Nmap Cookbook The Fat-Free Guide To Network Scanning

Machine Translated by Google
Livro de receitas do Nmap®
O guia sem gordura para digitalização em rede

2
Livro de receitas do Nmap®
O guia livre de gordura para digitalização em rede
Copyright © 2010 Nicholas Marsh Todos

os direitos reservados.
ISBN: 1449902529
EAN-13: 9781449902520
www.NmapCookbook.com
BSD® é uma marca registrada da University of California, Berkeley CentOS é

propriedade da CentOS Ltd.
Debian® é uma marca registrada da Software in the Public Interest, Inc. Fedora® é
uma marca registrada da Red Hat, Inc.
FreeBSD® é uma marca registrada da The FreeBSD Foundation Gentoo®
é uma marca registrada da The Gentoo Foundation Linux® é uma marca
registrada de Linus Torvalds Mac OS X® é uma marca registrada da
Apple, Inc.
Windows® é uma marca registrada da Microsoft Corporation Nmap® é
uma marca registrada da Insecure.Com LLC Red Hat® é uma marca
registrada da Red Hat, Inc.
Ubuntu® é uma marca registrada da Canonical Ltd.
UNIX® é uma marca registrada do The Open Group
Todas as outras marcas comerciais usadas neste livro são de propriedade de seus respectivos
proprietários. O uso de qualquer marca registrada neste livro não constitui uma afiliação ou endosso
do detentor da marca registrada.
Todas as informações neste livro são apresentadas "como estão". Nenhuma garantia é fornecida
e o autor e/ou editor não será responsabilizado por qualquer perda ou dano.
3
4
Resumo do conteúdo
Introdução................................................. .........................................15
Seção 1: Instalando o Nmap.......................................... ......................19
Seção 2: Técnicas Básicas de Escaneamento.......................................... ......33
Seção 3: Opções de descoberta.............................. ................45
Seção 4: Opções avançadas de digitalização.......................................... ....65
Seção 5: Opções de Varredura de Porta............................... ............79
Seção 6: Sistema Operacional e Detecção de Serviço..........................89
Seção 7: Opções de tempo ....................................... .........................97
Seção 8: Fugindo de firewalls.......................................... ................115
Seção 9: Opções de saída.................................. ...................127
Seção 10: Solução de problemas e depuração..............................135
Seção 11: Zenmap.............................................. ......................147 Seção 12: Nmap
Scripting Engine (NSE)......... .............................161
Seção 13: Ndiff .............................................. ................................171
Seção 14: Dicas e truques.......................................... ......................177
Apêndice A - Folha de dicas do Nmap............................... ...........187
Apêndice B - Estados da porta Nmap............................... .............191
Apêndice C - Referência Cruzada CIDR ....................................... .......193
Apêndice D - Portas TCP/IP Comuns.............................. ........195
5
6
Índice
Introdução................................................. .........................................15
Convenções utilizadas neste livro............................................. ................18
Seção 1: Instalando o Nmap.......................................... ......................19

Visão geral da instalação ....................................... ............................20
Instalando o Nmap no Windows.............................................. ................21
Instalando o Nmap em sistemas Unix e Linux.............................25
Instalando pacotes pré-compilados para Linux..............................25 Compilando

o Nmap a partir do código-fonte para Unix e Linux ............26 Instalando o Nmap
no Mac OS X........... ................................................ ...29
Seção 2: Técnicas Básicas de Escaneamento.......................................... ......33
Visão geral básica da digitalização.............................................. ......................34
Escanear um Único Alvo.............................................. ................................35
Digitalizar vários alvos.............................................. .............................36
Analisar um intervalo de endereços IP............................... .........................37

Varredura de uma sub-rede inteira........................................... .............................38
Analisar uma lista de alvos.................................. ................................39
Escanear Alvos Aleatórios............................................. .............................40
Excluir Alvos de uma Varredura.......................................... .........................41
Excluir destinos usando uma lista ....................................... ......................42
Executar uma verificação agressiva........................................... ......................43
Verificar um destino IPv6............................... ................................44
Seção 3: Opções de descoberta.............................. ................45
Visão geral das opções de descoberta........................................... ................46
Não pingue .............................................. .........................................47
Varredura somente de ping.............................................. ......................................48
TCP SYN Ping ....................................... .........................................49
Ping de ACK TCP............................... .........................................50
Ping UDP ...................................... .............................................51
SCTP INIT Ping ....................................... ......................................52

7
Ping de eco ICMP........................................... ......................................... 53
Ping de carimbo de data/hora ICMP .............................. ......................... 54
Ping de máscara de endereço ICMP .............................. ...................... 55
Ping do Protocolo IP .............................................. ......................................... 56
Ping ARP ................................................. ......................................... 57
Traceroute ................................................. ......................................... 58
Forçar resolução reversa de DNS........................................... ................ 59
Desabilitar resolução de DNS reversa........................................... ............. 60
Método alternativo de pesquisa de DNS............................... ............ 61
Especificar manualmente o(s) servidor(es) DNS ...................................... ................ 62
Criar uma lista de hosts.............................................. ......................................... 63
Seção 4: Opções avançadas de digitalização.......................................... ....65
Visão geral das funções avançadas de digitalização.............................. 66
Varredura TCP SYN ....................................... ......................................... 67
Varredura de Conexão TCP............................................ ................................ 68
Escaneamento UDP ....................................... ......................................... 69
Varredura TCP NULL.............................................. ......................................... 70
Varredura TCP FIN............................................. ......................................... 71
Varredura de Natal.............................................. ......................................... 72
Varredura TCP personalizada ....................................... ......................................... 73
Varredura TCP ACK.............................................. ......................................... 74
Varredura de protocolo IP.............................................. ......................................... 75
Enviar pacotes Ethernet brutos............................................ ................... 76
Enviar pacotes IP.............................................. ......................................... 77
Seção 5: Opções de Varredura de Porta............................... ............79
Visão Geral das Opções de Varredura de Porta.............................. ............ 80
Executar uma verificação rápida.............................................. ................................ 81
Varrer portas específicas.............................................. ................................ 82
Escanear portas por nome.............................................. ................................ 83
Varredura de portas por protocolo.............................................. ......................... 84
8
Verificar todas as portas.............................................. .........................................85
Portas superiores de digitalização............................................. ......................................86
Executar uma verificação de porta sequencial ....................................... .............87
Seção 6: Sistema Operacional e Detecção de Serviço..........................89
Visão geral da detecção de versão ....................................... ................90
Detecção do sistema operacional.............................................. ................91
Envio de Impressões Digitais TCP/IP.............................. ................92
Tentativa de Adivinhar um Sistema Operacional Desconhecido..............................93
Detecção da versão do serviço.............................................. ......................94
Solução de problemas de verificações de versão............................... .............95
Executar uma verificação RPC.............................................. .............................96
Seção 7: Opções de tempo ....................................... .........................97
Visão geral das opções de tempo ....................................... ......................98
Parâmetros de tempo.................................................. ................................99
Modelos de tempo .......................................... ................................100
Número Mínimo de Operações Paralelas..............................101
Número Máximo de Operações Paralelas..............................102
Tamanho Mínimo do Grupo de Host........................................... ......................103
Tamanho Máximo do Grupo de Host ....................................... ......................104
Tempo Limite RTT Inicial ....................................... .............................105
Tempo Limite RTT Máximo .............................................. ......................106
Máximo de tentativas.................................................. ................................107
Defina o pacote TTL.............................................. ................................108
Tempo Limite do Host............................................. .........................................109
Atraso Mínimo de Varredura ....................................... ......................110
Atraso Máximo de Varredura............................................. ......................111
Taxa Mínima de Pacotes.............................................. .........................112
Taxa Máxima de Pacotes .............................................. ......................113
Derrote os limites de taxa de redefinição.............................. ......................114
9
Seção 8: Fugindo de firewalls.......................................... ................115
Visão geral das técnicas de evasão de firewall.......................................... 116
Pacotes de fragmentos.............................................. ............................. 117
Especifique um MTU Específico ....................................... ......................... 118
Use uma isca.............................................. ......................................... 119

Varredura de zumbis ociosos ....................................... ................................ 120
Especifique manualmente um número de porta de origem.............................. 121
Anexar Dados Aleatórios ....................................... ......................... 122
Randomizar Ordem de Varredura Alvo.......................................... ............. 123
Falsificação de endereço MAC.............................................. ............................. 124

Enviar somas de verificação inválidas........................................... ......................... 125
Seção 9: Opções de saída.................................. ...................127
Visão geral das opções de saída ....................................... ................... 128
Salvar a saída em um arquivo de texto........................................... ...................... 129
Salvar a saída em um arquivo XML........................................... ...................... 130
Saída Grepável ....................................... ................................ 131
Saída de todos os tipos de arquivo suportados.......................................... ............ 132
Exibir Estatísticas de Varredura.............................................. ......................... 133
133t Saída............................................. ......................................... 134
Seção 10: Solução de problemas e depuração..............................135
Visão geral da solução de problemas e depuração ...................................... 136
Conseguindo ajuda ................................................ ......................................... 137
Exibir versão do Nmap.............................................. ......................... 138
Saída detalhada................................................ ................................ 139
Depuração ............................................... ......................................... 140
Exibir Códigos de Razão do Estado da Porta.............................. ........... 141
Exibir apenas portas abertas.............................................. ...................... 142

Pacotes de Rastreamento.............................................. ......................................... 143
Exibir configuração de rede do host .............................. 144
Especificar qual interface de rede usar ...................................... 145
10
Seção 11: Zenmap.............................................. ......................147
Visão geral do Zenmap.............................................. .............................148
Iniciando o Zenmap.............................................. .............................149
Operações Básicas do Zenmap........................................... ......................150
Resultados do Zenmap.............................................. ......................................151
Perfis de digitalização.............................................. ................................152
Editor de perfil.............................................. ......................................... 153
Visualizando Portas Abertas.......................................... .............................154
Visualizando um Mapa de Rede ....................................... ......................155
Salvando mapas de rede........................................... .........................156
Visualização de detalhes do host.............................................. ......................157
Exibição do histórico de varredura ........................................ ......................158
Comparação dos resultados da verificação.............................................. ......................159
Salvando digitalizações.............................................. ......................................... 160
Seção 12: Mecanismo de Script Nmap (NSE)........................................... ..161
Visão geral do mecanismo de script Nmap.............................. ..........162
Executar Scripts Individuais............................................. ......................163
Executar Múltiplos Scripts ....................................... ......................164
Categorias de roteiro.................................................. ................................165
Executar Scripts por Categoria.............................................. ................166
Executar Múltiplas Categorias de Script........................................... .......167
Solucionar problemas de scripts............................................. .........................168
Atualizar o Banco de Dados de Script........................................... ................169
Seção 13: Ndiff .............................................. ................................171
Visão geral do Ndiff ....................................... ......................................... 172
Comparação de digitalização usando Ndiff............................... ................173
Modo Verbose Ndiff.............................................. .............................174
Modo de Saída XML ....................................... .............................175
Seção 14: Dicas e truques.......................................... ......................177
Visão geral de dicas e truques ....................................... ......................178
11
Combinar Múltiplas Opções............................................. ................ 179

Escanear usando o modo interativo........................................... ................ 180
Interação em tempo de execução ....................................... ......................... 181
Escaneie sua rede remotamente ....................................... ............. 182

Wireshark ............................................... ......................................... 183
Scanme.Insecure.org ............................................. ............................. 184

Recursos on-line do Nmap.............................................. ......................... 185
Apêndice A - Folha de dicas do Nmap............................... ...........187
Apêndice B - Estados da porta Nmap............................... .............191
Apêndice C - Referência Cruzada CIDR ....................................... ...........193
Apêndice D - Portas TCP/IP Comuns........................... ................195
12
Este guia é dedicado à comunidade de código aberto. Sem os esforços incansáveis
de desenvolvedores de código aberto, programas como o Nmap não existiriam. Muitos desses
desenvolvedores dedicam grande parte de seu tempo livre criando e dando suporte
maravilhosos aplicativos de código aberto e não pedem nada em troca.
A maneira colaborativa como o software de código aberto é desenvolvido mostra a
verdadeiro potencial da humanidade se todos trabalharmos juntos para um objetivo comum.
13
14
Introdução
Nmap é um programa de código aberto lançado sob a GNU General Public License
(consulte www.gnu.org/copyleft/gpl.html). É uma ferramenta avaliável para rede
administradores que podem ser usados para descobrir, monitorar e solucionar problemas de TCP/IP
sistemas. Nmap é um utilitário gratuito de digitalização de rede multiplataforma criado por Gordon
“Fyodor” Lyon e é desenvolvido ativamente por uma comunidade de voluntários.
Uma varredura típica do Nmap
O premiado conjunto de utilitários de varredura de rede do Nmap tem estado em constante
desenvolvimento desde 1997 e melhora continuamente a cada novo lançamento. Versão
5.00 do Nmap (lançado em julho de 2009) adiciona muitos novos recursos e aprimoramentos
Incluindo:
• Detecção aprimorada de serviço e versão do sistema operacional (consulte a página 89)
• Suporte aprimorado para Windows e Mac OS X
• Nmap Scripting Engine (NSE) aprimorado para executar varreduras complexas
tarefas (consulte a página 161)
• Adição do utilitário Ndiff que pode ser usado para comparar as varreduras do Nmap (consulte
página 171)
15
• Capacidade de exibir graficamente a topologia de rede com o Zenmap (consulte a página 147)
• Localizações de idiomas adicionais, incluindo alemão, francês e
Português.
• Melhor desempenho geral
O projeto Nmap conta com voluntários para apoiar e desenvolver esta incrível ferramenta. Se
você gostaria de ajudar a melhorar o Nmap, existem várias maneiras de se envolver:
Promover Nmap
O Nmap é uma ferramenta maravilhosa que todo administrador de rede deve conhecer.
Apesar de sua popularidade, o Nmap não é amplamente conhecido fora dos círculos tecnicamente de elite.
Promova o Nmap apresentando-o aos seus amigos ou escreva uma entrada de blog sobre ele e
ajude a divulgar.
Relatar erros
Você pode ajudar a melhorar o Nmap relatando quaisquer bugs que descobrir ao Nmap
desenvolvedores. O projeto Nmap fornece uma lista de discussão para isso que pode ser encontrada
online em www.seclists.org/nmap-dev.
Milhares de pessoas em todo o mundo usam o Nmap. Além disso, os desenvolvedores do Nmap
são pessoas muito ocupadas. Antes de relatar um bug ou pedir ajuda, você
Observação
deve procurar no site do Nmap em www.insecure.org/ search.html para
certifique-se de que seu problema já não foi relatado ou resolvido.
Código de Contribuição
Se você é um hacker com algum tempo livre, você pode se envolver com
Desenvolvimento do Nmap. Para saber mais sobre como contribuir com código para o projeto Nmap
visite www.nmap.org/data/HACKING.
16
Enviar impressões digitais TCP/IP
Se você não for um programador, você ainda pode melhorar o Nmap enviando qualquer
Impressões digitais TCP/IP que você descobre durante a digitalização. O processo para isso é discutido em
página 92. Enviar impressões digitais é fácil e ajuda a melhorar o software do Nmap
capacidades de detecção de versão e sistema operacional. Visite www.nmap.org/submit/
para mais informações ou para enviar suas descobertas.
Patrocinador Nmap
O projeto Nmap não aceita doações. Se, no entanto, você tiver uma segurança
serviço relacionado que gostaria de promover, você pode patrocinar o Nmap comprando um
pacote de publicidade no site insecure.org. Para mais informações visite
www.insecure.org/advertising.html.
17
Convenções utilizadas neste livro
C:\>nmap scanme.insecure.org
Nmap rodando em sistemas Microsoft Windows
$ nmap scanme.insecure.org
Nmap rodando em conta não privilegiada para Unix/Linux/Mac OS X
# nmap scanme.insecure.org
Nmap rodando em sistemas Unix/Linux/Mac OS X como usuário root
$ sudo nmap scanme.insecure.org
Usando o comando sudo para elevar privilégios para Unix/Linux/Mac OS X
Os usuários do Windows podem omitir o comando sudo quando usado em exemplos como
Observação
seu uso não é necessário e não funcionará em sistemas baseados em Microsoft.
# nmap -T2 scanme.insecure.org
Usando argumentos de linha de comando com Nmap
Os argumentos da linha de comando do Nmap diferenciam maiúsculas de minúsculas. A opção -T2
(consulte a página 100) no exemplo acima não é o mesmo que -t2 e será
Importante
resultar em um erro se especificado no caso incorreto.
...
Saída Nmap adicional truncada (para economizar espaço)
18
Seção 1:
Instalando o Nmap
19
Visão geral da instalação
O Nmap tem suas raízes no ambiente Unix e Linux, mas recentemente se tornou
mais compatível com o Microsoft Windows e o Mac OS X da Apple
sistema. Embora muito cuidado seja tomado para tornar o Nmap uma experiência universal em todos os
plataforma, a realidade é que você pode ter bugs, erros e desempenho
problemas ao usar o Nmap em um sistema não tradicional. Isso se aplica principalmente a
Sistemas Windows e Mac OS X que possuem várias idiossincrasias que não são
presentes em um sistema Unix ou Linux típico.
Nota do autor: A porta Windows do Nmap melhorou muito com o Nmap 5.0.
Os aumentos no desempenho e na confiabilidade tornam o Nmap para Windows tão confiável quanto seu
equivalente do Linux. Infelizmente, a porta do Mac OS ainda é um pouco difícil no
arestas. Muitos dos problemas com o Nmap no Mac OS X decorrem de problemas no
versão mais recente (Mac OS X 10.6). Ao monitorar a lista de desenvolvedores do Nmap, posso
confirme se os desenvolvedores estão cientes desses problemas e trabalhando para resolvê-los.
Esses problemas sem dúvida serão resolvidos com o tempo, à medida que o desenvolvimento da versão do Nmap
5,00 continua.
Avance para os procedimentos de instalação para sua plataforma:
Instalando o Nmap no Windows página 21
Instalando o Nmap no Linux Página 25
Instalando o Nmap a partir do código-fonte (Unix e Linux) Página 26
Instalando o Nmap no Mac OS X página 29
20
Instalando o Nmap no Windows
Passo 1
Baixe a versão Windows do Nmap em www.nmap.org.
Passo 2
Inicie o programa de configuração do Nmap. Selecione a instalação padrão (recomendado)
que instalará todo o conjunto de utilitários do Nmap.
Instalador do Nmap para Windows
21
etapa 3
Durante a instalação, um programa auxiliar chamado WinPcap também será instalado. WinPcapGenericName
é necessário para o Nmap funcionar corretamente na plataforma Windows, então não pule
esta etapa.
Instalador do WinPcap para Windows
22
Passo 4
Após a conclusão da instalação do WinPcap, você terá a opção de configurar
suas configurações de serviço. As opções padrão permitirão que o serviço WinPcap seja iniciado
quando o Windows inicializa. Istoérecomendado porque o Nmap não iráfuncionar corretamente
quando o serviço WinPcap não está em execução.
Configurações do WinPcap
23
Passo 5
Uma vez que o Nmap tenha sido instalado com sucesso, você pode verificar se está funcionando corretamente
executando nmap scanme.insecure.org na linha de comando (localizada em Iniciar >
Programas > Acessórios > Prompt de Comando).
C:\>nmap scanme.insecure.org
Iniciando o Nmap 5.00 ( http://nmap.org ) em 2009-08-07 09:36 Central

Horário de Verão
Portas interessantes em scanme.nmap.org (64.13.134.52):

Não mostrado: 994 portas filtradas
PORTA SERVIÇO DE ESTADO
25/tcp smtp fechado

70/tcp gopher fechado
80/tcp abrir http
110/tcp pop3 fechado
113/tcp autenticação fechada

31337/tcp fechado Elite
Nmap concluído: 1 endereço IP (1 host ativado) verificado em 9,25 segundos

C:\>
Varredura de teste Nmap no Microsoft Windows
Se os resultados da sua verificação forem semelhantes aos resultados acima, você executou com sucesso
Nmap instalado. Se você receber um erro, consulte a Seção 10 deste livro para
informações sobre solução de problemas e depuração.
24
Instalando o Nmap em sistemas Unix e Linux
As distribuições Linux mais populares fornecem pacotes Nmap binários que permitem
instalação simples. A instalação em sistemas Unix requer a compilação do Nmap de
código-fonte (conforme descrito na página 26).
No momento em que este livro foi escrito, a versão 5.00 do Nmap não estava disponível para
instalação automática em algumas distribuições Linux. Para muitos, instalar
O Nmap através dos populares gerenciadores de pacotes apt ou yum só instalará

