Retour : Accueil > >Repository > > Page précédente ;
Tutoriel écrit en 2003 par StIkO
StIkO explique le fonctionnement de Nmap à Ptit Noobs...
<Ptit Noobs> Oui ça marche, mais avant d'aller plus loin est ce que tu pourrais me dire pourquoi Nmap à été conçu ?
<StIkO> Pour répondre à ta question Nmap à été conçu pour permettreaux administrateurs système ainsi qu'aux personnes curieuses de scanner de larges réseaux pour déterminer quels sont les hôtes connectés et quels services ils offrent.
Nmap supporte un grand nombre de techniques de scan tel que : UDP, TCP connect(), TCP SYN (mi-ouvert), ftp proxy (bounce attack), reverse-ident, ICMP (ping sweep), FIN, ACK sweep, Xmas tree, SYN sweep, et NULL scan.
Nmap possède aussi un certain nombre de fonctions avancées telles que la détection de l'OS distant grâce à l'empreinte digitale TCP/IP, le stealth scanning, le dynamic delay, le calcul de retransmission, le scan en parallèle, la détection d'hôtes éteints grâce au ping en parallèle, les scans avec leurres,la détection de ports filtrés, le scan RPC direct (sans-portmap), le scan avec fragmentations de paquets et une flexibilité dans l'écriture des cibles et des ports.
<Ptit Noobs> Ok mais est ce que les résultats de ce scan me donnera des choses intéressantes ?
<StIkO> Bien sur, normalement Nmap te donnera une liste de ports intéressants sur la machine scannée.
Nmap donne toujours le nom du service correspondant (s'il est connu), le numéro, l'état, et le protocole. L'état est soit 'open', 'filtered', 'unfiltered'. Open signifie que la cible acceptera - 'accept()' - des connexions sur ce port.
Filtered signifie qu'il y a un firewall/filtre ou un obstacle qui couvre ce port et qui empêche nmap de déterminer s'il est ouvert ou non. Unfiltered signifie que le port est connu par nmap pour être fermé et qu'aucun firewall/filtre n'apparaît interférer avec nmap. Les résultats 'unfiltered' sont courants et sont affichés uniquement quand la plupart des ports sont trouvés à l'état filtrés.
<Ptit Noobs> Ok, il est bien complet!!!
<StIkO> Oui c'est le scanner le plus apprécié et le plus popularisé !!!
Enfin maintenant tape dans ta console : nmap -h cela te permettra de voir toutes les options de Nmap.
<Ptit Noobs> Ouah, tout ça, mais c'est du charabia pour moi!!!
<StIkO> Bon je vais essayer de t'expliquer chaques options de celui :
-sS
TCP SYN scan : Cette commande fait souvent référence à la technique de scan "mi-ouvert" (half open), car tu n'ouvres pas une connexion TCP complète. Tu envoies un paquet avec le flag SYN, comme pour faire la requête d'une connexion normale et tu attends la réponse.
Si tu reçois comme réponse un SYN/ACK, c'est que le port est en écoute, donc ouvert.
Un paquet avec le flag RST signifie que le port n'est pas en écoute. Si un SYN/ACK est reçu, alors quelques secondes plus tard tu reçois un RST (le kernel de l'OS fait cela pour toi) . Cela ne sera pas le cas si tu as répondu au précèdent SYN/ACK.
Le premier avantage de ce type de scan est qu'il ne sera pas la plupart du temps détecté par la cible.
-sF -sX -sN
Stealth (scan de type "mi-ouvert") FIN, Xmas Tree, et le mode de NULL scan : certaines fois, le scan de type SYN n'est plus suffisamment clandestin. Certains firewall, IDS, filtreur de paquets repèrent ce type de scans sur des ports restreints. Des programmes tel que Synlogger et Courtney sont connus pour cela.
D'un autre côté, ces types de scans auront de moins bon résultats, et pourront passer à côté de ports ouverts.
