Provided by: nmap_6.40-0.2ubuntu1_amd64 
NAME
nmap - Strumento di network exploration e security / port scanner
SYNOPSIS
nmap [Tipo di Scansione...] [Opzioni] {Obbiettivo}
DESCRIZIONE
Nmap (“Network Mapper”) e` uno strumento open source per la network exploration e l'auditing. E` stato
progettato per scansionare rapidamente reti di grandi dimensioni, ma e` indicato anche per l'utilizzo
verso singoli host. Nmap usa pacchetti IP raw (grezzi, non formattati) in varie modalita` per determinare
quali host sono disponibili su una rete, che servizi (nome dell'applicazione e versione) vengono offerti
da questi host, che sistema operativo (e che versione del sistema operativo) e` in esecuzione, che tipo
di firewall e packet filters sono usati, e molte altre caratteristiche. Nonostante Nmap sia comunemente
usato per audits di sicurezza, molti sistemisti e amministratori di rete lo trovano utile per tutte le
attivita` giornaliere come ad esempio l'inventario delle macchine presenti in rete, per gestire gli
aggiornamenti programmati dei servizi, e per monitorare gli host o il loro uptime.
L'output di Nmap e` uno scan di un elenco di obbiettivi, con informazioni supplementari per ognuno a
seconda delle opzioni usate. Tra queste informazioni e` vitale la “tabella delle porte interessanti ”.
Questa tabella elenca il numero della porta e il protocollo, il nome del servizio, e lo stato attuale. Lo
stato puo` essere open (aperto), filtered (filtrato), closed (chiuso), o unfiltered (non filtrato).
Aperto significa che vi e` sulla macchina obbiettivo un'applicazione in ascolto su quella porta per
connessioni o pacchetti in entrata. Filtrato significa che un firewall, un filtro o qualche altro
ostacolo di rete sta bloccando la porta al punto che Nmap non riesce a distinguere tra aperta o chiusa.
Le porte chiuse non hanno alcuna applicazione in ascolto, anche se potrebbero aprirsi in ogni momento. Le
porte vengono classificate come non filtrate quando rispondono ad una scansione di Nmap, ma non e` stato
possibile determinare se sono aperte o chiuse. Nmap mostra le combinazioni aperta|filtrata e
chiusa|filtrata quando non puo` determinare quale dei due stati descrive una porta. La tabella delle
porte puo` anche includere dettagli quali le versioni dei software disponibili se e` stata usata
l'opzione appropriata. Quando viene richiesto una scansione IP (-sO), Nmap fornisce informazioni sui
protocolli IP supportati anziche` sulle porte in ascolto.
In aggiunta alla tabella delle porte notevoli, Nmap puo` fornire ulteriori informazioni sugli obbiettivi
come ad esempio i nomi DNS risolti (reverse DNS names), il probabile sistema operativo in uso, il tipo di
device e l'indirizzo fisico (MAC address).
Una tipica scansione con Nmap e` mostrata su Example 1, “Una scansione di esempio”. Le uniche opzioni
usate di Nmap in questo esempio sono -A, per abilitare il detection del sistema operativo e della
versione , -T4 per un'esecuzione piu` rapida e infine i due host obbiettivi
Example 1. Una scansione di esempio
# nmap -A -T4 scanme.nmap.org playground
Starting nmap ( http://www.insecure.org/nmap/ )
Interesting ports on scanme.nmap.org (205.217.153.62):
(The 1663 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99)
53/tcp open domain
70/tcp closed gopher
80/tcp open http Apache httpd 2.0.52 ((Fedora))
113/tcp closed auth
Device type: general purpose
Running: Linux 2.4.X|2.5.X|2.6.X
OS details: Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2.6.11
Uptime 33.908 days (since Thu Jul 21 03:38:03 2005)
Interesting ports on playground.nmap.org (192.168.0.40):
(The 1659 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn
389/tcp open ldap?
445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds
1002/tcp open windows-icfw?
1025/tcp open msrpc Microsoft Windows RPC
1720/tcp open H.323/Q.931 CompTek AquaGateKeeper
5800/tcp open vnc-http RealVNC 4.0 (Resolution 400x250; VNC TCP port: 5900)
5900/tcp open vnc VNC (protocol 3.8)
MAC Address: 00:A0:CC:63:85:4B (Lite-on Communications)
Device type: general purpose
Running: Microsoft Windows NT/2K/XP
OS details: Microsoft Windows XP Pro RC1+ through final release
Service Info: OSs: Windows, Windows XP
Nmap finished: 2 IP addresses (2 hosts up) scanned in 88.392 seconds
ELENCO DELLE OPZIONI
Questo elenco delle possibili opzioni viene stampato quando Nmap viene eseguito senza argomenti; una
versione aggiornata di questo elenco e` sempre disponibile sul sito
http://www.insecure.org/nmap/data/nmap.usage.txt. E` utile per ricordarsi le opzioni piu` comuni ma non
dev'essere inteso come un'alternativa alla documentazione approfondita presente in questa pagina di
manuale. Alcune opzioni "oscure" non sono neanche incluse qui.
Usage: nmap [Scan Type(s)] [Options] {target specification}
TARGET SPECIFICATION:
Can pass hostnames, IP addresses, networks, etc.
Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0-255.0-255.1-254
-iL <inputfilename>: Input from list of hosts/networks
-iR <num hosts>: Choose random targets
--exclude <host1[,host2][,host3],...>: Exclude hosts/networks
--excludefile <exclude_file>: Exclude list from file
HOST DISCOVERY:
-sL: List Scan - simply list targets to scan
-sP: Ping Scan - go no further than determining if host is online
-P0: Treat all hosts as online -- skip host discovery
-PS/PA/PU [portlist]: TCP SYN/ACK or UDP discovery probes to given ports
-PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes
-n/-R: Never do DNS resolution/Always resolve [default: sometimes resolve]
SCAN TECHNIQUES:
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans
-sN/sF/sX: TCP Null, FIN, and Xmas scans
--scanflags <flags>: Customize TCP scan flags
-sI <zombie host[:probeport]>: Idlescan
-sO: IP protocol scan
-b <ftp relay host>: FTP bounce scan
PORT SPECIFICATION AND SCAN ORDER:
-p <port ranges>: Only scan specified ports
Ex: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080
-F: Fast - Scan only the ports listed in the nmap-services file)
-r: Scan ports consecutively - don't randomize
SERVICE/VERSION DETECTION:
-sV: Probe open ports to determine service/version info
--version_light: Limit to most likely probes for faster identification
--version_all: Try every single probe for version detection
--version_trace: Show detailed version scan activity (for debugging)
OS DETECTION:
-O: Enable OS detection
--osscan_limit: Limit OS detection to promising targets
--osscan_guess: Guess OS more aggressively
TIMING AND PERFORMANCE:
-T[0-6]: Set timing template (higher is faster)
--min_hostgroup/max_hostgroup <msec>: Parallel host scan group sizes
--min_parallelism/max_parallelism <msec>: Probe parallelization
--min_rtt_timeout/max_rtt_timeout/initial_rtt_timeout <msec>: Specifies
probe round trip time.
--host_timeout <msec>: Give up on target after this long
--scan_delay/--max_scan_delay <msec>: Adjust delay between probes
FIREWALL/IDS EVASION AND SPOOFING:
-f; --mtu <val>: fragment packets (optionally w/given MTU)
-D <decoy1,decoy2[,ME],...>: Cloak a scan with decoys
-S <IP_Address>: Spoof source address
-e <iface>: Use specified interface
-g/--source_port <portnum>: Use given port number
--data_length <num>: Append random data to sent packets
--ttl <val>: Set IP time-to-live field
--spoof_mac <mac address, prefix, or vendor name>: Spoof your MAC address
OUTPUT:
-oN/-oX/-oS/-oG <file>: Output scan results in normal, XML, s|<rIpt kIddi3,
and Grepable format, respectively, to the given filename.
-oA <basename>: Output in the three major formats at once
-v: Increase verbosity level (use twice for more effect)
-d[level]: Set or increase debugging level (Up to 9 is meaningful)
--packet_trace: Show all packets sent and received
--iflist: Print host interfaces and routes (for debugging)
--append_output: Append to rather than clobber specified output files
--resume <filename>: Resume an aborted scan
--stylesheet <path/URL>: XSL stylesheet to transform XML output to HTML
--no_stylesheet: Prevent Nmap from associating XSL stylesheet w/XML output
MISC:
-6: Enable IPv6 scanning
-A: Enables OS detection and Version detection
--datadir <dirname>: Specify custom Nmap data file location
--send_eth/--send_ip: Send packets using raw ethernet frames or IP packets
--privileged: Assume that the user is fully privileged
-V: Print version number
-h: Print this help summary page.
EXAMPLES:
nmap -v -A scanme.nmap.org
nmap -v -sP 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -P0 -p 80
TARGET SPECIFICATION
Ogni cosa sulla linea di comando di Nmap che non e` un'opzione (o un argomento di un'opzione) e`
considerato come una specifica di un host obbiettivo. Il caso piu` semplice consiste nello specificare
semplicemente un indirizzo IP o un nome di host per la scansion
A volte puo` essere utile scansionare un'intera rete di host adiacenti. Per questo, Nmap supporta
l'indirizzamento CIDR. Si possono aggiungere /numero di bit a un indirizzo IP o a un nome di host e Nmap
eseguira` la scansione su ogni indirizzo IP per il quale i primi numero di bit e` identico a quello
specificato nell'IP o nel nome di host fornito. Ad esempio, 192.168.10.0/24 eseguira` la scansione sui
primi 256 host tra 192.168.10.0 (in binario: 11000000 10101000 00001010 00000000) e 192.168.10.255 (in
binario: 11000000 10101000 00001010 11111111), estremi inclusi. 192.168.10.40/24 fa esattamente la stessa
cosa. Dato che l'host scanme.nmap.org corrisponde all'indirizzo IP 205.217.153.62, la specifica
scanme.nmap.org/16 eseguirebbe la scansione sui 65,536 indirizzi IP tra 205.217.0.0 e 205.217.255.255. Il
piu` piccolo valore permesso e` /1, che effettua la scansione su meta` Internet. Il valore maggiore e`
32, che effettua la scansione solo sull'host o sull'IP specificato poiche` tutti i bit di indirizzo sono
fissati.
La notazione CIDR e` breve ma non sempre abbastanza flessibile. Ad esempio, si potrebbe voler controllare
192.168.0.0/16 ma saltando qualsiasi IP termini con .0 o con .255 perche` sono usati generalmente come
indirizzi di broadcast. Nmap supporta questa funzione attraverso l'indirizzamento per intervalli di
ottetti. Anziche` specificare un normale indirizzo IP e` possibile speficiare una lista di valori o
intervalli di valori separati da virgola. Ad esempio, 192.168.0-255.1-254 saltera` tutti gli indirizzi
nell'intervallo che termina per .0 o .255. Gli intervalli non devono necessariamente essere limitati agli
ottetti finali: una specifica come 0-255.0-255.13.37 effettuera` una scansione su tutta Internet per ogni
indirizzo IP che termina per 13.37. Questa tipologia di campionamento puo` essere utile per ricerche e
sondaggi su tutta la rete Internet.
Indirizzi IPV6 possono essere indicati solo mediante il loro indirizzo IPv6 completo o il loro hostname.
L'indirizzamento CIDR e gli intervalli di ottetti non sono supportati per IPv6 poiche` non vengono quasi
mai usati.
Nmap accetta piu` indirizzi di obbiettivi sulla linea di comando, ed essi non devono essere
necessariamente indicati nello stesso modo. Il comando nmap scanme.nmap.org 192.168.0.0/8
10.0.0,1,3-7.0-255 fa esattamente cio` che ci si aspetta.
Mentre gli obbiettivi sono generalmente indicate sulla linea di comando, le seguenti opzioni sono
disponibili per la selezione degli obbiettivi:
-iL <inputfilename> (Input from list)
Legge gli obbiettivi da inputfilename. Inserire una grossa lista di host e` spesso scomodo sulla
linea di comando, anche se spesso e` una necessita` comune. Ad esempio, un server DHCP potrebbe
esportare un elenco di 10.000 leases che si potrebbero voler controllare. Oppure si vogliono
controllare tutti gli indirizzi IP di una rete tranne quelli presenti nel DHCP per individuare
eventuali IP statici non autorizzati. E` sufficiente generare la lista di host da controllare e
passarla a Nmap come argomento dell'opzione -iL. Ogni elemento puo` essere in uno qualsiasi dei
formati accettati da Nmap sulla linea di comando (indirizzo IP, nome dell'host, notazione CIDR, IPv6
o intervalli di indirizzi). Ogni elemento dev'essere separato da uno o piu` spazi, indentazioni
(tabulazioni) o caratteri di a-capo. Si puo` usare un trattino (o segno di sottrazione) (-) come nome
di file se si vuole che Nmap legga gli host dallo standard input piuttosto che da un file esistente.
-iR <num hosts> (Choose random targets)
Durante certe indagini su tutta Internet o altri tipi di ricerca si potrebbe desiderare di scegliere
le obbiettivi in maniera casuale. L'argomento num hosts indica a Nmap quanti indirizzi IP generare.
Gli indirizzi privati, multicast o in pool di indirizzi non allocati vengono automaticamente saltati.
Si puo` specificare l'argomento 0 per una scansione senza fine. Va ricordato che alcuni
amministratori di rete non apprezzano scansioni non autorizzate delle loro reti e potrebbero
lamentarsi. Usare questa opzione a proprio rischio e pericolo. Se in un pomeriggio piovoso ci si
trova ad essere annoiati, si puo` provare questo comando nmap -sS -PS80 -iR 0 -p 80 per trovare in
maniera casuale dei server web sui quali navigare.
--exclude <host1[,host2][,host3],...> (Exclude hosts/networks)
Questa opzione specifica un elenco, separato da virgola, di obbiettivi da escludere dalla scansione
anche se sono parte dell'intervallo di rete specificato. La lista va specificata nella notazione
usuale di Nmap, ovvero puo` includere nomi di host, blocchi di indirizzi specificati mediante
notazione CIDR, intervalli di ottetti, etc. Questo puo` essere utile quando la rete che si vuole
controllare include server intoccabili o di vitale importanza, sistemi che sono conosciuti per
reagire in maniera negativa ad eventuali scansioni, o sottoreti amministrate da altra gente.
--excludefile <exclude_file> (Exclude list from file)
Questa opzione offre le stesse funzionalita` dell'opzione--exclude, con la differenza che gli
obbiettivi da escludere dalla scansione sono elencate in un exclude_file (separate da spazi bianchi,
a-capo o tabulazioni) anziche` sulla linea di comando.
HOST DISCOVERING (RICERCA DI HOST)
Uno dei primi passi in qualsiasi approccio di mappatura di una rete e` quello di ridurre un intervallo di
indirizzi IP (talvolta di notevoli dimensioni) ad una lista di host attivi o interessanti. Uno scan di
ogni porta di ogni singolo indirizzo IP e` lento e generalmente non necessario. Ovviamente cio` che rende
un host interessante dipende in larga misura dalle motivazioni della scansione. Amministratori di rete
possono essere interessati solo a host sui quali e` in esecuzione uno specifico servizio, mentre chi fa
auditing di sicurezza e` piu` interessato a ogni singola periferica dotata di un indirizzo IP. Un
sistemista puo` accontentarsi di semplici ping ICMP per trovare gli host sulla propria rete, ma un
penetration tester esterno puo` dover usare un insieme di molti differenti probing (tentativi di
scansione) per cercare di evitare le restrizioni imposte da un firewall.
Poiche` le necessita` di host discovering sono cosi` diverse, Nmap offre una notevole varieta` di opzioni
per la customizzazione delle tecniche usate. Il semplice host discovery e` spesso chiamato "ping scan",
anche se va molto oltre il semplice pacchetto ICMP di echo request associato con il famoso strumento di
ping. Un utete puo` evitare il passaggio per l'utility "ping" usando una list scan (scansione di tipo
lista: (-sL) o disabilitando il ping degli host (-P0), oppure mettendo alla prova la rete usando
combinazioni arbitrarie di probe TCP SYN/ACK, UDP e ICMP su differenti porte. Lo scopo di questi approcci
e` quello di sollecitare una risposta che dimostri l'esistenza di un host o di un apparecchio di rete con
quell'indirizzo IP. In molte reti solo una piccola percentuale di indirizzi IP e` attiva in ogni momento,
specialmente negli spazi di indirizzamento privati previsti dall'RFC1918 come ad esempio 10.0.0.0/8. Una
rete di questo tipo ha 16 milioni di possibili IP, anche se e` di uso comune in aziende con meno di un
migliaio di macchine. L'host discovery puo` trovare queste macchine in un mare di indirizzi IP non
consecutivi.
Se non viene fornita alcuna opzione di host discovery, Nmap manda di default un pacchetto TCP ACK alla
porta 80 e una richiesta ICMP Echo Request ad ogni macchina obbiettivo. Un'eccezione a questo
comportamento consiste nel fatto che uno scan ARP e` usato per tutti gli obbiettivi che sono in una rete
ethernet locale. Se Nmap viene lanciato da un utente non privilegiato all'interno di un ambiente UNIX
verra` usato un pacchetto SYN al posto dell'ACK mediante la chiamata di sistema connect(). Queste opzioni
di default sono equivalenti alle opzioni -PA -PE. Questo tipo di host discovery e` spesso sufficiente
quando si deve effettuare una scansione su reti locali, anche se per un security auditing si raccomanda
di usare un set di opzioni piu` avanzato.
L'opzione -P* (che permette di scegliere il tipo di ping) puo` essere combinata. Si possono inoltre
aumentare le probabilita` di bypassare firewall particolarmente restrittivi mandando molti tipi di probe
diversi usando porte o flag TCP differenti e svariati codici ICMP. Inoltre si tenga presente che l'ARP
discovery (-PR) viene effettuata di default all'interno di una rete locale, anche se vengono specificate
altre opzioni -P*, poiche` e` quasi sempre piu` veloce ed efficiente.
Di default Nmap lancia un host discovery e in seguito un port scan su tutti gli host che sono online.
Questo approccio viene tenuto anche quando si specificano metodi non standard per l'host discovery come i
probe UDP (-PU). Si consulti la spiegazione per l'opzione -sP per sapere come effettuare solo host
discovery; si usi -P0 per evitare l'host discovery e fare un portscan di tutti gli host di destinazione.