Observação
versão 4.x. Se a sua distribuição já possui o Nmap 5.00 em seu
repositórios você pode instalar o Nmap usando os comandos listados abaixo.
Caso contrário, consulte a página 26 para instalar o Nmap 5.00 a partir do código-fonte.
Instalando pacotes pré-compilados para Linux
Para sistemas baseados em Debian e Ubuntu
# apt-get install nmap
Para sistemas baseados em Red Hat e Fedora
# yum instala o nmap
Para sistemas baseados em Gentoo Linux
# emerge nmap
Para verificar qual versão do Nmap você está executando, digite o seguinte comando em
a linha de comando:
# nmap -V
Nmap versão 5.00 ( http://nmap.org )
25
Compilando o Nmap a partir do código-fonte para Unix e Linux
Atualmente, a única maneira de obter o Nmap 5.00 para a maioria dos sistemas Unix e Linux é
baixe e compile o código-fonte do site nmap.org. Construindo o Nmap
da fonte requer um pouco mais de trabalho, mas vale a pena o esforço para obter o novo
recursos na versão mais recente do Nmap. As cinco etapas a seguir detalham o procedimento para
instalando o Nmap a partir do código-fonte.
Passo 1
Baixe a fonte do Nmap 5.00 em www.nmap.org/download.html. isso pode ser
feito por meio de um navegador da Web padrão ou da linha de comando usando o wget
comando encontrado na maioria dos sistemas baseados em Unix.
$ wget http://nmap.org/dist/nmap-5.00.tgz
--2009-08-06 19:29:35-- http://nmap.org/dist/nmap-5.00.tgz
Resolvendo nmap.org... 64.13.134.48
Conectando-se a nmap.org|64.13.134.48|:80... conectado.
Solicitação HTTP enviada, aguardando resposta... 200 OK
Comprimento: 9902346 (9,4M) [aplicação/x-alcatrão]
Salvando em: `nmap-5.00.tgz'
100%[==================================>] 9.902.346 1,39M/s em 7,5s
2009-08-06 19:29:42 (1,27 MB/s) - `nmap-5.00.tgz' salvo

[9902346/9902346]
Baixando o Nmap em sistemas Unix e Linux via linha de comando
Passo 2
Extraia o conteúdo do pacote Nmap digitando tar -xf nmap-5.00.tgz.
$ tar -xf nmap-5.00.tgz

...
Extraindo o código-fonte do Nmap
26
etapa 3
Configure e construa o código-fonte do Nmap digitando cd nmap-5.00/ e então
./configure && make na linha de comando.
$ cd nmap-5.00/
$ ./configurar && fazer
verificando o tipo de sistema de compilação... x86_64-unknown-linux-gnu

verificando o tipo de sistema host... x86_64-unknown-linux-gnu
verificando gcc... gcc
verificando o nome do arquivo de saída padrão do compilador C... a.out
verificando se o compilador C funciona... sim
...
Compilando o código-fonte do Nmap
Passo 4
Instale o código compilado digitando sudo make install na linha de comando.
Esta etapa exigirá privilégios de root. Você deve fazer o login como usuário root ou
Observação
use o comando sudo para concluir esta etapa.
$ sudo make install

Senha: ********
/usr/bin/install -c -d /usr/local/bin /usr/local/share/man/man1
/usr/local/share/nmap
/usr/bin/install -c -c -m 755 nmap /usr/local/bin/nmap
/usr/bin/strip -x /usr/local/bin/nmap
/usr/bin/install -c -c -m 644 docs/nmap.1 /usr/local/share/man/man1/
/usr/bin/install -c -c -m 644 docs/nmap.xsl /usr/local/share/nmap/
...
NMAP INSTALADO COM SUCESSO
Instalando o Nmap a partir do código-fonte
27
Passo 5
executando nmap localhost na linha de comando.
$ nmap localhost
Iniciando o Nmap 5.00 ( http://nmap.org ) em 2009-08-07 00:42 CDT
Aviso: Hostname localhost resolve para 2 IPs. Usando 127.0.0.1.
Portas interessantes no e6400 (127.0.0.1):
Não mostrado: 993 portas fechadas
22/tcp ssh aberto

25/tcp abrir smtp
111/tcp abre rpcbind
139/tcp aberto netbios-ssn
445/tcp aberto microsoft-ds
631/tcp ipp aberto
2049/tcp aberto nfs
Nmap concluído: 1 endereço IP (1 host ativo) verificado em 0,20 segundos
Verificação de teste do Nmap no Unix/Linux
28
Instalando o Nmap no Mac OS X
Passo 1
Baixe a versão Mac OS X do Nmap em www.nmap.org.
Nmap 5.00 para Mac OS X é um instalador universal que funciona tanto em processadores Intel
Observação
e sistemas PowerPC Macintosh.
Passo 2
Inicie o programa de configuração do Nmap e clique em continuar. Em seguida, aceite os termos da licença
do programa Nmap.
Instalador do Nmap para Mac OS X
29
etapa 3
Quando solicitado pelas opções de instalação, deixe as seleções padrão marcadas
(recomendado). Isso instalará todo o conjunto de utilitários do Nmap. Clique em continuar para
iniciar o processo de instalação.
Configurações de instalação padrão
30
Passo 4
Quando a instalação estiver concluída, você pode fechar o instalador do Nmap.
Instalação bem-sucedida do Nmap no Mac OS X
31
Passo 5
executando nmap localhost no aplicativo Mac OS X Terminal (localizado em
Aplicativos > Utilitários > Terminal).
Verificação de teste Nmap no Mac OS X
32
Seção 2:
Técnicas básicas de digitalização
33
Visão geral da digitalização básica
Esta seção aborda os fundamentos da varredura de rede com o Nmap. Antes de começarmos é
importante compreender os seguintes conceitos:
• Firewalls, roteadores, servidores proxy e outros dispositivos de segurança podem distorcer o
resultados de uma varredura do Nmap. Verificando hosts remotos que não estão no seu local
rede pode fornecer informações enganosas por causa disso.
• Algumas opções de digitalização exigem privilégios elevados. Em Unix e Linux
sistemas, você pode ser solicitado a fazer login como usuário root ou executar o Nmap usando
o comando sudo .
Existem também vários avisos a ter em consideração:
• Escanear redes que você não tem permissão para escanear pode levá-lo
problemas com seu provedor de serviços de internet, a polícia e possivelmente até mesmo o
governo. Não saia verificando os sites do FBI ou do Serviço Secreto, a menos que você
quer se meter em encrenca.
• A verificação agressiva de alguns sistemas pode causar falhas, o que pode
levar a resultados indesejáveis, como tempo de inatividade do sistema e perda de dados. Sempre escanear
sistemas de missão crítica com cautela.
Agora vamos começar a escanear!
34
Escanear um único alvo
A execução do Nmap sem opções de linha de comando executará uma varredura básica no
alvo especificado. Um destino pode ser especificado como um endereço IP ou nome de host (que
O Nmap tentará resolver).
Sintaxe de uso: nmap [target]
$nmap 192.168.10.1

Portas interessantes em 192.168.10.1:
SERVIÇO DO ESTADO DO PORTO
20/tcp fechado ftp-data

21/tcp ftp fechado
80/tcp http aberto
Varredura de alvo único
A verificação resultante mostra o status das portas detectadas no destino especificado. O
A tabela abaixo descreve os campos de saída exibidos pela varredura.
PORTA ESTADO SERVIÇO
Número/ protocolo da porta Estado do porto Tipo de serviço do porto
Uma varredura padrão do Nmap verificará as 1000 portas TCP/IP mais usadas.
As portas que respondem a uma investigação são classificadas em um dos seis estados de porta: aberta, fechada,
filtrado, não filtrado, aberto|filtrado, fechado|filtrado. Veja o Apêndice B para mais
informações sobre os estados das portas.
35
Escanear vários alvos
O Nmap pode ser usado para escanear vários hosts ao mesmo tempo. A maneira mais fácil de fazer
isso é para encadear os endereços IP de destino ou nomes de host na linha de comando
(separados por um espaço).
Sintaxe de uso: nmap [target1 target2 etc]
$ nmap 192.168.10.1 192.168.10.100 192.168.10.101


21/tcp ftp fechado
80/tcp http aberto

22/tcp ssh aberto

2049/tcp aberto nfs
Nmap concluído: 3 endereços IP (2 hosts acima) verificados em 6,23 segundos
Varredura de vários alvos
O exemplo acima demonstra o uso do Nmap para escanear três endereços ao mesmo
tempo.
Como todos os três alvos no exemplo acima estão na mesma sub-rede que você
poderia usar a notação abreviada de nmap 192.168.10.1,100,101 para

Dica
alcançar os mesmos resultados.
36
Escanear um intervalo de endereços IP
Um intervalo de endereços IP pode ser usado para especificação de destino, conforme demonstrado no
exemplo abaixo.
Sintaxe de uso: nmap [Intervalo de endereços IP]
$nmap 192.168.10.1-100


21/tcp ftp fechado
80/tcp http aberto

22/tcp ssh aberto

Escaneando um intervalo de endereços IP
Neste exemplo, o Nmap é instruído a escanear o intervalo de endereços IP de
192.168.10.1 a 192.168.10.100. Você também pode usar intervalos para digitalizar vários
redes/sub-redes. Por exemplo, digitar nmap 192.168.1-100.* varreria a classe
Redes C IP de 192.168.1.* a 192.168.100.*.
O asterisco é um caractere curinga que representa todos os intervalos válidos de

Observação
0-255.
37
Verificar uma sub-rede inteira
O Nmap pode ser usado para escanear uma sub-rede inteira usando CIDR (Classless Inter-Domain
Roteamento) notação.
Sintaxe de uso: nmap [Network/CIDR]
$nmap 192.168.10.1/24


21/tcp ftp fechado
23/tcp telnet fechado
80/tcp http aberto

22/tcp ssh aberto

2049/tcp aberto nfs
Varrendo toda uma sub-rede classe C usando a notação CDIR
O exemplo acima instrui o Nmap a escanear toda a rede 192.168.10.0 usando
Notação CIDR. A notação CIDR consiste no endereço de rede e na máscara de sub-rede (em
bits binários) separados por uma barra. Consulte o Apêndice C para obter uma referência cruzada da sub-rede
máscaras e suas notações CIDR.
38
Escanear uma lista de alvos
Se você tiver um grande número de sistemas para escanear, você pode inserir o endereço IP (ou host
nomes) em um arquivo de texto e use esse arquivo como entrada para o Nmap na linha de comando.
$ lista de gatos.txt
192.168.10.1
192.168.10.100
192.168.10.101
Endereços IP de destino em um arquivo de texto
O arquivo list.txt acima contém uma lista de hosts a serem verificados. Cada entrada no list.txt
arquivo deve ser separado por um espaço, tabulação ou nova linha. O parâmetro -iL é usado para
instrua o Nmap a extrair a lista de alvos do arquivo list.txt.
Sintaxe de uso: nmap -iL [list.txt]
$ nmap -iL lista.txt

21/tcp ftp fechado
80/tcp http aberto

22/tcp ssh aberto

...
Varredura do Nmap usando uma lista para especificação de destino
A varredura resultante exibida acima será executada para cada host no arquivo list.txt.
39
Escanear Alvos Aleatórios
O parâmetro -iR pode ser usado para selecionar hosts da Internet aleatórios para varredura. Nmap irá
gerar aleatoriamente o número especificado de alvos e tentar escaneá-los.
Sintaxe de uso: nmap -iR [número de alvos]
# nmap -iR 3
...
Verificando três endereços IP gerados aleatoriamente
Por motivos de privacidade, não exibimos os resultados da verificação acima neste

Observação
livro.
A execução de nmap -iR 3 instrui o Nmap a gerar aleatoriamente 3 endereços IP para varredura.
Não há muitos bons motivos para fazer uma varredura aleatória, a menos que você esteja trabalhando
em um projeto de pesquisa (ou apenas muito entediado). Além disso, se você fizer muitos movimentos agressivos
varredura aleatória, você pode acabar tendo problemas com seu serviço de internet
fornecedor.
40
Excluir alvos de uma varredura
A opção --exclude é usada com o Nmap para excluir hosts de uma varredura.
Sintaxe de uso: nmap [targets] --exclude [target(s)]
$ nmap 192.168.10.0/24 --excluir 192.168.10.100


21/tcp ftp fechado
80/tcp http aberto
...
Excluindo um único IP de uma varredura
A opção --exclude é útil se você deseja excluir hosts específicos ao verificar um
grande número de endereços. No exemplo acima, o host 192.168.10.100 foi excluído
do alcance dos alvos que estão sendo escaneados.
A opção --exclude aceita hosts únicos, intervalos ou blocos de rede inteiros (usando
notação CIDR) conforme demonstrado no próximo exemplo.
$ nmap 192.168.10.0/24 --excluir 192.168.10.100-105

...
Excluindo um intervalo de endereços IP de uma verificação
41
Excluir alvos usando uma lista
A opção --excludefile é semelhante à opção --exclude e pode ser usada para
fornece uma lista de destinos a serem excluídos de uma varredura de rede.
$ lista de gatos.txt
192.168.10.1
192.168.10.12
192.168.10.44
Arquivo de texto com hosts a serem excluídos de uma verificação
O exemplo abaixo demonstra o uso do argumento --excludefile para excluir o
hosts no arquivo list.txt exibido acima.
Sintaxe de uso: nmap [targets] --excludefile [list.txt]
$ nmap 192.168.10.0/24 --excludefile list.txt

22/tcp ssh aberto
2049/tcp aberto nfs
Nmap concluído: 253 endereços IP (1 host ativo) verificados em 33,10 segundos
Excluindo uma lista de hosts de uma varredura de rede
No exemplo acima, os alvos no arquivo list.txt são excluídos da verificação.
42
Execute uma varredura agressiva
O parâmetro -A instrui o Nmap a executar uma varredura agressiva.
Sintaxe de uso: nmap -A [target]
# nmap -A 10.10.1.51
Iniciando o Nmap 5.00 ( http://nmap.org ) em 10/08/2009 09:39 CDT

VERSÃO DO SERVIÇO DO ESTADO DO PORTO
80/tcp http aberto Linksys WAP54G wireless-G roteador http configuração
|_ html-title: 401 Não autorizado

| http-auth: o serviço HTTP requer autenticação
|_ Tipo de autenticação: Basic, reino = Linksys WAP54G

Endereço MAC: 00:12:17:AA:66:28 (Cisco-Linksys)
Tipo de dispositivo: propósito geral
Em execução: Linux 2.4.X
Detalhes do sistema operacional: Linux 2.4.18 - 2.4.35 (provavelmente incorporado)
Distância de rede: 1 salto

Informações do serviço: Dispositivo: WAP
Detecção de SO e serviço executada. Por favor, reporte qualquer erro

resultados em http://nmap.org/submit/.
Saída de uma varredura agressiva
A varredura agressiva seleciona algumas das opções mais usadas no Nmap
e é fornecido como uma alternativa simples para digitar uma longa string de linha de comando
argumentos. O parâmetro -A é sinônimo de várias opções avançadas (como -O -sC
--traceroute) que também podem ser acessados individualmente e são abordados posteriormente neste
livro.
43
Escanear um alvo IPv6
O parâmetro -6 é usado para executar uma varredura de um alvo IP versão 6.
Sintaxe de uso: nmap -6 [target]
# nmap -6 fe80::29aa:9db9:4164:d80e
Iniciando o Nmap 5.00 ( http://nmap.org ) em 11/08/2009 15:52 Central

Horário de Verão
Portas interessantes em fe80::29aa:9db9:4164:d80e:

135/tcp abrir msrpc

5357/tcp aberto desconhecido
Escaneando um endereço IPv6
O exemplo acima exibe os resultados da varredura de um alvo IP versão 6. Maioria
As opções do Nmap suportam IPv6 com exceção da varredura de vários alvos usando
intervalos e CIDR, pois são inúteis em redes IPv6.
Tanto o host quanto os sistemas de destino devem suportar o protocolo IPv6 em

Observação
para que uma varredura -6 funcione.
44
Seção 3:
Opções de descoberta
45
Visão geral das opções de descoberta
Antes de escanear a porta de um alvo, o Nmap tentará enviar requisições de eco ICMP para ver
se o host estiver "vivo". Isso pode economizar tempo ao escanear vários hosts, pois o Nmap
não perca tempo tentando sondar hosts que não estão online. Porque ICMP
as requisições são frequentemente bloqueadas por firewalls, o Nmap também tentará se conectar à porta
80 e 443, uma vez que essas portas de servidor da Web comuns geralmente estão abertas (mesmo que o ICMP seja
não).
As opções de descoberta padrão não são úteis ao verificar sistemas protegidos e podem
impedir o progresso da digitalização. A seção a seguir descreve métodos alternativos para
descoberta de host que permite realizar uma descoberta mais abrangente quando
procurando alvos disponíveis.
Resumo dos recursos abordados nesta seção:
Recurso Opção
Não faça ping -PN
Executar uma verificação somente de ping -sP
TCP SYN Ping -PS
TCP ACK Ping - Bem
Ping UDP -PODERIA
SCTP INIT Ping -PY
Ping de eco ICMP -SOBRE
Ping de carimbo de data/hora ICMP -PP
Ping de máscara de endereço ICMP -PM
Ping do protocolo IP -DEPOIS
Ping ARP -PR
Traceroute --traceroute
Forçar resolução reversa de DNS -R
Desativar resolução de DNS reverso -n
Pesquisa DNS Alternativa --system-dns
Especificar manualmente os servidores DNS --dns-servers
Criar uma lista de hosts -sL
46
Não faça ping
Por padrão, antes que o Nmap tente escanear um sistema em busca de portas abertas, ele primeiro executará ping
o alvo para ver se ele está online. Esse recurso ajuda a economizar tempo ao digitalizar, pois
faz com que alvos que não respondem sejam ignorados.
$ nmap 10.10.5.11

Nota: O host parece estar fora do ar. Se estiver realmente up, mas bloqueando nosso ping
sondas, tente -PN
Nmap concluído: 1 endereço IP (0 hosts ativos) verificado em 3,16 segundos
Resultados de uma varredura do Nmap em que o sistema de destino não é passível de ping
No exemplo acima, o destino especificado não é verificado porque não responde a
Os pings do Nmap. A opção -PN instrui o Nmap a ignorar a verificação de descoberta padrão
e execute uma varredura de porta completa no destino. Isso é útil ao escanear hosts
que são protegidos por um firewall que bloqueia sondagens de ping.
Sintaxe de uso: nmap -PN [destino]
$ nmap -PN 10.10.5.11

3389/tcp abre ms-term-serv
Saída de uma varredura Nmap com descoberta de ping desabilitada
Ao especificar a opção -PN no mesmo destino, o Nmap é capaz de produzir uma lista de
portas abertas no sistema não pingável.
47
Verificação somente de ping
A opção -sP é usada para executar um ping simples do host especificado.
Sintaxe de uso: nmap -sP [destino]
$ nmap -sP 192.168.10.2/24

O host 192.168.10.1 está ativo (latência de 0,0026s).
Saída de uma varredura somente de ping
Esta opção é útil quando você deseja realizar uma pesquisa rápida da rede de destino
para ver quais hosts estão online sem realmente escanear o(s) alvo(s) em busca de portas abertas.
No exemplo acima, todos os 254 endereços na sub-rede 192.168.10.0 recebem ping e
resultados de hosts ao vivo são exibidos.
Ao escanear uma rede local, você pode executar o Nmap com privilégios de root para
funcionalidade de ping adicional. Ao fazer isso, a opção -sP executará um ARP
ping e retornar os endereços MAC do(s) sistema(s) descoberto(s).
Sintaxe de uso: nmap -sP [destino]
# nmap -sP 192.168.10.2/24

Endereço MAC: 00:16:B6:BE:6D:1D (Cisco-Linksys)
...
Saída de uma varredura somente de ping (como root)
48
TCP SYN Ping
A opção -PS executa um ping TCP SYN.
Sintaxe de uso: nmap -PS[port1,port1,etc] [target]
# nmap -PS scanme.insecure.org
Iniciando o Nmap 5.00 (http://nmap.org) em 16/08/2009 13:31 CDT

53/tcp domínio aberto

80/tcp abrir http

Executando um ping TCP SYN
O ping TCP SYN envia um pacote SYN para o sistema de destino e aguarda uma resposta.
Esse método de descoberta alternativo é útil para sistemas configurados para bloquear
pings ICMP padrão.
A porta padrão para -PS é 80, mas outras podem ser especificadas usando o
Observação
seguinte sintaxe: nmap -PS22,25,80,443,etc.
49
TCP ACK Ping
O -PA executa um ping TCP ACK no destino especificado.
Sintaxe de uso: nmap -PA[port1,port1,etc] [target]
# nmap -ON 192.168.1.254
Portas interessantes em casa (192.168.1.254):

