Ferramentas de detecção e NMAP

Esse artigo trata do conceito usado pelas ferramentas de detecção e faz um tour pelas principais funcionalidades do NMAP. Dentre elas podemos citar: varreduras de rede, identificação de portas abertas, identificação de sistema operacional, camunflagem de IP dentre outras.

[ Hits: 220.672 ]

Por: Bruno Lima Queiroz em 10/11/2004


Ferramentas de detecção



Esse artigo e voltado para explicação do que é o NMAP e de como instalá-lo e utiliza-lo. Antes disso é interessante passar o conceito de ferramentas de detecção, pois o NMAP é uma.

Ferramentas de detecção


As ferramentas de detecção nada mais são do que um sistema que analisa se um computador tem portas UDP ou TCP abertas, ele faz uma varredura pelas mais de 65000 portas existentes nesses protocolos.

A forma como essa detecção é feita varia de programa para programa e claro, da forma como cada um é utilizado. De uma forma geral, podemos falar que as ferramentas instaladas em uma máquina enviam pacotes para um servidor (ou uma máquina qualquer), direcionando esse pacotes para cada uma das portas existentes, quando ele recebe uma confirmação do pacote, isso significa que a porta X a qual foi encaminhada um pacote está ativa.

Esse é um modo bem simples de se ver o processo de detecção de portas. Com os avançados sistemas de firewall que existem hoje em dia esse procedimento não daria certo, pois eles são capazes de restringir acesso de redes externas, mas com o NMAP podemos camuflar (mudar) nosso IP e assim tentar confundir o firewall, mas isso será visto mais a frente.

Outra maneira de detecção usada pelas ferramentas é a do envio de pacotes especiais, esse pacotes são exclusivos para portas que estação fechadas. Ora, se uma porta não responder significa que a mesma está aberta. Essa é apenas uma noção que devemos ter sobre ferramentas de detecção.

    Próxima página

Páginas do artigo
   1. Ferramentas de detecção
   2. Obtendo o NMAP
   3. Opções do NMAP
   4. Enganando um firewall
   5. Examinado portas específicas
   6. Scaneando faixas de IPs
   7. Resumo
Outros artigos deste autor

Solução completa para Web Server usando Apache + SSL + MOD_JK + PHP + MySQL

Introdução ao Personal Firewall (PF)

Certificação Digital no Linux - Apache2

Instalação do Apache 2 no OpenSuSE 10.2

Integração Apache => Tomcat

Leitura recomendada

Single Honeypot

Quebrando a criptografia RSA

O Kerberos não é um cachorro de 3 cabeças!

Quebrando chave WEP - Wired Equivalent Privacy (parte 2)

Proxy reverso com ModSecurity no Debian Etch

  
Comentários
[1] Comentário enviado por naoexistemais em 10/11/2004 - 23:14h

Caro Bruno,

O artigo é bom, mas faltou alguns detalhes como identificar aplicações das portas com a opção -A

Veja o exemplo abaixo:

(The 1652 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
25/tcp open smtp qmail smtpd
53/tcp open domain?
80/tcp open http?
106/tcp open pop3pw Courierpassd pop3 password change daemon
110/tcp open pop3
143/tcp open imap?
993/tcp open ssl/unknown

Sendo que esse recurso esta disponivel para versões 3.5 do Nmap.

Falou,

[2] Comentário enviado por brunolimaq em 11/11/2004 - 04:44h

Obrigado, porém meu maior interesse acho que foi alcançado dando uma noção do NMAP, eu tinha noção dessa falta, incluse poderia ter ido amis afundo, mais como uma introdução a ferramenas de detecção, acho que fui feliz!!

De qualquer forma, muito Obrigado, porque são comentários como o seu que ajudam a mim e a muitos a melhorar a cada dia!!

[3] Comentário enviado por brunolimaq em 11/11/2004 - 04:46h

Obrigado, porém meu maior interesse acho que foi alcançado dando uma noção do NMAP, eu tinha noção dessa falta, incluse poderia ter ido amis afundo, mais como uma introdução a ferramenas de detecção, acho que fui feliz!!

De qualquer forma, muito Obrigado, porque são comentários como o seu que ajudam a mim e a muitos a melhorar a cada dia!!

Mais uma vez muito obrigado, agradeço por ter lido meu Artigo e me ajudado com seu comentário,

Grato,

Bruno Lima.
brunolimaq@terra.com.br

[4] Comentário enviado por thyarles em 11/11/2004 - 06:22h

Ae Bruno,

Ficou muito enxuto seu artigo cara. Excelente para quem quer ter uma noção rápida do nmap.

[]'s

[5] Comentário enviado por Nika em 11/11/2004 - 07:37h

Parabéns Menino!!!!!!!

[6] Comentário enviado por __FERNANDO__ em 11/11/2004 - 07:50h

Muito legal..

Mas só uma perguntinha... no Firewall (iptables) então não tem como bloquear o NMAP ? ... ou seja, já que tem como burlar não adianta colocar nenhuma regra que mesmo assim o NMAP fará um scan da máquina ?... ou sabe alguma regra que bloqueio no Iptables o NMAP ?

Obrigado,

Fernando.

