Comandos Nmap e dados coletados com a Descoberta sem credenciais

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 8 min. de leitura

    • O Nmap é executado em fases ao coletar dados e executa um conjunto controlado de comandos seguros com dois padrões para explorar aplicações e dispositivos.

    Dados retornados pelo Nmap da Descoberta do host

    O Nmap retorna os seguintes dados para um host que ele determina que está ativo:
    • Família desistemas operacionais: se a família de sistemas operacionais for uma das seis famílias de sistemas operacionais de servidor compatíveis, um IC de host associado à classe de servidor apropriada será usado para criar ou atualizar o IC de host. Se a família de sistemas operacionais retornada pelo Nmap não for um dos sistemas operacionais de servidor compatíveis, um IC de host será criado ou atualizado usando a classe base Hardware [cmdb_ci_hardware].
    • Endereço MAC: se o host verificado estiver localizado na mesma sub-rede do host do MID Server do Windows que está executando os comandos Nmap, o Nmap retornará o endereço MAC do host remoto.

    Comandos executados pelo Nmap durante a Descoberta do host

    O MID Server passa o endereço IP de um host remoto para o comando Nmap e um conjunto de portas, obtido da tabela Serviço IP. O host deve ser relatado pelo Nmap para estar ativo. O host estará ativo se o estado da porta retornado pelo Nmap for aberto ou aberto/filtrado. Se o host for relatado como ativo, a família do sistema operacional retornada será examinada para determinar a classe usada para criar ou atualizar o IC do host.
    Comando Descrição
    - PS A opção TCP SYN determina se o host está on-line. Esta opção envia um pacote TCP bruto vazio com o sinalizador SYN definido para todas as portas especificadas na lista de verificação. O Nmap relata que o host está on-line se um pacote TCP SYN/ACK for retornado e se um RST for retornado, indicando que a porta está fechada. A máquina host Nmap desativa a conexão nascente com um RST, em vez de um ACK, já que a resposta SYN/ACK é inesperada de sua perspectiva. Se várias probes de porta forem especificadas, elas serão enviadas em paralelo.
    Requisitos:
    • Privilégios de pacote bruto.
    • Deve ser executado como raiz no UNIX.
    • Privilégios de administrador no Windows.
    -PA Detecta dispositivos de filtragem de pacotes. Esta opção é uma Descoberta de host TCP ACK, usando uma lista especificada de portas. Se nenhuma lista estiver definida, a porta padrão 80 será usada.

    O Nmap envia um pacote TCP bruto e vazio com o sinalizador ACK definido. Esta ação confirma os dados em uma conexão TCP estabelecida, fazendo com que o host remoto responda com um pacote RST. Se o host remoto responder com um pacote RST, o Nmap saberá que o host está online. A probe de ping de ACK pode passar pela filtragem de pacotes TCP SYN pela filtragem de pacotes sem estado, entidades de rede, como firewalls, roteadores e tabelas de roteamento de host/software de firewall. Os firewalls com estado descartam pacotes inesperados, fazendo com que o pacote ACK seja descartado, o que aumenta a probabilidade de a probe SYN TCP passar.

    Requisitos:
    • Privilégios de pacote bruto.
    • Deve ser executado como raiz no UNIX.
    • Privilégios de administrador no Windows.
    Nota:
    Os tipos de pacote Ping SYN (-PS) e Ping ACK (-PA) podem ser configurados juntos na mesma tentativa de verificação.
    -O Habilita a detecção de SO em um host remoto fornecendo o nome do fornecedor, SO subjacente, geração de SO e tipo de dispositivo, como um roteador ou um comutador.

    O Nmap usa a impressão digital de pilha TCP/IP para determinar a família do SO em execução no host. O Nmap envia uma série de pacotes TCP e UPD para o host e examina as respostas. Depois de testar as respostas completamente, o Nmap compara os resultados com o banco de dados nmap-os-db e imprime os detalhes do sistema operacional, se houver uma correspondência. Se o Nmap não conseguir adivinhar o SO e pelo menos uma porta aberta e uma porta fechada forem encontradas, ele gerará uma impressão digital e um URL para enviar para nmap.org.

    A detecção de SO não usa scripts do Nmap Scripting Engine (NSE). A detecção de SO é executada após a detecção da versão da aplicação/serviço, o que ajuda na precisão da detecção de SO. No entanto, os resultados dos dois tipos de verificação podem ser contraditórios. A detecção de SO é executada na camada de transporte TCP, enquanto a detecção de versão de aplicação/serviço é executada em um nível superior na pilha TCP.

    Requisitos:
    • Privilégios de pacote bruto.
    • Deve ser executado como raiz no UNIX.
    • Privilégios de administrador no Windows.
    -p Lista de portas a serem verificadas.
    -T4 Modelo de tempo Nmap agressivo.
    -v Habilitar detalhe detalhado. Este comando é normalmente usado para fornecer indicação de andamento aos visualizadores da saída padrão. No entanto, isso pode fazer com que os scripts do Mecanismo de Script Nmap (NSE) forneçam detalhes adicionais.
    -Pn Desabilite o ping padrão. Este comando ignora a fase de verificação de descoberta de host Nmap inicial e trata todos os hosts como se estivessem online. Use este comando se quiser uma verificação de porta, mesmo que o conjunto de portas executado pelas probes padrão da Descoberta não encontre uma porta aberta.
    -r Verificar portas consecutivamente, sem aleatoriedade.
    --motivo Explica por que o Nmap classificou uma porta com um estado específico.
    --system-dns Use o resolvedor de DNS do sistema operacional para pesquisa reversa de DNS, em vez dos servidores de nomes DNS. Esta opção é mais lenta do que o uso de servidores DNS, já que ela só pode resolver um endereço IP por vez, enquanto várias solicitações de rDNS são executadas em paralelo. No entanto, o valor retornado corresponde ao valor retornado pelo MID Server que é usado para criar ICs de host.
    -X- Redireciona o stdout para um arquivo XML.
    2> <caminho do arquivo> Redireciona mensagens de erros gravadas pelo Nmap para stderr para o arquivo especificado.