80/tcp http aberto
443/tcp abrir https
Endereço MAC: 00:25:3C:5F:5A:89 (2 fios)
Executando um ping TCP ACK
A opção -PA faz com que o Nmap envie pacotes TCP ACK para os hosts especificados. Esse
método tenta descobrir hosts respondendo a conexões TCP que são
inexistente em uma tentativa de solicitar uma resposta do alvo. Como outro ping
opções, é útil em situações em que os pings ICMP padrão são bloqueados.
A porta padrão para -PA é 80, mas outras podem ser especificadas usando o
Observação
seguinte sintaxe: nmap -PA22,25,80,443,etc.
50
Ping UDP
A opção -PU executa um ping UDP no sistema de destino.
Sintaxe de uso: nmap -PU[port1,port1,etc] [target]
# nmap -PU 192.168.1.254

80/tcp http aberto
443/tcp abrir https
Nmap concluído: 1 endereço IP (1 host ativado) verificado em 0,81 segundo
Executando um ping UDP
Este método de descoberta envia pacotes UPD na tentativa de solicitar uma resposta de um
alvo. Embora a maioria dos sistemas com firewall bloqueie esse tipo de conexão, alguns
sistemas mal configurados podem permitir isso se estiverem configurados apenas para filtrar TCP
conexões.
A porta padrão para -PU é 40125. Outras podem ser especificadas usando o
Observação
seguinte sintaxe: nmap -PU22,25,80,443,etc.
51
SCTP INIT Ping
O parâmetro -PY instrui o Nmap a executar um ping SCTP INIT.
Sintaxe de uso: nmap -PY[port1,port1,etc] [target]
# nmap -PY 192.168.1.254

80/tcp http aberto
443/tcp abrir https
Executando um ping SCTP INIT
Este método de descoberta tenta localizar hosts usando o Stream Control
Protocolo de Transmissão (SCTP). O SCTP é normalmente usado em sistemas baseados em IP
telefonia.
A porta padrão para -PY é 80. Outras podem ser especificadas usando o
Observação
seguinte sintaxe: nmap -PY22,25,80,443,etc.
52
Ping de eco ICMP
A opção -PE executa um ping de eco ICMP (Internet Control Message Protocol) em
o sistema especificado.
Sintaxe de uso: nmap -PE [destino]
# nmap -PE 192.168.1.254

80/tcp http aberto
443/tcp abrir https
Executando um ping de eco ICMP
A opção -PE envia um ping ICMP padrão para o destino para ver se ele responde. Esse tipo
de descoberta funciona melhor em redes locais onde os pacotes ICMP podem ser transmitidos
com poucas restrições. Muitos hosts da Internet, no entanto, são configurados para não responder a
pacotes ICMP por razões de segurança.
A opção -PE é automaticamente implícita se nenhuma outra opção de ping for

Observação
Especificadas.
53
Ping de carimbo de data/hora ICMP
A opção -PP executa um ping de carimbo de data/hora ICMP.
Sintaxe de uso: nmap -PP [destino]
# nmap -PP 192.168.1.254

80/tcp http aberto
443/tcp abrir https
Executando um ping de carimbo de data/hora ICMP
Embora a maioria dos sistemas com firewall sejam configurados para bloquear solicitações de eco ICMP, alguns
sistemas configurados incorretamente ainda podem responder a solicitações de carimbo de data/hora ICMP. Esse
torna -PP útil para tentar solicitar respostas de alvos com firewall.
54
Ping de máscara de endereço ICMP
A opção -PM executa um ping de máscara de endereço ICMP.
Sintaxe de uso: nmap -PM [destino]
# nmap -PM 192.168.1.254

80/tcp http aberto
443/tcp abrir https
Executando um ping de máscara de endereço ICMP
Essa consulta ICMP não convencional (semelhante à opção -PP ) tenta executar ping no
host especificado usando registradores ICMP alternativos. Este tipo de ping pode ocasionalmente
esgueirar-se por um firewall configurado para bloquear solicitações de eco padrão.
55
Ping do protocolo IP
A opção -PO executa um ping de protocolo IP.
Sintaxe de uso: nmap -PO[protocol1,protocol2,etc] [target]
# nmap -PO 10.10.1.48

21/tcp ftp aberto
22/tcp ssh aberto
25/tcp abrir smtp
80/tcp http aberto
2049/tcp aberto nfs
Endereço MAC: 00:0C:29:D5:38:F4 (VMware)
Executando um ping de protocolo IP
Um ping de protocolo IP envia pacotes com o protocolo especificado para o destino. Se não
protocolos são especificados os protocolos padrão 1 (ICMP), 2 (IGMP) e 4 (IP-in-IP) são
usado. Para fazer ping usando um conjunto personalizado de protocolos, use a seguinte sintaxe:
nmap -PO1,2,4,etc.
Uma lista completa de números de Protocolo de Internet pode ser encontrada online em
Observação
www.iana.org/ assignments/ protocol-numbers/
56
Ping ARP
A opção -PR instrui o Nmap a executar um ARP (Address Resolution Protocol)
ping no alvo especificado.
Sintaxe de uso: nmap -PR [alvo]
# nmap -PR 192.168.1.254

80/tcp http aberto
443/tcp abrir https
Executando um ping ARP
A opção -PR é automaticamente implícita ao digitalizar a rede local. Esse tipo
de descoberta é muito mais rápido do que os outros métodos de ping descritos neste guia. Isto
também tem o benefício adicional de ser mais preciso porque os hosts da LAN não podem bloquear
Solicitações ARP (mesmo que estejam atrás de um firewall).
As varreduras APR não podem ser executadas em alvos que não estejam em seu local
Observação
sub-rede.
57
Traceroute
O parâmetro --traceroute pode ser usado para rastrear o caminho de rede para o especificado
hospedar.
Sintaxe de uso: nmap --traceroute [target]
# nmap --traceroute scanme.insecure.org

80/tcp http aberto
TRACEROUTE (usando a porta 113/tcp)

ENDEREÇO HOP RTT
1 0,91 casa (192.168.1.254)
2 24.40 99-60-32-2.lightspeed.wchtks.sbcglobal.net (99.60.32.2)

3 23.12 76.196.172.4
4 22.69 151.164.94.52
5 32.79 ex3-p12-0.eqdltx.sbcglobal.net (69.220.8.53)
6 32.74 asn2828-XO.eqdltx.sbcglobal.net (151.164.249.134)

...
13 74,90 ip65-46-255-94.z255-46-65.customer.algx.net (65.46.255.94)
14 75.01 scanme.nmap.org (64.13.134.52)
Saída de uma varredura traceroute
As informações exibidas são semelhantes aos comandos traceroute ou tracepath
encontrado em sistemas Unix e Linux - com o bônus adicional de rastreamento do Nmap sendo
funcionalmente superior a esses comandos.
58
Forçar resolução reversa de DNS
O parâmetro -R instrui o Nmap a sempre executar a resolução DNS reversa no
endereço IP de destino.
Sintaxe de uso: nmap -R [target]
# nmap -R 64.13.134.52
Horário de Verão

25/tcp smtp fechado


80/tcp abrir http

Saída de uma varredura Nmap com DNS reverso ativado
Por padrão, o Nmap só fará DNS reverso para hosts que parecem estar online. o -R
opção é útil ao realizar o reconhecimento em um bloco de endereços IP como
O Nmap tentará resolver as informações de DNS reverso de cada endereço IP. O
as informações de DNS reverso podem revelar informações interessantes sobre o IP de destino
endereço (mesmo que esteja offline ou bloqueando as sondas do Nmap).
Observação A opção -R pode reduzir drasticamente o desempenho de uma varredura.
59
Desativar resolução de DNS reverso
O parâmetro -n é usado para desabilitar pesquisas reversas de DNS.
Sintaxe de uso: nmap -n [target]
# nmap -n 64.13.134.52

Horário de Verão

25/tcp smtp fechado

80/tcp abrir http

Saída de uma varredura Nmap com DNS reverso desabilitado
O DNS reverso pode reduzir significativamente a velocidade de uma varredura do Nmap. Usando a opção -n
reduz bastante o tempo de varredura - especialmente ao escanear um grande número de hosts.
Esta opção é útil se você não se importa com as informações de DNS do alvo
sistema e preferem realizar uma varredura que produz resultados mais rápidos.
60
Método alternativo de pesquisa de DNS
A opção --system-dns instrui o Nmap a usar o resolvedor de DNS do sistema host
em vez de seu próprio método interno.
Sintaxe de uso: nmap --system-dns [target]
$ nmap --system-dns scanme.insecure.org

Não mostrado: 972 portas fechadas, 26 portas filtradas

80/tcp http aberto
Saída de uma varredura do Nmap usando o resolvedor de DNS do sistema
Essa opção raramente é usada, pois é muito mais lenta que o método padrão. Pode,
no entanto, será útil ao solucionar problemas de DNS com o Nmap.
O resolvedor do sistema é sempre usado para varreduras IPv6, pois o Nmap ainda não
Observação
implementou totalmente seu próprio resolvedor IPv6 interno.
61
Especificar manualmente os servidores DNS
A opção --dns-servers é usada para especificar manualmente os servidores DNS a serem consultados
ao digitalizar.
Sintaxe de uso: nmap --dns-servers [servidor1,servidor2,etc] [destino]
$ nmap --dns-servers 208.67.222.222,208.67.220.220 scanme.insecure.org


80/tcp http aberto
Especificando manualmente os servidores DNS
O comportamento padrão do Nmap usará os servidores DNS configurados em seu sistema local
para resolução de nomes. A opção --dns-servers permite especificar um ou mais
servidores alternativos para o Nmap consultar. Isso pode ser útil para sistemas que não
ter DNS configurado ou se você deseja impedir que suas pesquisas de verificação apareçam em
arquivo de log do seu servidor DNS configurado localmente.
Observação Esta opção não está disponível atualmente para verificações de IPv6.
62
Criar uma lista de hosts
A opção -sL exibirá uma lista e executará uma pesquisa DNS reversa do especificado
endereços IP.
Sintaxe de uso: nmap -sL [destino]
$ nmap -sL 10.10.1.1/24

Host 10.10.1.0 não verificado
Host router.nmapcookbook.com (10.10.1.1) não verificado

Host server.nmapcookbook.com (10.10.1.2) não verificado
Host mylaptop.nmapcookbook.com (10.10.1.5) não verificado

Host mydesktop.nmapcookbook.com (10.10.1.9) não verificado

Host mydesktop2.nmapcookbook.com (10.10.1.10) não verificado
...
Saída de uma lista de hosts gerada pelo Nmap
A varredura acima mostra os resultados dos nomes DNS para os sistemas especificados. Esse
scan é útil para identificar os endereços IP e nomes DNS para o especificado
alvos sem enviar nenhum pacote para eles. Muitos nomes DNS podem revelar
informações interessantes sobre um endereço IP, incluindo para que ele é usado ou onde está
localizado.
63
64
Seção 4:
Opções avançadas de digitalização
65
Visão geral das funções avançadas de digitalização
O Nmap suporta vários tipos de varredura selecionáveis pelo usuário. Por padrão, o Nmap irá
execute uma varredura TCP básica em cada sistema de destino. Em algumas situações, pode ser
necessário executar varreduras TCP (ou mesmo UDP) mais complexas na tentativa de encontrar
serviços incomuns ou para evitar um firewall. Esses tipos avançados de verificação são cobertos
nesta secção.
Recurso Opção
Varredura TCP SYN -sS
Verificação de Conexão TCP -sT
Varredura UDP -sU
Verificação TCP NULL -sN
Varredura TCP FIN -sF
Varredura de Natal -sX
Varredura TCP ACK -Em
Varredura TCP personalizada --scanflags
Verificação de protocolo IP -então
Enviar pacotes Ethernet brutos --send-eth
Enviar pacotes IP --send-ip
Você deve fazer login com privilégios de root/ administrador (ou usar o comando sudo
Observação
comando) para executar muitas das varreduras discutidas nesta seção.
66
Varredura TCP SYN
A opção -sS executa uma varredura TCP SYN.
Sintaxe de uso: nmap -sS [destino]
# nmap -sS 10.10.1.48

21/tcp ftp aberto
22/tcp ssh aberto
25/tcp abrir smtp
80/tcp http aberto
2049/tcp aberto nfs
Executando uma varredura TCP SYN
A varredura TCP SYN é a opção padrão para usuários privilegiados (usuários executando como root no
Unix/Linux ou Administrador no Windows). A verificação TCP SYN padrão tenta
identificar as 1000 portas TCP mais usadas enviando um pacote SYN para o
alvo e esperando por uma resposta. Este tipo de varredura é considerado furtivo porque
não tenta abrir uma conexão completa com o host remoto. Esse
impede que muitos sistemas registrem uma tentativa de conexão de sua varredura.
A operação furtiva não é garantida. Programas modernos de captura de pacotes

Observação
e firewalls avançados agora são capazes de detectar varreduras TCP SYN.
67
Verificação de Conexão TCP
A opção -sT executa uma varredura de conexão TCP.
Sintaxe de uso: nmap -sT [destino]
$ nmap -sT 10.10.1.1

80/tcp http aberto

443/tcp abrir https
Executando uma verificação de conexão TCP
A verificação -sT é o tipo de verificação padrão para usuários sem privilégios. Também é usado quando
verificando alvos IPv6. O TCP Connect Scan é uma sonda simples que tenta
conecte-se diretamente ao sistema remoto sem usar qualquer discrição (conforme descrito em
página 67).
Normalmente é melhor executar o Nmap com privilégios de root sempre que possível
pois ele executará uma varredura TCP SYN (-sS) que pode fornecer uma
Dica
listagem de estados de porta e é significativamente mais rápido.
68
Varredura UDP
A opção -sU executa uma varredura UDP (User Datagram Protocol).
Sintaxe de uso: nmap -sU [alvo]
# nmap -sU 10.10.1.41

7/udp abrir eco
9/udp abrir|descartar filtrado
13/udp aberto dia

19/udp aberto lotes
37/udp aberto tempo
69/udp aberto|tftp filtrado
111/udp open|filtrado rpcbind

137/udp aberto|filtrado netbios-ns
138/udp aberto|filtrado netbios-dgm
177/udp aberto|filtrado xdmcp

514/udp aberto | syslog filtrado
518/udp abrir | conversa filtrada
1028/udp aberto|ms-lsa filtrado
1030/udp aberto|filtrado iad1

2049/udp aberto|filtrado nfs
Endereço MAC: 00:60:B0:59:B6:14 (Hewlett-Packard CO.)
Executando uma varredura UDP
O exemplo acima exibe os resultados de uma varredura UDP. Embora o TCP seja o mais
protocolo comumente usado, muitos serviços de rede (como DNS, DHCP e SNMP) ainda
utilizar UDP. Ao realizar uma auditoria de rede, é sempre uma boa ideia verificar se há
serviços TCP e UDP para obter uma imagem mais completa do destino
host/rede.
69
Verificação TCP NULL
A opção -sN executa uma varredura TCP NULL.
Sintaxe de uso: nmap -sN [destino]
# nmap -sN 10.10.1.48

21/tcp aberto|ftp filtrado
22/tcp aberto|ssh filtrado
25/tcp aberto|smtp filtrado
80/tcp aberto|filtrado http
111/tcp open|filtrado rpcbind
2049/tcp open|filtrado nfs
Executando uma varredura TCP NULL
Uma varredura TCP NULL faz com que o Nmap envie pacotes sem sinalizadores TCP habilitados. Isso é
feito definindo o cabeçalho do pacote como 0. Enviar pacotes NULL para um destino é um
método de enganar um sistema com firewall para gerar uma resposta.
Observação Nem todos os sistemas responderão a sondagens desse tipo.
Veja também: --scanflags (página 73)
70
Varredura TCP FIN
A opção -sF executa uma varredura TCP FIN.
Sintaxe de uso: nmap -sF [destino]
# nmap -sF 10.10.1.48

Executando uma varredura TCP FIN
Em uma varredura -sF , o Nmap marca o bit TCP FIN ativo ao enviar pacotes em um
tentativa de solicitar um TCP ACK do sistema de destino especificado. este é outro
método de envio de pacotes inesperados para um alvo na tentativa de produzir resultados
de um sistema protegido por um firewall.
71
Varredura de Natal
O sinalizador -sX executa uma verificação de Natal.
Sintaxe de uso: nmap -sX [destino]
# nmap -sX 10.10.1.48

Executando uma varredura de “Natal”
Na varredura de Natal, o Nmap envia pacotes com URG, FIN e PSH e sinalizadores ativados.
Isso tem o efeito de “iluminar o pacote como uma árvore de Natal” e pode
ocasionalmente solicitar uma resposta de um sistema com firewall.
72
Varredura TCP personalizada
A opção --scanflags é usada para executar uma varredura TCP personalizada.
Sintaxe de uso: nmap --scanflags [flag(s)] [target]
# nmap --scanflags SYNURG 10.10.1.127
Iniciando o Nmap 5.00 ( http://nmap.org ) em 12/11/2009 14:53 CST

3389/tcp fechado ms-term-serv
5900/tcp vnc aberto
Endereço MAC: 00:14:22:59:3D:DE (Dell)
Especificando sinalizadores TCP manualmente
A opção --scanflags permite aos usuários definir uma varredura personalizada usando um ou mais TCP
sinalizadores de cabeçalho. Qualquer combinação de sinalizadores listados na tabela abaixo pode ser usada
com a opção --scanflags . Por exemplo: nmap --scanflags FINACK (sem espaço)
ativaria os sinalizadores FIN e ACK TCP.
Bandeira Uso
SYN Sincronizar
ACK Reconhecimento
PSH Empurrar
URG Urgente
RST Reiniciar
FIM Finalizado
sinalizadores de cabeçalho TCP
73
Varredura TCP ACK
A opção -sA executa uma varredura TCP ACK.
Sintaxe de uso: nmap -sA [destino]
# nmap -sA 10.10.1.70
Iniciando o Nmap 5.00 (http://nmap.org) em 18/12/2009 10:33 CST

139/tcp netbios-ssn não filtrado
445/tcp microsoft-ds não filtrado
2967/tcp não filtrado symantec-av
5900/tcp vnc não filtrado
19283/tcp não filtrado desconhecido
19315/tcp não filtrado desconhecido
Endereço MAC: 00:0C:F1:A6:1F:16 (Intel)
Executando uma verificação TCP ACK
A opção -sA pode ser usada para determinar se o sistema de destino está protegido por um
firewall. Ao executar uma varredura TCP ACK, o Nmap irá sondar um alvo e procurar
Respostas RST. Se nenhuma resposta for recebida, o sistema é considerado filtrado. Se
o sistema retorna um pacote RST, então ele é rotulado como não filtrado. No acima
exemplo 994 portas são rotuladas como filtradas, o que significa que o sistema provavelmente está protegido
por um firewall. As 6 portas não filtradas exibidas provavelmente têm regras especiais no
firewall do alvo que permitem que eles sejam abertos ou fechados.
A opção -sA não exibe se as portas não filtradas são ou não
Observação aberto ou fechado. Seu único propósito é determinar se o sistema
está filtrando portas.
74
Verificação de protocolo IP
A opção -sO executa uma varredura de protocolo IP.
Sintaxe de uso: nmap -sO [destino]
# nmap -sO 10.10.1.41
Protocolos interessantes em 10.10.1.41:
Não mostrado: 253 protocolos abertos|filtrados

PROTOCOLO DE SERVIÇO DO ESTADO
1 abrir icmp
6 abrir tcp
17 abrir udp
Saída de uma varredura de protocolo IP
A varredura de protocolo IP exibe os protocolos IP que são suportados no destino
sistema. Os protocolos mais comumente encontrados em redes modernas são ICMP, TCP,
e UDP conforme exibido no exemplo acima. Usar a opção -sO é útil para
identificando rapidamente quais tipos de varreduras você deseja executar no alvo selecionado
sistema baseado em seus protocolos suportados.
Uma lista completa de protocolos IP pode ser encontrada no site da IANA em

Dica
www.iana.org/ assignments/ protocol-numbers/.
75
Enviar pacotes Ethernet brutos
A opção --send-eth instrui o Nmap a usar pacotes ethernet brutos durante a varredura.
Sintaxe de uso: nmap --send-eth [target]
$ nmap --send-eth 10.10.1.51

80/tcp abrir http

443/tcp abrir https
Digitalizar usando pacotes ethernet brutos
Habilitar esta opção instrui o Nmap a ignorar a camada IP em seu sistema e enviar
pacotes ethernet brutos na camada de enlace de dados. Isso pode ser usado para superar problemas
com a pilha IP do seu sistema.
A opção --send-eth é automaticamente implícita pelo Nmap quando necessário

Observação
raramente é usado como um argumento de linha de comando.
Veja também: --send-ip (página 77)
76
Enviar pacotes IP
A opção --send-ip instrui o Nmap a usar pacotes IP durante a varredura.
Sintaxe de uso: nmap --send-ip [target]
$ nmap --send-ip 10.10.1.51
Iniciando o Nmap 5.00 (http://nmap.org) em 2009-10-01 14:15 CDT