Le seguenti opzioni controllano il comportamento dell'host discovery:
-sL (List Scan)
La list scan e` una forma banale di host discovery che semplicemente elenca ogni host delle reti
specificate, senza inviare alcun pacchetto agli host obbiettivo. Di default Nmap effettua una
risoluzione inversa mediante DNS sugli host per ottenerne il nome completo. Spesso e` sorprendente
vedere quante informazioni utili possono fornire dei semplici hostname. Ad esempio,
fw.chi.playboy.com e` il firewall per l'ufficio di Chicago della Playboy Enterprises. Nmap mostra
anche il numero totale di indirizzi IP alla fine della scansione. La lista scan e` un buon controllo
per essere sicuri di avere gli indirizzi IP corretti per la propria scansione. Se gli host mostrano
nomi di dominio non conosciuti, vale la pena indagare oltre per evitare di scansionare la rete
dell'azienda sbagliata.
Poiche` l'idea e` quella di stampare semplicemente una lista di obbiettivi, le opzioni per
funzionalita` di livello piu` alto (come ad esempio il port scanning, le indagini sul tipo di sistema
operativo in esecuzione o il ping scan non possono essere combinate con questa. Se si vuole
disabilitare il ping scan e mantenere allo stesso tempo la possibilita` di utilizzare funzionalita`
di alto livello, si legga la sezione sull'opzione -P0.
-sP (Ping Scan)
Questa opzione indica a Nmap di effettuare solo un ping scan (ovvero un host discovery) e di mostrare
gli host che hanno risposto. Nessun test aggiuntivo (come ad esempio port scan o OS detection) viene
effettuato. Quest'azione e` un gradino piu` invadente della list scan, e puo` essere usata spesso per
lo stesso scopo. Essa permette una mappatura di una rete obbiettivo senza attrarre molta attenzione.
Sapere quanti host sono attivi e` piu` utile ad un attaccante rispetto ad una semplice list scan di
ogni indirizzo IP e nome di host.
>Gli amministratori di sistemi trovano spesso questa opzione utile allo stesso modo. Puo` essere
usata facilmente per enumerare le macchine disponibili in una rete o tenere sotto osservazione la
disponibilita` di un singolo server. Questo approccio viene anche chiamato "ping sweep", ed e` piu`
affidabile di un ping all'indirizzo broadcast poiche` molti host non rispondono alle richieste di
questa categoria.
L'opzione -sP invia di default un echo request ICMP e un pacchetto TCP alla porta 80. Quando viene
eseguita da un utente non privilegiato, viene inviato un pacchetto SYN (usando la chiamata connect()
) alla porta 80 dell'obbiettivo. Quando invece un utente privilegiato prova ad effettuare una
scansione all'interno di una rete locale, vengono usate richieste ARP (-PR) a meno che non venga
specificata l'opzione --send_ip. L'opzione -sP puo` essere usata in combinazione con qualsiasi tipo
di discovery probe (ovvero la famiglia di opzioni -P*, tranne -P0) per avere una migliore
flessibilita`. Se viene usato uno qualsiasi di questi probe con opzioni sul numero di porta, allora i
probe di default (ovvero ACK ed echo request) vengono annullati. Si raccomanda di usare queste
tecniche evolute se ci sono dei firewall restrittivi tra l'host che lancia Nmap e le reti di
destinazione, altrimenti le destinazioni potrebbero non essere raggiunte nel caso in cui il firewall
dovesse bloccare i probe o le risposte a questi ultimi.
-P0 (No ping)
Questa opzione evita del tutto il passaggio di ricerca degli host di Nmap. Normalmente Nmap usa
questo passaggio per trovare le macchine attive da sottoporre ad una scansione piu` approfondita. Di
default, Nmap esegue un probing approfondito (come ad esempio un port scan, una version detection dei
servizi o un Operating System detection) solo su quegli host che sono trovati attivi. Disabilitare
l'host discovery attraverso l'opzione -P0 obbliga Nmap a tentare la scansione richiesta su tutti gli
host destinazione specificati. Quindi se si specifica sulla linea di comando una rete di destinazione
di classe B (in CIDR /16) verranno sottoposti a scansione tutti i 65 535 indirizzi IP. Il secondo
carattere nell'opzione -P0 e` uno zero, non la lettera O. A differenza del list scan, nel quale
l'host discovery viene saltato, anziche` interrompersi e mostrare la lista di destinazioni Nmap
continua ad eseguire le funzioni richieste come se ogni IP di destinazione fosse attivo.
-PS [portlist] (TCP SYN Ping)
Questa opzione invia un pacchetto TCP vuoto con il flag SYN attivo. La porta di destinazione di
default e` la 80 (configurabile durante la compilzione cambiando il parametro di define
DEFAULT_TCP_PROBE_PORT nel file nmap.h), ma in questo caso si puo` specificare un'altra porta come
parametro. Si puo` anche specificare una lista di porte separata da virgola (ad esempio
-PS22,23,25,80,113,1050,35000), nel cuo caso si tentera` un probe verso ogni porta in parallelo.
Il flag SYN indica al sistema remoto che si sta tentando di stabilire una connessione. Normalmente la
porta di destinazione dovrebbe essere chiusa, e un pacchetto di RST (reset) viene mandato indietro.
Se la porta fosse aperta, il destinatario effettuera` il secondo passo della connessione TCP a tre
vie (3-way-handshake) rispondendo con un pacchetto TCP SYN/ACK. La macchina che sta eseguendo Nmap
interrompera` la connessione inviando un pacchetto RST al posto di mandare l'usuale pacchetto RST che
completerebbe l'handshake e stabilirebbe una connessione completa. Il paccheto RST viene mandato dal
kernel della macchina che sta eseguendo Nmap, non da Nmap stesso.
A Nmap non interessa se la porta e` aperta o chiusa. In ogni caso l'RST o il SYN/ACK ricevuti
indicano che l'host e` disponibile e risponde alle connessioni.
Nelle macchine UNIX solo l'utente privilegiato root generalmente e` abilitato all'invio e alla
ricezione di pacchetti TCP "raw" (non formattati, grezzi). Per quanto riguarda gli utenti non
privilegiati si deve ricorrere alla system call connect(), la quale viene lanciata su ogni porta di
destinazione. Questo ha l'effetto di inviare pacchetti SYN all'host di destinazione come per
stabilire una connessione. Se la connect() restituisce rapidamente un messaggio di successo o un
messaggio di errore ECONNREFUSED significa che lo stack TCP sottostante deve aver ricevuto un SYN/ACK
o un RST e l'host viene marcato come disponibile. Se il tentativo di connessione viene lasciato in
sospeso fino al raggiungimento di un certo timeout l'host e` marcato come down o non disponibile.
Questa scorciatoia si usa anche per le connessioni IPv6, poiche` la costruzione di pacchetti IPv6 raw
non e` ancora supportata in Nmap.
-PA [portlist] (TCP ACK Ping)
Il ping TCP ACK e` molto simile al ping SYN appena discusso. La differenza, come si puo` facilmente
indovinare, consiste nel fatto che viene sollevato il flag TCP ACK al posto del SYN. Un tale
paccketto ACK finge di confermare dei dati inviati in una connessione TCP gia` stabilita, anche se
tale connessione non esiste. In questo modo un host remoto rispondera` sempre con un pacchetto RST,
svelando cosi` la propria esistenza e il fatto che siano attivi.
L'opzione -PA usa la stessa porta di default del SYN probe (ovvero la porta 80) e puo` ricevere in
input un elenco di porte di destinazione nello stesso formato. Se un utente non privilegiato tenta
quest'approccio, o se viene specificato un target IPv6, si usa la scorciatoia della connect()
spiegata in precedenza. Questa strategia della connect() non e` ottimale perche` in ogni caso la
connect() invia un paccketto SYN e non un ACK.
La ragione per offrire entrambi i tipi di probe (SYN e ACK) e` quella di massimizzare le possibilita`
di bypassare firewall. Molti amministratori configurano router e semplici firewall per bloccare
pacchetti SYN in arrivo tranne quelli destinati a servizi pubblici come il sito web aziendale o il
mail server. Questo impedisce ogni altro tipo di connessione in entrata garantendo al tempo stesso
agli utenti di effettuare connessioni verso l'esterno senza incontrare ostacoli. Questo approccio
"non-stateful" utilizza poche risorse sul firewall/router ed e` largamente supportato da filtri
software e hardware. (per "non-stateful" si intende in questo caso la capacita` di un firewall di
tenere traccia delle connessioni che lo attraversano, NdT). Il firewall di GNU/Linux conosciuto come
Netfilter/iptables offre l'opzione --syn per implementare questo approccio "stateless". Quando un
firewall implementa regole di questo tipo, un probe SYN (-PS) viene facilmente bloccato quando viene
mandato ad una porta chiusa. In tali casi un probe ACK passa indisturbato come se non vi fossero
quelle regole.
Un altro tipo comune di firewall utilizza regole "stateful" che lasciano cadere ("drop") pacchetti
non attesi. Questa caratteristica era inizialmente disponibile solo su firewall di fascia alta, anche
se e` diventata sempre piu` comune nel corso degli anni. Il sistema Netfilter/iptables supporta
questa mediante l'opzione --state, la quale marca pacchetti a seconda dello stato della connessione.
Un probe SYN funzionera` piu` facilmente verso un tale sistema, poiche` pacchetti ACK non attesi sono
generalmente riconosciuti come non validi e lasciati cadere. Una soluzione a questa situazione poco
piacevole e` quella di inviare emtrambe le tipologie di probe specificando le opzioni -PS e -PA.
-PU [portlist] (UDP Ping)
Un'altra opzione di host discovery e` il ping UDP, il quale manda un pacchetto UDP vuoto alle porte
indicate(a meno che non venga specificata l'opzione --data_length). L'elenco di porte va specificato
nello stesso formato gia` discusso in precedenza nelle opzioni -PS e -PA. Se non si specifica alcuna
porta viene usata la 31338 di default. Questo valore puo` essere impostato durante la compilazione
cambiando il parametro DEFAULT_UDP_PROBE_PORT nel file nmap.h. Si usa di default una porta poco
comune perche` inviare dati ad una porta gia` aperta e` spesso non desiderabile per questo tipo
particolare di scansione.
Una volta raggiunta una porta UDP chiusa sulla macchina di destinazione, il probe UDP dovrebbe
provocare un pacchetto ICMP di "port unreachable" (porta irraggiungibile). Questo indica a Nmap che
l'host e` funzionante e disponibile. Altri tipi di pacchetti ICMP di errore, come ad esempio host o
rete "unreachable" (non disponibile) o "TTL exceeded" (superato il tempo di vita del pacchetto)
indicano un host non funzionante o irraggiungibile. Una mancanza di risposta viene interpretata alla
stessa maniera. Se si raggiunge una porta aperta la maggior parte dei servizi semplicemente ignorano
il pacchetto vuoto e non rimandano alcuna risposta. Questo spiega perche` il probe di default e` la
porta 31338, la quale si usa molto raramente. Pochi servizi, tra i quali "chargen", rispondono a un
pacchetto UDP vuoto, rivelando cosi` a Nmap la disponibilita` della macchina in questione.
Il vantaggio primario di questo tipo di scansione e` che riesce a bypassare firewall e filtri che
controllano solo pacchetti TCP. Ad esempio, una volta avevo un router a banda larga wireless Linksys
BEFW11S4. L'interfaccia esterna di questa periferica filtrava tutte le porte TCP di default, ma i
probee UDP provocavano messaggi di "port unreachable" rivelando cosi` l'esistenza della device.
-PE; -PP; -PM (ICMP Ping Types)
In aggiunta ai meno comuni tipi di host discovery TCP e UDP discussi in precedenza, Nmap puo` anche
mandare i pacchetti standard come il famoso programma ping. Nmap manda un pacchetto ICMP type 8
("echo request") all'indirizzo IP di destinazione, aspettandosi un type 0 ("echo reply") di ritorno
dagli host disponibili. Sfortunatamente per chi deve scoprire la topologia di una rete, molti host e
firewall ora bloccano questo tipo di pacchetti anziche` rispondere come richiesto dall'RFC 1122[1].
Per questa ragione le scansione basate solo su ICMP sono raramente abbastanza affidabili nei riguardi
di destinzioni sconosciute su Internet. Tuttavia per i sistemisti di rete che devono tenere sotto
controllo una rete interna, esse possono essere un approccio pratico ed efficiente. Si usi l'opzione
-PE per abilitare questo comportamento di echo request.
Mentre la "echo request" e` la richiesta standard del ping ICMP, Nmap non si ferma qui. Lo standard
ICMP (RFC 792[2]) specifica inoltre i pacchetti "timestamp request", "information request" e "address
mask request" (rispettivamente "richiesta di timestamp", ovvero data e ora, "richiesta di
informazioni" e "richiesta della maschera di rete") mediante i codici ICMP 13, 15 e 17. Mentre lo
scopo dichiarato di questo tipo di richieste e` quello di sapere informazioni quali la maschera di
rete e l'ora corrente, essi possono facilmente essere usati per l'host discovery. Un sistema che
risponde e` funzionante e disponibile. Nmap non implementa allo stato attuale pacchetti di
information request, poiche` in genere non sono supportati comunemente. L'RFC 1122 specifica che “un
host NON DOVREBBE implementare questi messaggi”. (il maiuscolo negli RFC indica comportamenti
precisi). Il timestamp (data e ora) e le richieste di maschera di rete possono essere inviate
rispettivamente mediante le opzioni -PP e -PM. Una risposta di tipo timestamp (codice ICMP 14) o di
tipo address mask (codice 18) rivela che un host e` disponibile. Queste due richieste possono essere
utili qualora un amministratore dovesse bloccare i pacchetti di "echo request" ma dimenticarsi che
altre query ICMP possono essere usate per lo stesso scopo.
-PR (ARP Ping)
Una delle situazioni piu` comuni di utilizzo di Nmap e` la scansione di una LAN ethernet. Nella
maggior parte delle LAN, specialmente quelle in cui viene usato il benedetto intervallo di indirizzi
privati specificato dall'RFC1918, la maggior parte degli indirizzi IP e` inutilizzato. Quando Nmap
prova ad inviare pacchetti IP raw come le "echo request" ICMP, il sistema operativo deve determinare
l'indirizzo hardware (ARP) corrispodente all'indirizzo IP di destinzione, in modo da poter
indirizzare correttamente il frame Ethernet. Questo e` spesso lento e problematico, in quanto i
sistemi operativi non sono stati scritti prevedendo di dover fare milioni di richieste ARP verso host
inesistenti in un breve lasso di tempo.
L'ARP scan lascia a Nmap e ai suoi algoritmi ottimizzati l'incarico delle richieste ARP. Nel caso in
cui si riceva una risposta, Nmap non si deve neanche preoccupare dei ping basati su ICMP perche` a
questo punto sa gia` che l'host e` raggiungibile. Questo rende l'ARP scan molto veloce e molto piu`
affidabile delle normali scansioni basate su IP. Questo e` il comportamento di default quando si deve
effettuare uno scan su host che Nmap riconosce come presenti nella rete locale. Anche se vengono
specificati differenti tipi di ping (come -PI o -PS), Nmap usa comunque ARP per ogni target che e`
sulla stessa LAN. Se non si vuole assolutamente un ARP scan, specificare l'opzione --send_ip.
-n (No DNS resolution)
Indica a Nmap di non effettuare mai una risoluzione inversa del nome mediante DNS sull'indirizzo IP
rilevato. Poiche` il DNS e` spesso lento, questo rende l'intero processo di scansione piu` veloce.
-R (DNS resolution for all targets)
Indica a Nmap di effettuare sempre la risoluzione inversa dei nomi mediante DNS. Generalmente questo
viene effettuato solo quando un host viene rilevato come attivo.
--system-dns (Use system DNS resolver)
Di default Nmap risolve gli indirizzi IP mandando richieste direttamente ai name servers (server dei
nomi) configurati sulla macchina su cui e` in esecuzione Nmap. Molte richieste (spesso dell'ordine
delle dozzine) sono effettuate in parallelo per migliorare le performance. Si specifichi
quest'opzione se si vuole usare il proprio DNS (richiedendo un indirizzo IP alla volta usando la
system call getnameinfo() ). Questo e` piu` lento e raramente utile a meno che non ci sia un bug nel
codice di risoluzione dei nomi di Nmap -- per favore si contattino gli sviluppatori se questo e` il
caso. Il resolver di sistema e` sempre usato per le scansioni su IPv6.
--dns-servers <server1[,server2],...> (Server da usare per le reverse DNS query)
Di default Nmap cerchera` di determinare i server DNS da usare per le reverse query usando il file
resolv.conf (UNIX) o il registro (Win32). In alternativa si puo` usare quest'opzione per indicare
server alternativi. Tuttavia quest'opzione viene ignorata nel caso si specifichi anche --system-dns o
una scansione IPv6. L'uso di piu` server DNS e` spesso piu` veloce e meno visibile rispetto all'uso
di un unico server DNS. Le performance migliori si ottengono spesso specificando tutti i server DNS
authoritative per lo spazio IP di destinazione.
FONDAMENTI DI PORT SCANNING
Nonostante Nmap nel corso degli anni abbia ampliato le proprie funzionalita`, inizio` come un port
scanner e tale resta la sua funzione di base. Il semplice comando nmap target effettua una scansione si
piu` di 1660 porte TCP sull'host target. Mentre molti port scanner considerano tutte le porte chiuse o
aperte, Nmap e` molto piu` preciso. Divide le porte in sei categorie o stati: open (aperta), closed
(chiusa), filtered (filtrata), unfiltered (non filtrata), open|filtered (aperta|filtrata), o
closed|filtered (chiusa|filtrata).
Questi stati non sono proprieta` intrinseche delle porte stesse, ma descrivono come Nmap le vede. Ad
esempio, uno scan Nmap proveniente dalla stessa rete nella quale risiede l'obbiettivo puo` mostrare la
porta 135/tcp come aperta, mentre una scansione nello stesso momento con gli stessi parametri ma
proveniente da Internet puo` mostrare quella stessa porta come filtered.
