1. Як отримати Nmap Перш, ніж завантажити Nmap 4.0, власникам старої версії Nmap слід використовувати...
2. документація
3. Визначення версії додатків
4. Екран 1. Результати базової перевірки Nmap і сеансу з визначенням операційної системи і її версії.
5. Висновок у форматі XML
6. Екран 2. XML-висновок Nmap, перетворений в формат HTML.
7. Хороше доповнення до набору інструментів

Як отримати Nmap

Перш, ніж завантажити Nmap 4.0, власникам старої версії Nmap слід використовувати модуль Add or Remove Programs в панелі управління, щоб видалити старі версії драйвера захоплення пакетів (WinPCap). Програму установки Nmap (і, при бажанні, вихідний текст) для Windows можна завантажити безпосередньо з Web-вузла insecure.org ( http://download.insecure.org/nmap/dist/nmap-4.01-setup.exe ). Щоб почати роботу, досить запустити програму установки. Нова програма установки для Windows встановлює Nmap 4.01 і WinPCap 3.1, оновлює шлях командного процесора і витягує файли з Program FilesNmap. Потім потрібно лише відкрити командний рядок і почати сканування.

Надійність і швидкість

Адміністраторам Windows сподобається очевидне підвищення надійності і швидкодії Nmap 4.0. Більш ранні версії Nmap не завжди надійно працювали на системах Windows, тому в минулому я надавав перевагу сканувати порти з комп'ютера Linux. Ці дні пішли в минуле - Nmap 4.0 працює з Windows надійніше попередніх версій. Я без проблем встановив програму на системах Windows Server 2003 Service Pack 1 (SP1) і Windows XP SP2, і негайно запустив сканування. Я маю намір і надалі використовувати для багаторазових систематичних перевірок утиліту для Linux, доповнену кількома сценаріями. Однак і інструмент Nmap, встановлений в настільній системі з Windows, чудово виконує разові перевірки.

У Nmap 4.0 з'явилися численні зміни, спрямовані на підвищення робочих характеристик. Можна виконувати кілька завдань паралельно, зокрема, одночасно сканувати безліч комп'ютерів і портів, і виконувати кілька зворотних перетворень DNS. Значно зросла швидкодія Nmap 4.0: для аналізу 25 комп'ютерів в мережі класу C знадобилося 150 секунд, тоді як при використанні Nmap 3.5 ця процедура займала 450 секунд. Nmap 4.0 істотно випередила Nmap 3.5 на тестах виявлення служб (440 секунд замість 1400 секунд). Розкид результатів еталонних тестів великий, але можна з упевненістю зробити висновок, що швидкість сканування різко зросла в порівнянні з минулою версією Nmap.

документація

Незважаючи на простоту основних перевірок Nmap, утиліта має широку функціональність. Зведення оновлених команд Nmap можна отримати за допомогою команди

nmap-?

Ця команда видає список параметрів для нових функцій і режимів. Крім того, корисно отримати недавно перероблену документацію за адресою http://www.insecure.org/nmap/man , В якій наведено всі команди Nmap і докладні описи сценаріїв використання. Документація - одна з кращих, які мені доводилося бачити; в ній описані не тільки ефективні методи застосування Nmap, але і детально розглянуті процедури сканування мережі та можливості потужних (і маловідомих) функцій Nmap, таких як спуфинг і обхід IDS.

Визначення версії додатків

Nmap 4.0 забезпечує більш точне визначення версії додатків, ніж старі версії утиліти. База даних, в якій містяться сигнатури більше 3000 додатків, зростає з кожним новим випуском утиліти. Nmap можна налаштувати на використання аналізатора служб, щоб спробувати з'ясувати ім'я і версію програми, що прослуховує відкритий порт, і визначити версію цільової операційної системи. При використанні аналізатора служб різко збільшується час сканування, але зате можна дізнатися, чи є певна програма, прослуховуючий порт 80, Web-сервером, таким як Microsoft IIS, або чимось іншим. Слід запустити команду

nmap -A HostToScan

де HostToScan - ім'я або IP-адреса перевіряється комп'ютера. Щоб дізнатися тільки версію програми, потрібно використовувати параметр -sV.

На Екрані 1 показані результати двох перевірок. У першому сеансі використаний параметр -sS для запуску простого прихованого сканування TCP SYN (тип перевірки за замовчуванням в Nmap). Nmap повідомляє, що TCP-порт 80 відкритий і просто вказує службу, пов'язану з портом (в даному випадку, HTTP). Функція перетворення номера порту в ім'я відрізняється дуже широкими можливостями і корисна, щоб швидко ідентифікувати окремі порти. Однак, її результати можуть ввести в оману - іноді шкідливі програми захоплюють широко використовувані порти, такі як порт 80, щоб уникнути виявлення або обійти брандмауери.

Екран 1. Результати базової перевірки Nmap і сеансу з визначенням операційної системи і її версії.

У другій перевірці на Екрані 1 за допомогою параметра -A запускається аналізатор служб, який виявляє операційну систему і перевіряє версії. З'ясовується, що порт 80 прослуховує програмою Kazaa. Можна з'ясувати, що ця програма тимчасової пересилки файлів в дійсності прослуховує кілька портів, в тому числі і порт 80. Значне збільшення часу виконання операції - 90 секунд при скануванні з визначенням версій замість трохи більше 2 секунд при простій перевірці портів - прийнятна плата за точну інформацію .

Висновок у форматі XML

Минулі версії Nmap підтримували XML, але в Nmap 4.0 рівень підтримки підвищився. Наприклад, Nmap має таблицею стилів у форматі XML (Nmap.xsl), яка забезпечує безпосереднє перетворення XML-виведення Nmap в HTML. Щоб вивести результати сканування Nmap в XML-файл з ім'ям myNmapOutputFile.xml, пов'язаним з настроюваної таблицею стилів, слід застосувати команду

nmap -oX myNmapOutputFile.xml
-stylesheet
"C: program
filesNmapNmap.xsl "
HostToScan

вказавши ім'я конкретного вихідного XML-файла, шлях до цього файлу і перевіряється комп'ютер. Щоб переглянути XML-файл, його потрібно відкрити в Microsoft Internet Explorer (IE) або іншому браузері, що забезпечує XML-перетворення.

Екран 2. XML-висновок Nmap, перетворений в формат HTML.

На Екрані 2 показаний зразок результатів, виведених в форматі XML і перетворених через вбудовану функцію Extensible Style Language Transformations (XSLT) утиліти Nmap.

Хороше доповнення до набору інструментів

Адміністратор може взаємодіяти з Nmap 4.0 в процесі виконання, не перериваючи і не перезапуску програму. Тому деякі параметри можна змінювати "на ходу", наприклад, підвищувати / зменшувати деталізацію виведення (v / V) і налагоджувальної інформації (d / D). У процесі сканування можна отримувати інформацію про стан; досить натиснути будь-яку клавішу, щоб побачити виконаний відсоток операції і орієнтовний час завершення.

У Nmap 4.0 досягнутий новий рівень надійності, швидкодії і функціональних можливостей. Прийшла пора оновити старі версії Nmap.

Джефф Феллінг ( [email protected] ) - редактор Windows IT Pro і віце-президент з інформаційної безпеки і проектування компанії aQuantive. Він автор книги IT Administrator's Top 10 Introductory Scripts for Windows (видавництво Charles River Media).