80/tcp abrir http

443/tcp abrir https
Escanear usando pacotes IP
Habilitar esta opção força o Nmap a escanear usando a pilha IP do sistema local ao invés de
gerando pacotes ethernet brutos.
A opção --send-ip é automaticamente implícita pelo Nmap quando necessário

Observação
raramente é usado como um argumento de linha de comando.
Veja também: --send-eth (página 76)
77
78
Seção 5:
Opções de verificação de portas
79
Visão geral das opções de varredura de portas
Há um total de 131.070 portas TCP/IP (65.535 TCP e 65.535 UDP). Nmap, por
padrão, verifica apenas 1.000 das portas mais usadas. Isso é feito para salvar
tempo ao varrer vários alvos como a maioria das portas fora do top 1000
raramente são usados. Às vezes, no entanto, você pode querer digitalizar fora do padrão
intervalo de portas para procurar serviços incomuns ou portas que foram encaminhadas para
um local diferente. Esta seção cobre as opções que permitem esta e outras portas
características específicas.
Uma lista completa de portas TCP/ IP pode ser encontrada no site da IANA em
Dica
www.iana.org/ assignments/ port-numbers.
Recurso Opção
Execute uma verificação rápida -F
Escanear portas específicas -p [porta]
Escanear portas por nome -p [nome] -p
Escanear portas por protocolo U:[portas UDP],T:[portas TCP]

Analisar todas as portas
“*”
-p
Scan Top Ports --top-ports [número]
Execute uma verificação de porta sequencial -r
80
Execute uma verificação rápida
A opção -F instrui o Nmap a executar uma varredura apenas dos 100 mais comumente
portos usados.
Sintaxe de uso: nmap -F [target]
$ nmap -F 10.10.1.44

25/tcp abrir smtp
80/tcp abrir http
135/tcp abrir msrpc
3389/tcp abre ms-term-serv
8000/tcp abre http-alt
10000/tcp aberto snet-sensor-mgmt
Saída de uma varredura “rápida”
O Nmap verifica as 1000 portas mais usadas por padrão. A opção -F reduz
esse número para 100. Isso pode acelerar drasticamente a digitalização enquanto ainda representa
a maioria das portas comumente usadas.
81
Escanear portas específicas
A opção -p é usada para instruir o Nmap a escanear a(s) porta(s) especificada(s).
Sintaxe de uso: nmap -p [porta] [destino]
$ nmap -p 80 10.10.1.44

80/tcp http aberto
Especificando uma única porta para escanear
O exemplo acima demonstra o uso de -p para escanear a porta 80. Além de escanear um
única porta, você pode digitalizar várias portas individuais (separadas por uma vírgula) ou um
intervalo de portas conforme demonstrado no próximo exemplo.
Sintaxe de uso: nmap [port1,port2,etc|range of ports] [target]
$ nmap -p 25,53,80-200 10.10.1.44

25/tcp abrir smtp

80/tcp http aberto
135/tcp abrir msrpc
Especificando várias portas para escanear
Neste exemplo, a opção -p é usada para varrer as portas 25, 53 e 80 a 200.
82
Escanear portas por nome
A opção -p pode ser usada para verificar as portas por nome.
Sintaxe de uso: nmap -p [nome(s) da(s) porta(s)] [destino]
$ nmap -p smtp,http 10.10.1.44

25/tcp abrir smtp

80/tcp http aberto
8008/tcp http fechado
Escaneando portas por nome
O exemplo acima demonstra a busca por portas SMTP e HTTP abertas por nome
usando a opção -p . O(s) nome(s) especificado(s) deve(m) corresponder a um serviço no
arquivo nmap-services. Isso geralmente é encontrado em /usr/local/share/nmap/ no Unix/Linux
sistemas ou C:\Program Files\Nmap\ em sistemas Windows.
Os curingas também podem ser usados ao especificar serviços por nome. Por exemplo,
executar nmap -p "http*" 10.10.1.44 procuraria todas as portas que começam com http
(incluindo http e https).
Você deve colocar a instrução curinga entre aspas para que seu sistema
Observação
não o interprete como um caractere curinga do shell.
83
Escanear portas por protocolo
Especificar um prefixo T: ou U: com a opção -p permite pesquisar uma porta específica
e combinação de protocolo.
Sintaxe de uso: nmap -p U:[portas UDP],T:[portas TCP] [destino]
# nmap -sU -sT -p U:53,T:25 10.10.1.44

25/tcp abrir smtp
domínio aberto 53/udp
Endereço MAC: 00:14:22:0F:3C:0E (Dell)
Escaneando portas específicas por protocolo
Usando a sintaxe -p U:53,T:25 instrui o Nmap a executar uma varredura UDP na porta 53 e
uma varredura TCP na porta 25.
O Nmap, por padrão, irá escanear apenas as portas TCP. Para escanear TCP e
Observação
portas UDP, você precisará habilitar tipos de verificação adicionais, como
-sU e -sT que são abordados na Seção 4 deste livro.
84
Analisar todas as portas
"*"
o -p opção é um curinga usado para verificar todas as 65.535 portas TCP/IP no
alvo.
“*”
Sintaxe de uso: nmap -p [alvo]
# nmap -p "*" 10.10.1.41

Horário padrão

7/tcp abrir eco
9/tcp abrir descartar
13/tcp aberto dia

19/tcp aberto lotes
21/tcp aberto ftp
23/tcp aberto telnet
25/tcp aberto smtp

37/tcp aberto tempo
111/tcp aberto rpcbind

113/tcp aberto autenticação
512/tcp aberto executivo
513/tcp aberto Conecte-se
514/tcp aberto concha
515/tcp aberto impressora

543/tcp aberto eu iria entupir
...
Verificando todas as portas em um sistema de destino
Você deve colocar a instrução curinga entre aspas para que seu sistema
Observação
não o interprete como um caractere curinga do shell.
85
Scan Top Ports
A opção --top-ports é usada para escanear o número especificado de portas classificadas no topo.
Sintaxe de uso: nmap --top-ports [número] [alvo]
# nmap --top-ports 10 10.10.1.41

21/tcp ftp aberto

22/tcp ssh fechado
23/tcp abrir telnet
25/tcp abrir smtp

80/tcp http fechado
443/tcp https fechado

445/tcp fechado microsoft-ds
3389/tcp fechado ms-term-serv
Executando uma varredura de porta superior nas dez portas mais bem classificadas
Por padrão, o Nmap irá escanear as 1000 portas mais usadas. A opção -F (consulte
página 81) reduz esse número para 100. Usando a opção --top-ports , você pode especificar
qualquer número de portas classificadas no topo para escanear.
O exemplo acima demonstra o uso da opção --top-ports para verificar os 10 principais
portos; no entanto, qualquer número pode ser usado. Por exemplo: nmap --top-ports 500 seria
escaneie as 500 portas mais usadas e o nmap --top-ports 5000 escanearia
as 5000 portas mais usadas.
86
Execute uma verificação de porta sequencial
A opção -r executa uma varredura de porta sequencial no destino especificado.
Sintaxe de uso: nmap -r [alvo]
$ nmap -r 10.10.1.48

21/tcp ftp aberto

22/tcp ssh aberto
25/tcp abrir smtp
80/tcp http aberto
2049/tcp aberto nfs
Executando uma verificação de porta sequencialmente ordenada
O algoritmo de varredura padrão do Nmap randomiza a ordem de varredura de portas. Isso é útil para
evitando firewalls e sistemas de prevenção de invasões. O parâmetro -r substitui isso
funcionalidade e instrui o Nmap a procurar sequencialmente por portas abertas em números
ordem.
Os resultados do -r scan não são totalmente evidentes porque o Nmap sempre
Observação classifica a saída final de cada varredura. Combinar a opção -v com -r irá
exibir a descoberta de porta sequencial em tempo real.
87
88
Seção 6:
Sistema Operacional e Detecção de Serviço
89
Visão geral da detecção de versão
Um dos recursos mais notáveis (e incrivelmente úteis) do Nmap é sua capacidade de
detectar sistemas operacionais e serviços em sistemas remotos. Este recurso analisa
respostas de alvos escaneados e tentativas de identificar o funcionamento do host
sistema e serviços instalados.
O processo de identificação do sistema operacional e das versões de software de um alvo é
conhecido como impressão digital TCP/IP. Embora não seja uma ciência exata, o Nmap
desenvolvedores tomaram muito cuidado ao tornar a impressão digital TCP/IP um método preciso e
recurso confiável. E, como a maioria dos recursos do Nmap, a detecção de versão pode ser
controlado usando uma matriz de argumentos que são abordados nesta seção.
Recurso Opção
Detecção do sistema operacional -O
Tente adivinhar um sistema operacional desconhecido --osscan-guess

Detecção da versão do serviço -sV
Executar uma verificação RPC --version-trace
Solução de problemas de verificações de versão -sR
90
Detecção do sistema operacional
O parâmetro -O ativa o recurso de detecção do sistema operacional do Nmap.
Sintaxe de uso: nmap -O [target]
# nmap -O 10.10.1.48

Horário de Verão
...
Tipo de dispositivo: propósito geral

Em execução: Linux 2.6.X
Detalhes do SO: Linux 2.6.9 - 2.6.28
Distância de rede: 1 salto
...
Saída do recurso de detecção do sistema operacional do Nmap
Como demonstrado acima, o Nmap é (na maioria dos casos) capaz de identificar o
sistema em um alvo remoto. A detecção do sistema operacional é realizada analisando
respostas do alvo para um conjunto de características previsíveis que podem ser usadas
para identificar o tipo de SO no sistema remoto.
Para que a detecção do SO funcione corretamente, deve haver pelo menos um aberto e um
porta fechada no sistema de destino. Ao verificar vários alvos, o --osscan-limit
A opção pode ser combinada com -O para instruir o Nmap a não escanear os hosts que não
atender a este critério.
A opção -v pode ser combinada com -O para exibir informações adicionais

Dica
Nmap descobre sobre o sistema remoto.
91
Envio de impressões digitais TCP/IP
Se o Nmap for incapaz de determinar o sistema operacional em um alvo, ele fornecerá uma
impressão digital que pode ser enviada ao banco de dados do sistema operacional do Nmap em
www.nmap.org/submit/. O exemplo abaixo demonstra a saída do Nmap neste
cenário.
# nmap -O 10.10.1.11

Horário padrão
...
Nenhuma correspondência exata do sistema operacional para o host (se você souber qual sistema operacional está sendo executado nele,
consulte http://nmap.org/submit/ ).
Impressão digital TCP/IP:
SO:SCAN(V=5,00%D=12/16%OT=3001%CT=1%CU=32781%PV=Y%DS=1%G=Y%M=00204A%TM=4B29
OS:4048%P=i686-pc-windows-windows)SEQ(CI=I%II=I%TS=U)OPS(O1=M400%O2=%O3=%O4
OS:=%O5=%O6=)OPS(O1=M400%O2=M400%O3=%O4=%O5=%O6=)OPS(O1=%O2=M400%O3=M400%O4
OS:=%O5=%O6=)OPS(O1=%O2=%O3=M400%O4=%O5=%O6=)OPS(O1=M400%O2=%O3=M400%O4=%O5
SO:=%O6=)WIN(W1=7FF%W2=0%W3=0%W4=0%W5=0%W6=0)WIN(W1=7FF%W2=7FF%W3=0%W4=0) %W5
SO:=0%W6=0)WIN(W1=0%W2=7FF%W3=7FF%W4=0%W5=0%W6=0)WIN(W1=0%W2=0%W3=7FF%W4 =0%
SO:W5=0%W6=0)WIN(W1=7FF%W2=0%W3=7FF%W4=0%W5=0%W6=0)ECN(R=Y%DF=Y%T=40% W=0%O=
OS:%CC=N%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%RD=0%Q=)T1(R=Y%DF =Y%T=40%S=O%A=O
OS:%F=AS%RD=0%Q=)T1(R=Y%DF=Y%T=40%S=Z%A=S+%F=AR%RD=0%Q=)T2(R =Y%DF=Y%T=40%W=
OS:0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T3(R=Y%DF=Y%T=40%W=0%S=Z%A= S+%F=AR%O=%RD=0%Q=
OS:)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF =Y%T=40%W=0%S=Z%A=
OS:S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O= %RD=0%Q=)T7(R=Y%DF
OS:=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=Y%T=40%IPL =38%UN=0%RIPL=G
SO:%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=S%T=40%CD=S)
...
Impressão digital TCP/IP gerada pelo Nmap
Ao enviar a impressão digital gerada e identificar corretamente o sistema de destino
sistema operacional, você pode ajudar a melhorar a precisão da detecção do sistema operacional do Nmap
recurso em versões futuras.
92
Tentativa de adivinhar um sistema operacional desconhecido
Se o Nmap não conseguir identificar com precisão o sistema operacional, você pode forçá-lo a adivinhar usando
a opção --osscan-guess .
Sintaxe de uso: nmap -O --osscan-guess [alvo]
# nmap -O --osscan-guess 10.10.1.11

3001/tcp nessus aberto
Endereço MAC: 00:20:4A:69:FD:94 (Pronet Gmbh)
Suposições agressivas do sistema operacional: dispositivo de monitoramento de energia Enerdis Enerium 200 ou
Projetor Mitsubishi XD1000 (96%), serial externo Lantronix UDS200
servidor de dispositivo (96%), servidor de dispositivo serial embutido Lantronix Xport-03
(firmware 6.1.0.3) (95%), servidor NTP Larus 54580 (95%), Lantronix
Evolution OS (93%), servidor de dispositivo serial externo Lantronix UDS1100
(92%), servidor de dispositivo Ethernet embutido Lantronix XPort (90%),
Dispositivo de monitoramento ambiental da Stonewater Control Systems (88%),
FreeBSD 6.3-PRÉ-LANÇAMENTO (88%), Crestron MC2E, MP2E, PRO2 ou QM-RMC
sistema de controle e automação (Série 2) (87%)

...
Saída de estimativa do sistema operacional Nmap
O exemplo acima exibe uma lista de possíveis correspondências para a operação do alvo
sistema. Cada palpite é listado com uma porcentagem de confiança que o Nmap tem no
fósforo fornecido.
A opção --fuzzy é um sinônimo que pode ser usado como uma opção fácil de lembrar
Dica
atalho para o recurso --osscan-guess .
93
Detecção da versão do serviço
O parâmetro -sV ativa o recurso de detecção de versão do serviço do Nmap.
Sintaxe de uso: nmap -sV [destino]
# nmap -sV 10.10.1.48
Horário de Verão

PORTA VERSÃO DE SERVIÇO DE ESTADO
21/tcp ftp aberto vsftpd 2.0.6
22/tcp ssh aberto OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocolo 2.0)
25/tcp abrir smtp Postfix smtpd
80/tcp aberto http Apache httpd 2.2.8 ((Ubuntu))
Informações de serviço: Host: 10.10.1.48; SOs: Unix, Linux
Detecção de serviço realizada. Por favor, reporte quaisquer resultados incorretos em
http://nmap.org/submit/.
Saída do recurso de detecção de versão de serviço do Nmap
A opção -sV tentará identificar o fornecedor e a versão do software para qualquer
portas abertas que detecta. Os resultados da verificação acima mostram o fornecedor do software e
número de versão para serviços que o Nmap foi capaz de identificar com sucesso.
A detecção de versão do Nmap pula propositadamente algumas portas problemáticas
(especificamente 9100-9107). Isso pode ser substituído combinando o

Observação
--allports parâmetro com -sV que instrui o Nmap a não excluir nenhum
portas da detecção de versão.
94
Solução de problemas de verificações de versão
A opção --version-trace pode ser habilitada para exibir a atividade de verificação de versão detalhada.
Sintaxe de uso: nmap -sV --version-trace [target]
$ nmap -sV --version-trace 10.10.1.48
PORTAS: Usando as 1000 principais portas abertas (TCP:1000, UDP:0, SCTP:0)
--------------- Relatório de tempo ---------------
grupos de hosts: min 1, max 100000
rtt-timeouts: init 1000, min 100, max 10000
max-scan-delay: TCP 1000, UDP 1000, SCTP 1000
paralelismo: min 0, max 0
tentativas máximas: 10, tempo limite do host: 0
taxa mínima: 0, taxa máxima: 0

---------------------------------------------
NSE: 3 scripts carregados para verificação.
Taxas gerais de envio: 319,95 pacotes/s.
Max_successful_tryno aumentado para 10.10.1.48 para 1 (queda de pacotes)
NSOCK (1.6000s) Conexão TCP solicitada para 10.10.1.48:21 (IOD #1) EID 8
NSOCK (1.6000s) nsock_loop() iniciado (sem tempo limite). 6 eventos pendentes

NSOCK (1.6010s) Callback: CONNECT SUCCESS for EID 8 [10.10.1.48:21]
...
Saída de rastreamento de verificação de versão
A opção --version-trace pode ser útil para depurar problemas ou obter
informações adicionais sobre o sistema de destino. Para mais informações sobre
solução de problemas e depuração do Nmap, consulte a Seção 10.
95
Executar uma verificação RPC
A opção -sR executa uma varredura RPC (Remote Procedure Call) no destino especificado.
Sintaxe de uso: nmap -sR [destino]
$ nmap -sR 10.10.1.176
Horário de Verão

PORTA SERVIÇO DE ESTADO VERSÃO
22/tcp ssh aberto
111/tcp aberto rpcbind (rpcbind V2) 2 (rpc #100000)
2049/tcp nfs aberto (nfs V2-4) 2-4 (rpc # 100003)
Endereço MAC: 00:16:EA:F0:92:50 (Intel)
Saída de uma varredura RPC
A saída da varredura -sR acima exibe informações sobre os serviços RPC em execução
no sistema de destino. O RCP é mais comumente associado aos sistemas Unix e Linux
especificamente para o serviço NFS (Network File System). Neste exemplo, NFS versão 2
Os serviços RPC são detectados nas portas 111 e 2049.
96
Seção 7:
Opções de tempo
97
Visão geral das opções de tempo
Muitos recursos do Nmap têm opções de tempo configuráveis. Essas opções de tempo podem ser
usado para acelerar ou desacelerar as operações de digitalização, dependendo de suas necessidades.
Ao escanear um grande número de hosts em uma rede rápida, você pode querer aumentar
o número de operações paralelas para obter resultados mais rápidos. Como alternativa, ao digitalizar
redes lentas (ou através da internet) você pode querer desacelerar uma varredura para obter
resultados mais precisos ou para escapar dos sistemas de detecção de intrusão. esta seção
discute as opções disponíveis para esses recursos de temporização.
Recurso Opção
Modelos de tempo -T[0-5]
Definir o pacote TTL --ttl
Número mínimo de operações paralelas --min-parallelism --
Nº Máximo de Operações Paralelas max-parallelism --min-
Tamanho mínimo do grupo de hosts hostgroup --max-
Tamanho máximo do grupo de hosts hostgroup

Tempo Limite RTT Máximo --max-rtt-timeout
Tempo Limite RTT Inicial --initial-rtt-timeout
Máximo de tentativas --max-retries
Tempo Limite do Host --host-timeout
Atraso Mínimo de Varredura --scan-delay --
Atraso Máximo de Varredura max-scan-delay

Taxa Mínima de Pacotes --min-taxa
Taxa Máxima de Pacotes --taxa máxima
Derrote os limites de taxa de redefinição --defeat-rst-ratelimit
98
Parâmetros de tempo
Os parâmetros de tempo do Nmap são aceitos como milissegundos por padrão. Você também pode
especificar parâmetros de tempo em segundos, minutos ou horas anexando um qualificador para
o argumento do tempo. A tabela abaixo fornece exemplos de uso do parâmetro de tempo
sintaxe.
Parâmetro Definição Exemplo Significado
(nenhum) Milissegundos (1/1000 de segundo) 500 500 milissegundos
s Segundos 300s 300 segundos
m Minutos 5m 5 minutos
h Horas 1h 1 hora
Parâmetros de especificação de tempo do Nmap
Exemplo: a opção --host-timeout (na página 108) usa um parâmetro de tempo. Para
especifique um tempo limite de cinco minutos, você pode usar qualquer uma das seguintes formas de tempo
especificação:
nmap --host-timeout 300000 10.10.5.11
nmap --host-timeout 300s 10.10.5.11
nmap --host-timeout 5m 10.10.5.11
Como 300000 = 300s = 5m, qualquer um dos comandos acima produzirá o mesmo resultado.
99
Modelos de tempo
O parâmetro -T é usado para especificar um modelo de tempo para uma varredura do Nmap.
Sintaxe de uso: nmap -T[0-5] [alvo]
$ nmap -T4 10.10.1.1