L'idée est que les ports fermés doivent te répondrent par un RST, alors que ceux ouverts ne doivent pas prendre en compte le paquet en question (RFC 793 pp 64).
Le scan FIN utilise un paquet avec le fag FIN, alors que l'Xmas, lui, utilise la combinaison des flags FIN, URG et PUSH. Le scan NULL ne met aucun flag.
Comme d'habitude, microsoft ne respecte pas du tout les règles et fait à sa manière. A cause de cela, ces types de scans ne fonctionneront pas face à des machines de type windows95/NT.
D'une autre manière, c'est un bon moyen pour faire la distinction entre des machines windows ou non. Si le scan trouve des ports ouverts, tu peux alors être sûr que ce n'est pas un windows. Si un scan de type -sF, -sX ou encore -sN te montre tous les ports fermés, et qu'avec un -sS il y en a d'ouverts, alors tu peux être quasiment sûr que c'est un windows.
Ceci est moins utile toutefois, depuis que nmap possède un module de "remote OS identification" par le "TCP/IP fingerprinting". Windows n'est pas non plus le seul à travailler de cette manière.
Cisco, BSDI, HU/UX, MSV et IRIX renvoient aussi des RST depuis leurs ports ouverts alors qu'ils devraient simplement jeter les paquets et ne pas en tenir compte.
-sP
Ping scanning : quelques fois, tu as besoin de connaître uniquement si tel ou tel hôte est là ou non. Nmap fait cela en envoyant une requête 'ICMP echo' à chaque IP de la liste.
Les hôtes qui répondent sont présents. Malheureusement, certains sites tel que microsoft.com ne respectent pas cette règle et bloquent l'ICMP en entrée. De cette manière nmap ne peut envoyer que des paquets avec des TCP ack en direction du port 80 (par défaut).
Si tu as un RST en réponse alors l'hôte est présent. Une autre technique est d'envoyer un paquet SYN et d'attendre un RST ou SYN/ACK.
Par défaut nmap utilise à la fois la technique ICMP et ACK en parallèle. Tu peux changer cela grâce à l'option -P qui est décrite plus bas.
Il faut savoir que le ping est effectué par défaut, et qu'uniquement les hôtes qui répondent sont scannés. Utilises cette méthode uniquement si tu veux faire un ping sweep sans aucun port scan.
-sU
UDP scan : Cette méthode est utilisée pour connaître tous les ports UDP (User Datagram Protocol, RFC 768) ouverts sur la machine.
La technique consiste à envoyer un paquet UDP de 0 octet sur chaque port de la machine. Si tu reçois un message "ICMP port unreachable", alors le port est fermé. Autrement, tu peux considèrer qu'il est ouvert.
-sR
RPC scan. Cette méthode fonctionne avec la plupart des combinaisons de scan. Il prend les divers ports TCP et UDP et les innondent sous des commandes SunRPC NULL avec espoir de découvrir s'ils sont des ports RPC, et si oui, il essaie de savoir quel est le programme derrière et sa version.
De cette manière tu peux obtenir les mêmes informations que 'rpcinfo -p' même si la cible est derrière un firewall (ou si elle possède un wrapper). Decoy ne fonctionne pas avec le scan RPC, mais, un jour viendra ou je l'ajouterai.
-b <ftp relay host>
FTP bounce attack : Une fonctionnalité intéressante du protocole ftp (RFC 959) est le support du proxy pour les connexions ftp.
En d'autres mots, je dois être capable de me connecter depuis evil.com sur le serveur ftp de cible.com et de demander à celui-ci d'envoyer un fichier N'IMPORTE où sur Internet! En fait cela devait bien fonctionner en 1985 quand la RFC a été écrite.
