Home Map Index Search News Archives Links About LF
[Top bar]
[Bottom bar]
��� ������� �������� ��: English  Castellano  Deutsch  Francais  Nederlands  Portugues  Russian  Turkce  

[Foto del Autor]
����� Danilo Lujambio


����������:

���������� nmap

[nmap]

������ ������� ��� ����� ��� ������������ �����? �������, � ������ �������, ������ ��� �� ���������� ���� ��������������. ���������� � ����� ���������� �������� �������� ��������� �������:



��� ���������� ��������������, �������������� �� ������������ �������, ����� ����� ������ ����������� ���� ��� ��������� �������� ���� �� ����, ��� ��� ������� ���-������ ������ � ������� �����������.

���������� ��������� ���������� ��������������� ��� ���������� ���� ������, �� � ���� ������� �� ���������� ������ nmap-�������� ������ ���������� ��������� ����.

� ������� nmap ��������� ������������� ����� ����������� ���� ��� ��������� �������� �������� � �������� ��������������� ���. Nmap ���������� ������ ������� ��� �����. � ������� �� ���������� ������ ��������� �� ��� � ����������� ����������� �� ��������� �������� ��������� TCP

������ � ������������� ������ nmap ����� � ������� ���������� ���� ����������� ������ ������������ �� ����������� ����������.

nmap ����� ��������� � www.insecure.org � �����:

tar zxvf nmap-2.30BETA17.tgz
cd ...../nmap-2.30BETA17/
./configure
make
make install
nmap ����������.

������ nmap ������ ������ �������� ������ �� ����������� ����������. � ���� ������� ���� ������������� ���������� � �������� �������, ��� ��������� � ������������ ���������.

 

������������, ���������� �� ������������ ��������� TCP (����� -sT)

����������� ������������ � ������� nmap �������������� � ������ -sT. ��� �������� �� ��� ���������� ����������� ������(three way handshake) ��������� TCP. ���� ���������� ������� ��������� ���� �������

  1. ������ ����� ������ ������ ���� ����� ���������� ���������� (������ ������������ ����� ������� ��� socket, bind � listen)
  2. ������ �������� ���������� ���������� � ������� connect. ��� ���� ������� ���������� ������� SYN, ������������� ��� � ������, ������� ����� �������� �� ����� ����������. ������ ���� ������� �������� � ���� TCP Header � �������� ��������� �������������� ����� ���������.
  3. ������ � ���� ������� ������ �������� �������, ������ � ����� ACK � SYN.
  4. ������ ������ ����������� ��������� ������ �� �������, ������ ACK.


����� ������ ������������ �������� ����� ��������������:

�� ���� � ������� ����������-����� ������������ ������ ���������� � �������������.

����� �������� ���������� �������� ������������ � ��� ����������� �������� tcpdump �� ����������� ����������. ��������� nmap �� ���������� 192.168.255.20 � �������� ����������� ��������� house2.xxx.xxx.xxx ����� ���� Ethernet.

1) 08:24:18.393108 192.168.255.20.1024 house2.xxx.xxx.xxx.653: S 2632227152:2632227152(0) win 16060 < mss 1460,sackOK,timestamp 232602[|tcp] (DF)
2) 08:24:18.393167 house2.xxx.xxx.xxx.653 192.168.255.20.1024: R 0:0(0) ack 2632227153 win 0
3) 08:24:18.393227 192.168.255.20.1025 house2.xxx.xxx.xxx.6141: S 2644226118:2644226118(0) win 16060 < mss 1460,sackOK,timestamp 232602[|tcp] (DF)
4) 08:24:18.393258 house2.xxx.xxx.xxx.6141 192.168.255.20.1025: R 0:0(0) ack 2644226119 win 0
5) 08:24:18.453343 192.168.255.20.1298 house2.xxx.xxx.xxx.pop3: S 2640612362:2640612362(0) win 16060 < mss 1460,sackOK,timestamp 232608[|tcp] (DF)
6) 08:24:18.453542 house2.xxx.xxx.xxx.pop3 192.168.255.20.1298: S 1658259980:1658259980(0) ack 2640612363 win 16060 < mss 1460,sackOK,timestamp 243353[|tcp] (DF)
7) 08:24:18.458667 192.168.255.20.1298 house2.xxx.xxx.xxx.pop3:. ack 1 win16060<nop,nop,timestamp 232609 243353 (DF)
8) 08:24:18.461280 192.168.255.20.1298 house2.xxx.xxx.xxx.pop3: F 1:1(0) ack 1 win 16060 < nop,nop,timestamp 232609 243353 (DF)