I sei stati nei quali Nmap classifica le porte
open
(aperta) Un'applicazione accetta attivamente su questa porta connessioni TCP o UDP. La ricerca di
questo tipo di porte e` spesso l'obbiettivo primario del port scanning. Chi si dedica alla sicurezza
sa che ogni porta aperta e` una strada verso un attacco. Gli attaccanti e i tester di sicurezza
(penetration testers, conosciuti anche come "pen-testers", NdT) hanno come obbiettivo quello di
trovare e trarre vantaggio dalle porte aperte, mentre d'altro canto gli amministratori di rete e i
sistemisti provano a chiuderle o a proteggerle con firewall senza limitare gli utenti autorizzati al
loro uso. Le porte aperte sono anche interessanti per le tutta una serie di scansioni non indirizzate
unicamente alla sicurezza, perche` mostrano che servizi sono disponibili in una rete.
closed
(chiusa) Una porta chiusa e` accessibile (riceve e risponde ai pacchetti di probe di Nmap) ma non vi
e` alcuna applicazione in ascolto su di essa. Esse possono rendersi utili nel mostrare che un host e`
attivo su un indirizzo IP (durante l'host discovery o il ping scanning) o in quanto parte integrante
dell'Operating System discovery. Poiche` una porta chiusa e` raggiungibile, puo` essere interessante
effettuare una scansione piu` tardi nel caso alcune vengano aperte. Chi amministra una macchina o una
rete puo` voler bloccare tali porte con un firewall - ed in questo caso esse apparirebero come
filtrate, come mostrato in seguito.
filtered
(filtrata) In questo caso Nmap non puo` determinare con esattezza se la porta sia aperta o meno,
perche` un filtro di pacchetti impedisce ai probe di raggiungere la porta. Questo filtro puo` esser
dovuto a un firewall dedicato, alle regole di un router, o a un firewall software installato sulla
macchina stessa. Queste porte forniscono poche informazioni e rendono frustrante il lavoro
dell'attaccante. A volte esse rispondono con un messaggio ICMP del tipo 3, codice 13 ("destination
unreachable: communication administratively prohibited", ovvero "destinazione non raggiungibile:
comunicazione impedita da regole di gestione"), ma in genere sono molto piu` comuni i filtri di
pacchetti che semplicemente ignorano i tentativi di connessione senza rispondere. Questo obbliga Nmap
a riprovare diverse volte, semplicemente per essere sicuri che il pacchetto non sia stato perduto a
causa di una congestione di rete o di problemi simili piuttosto che dal firewall o dal filtro stesso.
Questo riduce drammaticamente la velocita` della scansione.
unfiltered
(non filtrata) Lo stato "unfiltered" indica che una porta e` accessibile, ma che Nmap non e` in
grado di determinare se sia aperta o chiusa. Solo la scansione di tipo ACK, usata per trovare e
classificare le regole di un firewall, posiziona una porta in questo stato. Una scansione di porte in
questo stato ("non filtrate") mediante altri tipi di scansione come il Window scan (scan per finestre
di connessione), il SYN scan o il FIN scan aiuta a determinare se la porta sia aperta o chiusa.
open|filtered
(aperta|filtrata) Nmap posiziona le porte in questo stato quando non e` in grado di determinare se
una porta sia aperta o filtrata. Questo accade in quelle scansioni per le quali una porta aperta non
risponde in alcun modo. La mancanza di informazioni puo` significare inoltre che un filtro di
pacchetti ha lasciato cadere ("drop") il probe o qualsiasi risposta sia stata generata in seguito a
questo. Scansioni che classificano porte in questo stato sono le scansioni IP, UDP, FIN, Null, e
Xmas.
closed|filtered
(chiusa|filtrata) Questo stato e` usato quando Nmap non e` in grado di determinare se una porta sia
chiusa o filtrata. Esso viene usato solo per l'IPID Idle scan.
TECNICHE DI PORT SCANNING
Un neofita inesperto che cerca di aggiustarsi l'automobile puo` arrovellarsi per ore cercando di usare i
pochi strumenti che ha (martello, nastro isolante, pinza, eccetera) per cio` che deve fare. Una volta che
si e` arreso dopo l'ennesimo fallimento e si e` deciso a portare il proprio veicolo da un vero meccanico,
ecco che questi inevitabilmente si mette a cercare in una gigantesca cassetta degli attrezzi estraendone
il "coso" perfetto per fare quel lavoro senza alcuno sforzo. L'arte del port scanning e` molto simile.
Chi e` esperto capisce e conosce tutte le tecniche e sceglie quella appropriata (o una combinazione
appropriata) per un certo lavoro. Utenti inesperti o script kiddes, d'altro canto, provano a risolvere
ogni problema con la scansione SYN di default. Poiche` Nmap e` free (in lingua inglese significa sia
"libero" che "gratuito", e per questo e` lasciato inalterato, NdT) l'unico limite alla capacita` di fare
port scanning e` solo la conoscenza. Questo lo rende sicuramente piu` accessibile del mondo delle
automobili, dov'e` richiesta non solo una notevole abilita` per sapere che serve uno specifico strumento,
ma e` anche necessario andarselo a comprare.
La maggior parte delle scansioni e` disponibile solo per gli utenti privilegiati. Questo e` dovuto al
fatto che esse inviano e ricevono pacchetti "raw" (non formattati o "grezzi", ovvero semplici stringhe di
bit), i quali richiedono accesso di root su sistemi UNIX. L'uso di un account di amministrazione su
Windows e` raccomandato, nonostante Nmap a volte funzioni anche per gli utenti non privilegiati quando
WinPcap e` gia` stato caricato nel sistema operativo. Nel 1997, quando Nmap venne rilasciato, la
necessita` di avere privilegi di root era una seria limitazione perche` molti utenti avevano solo accesso
ad account su macchine che davano semplici shell non privilegiate. Ora il mondo e` cambiato: i computer
sono piu` economici, molta piu` gente ha una connessione a Internet diretta e sempre attiva, e i sistemi
UNIX per desktop (includendo tra questi macchine Linux o OS X) sono ormai la maggioranza tra gli UNIX.
Per tutte queste ragioni gli utenti hanno sempre meno necessita` di usare Nmap da account limitati - il
che non fa che migliorare la situazione, poiche` le opzioni privilegiate fanno di Nmap uno strumento
molto piu` potente e flessibile.
Nonostante Nmap faccia del proprio meglio per produrre risultati accurati, si tenga in mente che tutte le
sue conclusioni sono basate su pacchetti che tornano indietro dalle macchine di destinazione (o dai
firewall che le proteggono). Tali host possono essere inaffidabili o restituire risposte mirate proprio a
confondere e sviare Nmap. Sono molto piu` comuni inoltre host che non rispettano gli RFC e che non
rispondono come dovrebbero ai tentativi di connessione di Nmap. Scansioni come FIN, Null e Xmas sono
particolarmente suscettibili a questo problema. Tali problematiche sono specifiche a certi tipi di
scansione ed in quanto tali vengono discusse nelle sezioni individuali ad esse dedicate.
Questa sezione documenta le molteplici tecniche di port scanning supportate da Nmap. Si puo` usare solo
un metodo per volta, a parte l'UDP scan (-sU) che puo` essere combinato con con uno qualsiasi dei TCP
scan. Per ricordarsi le varie opzioni di port scan, esse sono della forma -sC, dove C e` un carattere
significativo del nome della scansione - in genere il primo. L'unica eccezione a questa regola generale
e` il cosiddetto "FTP bounce scan" che viene tuttavia sconsigliato (opzione -b). Di default Nmap effettua
un SYN scan, usando la syscall connect() se l'utente non ha privilegi sufficienti per mandare pacchetti
raw (che richiede accesso di root su UNIX), o se e` stato richiesto uno scan su obbiettivi su IPv6. Di
tutte le scansioni elencate di seguito, gli utenti non privilegiati possono solo effettuare scansioni
mediante connect() e "FTP bounce".
-sS (TCP SYN scan)
La SYN scan e` l'opzione di default ed e` la piu` usata per buone ragioni. Puo` essere effettuata
velocemente: effettua la scansione su migliaia di porte al secondo su una rete veloce non limitata da
firewall intrisivi. La SYN scan e` relativamente poco invasiva e nascosta, poiche` non completa mai
connessioni TCP complete. Funziona inoltre con ogni stack TCP compatibile e non dipende sulle
idiosincrasie di piattaforme specifiche come fanno gli altri tipi di scan di Nmap quali
Fin/Null/Xmas, Maimon e Idle scan. Inoltre permette una differenziazione chiara ed affidabile tra le
porte appartenenti agli stati open (aperta) , closed, e filtered (filtrata).
Questa tecnica e` spesso indicata come "scanning semi-aperto" (tradotto letteralmente per esigenze di
comprensione, da "half-open scanning", NdT), perche` non viene aperta una connessione TCP completa.
Viene mandato un pacchetto SYN come se si fosse sul punto di aprire una connessione reale e si
attende una risposta. Un SYN/ACK indica che la porta e` in ascolto (aperta), mentre un RST (reset)
indica che la porta non e` in ascolto. Se non viene ricevuta nessuna risposta dopo diverse
ritrasmissioni la porta viene marcata come filtrata. La porta viene marcata come tale anche se viene
ricevuto un pacchetto di errore "ICMP unreachable" (tipo 3, codici 1, 2, 3, 9, 10, 13).
-sT (TCP connect() scan)
La scansione di tipo TCP connect() e` la scansione TCP di default dove la scansione SYN non e`
un'opzione viabile. Questo e` il caso in cui un utente non ha privilegi sull'invio di pacchetti "raw"
o se si sta lavorando su reti IPv6. Anziche` scrivere pacchetti "raw" come in molti altri tipi di
scansioni, Nmap richiede al sistema operativo sottostante di stabilire una connessione con la
macchina di destinazione invocando la chiamat di sistema connect(). Questo e` la stessa chiamata di
alto livello invocata per stabilire una connessione da browser web, client p2p e molte altre
applicazioni orientate all'utilizzo in rete. Essa e` parte dell'interfaccia di programmazione
conosciuta come Berkeley Sockets API. Anziche` inviare pacchetti "raw" direttamente sul cavo, Nmap
usa questa API per ottenere informazioni sullo stato di ogni tentativo di connessione.
Quand'e` possibile il SYN scan e` generalmente una scelta migliore. Nmap ha meno controllo sulla
syscall connect() rispetto ai pacchetti "raw", rendendolo quindi piu` efficiente in quest'ultimo
caso. La syscall completa le connessioni alle porte aperte specificate anziche` limitarsi al reset
dovuto alla scansione semi-aperta del SYN scan. Non solo questo approccio mediante connect() richiede
un tempo maggiore e piu` pacchetti per ottenere le stesse informazioni, ma le macchine obbiettivo
sono piu` propense a memorizzare la traccia (log) della connessione. Inoltre un IDS (Intrusion
Detection System, sistema di controllo delle intrusioni) decente se ne accorgera`. Tuttavia la
maggior parte delle macchine non hanno tali sistemi di allarme. Molti servizi sui propri sistemi UNIX
standard aggiungeranno una nota al syslog, e a volte un messaggio di errore criptico, quando Nmap si
connette e chiude la connessione senza inviare dati di alcun tipo. Solo alcuni patetici servizi
andranno in crash in queste condizioni, nonostante non sia comune. Un amministratore che dovesse
vedere un insieme di tentativi di connessioni provenienti da un singolo sistema sapra` infine che e`
vittima di un connect scan.
-sU (UDP scans)
Mentre i servizi piu` comuni su Internet girano attraverso il protocollo TCP, i servizi UDP[3] sono
altrettanto diffusi. DNS, SNMP e DHCP (sulle porte registrate 53, 161/162 e 67/68) sono tre dei piu`
comuni. Poiche` lo scan su UDP e` generalmente piu` lento e piu` difficoltoso di quello su TCP,
alcuni esaminatori di sicurezza ("security auditors") ignorano questo tipo di porte. Cio` e` un
errore, poiche` i servizi UDP vulnerabili sono abbastanza comuni e un attaccante sicuramente non
ignorera` completamente questo protocollo. Fortunatamente Nmap puo` aiutare ad enumerare le porte
UDP.
Lo scan UDP si attiva con l'opzione -sU. Esso puo` essere combinato con uno scan di tipo TCP come ad
esempio un SYN scan (-sS) per controllare entrambi i protocolli nel corso della stessa sessione.
Lo scan UDP funziona inviando pacchetti UDP vuoti (senza dati ma formati solo dall'intestazione) ad
ogni porta di destinazione. Se viene restituito un errore ICMP di "port unreachable" (tipo 3, codice
3) significa che la porta e` closed (chiusa). Altri errori ICMP di tipo "unreachable"
(irraggiungibile) come quelli del tipo 3, codici 1, 2, 9, 10 o 13 andranno ad identificare la porta
come filtered (filtrata). Talvolta un servizio rispondera` con un pacchetto UDP, dimostrando quindi
che lo stato della porta e` open (aperta). Se non viene ricevuta alcuna risposta dopo alcune
ritrasmissioni, la porta viene classificata come open|filtered (aperta|filtrata). Questo significa
che la porta puo` essere aperta o che probabilmente un filtro di pacchetti sta bloccando la
comunicazione. I version scan (-sV) possono essere usati per aiutare a differenziare le porte
veramente aperte da quelle che sono filtrate.
La sfida maggiore con l'UDP scan e` la velocita`. Le porte aperte e filtrate raramente inviano
qualche risposta, lasciando Nmap in timeout e facendolo ritrasmettere per evitare il caso in cui il
probe o la risposta sia andato perduto. Le porte chiuse sono spesso un problema ancora maggiore: esse
generalmente rimandano un pacchetto ICMP di "port unreachable error", ma a differenza dei pacchetti
RST rimandati dalle porte chiuse TCP come risposta ad un SYN o Connect scan, molti host limitano il
tasso di invio di tali pacchetti di default. Linux e Solaris sono particolarmente restrittivi da
questo punto di vista. Ad esempio, il kernel 2.4.20 limita i messaggi di "destination unreachable" a
uno al secondo (definito in net/ipv4/icmp.c).
Nmap si accorge di questi limiti sulla frequenza di invio e rallenta l'invio dei probe in maniera
dinamica, per evitare di intasare la rete con pacchetti inutili che la macchina di destinazione
ignorera` comunque. Sfortunatamente, un limite come quello di Linux di un pacchetto al secondo rende
una scansione su 65 535 porte di una durata teorica di piu` di 18 ore. Suggerimenti per rendere piu`
veloce gli UDP scan sono quelli di effettuare scansioni su piu` host in parallelo, o di fare uno scan
veloce preliminare sulle porte piu` usate, o ancora di effettuare la scansione dall'interno del
firewall, e infine di usare l'opzione --host_timeout per evitare host troppo lenti nel rispondere.
-sN; -sF; -sX (TCP Null, FIN, and Xmas scans)
Queste tre tipologie di scansione (e molte altre sono possibili con l'opzione --scanflags descritta
nella prossima sezione) sfruttano una piccola vulnerabilita` nell' RFC del protocollo TCP[4] per
distinguere tra le porte open (aperte) e closed (chiuse). A pagina 65 si dice che “ se lo stato della
porta [di destinazione] e` CHIUSO ... un segmento in arrivo che non contiene un RST causera` l'invio
di un RST in risposta. ” La pagina successiva discute di pacchetti inviati a porte aperte senza i bit
di SYN, RST o ACK impostati, indicando che: “questa situazione e` decisamente improbabile, ma se
dovesse capitare i segmenti vanno ignorati e si deve ritornare [alla funzione chiamante, NdT] ”
Quando si scansionano sistemi aderenti a questo testo RFC, qualunque pacchetto che non contenga i bit
di SYN, RST, o ACK causera` un RST di ritorno se la porta e` chiusa e nessuna risposta se la porta e`
aperta. Finche` questi tre bit sono inclusi, qualunque combinazione di questi tre bit (FIN, PSH, e
URG) va bene. Nmap sfrutta questi tre tipi di scan:
Null scan (-sN)
Non manda nessun bit (il tcp flag header e` 0)
FIN scan (-sF)
Setta solo il FIN.
Xmas scan (-sX)
setta FIN, PSH, e URG, accendendo il pacchetto come un albero di natale.
Questi tre tipi di scan sono esattamente identici nel comportamento ad eccezione delle attivazioni
dei tre bit nei pacchetti TCP usati per la verifica delle porte. Se viene ricevuto un pacchetto RST,
la porta e` considerata chiusa, mentre l'assenza di risposta indica che la porta e` aperta o
filtrata. La porta e` marcata come filtrata se viene ricevuto un pacchetto ICMP unreachable (tipo 3,
codice 1, 2, 3, 9, 10, o 13).
Il vantaggio sostanziale di questi tipi di scan e` che possono penetrare in certi non-stateful
firewalls e packet filtering routers. Un altro vantaggio e` che questi tipi di scansione sono un po`
piu' invisibili anche dei SYN scan. In ogni caso non e` corretto fare cieco affidamento su questo,
gran parte dei moderni prodotti IDS possono essere configurati in modo da rilevarli. Il grande
svantaggio e` che non tutti i sistemi seguono alla lettera la RFC 793. Un buon numero di sistemi
manda risposte RST ai pacchetti di controllo indipendentemente dal fatto che le porte siano aperte o
chiuse. Questo causa il fatto che tutte le porte appaiano come chiuse. I piu' diffusi sistemi
operativi che fanno questo sono Microsoft Windows, molti apparati Cisco, BSDI, e IBM OS/400. Questo
scan funziona applicato alla maggior parte dei sistemi UNIX. Un altro svantaggio di questi scan e`
che non riescono a distinguere una porta aperta da quelle filtrate, dando la risposta di
open|filtered.
-sA (TCP ACK scan)
Questo scan e` diverso dagli altri scan discussi fino ad ora dal momento che non serve per
determinare se le porte sono aperte (o aperte|filtrate). E' usato per mappare le regole di
firewalling determinando se sono stateful o no e quali porte sono filtrate.
I pacchetti dell' ACK scan hanno soltanto la flag ACK abilitata (a meno che non si usi --scanflags).
Mentre si scansionano sistemi non filtrati, sia le porte aperte che le porte chiuse manderanno
pacchetti RST. Nmap poi le cataloga come non filtrate, nel senso che e` possibile raggiungerle con un
pacchetto ACK, ma che siano aperte o chiuse non e` determinabile. Le porte che non rispondono, o
mandano certi errori ICMP (tipo 3, codice 1, 2, 3, 9, 10, o 13), sono etichettate come filtrate.
-sW (TCP Window scan)
Il window scan e` esattamente la stessa cosa di ACK scan, ad eccezione del fatto che sfrutta un
dettaglio di implementazione di certi sistemi per differenziare le porte aperte e quelle chiuse,
invece di scrivere sempre non filtrata quando restituisce un RST. Lo fa esaminando il campo TCP
Window del pacchetto RST che ritorna. In alcuni sistemi le porte aperte usano una grandezza della
finestra positiva (anche per i pacchetti RST), mentre nelle porte chiuse la grandezza della finestra
e` zero. Quindi, invece di catalogare sempre le porte come non filtrate quando si riceve un RST di
ritorno, il Window scan lista le porte come aperte o chiuse a seconda che il valore in quel RST
(reset) e` positivo o pari a zero rispettivamente.
Questo scan fa affidamento a un dettaglio implementativo di una minoranza di sistemi presenti in
internet, segue che questo non e` sempre affidabile. Nei sistemi in cui questo dettaglio
implementativo non sussiste, di norma lo scan segnalera` tutte le porte chiuse. Sicuramente sara`
possibile che la macchina non abbia realmente nessuna porta aperta. Se la maggior parte delle porte
e` chiusa, e alcune porte comuni appaiono filtrate, il sistema e` quasi sicuramente suscettibile a
questo tipo di scan. Occasionalmente, alcuni altri sistemi presenteranno un comportamento esattamente
opposto. Se lo scan risulta in 1000 porte aperte e 3 chiuse, allora quelle saranno con ogni
probabilita` proprio quelle aperte.
