コマンド_nmap

Linux
ブログ

ホストの指定

nmap 対象ホストのIPアドレスorホスト名 次のホスト 次のホスト ・・・・
nmap 192.168.0.2-200
nmap 192.168.0.0/24

ホストの発見

optionスキャン名説明
-sLリストスキャンホストが所属するネットワークすべてのホストの一覧。他のオプション不可。
ただし、DNSから一覧を取得している。ホストへはパケットを送らない。
-sPPingスキャンdefault「ICMPエコー」「TCP80番」
指定したホストのPingスイープ。動作中のホスト一覧を取得。
-Pnすべてのターゲットが接続可能とみなす。
-PS
[port list]
TCP SYN Pingdefault「TCP(SYNフラグON)」「TCP80番」
ターゲットが動作しているかどうかの判定。「RST」でも「SYN/ACK」でもopen
-PA
[port list]
TCP ACK Pingdefault「TCP(ACKフラグON」「TCP80番」
ターゲット動作中は「RST」が返ってくる。
-PU
[port list]
UDP Pingdefault「UDPパケット」「UDP31338番←普段使用しないポートを使用」
UDPパケット→ターゲット→ICMP到達不能メッセージ返送→ターゲットにアクセス可
-PO
[protocol list]
通常nmapはホストに対してPingを実行するが、Pingなどのホスト発見作業をしない。
ステルスPing機能があるホストは、Pingをしても返答がない。
ポートスキャンのみ実施。Pingではないため検索できる。
-nDNS解決をしない。
-R全ターゲットにDNS解決を行う。

スキャンタイプオプション

optionスキャン名説明
-sSTCP SYNスキャン
(TCPハーフスキャン)
ポート状態を「open」「closed」「filtered」に区別。
TCP SYN Pingと違い、「RST→closed」「SYN/ACK→open」となる。
-sTTCP connectスキャンTCPコネクションを確立。/var/log/secure等にログが残る。
-sUUDPスキャン
-sNTCP Nullスキャン「FIN」「PSH」「URG」フラグをOFF。
-sFTCP FINスキャン「FIN」フラグをON。
-sXX’masスキャン「FIN」「PSH」「URG」フラグをON。
返答 「RST」→closed 「応答なし」→open|filtered 「到達不能」→filtered
-sATCP ACKスキャン「ACK」フラグをON。
FWがステートフルかどうか、フィルタリングされているかどうかの判定。

ポート指定と順番のオプション

optionスキャン名説明
-p
[port ranges]
スキャンポートの指定「-p 1-200」「-p U:53,111,T:21-23,80」
-F高速スキャン「nmap-services」ファイルに記述されたポートのみスキャン。
-Iidentスキャンターゲットにidentdデータがあれば、所有者がわかることがある。

OS、バージョン検出

optiom説明1説明2
-OターゲットホストのOS検出-p ポート番号 -O ターゲットホスト 「-O 100.100.100.1-255」
-sVバージョン検出
-A-Oと-sVの合わせ技

その他

option説明1説明2
-v詳細情報を出力
-f-mtuIPパケットをフラグメント化することによりIDS検知をすり抜ける。
-mtuオプションで分割サイズ(MTUの値)を指定
-Dデコイデコイ(囮となるホスト)を使用してスキャンを隠蔽。
Nmap -sS 192.168.1.2 -D 192.168.1.6,192.168.200.2 -p21
-S
[IPアドレス]
ソースアドレスを偽装
nmap -e eth○(インターフェース) -S 偽装送信元IPアドレス 対象ホスト
-T0 Paranoid IDS回避用  各プローブに5分
1 Sneaky
2 Polite デフォルトスキャンの10倍の時間をかける
3 Nomal デフォルトスキャンのスピード
4 Aggressive スキャン処理の動的な遅延時間は10ミリ秒を超えないように
5 Insane スキャン処理の動的な遅延時間は5ミリ秒を超えないように
  nmap -T4 -A -v 192.168.0.2-100
–source-portソースポートを偽装
nmap –source-port 偽装ソースポート番号 対象ホスト
–spoof-macMACアドレスを偽装
nmap -sT –source-mac 偽装MACアドレス 対象ホスト

参考文献

コメント