questi headers sono tipicamente vuoti, non contengo dati e nemmeno l'header proprietario del protocollo dichiarato, ad eccezione di TCP, UDP, ICMP, SCTP e IGMP. Un header valido per queste eccezioni viene incluso perche, diversamente, alcuni sistemi non li invierebbero e perche Nmap e gia provvisto di funzioni per crearli. Invece che cercare un messaggio ICMP "port unreachable", il protocol scan e alla ricerca di un messaggio ICMP "protocol unreachable". Se Nmap riceve una qualunque risposta di qualunque protocollo dall'host scansionato, Nmap indica tale protocollo come open. Un errore ICMP "protocol unreachable" (tipo 3, codice 2) fa si che il protocollo sia indicato come closed. Altri errori ICMP "unreachable" (tipo 3, codice 1, 3, 9, 10 o 13) fanno classificare il protocollo come filtered (denotando, contestualmente, che il protocollo ICMP e open). Se non viene ricevuta alcuna risposta, il protocollo e identificato come open|filtered. -b (FTP bounce scan) Un'interessante caratteristica del protocollo FTP (RFC 959[8]) e il supporto per le cosiddette "proxy FTP connections". Questa permette all'utente di connettersi ad un server FTP e richiedere che il file sia inviato ad un server FTP differente. Tale caratteristica si presta per varie tipologie di abuso, cosicche molti server hanno smesso di supportarla. Uno degli abusi nell'utilizzo di questa peculiarita e la possibilita di far effettuare al server FTP un port scan verso altri host, basta semplicemente richiedere al server FTP di inviare un file ad ognuna delle porte che vogliamo scansionare. Il messaggio di errore ci permettera di dedurre se la porta e aperta o meno. Questo e un ottimo modo per aggirare i firewall in quanto i server FTP aziendali sono spesso posizionati nella rete cosi da poter accedere a piu host interni di quanto sia possibile fare da Internet. Nmap supporta l'FTP bounce scan attraverso l'opzione -b. I parametri per tale opzione devono rispettare il formato: username:password@server:port dove Server e l'hostname o l'indirizzo IP di un server FTP vulnerabile a questo attacco. Come in una URL normale, e possibile omettere username:password, ed in tal caso verranno utilizzate credenziali anonime (user: anonymous password:-wwwuser@). Il numero di porta (ed i due punti che lo precedono) possono essere altresi omessi, in tal caso verro utilizzata la porta FTP di default (21) per la connessione al server. Questa vulnerabilita e stata diffusa nel 1997 quando Nmap e stato rilasciato, ma e stata risolta su gran parte dei sistemi. Esistono alcuni server ancora vulnerabili, ed ha senso provare ad utilizzarla quando ogni altra cosa fallisce. Se l'obiettivo e oltrepassare un firewall, e necessario effettuare una scansione sulla rete cercando di trovare la porta 21 aperta (o anche cercando un servizio FTP su di una qualsiasi porta, utilizzando la version detection) e provare quindi lo script NSE ftp-bounce. Nmap sara in grado di evidenziare se un host e vulnerabile o meno a questa tecnica. Se si sta cercando semplicemente di nascondere le proprie tracce, non vi e bisogno (e di fatto non si dovrebbe) di limitare la scansione alla rete che realmente ci interessa. Prima di iniziare ad effettuare scansioni su indirizzi Internet casuali per trovare server FTP vulnerabili e bene tenere presente che gli amministratori di sistema potrebbero non apprezzare che i loro server siano soggetti a tali abusi. PORT SPECIFICATION E SCAN ORDER Oltre a tutti i metodi discussi in precedenza, Nmap offre la possibilita di specificare quali porte devono essere scansionate e se l'ordine delle porte deve essere casuale oppure sequenziale. Di default Nmap effettua la scansione delle 1.000 porte piu comuni per ogni protocollo. -p (Only scan specified ports) Questa opzione permette di ignorare le impostazioni di default e di specificare quali porte si vogliono scansionare. E possibile indicare i singoli numeri delle porte, cosi come gli intervalli, separati da un trattino (ad esempio 1-1023). Il primo e/o l'ultimo valore di un intervallo possono essere omessi, facendo si che Nmap utilizzi rispettivamente 1 e 65535 come limiti. E quindi possibile utilizzare l'opzione -p- per effettuare la scansione delle porte da 1 a 65535. E