80/tcp http aberto

443/tcp abrir https
Usando um modelo de tempo
Os modelos de temporização são atalhos úteis para várias opções de temporização (discutidas posteriormente em
esta seção). Existem seis modelos (numerados de 0 a 5) que podem ser usados para acelerar
digitalização (para resultados mais rápidos) ou para desacelerar a digitalização (para evitar firewalls). A mesa
abaixo descreve cada modelo de tempo.
Modelo Nome Notas

-T0 paranóico extremamente lento
-T1 Útil para evitar sistemas de detecção de intrusão
-T2 É improvável
sorrateiramente educado que interfira com o sistema de destino
-T3 normal Este é o modelo de tempo padrão
-T4 agressivo Produz resultados mais rápidos em redes locais
-T5 insano Varredura muito rápida e agressiva
Modelos de temporização do Nmap
100
Número Mínimo de Operações Paralelas
A opção --min-parallelism é usada para especificar o número mínimo de paralelos
operações de varredura de porta que o Nmap deve executar a qualquer momento.
Sintaxe de uso: nmap --min-parallelism [number] [target]
# nmap --min-parallelism 100 10.10.1.70

2967/tcp fechado symantec-av
5900/tcp vnc aberto
19283/tcp fechado desconhecido
Especificando o número mínimo de operações paralelas
O Nmap ajusta automaticamente as opções de varredura paralela com base nas condições da rede.
Em alguns casos raros, você pode querer especificar configurações personalizadas. O exemplo acima
instrui o Nmap a sempre executar pelo menos 100 operações paralelas a qualquer momento.
Embora a configuração manual da opção --min-parallelism possa aumentar a verificação

Observação
desempenho, configurá-lo muito alto pode produzir resultados imprecisos.
101
Número Máximo de Operações Paralelas
A opção --max-parallelism é usada para controlar o número máximo de paralelos
operações de varredura de porta que o Nmap executará a qualquer momento.
Sintaxe de uso: nmap --max-parallelism [number] [target]
# nmap --max-parallelism 1 10.10.1.70

2967/tcp fechado symantec-av
5900/tcp vnc aberto
Especificando o número máximo de operações paralelas
No exemplo acima --max-parallelism 1 é usado para restringir o Nmap para que apenas um
operação é executada de cada vez. Esta varredura será consideravelmente lenta, mas será menos
provavelmente sobrecarregará o sistema de destino com uma enxurrada de pacotes.
102
Tamanho mínimo do grupo de hosts
A opção --min-hostgroup é usada para especificar o número mínimo de alvos
O Nmap deve escanear em paralelo.
Sintaxe de uso: nmap --min-hostgroup [number] [targets]
# nmap --min-hostgroup 30 10.10.1.0/24

80/tcp http aberto
443/tcp abrir https
Endereço MAC: 00:06:B1:12:0D:14 (Sonicwall)

23/tcp abrir telnet
80/tcp http aberto
Endereço MAC: 00:19:B9:A6:ED:D9 (Dell)
...
Especificando um tamanho mínimo de grupo de hosts
O Nmap executará varreduras em paralelo para economizar tempo ao escanear vários alvos
como um intervalo ou sub-rede inteira. Por padrão, o Nmap ajustará automaticamente o tamanho
dos grupos de hosts com base no tipo de varredura que está sendo executada e rede
condições. Ao especificar a opção --min-hostgroup , o Nmap tentará manter
os tamanhos de grupo acima do número especificado.
103
Tamanho máximo do grupo de hosts
A opção --max-hostgroup é usada para especificar o número máximo de alvos
O Nmap deve escanear em paralelo.
Sintaxe de uso: nmap --max-hostgroup [number] [targets]
# nmap --max-hostgroup 10 10.10.1.0/24

80/tcp http aberto
443/tcp abrir https
Endereço MAC: 00:06:B1:12:0D:14 (Sonicwall)

23/tcp abrir telnet
80/tcp http aberto
Endereço MAC: 00:19:B9:A6:ED:D9 (Dell)
...
Especificando um tamanho máximo de grupo de hosts
Em contraste com a opção --min-hostgroup , a opção --max-hostgroup controla o
número máximo de hosts em um grupo. Esta opção é útil se você deseja reduzir
a carga em uma rede ou para evitar o acionamento de bandeiras vermelhas com vários
produtos de segurança.
104
Tempo Limite RTT Inicial
A opção --initial-rtt-timeout controla o tempo limite inicial do RTT (tempo de ida e volta)
valor usado pelo Nmap.
Sintaxe de uso: nmap --initial-rtt-timeout [time] [target]
# nmap --initial-rtt-timeout 5000 scanme.insecure.org


80/tcp abrir http
Especificando o valor de tempo limite RTT inicial usado pelo Nmap
O modelo de tempo padrão (-T3; consulte a página 100) tem um valor --initial-rtt-timeout de
1000 milissegundos. Aumentar o valor reduzirá o número de pacotes
retransmissões devido a timeouts. Ao diminuir o valor, você pode acelerar as varreduras;
mas faça isso com cautela. Definir o valor de tempo limite RTT muito baixo pode anular qualquer
potenciais ganhos de desempenho e levar a resultados imprecisos.
105
Tempo Limite RTT Máximo
A opção --max-rtt-timeout é usada para especificar o RTT máximo (Ida e volta
Time) timeout para uma resposta de pacote.
Sintaxe de uso: nmap --max-rtt-timeout [time] [target]
# nmap --max-rtt-timeout 400 scanme.insecure.org

25/tcp smtp fechado

80/tcp abrir http

Especificando um tempo limite RTT máximo de 400 milissegundos
O Nmap ajusta dinamicamente as opções de tempo limite de RTT para obter melhores resultados por padrão. O
o tempo limite RTT máximo padrão é de 10 segundos. Ajustando manualmente o RTT máximo
tempo limite menor permitirá tempos de varredura mais rápidos (especialmente ao escanear grandes blocos
de endereços). Especificar um tempo limite de RTT máximo alto evitará que o Nmap
desistir cedo demais ao digitalizar em conexões lentas/não confiáveis. Valores tipicos
estão entre 100 milissegundos para redes rápidas/confiáveis e 10000 milissegundos para
conexões lentas/não confiáveis.
106
Máximo de tentativas
A opção --max-retries é usada para controlar o número máximo de testes
retransmissões que o Nmap tentará realizar.
Sintaxe de uso: nmap --max-retries [número] [alvo]
# nmap --max-retries 1 scanme.insecure.org

25/tcp smtp fechado

80/tcp abrir http

Especificando o número máximo de tentativas
Por padrão, o Nmap ajustará automaticamente o número de retransmissões de sonda
com base nas condições da rede. A opção --max-retries pode ser usada se você quiser
substituir as configurações padrão ou solucionar um problema de conectividade. Especificando um
número alto pode aumentar o tempo que leva para uma verificação ser concluída, mas produzirá
resultados mais precisos. Ao diminuir o --max-retries, você pode acelerar uma varredura –
embora você possa não obter resultados precisos se o Nmap desistir muito rapidamente.
107
Definir o pacote TTL
A opção --ttl é usada para especificar o TTL (time-to-live) para a verificação especificada (em
milissegundos).
Sintaxe de uso: nmap --ttl [tempo] [alvo]
# nmap --ttl 500 scanme.insecure.org

25/tcp smtp fechado

80/tcp abrir http

Especificando um parâmetro TTL de 500 milissegundos
Os pacotes enviados usando esta opção terão o valor TTL especificado. Esta opção é útil
ao escanear alvos em conexões lentas onde os pacotes normais podem atingir o tempo limite
antes de receber uma resposta.
108
Tempo Limite do Host
A opção --host-timeout faz com que o Nmap desista de hosts lentos após o especificado
tempo.
Sintaxe de uso: nmap --host-timeout [time] [target]
# nmap --host-timeout 1m 10.10.5.11

Ignorando o host 10.10.5.11 devido ao tempo limite do host
Saída de uma varredura do Nmap ao especificar um tempo limite de 1 minuto
Um host pode levar muito tempo para verificar se estiver localizado em uma rede lenta ou não confiável.
Os sistemas protegidos por firewalls de limitação de taxa também podem levar um tempo considerável
quantidade de tempo para digitalizar. A opção --host-timeout instrui o Nmap a desistir do
sistema de destino se ele não for concluído após o intervalo de tempo especificado. No acima
exemplo, a varredura leva mais de um minuto para ser concluída (conforme especificado pelo 1m
parâmetro) que faz com que o Nmap termine a varredura. Esta opção é particularmente
útil ao escanear vários sistemas em uma WAN ou conexão com a Internet.
O Nmap executa operações paralelas ao escanear vários alvos. No
caso um host esteja demorando muito para responder, o Nmap provavelmente

Observação
verificando outros hosts durante esse tempo. Isso reduz possíveis gargalos
que hosts lentos podem criar.
Quando a opção --host-timeout é especificada, o Nmap não exibirá nenhum

Aviso
resulta se um host exceder o tempo limite (mesmo que tenha descoberto portas abertas).
109
Atraso Mínimo de Varredura
A opção --scan-delay instrui o Nmap a pausar pelo intervalo de tempo especificado
entre sondas.
Sintaxe de uso: nmap --scan-delay [time] [target]
# nmap --scan-delay 5s scanme.insecure.org
Iniciando o Nmap 5.00 ( http://nmap.org ) em 2009-11-04 13:29 CST

25/tcp smtp fechado

80/tcp abrir http

Especificando um atraso mínimo de varredura de 5 segundos
Alguns sistemas empregam limitação de taxa que pode dificultar as tentativas de varredura do Nmap.
O Nmap ajustará automaticamente o atraso de varredura por padrão em sistemas onde a taxa
limite é detectado. Em alguns casos, pode ser útil especificar seu próprio atraso de varredura se
você sabe que a limitação de taxa ou IDS (Sistemas de Detecção de Intrusão) estão em uso. No
exemplo acima, o atraso de varredura de 5s instrui o Nmap a esperar cinco segundos entre
sondas.
110
Atraso Máximo de Varredura
O --max-scan-delay é usado para especificar a quantidade máxima de tempo que o Nmap deve
esperar entre as sondas.
Sintaxe de uso: nmap --max-scan-delay [time] [target]
# nmap --max-scan-delay 300 scanme.insecure.org

25/tcp smtp fechado

80/tcp abrir http

Especificando um atraso máximo de varredura de 30 milissegundos
O Nmap ajusta automaticamente o atraso da varredura para ajustar as condições da rede e/ou
hosts limitadores de taxa. A opção --max-scan-delay pode ser usada para fornecer uma
limitar a quantidade de tempo entre sondas. Isso pode acelerar uma varredura, mas vem em
a despesa de resultados precisos e estresse de rede adicionado.
111
Taxa Mínima de Pacotes
A opção --min-rate é usada para especificar o número mínimo de pacotes Nmap
deve enviar por segundo.
Sintaxe de uso: nmap --min-rate [número] [alvo]
# nmap --min-rate 30 scanme.insecure.org
Iniciando o Nmap 5.00 (http://nmap.org) em 10/11/2009 14:13 CST

25/tcp smtp fechado

80/tcp abrir http

Especificando uma taxa mínima de transmissão de pacotes de 30
O Nmap, por padrão, ajustará automaticamente a taxa de pacotes para uma varredura baseada em
condições da rede. Em alguns casos, você pode querer especificar seu próprio mínimo
taxa - embora isso geralmente não seja recomendado. No exemplo acima
--min-rate 30 instrui o Nmap a enviar pelo menos 30 pacotes por segundo. Nmap irá
use o número como um limite baixo, mas pode digitalizar mais rápido do que isso se a rede
condições permitem.
Aviso Definir --min-rate muito alto pode reduzir a precisão de uma varredura.
112
Taxa Máxima de Pacotes
A opção --max-rate é usada para especificar o número máximo de pacotes Nmap
deve enviar por segundo.
Sintaxe de uso: nmap --max-rate [número] [alvo]
# nmap --max-rate 30 scanme.insecure.org

25/tcp smtp fechado

80/tcp abrir http

Especificando uma taxa máxima de transmissão de pacotes de 30
No exemplo acima, especificar --max-rate 30 instrui o Nmap a não enviar mais
que 30 pacotes por segundo. Isso pode retardar drasticamente uma verificação, mas pode ser
útil ao tentar evitar sistemas de detecção de intrusão ou um alvo que usa
limitação de taxa.
Para executar uma varredura muito sorrateira, use --max-rate 0.1 que instrui o Nmap a
Dica
enviar um pacote a cada dez segundos.
113
Derrote os limites de taxa de redefinição
O --defeat-rst-ratelimit é usado para derrotar alvos que aplicam limitação de taxa ao RST
(reiniciar) pacotes.
Sintaxe de uso: nmap --defeat-rst-ratelimit [target]
# nmap --defeat-rst-ratelimit scanme.insecure.org

25/tcp smtp fechado

80/tcp abrir http

Derrotando os limites de taxa RST
A opção --defeat-rst-ratelimit pode ser útil se você quiser acelerar as varreduras em
alvos que implementam limites de taxa de pacotes RST. Pode, no entanto, levar a erros de
resultados e, como tal, raramente é usado.
A opção --defeat-rst-ratelimit raramente é usada porque, na maioria dos casos,
Observação
O Nmap detectará automaticamente os hosts de limitação de taxa e se ajustará
de acordo.
114
Seção 8:
Fugindo de Firewalls
115
Visão geral das técnicas de evasão de firewall
Firewalls e sistemas de prevenção contra invasões são projetados para impedir que ferramentas como o Nmap
de obter uma imagem precisa dos sistemas que estão protegendo. Nmap inclui
uma série de recursos projetados para contornar essas defesas. Esta seção discute
as várias técnicas de evasão incorporadas ao Nmap.
Recurso Opção
Pacotes de fragmentos -f
Especifique um MTU específico -- uma pessoa
Use uma isca -D
Varredura de zumbi ocioso -e
Especificar manualmente uma porta de origem --source-port --
Anexar dados aleatórios data-length
Randomizar Ordem de Varredura de Alvo --randomize-hosts
Endereço MAC falso --spoof-mac

Enviar somas de verificação inválidas --badsum
116
Pacotes de fragmentos
A opção -f é usada para fragmentar sondas em pacotes de 8 bytes.
Sintaxe de uso: nmap -f [target]
# nmap -f 10.10.1.48

21/tcp ftp aberto
22/tcp ssh aberto
25/tcp abrir smtp
80/tcp http aberto
2049/tcp aberto nfs
Escaneando um alvo usando pacotes fragmentados
A opção -f instrui o Nmap a enviar pequenos pacotes de 8 bytes, fragmentando assim o
sonda em muitos pacotes muito pequenos. Esta opção não é particularmente útil no dia a dia
situações; no entanto, pode ser útil ao tentar fugir de alguns mais velhos ou
firewalls configurados incorretamente.
Alguns sistemas operacionais de host podem exigir o uso de --send-eth combinado
Dica
com -f para que os pacotes fragmentados sejam transmitidos corretamente.
117
Especifique um MTU específico
A opção --mtu é usada para especificar uma MTU (unidade máxima de transmissão) personalizada.
Sintaxe de uso: nmap --mtu [número] [alvo]
# nmap --man 16 10.10.1.48

21/tcp ftp aberto
22/tcp ssh aberto
25/tcp abrir smtp
80/tcp http aberto
2049/tcp aberto nfs
Especificando um MTU específico
A opção --mtu é semelhante à opção -f (discutida na página 117), exceto que permite
você especificar seu próprio MTU a ser usado durante a digitalização. Isso cria fragmentos
pacotes que podem potencialmente confundir alguns firewalls. No exemplo acima, o
O argumento --mtu 16 instrui o Nmap a usar pequenos pacotes de 16 bytes para a varredura.
Nota O MTU deve ser um múltiplo de 8 (exemplo 8, 16, 24, 32, etc).
Alguns sistemas operacionais de host podem exigir o uso de --send-eth combinado

Dica
com --mtu para que os pacotes fragmentados sejam transmitidos corretamente.
118
Use uma isca
A opção -D é usada para mascarar uma varredura do Nmap usando um ou mais chamarizes.
Sintaxe de uso: nmap -D [decoy1,decoy2,etc|RND:number] [target]
# nmap -D RND:10 10.10.1.48

...
Mascarando uma varredura usando 10 endereços IP falsos gerados aleatoriamente
Ao executar uma varredura de isca, o Nmap falsificará pacotes adicionais do
número especificado de endereços chamariz. Isso efetivamente faz parecer que o
o alvo está sendo verificado por vários sistemas simultaneamente. O uso de iscas permite
fonte real da varredura para "misturar-se na multidão", o que torna mais difícil rastrear
de onde vem a varredura.
No exemplo acima, nmap -D RND:10 instrui o Nmap a gerar 10 aleatórios
iscas. Você também pode especificar endereços chamariz manualmente usando a seguinte sintaxe:
nmap -D decoy1, decoy2, decoy3, etc.
O uso de muitos chamarizes pode causar congestionamento na rede e reduzir o
eficácia de uma varredura. Além disso, alguns provedores de serviços de Internet

Aviso pode filtrar o tráfego falsificado, o que reduzirá a eficácia do uso
chamarizes para camuflar sua atividade de digitalização.
119
Varredura de zumbi ocioso
A opção -sI é usada para executar uma varredura inativa de zumbis.
Sintaxe de uso: nmap -sI [host zumbi] [alvo]
# nmap -sI 10.10.1.41 10.10.1.252
Varredura ociosa usando zumbi 10.10.1.41 (10.10.1.41:443); Classe: Incremental
Não mostrado: 997 portas fechadas|filtradas

135/tcp abrir msrpc
Endereço MAC: 00:25:64:D7:FF:59 (Dell)
Usando um “zumbi” ocioso para escanear um alvo
A varredura de zumbi ociosa é uma técnica de varredura única que permite explorar um
sistema ocioso e use-o para escanear um sistema de destino para você. Neste exemplo 10.10.1.41 é
o zumbi e 10.10.1.252 é o sistema alvo. A verificação funciona explorando o
geração previsível de ID de sequência de IP empregada por alguns sistemas. Para um
varredura ociosa para ser bem-sucedida, o sistema zumbi deve estar realmente ocioso no momento da
digitalização.
Com esta varredura, nenhum pacote de teste é enviado de seu sistema para o destino;
Observação embora um pacote de ping inicial seja enviado ao alvo, a menos que você
combine -PN com -sI.
Mais informações sobre a verificação de zumbis ociosos podem ser encontradas no site do Nmap em
www.nmap.org/book/idlescan.html.
120
Especificar manualmente um número de porta de origem
A opção --source-port é usada para especificar manualmente o número da porta de origem de um
sonda.
Sintaxe de uso: nmap --source-port [port] [target]
# nmap --source-port 53 scanme.insecure.org

25/tcp smtp fechado

80/tcp abrir http

Especificando manualmente o número da porta de origem do pacote
Cada segmento TCP contém um número de porta de origem, além de um destino. Por
padrão, o Nmap escolherá aleatoriamente uma porta de origem de saída disponível para sondar um
alvo. A opção --source-port forçará o Nmap a usar a porta especificada como
fonte para todos os pacotes. Esta técnica pode ser usada para explorar pontos fracos em firewalls
configurados incorretamente para aceitar cegamente o tráfego de entrada com base em um
número da porta. Porta 20 (FTP), porta 53 (DNS) e 67 (DHCP) são portas comuns
susceptíveis a este tipo de verificação.
Dica A opção -g é um atalho que é sinônimo de --source-port.
121
Anexar dados aleatórios
A opção --data-length pode ser usada para anexar dados aleatórios aos pacotes de sondagem.
Sintaxe de uso: nmap --data-length [número] [alvo]
# nmap --data-length 25 10.10.1.252

135/tcp abrir msrpc
5800/tcp aberto vnc-http
5900/tcp vnc aberto
Endereço MAC: 00:25:64:D7:FF:59 (Dell)
Preenchendo uma varredura com dados aleatórios para evitar a detecção
O Nmap transmite pacotes que geralmente são de um tamanho específico. Alguns fornecedores de firewall
saiba procurar esse tipo de tamanho de pacote previsível. A opção --data-length adiciona
a quantidade especificada de dados adicionais para sondas em um esforço para contornar esses
tipos de cheques. No exemplo acima, 25 bytes adicionais são adicionados a todos os pacotes
enviado ao alvo.
122
Randomizar Ordem de Varredura de Alvo
A opção --randomize-hosts é usada para randomizar a ordem de varredura do
alvos especificados.
Sintaxe de uso: nmap --randomize-hosts [alvos]
$ nmap --randomize-hosts 10.10.1.100-254

5900/tcp vnc aberto
Endereço MAC: 00:1C:23:49:75:0C (Dell)

5900/tcp vnc aberto
Endereço MAC: 00:21:9B:3F:AC:EC (Dell)

22/tcp ssh aberto

...
Sistemas de varredura em uma ordem aleatória
A opção --randomize-hosts ajuda a evitar que varreduras de vários alvos sejam
detectados por firewalls e sistemas de detecção de intrusão. Isso é feito digitalizando-os
em uma ordem aleatória em vez de sequencial.

