Comandos e dados do Nmap coletados com a Descoberta sem credenciais
O Nmap é executado em fases ao coletar dados e executa um conjunto controlado de comandos do Safe com dois padrões para explorar aplicações e dispositivos.
Dados retornados pelo Nmap da Descoberta do host
- Família de sistemas operacionais : Se a família de sistemas operacionais for uma das seis famílias de sistemas operacionais de servidor compatíveis, um IC de host associado à classe de servidor apropriada será usado para criar ou atualizar o IC de host. Se a família de sistemas operacionais retornada pelo Nmap não for um dos sistemas operacionais de servidor compatíveis, um IC de host será criado ou atualizado usando a classe Hardware de base [cmdb_ci_hardware].
- Endereço MAC : Se o host verificado estiver localizado na mesma sub-rede que o host do Windows MID Server que está executando os comandos Nmap, o Nmap retornará o endereço MAC do host remoto.
Comandos executados pelo Nmap durante a Descoberta do host
| Comando | Descrição |
|---|---|
| -PS | A opção TCP SYN determina se o host está on-line. Esta opção que envia um pacote TCP vazio e bruto com o sinalizador SYN definido para todas as portas especificadas na lista de verificação. O Nmap relata que o host está on-line se um pacote TCP SYN/ACK for retornado e se um RST for retornado, indicando que a porta está fechada. A máquina host do Nmap elimina a conexão nascente com um RST, em vez de um ACK, já que a resposta SYN/ACK é inesperada de sua perspetiva. Se várias probes de porta forem especificadas, elas serão enviadas em paralelo. Requisitos:
|
| -PA | Detecta dispositivos de filtragem de pacotes. Esta opção é uma Descoberta de host TCP ACK, usando uma lista especificada de portas. Se nenhuma lista for definida, a porta padrão 80 será usada. O Nmap envia um pacote TCP vazio e bruto com o sinalizador ACK definido. Esta ação reconhece dados em uma conexão TCP estabelecida, fazendo com que o host remoto responda com um pacote RST. Se o host remoto responder com um pacote RST, o Nmap saberá que o host está online. A probe de ping de ACK pode passar pela filtragem de pacotes TCP SYN por filtragem de pacotes sem estado, entidades de rede, como firewalls, roteadores e tabelas de roteamento de host/software de firewall. Firewalls com monitoramento de estado descartam pacotes inesperados, fazendo com que o pacote ACK seja descartado, o que aumenta a probabilidade de a probe TCP SYN passar. Requisitos:
Nota: Ping SYN (-ps) e Ping ACK (-pa) podem ser configurados juntos na mesma tentativa de verificação. |
| -O | Habilita a detecção de SO em relação a um host remoto que fornece o nome do fornecedor, o SO subjacente, a geração do SO e o tipo de dispositivo, como um roteador ou um comutador. O Nmap usa a impressão digital de pilha TCP/IP para determinar a família de SO em execução no host. O Nmap envia uma série de pacotes TCP e UPD para o host e examina as respostas. Depois de testar as respostas completamente, o Nmap compara os resultados com o ITS nmap-os-db E imprime os detalhes do SO, se houver uma correspondência. Se o Nmap não for capaz de adivinhar o SO e pelo menos uma porta aberta e uma porta fechada forem encontradas, ele gerará uma impressão digital e uma URL para enviar nmap.org . A detecção DE SO não usa scripts do Nmap Scripting Engine (NSE). A detecção DO SO é executada após a detecção da versão da aplicação/serviço, o que ajuda na precisão da detecção do SO. No entanto, os resultados dos dois tipos de verificação podem ser contraditórios. A detecção de SO é executada na camada de transporte TCP, enquanto a detecção de versão de aplicação/serviço é executada em um nível mais alto na pilha TCP. Requisitos:
|
| -p | Lista de portas a serem verificadas. |
| -T4 | Nmap agressivo modelo de tempo. |
| -v | Habilitar detalhes detalhados. Normalmente, este comando é usado para fornecer indicação de andamento aos visualizadores da saída padrão. No entanto, isso pode fazer com que os scripts do Nmap Scripting Engine (NSE) forneçam detalhes adicionais. |
| PN | Desabilite o ping padrão. Este comando ignora a fase de verificação de descoberta do host Nmap inicial e trata todos os hosts como se estivessem online. Use este comando se quiser uma verificação de porta, mesmo que o conjunto de portas executado pelos probes de Descoberta padrão não encontre uma porta aberta. |
| -r | Verificar portas consecutivamente, sem aleatoriedade. |
| --motivo | Explica por que o Nmap classifica uma porta com um estado específico. |
| -system-dns | Use o resolvedor DNS do sistema operacional para pesquisa DNS reversa, em vez dos servidores de nomes DNS. Esta opção é mais lenta do que usar servidores DNS, já que só pode resolver um endereço IP por vez, enquanto várias solicitações de rDNS são realizadas em paralelo. No entanto, o valor retornado corresponde ao valor retornado pelo MID Server que é usado para criar ICs de host. |
| -X - | Redireciona stdout Para um arquivo XML. |
| 2> arquivo-path > | Redireciona mensagens de erro escritas pelo Nmap para stderr para o arquivo especificado. |
Dados retornados pelo Nmap durante a Descoberta da aplicação
- Estado da porta :
- aberto : Uma aplicação está aceitando ativamente pacotes TCP (ou UDP) na porta.