possibile effettuare scansioni sulla porta zero se viene espressamente specificato. Nel caso di un IP protocol scan (-sO), questa opzione indica il numero del protocollo che si desidera scansionare (0-255). Quando si effettua una scansione combinata di protocolli (ad esempio TCP e UDP), e possibile specificare un protocollo particolare anteponendo al numero di porta T: per TCP, U: per UDP, S: per SCTP o P: per IP Protocol. Tale indicazione risulta valida sino a che non ne viene indicata un'altra. Per esempio, l'opzione -p U:53,111,137,T:21-25,80,139,8080 effettua una scansione UDP delle porte 53, 111 e 137, lo stesso per le porte TCP. Si noti che per effettuare una scansione su entrambi i protocolli UDP e TCP, e necessario specificare l'opzione -sU e almeno un metodo di TCP scan (come -sS, -sF o -sT). Se non viene indicato nulla, i numeri di porta vengono aggiunti a tutte le liste dei protocolli. Le porte possono anche essere indicate tramite il loro nome, cosi come sono indicate nell'nmap-services. Si possono anche utilizzare i caratteri speciali * e ? con i nomi. Ad esempio, per scansionare l'FTP e tutte le porte il cui nome inizia con "http", si puo usare -p ftp,http*. Si raccomanda di prestare attenzione alla "shell expansions" e di racchiudere tra apici (quote) l'argomento di -p se non si e sicuri. I range di porte possono essere racchiusi da parentesi quadre per indicare le porte all'interno di quel range che appare in nmap-services. Ad esempio, cio che segue eseguira la scansione di tutte le porte in nmap-services uguali o minori di 1024: -p [-1024]. Si raccomanda di prestare attenzione alla "shell expansions" e di racchiudere tra apici (quote) l'argomento di -p se non si e sicuri. --exclude-ports (Exclude the specified ports from scanning) Quest'opzione specifica quali porte Nmap deve escludere dalla scansione. I port ranges devono essere specificati in modo simile a -p. Per le scansioni IP protocol (-sO), questa opzione specifica il numero di protocolli che si vuole escludere (0-255). Quando si richiede di escludere le porte, queste vengono escluse da tutti i tipi di scansione. Cio include anche la fase di discovery. -F (Fast (limited port) scan) Indica che si intende effettuare la scansione di un minor numero di porte rispetto al default. Normalmente Nmap scansione le 1.000 porte piu comuni per ogni protocollo scansionato. Con l'opzione -F il numero si riduce a 100. Nmap ha bisogno del file nmap-services che contiene le informazioni di frequenza, in modo da sapere quali sono le porte piu comuni (vedi <> per maggiori informazioni sulle "port frequencies"). Se la "port frequency information" non e disponibile, forse perche si sta utilizzando un file nmap-services personalizzato, Nmap scansiona tutte le porte nominate piu le porte nell'intervallo 1-1024. In questo caso, l'opzione -F indica di scansionare solo le porte che sono presenti nel file nmap-services. -r (Don't randomize ports) Di default, Nmap effettua la scansione delle porte in ordine casuale (tranne che per alcune porte comuni che vengono controllate per prime per motivi di efficienza). La scansione delle porte in ordine casuale e tipicamente un vantaggio, ma e possibile utilizzare l'opzione -r cosi da effettuare i controlli in ordine sequenziale crescente. --port-ratio Scansiona tutte le porte presenti nel file nmap-services con un rapporto maggiore di quello indicato. ratio deve essere compreso tra 0.0 e 1.1. --top-ports Scansiona le n porte presenti nel file nmap-services con il maggior rapporto, dopo aver escluso tutte le porte indicate in --exclude-ports. n deve essere maggiore o uguale a 1. SERVICE E VERSION DETECTION Utilizzando Nmap e dirigendo la scansione su una macchina remota e possibile scoprire che le porte 25/tcp, 80/tcp e 53/udp sono aperte. Utilizzando il suo database di circa 2.200 servizi noti, contenuto nel file nmap-services, Nmap probabilmente sara in grado di indicare che ti tratta rispettivamente di un mail server (SMTP), di un web server (HTTP) e di un name server (DNS). Tale riconoscimento e solitamente accurato - la maggior parte dei demoni in ascolto sulla porta 25 sono, in effetti, mail server. Non e comunque opportuno fidarsi ciecamente di tali indicazioni! E infatti