Utilizando o canivete suo

-sS

-sT

TCP SYN scan: Tcnica conhecida como half-open, no abre uma

conexo TCP completa. enviado um pacote SYN, como se ele fosse uma
conexo real e aguarda uma resposta. Caso um pacote SYN-ACK seja recebido, a
porta est aberta, enquanto um como resposta indica que a porta est fechada.

TCP connect() scan: TCP scanning. Utilizaremos a chamada de sistema

(system call) connect() que envia um sinal as portas ativas.
Caso a porta esteja aberta recebe como resposta connect().

-sR

-sU

RCP scan: Trabalha em conjunto com outras tcnicas. considera todas

as portas TCP e UDP abertas e envia comandos NULL SunRPC,
para determinar se realmente so portas RPC. como se o comando rpcinfo
-p estivesse sendo utilizado, mesmo atravs de um firewall.

UDP scan: Aqui determinaremos qual porta UDP est aberta em um host.
A tcnica consiste em enviar um pacote UDP de 0 byte para cada porta
do host. Se for recebido uma mensagem ICMP port unreachable ento a porta
est fechada, seno a porta pode estar aberta.

-sV

-sP

Version detection: Aps as portas TCP e/ou UDP serem

descobertas por algum dos mtodos, iremos determinar qual o
servio est rodando atualmente.

Ping scan: Apenas para saber se um determinado host ou rede est

no ar. Poderemos enviar pacotes ICMP echo request para verificar se
determinado host ou rede est ativa. Hoje em dia, existem muitos filtros que
rejeitam os pacotes ICMP echo request, ento envia um pacote TCP ACK para
a porta 80 (default) e caso receba RST o alvo est ativo.

Varredura de rede com nmap

# nmap -O -v 10.0.0.1-250

O nmap vai varrer todas as mquinas com endereos de 10.0.0.1 a 10.0.0.254,

identificar que portas esto abertas, seu estado e, apresentar o sistema
operacional provvel.

Comandos
Ping Sweeping
nmap -sP 192.168.0.1-254
O nmap envia ICMP Echo Request e TCP ACK para os hosts que

esto sendo scaneado (1 - 254). O host que responder ser

considerado pelo nmap como ativo.
nmap sP PT80 192.168.0.24/24
As vezes ping (ICMP) so bloqueados pelos roteadores/firewall,
ento para evitar isso podese
usar a opo de enviar somente um ACK. O host que responder
ser considerado pelo nmap
como ativo.

TCP Scan
nmap sT 192.168.0.24
Faz uma scan (varredura) a procura de portas TCP abertas.

Esse mtodo facilmente detectado pela vitima.

UDP Scanning
nmap sU 192.168.0.1
Esse mtodo bastante usado para procurar brechas em
portas abertas UDP tais como
rpcinfo e Back Orifice. Um fator negativo dessa opo a
morosidade para obter as
informaes devido a maioria das maquinas Unix limitar o
faixa de erros ICMP. Portanto,
ao detectar esse faixa limite o prprio nmap diminui o
envio de pacotes para no causar um overflow na vitima.

 Stealth Scanning
nmap sS O target.com
scaneia (varredura) por portas abertas com opo (-O) OS

fingerprinting.
nmap sS p 21-25,80,135-139,443 192.168.0.24
Scaneia portas especificadas com a opo -p. O nmap apresenta
um resultado rpido quando se determina as portas desejadas
para o scan.
* Esses so mtodos usados de TCP SYN e proporciona um
nvel menor de deteco devido ao 3 way handshake nunca se
finaliza por completo.
O mtodo consiste no envio de pacote SYN o qual representa o
primeiro passo do processo de 3 way handshake.
As porta que estiverem abertas respondero com um pacote de
SYN|ACK Porem,o atacante retorna um pacote de RST ao invs
de ACK, o qual termina a conexo.
Com isso o nmap consegue determinar as portas que esto
ouvindo.

 OS Fingerprinting
nmap sS O target.com Essa opo (-O) de

fingerprinting bastante til para aqueles que

esto familiarizados com um sistema especifico e
seus bugs.
Executando o nmap com essa opo de
fingerprinting, o mesmo tenta descobrir o sistema
operacional do servidor da vitima que esta
rodando.
De posse do nome e verso do S.O. da vitima, fica
fcil para o atacante procurar por bugs e outras
ferramentas para completar o attack.

 Ident Scanning
nmap -sT -p 80 -I -O target.com
O atacante pode procurar por um processo especifico;

por exemplo, um servidor web rodando com privilegio

root.
Se a vitima estiver rodando identd, o atacante usando o
nmap ser capaz de descobrir o dono do http daemon
com a opo "-I".

 Outras Opes
nmap -p 25,53 -sX -P0 -D 1.2.3.4,5.6.7.8 192.168.0.100 # 1.2.3.4

5.6.7.8 forjando um falso source IP

nmap v target.com # scaneia todas portas reservadas de TCP ***
-v = verbose on
nmap v --randomize_hosts p 80 *.*.2.3-5 # scaneia
randomicamente por especfica faixa de IP
nmap F target.com/24 # executa tcp scan
nmap P0 192.168.[12-30].* # procura por hosts ativos das classes
adjacentes.
nmap P0 192.168.0-50.0-255 # mesma opo usada no item
anterior porem sem usar apostrofes.

Consultas de hora e mscara de

sub-rede com ICMP
Varreduras de ping so apenas um dos recursos para

obteno de informaes sobre a rede. Um programa

chamado icmpquery (http://www.securityfocus.com) capaz
de solicitar a hora do servidor e a mscara de sub-rede
baseado em mensagens do protocolo ICMP
icmpquery -t <endereo IP ou nome do alvo>
ou
icmpquery -m <endereo IP ou nome do alvo>