Mais sur l'Internet d'aujourd'hui, il n'est plus possible que des gens 'hijack' (=détournent) des serveurs ftp pour disperser les données à travers l'Internet. Comme *Hobbit* l'a écrit en 1995, cette faiblesse du protocole "peut permettre de poster des mails, news totalement intraçables, remplir jusqu'à saturation des disques, et généralement être gênant et être plutôt difficiles à tracer". Tu utilises donc cette faille pour, "surprise, surprise...", scanner des ports TCP depuis un serveur ftp "proxy".
De cette manière, tu peux scanner des ports qui sont généralement bloqués (139 est un bon choix). Si le serveur ftp permet la lecture, écriture dans un répertoire (ex : /incoming), alors, il t'est possible d'envoyer des données sur les ports trouvés ouverts (nmap ne fait pas cela pour toi).
Les arguments donnés à l'option 'b' sont les serveurs que tu souhaites utiliser comme proxy, en utilisant la notation standard d'URL. Le format est : pseudoass mot@serveurort. Tout sauf serveur est optionnel. Pour déterminer quels sont les hôtes vulnérables, tu peux lire un article présent dans Phrack 51 écrit par A-bone.
Aucunes d'entre elles ne sont obligatoires, mais elles sont parfois très utiles.
-P0
N'essaie pas de "pinger" les hôtes avant de les scanner.
Ceci permet de scanner des réseaux qui n'acceptent pas les requêtes (ou réponses) ICMP echo à traverser leur firewall. Microsoft est un exemple qui utilise ce type de filtrage dans son réseau, donc il te faudra utiliser -P0 ou encore -PT80 si tu veux le scanner.
Mais de toute manière Microsoft n'est qu'une petite crotte de nez.
-PT
Utilise la technique de ping TCP pour repérer les hôtes qui sont présents.
A la place d'envoyer des requêtes ICMP echo et d'attendre une réponse, tu envoies des paquets TCP ACK à travers le réseau (ou machine) cible et attends les réponses. Les hôtes présents doivent répondre par un RST. Ceci permet de passer à travers des réseaux n'autorisant pas le ping.
Pour spécifier le port de destination pour faire sa requête, tu utilises -PT<numerodeport>. Le port par défaut est le 80 car c'est celui qui est le moins souvent filtré.
-PS
Cette option utilise les paquets SYN (requête de connexion).
Les hôtes présents doivent répondre par un RST, et (très rarement par un SYN|ACK).
-PI
Cette option utilise le vrai ping (requêtes ICMP echo).
Il regarde quels sont les hôtes présents et cherche des adresses qui autorisent les broadcasts de sous-réseaux sur le réseau. Ce sont des adresses IP extrêmement accessibles et qui transmettent les paquets entrants en des broadcasts en direction des ordinateurs du sous réseau.
Si des adresses de ce type sont trouvées, elles doivent aussitôt être éliminées car elles permettent de nombreux types de dénie de service (DoS), tel que les attaques Smurf.
-PB
Ceci est le ping utilisé par défaut dans nmap.
Il utilise à la fois le paquet ACK ( -PT ) et ICMP ( -PI ) en parallèle. De cette manière tu peux atteindre à la fois des réseaux qui en filtrent un (mais pas les deux).
-O
Cette option active l'authentification par l'empreinte TCP/IP.
En d'autres mots, il utilise quelques techniques pour repérer des subtilités de la couche réseau de l'ordinateur scanné. Il utilise les informations recueillies "empreinte digitale" pour les comparer à une base de donnée d'empreintes connues (le fichier nmap-os-fingerprints) et peut ainsi voir quel type de système tu es en train de scanner.
-I
Met en action la fonction 'TCP reverse ident scanning'.
Comme l'a écrit en 1996 Dave Goldsmith dans un post sur Bugtraq, le protocole ident (rfc 1413) permet de détecter le nom de l'utilisateur qui fait fonctionner n'importe quel processus connecté en utilisant TCP, même si ce processus n'a pas initialisé la connexion. Donc tu peux, de cette manière te connecter sur le port 80 et utiliser identd pour trouver si ce serveur est lancé par le root ou non. Ceci ne peut être fait uniquement que par une connexion complète à l'hôte distant (c'est à dire : l'option de scan -sT).
