- nmap -sS -PB -F 3 опции используемые по умолчанию. Трехкодовое квитирование не завершается оставляя факт сканирования незаметным для большинства машин. Для определения статуса хоста используются как TCP так и ICMP пакет что повышает надежность но делает много шума. -F 3 означает что пакеты посылаются со скростью работы ОС.
- nmap -sP Выполняется простое эхо-тестирование всех адресов, чтобы увидеть, какие из них ответят на ICMP-запрос.
- nmap -sU -p 1024-65535 проверяет наличие слушаемых UDP-портов. cпособен выявить троянские программы, использующие UDP-порты с большими номерами и скрытые RPC-сервисы. Опция -p позволяет задать номера портов наиболле часто используемых малварью.
- nmap -sF Это скрытное сканирование использующее пакеты TCP FIN. Может осуществляться под наблюдением некоторых программ выявления вторжений и при наличии других контрмер.
- nmap -sN Cкрытное сканирование, при котором все флаги заголовка TCP сброшены (или пусты). Для серверов не под Windows, защищенных межсетевым экраном, оно может стать способом проникновения.
- nmap -n FTP_HOST Использует лазейку в протоколе TCP для "отражения" сканирующих пакетов от сервера FTP во внутреннюю сеть, которая обычно недоступна. Зная IP-адрес сервера FTP, который подключен к локальной сети, вы можете проникнуть через межсетевой экран и сканировать внутренние машины.
- nmap -sR ищет машины, отвечающие сервисам удаленного вызова процедур (RPC). RPC-сканирование зондирует найденные открытые порты с помощью команд, показывающих имя программы и версию сервиса RPC.
- nmap -sW Данный тип сканирования полагается на аномалию в ответах на пакеты ACK в некоторых операционных системах, чтобы обнаружить порты, которые предположительно фильтруются. Известно, что к числу операционных систем, уязвимых для подобного сканирования, принадлежат некоторые версии AIX, Amiga, BeOS, BSDI, Cray, DG/UX, Digital UNIX, FreeBSD, HP/UX, IRIX, MacOS, NetBSD, OpenBSD, OpenStep, OpenVMS, OS/2, QNX, Rhapsody, SunOS 4.X, Tru64 UNIX, Ultrix, VAX и VxWorks
- nmap -sI Данный тип сканирования появился в Nmap версии 3.0. Это сверхскрытный метод, при применении которого пакеты сканирования отражаются от внешнего хоста. Необязательно иметь контроль над этим хостом, но он должен работать и удовлетворять некоторым требованиям. Вы должны ввести IP адрес хоста-зомби и номер используемого порта.
- nmap -PT Для обнаружения хостов используется только метод TCP.
- nmap -PE Использовать для раскрытия сети только пакеты ICMP.
- nmap -P0 Nmap не будет пытаться сначала выяснить, какие хосты активны, а будет вместо этого посылать пакеты по каждому IP-адресу заданного диапазона, даже если по этому адресу машины нет. это может быть единственным способом просканировать хорошо защищенную сеть, которая не отвечает на ICMP-пакеты
- nmap -F 0 пакет раз в 5 минут
- nmap -F 1 пакет раз в 15 секунд
- nmap -F 2 пакет раз в 4 секунды
- nmap -F 4 со скростью ОС но время ожидание сокращено до 5 минут на хост и до 1,25 секунды на пакет
- nmap -F 5 Время ожидания 0,75 секунды на хост и 0,3 секунды на зондирующий пакет.
- nmap -n не делать разрешения имен
- nmap -F быстрое сканирование
- nmap -D адреса_приманки1 адрес_приманки2 Эта опция создает видимость, что хосты, указанные в качестве приманок, участвуют в сканировании целевых машин.
- nmap -f вызывает фрагментацию отправляемых пакетов сканирования.
- nmap -I запрашивать идентификацию
- nmap -R разрешить все адреса
- nmap -O идентификация ОС
- nmap -m сохранять журналы в виде пригодном для NLog
Sunday, January 25, 2009
Quick Note: nmap
Рецепты на каждый день: iptables - firewall
Тщательно очистите 3 цепочки
Поместите инструкцию "запретить все" в самое начало
И разрешите фрагментированным пакетам проходить через вашу сеть
Попытки подделатся под нашу сеть или затопить ее должны быть пресечены сразу же.
Пропускаем инициированный из внутренней сети соединения.
Пропускаем соединения инициированные изнутри.
Разрешаем некоторые порты для входящих соединений.
Разрешаем пользователям инициировать некоторые соединения изнутри
Разрешаем UDP для DNS.
Все таки разрешаем немного пинга
Устанавливаем журналирование для всех отброшенных пакетов
iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
Поместите инструкцию "запретить все" в самое начало
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -j DROP
И разрешите фрагментированным пакетам проходить через вашу сеть
iptables -A FORWARD -f -j ACCEPT
Попытки подделатся под нашу сеть или затопить ее должны быть пресечены сразу же.
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -j DROP
iptables -A FORWARD -p icmp -i eth0 -d 192.168.0.255 -j DENY
Пропускаем инициированный из внутренней сети соединения.
iptables -A FORWARD -p tcp -i eth0 -d 192.168.0.0/24 --dports www,smtp --tcp-flags SYN, ACK -j ACCEPT
Пропускаем соединения инициированные изнутри.
iptables -A FORWARD -m multiport -p tcp -i eth0 -d 192.168.0.0/24 --dport smtp --syn -j ACCEPT
Разрешаем некоторые порты для входящих соединений.
iptables -A FORWARD -m multiport -p tcp -i eth0 -d 192.168.0.0/24 --dport smtp --syn -j ACCEPT
Разрешаем пользователям инициировать некоторые соединения изнутри
iptables -A FORWARD -m multiport -p tcp -o eth0 -d 0.0.0.0 --dports www,smtp --syn -j ACCEPT
Разрешаем UDP для DNS.
iptables -A FORWARD -m multiport -p udp -i eth0 -d 192.168.0.0/24 --dports domain -j ACCEPT
iptables -A FORWARD -m multiport -p udp -i eth0 -s 192.168.0.0/24 --sports domain -j ACCEPT
iptables -A FORWARD -m multiport -p udp -i eth1 -d 0.0.0.0--dports domain -j ACCEPT
iptables -A FORWARD -m multiport -p udp -i eth0 -s 0.0.0.0 --sports domain -j ACCEPT
Все таки разрешаем немного пинга
iptables -A FORWARD -m multiport -p icmp -i eth0 -d 192.168.0.0/24 --dports 0, 3,11 -j ACCEPT
iptables -A FORWARD -m multiport -p icmp -i eth1 -d 0.0.0.0 --dports 8, 3,11 -j ACCEPT
Устанавливаем журналирование для всех отброшенных пакетов
iptables -A FORWARD -m tcp -p tcp -j LOG
iptables -A FORWARD -m udp -p udp -j LOG
iptables -A FORWARD -m udp -p icmp -j LOG
Subscribe to:
Posts (Atom)