possibile erogare servizi su porte non convenzionali. Anche se le indicazioni di Nmap sono corrette, e gli ipotetici server sopracitati sono effettivamente SMTP, HTTP e DNS, queste informazioni non sono esaustive. Quando si eseguono dei "vulnerability assessments" (o anche semplicemente un inventario della rete) della vostra societa o di clienti, e interessante sapere esattamente di che mail e DNS server si tratta e quale versione e in uso. Conoscere accuratamente la versione del software e di fondamentale importanza per determinare a quali exploits e vulnerabile il server. Version detection e di grande aiuto nel ricercare queste informazioni. Al momento dell'identificazione delle porte TCP e/o UDP da parte di uno dei vari metodi di scansione, il version detection interroga queste porte per rilevare ulteriori dati sui servizi erogati. Il database contenuto nel file nmap-service-probes contiene istruzioni per interrogare i vari servizi e per interpretarne le risposte. Nmap cerca quindi di determinare di che servizio si tratta (ad esempio FTP, SSH, Telnet, HTTP), il nome dell'applicazione (ad esempio ISC BIND, Apache httpd, Solaris telnetd), la versione, l'hostname, il tipo di device (ad esempio stampante, router), la famiglia del sistema operativo (ad esempio Windows, Linux). Quando possibile Nmap restituisce anche la rappresentazione CPE ("Common Platform Enumeration") di questa informazione. Alle volte sono disponibili altri dettagli come l'apertura di un X server alle connessioni, la versione del protocollo SSH o l'utenza utilizzata da KaZaA. Ovviamente la maggior parte dei servizi non rilasciano tutte queste informazioni. Se Nmap viene compilato con il supporto per OpenSSL, sara in grado di connettersi ai server SSL per dedurre quale tipo di servizio viene offerto dietro al suo "encryption layer". Alcune delle porte UDP vengono indicate come open|filtered se un UDP port scan non e in grado di determinare con precisione se la porta e open o filtered. Il version detection cerchera di ottenere una risposta da queste porte (esattamente come per le porte aperte), e modifichera lo stato in open se ci riuscira. Le porte TCP open|filtered vengono trattate nello stesso modo. Bisogna tener presente che l'opzione -A abilita, fra le varie cose, il version detection. Il version detection viene descritto nel dettaglio in Chapter 7, Service and Application Version Detection[10]. Quando i servizi RPC vengono identificati, Nmap e in grado di raffinare quanto rilevato cosi da riconoscere versione e nome del servizio RPC. Inonda tutta le porte TCP/UDP rilevate come RPC con dei comandi NULL del programma SunRPC con lo scopo di determinare se sono effettivamente porte RPC e, nel caso, il programma e la versione che sono in esecuzione. Quindi si possono effettivamente ottenere le stesse informazioni del comando rpcinfo -p anche se il portmapper dell'obiettivo e dietro un firewall (o protetto da TCP wrappers). I decoy attualmente non funzionano con l'RPC scan. Quando Nmap riceve delle risposte da un servizio ma non e in grado di trovarne un'interpretazione nel suo database, visualizza una particolare "fingerprint" e una URL per permettere di inviare quanto rilevato nel caso si conosca a priori che cosa sta effettivamente girando su quella porta. E importante perdere qualche minuto per effettuare l'invio di questi dati quando possibile perche cosi facendo chiunque in futuro potra beneficiare dei dati raccolti e riconoscere anche questo servizio. Grazie a questo sistema Nmap e in grado di identificare circa 6.500 differenti varianti per piu di 650 protocolli come SMTP, FTP, HTTP, ecc. Version detection viene attivato e controllato dalle seguenti opzioni: -sV (Version detection) Abilita il version detection, come precedentemente illustrato. In alternativa, e possibile utilizzare l'opzione -A che attiva il version detection, tra le altre cose. -sR e un alias -sV. Fino a Marzo 2011 era usata per attivare l'RPC separatamente dal version detection, ma ora queste opzioni sono sempre combinate. --allports (Don't exclude any ports from version detection) Normalmente, il version detection di Nmap non invia pacchetti alla porta TCP 9100 poiche alcune stampanti accettano e stampano direttamente