Quand -I est utilisé, le serveur identd de l'hôte distant questionne chaque ports ouvert. Naturellement, ceci ne fonctionne pas si l'hôte ne fait pas fonctionner identd.
-f
Cette option force les scans par SYN, FIN, XMAS, ou encore NULL à utiliser de tous petits fragments de paquets IP.
L'idée est de fragmenter le header TCP sur plusieurs paquets pour pouvoir rendre plus compliqué aux filtreurs de paquets ainsi qu'au détecteurs d'intrusions (IDS), de détecter ce que tu es en train de faire.
Attention avec cette option! Certains programmes ont du mal à gérer les paquets fragmentés.
Il faut noter que l'option ne fonctionne pas encore correctement sur certains systèmes. Elle fonctionne bien sur Linux, FreeBSD, et OpenBSD, certaines personnes ont aussi reporté un succès sur certains *NIX.
-v
Mode détaillé.
Cette option est fortement conseillée, car elle donne des informations sur ce qui est en train de se passer. Tu peux l'utiliser en double pour un plus grand effet.
Attention, ne tapes pas -d -d -d...... sinon les informations détaillées apparaîtront autant de fois qu'il y a de 'd' sur la ligne de commande.
-h
Option pratique pour afficher une rapide référence des options de nmap.
Comme tu peux le remarquer ce fichier man n'est pas une 'référence rapide'
-oN <fichierdelog>
Ceci crée un log du résultat et l'inscrit dans un fichier lisible humainement.
-oM <fichierdelog>
Ceci crée un log du résultat dans un fichier, spécifié en argument, au format utilisable par un ordinateur.
Tu peux mettre l'argument '-' (sans les guillemets) pour envoyer le résultat vers stdout (pour une utilisation avec des pipes sous shell, etc). Dans ce cas l'affichage normal sera supprimé.
Fait tout de même attention aux messages d'erreurs si tu utilises cela (ils seront toujours envoyés sur stderr).
-oS <fichierdelog>
C3c1 l0G l3 R3suLt4 2oUs uN f0Rm4t à L4 scr1p| kiDd|3 d4n2 uN fiCh1e5 9ue Tu spEc1f1e eN 4r9umEn|!
Tu Peux util12er l'4rgum2n| '-' (Z4nZ leZ gu1lleme7s) pour tou| eNV0y2r sUr stDouT!@!!
-iL <nomdufichierentrant>
Récupère la spécification des cibles dans un fichier plutôt que dans la ligne de commande. Ce fichier doit contenir une liste d'expressions d'hôtes ou réseaux séparés par des espaces, tabulations, ou encore des retours chariots.
Utilises le signe '-' comme 'nomdufichierentrant' si tu souhaites que nmap lise les spécifications sur stdin (comme à la fin d'un 'pipe').
-iR
Cette option dit à nmap de générer son propre fichier d'hôtes à scanner, par simple utilisation de nombres aléatoires . Cela n'arrètera jamais. Cette option peut être utile pour faire des statistiques sur divers sujets. Si tu t' ennuies réellement essaye d'utiliser: nmap -sS -iR -p 80
pour trouver des serveur web.
-p <port champ>
Cette option spécifie quels ports doivent être scannés.
Par exemple '-p 23' n'essayera que le port 23 sur la machine cible. Le défaut est de scanner tout les ports entre 1 et 1024 et tous ceux présents dans le fichier 'services' livré avec nmap.
-F
Méthode de scan rapide.
Spécifie que tu ne veux scanner que les ports listés dans le fichier 'services' fournis avec nmap. C'est de toute manière bien plus rapide que de scanner les 65535 ports cibles.