-sM (TCP Maimon scan)
Il Maimon scan e` stato nominato cosi` in onore al suo scopritore, Uriel Maimon. Egli descrisse
questa tecnica nell'articolo #49 della rivista Phrack (Novembre 1996). Nmap, che incluse questa
tecnica, fu rilasciato due articoli dopo. Questa tecnica esattamente uguale ai Null, FIN e Xmas scan,
ad eccezione del fatto che i pacchetti di scansione sono FIN/ACK. In accordo con la RFC 793 (TCP), un
pacchetto RST dovrebbe venir generato in risposta a tale stimolo. Ad ogni modo, Uriel noto` che in
molti sistemi derivati da BSD il pacchetto veniva scartato se la porta era aperta.
--scanflags (Custom TCP scan)
Gli utilizzattori molto avanzati di Nmap hanno necessita` di non limitarsi semplicemente ad
utiulizzare le scansioni tipiche offete. L'opzione --scanflags consente di designare una scansione
personalizzata specificando arbitrariamente i flag TCP necessari. Liberate la vostra inventiva, ed
evitate cosi` che i vendor di Intrusion Detection Systems trovino nuove regole da aggiungere ai loro
sistemi semplicemente sfogliando la "Man Page" di Nmap!
I parametri dell'opzione --scanflags possono essere un valore numerico indicante i falg TCP, come ad
esepio 9 (PSH e FIN). L'utilizzo di nomi simbolici risulta comunque piu` semplice. Una combinazione
di URG, ACK, PSH, RST, SYN, e FIN. Per esempio, --scanflags URGACKPSHRSTSYNFIN imposta tutti i flag,
anche se non risulta multo utilie al fine della scansione. L'ordine con cui vengono specificati non
e` rilevante.
Oltre allo specificare i flag desiderati, e` possibile indicare uno tipo di scansione TCP (come -sA o
-sF). Questo specifica come Nmap deve interpretare le risposte. Per esempio, un "SYN scan" considera
la mancanza di risposta come una ad indicare la porta filtered, mentre un "FIN scan" interpreta lo
stesso comportamento per identificare una porta open|filtered. Nmap si comportera` nello stesso modo
che per la scansione normale, tranne che per il fatto di interpretare i flag TCP che sono stati
diveramente specificarti. Se non viene indicata una diverso tipo di scansione, viene automaticamente
utilizzata la "SYN scan".
-sI <zombie host[:probeport]> (Idlescan)
Questo metodo di scansione avanzato permette di effettuare una scansione TCP completamente invisibile
dell'obiettivo (ovvero nessun pacchetto viene inviato dall'indirizzo IP reale da cui si sta
effettuando la scansione.) Viene diversamente utilizzato un unico attacco parallelo che utilizza la
predicibilita` dell'ID relativo alla sequenza di frammentazione generato dallo "Zombie" per ottenere
informazioni sulle porte aperte. I sistemi IDS intrepreteranno la scansione come se provenisse dalla
macchina "Zombie" specificata (e che deve rispondere a certi criteri). Questa affascinante tecnica di
scansione e` troppo complessa per essere descritta a fondo in questa guida, per questa ragione ho
scritto e reso pubblico un documento informale contenente tutti i dettagli al seguente url:
http://nmap.org/book/idlescan.html.
Oltre che essere straordinariamente nascosto (grazie alla sua natura "invisibile"), questo tipo di
scansione permette di creare una mappa indicante le relazioni tra le macchine da un punto di vista
dell'indirizzo IP. I risultati dalla scansione mostrano le porte aperte dalla prospettiva
dell'indirizzo IP della macchina "Zombie". Risulta cosi` possibile effettuare scansioni utilizzando
diversi "Zombie" che si ritiene possano attraversare router o sistemi con packet filter.
E' possibile aggiungere i due punti seguiti dal numero di porta per l'host Zombie, se si vuole
sondare una particolare porta per vedere i cambiamenti nell'IPID. Diversamente Nmap utilizzera` the
porta che utilizza di default per i ping TCP (80).
-sO (IP protocol scan)
"IP Protocol" permette di determinare che protocolli IP (TCP, ICMP, IGMP, etc.) sono supportati dalla
macchine su cui viene effettuata la scansione. Non e` "Tecnicamente" un port scan, dato che utilizza
i numeri indicanti il protocollo IP e non i numeri di porta TCP o UDP. Utilizza comunque ancora
l'opzione -p per scegliere il protocollo da scansionare e riporta i risultati nel normale formato
della tabella delle porte, ed utilizza lo stesso engine sottostante al port scanning reale. Per
questo motivo e` profondamente analogo ad un port scan e viene trattato in questa sezione.
Oltre che essere intrinsicamente utile, il protocol scan dimostra la potenza del software open
source. Per quanto l'idea fondamentale e` abbastanza semplice, non immaginavo di aggiungerla fino a
quando non avessi ricevuto richieste per questa funzionalita`, Nell'estate del 2000, Gerhard Rieger
concepi` l'idea e scrisse un'eccellente patch che la implementasse, spedendola poi alla mailing list
nmap-hackers. Io incorporai questa patch in Nmap e ne rilasciai una nuova versione il giorno
seguente. Alcuni software commerciali ebbero clienti talmente soddisfatti da contribuire allo
sviluppo di questa tecnica con i loro miglioramenti!
La "Protocol Scan" funziona in modo simile all'UDP Scan. Invece di agire sul campo "port number" del
pacchetto UDP, invia un pacchetto contenente negli 8 bit dell'header IP relativi al protocollo.
Questi headers sono tipicamente vuoti, non contengo dati e nemmeno l'header proprietario del
protocollo dichiarato. Le tre eccezioni sono: TCP, UDP e ICMP. Un header valido per queste eccezioni
viene incluso perche`, diversamente, alcuni sistemi non li invierebbero e perche` Nmap e` gia`
provvisto di funzioni per crearli. Invece che cercare un messaggio di "ICMP port unreachable", la
"Protocol Scan" e` alla ricerca di un messaggio "ICMP protocol unreachable". Se Nmap riceve una
qualunque risposta di qualunque protocollo dall'Host scansionato, Nmap lo indica tale protocollo come
open. Un errore "ICMP protocol unreachable" (tipo 3, codice 2) fa si` che il protocollo sia indicato
come closed. Altri errori di tipo "ICMP unreachable" (tipo 3, codice 1, 3, 9, 10, or 13) fanno
classificare il protocollo come filtered (Denotando, contestualmente, che il protocollo ICMP e`
open). Se non viene ricevuta alcuna risposta, il protocollo e` identificato come open|filtered.
-b <ftp relay host> (FTP bounce scan)
Un'interessante caratteristica del protocollo FTP (RFC 959[5]) e` il supporto per le cosi` chiamate
"proxy ftp connections". Cio` permette all'utente di connettersi al server FTP e richiedere che il
file sia inviato ad un differente FTP server. Tale caratteristica si presta per vare tipologie di
abuso, cosicche` molti server hanno smesso di supportarla. Uno degli abusi nell'utilizzo di questa
peculiarita` e` la possibilita` far effettuare al server FTP un port scan verso altri host. Basta
semplicemente richiedere al server FTP di inviare un file ad ognuna delle porte che vogliamo
scansionare. Il messaggio di errore ci permettera` di dedurre se la porta e` aperta o meno. Questo e`
un'ottimo modo per aggirare i firewall in quanto gli FTP aziendali sono spesso posizionati nella rete
cosi` da poter accedere a piu` host interni di quanto sia possibile fare da Internet. Nmap supporta
la "ftp bounce scan" attraverso l'opzione -b. I parametri per tale opzione devono rispettare il
formato: username:password@server:port. Dove: Server e` l'hostname o l'indirizzo IP di un FTP server
vulnerabile a questo attacco. Come in una URL normale, e` possibile omettere username:password, ed in
tal caso verranno utilizzate credinziali anonime (user: anonymous password:-wwwuser@). Il numero di
porta (ed i due punti che lo precedono) possono essere altresi` omessi, in tal caso viene utilizzata
la porta FTP di default (21) per la connessione al server.
Questa vulnerabilita` e` stata diffusa nel 1997 quando Nmap e` stato rilasciato, ma e` stata risolta
su gran parte dei sistemi. Esistono alcuni server ancora vulnerabili, ed ha senso provare ad
utilizzarla quando ogni altra cosa fallisce. Se l'obiettivo e` oltrepassare un firewall, e`
necessario effettuare una scansione sulla rete cercando di trovare la porta 21 aperta (o anche
cercando un servizio FTP su di una qualsiasi porta, utilizzando la "Version Detection") e provare
quindi un "FTP Bounce Scan" su ognuno dei server individuati. Nmap sara` in grado di evidenziare se
un host e` vulnerabile o meno a questa tecnica. Se si sta cercando semplicemente di nascondere le
tracce, non vi e` bisogno (e di fatto non si dovrebbe) di limitare la scansione alla rete che
realmente ci interessa. Prima di iniziare ad effettuare scansioni su indirizzi Internet casuali e`
bene tenere presente che gli amministratori di sistema potrebbero non apprezzare che i loro server
siano soggetti a tali abusi.
PORT SPECIFICATION E SCAN ORDER
Oltre a tutti i metodi discussi in precedenza, Nmap offre la possibilita` di specificare che porte devono
essere scansionati e se l'ordine delle porte da scansionare deve essere casuale oppure sequenziale. Per
defalult Nmap effettua la scansione di tutte le porte fino alla 1024 inclusa e le porte superiori
indicate nel file nmap-services relative ai protocolli interessati dalla scansione.
-p <port ranges> (Only scan specified ports)
Questa opzione permette di ignorare le impostazioni di default e di specificare quali porte si
vogliono scansionare. E' possibile indicare i singoli numeri delle porte, cosi` come gli intervalli,
indicati da un trattino (per esempio 1-1023). I primo e/o l'ultimo valore di un intervallo puo`
essere omesso, facendo si` che Nmap utilizzi rispettivamente 1 e 65535. E' quindi possibile
utilizzare l'opzione -p- per effettuare la scansione delle porte da 1 a 65535. E' possibile
effettuare scansioni sulla porta zero se viene espressamente specificato. Nel caso di un "IP Protocol
Scan" (-sO), questa opzione indica il numero di protocollo che si desidera scansionare (0-255).
Quando si effettua una scansione di porte sia TCP che UDP, e` possibile specificare un protocollo
particolare anteponendo al numero di porta T: o U:. Tale indicazione risulta valida sino a che non ne
viene indicata un'altra. Per esempio, l'opzione -p U:53,111,137,T:21-25,80,139,8080 effettua una
scansione delle porte 53, 111 e 137, sia per il protocollo UDP che TCP. Si noti che per effettuare
una scansione su entrambi i protocolli UDP & TCP, e` necessario specificare l'opzione -sU e almeno un
metodo di "TCP Scan" (Come -sS, -sF, o -sT). Se non viene indicato nulla, i numeri di porta vengono
aggiunti a tutte le liste dei protocolli.
-F (Fast (limited port) scan)
Indica che si intende effettuare la scansione delle sole porte indicate nel file nmap-services che
viene fornito con Nmap. (Oppure utilizzando i file di protocollo indicati con l'opzione -sO). Questo
risulta molto piu` rapido che non controllare tutte le 65535 porte su di un Host. Dato che la lista
contine comunque molte porte TCP (piu` di 1200) non vi e` molta differenza rispetto ad una scansione
TCP di defalut (circa 1650 porte). La differenza risulta essere enorme se si utilizza un file
nmap-services creato appositamente. Per indicare tale file si utilizza l'opzione --datadir.
-r (Don't randomize ports)
Per default, Nmap effettua la scansione delle porte in ordine casuale, (eccetto che per certe porte
comuni che vengono controllate tra le prime per motivi di efficenza). La scansione delle porte in
ordine casuale e` tipicamente un vantaggio, ma e` possibile utilizzare l'opzione -r cosi` da
effettuare i controlli in ordine sequenziale.
SERVICE E VERSION DETECTION
Utilizzando Nmap e dirigendo la scansione su una macchina remota e` possible scoprire che le porte 25/tcp
80/tcp, and 53/udp sono aperte. Utilinzando il suo database di circa 2200 servizi noti, contenuto nel
file nmap-services, Nmap probabilmente sara` in grado di indicare che ti tratta rispettivamente di un
Mail Server (SMTP), si un web server (HTTP), e di un name server (DNS). Tale riconoscimento e`
solitamente accurato -- la maggior parte di demoni in ascolto sulla porta 25 sono, in effetti, Mail
Server. Non si comunuqe opportuno fidarsi ciecamente di tali indicazioni! E' infatti possibile erogare
servizi su porte non convenzionali.
Anche se le indicazioni di Nmap sono corrette, e gli ipotetici server sopracitati sono effettivamente
SMTP, HTTP e DNA, queste informazioni non sono esaustive. Quando si eseguono dei "vulnerability
assessments" (o anche semplicemente un inventario della rete) della vostra societa` o di clienti, e`
interessante sapere esattamente di che mail e DNS server si tratta e quale versione e` in uso. Conoscere
accuratamente la versione del software e` di fondamentale importanza per derminare a quali exploits e`
vulnerabile il server. "Version Detection" e` di grande aiuta nel ricercare queste informazioni.
Al momento dell'identificazione delle porte TCP e/o UDP da parte di uno dei vari metodi di scansione, il
"Version Detection" interroga queste porte per rilevare ulteriori dati sui servizi erogati. Il database
contenuto nel file nmap-service-probes contiene instruzioni per interrogare i vari servizi e per
intepretarne le risposte. Nmap cerca quindi di terminare di che servizio si tratta (Es.: ftp, ssh,
telnet, http), di che applicazione (Es.: ISC, Bind, Apache httpd, Solaris telnetd), la versione,
l'hostname, il tipo di device, la famiglia del sistema operativo (Es.: Windows, Linux...) e spesso altri
dettagli come l'apertura di un X server alle connessioni, la versione del protocollo SSH, o l'untenza
utilizzata da KaZaA. Ovviamente la maggior parte dei serivizi non rilasciano tutte queste informazioni,
ma se NMap viene copilato il supporto per OpenSSL, sara` in grado di connettersi ai server SSL per
dudurre quale tipo di servizio viene offerto dietro al suo "Encryption Layer". Quando i servizi RPC
vengono identificati, Nmap e` in grado di raffinare quanto rilevato (-sR) cosi` da riconoscere versione e
nome del servizio RPC. Alcune delle porte UDP vengono indicate come open|filtered se un "UDP Port Scan"
non e` in grado di derminare con precisione se la porta e` open o filtered. "Version Detection" cerchera`
di ottenere una risposta da queste porte (esattamente come per le porte aperte), e modifichera` lo stato
in "Open" se ci riuscira`. Le porte open|filtered vengono trattate nello stesso modo. Bisogna tener
presente che l'opzione -A abilita, fra le varie cose, il Version Detection. E' disponibile un documento
sul funzionamento e sull'utilizzo nonche` sulla personalizzazione del "Version Detection" e` disponibile
al seguente indirizzo: http://www.insecure.org/nmap/vscan/.
Quando Nmap riceve delle risposte da un Servizio ma non e` in grado di trovarne una iterpretazione nel
suo database, visualizza una particolare "FingerPrint" e una URL per permettere di inviare quanto
rilevato nel caso si conosca a priori che cosa sta effettivamente girando su quella porta. E' importante
perdere qualche minuto per effettuare l'invio di questi dati quando possibile perche` cosi` facendo
chiunque in futuro potra` benificiare dei dati raccolti e riconoscere anche questo serizio. Grazie a
questo sistema Nmap e` in grado di identificare circa 3.000 differenti varianti per piu` di 350
protocolli come smtp, ftp, http, ecc.
"Version Detection" viene attivato e controllato dalle seguenti opzioni:
-sV (Version detection)
Abilita il "Version Detection", come precedentemente illustrato. In alternativa, e` possibile
utilizzare l'opzione -A per attivare sia "OS Detection" che "Version Detection".
--allports (Non esclude alcuna porta dal Version Detection)
Normalmente, il Version Detection di Nmap non invia pacchetti alla porta TCP 9100 poiche` alcune
stampanti accettano e stampano direttamente qualunque dato ricevuto su questa porta. Se tale porta
fosse sottoposta a scansione, verrebbero stampate decine di pagine contenenti richieste HTTP get,
puri dati binari, sessioni SSL e via discorrendo. E' possibile cambiare il comportamento del Version
Detection di NMap con la modifica o la rimozione della direttiva Exclude nel file nmap-service-probes
oppure specificando l'opzione --allports cosi` da effettuare la scansione di tutte le porte,
indipendentemente da quanto indicato nella direttiva Exclude.
--version_intensity <intensity> (Imposta l'accuratezza del Version Scan)
Quando si effettua un Version Scan (-sV), NMap invia una serie di pacchetti-sonda, ognuno delle quali
ha assegnato un valore compreso tra 1 e 9. I pacchetti con valore piu` basso sono in grado di
riconoscere i servizi comunemente diffusi, mentre quelli con valori piu` alti sono raramente
necessari. Il livello di accuratezza specifica quali pacchetti-sonda devono essere impiegati; piu`
alto e` il livello, piu` e` probabile che il servizio venga correttamente identificato. D'altro
canto, piu` una scansione e` accurata e piu` tempo sara` necessario. I valori devono essere compresi
tra 1 e 9; il valore di default e` 7. Quando viene assegnato direttamente un pacchetto-sonda ad una
porta utilizzando la direttiva ports nel file nmap-service-probes, esso viene utilizzato
indipendentemente dal valore indicato per l'accuratezza del Version Scan. Questo garantisce, per
esempio, che ogni volta che viene trovata la porta 53 aperta vengano effettuati i controlli specifici
per il DNS; cosi` come in caso di porta 443 vengano invece utilizzati quelli per l'SSH e cosi` via.
--version_light (Attiva la modalita` Light)
Questa opzione e` equivalente alla --version_intensity 2. Questa modalita` rende il Version Scanning
drasticamente piu` veloce, riducendone pero` la capacita` di identificare accuratamente i servizi.
--version_all (Prova ogni singolo pacchetto-sonda)
Questa opzione e` equivalente alla --version_intensity 9, assicurando che ogni singolo
pacchetto-sonda venga utilizzato su ogni singola porta.
--version_trace (Evidenzia l'attivita` del Version Scan)
Indica a Nmap di visualizzare informazioni di debug estese relative all'attivita` del Version
Scanning. E' un subset di quanto si ottiene con l'opzione --packet_trace.