qualunque dato ricevuto su questa porta. Se tale porta fosse sottoposta a scansione, verrebbero stampate decine di pagine contenenti richieste HTTP GET puri, dati binari di sessioni SSL e via discorrendo. E possibile cambiare il comportamento del version detection di Nmap con la modifica o la rimozione della direttiva Exclude nel file nmap-service-probes oppure specificando l'opzione --allports, cosi da effettuare la scansione di tutte le porte, indipendentemente da quanto indicato nella direttiva Exclude. --version-intensity (Set version scan intensity) Quando si effettua un version scan (-sV), Nmap invia una serie di probe, ognuno dei quali ha assegnato un valore compreso tra 1 e 9. I pacchetti con valore piu basso sono in grado di riconoscere i servizi comunemente diffusi, mentre quelli con valori piu alti sono raramente necessari. Il livello di accuratezza specifica quali probe devono essere impiegati; piu alto e il livello, piu e probabile che il servizio venga correttamente identificato. D'altro canto, piu una scansione e accurata e piu tempo sara necessario. I valori devono essere compresi tra 0 e 9; il valore di default e 7. Quando viene assegnato direttamente un probe ad una porta utilizzando la direttiva ports nel file nmap-service-probes, esso viene utilizzato indipendentemente dal valore indicato per l'accuratezza del version scan. Questo garantisce, per esempio, che ogni volta che viene trovata la porta 53 aperta vengano effettuati i controlli specifici per il DNS; cosi come in caso di porta 443 vengano invece utilizzati quelli per l'SSL e cosi via. --version-light (Enable light mode) Questa opzione e un alias di --version-intensity 2. Questa modalita rende il version scanning drasticamente piu veloce, riducendone pero la capacita di identificare accuratamente i servizi. --version-all (Try every single probe) Questa opzione e equivalente a --version-intensity 9, assicurando che ogni singolo probe venga utilizzato su ogni singola porta. --version-trace (Trace version scan activity) Indica a Nmap di visualizzare informazioni di debug estese relative all'attivita del version scanning. E un subset di quanto si ottiene con l'opzione --packet-trace. OS DETECTION Una delle piu famose caratteristiche di Nmap e la possibilita di identificare da remoto il sistema operativo di un host attraverso il fingerprint dello stack TCP/IP. Nmap invia una serie di pacchetti TCP ed UDP all'host remoto ed esamina ogni bit ricevuto in risposta. Dopo aver effettuato decine di test come "il TCP ISN sampling", il "TCP option support and ordering", il "IP ID Sampling" ed il controllo del window size iniziale, Nmap compara i risultati con il suo database (nmap-os-db) contenente piu di 2.600 fingerprint conosciuti e ne visualizza i dettagli se ne trova riscontro. Ogni fingerprint comprende una descrizione del sistema operativo ed una classificazione che indica il vendor (per esempio Sun), il sistema operativo (per esempio Solaris), la versione (per esempio 10) ed il tipo di device (per esempio "general purpose", router, switch, game console, ecc). Molti fingerprint hanno anche la rappresentazione CPE (Common Platform Enumeration), come ad esempio cpe:/o:linux:linux_kernel:2.6. Se Nmap non e in grado di indovinare il sistema operativo di una macchina e le condizioni sono propizie (ad esempio una porta trovata aperta ed una trovata chiusa), Nmap fornira una URL che potra essere utilizzata per inviare il fingerprint (nel solo caso che si conosca con certezza il sistema operativo dell'host in questione). Inviando questi fingerprint e possibile contribuire ad ampliare la gamma di sistemi operativi conosciuti da Nmap, cosi da renderlo piu accurato per tutti. L'OS detection abilita diversi altri test che utilizzano le informazioni che sono state ottenute durante questo processo. Un di questi e il "TCP Sequence Predictability Classification". Questo test misura approssimativamente quanto e difficile stabilire una "forged TCP connection" verso l'host remoto. E utile per sfruttare exploit basati sul controllo del source-IP (rlogin, filtri firewall, ecc.) o per nascondere la sorgente di un attacco. Questo tipo di spoofing viene raramente eseguito, ma molte macchine sono ancora vulnerabili