123
Endereço MAC falso
O --spoof-mac é usado para falsificar o endereço MAC (Media Access Control) de um
dispositivo ethernet.
Sintaxe de uso: nmap --spoof-mac [vendor|MAC|0] [alvo]
# nmap -sT -PN --spoof-mac 0 192.168.1.1

Falsificação de endereço MAC 00:01:02:25:56:AE (3com)

21/tcp ftp fechado
80/tcp http aberto
Usando um endereço MAC falsificado
Neste exemplo, o Nmap é instruído a forjar um MAC 3com gerado aleatoriamente
endereço. Isso torna sua atividade de varredura mais difícil de rastrear, impedindo que seu MAC
endereço seja registrado no sistema de destino.
A opção --spoof-mac pode ser controlada pelos seguintes parâmetros:
Argumento 0 Função
(zero) Gera um endereço MAC aleatório
Endereço MAC específico Usa o endereço MAC especificado

Nome do vendedor Gera um endereço MAC do fornecedor especificado (como Apple, Dell,
3Com, etc.)
Opções de falsificação de endereço MAC
124
Enviar somas de verificação inválidas
A opção --badsum é usada para enviar pacotes com somas de verificação incorretas para o
host especificado.
Sintaxe de uso: nmap --badsum [target]
# nmap --badsum 10.10.1.41

Todas as 1000 portas verificadas em 10.10.1.41 são filtradas
Escaneando um alvo usando somas de verificação incorretas
O protocolo TCP/IP usa somas de verificação para garantir a integridade dos dados. Fazendo pacotes com
somas de verificação incorretas podem, em raras ocasiões, produzir uma resposta de um
sistema configurado. No exemplo acima, não recebemos nenhum resultado, o que significa
o sistema de destino está configurado corretamente. Este é um resultado típico ao usar o
opção --badsum .
Somente um sistema mal configurado responderia a um pacote com um mau
Observação checksum. No entanto, é uma boa ferramenta para usar ao auditar rede
segurança ou tentando escapar de firewalls.
125
126
Seção 9:
Opções de saída
127
Visão geral das opções de saída
O Nmap oferece várias opções para criar uma saída formatada. Além de exibir
a saída padrão em uma tela, você também pode salvar os resultados da verificação em um arquivo de texto, XML
ou um arquivo grepable de linha única. Esse recurso pode ser útil ao digitalizar um grande
número de sistemas ou para comparar os resultados de duas varreduras usando o utilitário ndiff
(discutido na Seção 13).
O utilitário de correspondência de padrão grep está disponível apenas em Unix, Linux e
Sistemas Mac OS X por padrão. Os usuários do Windows podem baixar uma porta Win32
Observação
do programa GNU grep em http:// gnuwin32.sourceforge.net para usar com
os exemplos discutidos nesta seção.
Recurso Opção
Salvar a saída em um arquivo de texto -sobre
Salvar a saída em um arquivo XML -boi
Saída para Grep -e
Saída de todos os tipos de arquivo suportados -oA
Estatísticas de Exibição Periódica --stats-every
133t Saída -oS
128
Salvar a saída em um arquivo de texto
O parâmetro -oN salva os resultados de uma varredura em um arquivo de texto simples.
Sintaxe de uso: nmap -oN [scan.txt] [destino]
$ nmap -oN scan.txt 10.10.1.1

80/tcp http aberto

443/tcp abrir https
Salvando a saída do Nmap em um arquivo de texto
Os resultados da varredura acima são salvos no arquivo scan.txt mostrado abaixo.
$ cat scan.txt
# Nmap 5.00 scan iniciado em 13 de agosto 15:17:16 2009 como: nmap -oN
scan.txt 10.10.1.1

80/tcp http aberto

443/tcp abrir https
# Nmap feito em qui 13 de agosto 15:17:17 2009 -- 1 endereço IP (1 host ativo)

digitalizado em 0,47 segundos
Revendo o conteúdo do arquivo scan.txt
O Nmap sobrescreverá um arquivo de saída existente, a menos que --append-output

Observação
opção é combinada com -oN.
129
Salvar a saída em um arquivo XML
O parâmetro -oX salva os resultados de uma varredura em um arquivo XML.
Sintaxe de uso: nmap -oX [scan.xml] [destino]
$ nmap -oX scan.xml 10.10.1.1

80/tcp http aberto

443/tcp abrir https
...
Criando um arquivo de saída XML
Os resultados da varredura acima são salvos no arquivo scan.xml mostrado abaixo.
$ cat scan.xml
<?xml versão="1.0" ?>
<?xml-stylesheet href="file:///usr/local/share/nmap/nmap.xsl"
digite="texto/xsl"?>

<nmaprun scanner="nmap" args="nmap -oX scan.xml 10.10.1.1"

start="1250194784" startstr="Qui 13 de agosto 15:19:44 2009" versão="5.00"
...
Visualizando o conteúdo do arquivo de saída XML
O arquivo XML resultante possui caminhos de arquivo codificados que podem funcionar apenas no sistema
onde o arquivo foi criado. O parâmetro --webxml pode ser combinado com -oX para
crie um arquivo portátil para qualquer sistema (com acesso à internet). Você também pode especificar um
folha de estilo alternativa usando o parâmetro --stylesheet . Para evitar referenciar um estilo
folha, use o parâmetro --no-stylesheet .
130
Saída para Grep
A opção -oG habilita a saída grepable.
Sintaxe de uso: nmap -oG [scan.txt] [destino]
$ nmap -oG scan.txt -F -O 10.10.1.1/24

80/tcp http aberto
443/tcp abrir https

...
Criando um arquivo de saída grepable
A digitalização resultante é salva no arquivo de texto especificado, o que pode ser útil quando
combinado com ferramentas de análise de texto como Perl ou grep (conforme exibido abaixo).
$ grep "Windows 98" scan.txt
Host: 10.10.1.217 Portas: 139/open/tcp//netbios-ssn///,
5800/open/tcp//vnc-http///, 5900/open/tcp//vnc/// Estado ignorado:
fechado (97) OS: Microsoft Windows 98 SE Índice Seq: 18 ID do IP
Seq: Incremental little-endian quebrado

...
Usando o utilitário grep para revisar um arquivo de saída Nmap
No exemplo acima, o utilitário grep exibirá todas as instâncias do texto especificado
encontrado no arquivo scan.txt. Isso simplifica a busca rápida por
informações ao analisar os resultados de uma varredura grande.
131
Saída de todos os tipos de arquivo suportados
O parâmetro -oA salva a saída de uma varredura nos formatos text, grepable e XML.
Sintaxe de uso: nmap -oA [nome do arquivo] [destino]
$ nmap -oA verifica 10.10.1.1

80/tcp http aberto

443/tcp abrir https
Criando arquivos de saída para todos os formatos disponíveis
Os arquivos de saída da verificação resultante são criados com suas respectivas extensões como
exibido abaixo.
$ ls -l varreduras.*
-rw-r--r-- 1 nick nick 284 2009-08-13 16:22 scans.gnmap

-rw-r--r-- 1 nick nick 307 2009-08-13 16:22 scans.nmap
-rw-r--r-- 1 nick nick 5150 2009-08-13 16:22 scans.xml
Listagem de diretórios dos arquivos de saída resultantes
Arquivo Conteúdo
scans.gnmap Saída para Grep
scans.nmap Saída de texto simples
scans.xml Saída XML
Arquivos de saída do Nmap
132
Exibir estatísticas de verificação
A opção --stats-every pode ser usada para exibir periodicamente o status do atual
Varredura.
Sintaxe de uso: nmap --stats-every [time] [target]
$ nmap --stats-every 5s 10.10.1.41
Estatísticas: 0:00:07 decorrido; 0 hosts concluídos (1 up), 1 em Service Scan
Varredura do serviço Tempo: Cerca de 55,00% concluído; EPT: 16:30 (0:00:05 restante)
Varredura do serviço Tempo: Cerca de 85,00% concluído; EPT: 16:30 (0:00:02 restantes)
Varredura do serviço Tempo: Cerca de 90,00% concluído; ETC: 16:30 (0:00:03 restante)

...
Saída de status de varredura do Nmap
Em varreduras lentas, você pode ficar entediado olhando para a tela sem fazer nada por muito tempo
períodos de tempo. A opção --stats-every pode aliviar esse problema. No acima
exemplo, --stats-every 5s instrui o Nmap a exibir o status da varredura atual
a cada cinco segundos. Os parâmetros de tempo podem ser especificados em segundos (s), minutos (m),
ou horas (h) acrescentando um s, m ou h ao número do intervalo conforme descrito em
página 99.
133
Saída 133t
A opção -oS habilita a saída “script kiddie”.
Sintaxe de uso: nmap -oS [scan.txt] [target]
$ nmap -oS scan.txt 10.10.1.1

80/tcp http aberto

443/tcp abrir https
Criando um arquivo de saída “133t”
A saída do script kiddie ou “leet” é uma forma enigmática de digitação usada principalmente por
adolescentes imaturos em fóruns e sites de bate-papo. Esta opção é incluída como
piada e não é realmente útil para nada além de uma boa risada. Os resultados do
-oS são salvas no arquivo scan.txt exibido abaixo.
$ cat scan.txt
COMEÇANDO NMAP 5.00 ( htTp://nmap.oRg ) em 13/08/2009 15:45 CDT

!nt3r3St|ng pOrts 0n 10.10.1.1:
n0t $h0wn: 998 cl0$3d p0rt$

P0RT $TATE serV!CE
80/tcp Abrir hTtp

443/tcp 0pen httpS
Nmap FEITO: 1 endereço Ip (1 host ativo) $ enlatado em 0,48 $ 3c0nds
Saída infantil do script Nmap
134
Seção 10:
Solução de problemas e depuração
135
Visão geral de solução de problemas e depuração
Problemas técnicos são uma parte inerente do uso de computadores. Nmap não é exceção.
Ocasionalmente, uma verificação pode não produzir a saída esperada; você pode receber um
erro - ou você pode não receber nenhuma saída. O Nmap oferece várias opções para
rastrear e depurar uma varredura que pode ajudar a identificar por que isso acontece. O
A seção a seguir descreve esses recursos de solução de problemas e depuração em detalhes.
Recurso Opção
Conseguindo ajuda -h
Exibir versão do Nmap -EM
Saída detalhada -em
Depurando -d
Motivo do estado da porta de exibição --razão
Exibir apenas portas abertas --abrir

Pacotes de rastreamento --packet-trace
Rede de host de exibição --iflist
Especifique uma interface de rede -e
136
Conseguindo ajuda
A execução de nmap -h exibirá um resumo das opções disponíveis.
Sintaxe de uso: nmap -h
$ nmap -h
Nmap 5.00 (http://nmap.org)

Uso: nmap [Scan Type(s)] {especificação de destino}
ESPECIFICAÇÃO DO ALVO:
Pode passar nomes de host, endereços IP, redes, etc.
Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254

-iL <inputfilename>: Entrada da lista de hosts/redes
-iR <num hosts>: Escolha alvos aleatórios
--exclude <host1[,host2][,host3],...>: Excluir hosts/redes
--excludefile <exclude_file>: Excluir lista do arquivo

...
Exibindo informações de ajuda do Nmap
Para informações mais detalhadas, você pode ler a página de manual do Nmap digitando
man nmap na linha de comando.
$ man nmap
Acessando a página de manual do Nmap em sistemas Unix e Linux
O comando man está disponível apenas em sistemas baseados em Unix, Linux e Mac OS X
Observação
sistemas. Os usuários do Windows podem ler o manual do Nmap online em
www.nmap.org/ book/ man.html.
Você também pode encontrar ajuda online assinando a lista de discussão do Nmap em
Dica
www.seclists.org.
137
Exibir versão do Nmap
A opção -V é usada para exibir a versão instalada do Nmap.
Sintaxe de uso: nmap -V
$ nmap -V
Nmap versão 5.00 ( http://nmap.org )
Exibindo a versão instalada do Nmap
Ao solucionar problemas do Nmap, você deve sempre certificar-se de ter o
versão mais atualizada instalada. Programas de código aberto como o Nmap são desenvolvidos
em um ritmo rápido e os bugs são normalmente corrigidos assim que são descobertos. Comparar
sua versão instalada para a versão mais recente disponível no site do Nmap em
www.nmap.org para garantir que você esteja executando a versão mais atualizada disponível.
Isso garantirá que você tenha acesso aos recursos mais recentes, bem como à maioria dos bugs
versão gratuita disponível.
138
Saída detalhada
A opção -v é usada para ativar a saída detalhada.
Sintaxe de uso: nmap -v [alvo]
$ nmap -v scanme.insecure.org

Iniciando verificação de ping às 15:06
Digitalizando 64.13.134.52 [2 portas]

Ping Scan concluído às 15:06, 1,87s decorridos (1 total de hosts)
Iniciando resolução de DNS paralelo de 1 host. às 15:06
Resolução de DNS paralelo concluída de 1 host. às 15:06, 0,16s decorridos

Iniciando o Connect Scan às 15:06
Digitalizando scanme.nmap.org (64.13.134.52) [1000 portas]
Descoberta porta aberta 53/tcp em 64.13.134.52
Descoberta porta aberta 80/tcp em 64.13.134.52

Verificação de conexão concluída às 15:06, 7,00s decorridos (total de 1.000 portas)
O host scanme.nmap.org (64.13.134.52) está ativo (latência de 0,087s).

80/tcp abrir http
Leia arquivos de dados de: /usr/local/share/nmap
Nmap scan com saída detalhada habilitada
A saída detalhada pode ser útil ao solucionar problemas de conectividade ou se você
estão simplesmente interessados no que está acontecendo nos bastidores do seu escaneamento.
Você pode usar a opção -v duas vezes (-v -v ou -vv) para habilitar informações detalhadas adicionais
Dica
saída.
139
Depurando
A opção -d habilita a saída de depuração.
Sintaxe de uso: nmap -d[1-9] [alvo]
$ nmap -d scanme.insecure.org

PORTAS: Usando as 1000 principais portas abertas (TCP:1000, UDP:0, SCTP:0)
--------------- Relatório de tempo ---------------
grupos de hosts: min 1, max 100000
rtt-timeouts: init 1000, min 100, max 10000
max-scan-delay: TCP 1000, UDP 1000, SCTP 1000

paralelismo: min 0, max 0
tentativas máximas: 10, tempo limite do host: 0
taxa mínima: 0, taxa máxima: 0

---------------------------------------------

Iniciando verificação de ping às 15:26
Digitalizando 64.13.134.52 [2 portas]
Ping Scan concluído às 15:26, 2,83s decorridos (1 total de hosts)
mass_rdns: Usando servidor DNS 10.10.1.44

mass_rdns: Usando servidor DNS 10.10.1.45
Iniciando resolução de DNS paralelo de 1 host. às 15:26
mass_rdns: 0,00s 0/1 [#: 2, OK: 0, NX: 0, DR: 0, SF: 0, TR: 1]

Resolução de DNS paralelo concluída de 1 host. às 15:26, 0,00s decorrido
...
Saída de depuração do Nmap
A saída de depuração fornece informações adicionais que podem ser usadas para rastrear bugs ou
solucionar problemas. A saída -d padrão fornece uma boa quantidade de depuração
Informação. Você também pode especificar um nível de depuração de 1-9 para ser usado com o -d
parâmetro para aumentar ou diminuir a quantidade de saída. Por exemplo: -d1 fornece
a menor quantidade de saída de depuração e -d9 é a mais alta.
140
Exibir códigos de razão do estado da porta
O parâmetro --reason exibe o motivo pelo qual uma porta é considerada no
determinado estado.
Sintaxe de uso: nmap --reason [target]
$ nmap --reason scanme.insecure.org

Razão: 993 não respostas
PORTA MOTIVO DE SERVIÇO ESTADUAL
25/tcp smtp fechado recusado
53/tcp domínio aberto syn-ack

70/tcp fechado gopher conn-recusado
80/tcp abrir http vista-oh

110/tcp pop3 fechado recusado
113/tcp autenticação fechada recusado
31337/tcp fechado Elite conn-recusado
Varredura Nmap com códigos de razão de estado de porta ativados
Observe a adição do campo de razão na varredura acima. Informações neste campo
pode ser útil ao tentar determinar por que as portas de um destino estão em um determinado estado.
As portas que respondem com syn-ack são consideradas abertas. Portas que respondem com
conn-refused ou reset são normalmente fechados. As portas que não respondem são
geralmente filtrados (por um firewall).
141
Exibir apenas portas abertas
O parâmetro --open instrui o Nmap a exibir apenas as portas abertas.
Sintaxe de uso: nmap --open [target]
$ nmap --open scanme.insecure.org

Não mostrado: 993 portas filtradas, 5 portas fechadas
80/tcp http aberto
Limitando a saída do Nmap para exibir apenas portas abertas
O parâmetro --open remove as portas fechadas e filtradas dos resultados da verificação. Esse
opção é útil quando você deseja organizar os resultados de sua verificação para que apenas
portas abertas são exibidas. A mesma verificação sem a opção --open é exibida
abaixo para comparação.
$ nmap scanme.insecure.org

25/tcp smtp fechado

80/tcp abrir http

...
Varredura do Nmap exibindo portas abertas e fechadas
142
Pacotes de rastreamento
O parâmetro --packet-trace instrui o Nmap a exibir um resumo de todos os pacotes
enviado e recebido.
Sintaxe de uso: nmap --packet-trace [target]
$ nmap --packet-trace 10.10.1.1
CONN (0.1600s) TCP localhost > 10.10.1.1:80 => Operação agora em andamento
CONN (0.1600s) TCP localhost > 10.10.1.1:443 => Operação agora em andamento
NSOCK (0.1610s) Conexão UDP solicitada para 10.10.1.45:53 (IOD #1) EID 8
NSOCK (0,1610s) Solicitação de leitura do IOD #1 [10.10.1.45:53] (tempo limite: -1ms) EID 18
NSOCK (0,1610s) Solicitação de leitura do IOD #2 [10.10.1.44:53] (tempo limite: -1ms) EID 34
NSOCK (0.1610s) Solicitação de gravação de 40 bytes para IOD #1 EID 43 [10.10.1.45:53]:
V!...........1.1.10.10.in-addr.arpa.....
NSOCK (0.1610s) nsock_loop() iniciado (timeout=500ms). 5 eventos pendentes

NSOCK (0.1610s) Callback: WRITE SUCCESS for EID 43 [10.10.1.45:53]

...
Saída de rastreamento de pacote
O parâmetro --packet-trace é outra ferramenta útil para solucionar problemas de conectividade
problemas. O exemplo acima exibe informações detalhadas sobre cada pacote enviado para
e recebidos do sistema de destino.
As informações de rastreamento rolarão rapidamente pela tela. Consulte a página 129 para
Dica
informações sobre como salvar dados de rastreamento em um arquivo para facilitar a visualização.
143
Exibir configuração de rede do host
A opção --iflist exibe as interfaces de rede e rotas configuradas no local
sistema.
Sintaxe de uso: nmap --iflist
$ nmap --iflist
************************INTERFACES************************
DEV (CURTO) IP/MASK TIPO MAC PARA CIMA
isto (isto) 127.0.0.1/8 loopback up
eth0 (eth0) 10.10.1.107/24 ethernet up 00:21:70:AC:F7:E7
wlan0 (wlan0) 10.10.1.176/24 ethernet up 00:16:EA:F0:92:50
************** ROTAS *********** ***
DST/MASK DEV GATEWAY
10.10.1.0/0 eth0
10.10.1.0/0 wlan0
169.254.0.0/0 wlan0
0.0.0.0/0 eth0 10.10.1.1
Saída da lista de interfaces
O exemplo acima exibe a rede geral e as informações de roteamento para o
sistema local. Esta opção pode ser útil para identificar rapidamente informações de rede
ou solução de problemas de conectividade.
Comandos adicionais que são úteis para solucionar problemas de rede
configuração incluem ifconfig (Unix/ Linux) e ipconfig (Windows). Maioria

Dica
Os sistemas baseados em Windows e Unix também incluem o comando netstat
que pode fornecer informações de rede adicionais.
144
Especifique qual interface de rede usar
A opção -e é usada para especificar manualmente qual interface de rede o Nmap deve usar.
Sintaxe de uso: nmap -e [interface] [alvo]
$ nmap -e eth0 10.10.1.48