-D <decoy1 [,decoy2][,ME],...>
Effectue un scan avec leurres (decoy), ce qui permet de faire croire à l'hôte cible que les IP que tu spécifies en tant que 'decoy' sont aussi en train de le scanner. De cette manière, les IDS détecteront quelques fois 5-10 ports scan provenant de la même source, et seront incapables de dire qui à réellement effectué le scan et quel sont les leurres envoyés. Tandis que cette technique ne fonctionne pas avec des routeurs traçant la route, ou encore des mécanismes dits 'actifs', cette technique est très puissante pour cacher ton IP.
Séparez chaque leurre (decoy) avec des virgules, tu peux optionnellement utiliser 'ME' en tant que leurre pour spécifier à quelle position tu souhaites que ton IP soit utilisée. Si tu places le 'ME' en sixième position ou plus tard, de nombreux détecteurs de port-scan (tels que l'excellent Solar Designer's scanlogd) seront incapables de montrer ton IP. Si tu n'utilises pas le 'ME', nmap le positionnera aléatoirement.
Il faut noter que les hôtes que tu utilises en tant que leurres doivent être présents si tu ne veux pas créer une inondation SYN sur ta cible. De plus, il sera plus aisé de repérer qui est en train de scanner s'il ne se trouve qu'un seul hôte présent sur le réseau. Tu peux utiliser des IP plutôt que des noms (si tu ne souhaites que ton IP n'apparaisse dans le fichier de log du serveur DNS de tes leurres).
Il faut aussi noter que certains "détecteurs de port scan" (stupides) refusent le routage avec des hôtes qui essayent de les scanner. De cette manière tu peux causer sur cette machine le refus de dialoguer avec les hôtes que tu spécifies en tant que leurres. Cela peut poser des problèmes majeurs si tu spécifies une machine du réseau, leur passerelle internet, ou encore le "localhost".
De cette manière il faut faire attention avec cette option. La réelle morale de cette histoire est que les détecteurs de scan ne devraient pas prendre d'action lorsqu'ils détectent quelque chose car cela pourrait très bien être un leurre!
Le scan avec leurres peut être utilisé à la fois avec le ping scan (utilisant ICMP, SYN, ACK, ou n'importe quoi) et aussi durant la phase de port scan. Les leurres peuvent aussi être utilisés durant l'authentification d'OS ( -O ).
Il est inutile et même c'est une peine perdue d'utiliser trop de leurres cela ne sert à rien et pourra rendre les réponses moins justes. A l'heure actuelle uniquement quelques FAIs filtrent les paquets spooffés.
-S <AdressesIP>
Dans certain cas, nmap sera incapable de trouver ton adresse IP source (il te le dira si c'est le cas).
Si cela t'arrives, utilisez -S avec ton adresse IP (l'interface sur laquelle tu veux envoyer les paquets).
-e <interface>
Spécifie à nmap l'interface sur laquelle les paquets doivent être envoyés. Nmap devrait être capable de détecter l'interface à utiliser, mais au cas ou il n'y arriverait pas, il te le dira.
-g <portsource>
Fixe le port source utilisé dans les scan.
De nombreuses installations de firewall et filtreurs de paquets feront une exception dans leurs règles aux paquets DNS (53) ou encore FTP-DATA (20) qui entreront pour effectuer une connexion. Naturellement pour un scan UDP il faudra mieux utiliser le port 53 et pour un scan TCP, le port 20 avant le 53. Notes que ceci n'est qu'une requête et que nmap ne l'utilisera uniquement que si cela est possible.
Il faut aussi savoir qu'il y a des inconvénients à utiliser cette option sur certains scan car nmap place des informations utiles dans les ports sources.
-r
Demande à nmap de ne PAS placer les ports scannés dans un ordre aléatoire.
--randomize_hosts
Demande à nmap de mélanger l'ordre de 2048 hôtes avant de les scanner. Ceci peut rendre le scan plus discret pour des moniteurs réseau, spécialement si tu utilises des techniques de minuterie lente.