-sR (RPC scan)
Questo metodo lavora in congiuntamente agli altri metodi di scansione delle porte, riversando su ogni
singola porta TCP o UDP trovata aperta i comandi NULL di SunRPC, cercando cosi` di determinare se le
porte analizzate sono RPC o meno e, nel caso, quale programma e versione utilizzano. E' cosi`
possibile ottenere le stesse informazioni rilevate dal comando rpcinfo -p anche se l'host indagato e`
dietro un firewall (o protetto da TCP wrappers). Al momento la scansione Decoys non funziona con
l'RPC Scan Viene automaticamente abilitato come parte del Version Scan (-sV) se indicato. Visto che
Version Detection impiega tale sistema, che e` molto piu` completo, l'opzione -sR e` raramente
necessaria.
OS DETECTION
Una delle piu` famose caratteristiche di NMap e` la possibilita` di identificare remotamente il sistema
operativo di un host attraverso il "Fingerprint" dello stack TCP/IP. Nmap invia una serie di pacchetti
TCP ed UDP all'Host Remoto ed esamina ogni bit ricevuto in risposta. Dopo aver effettuato decine di test
come il "TCP ISN sampling", il "TCP option support and ordering", il "IPID Sampling" ed il controllo del
Window Size iniziale, NMap compara i risultati con il suo database (nmap-os-fingerprints) contenente piu`
di 1500 "OS Fingreprints" conosciuti e ne visualizza i dettagli se ne trova riscontro. Ogni fingerprint
comprendo una descrizione del sistema operativo ed una classificazione che tale da indicare il Vendor
(per esempio Sun), il sistema operativo (per esempio Solaris), la versione (per esempio 10) ed il tipo di
device (per esempio "general purpose", router, switch, "game console" ecc).
Se NMap non e` in grado di indovinare il sistema operativo di una macchina e le condizioni sono propizie
(almeno una porta trovata aperta ed una trovata chiusa), NMap fornira` una URL che potra` essere
utilizzata per inviare la FingerPrint (nel solo caso che si conosca con certezza il sistema operativo
dell'host in questione) Inviando queste FingerPrint e` possibile contribuire ad ampliare la gamma di
sistemi operativi conosciuti da NMap, cosi` da rendelo piu` accurato per tutti.
OS Detection abilita diversi altri test che utlizzano le informazioni che sono state ottenute durante
questo processo. Una di queste e` la misura dell'UpTime, che sfrutta l'opzione TimeStamp (RFC 1323) per
indovinare quando una macchina ha effettuato l'ultimo reboot. Questo e` riportato solo per quelle
macchine che forniscono tale informazione. Un'altra e` la "TCP Sequence Predictability Classification",
che misura approssimativamente quanto e` stato complesso stabilire una "Forged TCP Connection" verso un
host remoto. E' utile per sfruttare exploit basati sul controllo del SourceIP (rlogin, filtri firewall,
ecc.) o per nascondere la sorgente di un attacco. Questo tipo di spoofing e` attualmente utilizzato di
rado, ma molte macchine sono tuttora vulnerabili ad esso. Il numero indicante la "difficulty" e` basato
su campionamenti statistici e puo` fluttuare. E' generalmente preferibile utilizzare la classificazione
verbale, come “worthy challenge” oppure “trivial joke”. Tale indicazione e` riportata nel normale output
in modalita` "Verbose" (-v) Quando la modailita` "Vervose" e` utilizzata congiuntamente all'opzione -O,
anche la sequenza di generazione dell'IPID viene riportata. La maggior parte delle macchine e` nella
classe “incremental”, il che significa che incrementano il campo ID dell'Header IP per ogni pacchetto
inviato. Cio` le rende vulnerabili a diversi attacchi avanzati di spoofing ed "Information Gathering".
Un documento riguardante il funzionamento, l'utilizzo e la personalizzazione del "Version Detection" e`
disponibile tradotto in oltre una dozzina di lingue: http://www.insecure.org/nmap/osdetect/.
OS detection viene attivato e controllato dalle le seguenti opzioni:
-O (Enable OS detection)
Abilita l'OS detection, come descritto sopra. In alternativa, e` possibile utilizzare l'opzione -A
per attivare sia l'OS detection che il version detection.
--osscan_limit (Limit OS detection to promising targets)
L'OS detection e` molto piu` efficace se vengono rilevate almeno una porta aperta ed una chiusa.
Utilizzando questa opzione NMap non cerchera` di effettuare la OS Detection su quegli host che non
rispondo a questo criterio. E' cosi` possibile un sensibile risparmio di tempo, specialmente se si
utilizza anche l'opzione -P0 su molti host. E' importante unicamente quando l'OS Detection e`
richiesto attravero le opzioni -O o -A.
--osscan_guess; --fuzzy (Guess OS detection results)
Quando NMap non e` in grado di rilevare una corrispondenza esatta dell'OS, propone come possibilita`
gli OS piu` vincini alla rilevazione. La corrispondenza pero` deve essere molto simile perche` NMap
lo faccia per default. Entrambe queste opzioni (equivalenti) fanno si che NMap proceda con il
riconoscimento dell'OS in modo piu` aggressivo.
PERFORMANCE
Le performance sono sempre state una delle principali priorita` durante lo sviluppo di Nmap. Una
scansione default(nmap hostname) di un host in una rete locale richiede circa un quinto di secondo, poco
piu` di un battito di ciglia. Tuttavia esso aumenta quando si sta effettuando una scansione di decine o
centinaia di migliaia di host. Inoltre alcune opzioni di scan (come lo scan UDP e il version detection) o
alcune configurazioni di firewall (in particolare quelle che limitano la frequenza delle risposte,
conosciute come "response rating") tendono ad aumentare decisamente il tempo di scansione. Anche se Nmap
usa tecniche di scansione in parallelo e molti altri algoritmi piu` avanzati per diminuire il tempo
totale impiegato, l'utente ha comunque il controllo finale slle modalita` in cui Nmap viene eseguito. Un
utente esperto usera` quindi comandi specifici per ottenere solo le informazioni di cui ha bisogno,
restando pero` all'interno della finestra temporale minima.
Alcune tecniche per migliorare i tempi di scansione sono l'omissione di test non rilevanti e
l'aggiornamento all'ultima versione di Nmap (questo perche` spesso gli aggiornamenti includono
miglioramenti delle performances). Anche ottimizzare i parametri di timing e` un'ottima strategia per
ottenere sostanziali differenze; queste opzioni sono elencate di seguito.
Alcune opzioni accettano il parametro time. Questo indica una quantita` di tempo in millisecondi (di
default), ma e` possibile aggiungere 's', 'm' o 'h' per indicare secondi, minuti oppure ore. Ad esempio,
per il parametro --host-timeout gli argomenti 900000, 900s e 15m hanno tutti lo stesso effetto.
--min-hostgroup <millisecondi>; --max-hostgroup <millisecondi> (Regola le dimensioni dei gruppi per la
scansione in parallelo)
Nmap ha l'abilita` di effettuare port scan o version scan su piu` host in parallelo. Lo spazio degli
indirizzi IP di destinazione viene diviso in gruppi e viene scansionato un gruppo per volta. In
genere gruppi di dimensioni maggiori porta ad una migliore efficienza. Il lato negativo di tutto cio`
e` i risultati non possono essere mostrati all'utente fino a quando l'intero gruppo non e` stato
esplorato completamente. Quindi, se si lancia Nmap impostando la dimensione del gruppo a 50, l'utente
non vedra` alcun risultato fino a quando i primi 50 host non sono stati completati (a meno che non
selezioni la modalita` verbose).
Di default, Nmap usa un compromesso per ovviare a questa difficolta`. Inizialmente utilizza una
dimensione di cinque host in modo da mostrare i primi risultati velocemente, dopodiche` incrementa la
dimensione fino ad un massimo di 1024. Il numero esatto dipende dalle opzioni che vengono passate.
Per ragioni di efficienza Nmap usa gruppi di dimensione maggiore per UDP o per scansioni di porte TCP
di piccole dimensioni.
nel caso in cui una dimensione massima del gruppo sia specificata con --max_hostgroup, Nmap non
oltrepassera` mai questo limite. Specificando invece una dimensione minima con --min_hostgroup
obblighera` Nmap a usare dimensioni almeno equivalenti. Nmap potrebbe tuttavia dover usare gruppi
piu` piccoli di quelli indicati se non ci dovessero essere abbastanza host di destinazione rimanenti
per un'interfaccia per raggiungere la minima quota specificata. Entrambe le opzioni possono essere
impostate per mantenere la dimensione del gruppo all'interno di un certo limite, anche se questo
succede raramente.
L'utilizzo principale di queste opzioni e` quello di specificare una dimensione minima di una certa
dimensione in modo da rendere piu` veloce la scansione globale. Una scelta piuttosto comune e` 256
per una scansione di una rete di classe C. Per una scansione con piu` porte, una dimensione di 2048 o
piu` puo` essere d'aiuto.
--min_parallelism <milliseconds>; --max_parallelism <milliseconds> (Modifica il probe in parallelo)
Queste opzioni controllano il numero totale di probe che puo` uscire dalla macchina sorgente per un
host group. Esse sono usate per port scanning e host discovery. Di default, Nmap calcola un
parallelismo ideale in continuo cambiamento a seconda delle performance della rete. Se c'e` un
elevato numero di pacchetti che viene scartato, Nmap rallenta e lavora su un numero minore di probe
in uscita. Il numero ideale di probe in uscita incrementa poi gradualmente fintantoche` la rete lo
permette. Di default, il parallelismo puo` arrivare ad un minimo di 1 se la rete si dimostra essere
poco affidabile; puo` invece aumentare a diverse centinaia per una rete in condizioni ottimali.
L'uso piu` comune consiste nell'impostare --min_parallelism ad un valore maggiore di 1 per accelerare
le scansioni di reti o host che rispondono in maniera non adeguata. E` abbastanza rischioso giocare
con quest'opzione, in quanto impostandola ad un valore troppo alto puo` influire negativamente
sull'accuratenzza. Impostandola manualmente inoltre riduce l'abilita` di Nmap di controllare
dinamicamente il parallelismo, basandosi sulle condizioni della rete. Un valore di 10 e` abbastanza
ragionevole, anche se in genere le modifiche a questo parametro vengono usate come ultima risorsa.
L'opzione --max_parallelism viene impostata a volte sul valore 1 per impedire a Nmap di inviare piu`
di un probe alla volta verso un determinato host. Questo puo` essere d'aiuto quando usato insieme
all'opzione --scan_delay (discussa in seguito), anche se quest'ultima in genere e` piu` che
sufficiente da sola per lo scopo.
--min_rtt_timeout <milliseconds>, --max_rtt_timeout <milliseconds>, --initial_rtt_timeout <milliseconds>
(Modifica i timeout dei probe)
Nmap mantiene un valore di timeout aggiornato per determinare quanto ci vorra` per un probe response
prima di ritrasmettere il probe. Questo viene calcolato basandosi sui tempi di response degli ultimi
probe inviati. Se la latenza della rete dovesse oscillare troppo questo timeout puo` crescere fino ad
un valore di diversi secondi. Inoltre esso e` impostato inizialmente ad un valore abbastanza alto e
potrebbe restare su quel valore per tutto il tempo in cui Nmap effettua la scansione su host che non
rispondono.
Le seguenti opzioni prendono come parametro un valore espresso in millisecondi. Specificando limiti
di --max_rtt_timeout e di --initial_rtt_timeout inferiori ai valori di default e` possibile ridurre
di molto i tempi di scansione. Questo e` vero in particolare per scansioni di tipo "pingless"
(opzione -P0, ovvero senza effettuare un ping preliminare) e nei confronti di reti particolarmente
protette. Tuttavia, e` bene non esagerare; infatti la scansione puo` addirittura richiedere piu`
tempo del previsto nel caso in cui si specifichi un valore talmente basso da resettare il timeout dei
probe (e forzarne un nuovo invio) mentre la risposta sta ancora arrivando.
Se tutti gli host sono su una rete locale, 100 millisecondi e` un valore ragionevolmente aggressivo
per l'opzione --max_rtt_timeout. Se nella scansione e` coinvolto qualche routing, sarebbe meglio
effettuare un ping preliminare dell'host (con l'utility ICMP ping o con un generatore di pacchetti
come hping2 che puo` penetrare un firewall piu` facilmente), e osservare poi il valore massimo di
andata/ritorno ("round trip") per un numero di pacchetti non inferiore a 10. E` quindi consigliato
raddoppiare questo valore per l'opzione --initial_rtt_timeout e triplicarlo o quadruplicarlo per
l'opzione --max_rtt_timeout. In genere si preferisce non impostare il maximum rtt al di sotto di 100
millisecondi, indipendentemente dai tempi di ping. E nemmeno al di sopra di 1000 millisecondi.
L'opzione --min_rtt_timeout e` usata molto raramente; essa puo` essere utile nel caso in cui una rete
sia talmente poco affidabile che anche il default di Nmap e` troppo aggressivo. Poiche` Nmap riduce
il timeout fino al valore minimo quando la rete sembra affidabile, questa esigenza di solito non e`
necessaria e dovrebbe essere indicata come bug alla mailing list nmap-dev.
--host_timeout <milliseconds> (Abbandona in caso di host di destinazione troppo lenti nel rispondere)
Alcuni host a volte richiedono un tempo estremamente lungo per portare a termine una scansione.
Questo puo` essere dovuto a hardware o software poco performante o inaffidabile o a firewall troppo
restrittivi. La minoranza degli host sottoposti a scansione puo` richiedere la maggior parte del
tempo di scansione. A volte e` preferibile risparmiare sul tempo ed evitare questi host fin dal
principio. Questo comportamento viene forzato dall'opzione --host_timeout seguito dal numero di
millisecondi dopo i quali non si vuole piu` aspettare. In genere si specifica un valore di 1800000
per avere la garanzia che Nmap non sprechi piu` di mezz'ora su un singolo host. Si noti che Nmap puo`
nel frattempo effettuare la scansione su altri host durante quella mezz'ora, per cui non si tratta di
tempo completamente sprecato. Un host che dovesse andare in timeout viene semplicemente saltato. Non
vengono mostrati l'elenco delle porte, il detection del sistema operativo ne` risultati di version
detection per quell'host.
--scan_delay <milliseconds>; --max_scan_delay <milliseconds> (Modifica il ritardo tra probe differenti)
Quest'opzione obbliga Nmap ad aspettare almeno il tempo indicato (in millisecondi) tra i probe
inviati ad un determinato host. Questo risulta particolarmente utile nel caso di limitazioni sulla
frequenza dell'invio ("rate limiting"). Tra gli altri, in particolare le macchine Solaris in genere
rispondono a scansioni UDP con un solo messaggio ICMP al secondo. Qualsiasi altro probe inviato da
Nmap durante questo intervallo di tempo sarebbe quindi sprecato. Un'opzione di --scan_delay di 1000
manterra` Nmap al di sotto di questa particolare frequenza di invio di probe. Nmap comunque cerchera`
di capire eventuali limiti sulla frequenza e modifichera` i ritardi sui probe di conseguenza,
tuttavia non e` cattiva abitudine specificarlo sulla linea di comando quando dovesse essere noto a
priori il valore ottimale.
Un'altro uso dell'opzione--scan_delay e` quello in cui si desidera evitare sistemi anti-intrusione
(IDS/IPS, "intrusion-detection" e "intrusion-prevention system").
--defeat-rst-ratelimit
Molti host usano da tempo delle funzionalita` di "rate limiting" (limitazioni alla frequenza) per
ridurre il numero di messaggi di errore ICMP che mandano (ad esempio gli errori su
"port-unreachable", porta non raggiungibile). Alcuni sistemi hanno iniziato ad applicare le stesse
tecniche all'invio di pacchetti RST (reset). Queste tecniche possono rallentare di molto Nmap poiche`
esso continuera` a calibrare la gestione dei timing per gestire queste limitazioni di frequenza. Si
puo` quindi indicare a Nmap di ignorare questi rate limits (per i port scan come il SYN scan, che non
considerano le porte silenziose come aperte) mediante l'opzione --defeat-rst-ratelimit.
L'uso di questa opzione puo` ridurre la precisione di uno scan, poiche` alcune porte potrebbero
restituire uno stato di non-risposta (Nmap non e` rimasto in attesa abbastanza a lungo a causa di
meccanismi di rate-limiting dei pacchetti RST). Con una scansione di tipo SYN le porte "mute" (dalle
quali non si e` ricevuto un RST) in questo caso vengono indicate con filtered piuttosto che chiuse.
Quest'opzione e` utile solo quando si e` interessati alle porte aperte, e la distinzione tra porte
open e closed non e` di alcun interesse rispetto al tempo che richiede.
-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> (Imposta un template di temporizzazione)
Mentre le opzioni mostrate nella precedente sezione sono molto utili ed effettive nel caso in cui si
voglia avere il controllo piu` preciso possibile sul comportamento di Nmap, alcuni potrebbero
trovarle troppo complicate da usare. Inoltre, la scelta dei valori piu` appropriati puo` a volte
richiedere piu` tempo della scansione che si sta cercando di ottimizzare. Nmap offre quindi un
approccio piu` semplice mediante sei "timing templates", ovvero opzioni pre-impostate per regolare
l'aggressivita` della scansione. Esse si specificano mediante l'opzione -T seguita dal numero del
template corrispondente o dal suo nome. Essi sono: paranoico (0), furtivo (1), educato (2), normale
(3), aggressivo (4) e folle (5). I primi due vengono usati per evitare i sopracitati sistemi
anti-intrusione (IDS). La modalita` "gentile" rallenta la scansione in modo da usare meno banda e
risorse sulla macchina bersaglio. La modalita` "normale" e` di default (e pertanto l'opzione -T3 non
modifica nulla). La modalita` "aggressiva" incrementa la velocita` assumendo che si e` su una rete
veloce ed affidabile. Infine la modalita` "folle" da` per scontato che si e` su una rete estremamente
veloce ed affidabile o che si vuole sacrificare l'accuratezza in nome della velocita`.
Questi template consentono all'utente di specificare quanto aggressivi si desidera essere, lasciando
al tempo stesso a Nmap il compito di scegliere i valori piu` appropriati. I template inoltre
effettuano piccoli aggiustamenti sui timing per i quali non esistono opzioni che ne consentono il
controllo. Ad esempio, l'opzione -T4 impedisce al ritardo dinamico per una scansione di andare al di
sotto della soglia dei 10 millisecondi per le porte TCP, e l'opzione -T5 limita questo valore a 5
millisecondi. I template possono essere usati insieme a controlli piu` precisi a patto che il
template venga specificato per primo. Altrimenti i valori impostati dal template potrebbero
sovrascrivere quelli specificati dall'utente. Si raccomanda di usare l'opzione -T4 nel caso in cui si
desideri effettuare scansioni di reti abbastanza recenti e affidabili; inoltre e` consigliabile
mantenere quell'opzione (intesa come inserita all'inizio dei comandi) anche qualora si dovessero
aggiungere controlli piu` precisi in modo da beneficiare da tutti i piccoli miglioramenti che
dovessero intervenire.