    Dados retornados pelo Nmap durante a descoberta da aplicação

    O Nmap retorna os seguintes dados da aplicação de um host que ele determina que está ativo:
    • Estado da porta:
      • open: uma aplicação está aceitando ativamente pacotes TCP (ou UDP) na porta.
      • open|filtered: o Nmap não pode determinar se a porta está aberta ou filtrada. Uma porta aberta pode não retornar uma resposta ao usar as verificações UDP, protocolo IP, FIN, NULL e Xmas do Nmap.
    • Nome doserviço: nome do serviço que aceita ativamente pacotes TCP (ou UDP) na porta de serviço.
    • Produto do serviço: nome da aplicação em execução na porta aberta, conforme identificado pelo Nmap.
    • Informações de serviço extra: qualquer informação adicional retornada pelo Nmap que a Descoberta possa usar para identificar a aplicação.

    Comandos executados pelo Nmap durante a descoberta da aplicação

    O MID Server passa um endereço IP de um host remoto para o comando Nmap e uma porta para verificação. O Nmap tenta identificar a aplicação que está ouvindo ativamente na porta e determina se ele deve criar um novo IC ou atualizar um existente. O host deve ser relatado pelo Nmap para estar ativo.

    O Nmap usa essas informações para determinar qual curso fazer:
    • Produto de serviço
    • Nome do serviço
    • Informações de serviço extra
    • Estado da porta verificada
      Nota:
      Os valores do produto de serviço e do nome do serviço não podem ser NULO e o nome do serviço não pode terminar com um ponto de interrogação. O Nmap anexa um ponto de interrogação a um nome de serviço quando adivinha a aplicação que está ouvindo na porta verificada. A instância não criará nem atualizará um IC de aplicação se o Nmap não puder recuperar o nome da aplicação de seu arquivo de registro estático nmap-services.
    Comando Descrição
    -sS Verificação de porta TCP SYN (invisível). Esta é a opção de verificação padrão e nunca conclui conexões TCP. As verificações podem diferenciar entre portas que estão abertas, fechadasou filtradas.

    A verificação SYN de TCP implementa uma redefinição semi-aberta que anula a solicitação antes que a conexão possa ser estabelecida. A porta estará aberta (a aplicação está ouvindo) se um SYN/ACK for retornado. A porta será fechada se um RST for retornado. Se nenhuma resposta for recebida após várias retransmissões, a porta será marcada como filtrada. A porta também será marcada como filtrada se um erro de ICMP inacessível (tipo 3, código 1,2,3,9,10,13) for recebido.

    Requisitos:
    • Privilégios de pacote bruto
    • Deve ser executado como raiz
    • Privilégios de administrador do Windows
    -sV Investiga portas abertas para determinar o protocolo de serviço, nome da aplicação, número da versão, nome do host, tipo de dispositivo, família do SO e detalhes diversos, como a versão do protocolo SSH.
    Quando o Nmap recebe uma resposta, ela não pode corresponder ao banco de dados, ele imprime uma impressão digital e um URL para envio para nmap.org. Se procura o número da porta em seu arquivo de registro nmap-services estático para determinar o nome de um serviço de aplicativos que pode estar ouvindo ativamente na porta. O nome do serviço retornado pelo Nmap é anexado com um ponto de interrogação, indicando que o Nmap teve que adivinhar sua identidade. A instância não cria ou atualiza um IC de aplicação quando o Nmap adivinha a aplicação em execução em uma porta aberta.
    Nota:
    Este comando não requer privilégios de pacote bruto.
    --datadir Caminho para o diretório que contém o conjunto seguro de scripts Nmap a serem executados durante a detecção de aplicação/versão.
    -p Porta única a ser verificada.
    -T4 Modelo de tempo Nmap agressivo.
    -v Habilitar detalhe detalhado. Este comando é normalmente usado para fornecer indicação de andamento aos visualizadores da saída padrão. No entanto, isso pode fazer com que os scripts do Mecanismo de Script Nmap (NSE) forneçam detalhes adicionais.
    -Pn Desabilite o ping padrão. Este comando ignora a fase de verificação de descoberta de host Nmap inicial e trata todos os hosts como se estivessem online. Use este comando se quiser uma verificação de porta, mesmo que o conjunto de portas executado pelas probes padrão da Descoberta não encontre uma porta aberta.
    -r Verificar portas consecutivamente, sem aleatoriedade.
    --motivo Explica por que o Nmap classificou uma porta com um estado específico.
    --system-dns Use o resolvedor de DNS do sistema operacional para pesquisa reversa de DNS, em vez dos servidores de nomes DNS. Esta opção é mais lenta do que o uso de servidores DNS, já que ela só pode resolver um endereço IP por vez, enquanto várias solicitações de rDNS são executadas em paralelo. No entanto, o valor retornado corresponde ao valor retornado pelo MID Server que é usado para criar ICs de host.
    -X- Redireciona o stdout para um arquivo XML.
    2> <caminho do arquivo> Redireciona mensagens de erros gravadas pelo Nmap para stderr para o arquivo especificado.