-M <max sockets>
Spécifie le nombre maximum de sockets qui seront utilisées en parallèle pour un scan avec le TCP connect() (celui par défaut). Ceci est utile pour ralentir un petit peu le scan et pour ne pas crasher la cible.
Une autre solution est d'utiliser le -sS, car il est généralement plus facile à gérer pour les machines.
En général nmap se débrouille pas mal du tout pour s'ajuster aux caractéristiques du réseau en le scannant pour pouvoir aller le plus vite possible tout en minimisant les chances de ne pas détecter des hôtes/ports. Seulement, certaines fois, la politique de chronométrage de nmap, ne
représente pas les objectifs voulu. Les options suivantes permettent de contrôler totalement ce temp:
-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane>
Le mode Paranoid scan très lentement dans l'espoir d'éviter les IDS et détecteurs de scan.
Il fait les scans en série (et non pas en parallèle) et attend au moins 5 minutes entre chaque paquet. Sneaky est similaire, il attend seulement 15 secondes entre chaque. Polite est conçu pour ne pas surcharger le réseau et crasher les machines. Il fait les scans en série et attend au moins 0.4 secondes entre chaque paquets. Normal est l'attitude normale de nmap, en ce sens qu'il essaie de fonctionner le plus vite possible sans pour autant perdre en précision dans les résultats. Les mode Agressive ajoute 5 minutes de timeout par hôte et n'attend pas plus de 1.25 seconde pour les réponses des requêtes.
Insane n'est convenable que pour des réseaux très rapides ou s'il ne t'importes pas de perdre des informations. Il met un timout pour les hôtes de 75 secondes et attend seulement 0.3 secondes pour les requêtes individuelles. Il permet de scanner des réseaux très rapidement. Tu peux aussi faire tes spécifications avec des nombres (0-5). Par exemple, '-T 0' te donnes le mode paranoïd et '-T 5' Insane.
Ces types de scan ne doivent pas être utilisés en combinaison avec les contrôles ayant un niveau inférieur situés ci-dessous.
--host_timeout <millisecondes>
Spécifie le total de temps que doit passer Nmap à scanner un hôte avant de laisser tomber avec celui-ci. Le mode de minuterie par défaut n'utilise pas cette option.
--max_rtt_timeout <millisecondes>
Spécifie le temps maximum que Nmap est autorisé pour attendre les réponses aux requêtes ou retransmettre cette requêtes particulière. Le mode par défaut est 9000.
--min_rtt_timeout <millisecondes>
Quand l'hôte cible commence à envoyer quelques réponses au requêtes précédentes très rapidement, Nmap ajustera le temps total pour chaque requête. Ceci accélère le scan, mais peut laisser de côté des réponses un peu trop lentes à arriver. Avec ce paramètre tu peux être garanti que nmap attendra au moins le minimum de temps possible pour une requête.
--initial_rtt_timeout <millisecondes>
Spécifie le time-out pour la requête initiale. Ceci est généralement utile quand tu scannes des réseaux protégés par un firewall en utilisant l'option '-P0'.
Normalement Nmap peut obtenir une bonne estimation de RTT grâce au ping et les première requêtes. Le mode par défaut utilise 6000.
--max_parallelism <nombre>
Spécifie quel est le nombre maximum de scan que Nmap est autorisé à effectuer en parallèle. En mettant ceci à 1 nmap ne scannera pas plus d'un port à la fois. Il affecte aussi d'autre types de scan en parallèles tel que le ping sweep, RCP scan, etc...
--scan_delay <milliseconds>
Spécifie le temps minimum à nmap pour attendre chaque requête. Ceci est utile pour limiter la charge du réseau ou pour ralentir le scan en ayant
pour but d'être moins facilement repéré.
Tout ce qui n'est pas une option (ou un argument d'option) dans nmap est traité comme une spécification de cible.