��������� ����� ��������� ��� ���������� ����������. � ������ 1 �����, ��� "���������" ��������� 192.168.255.20 �������� SYN � ����� 1024 �� ���� 653 ������������ ����������. ������ "S" ����� ������ ����� 653 ���� ��� ��������� ����������, ��� ��� ������ ������� SYN.
� ������ 2 �� ����� ����� ������������ ����������-�� �������� ����� RESET (������ "R" ����� 1024), ����������� �� ���������� ������� �� ����� 653.
������ 3 � 4 ������� ������ ���� � ������������ �������� ����������� � ���, ��� �� ����������� ���������� ����������� ���� 6141 �� ������� ��������. ��� ��� � �� ���� ����� ��� �������� ������� - ����� �������� � ����� RESET
� ������ 5 �����, ��� ��������� 192.168.255.20 �������� ������� SYN �� POP3 ���� (110) ������������ ���������� � �������� � ����� ACK � sequence number (� ����� ������ 1658259980 � ���������� �� 192.168.255.20 ���� 1 - 2640612363). �������� ��������, ��� � ������, ���������� ����������� house2 �������������� ���� SYN � ACK - ����� � ������ 6, ���������� ������� ����� � ���� ������.
� ������ 7 192.168.255.20 ������������ ��������� ������ � ��� ��������� ���.
� ������ 8 ���������� ����������� ����������� 192.168.255.20 ����������� ������� FIN (������ "F" ����� pop3)

�� �������������� ������ �����, ��� ���� 110 ����� ���������� ������������� ����������� ������.

��� ���� ������� ����� - ����� ����� ������������ ����� ���������� - �� ��������� ����� � /var/log/messages (�� ��� ������� ������� �� ���� ��� � ��� �������� syslog.conf). ����������, ������������� � ������� 5 - 8 ��������� ���������:

May 6 08:24:01 house2 in.pop3d[205]: connect
from [email protected]


 

������������ � ������ -sS

������������ � ������ -sS ����� �������� "������������"("half connection"):���������� ������� SYN � � ������ ��������� ACK(������������� ������� ���������� �����) �� ������������ ����������-���������� RESET ��� ���������� ����������. � ������ ��������� RST ������ ACK-������ ����� �� ���������� ����������. ������������ ���������� ����� ������ ������������-���������� ����� ���������� root. �� ������� ��� �����������-��������� �����������.

��������� � ������� tcpdump ������ nmap � ���� ������(����������� ������ ��� �������� ����������, ��� � ������� �������).

1) 22:25:45.856936 192.168.255.20.40175 house2.tau.org.ar.946: S 1292785825:1292785825(0) win 3072
2) 22:25:45.857078 house2.tau.org.ar.946 192.168.255.20.40175: R 0:0(0) ack 1292785826 win 0

������ 1 � 2 ����� � ���������� ��������, ������������ �������� � ���, ��� ������� SYN ���������� � ���������� 192.168.255.20 �� 946 ���� ���������� house2-��������� � �������� ������ RESET-���� �� �������.

3) 22:25:45.970365 192.168.255.20.40175 house2.tau.org.ar.pop3: S 1292785825:1292785825(0) win 3072
4) 22:25:45.976022 house2.tau.org.ar.pop3 192.168.255.20.40175: S 185944428:185944428(0) ack 1292785826 win 16080 < mss 536 (DF)
5) 22:25:45.979578 192.168.255.20.40175 house2.tau.org.ar.pop3: R 1292785826:1292785826(0) win 0

������ 3, 4, 5-���������� �������� ����������� ������� (pop3) �� 110 ����� ���������� house2. ��� ����� ������� ������ �� ��������� ��������- ����� ��������� ������������� �� ���������� ������� �������� RESET ��� ���������� ����������.

����� ������������ �� ��������� ������ � /var/log/messages, ��� ���� � ���������� �������.

 

������������ � �������������� ��������� FIN

���� ����� ������� �� ��������� ��������-�� �������� ���� ������������ ���������� ������� ������� RST �� ����� FIN. ������� �������-�������� ���� ������������� ����� FIN. ������ �����- ��������� ����� ������� ��, ������� �� �������. ����������, ���������� ��� ����������� �� �� Microsoft-�� ��������� ����� ������-� ��� ������������� ���������� �������� TCP.