21/tcp ftp aberto

22/tcp ssh aberto
25/tcp abrir smtp
80/tcp http aberto
2049/tcp aberto nfs
Especificando manualmente uma interface de rede
Muitos sistemas têm várias interfaces de rede. A maioria dos laptops modernos, por exemplo,
tenha um conector ethernet regular e uma placa sem fio. Se você quiser garantir que o Nmap está
usando sua interface preferida, você pode usar -e para especificá-lo na linha de comando. Em
este exemplo -e é usado para forçar o Nmap a escanear através da interface eth0 no multi
sistema host hospedado.
145
146
Seção 11:
Mapa Zen
147
Visão geral do Zenmap
Zenmap é uma interface gráfica para o Nmap projetada para facilitar o trabalho do Nmap
funções de digitalização complexas. A GUI do Zenmap é um programa de plataforma cruzada que pode ser
usado em sistemas Windows, Mac OS X e Unix/Linux.
GUI do Zenmap
148
Iniciando o Zenmap
Usuários do Windows
O Zenmap é instalado por padrão quando você instala o Nmap em sistemas Windows. Para iniciar
Zenmap vá em Iniciar > Programas > Nmap > Zenmap GUI.
Usuários Unix e Linux
O Zenmap é instalado automaticamente quando você compila o Nmap a partir do código-fonte. Se você
instale o Nmap via apt ou yum, você pode ter que instalar manualmente o pacote Zenmap.
Isso pode ser feito executando um dos seguintes comandos:
Debian/Ubuntu: apt-get install zenmap
Fedora/Red Hat/CentOS: yum install zenmap
Gentoo: emerge zenmap
Depois de instalada, a GUI do Zenmap, que pode ser iniciada selecionando Aplicativos >
Internet > Zenmap no menu Gnome.
Usuários do Mac OS X
O Zenmap para Mac OS X é instalado em Aplicativos > Zenmap. Está incluído
automaticamente como parte da instalação padrão do Nmap.
O servidor X11 para Mac OS X é necessário para executar o Zenmap em sistemas Mac.
Observação
Este software pode ser encontrado no DVD de instalação do Mac OS X.
149
Operações Básicas do Zenmap
Realizar uma varredura com o Zenmap é tão simples quanto 1, 2, 3...
Visão geral da GUI do Zenmap
Etapa 1: insira um alvo (ou selecione um alvo recente na lista)
Passo 2: Selecione um perfil de escaneamento
Etapa 3: pressione o botão de digitalização
150
Resultados Zenmap
Os resultados da verificação são exibidos assim que a verificação é concluída. A Saída do Nmap
A guia exibe a saída bruta da varredura como ela apareceria na linha de comando.
Saída de digitalização do Zenmap
A cadeia de linha de comando real executada é exibida no comando

Observação
caixa acima.
151
Perfis de digitalização
O Zenmap fornece perfis integrados para os tipos mais comuns de varreduras. Esse
simplifica o processo de digitalização, eliminando a necessidade de especificar manualmente um longo
sequência de argumentos na linha de comando.
Perfis de escaneamento do Zenmap
152
Editor de perfil
Se as varreduras integradas não atenderem às suas necessidades exatas, você pode criar sua própria varredura
perfil. Para isso, basta acessar o editor de perfis selecionando Perfil > Novo perfil
no menu Zenmap (ou pressione CTRL + P no teclado).
Editor de perfil Zenmap
Dentro do Zenmap Profile Editor, você pode selecionar as opções para o seu perfil personalizado
e o Zenmap criará automaticamente as complexas sequências de linha de comando do Nmap com base
em suas seleções.
Quando terminar, basta clicar no botão Salvar alterações e seu perfil personalizado será
disponível para uso no menu de seleção de perfil.
153
Visualizando Portas Abertas
Depois que uma varredura é concluída, você pode ver uma exibição amigável dos resultados no
Guia Portas/Hosts . Os botões denominados Hosts e Serviços podem ser usados para alternar entre
exibição das varreduras recentes.
Exibição de portas Zenmap
154
Visualizando um mapa de rede
Depois de realizar uma ou mais varreduras, você pode visualizar os resultados em um mapa gráfico no
a guia Topologia .
Mapa de topologia Zenmap
O recurso de topologia do Zenmap fornece um gráfico interativo que pode ser
manipulado pressionando o botão Controls para modificar as várias opções de exibição.
155
Salvando Mapas de Rede
Você também pode salvar um mapa de topologia Zenmap pressionando o botão Salvar gráfico .
Salvando um mapa de topologia
O Zenmap suporta a exportação de mapas para vários formatos populares, incluindo PNG, PDF,
SVG e Postscript.
156
Visualizando Detalhes do Host
A guia Host Details fornece uma exibição amigável de informações coletadas de um
sistema alvo.
Detalhes do host do Zenmap
157
Visualizando o Histórico de Verificação
A guia Verificações exibe o histórico de verificação da sessão atual.
Histórico de verificação do Zenmap
158
Comparando Resultados da Verificação
As varreduras Nmap e Zenmap podem ser comparadas usando a função Compare Results . Para
faça isso, selecione Ferramentas > Comparar resultados no menu Zenmap ou pressione CTRL + D.
Utilitário de comparação Zenmap
O Zenmap carregará varreduras recentes no utilitário de comparação ou você pode importar um
Arquivo XML Nmap (discutido na página 130) pressionando o botão Abrir . O
as diferenças entre as duas varreduras selecionadas são destacadas para facilitar a comparação.
159
Salvando digitalizações
As varreduras do Zenmap podem ser salvas para referência futura selecionando Escanear > Salvar escaneamento de
no menu ou pressionando CTRL + S.
Salvando varreduras do Zenmap
160
Seção 12:
Mecanismo de script Nmap (NSE)
161
Visão geral do mecanismo de script Nmap
O Nmap Scripting Engine (NSE) é uma ferramenta poderosa que permite aos usuários desenvolver
scripts personalizados que podem ser usados para aproveitar as funções avançadas de varredura do Nmap.
Além da capacidade de escrever seus próprios scripts personalizados, também há vários
de scripts integrados padrão que oferecem alguns recursos interessantes, como vulnerabilidade
detecção e exploração. Esta seção aborda o uso básico desses
scripts.
Os scripts para NSE são escritos na linguagem de programação Lua.
Infelizmente, a programação em Lua está fora do escopo deste livro. Para

Observação
mais informações sobre Lua visite www.lua.org.
O NSE usa técnicas de varredura agressivas que (em alguns raros
casos) pode causar resultados indesejáveis, como tempo de inatividade do sistema e dados
perda. Além disso, os recursos de exploração de vulnerabilidade do NSE podem levar você
Aviso
em problemas legais se você não tiver permissão para escanear o alvo
sistemas
Recurso Opção --
Executar scripts individuais script [script] --
Executar vários scripts script [script1, script2, etc] --
Executar scripts por categoria script [categoria] --script
Execute várias categorias de script [categoria1, categoria2]
Solução de problemas de scripts --script-trace --
Atualize o banco de dados de scripts script-updatedb
162
Executar scripts individuais
O argumento --script é usado para executar scripts NSE.
Sintaxe de uso: nmap --script [script.nse] [target]
# nmap --script whois.nse scanme.insecure.org

25/tcp smtp fechado
80/tcp abrir http
Resultados do script de host:
| whois: Registro encontrado em whois.arin.net
, netrange: 64.13.134.0 - 64.13.134.63
| nome de rede: NET-64-13-143-0-26
| Nome da empresa: Titan Networks
| organização: INSEC
|_ país: estado dos EUAprov: CA
Executando um script NSE
Os resultados do script são exibidos sob o título “Resultados do script do host”. no exemplo
acima, a opção --script é usada para executar um script chamado whois.nse. o embutido
O script whois.nse recupera informações sobre o endereço IP público do especificado
alvo do ARIN (Registro Americano para Números da Internet). Este é apenas um dos
muitos scripts NSE integrados.
Uma lista completa dos scripts internos do Nmap 5.00 pode ser encontrada online em
Dica
www.nmap.org/ nsedoc/.
163
Executar vários scripts
O Nmap Scripting Engine suporta a capacidade de executar vários scripts simultaneamente.
Sintaxe de uso: nmap --script [script1,script2,etc|"expressão"] [destino]
# nmap --script "smtp*" 10.10.1.44

...
| smtp-commands: EHLO exchange-01.dontfearthecommandline.com Olá

[10.10.1.173], TURN, SIZE, ETRN, PIPELINING, DSN, ENHANCEDSTATUSCODES,
8bitmime, BINARYMIME, CHUNKING, VRFY, X-EXPS GSSAPI NTLM LOGIN, X
EXPS=LOGIN, AUTH GSSAPI NTLM LOGIN, AUTH=LOGIN, X-LINK2STATE, XEXCH50
|_ HELP Este servidor suporta os seguintes comandos: HELO EHLO

STARTTLS RCPT DADOS RSET MAIL SAIR AJUDA AUTH VOLTAR ETRN BDAT VRFY
|_ smtp-open-relay: OPEN RELAY encontrado.
...
Executando todos os scripts SMTP
Neste exemplo, o caractere curinga asteriscos é usado para executar todos os scripts que
comece com smtp. Você também pode fornecer uma lista separada por vírgulas de scripts individuais para
execute usando a seguinte sintaxe: nmap --script script1,script2,script3,etc.
Ao usar curingas, a expressão deve ser colocada entre aspas, como

Observação
“smtp*” ou “ftp*”.
Alguns scripts do Nmap aceitam argumentos usando a opção --script-args . Esse
permite que você especifique parâmetros específicos para um script. Uma lista completa de
Dica
argumentos para cada script podem ser encontrados em www.nmap.org/ nsedoc/.
164
Categorias de script
Você pode usar a opção --script para executar scripts NSE com base na categoria. A mesa
abaixo descreve as categorias disponíveis:
Categorias Propósito
todos Executa todos os scripts NSE disponíveis
autenticação
Scripts relacionados à autenticação
padrão Executa um conjunto básico de scripts padrão
descoberta Tentativas de descobrir informações detalhadas sobre um alvo
externo Scripts que entram em contato com fontes externas (como o banco de dados whois)
intrusivo Scripts que podem ser considerados intrusivos pelo sistema de destino
malware Scripts que verificam backdoors abertos e malware
seguro Scripts básicos que não são intrusivos
vulnerável Verifica o alvo em busca de vulnerabilidades comumente exploradas
categorias de script NSE
Usar categorias de script é a maneira mais fácil de iniciar scripts internos do NSE - a menos que você
conheça o script específico que deseja executar. A execução de scripts por categoria, no entanto,
pode levar mais tempo para ser concluído, pois cada categoria contém vários scripts.
Uma lista completa dos scripts NSE em cada categoria pode ser encontrada online em
Dica
www.nmap.org/ nsedoc/.
165
Executar scripts por categoria
A opção --script pode ser usada para executar vários scripts com base em sua categoria.
Sintaxe de uso: nmap --script [categoria] [alvo]
# nmap --script default 10.10.1.70

5900/tcp vnc aberto
Resultados do script de host:
|_ nbstat: nome NetBIOS: AXIS-01, usuário NetBIOS: <desconhecido>, NetBIOS

MAC: 00:0c:f1:a6:1f:16
| smb-os-discovery: Windows XP
| LAN Manager: Windows 2000 LAN Manager
| Nome: GRUPO DE TRABALHO\AXIS-01
|_ Hora do sistema: 2009-11-13 15:09:12 UTC-6
Executando todos os scripts na categoria padrão
Ao especificar uma categoria (consulte a página 165) com a opção --script , o Nmap executará
cada script nessa categoria. No exemplo acima, os resultados dos scripts no
categoria padrão são exibidos sob o cabeçalho "Resultados do script de host" .
A opção -sC é um atalho para --script default que executará todos

Dica
os scripts NSE na categoria padrão.
166
Execute várias categorias de script
Várias categorias de script podem ser executadas simultaneamente usando um dos seguintes
estruturas de sintaxe:
nmap --script categoria1, categoria2, etc
A especificação de várias categorias de script como uma lista separada por vírgulas executaria todas
scripts nas categorias definidas. Por exemplo, executando nmap --script
malware,vuln executaria todos os scripts no malware e vulnerabilidades
categorias.
nmap --script "categoria1 e categoria2"
Os scripts NSE podem pertencer a mais de uma categoria. Usar esta sintaxe executaria
tudo o que pertence a ambas as categorias especificadas. Por exemplo, nmap --script
"padrão e seguro" só executaria scripts que pertencessem tanto ao
categorias padrão e seguras.
nmap --script "categoria1 ou categoria2"
O operador or pode ser usado para executar scripts que pertencem a qualquer um dos especificados
categorias. Por exemplo, nmap --script "padrão ou seguro" seria
execute todos os scripts que pertencem às categorias padrão ou segura.
nmap --script "não categoria"
O operador not é usado para excluir scripts que pertencem à categoria especificada. Para
exemplo, executar nmap --script "not intrusive" executaria todos os scripts
que não pertencem à categoria intrusiva.
167
Solução de problemas de scripts
A opção --script-trace é usada para rastrear scripts NSE.
Sintaxe de uso: nmap --script [script(s)] --script-trace [target]
# nmap --script default --script-trace 10.10.1.70

NSE: UDP 10.10.1.173:56824 > 10.10.1.70:137 | CONECTAR
NSE: TCP 10.10.1.173:49401 > 10.10.1.70:5900 | CONECTAR
...
saída de rastreamento NSE
A opção --script-trace exibe todos os pacotes enviados e recebidos por um script NSE e
é útil para solucionar problemas relacionados a scripts.
Alguns scripts podem gerar milhares de linhas de saída ao usar o rastreamento de script
opção. Na maioria dos casos, é melhor redirecionar a saída para um arquivo para revisão posterior. O
exemplo abaixo demonstra como fazer isso.
# nmap --script default 10.10.1.70 --script-trace > trace.txt
Redirecionando a saída de um rastreamento NSE
O arquivo trace.txt resultante conterá todos os dados de rastreamento e pode ser visualizado em um
editor de texto padrão.
168
Atualize o banco de dados de scripts
A opção --script-updatedb é usada para atualizar o banco de dados do script.
Sintaxe de uso: nmap --script-updatedb
# nmap --script-updatedb

NSE: Atualizando o banco de dados de regras.
Banco de dados de scripts NSE atualizado com sucesso.

Nmap concluído: 0 endereços IP (0 hosts ativos) verificados em 0,38 segundos
Atualizando o banco de dados de scripts NSE
O Nmap mantém um banco de dados de scripts que é usado para facilitar a opção de
executar vários scripts por categoria (discutido na página 164). Mais parecido com o Unix
os sistemas armazenam scripts no diretório /usr/share/nmap/scripts/ . sistemas Windows
armazene esses arquivos em C:\Arquivos de Programas\Nmap\scripts. Se você adicionar ou remover scripts
no diretório de scripts, você deve executar nmap --script-updatedb para aplicar o
alterações no banco de dados do script.
169
170
Seção 13:
Diferença
171
Visão geral do Ndiff
Ndiff é uma ferramenta do pacote Nmap que permite comparar duas varreduras e sinalizar
qualquer alteração entre eles. Ele aceita dois arquivos de saída Nmap XML (discutidos em
página 130) e destaca as diferenças entre cada arquivo para facilitar a comparação.
Ndiff pode ser usado na linha de comando ou na forma de GUI dentro do Zenmap
aplicativo (consulte a página 159).
Recurso Opção
Comparação usando Ndiff diferença
Ndiff modo detalhado -em
Modo de Saída XML --xml
172
Comparação de digitalização usando Ndiff
O utilitário ndiff é usado para realizar uma comparação de duas varreduras do Nmap.
Sintaxe de uso: ndiff [arquivo1.xml arquivo2.xml]
# ndiff scan1.xml scan2.xml
-Nmap 5.00 em 17/12/2009 09:18

+Nmap 5.00 em 18/12/2009 12:44
10.10.1.48, 00:0C:29:D5:38:F4:
-Não mostrado: 994 portas fechadas

+Não mostrado: 995 portas fechadas
VERSÃO DO SERVIÇO DO ESTADO DO PORTO
-80/tcp http aberto
Comparação de duas varreduras do Nmap
O uso básico do utilitário Ndiff consiste em comparar dois arquivos de saída Nmap XML
(discutido na página 130). As diferenças entre os dois arquivos são destacadas com um
sinal de menos indicando as informações no primeiro arquivo e o sinal de mais indicando o
mudanças dentro do segundo arquivo. No exemplo acima, vemos que a porta 80 no
a segunda varredura mudou de estado de aberto para fechado.
173
Ndiff modo detalhado
A opção -v é usada para exibir saída detalhada com Ndiff.
Sintaxe de uso: ndiff -v [arquivo1.xml arquivo2.xml]

# ndiff -v scan1.xml scan2.xml
-Nmap 5.00 em 17/12/2009 09:18

+Nmap 5.00 em 18/12/2009 12:44
10.10.1.48, 00:0C:29:D5:38:F4:
O host está ativo.
-Não mostrado: 994 portas fechadas

+Não mostrado: 995 portas fechadas
PORTA VERSÃO DE SERVIÇO DE ESTADO
21/tcp ftp aberto

22/tcp ssh aberto
25/tcp abrir smtp
-80/tcp http aberto
2049/tcp aberto nfs
Saída de uma varredura Ndiff no modo detalhado
A saída detalhada exibe todas as linhas de ambos os arquivos XML e destaca as diferenças
com um sinal de menos indicando as informações no primeiro arquivo e o sinal de mais
indicando as mudanças dentro do segundo arquivo. Isso está em contraste com o Ndiff padrão
comportamento (descrito na página 173) que exibe apenas as diferenças entre os
dois arquivos. A saída detalhada geralmente é mais útil do que a saída padrão, pois é exibida
todas as informações da digitalização original.
174
Modo de Saída XML
A opção -xml é usada para gerar saída XML com Ndiff.
Sintaxe de uso: ndiff --xml [arquivo1.xml] [arquivo2.xml]

# ndiff --xml scan1.xml scan2.xml
<?xml versão="1.0" codificação="UTF-8"?>

<nmapdiff versão="1">
<scandiff>
<hostdiff>
<anfitrião>
<address addr="10.10.1.48" addrtype="ipv4"/>

<address addr="00:0C:29:D5:38:F4" addrtype="mac"/>
<portas>
<a>
<extraports count="994" state="closed"/>

</a>
<b>
<extraports count="995" state="closed"/>

</b>
<portdiff>
<a>
<port portid="80" protocol="tcp">

<state state="abrir"/>
<nome do serviço="http"/>
...
Saída XML Ndiff
A saída XML é uma ótima ferramenta para fornecer informações do Ndiff para terceiros
programa usando um formato amplamente suportado.
A saída --xml padrão exibe o código XML na tela. Para salvar isso
arquivo de informações, digite ndiff --xml scan1.xml scan2.xml >ndiff.xml que

Dica
irá redirecionar a saída para um arquivo chamado ndiff.xml.
175
176
Seção 14:
Dicas e truques
177
Visão geral de dicas e truques
Esta seção fornece várias dicas e truques úteis para aproveitar ao máximo
Nmap. Também incorpora o uso de programas de terceiros que trabalham em conjunto
com o Nmap para ajudá-lo a analisar sua rede.
Resumo dos tópicos discutidos nesta seção:
Tema Página
Combinar Múltiplas Opções 179
Digitalizar usando o modo interativo 180

Interação em tempo de execução 181
Escaneie sua rede remotamente 182

Wireshark 183
Scanme.Insecure.org 184
Recursos on-line do Nmap 185
178
Combinar Múltiplas Opções
Se você ainda não percebeu, o Nmap permite combinar várias opções para
produzir uma digitalização personalizada exclusiva para suas necessidades.
Sintaxe de uso: nmap [opções] [alvo]
# nmap --reason -F --open -T3 -O scanme.insecure.org

Não mostrado: 95 portas filtradas, 3 portas fechadas
Razão: 95 não-respostas e 3 reinicializações
MOTIVO DO SERVIÇO DO ESTADO DO PORTO
53/tcp domínio aberto syn-ack

80/tcp http aberto vista-oh
Tipo de dispositivo: uso geral|WAP|firewall|roteador
Em execução (APENAS AGUENTANDO): Linux 2.6.X|2.4.X (95%), Linksys Linux 2.4.X
...
Combinando várias opções do Nmap
No exemplo acima, muitas opções diferentes são combinadas para produzir o desejado
resultados. Como você pode ver, as possibilidades são quase ilimitadas. Você deve observar,
porém, que nem todas as opções são compatíveis entre si, conforme ilustrado no
próximo exemplo.
# nmap -PN -sP 10.10.1.*