Le cas le plus simple est d'être à l'écoute de simples noms d'hôtes ou adresses IP sur la ligne de commande. Si tu souhaites scanner un réseau, tu doits utiliser '/mask' en l'ajoutant au nom d'hôte ou à l'adresse IP. Mask doit être entre 0 (scan tout l'Internet) et 32 (scan un simple ordinateur). Utilises /24 pour scanner un réseau de class 'C' et /16 pour un de class 'B'.
Nmap a aussi une technique de notation puissante qui te permet de spécifier les adresses IP en utilisant pour chaque élément des listes/champs. De cette manière tu peux décrire un réseau de class 'B' 128.210.0.0 en spécifiant '128.210.*.*' ou '128.210.0-255.0-255' ou encore '128.210.1-50,51-255.1,2,3,4,5-255'. Et bien sûr, tu peux utiliser la notation suivante avec mask: '128.210.0.0/16'. Ils sont tous équivalent. Si tu utilises des astérisques ('*'), il faut juste se souvenir que de nombreux shells ont besoins de guillemets et de séquences d'échapements.
Une autre chose intéressante est de diviser l'internet d'une manière différente: Au lieu de scanner les hôtes d'une classe 'B', une spécification du type '*.*.5.6-7' effectuera un scan sur toute les IP se terminant par .5.6 ou .5.7, choisis tes propres numéros.
<Ptit Noobs> Et ben, c'est balaise Nmap et comme tu disais ce n'est pas à la portée du premier venu!!!
<StIkO> Eh oui, ce que je te conseille c'est d'imprimer tout et de relire ensuite plusieurs fois jusqu'à que tu comprennes c'est la meilleure solution. C'est comme tout, il faut persévérer pour y arriver !!!
<Ptit Noobs> Ouai c'est clair, c'est ce que je vais faire, tout imprimer et lire et relire, mais tu ne pourrais pas me donner quelques exemples qui pourraient m'éclaircir, et pour les mots que je ne comprend pas, j'ai toujours mon ami Google ?
<StIkO> C'est bien Ptit Noobs je t'aime bien toi, et tu iras loin car tu as de la patience et beaucoup de volonté !!!
nmap -v cible.com
Cette option scanne tous les ports TCP sur la machine cible.com. Le -v signifie mode 'verbose', c'est à dire: bavard, détaillé.
nmap -sS -O cible.com/24
Lance un SYN scan sur le réseau de classe 'C' ou cible.com réside. Il essaie aussi de récupérer l'identification du système sur chacuns des hôtes qu'il trouve grâce au TCP fingerprinting.
nmap -sX -p 22,53,110,143,4564 128.210.*.1-127
Envoie un scan de type Xmas sur la première moitié des 255 possibilités dans le réseau de class 'B' 128.210.
Je teste si le système possède sshd, DNS, pop3, imapd, ou le port 4564. Il est bon de savoir que Xmas ne fonctionne pas contre les machines de type windows du faite d'une malformation dans leur pile TCP. Même chose pour CISCO, IRIX, HP/UX, et BSDI.
nmap -v -sS --randomize_hosts -p 80 '*.*.2.3-5'
Au lieu de se focaliser sur une class IP, il est parfois intéressant de découper l'internet en plusieurs partie que l'on scanne en tranches. Cette commande trouve tous les serveurs webs sur les machines dont l'IP se termine par .2.3, .2.4 ou .2.5.
host -l company.com | cut '-d ' -f 4 | ./nmap -v -iL -
Effectue un transfert de zone pour trouver les hôtes de 'company.com', envoie le résultat à nmap. Les commandes ci-dessus sont pour mon GNU/Linux.
<Ptit Noobs> Merci c'est super, cela me donne au moins une idée de comment utiliser les différentes options ensembles.
Je vais faire des tests et je te recontacterai plus tard, enfin si tu le veux bien ?
Le document au format texte nmap.txt.
Page précédente | Accueil site | Allez Up !