���������� ��� ���� ��������, ��������������� ����������� nmap ������ �� �������-��� �������� ����� ����� -sF, -sX � -sN. ���������� ����� -sF.

1) 06:50:45.643718 192.168.255.20.35600 casahouse.tau.org.ar.864: F 0:0(0) win 2048
2) 06:50:45.643865 house2.tau.org.ar.864 192.168.255.20.35600: R 0:0(0) ack 0 win 0

������ 1 � 2 ���������� ������� �������� FIN (������ "F" ����� 864 � ������ ������) � ����� ������� RST (������ "R" ����� 35600 � ������ 2)- �� ������� nmap ������ �����, ��� 864 ���� ���������� �� �������.

3) 06:50:47.933227 192.168.255.20.35600 > house2.tau.org.ar.pop3: F 0:0(0) win 2048
4) 06:50:48.251147 192.168.255.20.35601 > house2.tau.org.ar.pop3: F 0:0(0) win 2048

� ������� 3 � 4 ���� pop3 ���������� house2 ��������������� ����� � �������� ������� ��������� �����. � ������ 3 �������� FIN � �� �������� �����, � ������ 4 nmap ��� ������������� ����� �������� FIN. � ����� ������� ���� pop3 ���������� house2 ���������� ���������� ������-������ ��������.

 

�������� ����� ���������� � ������� tcpdump

��� ���� ������� ����� ������������ � ������ -sT ��������� �����, � � ������� -sS � -sF - ���. �� ����� ������������ tcpdump ��� ����������� �������� ����. ���������� ����� ������� � ���, ��� tcpdump ���������� ����� ����������, ������� ������ ��������� � ����������������. ���������� ��������� ������� ������������� tcpdump.

��� ���������� ���������� - ������������� ������ ������ TCP [2].

 

TCP (RFC 793)

0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|          Source Port          |        Destination Port       |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                         Sequence Number                       |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                      Acknowledgement Number                   |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Offset |  Reserver |U|A|P|R|S|F|             Window            |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|           Checksum            |         Urgent Pointer        |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                  Options                      |    Padding    |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                              Data                             |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

��� ����� 13-� ���� ���������� �����, ���������������� ��� ������ (SYN, FIN, � �.�.). ���� ��� � ������� ������ ��������� & ����� ��������� ����� ��� ����������� � ������������� ���������� �������, ��������

tcpdump ' tcp[13] & 7 != 0 and dst 192.168.255.20 ' > /tmp/out7

����� ����������� �������� ����� � ������������� ������ ������ � �������������� ������ R, S ��� F (����� - 00000111) � ����������� 192.168.255.20 � �������� ����� ���������� (��������, ��� IP ����� �������� ��� ���������)

���������

tcpdump ' tcp[13] & 1 != 0 and dst 192.168.255.20 ' > /tmp/out1

�� ����������� ������ � ������������� ����� FIN (����� - 00000001). ��� ���������� ��� ����������� ������������ ����������� nmap � ������ -sF. � ��������� ���������

tcpdump ' tcp[13] & 2 != 0 and dst 192.168.255.20 ' > /tmp/out2

����������� ������ � ������������� ����� SYN, ��������� ������� ������������ � ������ -sS

��� ����������� ���������� ���� ������������ (� ������ -sS) ���������� ����������� ���������� [3].

 

����������

����������, �������� nmap, ����� ������� ��� ��������� ������������ ������ ������, ��� ��������� ��������� �� ���� ������� �������������� ��������������. �� ����������� ���� ����� ����� ��������� �������, �� �������, ��� ����� ����� ���������� ��� ������� ����� ���� ���� ������������.

 

������������

[1] W. Richard Stevens Unix Network Programming Volume 1
[2] RFC 793
[3] ������������ nmap

 

�������� �������

� ������ ������� ���� �������� �������. �� ���� �������� �� ������ �������� ���� ����������� ��� ����������� ����������� ������ ���������.
 talkback page 
Webpages maintained by the LinuxFocus Editor team
© Danilo Lujambio, FDL
LinuxFocus.org
Click here to report a fault or send a comment to LinuxFocus
 Translation information:
es -> -- Danilo Lujambio
es -> en Iván Rojas Aguilar
en -> en Javier Palacios
en -> ru Kirill Poukhliakov

2001-06-13, generated by lfparser version 2.8