Se la propria connessione e` a banda larga o di tipo ethernet, si raccomanda di usare sempre
l'opzione -T4. Alcuni prediligono anche l'opzione -T5, nonostante per i piu` sia troppo aggressiva.
Altri a volte usano l'opzione -T2 perche` credono che sia meno propensa a mandare in crash un host o
perche` si considerano persone educate. Spesso essi non si rendono conto di quanto e` lenta l'opzione
-T Polite; una scansione di questo tipo puo` impiegare anche dieci volte il tempo richiesto per una
scansione di default. Crash di host e problemi di banda sono rari con le opzioni di timing di default
(opzione -T3) e pertanto e` l'opzione consigliata a chi deve effettuare scansioni senza dare troppo
nell'occhio. Omettere una scansione di tipo version detection e` molto piu` efficiente del giocare
con i valori di timing per ridurre i problemi sopracitati.
Mentre le opzioni -T0 e -T1 potrebbero essere utili per evitare gli allarmi di un IDS (sensore
anti-intrusione), esse richiederanno un tempo estremamente lungo per portare a termine una scansione
di migliaia di host o di porte. In una situazione di questo tipo si suggerisce di lavorare sui valori
esatti di timing richiesti piuttosto che avvalersi delle opzioni preimpostate nelle opzioni -T0 e
-T1.
Gli effetti principali dell'opzione T0 sono quello di serializzare la scansione in modo da affrontare
una sola porta alla volta, e al tempo stesso quello di attendere cinque minuti tra l'invio di un
probe e il successivo. Le opzioni T1 e T2 sono simili ma attendono rispettivamente 15 secondi e 0.4
secondi tra un probe e l'altro. L'opzione T3 e` il comportamento di default di Nmap (che include il
parallelismo). L'opzione T4 ha lo stesso risultato dell'impostare --max_rtt_timeout 1250
--initial_rtt_timeout 500 e di impostare il ritardo massimo per una scansione TCP a 10 millisecondi.
Infine l'opzione T5 e` equivalente a --max_rtt_timeout 300 --min_rtt_timeout 50 --initial_rtt_timeout
250 --host_timeout 900000 e ad impostare il massimo ritardo TCP (maximum delay) a 5 millisecondi.
BYPASSING E SPOOFING DI FIREWALL E INTRUSION DETECTION SYSTEM (FIREWALL/IDS EVASION AND SPOOFING)
Tanti pionieri dell'epoca di Internet immaginarono una rete globale aperta con uno spazio di indirizzi IP
universale, che potesse consentire connessioni virtuali tra qualsiasi coppia di nodi. Questo permette ad
ogni host di diventare allo stesso tempo fruitore e fornitore di informazioni da e per l'altro. Chiunque
poteva accedere dal lavoro a tutti i propri sistemi di casa, regolando il termostato o aprendo la porta
per un visitatore che dovesse arrivare in anticipo. Questa visione di connettivita` universale e` stata
soffocata da carenze nello spazio di indirizzamento e da preoccupazioni legate alla sicurezza. Nei primi
anni novanta le compagnie iniziarono a sviluppare firewall con lo scopo di ridurre la connettivita`.
Enormi reti vennero tagliate fuori dall'Internet non filtrato da application proxy, NAT (Network Address
Translation) e packet filter (filtri di pacchetto). Il flusso incontrollato delle informazioni lascio` il
posto a regole stringenti sui canali di comunicazione approvati e sul contenuto che puo` transitare su di
essi.
Ostruzioni di rete come i firewall possono rendere la stesura della topografia di una rete un lavoro fin
troppo difficile. E non migliorera` mai, perche` limitare le differenze che permettono di distinguere tra
un apparecchio e un altro e` spesso lo scopo primario nella loro costruzione. Nondimeno, Nmap offre molte
caratteristiche che possono aiutare a capire tali reti complesse e a verificare che i filtri impostati
stiano funzionando come previsto. Nmap include anche meccanismi per effettuare il bypassing di difese
poco robuste o mal implementate. Uno dei migliori metodi per capire quant'e` sicura la propria rete e`
proprio il cercare di forzarla. Mettetevi nei panni di un attaccante, e usate le tecniche spiegate in
questa sezione contro le vostre reti. Lanciate una scansione "FTP bounce", un "Idle scan", un
"fragmentation attack", o provate a entrare attraverso uno dei vostri proxy.
In aggiunta alle restrizioni delle attivita` di rete, le aziende stanno sempre piu` tenendo sotto
controllo il traffico con sistemi anti-intrusione (IDS). La maggior parte di questi IDS e` configurato
per accorgersi di una scansione di Nmap di default, poiche` molto spesso l'attacco segue direttamente la
scansione. Molti di questi strumenti inoltre si sono evoluti in sistemi di prevenzione delle intrusioni
(IPS, "intrusion prevention systems") che bloccano attivamente tutto il traffico che potrebbe essere
nocivo. Sfortunatamente per gli amministratori di rete e per i produttori di IDS, pero`, rilevare cattive
intenzioni analizzando semplicemente i dati contenuti nei pacchetti e` un problema difficile. Un
attaccante con una buona dose di pazienza, talento e l'aiuto di alcune opzioni di Nmap puo` generalmente
scavalcare un IDS senza esser visto. Allo stesso tempo un amministratore ha a che fare con molti falsi
positivi dovuti ad intenzioni legittime che vengono erroneamente bloccati o per i quali scattano allarmi.
Ogni tanto qualcuno suggerisce che Nmap non dovrebbe fornire opzioni per bypassare regole di firewalling
o per sgusciare oltre agli IDS. Essi asseriscono che queste caratteristiche sono usate piu` facilmente da
attaccanti piuttosto che da amministratori attenti alle problematiche di sicurezza. Il problema con
questo tipo di ragionamento e` che tali metodi verrebbero comunque usati da attaccanti che potrebbero
semplicemente usare altri strumenti o modificare Nmap per fare cio` che desiderano. E intanto un
amministratore si troverebbe a non aver strumenti per poter fare il proprio lavoro correttamente.
Sviluppare solo server FTP moderni e con tutte le patch installate e` un approccio molto migliore al
voler bloccare lo sviluppo e la distribuzione di strumenti che usano l'attacco "FTP bounce".
Non esiste alcuna bacchetta magica (o opzione di Nmap) per riconoscere o bypassare un firewall o un
sistema anti-intrusione. E` un'attivita` che richiede talento ed esperienza. Una guida completa esula
dagli intenti di questa guida di riferimento, la quale elenca solo le opzioni rilevanti e descrive cio`
che fanno.
-f (frammenta i pacchetti); --mtu (usando l'unita` di trasmissione minima specificata - "MTU")
L'opzione -f obbliga la scansione (anche i "ping scan") a usare pacchetti IP frammentati. L'idea di
base e` quella di frammentare l'header TCP su piu` pacchetti, in modo da rendere piu` difficile per
un packet filter, per un IDS o per altri fastidiosi strumenti simili il compito di capire cosa sta
succedendo. Si presti comunque la massima attenzione nell'uso di questa opzione! Alcuni programmi
hanno difficolta` a gestire pacchetti di dimensione troppo piccola. Il vecchio tool "Sniffit" andava
in segmentation fault non appena riceveva il primo frammento. Specificando questa opzione una volta
Nmap dividera` i pacchetti in piccoli insiemi di al piu` 8 byte ciascuno, inserendoli dopo l'header
IP. In questo modo un header TCP di 20 byte verra` diviso in tre pacchetti: due con otto byte
ciascuno e uno con i rimanenti quattro. E ovviamente ogni frammento avra` un header IP. Specificando
di nuovo l'opzione -f si useranno insiemi di 16 byte (riducendo cosi` il numero di frammenti). In
alternativa si puo` indicare lo spiazzamento ("offset") desiderato mediante l'opzione --mtu. Non si
usi l'opzione -f se si e` usato --mtu. Lo spiazzamento dev'essere un multiplo di 8. Nonostante i
pacchetti frammentati non supereranno i packet filter e i firewall che mantengono una coda di tutti i
frammenti IP (come ad esempio le macchine GNU/Linux che hanno l'opzione CONFIG_IP_ALWAYS_DEFRAG
impostata nel kernel), alcune reti tuttavia non possono permettersi il calo di performance causato da
troppi frammenti e pertanto non avranno quell'opzione abilitata. Altri ancora non possono abilitare
quell'opzione perche` i frammenti potrebbero prendere direzioni differenti una volta all'interno.
Alcuni sistemi di origine dei dati deframmentano i pacchetti in uscita nel kernel. Linux con il
modulo ip_conntrack ("connection tracking module") e` uno di questi. Si raccomanda di effettuare la
scansione mentre un packet sniffer (come Ethereal) sta girando, in modo da avere la certezza che i
pacchetti inviati vengono effettivamente frammentati. Se il proprio sistema operativo dovesse causare
problemi in questo, si usi l'opzione --send_eth per bypassare il livello IP ed inviare direttamente
frame Ethernet sul cavo.
-D <decoy1 [,decoy2][,ME],...> (Maschera una scansione utilizzando esche - "decoy scan")
Quest'opzione invoca una "decoy scan" (ovvero una scansione utilizzando esche) che agli occhi
dell'host di destinazione apparira` come se provenisse dagli host specificati come decoy. In questo
modo l'IDS della rete bersaglio mostrera` 5-10 port scan provenienti da indirizzi IP singoli, e non
potra` capire quale IP e` veramente la sorgente dell'attacco e quale IP e` usato solo come
mascheramento. Nonostante quest'opzione possa essere resa inutile mediante il tracciamento del
percorso fatto dai router ("router path tracing"), tecniche di response-dropping e altri meccanismi
attivi sono generalmente una tecnica effettiva per nascondere il proprio indirizzo IP.
Separando gli host decoy con una virgola e` possibile usare il parametro ME come uno dei decoy per
rappresentare la posizione del proprio indirizzo IP. Se si pone il parametro ME nella sesta posizione
o ancora oltre, alcuni sensori di port scan (come l'eccellente "scanlogd" di Solar Designer)
difficilmente mostreranno il vostro indirizzo IP. Se non si dovesse usare il parametro ME, Nmap
mettera` il vostro IP in una posizione a caso.
Si noti che gli host che vengono usati come decoy dovrebbero essere attivi o si corre il rischio di
creare un "SYN flood" verso il proprio obbiettivo. Inoltre diventerebbe molto facile capire quale
host e` la causa della scansione, se solo uno e` attivo in una rete. E` consigliabile usare indirizzi
IP al posto di nomi, per evitare che la rete dei decoy individui i propri tentativi di risoluzione
dei nomi nei log dei propri DNS.
I decoy vengono usati sia nel "ping scan" iniziale (indipendentemente dal fatto che si usi ICMP, SYN,
ACK, eccetera) sia durante la fase di port scanning effettiva. Infine i decoys vengono usati durante
la "Operating System Detection" remota, specificabile con l'opzione -O). L'utilizzo dei decoy non e`
valido con scansioni di tipo "version detection" o scansioni di tipo TCP connect().
Inutile ricordare che l'uso di troppi decoy puo` rallentare la propria rete e potenzialmente renderla
meno accurata. Inoltre, alcuni ISP ("Internet Service Providers") potrebbero filtrare i pacchetti
"spoofed" (falsificati), anche se molti non operano alcun tipo di azione su questi ultimi.
-S <IP_Address> (falsifica l'indirizzo sorgente - "spoof source address")
In talune circostanze Nmap potrebbe non essere in grado di determinare il proprio indirizzo sorgente
(in questi casi Nmap avvertira` della problematica). Se cosi` fosse si puo` usare l'opzione -S
seguita dall'indirizzo IP dell'interfaccia che si vuole usare per inviare pacchetti.
Un altro possibile uso di quest'opzione potrebbe essere per falsificare ("spoof") la scansione per
far credere al bersaglio che qualcun altro li sta prendendo di mira e sta effettuando una scansione
su di loro. Si immagini solo cosa potrebbe succedere se un'azienda si accorgesse di essere preda di
port scan da parte dei propri concorrenti! L'opzione -e e` in genere richiesta per questo particolare
utilizzo, e si consiglia anche di usare -P0.
-e <interface> (Usa l'interfaccia di rete specificata - "use specified interface")
Indica a Nmap che interfaccia di rete usare per inviare e ricevere pacchetti. Nmap dovrebbe essere in
grado di capire autonomamente quale usare, ma nel caso non sia possibile vi avvertira`.
--source-port <portnumber>; -g <portnumber> (Effettua uno spoof del numero di porta di origine)
Un errore di configurazione sorprendente comune e` quello di fidarsi del traffico di rete basandosi
solo sulla porta di origine. E` facile capire come puo` succedere: un amministratore configura un
firewall nuovo fiammante per poi ritrovarsi sommerso dalle lamentele degli utenti ingrati le cui
applicazioni hanno smesso di funzionare. Ad esempio le query DNS possono non funzionare piu` perche`
le risposte (sotto forma di pacchetti UDP) provenienti da server esterni non possono piu` entrare
nella rete. Anche l'ftp e` un esempio piuttosto comune: nei trasferimenti di dati attivi (opposti a
quelli di tipo "passive ftp") il server remoto cerca di stabilire una connessione diretta con il
client per trasferire i file richiesti.
Esistono soluzioni sicure a questi problemi, spesso nella forma di proxy a livello di applicazione o
moduli del firewall che fanno parsing del protocollo. Sfortunatamente ci sono anche soluzioni facili
ma insicure. Ad esempio, notando che le risposte alle query DNS arrivano dalla porta 53 e i transfer
ftp "active" provengono dalla porta 20, tanti amministratori cadono nella trappola di lasciar passare
il traffico proveniente da queste porte. Essi assumono spesso che nessun attaccante potrebbe
accorgersi di questi buchi di sicurezza e appprofittarne. In altri casi un amministratore puo`
considerare questa soluzione una misura temporanea fino a quando non implementera` una soluzione
migliore e piu` sicura. E poi si dimentica di farlo.
Gli amministratori di rete con troppe cose da fare non sono gli unici a cadere in questa trappola.
Molti prodotti sono venduti con queste regole insicure; anche Microsoft e` colpevole. I filtri IPSec
parte di Windows 2000 e Windows XP contengono una regola implicita che permette il passaggio di tutto
il traffico proveniente dalla porta 88 (Kerberos). Un altro caso ben conosciuto e` quello di Zone
Alarm Personal Firewall (fino alla versione 2.1.25: esso permetteva l'ingresso nel sistema a
qualsiasi pacchetto UDP che avesse come porta di origine la 53 (DNS) o 67 (DHCP).
Nmap offre le opzioni (equivalenti) -g e --source-port per sfruttare queste debolezze. Basta fornire
un numero di porta e Nmap mandera` pacchetti da questa porta quando possibile. Tuttavia Nmap deve
usare numeri di porta diversi per alcuni test di OS detection perche` essi funzionino a dovere, e le
richieste DNS ignorano l'opzione --source-port poiche` Nmap si appoggia alle librerie di sistema per
gestirle. La maggior parte delle scansioni TCP, incluse le scansioni SYN e UDP, supportano
quest'opzione.
--data-length <number> (Aggiunta di dati random ai pacchetti inviati)
In genere Nmap invia pacchetti nella dimensione piu` piccola possibile, contenenti soltanto l'header
(intestazione). Quindi i pacchetti TCP sono in genere di 40 bytes e le richieste ICMP echo di 28
bytes. Quest'opzione indica a Nmap di aggiungere un certo numero di bytes casuali a quasi tutti i
pacchetti che invia. I pacchetti di OS detection tuttavia non vengono modificati, perche` la
precisione in essi richiede una certa consistenza nell'invio dei probe; in ogni modo quasi tutte le
opzioni di ping e portscan supportano questa modalita`. Essa rallenta leggermente le performance ma
puo` risultare in una scansione piu` accurata.
--ttl <value> (Imposta il campo IP time-to-live)
Imposta il campo time-to-live (tempo di vita del pacchetto IPv4) al valore richiesto.
--randomize-hosts (Rimescola l'ordine degli host bersaglio)
Quest'opzione indica a Nmap di rimescolare l'ordine di scansione di ogni gruppo di host (fino a 8096)
prima di iniziare la scansione. Questo puo` nascondere le scansioni a vari sistemi di network
monitoring, specialmente quando e` affiancato a opzioni di rallentamento ("slow timing"). Se si
desidera un random su gruppi di dimensione maggiore, e` necessario incrementare la direttiva
PING_GROUP_SZ in nmap.h e ricompilare l'applicativo. Una soluzione alternativa potrebbe essere quella
di generare una lista degli IP sui quali effettuare lo scan mediante un list scan (opzione -sL -n -On
filename), randomizzarla con uno script Perl e passare la lista a Nmap con l'opzione -iL.
--spoof-mac <mac address, prefix, or vendor name> (Effettua uno spoof dell'indirizzo hardware (MAC))
Richiede a Nmap di usare l'indirizzo hardware (mac) per tutti i frame ethernet raw che invia.
Quest'opzione implica --send-eth per garantire che Nmap invii di fatto pacchetti a livello ethernet.
Il MAC puo` essere specificato in vari formati: nel caso in cui sia la stringa “0”, Nmap sceglie un
MAC completamente random per la sessione. Se la stringa e` un numero pari di simboli esadecimali (con
le coppie separate eventualmente dal simbolo di due punti), Nmap usera` questo come MAC. Se dovessero
essere specificate meno di 12 cifre decimali, Nmap riempira` il resto dei 6 bytes con valori casuali.
Se l'argomento non e` uno zero (0) o una stringa esadecimale, Nmap cerchera` nel file
nmap-mac-prefixes per cercare il nome di un produttore contenente la stringa indicata (senza
distinguere tra maiuscole e minuscole). Se trova una corrispondenza, Nmap usera` la parte OUI del
produttore (il prefisso di 3 bytes) e riempira` i restanti 6 bytes in maniera casuale. Esempi validi
dell'uso di --spoof-mac sono Apple, 0, 01:02:03:04:05:06, deadbeefcafe, 0020F2, e Cisco.
--badsum (Invia pacchetti con checksum TCP/UDP non valido)
Richiede a Nmap di usare un checksum TCP o UDP non valido per i pacchetti inviati alla macchina di
destinazione. Poiche` teoricamente tutti gli stack IP degli host finiranno per ignorare questi
pacchetti, qualunque risposta ricevuta dovra` per forza provenire da un firewall o da un Intrusion
Detection System (IDS) che non si preoccupa di verificare il checksum. Per maggiori informazioni su
questa tecnica, si consulti http://nmap.org/p60-12.txt
OUTPUT
Qualunque tool di sicurezza 蠵tile quanto l'output che esso stesso genera. Test e algoritmi complessi son
di scarsa importanza se non son presentati in modo comprensibile e ben organizzato. Dato il grande numero
di modi in cui Nmap viene usato dagli utenti e da altro software, nessun formato potrebbe soddisfare
tutti. Per questo motivi Nmap offre molti formati, inclusa la modalita` interattiva per la lettura
diretta degli utenti, sia XML per rendere l'output facilmente interpretabile dal software.