-PN (pular ping) é incompatível com -sP (varredura de ping). Se você apenas
deseja enumerar hosts, tente a varredura de lista (-sL)
Aviso do Nmap com combinação de opções incompatíveis
Neste exemplo, a opção -PN (não faça ping) e a opção -sP (somente ping) são obviamente
não compatíveis entre si. Felizmente, o Nmap fornece uma interface amigável e
mensagem de erro informativa e, portanto, nenhum dano é feito.
179
Digitalizar usando o modo interativo
A opção --interactive ativa o shell interativo do Nmap.
Sintaxe de uso: nmap --interactive
$ nmap --interactive
Iniciando o Nmap V. 5.00 ( http://nmap.org )

Bem-vindo ao Modo Interativo -- pressione h <enter> para obter ajuda
nmap>
Shell de modo interativo do Nmap
Uma vez no modo interativo, você pode iniciar uma varredura simplesmente digitando a letra n
seguido pelo endereço de destino e quaisquer opções padrão do Nmap. O exemplo abaixo
demonstra o uso do modo interativo para executar uma varredura -F simples .
Sintaxe de uso: n [opções] [alvo]
nmap> n -F 10.10.1.1
80/tcp http aberto

443/tcp abrir https
Exemplo de varredura usando o Nmap no modo interativo
Quando terminar de escanear, simplesmente digite x para sair do shell interativo.
Pressionar a tecla h no modo interativo exibe um menu de ajuda que

Dica
descreve as opções disponíveis.
180
Interação em tempo de execução
O Nmap oferece vários pressionamentos de tecla de interação em tempo de execução que podem modificar um arquivo em andamento
Varredura. A tabela abaixo lista as chaves de interação em tempo de execução do Nmap.
Chave Função
em Pressionar v minúsculo durante uma varredura aumentará o nível de verbosidade.
EM Pressionar V maiúsculo durante uma varredura aumentará o nível de verbosidade.
d Pressionar d minúsculo durante uma varredura aumentará a depuração
nível.
D Pressionar D maiúsculo durante uma varredura aumentará o nível de depuração.
p Pressionar p minúsculo durante uma varredura ativará o rastreamento de pacotes.
P Pressionar P maiúsculo durante uma varredura desativará o rastreamento de pacotes.
? Pressionando ? durante uma varredura exibirá a ajuda de interação em tempo de execução.
Qualquer outra chave Pressionar uma tecla diferente das definidas acima durante uma varredura imprimirá uma mensagem
não listado de status indicando o progresso da varredura e quanto tempo resta.
acima
Chaves de interação em tempo de execução do Nmap
A interação em tempo de execução é muito útil para obter atualizações de status ao executar uma varredura em
um grande número de hosts. O exemplo abaixo exibe o status da verificação atual
quando a barra de espaço pressionada.
# nmap -T2 10.10.1.*
[espaço]
Estatísticas: 0:06:45 decorrido; 18 hosts concluídos (30 up), 30 passando por SYN
Varredura furtiva
SYN Stealth Scan Timing: Cerca de 38,44% concluído; ETC: 16:56 (0:10:26
restante)
...
Usando teclas de interação em tempo de execução para exibir o status da verificação
Além de poder exibir atualizações de status, as teclas de interação em tempo de execução também podem
ajuste as configurações de detalhamento, rastreamento e depuração sem interromper a verificação em
progresso.
181
Escaneie sua rede remotamente
O Nmap Online é um site que fornece funcionalidade de digitalização Nmap (gratuita) por meio de um site
navegador. Isso pode ser útil para escanear remotamente sua rede ou solucionar problemas
problemas de conectividade de uma fonte externa. Basta visitar www.nmap-online.com
e digite seu endereço IP ou o endereço do sistema de destino que deseja escanear.
Página inicial on-line do Nmap
Para evitar abusos, o Nmap Online permite no máximo 5 solicitações de varredura
de um endereço IP a cada 24 horas e um máximo de 20 varreduras a cada 7

Observação
dias. Você também deve concordar com os termos de serviço antes de poder
executar uma varredura.
182
Wireshark
O Wireshark é uma excelente adição ao kit de ferramentas de qualquer administrador de sistema. É um
sofisticado (mas fácil de usar) analisador de protocolo de rede. Você pode usar o Wireshark para
captura e analisa o tráfego de rede e trabalha lado a lado com o Nmap permitindo
você veja cada pacote enviado e recebido durante a varredura.
Analisador de protocolo de rede Wireshark
O Wireshark está disponível para Windows, Linux e Mac OS X e pode ser baixado
gratuitamente em www.wireshark.org.
183
Scanme.Insecure.org
O servidor scanme.insecure.org é um exemplo de alvo comum usado neste
guia. Este sistema é hospedado pelo projeto Nmap e pode ser escaneado livremente por
Usuários do Nmap.
# nmap -F scanme.insecure.org

25/tcp smtp fechado

80/tcp http aberto
Exemplo de varredura usando scanme.insecure.org como alvo
As boas pessoas do projeto Nmap fornecem este serviço valioso como um
ferramenta educacional e de solução de problemas e solicite que você seja educado e não
Observação
escaneando-o agressivamente centenas de vezes por dia ou com outras ferramentas não
relacionados ao Nmap.
184
Recursos on-line do Nmap
Livro Nmap de Fyodor
www.nmap.org/book/man.html
Guia de instalação do
Nmap www.nmap.org/book/install.html
Documentação do mecanismo de script Nmap
www.nmap.org/nsedoc/
Guia de referência do Zenmap
www.nmap.org/book/zenmap.html
Nmap Change Log
www.nmap.org/changelog.html
Listas de discussão do
Nmap www.seclists.org
Nmap Online Scan
www.nmap-online.com
Ferramentas de
segurança www.sectools.org
Listas de discussão do
Nmap www.seclists.org
Nmap Facebook
www.nmap.org/fb
Nmap Twitter
www.twitter.com/nmap
Nmap Cookbook
www.nmapcookbook.com
185
186
Apêndice A - Folha de dicas do

Nmap Baixe e imprima esta folha de dicas online em www.NmapCookbook.com
Técnicas básicas de digitalização

Escanear um único alvo nmap [alvo]
Escanear vários alvos nmap [destino1, destino2, etc] nmap -iL [lista.txt]
Escanear uma lista de alvos
Escanear um intervalo de hosts nmap [intervalo de endereços IP]

Verificar uma sub-rede inteira nmap [endereço IP/cdir] nmap -iR
Verificar hosts aleatórios [número]
Excluindo alvos de uma varredura nmap [alvos] --excluir [alvos]
Excluindo alvos usando uma lista nmap [destinos] --excludefile [list.txt]
Execute uma varredura agressiva nmap -A [alvo] nmap -6 [alvo]
Escanear um alvo IPv6

Opções de descoberta
Executar uma verificação somente de ping nmap -sP [alvo]
Não faça ping nmap -PN [alvo] nmap -PS
TCP SYN Ping [alvo]
TCP ACK Ping nmap -PA [alvo]
Ping UDP nmap -PU [alvo]
SCTP INIT Ping nmap -PY [alvo]
Ping de eco ICMP nmap -PE [alvo]
Ping de carimbo de data/hora ICMP nmap -PP [alvo]
Ping de máscara de endereço ICMP nmap -PM [alvo]
Ping do protocolo IP nmap -PO [alvo]
Ping ARP nmap -PR [alvo]

Traceroute nmap --traceroute [alvo]
Forçar resolução reversa de DNS nmap -R [alvo] nmap -n [alvo]
Desativar resolução de DNS reverso
Pesquisa DNS Alternativa nmap --system-dns [alvo]
Especificar manualmente os servidores DNS nmap --dns-servers [servidores] [alvo]

Criar uma lista de hosts nmap -sL [alvos]
Funções avançadas de digitalização

Varredura TCP SYN nmap -sS [alvo]
Verificação de Conexão TCP nmap -sT [alvo]
Varredura UDP nmap -sU [alvo]
Verificação TCP NULL nmap -sN [alvo]
Varredura TCP FIN nmap -sF [alvo]
Varredura de Natal nmap -sX [alvo]
Varredura TCP ACK nmap -sA [alvo]
Varredura TCP personalizada nmap --scanflags [sinalizadores] [alvo]
Verificação de protocolo IP nmap -sO [alvo]
Enviar pacotes Ethernet brutos nmap --send-eth [alvo] nmap --send-ip [alvo]
Enviar pacotes IP
187
Opções de verificação de
Execute uma verificação rápida porta nmap -F [destino] nmap
Escanear portas específicas -p [porta(s)] [destino]
Escanear portas por nome nmap -p [nome(s) da(s) porta(s)] [alvo]
Escanear portas por protocolo nmap -sU -sT -p U:[portas],T:[portas] [alvo]
Analisar todas as portas nmap -p "*" [alvo]
Scan Top Ports nmap --top-ports [número] [alvo]
Execute uma verificação de porta sequencial nmap -r [alvo]

Detecção de versão
Detecção do sistema operacional nmap -O [alvo]
Enviar impressões digitais TCP/IP www.nmap.org/submit/ nmap -O --
Tentar adivinhar um desconhecido osscan-guess [alvo] nmap -sV [alvo]

Detecção da versão do serviço
Solução de problemas de verificações de versão nmap -sV --version-trace [destino]

Executar uma verificação RPC nmap -sR [alvo]
Opções de tempo
Modelos de tempo nmap -T[0-5] [alvo]

Definir o pacote TTL nmap --ttl [tempo] [alvo]
Número mínimo de operações paralelas nmap --min-parallelism [número] [alvo]
Número máximo de operações paralelas nmap --max-parallelism [number] [target]
Tamanho mínimo do grupo de hosts nmap --min-hostgroup [número] [alvos]
Tamanho máximo do grupo de hosts nmap --max-hostgroup [número] [alvos]

Tempo Limite RTT Máximo nmap --initial-rtt-timeout [tempo] [alvo] nmap --max-rtt-timeout [TTL] [alvo]
Tempo Limite RTT Inicial
Máximo de tentativas nmap --max-retries [número] [alvo]

Tempo Limite do Host nmap --host-timeout [tempo] [alvo] nmap --scan-delay [tempo]
Atraso Mínimo de Varredura [alvo] nmap --max-scan-delay [tempo] [alvo]
Atraso Máximo de Varredura

Taxa Mínima de Pacotes nmap --min-rate [número] [alvo]
Taxa Máxima de Pacotes nmap --max-rate [número] [alvo]
Derrote os limites de taxa de redefinição nmap --defeat-rst-ratelimit [alvo]
Técnicas de Evasão de Firewall
Pacotes de fragmentos nmap -f [alvo]
Especifique um MTU específico nmap --pessoa [PESSOA] [alvo]
Use uma isca nmap -D RND:[número] [alvo]

Varredura de zumbi ocioso nmap -sI [zumbi] [destino] nmap --source-port
Especificar manualmente uma porta de origem [porta] [destino] nmap --data-length [tamanho] [destino] nmap --
Anexar dados aleatórios randomize-hosts [destino]
Randomizar Ordem de Varredura de Alvo
Endereço MAC falso nmap --spoof-mac [MAC | 0 | fornecedor] [alvo]

Enviar somas de verificação inválidas nmap --badsum [alvo]
188
Opções de Saída
Salvar a saída em um arquivo de texto nmap -oN [scan.txt] [destino] nmap -oX
Salvar a saída em um arquivo XML [scan.xml] [destino]
Saída para Grep nmap -oG [scan.txt] [destinos]
Saída de todos os tipos de arquivo suportados nmap -oA [caminho/nome do arquivo] [destino] nmap
Estatísticas de Exibição Periodicamente --stats-every [tempo] [destino] nmap -oS [scan.txt]
Saída 133t [destino]
Solução de problemas e depuração
Conseguindo ajuda nmap -h
Exibir versão do Nmap nmap -V
Saída detalhada nmap -v [alvo]
Depurando nmap -d [alvo]
Motivo do estado da porta de exibição nmap --razão [alvo]
Exibir apenas portas abertas nmap --open [alvo]
Pacotes de rastreamento nmap --packet-trace [destino]
Rede de host de exibição nmap --iflist
Especifique uma interface de rede nmap -e [interface] [alvo]
Mecanismo de script Nmap
Executar scripts individuais nmap --script [script.nse] [alvo]
Executar vários scripts nmap --script [expressão] [alvo]
Categorias de script todos, autenticação, padrão, descoberta, externo, intrusivo,
malware, seguro, vulnerabilidade
Executar scripts por categoria nmap --script [categoria] [alvo]
Execute várias categorias de script nmap --script [category1,category2,etc]
Solução de problemas de scripts nmap --script [script] --script-trace [target] nmap --script-
updatedb
Atualize o banco de dados de scripts
Diferença
Comparação usando Ndiff ndiff [scan1.xml] [scan2.xml]

Ndiff modo detalhado ndiff -v [scan1.xml] [scan2.xml]
Modo de Saída XML ndiff --xml [scan1.xml] [scan2.xml]
189
190
Apêndice B - Estados da porta Nmap
abrir
Uma porta aberta é uma porta que responde ativamente a uma conexão de entrada.
fechado
Uma porta fechada é uma porta em um destino que responde ativamente a uma sondagem, mas não
ter qualquer serviço em execução na porta. Portas fechadas são comumente encontradas em sistemas
onde nenhum firewall está instalado para filtrar o tráfego de entrada.
filtrado
Portas filtradas são portas normalmente protegidas por algum tipo de firewall que
evita que o Nmap determine se a porta está ou não aberta ou fechada.
não filtrado
Uma porta não filtrada é uma porta que o Nmap pode acessar, mas não consegue determinar
se está aberto ou fechado.
abrir | filtrado
Uma porta aberta|filtrada é uma porta que o Nmap acredita estar aberta ou filtrada, mas
não pode determinar em qual estado exato a porta está realmente.
fechado|filtrado
Uma porta fechada|filtrada é uma porta que o Nmap acredita estar fechada ou filtrada, mas
não pode determinar em qual estado respectivo a porta está realmente.
191
192
Apêndice C - Referência Cruzada CIDR
máscara de sub-rede CIDR

000.000.000.000 /0
128.000.000.000 /1
192.000.000.000 /2
224.000.000.000 /3
240.000.000.000 /4
248.000.000.000 /5
252.000.000.000 /6
254.000.000.000 /7
255.000.000.000 /8
255.128.000.000 /9
255.192.000.000 /10
255.224.000.000 /11
255.240.000.000 /12
255.248.000.000 /13
255.252.000.000 /14
255.254.000.000 /15
255.255.000.000 /16
255.255.128.000 /17
255.255.192.000 /18
255.255.224.000 /19
255.255.240.000 /20
255.255.248.000 /21
255.255.252.000 /22
255.255.254.000 /23
255.255.255.000 /24
255.255.255.128 /25
255.255.255.192 /26
255.255.255.224 /27
255.255.255.240 /28
255.255.255.248 /29
255.255.255.252 /30
255.255.255.254 /31
255.255.255.255 /32
193
194
Apêndice D - Portas TCP/IP Comuns
Porta Tipo Uso

20 TCP Dados de FTP
21 TCP Controle de FTP
22 TCP|UDP Secure Shell (SSH)
23 TCP Telnet
25 TCP Protocolo Simples de Transferência de Correio (SMTP)
42 TCP|UDP Windows Internet Name Service (WINS)
53 TCP | UDP Domain Name System (DNS)
67 UDP Servidor DHCP
68 UDP Cliente DHCP
69 UDP Protocolo Trivial de Transferência de Arquivos (TFTP)
80 TCP|UDP Protocolo de transferência de hipertexto (HTTP)
110 TCP Protocolo Postal 3 (POP3)
119 TCP Protocolo de transferência de notícias de rede (NNTP)
123 UDP Protocolo de Tempo de Rede (NTP)
135 TCP|UDP Microsoft RPC
137 Serviço de Nome NetBIOS TCP|UDP
138 Serviço de Datagrama NetBIOS TCP|UDP
139 Serviço de Sessão NetBIOS TCP|UDP
143 TCP|UDP Protocolo de Acesso a Mensagens na Internet (IMAP)
161 TCP|UDP Simple Network Management Protocol (SNMP)
162 TCP|UDP Armadilha de protocolo de gerenciamento de rede simples (SNMP)
389 TCP|UDP Lightweight Directory Access Protocol (LDAP)
443 TCP|UDP Protocolo de transferência de hipertexto sobre TLS/SSL (HTTPS)
445 TCP Bloco de mensagem do servidor (SMB)
636 TCP|UDP Lightweight Directory Access Protocol sobre TLS/SSL (LDAPS)
873 TCP Protocolo de sincronização remota de arquivos (rsync)
993 TCP Internet Message Access Protocol sobre SSL (IMAPS)
995 TCP Post Office Protocol 3 sobre TLS/SSL (POP3S)
1433 TCP Banco de dados Microsoft SQL Server
3306 TCP banco de dados MySQL
3389 TCP Microsoft Terminal Server/Remote Desktop Protocol (RDP)
5800 TCP Interface da web de computação de rede virtual (VNC)
5900 TCP Área de trabalho remota de computação de rede virtual (VNC)
195
196
Pronto para aprender a linha de comando?
Confira nosso último título…
Introdução à Linha de Comando é um guia prático que ensina as
comandos shell importantes do Unix e do Linux de maneira simples e direta.
Todos os programas de linha de comando abordados são apresentados com exemplos visuais para auxiliar na
processo de aprendizagem e ajudá-lo a dominar a linha de comando de forma rápida e fácil.
www.DontFearTheCommandLine.com
197

Nmap Cookbook The Fat-Free Guide To Network Scanning

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Nmap Cookbook The Fat-Free Guide To Network Scanning

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Livro de receitas do Nmap®

O guia sem gordura para digitalização em rede

Livro de receitas do Nmap®

O guia livre de gordura para digitalização em rede

Copyright © 2010 Nicholas Marsh Todos

BSD® é uma marca registrada da University of California, Berkeley CentOS é

Seção 1: Instalando o Nmap.......................................... ......................19

Seção 2: Técnicas Básicas de Escaneamento.......................................... ......33

Seção 3: Opções de descoberta.............................. ................45

Seção 4: Opções avançadas de digitalização.......................................... ....65

Seção 5: Opções de Varredura de Porta............................... ............79

Seção 6: Sistema Operacional e Detecção de Serviço..........................89

Seção 7: Opções de tempo ....................................... .........................97

Seção 8: Fugindo de firewalls.......................................... ................115

Seção 9: Opções de saída.................................. ...................127

Seção 10: Solução de problemas e depuração..............................135

Seção 11: Zenmap.............................................. ......................147 Seção 12: Nmap

Scripting Engine (NSE)......... .............................161

Seção 13: Ndiff .............................................. ................................171

Seção 14: Dicas e truques.......................................... ......................177

Apêndice A - Folha de dicas do Nmap............................... ...........187

Apêndice B - Estados da porta Nmap............................... .............191

Apêndice C - Referência Cruzada CIDR ....................................... .......193

Apêndice D - Portas TCP/IP Comuns.............................. ........195

Convenções utilizadas neste livro............................................. ................18

Seção 1: Instalando o Nmap.......................................... ......................19

Instalando o Nmap no Windows.............................................. ................21

Instalando o Nmap em sistemas Unix e Linux.............................25

Instalando pacotes pré-compilados para Linux..............................25 Compilando

Seção 2: Técnicas Básicas de Escaneamento.......................................... ......33

Visão geral básica da digitalização.............................................. ......................34

Escanear um Único Alvo.............................................. ................................35

Digitalizar vários alvos.............................................. .............................36

Analisar um intervalo de endereços IP............................... .........................37

Analisar uma lista de alvos.................................. ................................39

Escanear Alvos Aleatórios............................................. .............................40

Excluir Alvos de uma Varredura.......................................... .........................41

Excluir destinos usando uma lista ....................................... ......................42

Executar uma verificação agressiva........................................... ......................43

Verificar um destino IPv6............................... ................................44

Seção 3: Opções de descoberta.............................. ................45

Visão geral das opções de descoberta........................................... ................46

Não pingue .............................................. .........................................47

Varredura somente de ping.............................................. ......................................48

TCP SYN Ping ....................................... .........................................49

Ping de ACK TCP............................... .........................................50

Ping UDP ...................................... .............................................51

SCTP INIT Ping ....................................... ......................................52

Ping de eco ICMP........................................... ......................................... 53

Ping de carimbo de data/hora ICMP .............................. ......................... 54

Ping de máscara de endereço ICMP .............................. ...................... 55

Ping do Protocolo IP .............................................. ......................................... 56

Ping ARP ................................................. ......................................... 57

Traceroute ................................................. ......................................... 58

Forçar resolução reversa de DNS........................................... ................ 59

Desabilitar resolução de DNS reversa........................................... ............. 60

Método alternativo de pesquisa de DNS............................... ............ 61

Especificar manualmente o(s) servidor(es) DNS ...................................... ................ 62

Criar uma lista de hosts.............................................. ......................................... 63

Seção 4: Opções avançadas de digitalização.......................................... ....65

Visão geral das funções avançadas de digitalização.............................. 66

Varredura TCP SYN ....................................... ......................................... 67