ad esso. Il valore che indica la difficolta e basato su campionamenti statistici e puo variare. Generalmente e preferibile utilizzare la classificazione verbale, come <> o <>, che viene riportata solo nel normale output in modalita "verbose" (-v). Quando questa modalita e abilitata insieme all'opzione -O, viene anche riportata la sequenza di generazione dell'IP ID. La maggior parte delle macchine e nella classe <>, il che significa che incrementano il campo ID dell'header IP per ogni pacchetto inviato. Cio le rende vulnerabili a diversi attacchi avanzati di spoofing ed "information gathering". Altre informazioni extra abilitate dall'OS detection riguardano il tempo di attivita (uptime) dell'obiettivo. Sfruttando l'opzione TCP timestamp (RFC 1323[11]) cerca di indovinare quando una macchina ha effettuato l'ultimo reboot. Quest'informazione puo non essere affidabile, in quanto il contatore del timestamp potrebbe non venire inizializzato a zero+ oppure andare in overflow ed essere troncato, quindi e riportato solo nella modalita "verbose". L'OS detection viene trattato nel dettaglio in Chapter 8, Remote OS Detection[12]. OS detection viene attivato e controllato dalle le seguenti opzioni: -O (Enable OS detection) Abilita l'OS detection, come descritto sopra. In alternativa, e possibile utilizzare l'opzione -A per attivare sia l'OS detection, tra le altre cose. --osscan-limit (Limit OS detection to promising targets) L'OS detection e molto piu efficace se vengono rilevate almeno una porta TCP aperta ed una chiusa. Utilizzando questa opzione Nmap non cerchera di effettuare l'OS detection sugli host che non rispondo a questo criterio. E cosi possibile un sensibile risparmio di tempo, specialmente se si utilizza anche l'opzione -Pn su molti host. E importante unicamente quando l'OS detection e richiesto attraverso le opzioni -O o -A. --osscan-guess; --fuzzy (Guess OS detection results) Quando Nmap non e in grado di rilevare una corrispondenza esatta dell'OS, propone come possibilita gli OS piu vicini alla rilevazione. La corrispondenza pero deve essere molto simile perche Nmap lo faccia di default. Entrambe queste opzioni (equivalenti) fanno si che Nmap proceda con il riconoscimento dell'OS in modo piu aggressivo. Nmap fara comunque presente quando corrispondenze non perfette vengono mostrate e per ognuna ne indichera il livello di approssimazione (in percentuale). --max-os-tries(Set the maximum number of OS detection tries against a target) Quando Nmap esegue un OS detection su di un obiettivo e non riesce a trovare una corrispondenza perfetta, solitamente ripete il tentativo. Di default, Nmap prova cinque volte, se le condizioni sono favorevoli per l'invio del fingerprint, e due volte se invece non lo sono. Specificando un valore piu piccolo (ad esempio 1) nell'opzione --max-os-tries, si aumentano le performance di Nmap a discapito di una potenziale identificazione del sistema operativo. Per contro, un valore piu alto permette piu tentativi, se le condizioni sono favorevoli. Questo raramente avviene, se non per creare migliori fingerprint da integrare nel database di Nmap. NMAP SCRIPTING ENGINE (NSE) L'Nmap Scripting Engine (NSE) e una delle feature piu potenti e flessibili di Nmap. Permette agli utenti di scrivere (e condividere) semplici script (utilizzando il linguaggio di programmazione Lua[13]) per automatizzare un gran varieta di networking task. Questi script vengono eseguito in parallelo con la velocita e l'efficienza che ci si aspetta da Nmap. Gli utenti possono fare affidamento sui crescenti e diversi set di script distribuiti da Nmap, oppure scriverli loro stessi in base alle proprie necessita. I task che abbiamo preso in considerazione quando abbiamo creato il sistema includono il network discovery, version detection piu sofisticate, il vulnerability detection. NSE puo anche essere usato per la vulnerability exploitation. Per riflettere i differenti usi e semplificare la scelta di quale utilizzare, ogni script contiene un campo associato con una o piu categorie. Attualmente le categorie definite sono auth, broadcast, default, discovery, dos, exploit, external, fuzzer, intrusive, malware, safe, version e vuln. Queste sono tutte descritte nella sezione <