Inoltre per offrire differenti formati di output, Nmap fornisce opzioni per il controllo della verbosita`
dell'output come anche dei messaggi di debugging. I tipi di output possono essere mandati allo standard
output o a files, ai quali Nmap puo accodare o sovrascrivere contenuto. I files di output possono anche
essere usati per ripristinare scansioni precedentemente annullate.
Nmap rende l'output disponibile in cinque formati differenti. Il formato predefinito 蠣hiamato
interactive output, ed 蠭andato in standard output (stdout). C'蠡nche un normal output, che 蠳imile all'
interactive ad eccezione per il fatto che mostra meno informazioni di runtime e warnings dal momento che
si suppone che dovra` essere analizzato dopo il completamento della scansione, piuttosto che
interattivamente.
L' output XML 蠵no dei piu` importanti tipi di output, dal momento che puo` essere convertito in HTML,
interpretato con facilita` dai programmi come per esempio le interfacce grafiche di Nmap, o importata in
databases.
I rimanenti due tipi di output sono il semplice grepable output che include la maggior parte delle
informazioni su un obiettivo in una linea singola, e il sCRiPt KiDDi3 0utPUt per utenti che si
considerano |<-r4d.
Mentre l'output interattivo 蠱uello predefinito e non ha associate opzioni da linea di comando, gli altri
quattro formati usano la stessa sintassi. Prendono un argomento , che 蠩l nome del file nel quale i
risultati dovranno essere scritti. Possono essere specificati formati multipli, ma ogni formato puo solo
essere specificato una volta. Per esempio si potrebbe voler salvare il normal output per le proprie
revisioni e nel mentre salvare in XML per l'analisi programmatica. Cio` si potrebbe realizzare con le
opzioni: -oX myscan.xml -oN myscan.nmap. Mentre questo capitolo usa per brevita` dei nomi semplici come
myscan.xml , son generalmente consigliati nomi piu` descrittivi. I nomi scelti sono un problema di
preferenza personale, anche se io ne uso di lunghi che incorporano la data della scansione e un paio di
parole che descrivano la scansione., messe in una directory chiamata come l'azienda che sto scansionando.
Mentre queste opzioni salvano i risultati su files, Nmap stampa ancora l'output interattivo in standard
output come sempre. Per esempio, il comando nmap -oX myscan.xml target stampa XML dentro myscan.xml e
scrive in standard output gli stessi risualtati interattivi che avrebbe stampato se -oX non fosse stata
specificata. Si puo cambiare questo comportamento passando un carattere trattino come argomento di un
tipo di formato. Questo fa si che Nmap disattivi l'output interattivo, e stampi il risultato nel formato
che si 蠳pecificato nello stream dello standard otput. Cosi` il comando nmap -oX - target mandera` in
stdout soltanto l'output XML. Possono ancora comparire degli avvisi di errore grave sullo stream di
standard error stderr.
A differenza di alcuni argomenti di Nmap, lo spazio tra il file di log e l'opzione di log (ad esempio
-oX) e il nome del file o il trattino, 蠯bbligatorio. Se si omettono le opzioni e si danno argomenti come
-oG- o -oXscan.xml, una feature di retrocompatibilita` causera` la creazione di file di output in normal
format chiamatiG- e Xscan.xml rispettivamente.
Nmap offre inoltre l'opzione di controllo sullla verbosita` e la possibilita` di accodare ai files invece
di sovrascriverli. Tutte queste opzioni sono descritte di seguito.
I Formati di Output di Nmap
-oN <filespec> (Normal output)
Richiede che il t normal output venga rediretto al dato file. Come detto sopra, questo 蠬eggermente
diverso da interactive output.
-oX <filespec> (XML output)
Richiede che l'output XML sia rediretto al dato file.Nmap contiene un document type definition (DTD)
che permette agli interpreti XML di validare l'output di Nmap. Sebbene inteso come prioritariamente
per l'uso programmatico, puo essere d'aiuto anche agli utenti. Il DTD definisce gli elementi
convenzionali del formato, e spesso enumera gli attributi e i valori che possono assumere.
XML offre un formato stabile e facilmente interpretato dal software. Gli interpreti XML liberi (free)
sono disponibili per la maggior parte dei linguaggi di programmazione, compresi C/C++, Perl, Python,
e Java. C'e anche chi ha scritto dei bindings per gran parte di questi linguaggi per trattare in
maniera specifica l'output e l'esecuzione di Nmap. Ne sono esempio: Nmap::Scanner[6] e
Nmap::Parser[7] nel Perl CPAN. In quasi tutti i casi il modo preferito per interpretare i risultati
di Nmap 蠳tato XML.
L'output XML fa riferimento ad uno stylesheet XSL che puo essere usato per formattare il risultato in
HTML. La maniera piu` facile di usarlo 蠳emplicemente aprire il file XML in un web browser come
Firefox o IE. Di norma questa procedura dovrebbe funzionare solo sulla macchina su cui si esegue Nmap
(o una configurata in maniera simile) perche` il percorso a nmap.xsl 蠱uello hardcoded in Nmap. Si
veda l'opzione --stylesheet per creare un file XML portabile che renderizza come HTML in ogni
macchina connessa al web.
-oS <filespec> (ScRipT KIdd|3 oUTpuT)
Lo script kiddie output 蠣ome l' interactive output, ad eccezione del post-processing che meglio
adatta l'output al 'l33t HaXXorZ che prima guardavano dall'alto in basso Nmap per la sua troppo
corretta ortografia e per l'uso proprio delle maiuscole.Per le persone poco inclini all'humor, si
noti che questa opzione prende in giro gli script kiddies che prima mi criticavano perche` "li
aiutassi".
-oG <filespec> (Grepable output)
Questo formato di output 蠤escritto per ultimo perche` il suo uso 蠯rmai da considerarsi in disuso.
L'outpt XML 蠤i gran lung apiu` potente, e pressoche` ugualmente utile per gli utenti esperti. XML
蠵no standard per le dozzine di eccellenti parsers che sono disponibili, mentre il grepable output
蠵n mio semplice hack. XML 蠥stensibile al supporto di nuove features di Nmap man mano che queste
vengono rilasciate, mentre spesso ometto queste nuove features per il formato grepable per mancanza
di spazio dove aggiungerle.
Ad ogni modo, il grepable output 蠡ncora discretamente usato. E' un formato semplice che lista ogni
host su una riga e puo` essere facilmente cercato e interpretato dai tool standard di UNIX, come
grep, awk, cut, sed, diff e Perl. Anche io lo uso per test semplici da riga di comando. Trovare tutti
gli host che hanno la porta di ssh aperta o che montano Solaris, 蠱uestione di un semplice grep per
identificare gli host e un pipe verso awk o cut per visualizzare i campi desiderati.
Il grepable output contiene commenti (le righe che iniziano con il cancelletto (#)) e righe target.
Una riga target include una combinazione di 6 campi etichettati, saeparati da tabulazioni e terminati
da un duepunti. I campi sono Host, Ports, Protocols, Ignored State, OS, Seq Index, IPID, e Status.
I piu` importanti tra questi campi sono generalmente il campo Ports, che da dettagli su ogni porta
interessante,. E' una lista di porte separate da una virgola. Ogni porta rappresenta una porta
interessante e prende la forma di sette sottocampi separati da uno slash (/). Questi sottocampi sono:
Port number, State, Protocol, Owner, Service, SunRPC info, and Version info.
Come in XML output, questa pagina di manuale non permette di documentare l'intero formato. E'
disponibile una descrizione piu` dettagliata del formato grepable output.
-oA <basename> (Output in tutti i formati)
Secondo convenienza, si potrebbe specificare -oA basename per salvare i risultati dello scan in
normal, XML, e grepable formats in una sola volta. Questi vengono salvati nei files basename.nmap,
basename.xml, e basename.gnmap, rispettivamente. Come la maggior parte dei programmi, si puo mettere
un prefisso ai nomi dei files, come ad esempio un percorso a directory, come ~/nmaplogs/foocorp/ su
UNIX o c:\hacking\sco su Windows.
Verbosita` e livello di debugging
-v (Aumenta il livello di verbosity)
Aumenta il livello di verbosita`, facendo in modo che Nmap stampi piu` informazioni riguardo allo
scan in esecuzione. Le porte aperte sono mostrate man mano che Nmap le trova e il tempo rimanente
stimato vengono mostrati se Nmap ritiene che lo scan possa durare piu` di qualche minuto. Si puo
mettere l'opzione due volte per aumentare ulteriormente il livello di verbosita`. Triplicare
l'opzione non ha effetti.
La maggior parte dei cambiamenti riguarda l'interactive output, e alcune cose anche il normal e
script kiddie output. Gli altri tipi di output sono fatti per essere processati dalle macchine,
quindi Nmap puo dare un grosso livello di dettaglio di default, senza il problema di poter affaticare
un utente umano. In ogni casoci sono delle leggere differenza negli altri modi dove la dimensione
dell'output puo essere sostanzialmente ridotta omettendo alcuni dettagli. Per esempio solo in
modalita` verbosa viene stampatauna linea di commento nel grepable output che fornisce una lista di
tutte le porte scansionate, questo perche` potrebbe essere abbastanza lunga
-d [level] (Aumenta o setta il livello di debugging)
Quando anche il verbose mode non fornisce dati a sufficienza, 蠤isponibile la modalita` debugging,
che sommergera` l'utente di informazioni in quantita` molto maggiore! Come succede per l'opzione
verbosita` (-v), il debugging 蠡ttivato da una opzione di riga di comando (-d) e il livello di debug
puo essere aumentato ripetendo l'opzione diverse volte. In alternativa si puo settare il debug level
dando come argomento di -d un numero. Ad esempio, -d9 setta il livello a nove. Questo e` il livello
piu` alto e produrra` migliaia di linee a meno che non si stia facendo uno scan molto semplice con
pochi target e poche porte.
L'output di debugging è utile quando si sospetta un bug in Nmap, oppure se si rimane confusi su cosa
stia facendo Nmap e perche`. Siccome questa feature 蠳tata pensata principalmente per gli
sviluppatori, le linee di debug non sono granche` autoesplicative. Si potrebbe incontrare qualcosa
tipo: Timeout vals: srtt: -1 rttvar: -1 to: 1000000 delta 14987 ==> srtt: 14987 rttvar: 14987 to:
100000. Se non si capisce una linea, quello che si puo fare 躠ignorarla, guardarla nel codice
sorgente, o richiedere aiuto alla lista di sviluppo (nmap-dev). Alcune linee si spiegano bene da se`,
ma i messaggi divengono sempre piu` oscuri man mano che il livello di debugging sale.
--packet_trace (Traccia i pacchetti e i dati mandati e ricevuti)
Fa in modo che Nmap stampi un riassunto di ogni pacchetto mandato o ricevuto. Questo si usa spesso
per il debugging, ma 蠡nche un modo valido per gli utenti novizi per capire esattamente cosa stia
facendo Nmap dietro le quinte. Per evitare che stampi migliaia di linee, si dovrebbe specificare una
lista limitata di porte da controllare, come -p20-30. Se importa soltanto vedere come stia procedendo
il version detection si puo usare --version_trace .
--iflist (Lista interfacce e instradamenti)
Stampa la lista delle interfacce e degli instradamenti di sistema rilevati da Nmap. Questo 蠵tile per
risolvere i problemi di routing e cattive caratterizzazioni delle interfacce (ad esempio quando Nmap
scambia una connessione PPP per Ethernet).
--log-errors (Effettua il log degli errori e degli avvertimenti ("warnings") nel file di output)
Gli avvertimenti ("warnings") e gli errori mostrati da Nmap in genere vanno allo standard output
(schermo) nella modalita` interattiva, lasciando cosi` "puliti" i file di output normali. Tuttavia
nel caso in cui si voglia vedere questi messaggi nel normale file di output specificato e` necessario
specificare quest'opzione. Essa e` utile quando non si ha la possibilita` di guardare l'output
interattivo e quando si sta cercando di effettuare il debug di un problema; i messaggi appariranno
comunque sullo schermo come se si fosse in modalita` interattiva. Quest'opzione non funzionera` per
la maggior parte degli errori dovuti all'uso di opzioni in maniera errata sulla linea di comando,
poiche` probabilmente Nmap non avra` ancora inizializzato i file nei quali dovra` andare a scrivere.
Inoltre alcuni errori e warning di Nmap usano un sistema di notifica che non supporta ancora
quest'opzione. Un'alternativa all'uso di --log-errors e` quella di ridirigere l'output interattivo (e
lo standard error) in un file. Nonostante quest'approccio sia facile in ambiente Unix, puo` risultare
difficile in Windows.
Altre opzioni di output
--append-output (Accoda anziche` sovrascrivere i file di output)
Quando si specifica un nome di file mediante un parametro di output come -oX o -oN, questo file viene
sovrascritto di default. Se si preferisce mantenere il contenuto del file e aggiungerci i nuovi
risultati, si deve usare l'opzione --append-output. Tutti i file di output specificati in
quell'istanza di Nmap verranno usati in APPEND mode anziche` essere sovrascritti. Quest'opzione non
e` di grande aiuto (e non funziona molto bene) nel caso di output in formato XML (-oX), poiche` il
parsing del file risultante non sara` corretto fino a quando non si controllera` il file manualmente.
--resume <filename> (Riprendi una scansione interrotta)
Alcune esecuzioni di Nmap possono richiedere molto tempo - dell'ordine di giorni. Tali scansioni non
arrivano sempre alla fine; alcune restrizioni possono impedire a Nmap di funzionare durante le ore
del giorno, la rete puo` diventare irraggiungibile, la macchina sulla quale Nmap sta girando puo`
subire un riavvio pianificato o improvviso, o Nmap stesso puo` andare in crash. L'amministratore che
sta usando Nmap puo` interromperlo per qualsiasi ragione, premento ctrl-C. Ricominciare l'intera
scansione dall'inizio puo` diventare fastidioso. Fortunatamente se sono rimasti i log in formato
"normal" (-oN) o "grepable" (-oG), l'utente puo` richiedere a Nmap di ricominciare la scansione
dall'host sul quale stava lavorando quando l'esecuzione e` stata interrotta. Semplicemente basta
specificare l'opzione --resume e passargli il file di output in formato normal/grepable come
argomento. Non e` permesso nessun altro argomento, poiche` Nmap fara` il parsing del file di output
per usare le stesse opzioni specificate in precedenza. E` quindi sufficiente invocare Nmap come nmap
--resume logfilename. Nmap aggiungera` i nuovi risultati ai files specificiati nell'esecuzione
precedente. La ripresa di un'esecuzione non supporta il formato di output XML poiche` sarebbe troppo
difficile combinare le due esecuzioni in un unico file XML valido.
--stylesheet <path or URL> (Imposta il foglio di stile XSL per trasformare l'output XML)
Nmap viene fornito con un foglio di stile XSL chiamato nmap.xsl per vedere o tradurre l'output XML in
HTML. L'output XML include una direttiva xml-stylesheet che punta al file nmap.xml dove e` stato
installato Nmap la prima volta (o nella directory corrente nel caso di Windows). Basta semplicemente
caricare l'output XML in un browser recente e dovrebbe automaticamente prelevare nmap.xsl dal
filesystem e usarlo per effettuare il rendering dei risultati. Se si volesse usare un foglio di stile
diverso, va specificato mediantel'opzione --stylesheet. Il file va indicato con il PATH completo o
l'URL. Un esempio di invocazione di Nmap con quest'opzione e` --stylesheet
http://www.insecure.org/nmap/data/nmap.xsl. Questo indica al browser di caricare l'ultima versione
del foglio di stile da Insecure.org. L'opzione --webxml fa la stessa cosa ma richiede meno
digitazioni e meno cose da ricordare. Caricando l'XSL da Insecure.org rende piu` semplice
visualizzare i risultati su una macchina che non ha Nmap (e quindi il file nmap.xsl installato).
Quindi l'URL e` spesso una scelta migliore, ma di default viene usato il file dal filesystem locale
per ragioni di privacy.
--webxml (Carica il foglio di stile da Insecure.org)
Quest'opzione e` semplicemente una comodita` per l'opzione --stylesheet
http://www.insecure.org/nmap/data/nmap.xsl.
--no_stylesheet (Non specificare la dichiarazione del foglio di stile XSL dal file XML)
Quest'opzione va specificata quando non si vuole che Nmap associ un qualsiasi foglio di stile XSL con
il proprio output XML. La direttiva xml-stylesheet viene omessa.
OPZIONI MISCELLANEE
Questa sezione descrive alcune opzioni importanti e altre meno importanti che non hanno trovato posto in
altre sezioni.
-6 (Abilita scanning IPv6)
Fin dal 2002, Nmap offre supporto IPv6 per le sue funzioni piu` comuni. In particolare le funzioni
ping scanning (soltanto TCP), connect() scanning, e rivelazione di versione, supportano tutte IPv6.
La sintassi dei comandi e` la stessa di sempre, ad eccezione dell'aggiunta dell' opzione -6.
Ovviamente si dovra` utilizzare la sintassi IPv6 se si vuole specificare un indirizzo anziche` un
hostname. Un indirizzo sara` qualcosa del tipo 3ffe:7501:4819:2000:210:f3ff:fe03:14d0, ne consegue
che e` raccomandato l' uso degli hostname. l' output ha il solito aspetto, l' unica differenza e` l'
indirizzo IPv6 sulla linea delle "interesting ports".
Anche se IPv6 non ha esattamente preso il sopravvento sul mondo, trova un uso piu` significativo in
alcuni Paesi (tipicamente Asiatici) e supporto nella maggior parte dei moderni sistemi operativi. Per
usare Nmap in IPv6, sia l'obiettivo che la sorgente dello scan devono essere configurate per IPv6. Se
il proprio l'ISP (come la maggior parte di questi) non alloca indirizzi IPv6, c'e` una vasta
disponibilita` di tunnel broker gratuiti e funzionano bene con Nmap. Uno dei migliori e` fornito da
BT Exact. Ne ho anche usato uno fornito da Hurricane Electric. Un altro approccio comune sono i
tunnel 6to4.
-A (Opzioni di scan aggressive)
Questa opzione abilita opzioni addizionali avanzate e aggressive. Non ho deciso ancora esattamente
che opzioni debba racchiudere. Al momento questa opzione attiva la Os Detection ( -O) e la version
scanning ( -sV). Ulteriori caratteristiche verranno aggiunte in futuro. Il punto e` attivare un
completo set di opzioni di scan senza che ci sia il bisogno di ricordarsi una lunga serie di flags.