- aberto|filtrado Nmap não pode determinar se a porta está aberta ou filtrada. Uma porta aberta pode não retornar uma resposta ao usar as varreduras UDP, IP, FIN, NULL e Xmas do Nmap.
- Nome do serviço Nome do serviço que aceita ativamente pacotes TCP (ou UDP) na porta de serviço.
- Produto de serviço Nome da aplicação em execução na porta aberta, conforme identificado pelo Nmap.
- Informações de serviço extras : Qualquer informação adicional retornada pelo Nmap que a Descoberta pode usar para identificar a aplicação.
Comandos executados pelo Nmap durante a Descoberta da aplicação
O MID Server passa um endereço IP de um host remoto para o comando Nmap e uma porta para verificar. O Nmap tenta identificar a aplicação que escuta ativamente na porta e determina se ele deve criar um novo IC ou atualizar um existente. O host deve ser relatado pelo Nmap para estar ativo.
- Produto de serviço
- Nome do serviço
- Informações de serviço extras
- Estado da porta verificadaNota:Os valores do produto de serviço e do nome do serviço não podem ser NULL e o nome do serviço não pode terminar com um ponto de interrogação. Nmap anexa um ponto de interrogação a um nome de serviço quando adivinha na aplicação que escuta na porta verificada. A instância não criará ou atualizará um IC de aplicação se o Nmap não puder recuperar o nome da aplicação de sua estática nmap-services arquivo de registro.
| Comando | Descrição |
|---|---|
| SS | Verificação de porta TCP SYN (stealth). Esta é a opção de verificação padrão e nunca conclui as conexões TCP. As verificações podem diferenciar entre as portas que são aberto , encerrado ou filtrado . A verificação TCP SYN implementa uma redefinição semi-aberta que anula a solicitação antes que a conexão possa ser estabelecida. A porta é aberto (A aplicação está ouvindo) se um SYN/ACK for retornado. A porta é encerrado Se um RST for retornado. Se nenhuma resposta for recebida após várias retransmissões, a porta será marcada filtrado . A porta também será marcada como filtrada se um erro ICMP inacessível (tipo 3, código 1,2,3,9,10,13) for recebido. Requisitos:
|
| Sv | Probes portas abertas para determinar o protocolo de serviço, o nome da aplicação, o número da versão, o nome do host, o tipo de dispositivo, família DO SO e detalhes diversos, como a versão do protocolo SSH. Quando o Nmap recebe uma resposta, ele não pode corresponder ao banco de dados, ele imprime uma impressão digital e URL para envio nmap.org . Se procurar o número da porta em sua estática nmap-services arquivo de registro para determinar o nome de um serviço de aplicativos que pode estar ouvindo ativamente na porta. O nome do serviço retornado pelo Nmap é anexado com um ponto de interrogação, indicando que o Nmap teve que adivinhar sua identidade. A instância não cria ou atualiza um IC de aplicação quando o Nmap adivinha a aplicação em execução em uma porta aberta. Nota: Este comando não requer privilégios de pacote bruto. |
| --datadir | Caminho para o diretório que contém o conjunto seguro de scripts Nmap a serem executados durante a detecção da aplicação/versão. |
| -p | Porta única para verificar. |
| -T4 | Nmap agressivo modelo de tempo. |
| -v | Habilitar detalhes detalhados. Normalmente, este comando é usado para fornecer indicação de andamento aos visualizadores da saída padrão. No entanto, isso pode fazer com que os scripts do Nmap Scripting Engine (NSE) forneçam detalhes adicionais. |
| PN | Desabilite o ping padrão. Este comando ignora a fase de verificação de descoberta do host Nmap inicial e trata todos os hosts como se estivessem online. Use este comando se quiser uma verificação de porta, mesmo que o conjunto de portas executado pelos probes de Descoberta padrão não encontre uma porta aberta. |
| -r | Verificar portas consecutivamente, sem aleatoriedade. |
| --motivo | Explica por que o Nmap classifica uma porta com um estado específico. |
| -system-dns | Use o resolvedor DNS do sistema operacional para pesquisa DNS reversa, em vez dos servidores de nomes DNS. Esta opção é mais lenta do que usar servidores DNS, já que só pode resolver um endereço IP por vez, enquanto várias solicitações de rDNS são realizadas em paralelo. No entanto, o valor retornado corresponde ao valor retornado pelo MID Server que é usado para criar ICs de host. |
| -X - | Redireciona stdout Para um arquivo XML. |
| 2> arquivo-path > | Redireciona mensagens de erro escritas pelo Nmap para stderr para o arquivo especificado. |