Questa opzione attiva solo delle modalita` di funzionamento, ma non le opzioni di timing (come -T4),
ne` di verbosity ( -v) che potresti comunque volere.
--datadir <nomedirectory> (Specifica una locazione personalizzata per i data files di Nmap)
Nmap ottiene alcuni dati speciali in runtime dai files chiamati nmap-service-probes, nmap-services,
nmap-protocols, nmap-rpc, nmap-mac-prefixes, and nmap-os-fingerprints. Nmap dapprima cerca questi
files nella directory specificata con l'opzione --datadir (qualora specificata). Qualunque file non
trovato in questa locazione, verra` cercato nella directory specificata nella variabile d'ambiente
NMAPDIR. Segue poi ~/.nmap per le vere e proprie UIDs (valido solo per i sistemi POSIX) o la
locazione corrente dell'eseguibile (solo per Win32), e infine le locazioni precompilate come
/usr/local/share/nmap o /usr/share/nmap. Come ultima risorsa, Nmap controllera` nella directory
corrente.
--send_eth (Trasmissione su trame ethernet (raw ethernet))
Chiede a Nmap di mandare pacchetti al livello ethernet (data link) piuttosto che al livello piu` alto
IP (network). Di default Nmap sceglie quello che generalmente migliore per la piattaforma in cui sta
venendo eseguito. I raw sockets (livello IP) sono generalmente i piu` efficienti per le macchine
UNIX, mentre invece son richieste trame ethernet per funzionare con Windows dal momento che Microsoft
ha disabilitato il supporto per i raw socket. Nmap usa invece continua a usare i pacchetti raw sulle
UNIX non ostante si specifichi questa opzione quando non c'e` alternativa (ad esempio se si ha una
connessione non ethernet)
--send_ip (Trasmissione su raw socket a livello IP)
Chiede a Nmap di mandare pacchetti via raw socket IP, piuttosto che mandare trame al livello
inferiore, ethernet. E' l'opzione complementare di --send-ethdiscussa precedentemente.
--privileged (Assumi che l'utente abbia tutti i privilegi)
Dice semplicemente a Nmap di assumere che l'utente abbia privilegi sufficienti per effettuare
trasmissioni sui raw socket, fare packet sniffing, e operazioni simili che di norma hanno bisogno dei
privilegi di root sui sistemi UNIX. Di default Nmap termina l'esecuzione se si tentano di usare certe
operazioni e geteuid() non e` zero. --privileged e` utile con delle funzionalita` del kernel Linux e
di altri sistemi operativi che possono essere configurati per permettere ad utenti non privilegiati
di fare degli scan con i raw socket. Bisogna assicurarsi di posizionare questa opzione prima di
qualunque flag che invochi funzionalit࠰rivilegiate (SYN scan, OS detection, etc.). La variabile
d'ambiente NMAP_PRIVILEGED puo` comunque essere settata e rappresenta un' equivalente alternativa
all'opzione --privileged.
--interactive (Avvia in modalita interattiva)
Avvia Nmap in modalita` interattiva, la quale offre un prompt interattivo di Nmap che permette di
lanciare facilmente scan multipli (sia sincroni che in background). Questo e` utile per chi effettua
scan da sistemi multi-utente, che spesso vogliono testare la loro sicurezza senza permettere agli
altri utenti di sistema di sapere quali sistemi stanno controllando. Una volta avviato con l'opzione
--interactive, si prema hper visualizzare l'aiuto. Questa opzione e` usata di rado perche`, di norma,
si ha piu` familiarita` con i comandi da shell che sono tra l'altro anche piu` completi di
funzionalita`. Questa modalita` include l'operatore punto esclamativo(!) per eseguire comandi della
shell, una delle ragioni per non installare Nmap con setuid root.
-V; --version (Stampa il numero di versione)
Stampa a video il numero di versione di Nmap ed esce.
-h; --help (Stampa un aiuto sintetico ed esce)
Stampa a video una breve schermata di aiuto con le opzioni piu` comuni. Eseguire Nmap senza argomenti
fa la stessa cosa.
INTERAZIONE IN RUNTIME
Durante l'esecuzione di Nmap qualsiasi tasto venga premuto viene registrato. Questo permette di
interagire con il programma senza doverlo interrompere e farlo ripartire. Alcuni tasti particolari
possono cambiare opzioni, mentre altri stampano un messaggio di stato sulla scansione in corso. La
convenzione e` che lettere minuscole aumentano la quantita` di messaggi stampati, mentre
lettere maiuscole diminuiscono questi messaggi. E` inoltre possibile premdere ? per avere un aiuto.
v / V
Aumenta / diminuisce la quantita` di informazioni
d / D
Aumenta / diminuisce il livello di debug
p / P
Attiva / disattiva il tracing dei pacchetti
?
Print a runtime interaction help screen
Qualsiasi altro tasto
Stampa un messaggio di stato come il seguente:
Stats: 0:00:08 elapsed; 111 hosts completed (5 up), 5 undergoing Service Scan
Service scan Timing: About 28.00% done; ETC: 16:18 (0:00:15 remaining)
ESEMPI
Ecco alcuni esempi di uso di Nmap, dal piu` semplice e routinario al piu` complesso ed esoterico. Saranno
usati alcuni indirizzi IP e hostname reali per rendere le cose piu` concrete. Si dovranno solo sostituire
nei posti giusti gli indirizzi e hostname della tua rete. Non ostante io sia convinto che il port
scanning delle reti altrui non debba essere illegale, alcuni amministratori di rete potrebbero non
apprezzare uno scanning non richiesto sulle loro reti e potrebbero lamentarsi. Ottenere prima un permesso
e` l'approccio migliore.
Per motivi di test, e` concesso il permesso di effettuare uno scan verso scanme.nmap.org. Questo permesso
include esclusivamente lo scan attraverso Nmap e non il test di exploits o attacchi denial of service.
Per preservare al banda, non attivate piu` di una dozzina di scan verso questo host al giorno. Qualora si
abusasse di questo servizio, questo verra` disattivato e Nmap riportera` il seguente errore: Failed to
resolve given hostname/IP: scanme.nmap.org. Questi permessi si applichino agli host scanme2.nmap.org,
scanme3.nmap.org, e cosi` via, finche` ne esisteranno.
nmap -v scanme.nmap.org
Questa opzione esegue uno scan su tutte le porte TCP riservate sulla macchina scanme.nmap.org. L'opzione
-v attiva la modalita` "verbose" (visualizza informazioni piu` dettagliate sulle operazioni in corso).
nmap -sS -O scanme.nmap.org/24
Lancia un SYN scan invisibile verso ciascuna macchina che risulta accesa tra le 255 nell'intera "classe
C" in cui risiede Scanme. Inoltre tenta di derminare il sistema operativo installato su ogni host
trovato. Questo richiede i privilegi di root a causa della funzione di SYN scan e OS detection.
nmap -sV -p 22,53,110,143,4564 198.116.0-255.1-127
Lancia una enumerazione di hosts e uno scan TCP alla prima meta` di ognuna delle 255 sottoreti di 8 bit
all'interno dello spazio di indirizzamento della classe B 198.116. Questa operazione controlla se tali
sistemi stanno eseguendo i servizi sshd, DNS, pop3d, imapd, o sulla porta 4564. Qualora qualche porta di
queste venga trovata aperta, verra` utilizzato il "version detection" per determinare quale applicazione
stia effettivamente ascoltando su quella porta.
nmap -v -iR 100000 -P0 -p 80
Chiede a Nmap di scegliere 100.000 hosts casuali ed effettuare su questi uno scan per ricercare dei web
servers (porta 80). L'enumerazione degli host e` disabilitata con l'opzione -P0 dal momento che
verificare se un host e` attivo e` uno spreco quando si sta analizzando soltanto una porta per ogni
hosts.
nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20
Questo scansiona 4096 indirizzi IP in cerca di webservers (ma senza effettuare ping) e salva l'output sia
in formato XML che in formato "greppabile".
BUGS
Al pari del suo autore, Nmap non e` perfetto. Ma puoi fare qualcosa per aiutare a renderlo migliore
mandando delle segnalazioni di bug o addirittura scrivendo delle patch. Se Nmap non si dovesse comportare
come ti aspetteresti, prova prima l'ultima versione disponibile. Se il problema persiste effetua qualche
ricerca per determinare se il problema e` stato gia` scoperto e segnalato. Prova a cercare so Google
riguardo al messaggio di errore o sfogliare l'archivio Nmap-dev. Leggi inoltre tutta questa pagina di
manuale. Se nulla di questo riguarda il tuo caso, manda una segnalazione di bug a <dev@nmap.org>.
Accertati di includere ogni cosa che sei riuscito a sapere sul problema, la versione di Nmap che stai
usando e su quale sistema operativo la stai usando. Segnalazioni di problemi ed eventuali domande
sull'uso di Nmap inviate a dev@nmap.org hanno piu` probabilita di avere risposta di quelle inviate a
Fyodor direttamente.
Le patch che risolvono i bugs sono molto meglio di una segnalazione. Le istruzioni di base per creare
delle patch a partire dai propri files sono disponibili sul sito. Le patch potranno essere inviate a
nmap-dev (raccomandato) oppure direttamente a Fyodor.
AUTORE
Fyodor <fyodor@nmap.org>( http://www.insecure.org)
Parte 1/2 e revisione: Lorenzo G. <lorenzo.grespan@gmail.com>
Parte 2/2: Simone Scarduzio <scarduzio@gmail.com>
Centinaia di persone hanno dato validi contributi a Nmap nel corso degli anni. Questi sono elencati
dettagliatamente nel file di CHANGELOG che e` distribuito assieme a nmap ed e` anche disponibile dal
sito.
LEGAL NOTICES
Copyright and Licensing
Nmap Security Scanner e` (C) 1996-2005 Insecure.Com LLC. Nmap e` inoltre un marchio registrato di
Insecure.Com LLC. Questo programma e` free softwaree, e` liberamente redistribuibile e/o modificabile in
accordo con i termini della GNU General Public License come pubblicata dalla Free Software Foundation;
Versione 2. Questo garantisce il diritto utilizzazare, modificare, e redistribuire questo software entro
certe condizioni. Se si desidera incorporare la tecnologia Nmap in software proprietari, potremmo essere
disponibili a vendere licenze alternative (contattare <sales@insecure.com>). Molti produttori di security
scanner usano gia` le tecnologie Nmap come per esempio la "host discovery", "port scanning", "OS
detection", e "service/version detection".
Si noti che la licenza GPL implica importanti vincoli sui "progetti derivati", sebbene essa non fornisca
una precisa definizione di questi. Allo scopo di evitare malintesi, consideriamo una aplicazione
"progetto derivato" inteso ai fini di questa licenza se presenta almeno una di queste caratteristiche:
• Integra codice sorgente di Nmap
• Legge o include data files protetti da copyright di Nmap, qualinmap-os-fingerprints o
nmap-service-probes.
• Esegue Nmap e ne utilizza i risultati (al contrario dell'uso tipico attraverso shell o esecuzione da
menu delle applicazioni che mostra semplicemente l'output diretto di Nmap, e quindi non si
considerano "progetti derivati").
• Integra/include/aggrega Nmap in un eseguibile di installazione proprietario, come ad esempio quelli
prodotti da InstallShield.
• E' collegato a una libreria o esegue un programma che presenta una delle caratteristiche sopracitate.
Il termine "Nmap" dovrebbe essere inteso come inclusivo di ogni porzione o progetto derivato di Nmap.
Questa lista non e` esclusiva, ma e` concepita per chiarificare la nostra interpretazione di "progetto
derivato" con alcuni esempi comuni. Queste restrizioni si applicano unicamente qualora si redistribuisse
Nmap. Per esempio nulla impedisce di scrivere e rivendere un front-end proprietario a Nmap. E'
sufficiente che venga distribuito da solo, e si indichi agli utenti di scaricare Nmap.
Non consideriamo queste restrizioni come additive alla GPL, ma delle semplici chiarificazioni riguardo al
modo in cui interpretiamo il concetto di "progetto derivato" come va ad applicarsi al nostro prodotto
Nmap, licenziato sotto GPL. E' qualcosa di simile cio` che Linus Torvalds ha detto di intendere i
"progetti derivati" a proposito dei moduli del kernel Linux. La nostra interpretazione si riferisce solo
a Nmap - non ci pronunciamo per nessun altro prodotto GPL.
Se avete domande a proposito delle limitazioni imposte dalla licenza GPL riguardo all'uso di Nmap in
progetti non -GPL, saremo felici di aiutarvi. Come detto pocanzi, offriamo anche licenze alternative per
l'integrazione di Nmap in applicazioni o dispisitivi proprietari. Questi contratti sono stati venduti a
molti rivenditori di software e generalmente includono una licenza di durata illimitata, supporto tecnico
prioritario e aggiornamenti, come anche l'aiuto con la contribuzione allo sviluppo della tecnologia Nmap.
Per ulteriori informazioni manda una email a <sales@insecure.com>.
Come eccezione ai termini della GPL, Insecure.Com LLC garantisce il permesso di collegare il codice di
questo programma con qualunque versione della libreria OpenSSL che e` distribuita sotto licenza identica
a quella che si trova nel file Copying.OpenSSL file, e inoltre di redistribuire combinazioni collegate
che includono entrambi. Persiste l'obbligo di aderenza alla GPL in tutte le sue voci per tutto il codice
usato non appartenente a OpenSSL. Se si modifica questo file, si puo estendere questa eccezione, ma non
si e` obbligati a farlo.
Se si riceve questo file con accordo di licenza scritto, o un contratto che afferma termini diversi da
quelli appena descritti, allora tale accordo di licenza ha la precedenza su questi appunti.
Disponibilita` del codice sorgente e contribuzioni della comunita`
Il codice sorgente di questo software viene fornito perche` crediamo che gli utenti abbiano il diritto di
sapere esattamente cosa questo programma potra` fare prima di eseguirlo. Questo permette inoltre di
scoprire falle di sicurezza (non ne e` mai stata trovata nessuna fino ad oggi).
Il codice sorgente permette anche di rendere Nmap portabile a nuove architetture, correggere i bugs e
aggiungere nuove funzioni. Si e` molto incoraggiati a mandare le proprie modifiche a <fyodor@nmap.org>
per possibili inclusioni nella distribuzione principale. Mandando le modifiche a Fyodor o altri della
mailing list di Insecure.Org, si assume che si sta offrendo a Fyodor e Insecure.Com LLC il diritto
illimitato, non-esclusivo di riutilizzo, modifica e ri-licenziamento del codice. Nmap sara` sempre
disponibile sotto Open Source, questo e` di vitale importanza perche` l'impossibilita` di ri-licenziare
il codice ha causato problemi devastanti per altri progetti Open Source (come KDE o NASM).
Occasionalmente noi rilicenziamo il codice per terze parti come detto sopra. Se si vuole specificare una
condizione di licenza speciale delle proprie contribuzioni, e` sufficiente dirlo nel momento dell'invio.
Nessuna Garanzia
Questo programma e` distribuito nella speranza che possa essere utile, ma SENZA NESSUNA GARANZIA; senza
garanzia di RIVENDIBILITA' ne` di APPLICABILITA' PER SCOPI PARTICOLARI. Fare riferimento alla GNU General
Publig License per ulteriori dettagli, al sito oppure nel file COPYING incluso nel pacchetto Nmap.
Si noti anche che Nmap e` stato occasionalmente noto per far andare in crash applicazioni scritte male,
gli stack TCP/IP, ma anche sistemi operativi. Anche se si tratta di una evenienza estremamente rara, e`
importante da tenere a mente. Nmap non dovrebbe mai essere lanciato contro sistemi "mission critical" a
meno che non si sia preparati ad affrontare un downtime.Confermiamo che Nmap puo far andare in crash
alcuni sistemi e reti, e disconosciamo ogni responsabilita` di danni o problemi che Nmap possa causare.
Uso Inappropriato
Dato il possibile rischio di crash e che ad alcuni black hats piace usare Nmap come ricognizione prima di
attaccare un sistema, ci sono amministratori a cui non fa piacere che si eseguano scan sul proprio
sistema, e potrebbero lamentarsi. E' quindi consigliabile richiedere un permesso prima di fare anche un
leggero scan di una rete.
Nmap non dovrebbe mai essere installato con privilegi speciali (ad esempio suid root) per ragioni di
sicurezza.
Software di terze parti
Questo prodotto include software sviluppato da Apache Software Foundation[8]. Una versione modificata di
Libpcap portable packet capture library[9] e` distribuita assieme a Nmap. La versione per Windows di Nmap
utilizza invece un derivato di libcap, WinPcap library[10]. Il supporto per le Regular espressions e`
garantito dalla libreria PCRE library[11], che e` open source, scritta da Philip Hazel. Alcune funzioni
di raw networking usano la Libdnet[12] library, che e` stata scritta da Dug Song. Con Nmap e` distribuita
una versione modificata. Nmap puo opzionalmente collegarsi con l' OpenSSL cryptography toolkit[13] per
supportare il riconoscimento della versione di SSL. Tutto il software di terze parti descritto in questo
paragrafo e` liberamente redistribuibile sotto licenza stile BSD.
Classificazione in base alle regole di controllo di esportazione USA
Regole di controllo di esportazione USA: Insecure.Com LLC sostiene che Nmap ricada sotto il codice di
classificazione di controllo delle esportazioni (ECCN) numero 5D992. Questa categoria e` chiamata
“Information Security software not controlled by 5D002” ( Software di sicurezza dell'informazione non
controllato da 5D002). La sola restrizione di questa classificazione e` la AT (anti terrorismo), che si
applica alla massima parte dei beni e vieta l'esportazione a una manciata di nazioni diffidate come Iran
e Korea del Nord. Nmap quindi non richiede licenze speciali, permessi o altre autorizzazioni governative.
NOTES
1. RFC 1122
http://www.rfc-editor.org/rfc/rfc1122.txt
2. RFC 792
http://www.rfc-editor.org/rfc/rfc792.txt
3. UDP
http://www.rfc-editor.org/rfc/rfc768.txt
4. RFC del protocollo TCP
http://www.rfc-editor.org/rfc/rfc793.txt
5. RFC 959
http://www.rfc-editor.org/rfc/rfc959.txt
6. Nmap::Scanner
http://sourceforge.net/projects/nmap-scanner/
7. Nmap::Parser
http://www.nmapparser.com
8. Apache Software Foundation
http://www.apache.org
9. Libpcap portable packet capture library
http://www.tcpdump.org
10. WinPcap library
http://www.winpcap.org
11. PCRE library
http://www.pcre.org
12. Libdnet
http://libdnet.sourceforge.net
13. OpenSSL cryptography toolkit
http://www.openssl.org
[FIXME: source] 07/28/2013 NMAP(1)