[7] Comentário enviado por DALMO TAVARES em 11/11/2004 - 09:34h

Fala, BRUNÃO!

Gostei mano... Mandou ver, com vontade, heim?
Que tal aproveitar o manejo e escrever alguma coisa sobre REGRAS para BLOQUEIO... Acho que o Fernando está certíssimo.
Podemos contar com mais esse esclarecimento de sua parte?
Não se esqueça: BLOQUEIO DO NMAP NO IPTABLES...
É a nossa dica!
Um grande ABRAÇO... E parabéns!

DALMO ANTONIO TAVARES

[8] Comentário enviado por brunolimaq em 11/11/2004 - 09:57h

Bem, primeiro gostaria de reponder ao Fernado,

Fernando,

Gostei do seu questionamento, e muito interessante e questionador, normalmente poderia eu falar que não, o NMAP não pode ser detido, mais isso não e verdade, como você mesmo já respondeu, com algumas regras do Firewall podemos impedir o Scaneamento da máquina, também podemos bloquear portas mais comuns como de FTP, TELNET, SSH e outras, assim mesmo que ele consiga scanear será alguma porta sem muita utilidade e de difícil invasão, porém pretendo ainda essa semana mandar uma artigo sobre o mesmo para a avaliação e publicação!! Espero que em breve posso lhe esclarecer com mais detalhes esse assunto que é muito interessante e util!!!

Abraços e muito obrigado por comentar!!!

Bruno Lima.
brunolimaq@terra.com.br

[9] Comentário enviado por brunolimaq em 11/11/2004 - 09:58h

Agora Gostaria de responder a um grande Amigo!!!!

Tudo tio????

heheheheh

Valew pela força e já estou seguindo a sua dica e a do Fernando!!!!

Um novo artigo útil estarei publicando em breve!!!!!

Obrigado!!!!

Bruno Lima.
brunolimaq@terra.com.br

[10] Comentário enviado por y2h4ck em 11/11/2004 - 11:48h

Gostaria de comentar para esclarecer alguns Coments "absurdos" Então vamos por partes...

- "As ferramentas de detecção nada mais são do que um sistema que analisa se um computador tem portas UDP ou TCP abertas, ele faz uma varredura pelas mais de 65000 portas existentes nesses protocolos. "

NMAP não e uma ferramenta de detecção, e sim uma ferramenta de análise, uma ferramenta de detecção analise trafego.

- "normalmente poderia eu falar que não, o NMAP não pode ser detido,"

Existem diversas maneiras e tecnicas de EVASÃO com o nmap a qual nenhuma foi sitada ... porem um firewall equivalente a este a seguir da conta de bloquear um scan utilizando o nmap:

iptables -A FORWARD -m unclean -j DROP

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST ACK -m limit --limit 1/s -j ACCEPT

Creio que o artigo ficou extremamente simplificado levando em consideração a amplitude de opções que a ferramenta oferece.

Ate +

[11] Comentário enviado por brunolimaq em 11/11/2004 - 12:44h

Justamente alcançando o objetivo que lhe foi previamente oferecido!!!

Cuiado em determinadas declarações e explicações desnécessarias!!!

Grato,

Bruno Lima.

[12] Comentário enviado por fabio em 11/11/2004 - 13:52h

Fala Bruno,

Seu artigo ficou jóia cara. Muitas pessoas não entendem que determinados artigos são voltados para iniciantes e esperam sempre por um artigo super aprofundado em detalhes e opções avançadas, então é comum aparecer um "rabugento" reclamando disso de vez em quando, mas é normal :)

Parabéns pelo artigo!

Ah, não estou criticando os rabugentos, apenas dizendo que o VOL é grande o suficiente, temos lugar para todos. hehehe

[]'s

[13] Comentário enviado por brunolimaq em 12/11/2004 - 05:21h

Caro Fabio,


Muito Obrigado pelo comentário e pela força!!!!

Valews mesmo!!!

Grato,

Bruno Lima.
brunolimq@terra.com.br

[14] Comentário enviado por lacierdias em 12/11/2004 - 20:01h

mano mandou bem no artigo..

[15] Comentário enviado por __FERNANDO__ em 13/11/2004 - 12:47h

Valeu Bruno e obrigado pela atenção!

Fernando.

[16] Comentário enviado por matadore em 17/11/2004 - 18:10h

Fala Argentino,

Porra muleque tá ficando cranio heim, cara eu achei massa, so que eu não entendo porra nenhuma de linux, então vc falou grego pra mim, mas blz, e o Delphi, parou de estudar.... Vc pode estar melhor do que eu no Linux, mas no
Delphi eu quero ver.... (hehe) Ah me liga ai pra gente marca um frevo ai...

Um abraço
Rafael Taveira Costa

[17] Comentário enviado por periclesmendonca em 22/12/2004 - 14:02h

Falae Bruno (Argentino),

Beleza cara!!!
Po velho, ficou legal o seu artigo, eu ainda sou um iniciante em Linux então teve muitas horas ae que eu viagei um pouco, mas é assim mesmo, acontece...:)
Um dia eu vou chegar lá..ah e vallew pela indicação do site, gostei muito do VivaoLinux...acho que vou gostar daqui..
Um grande abraço e continue estudando que você rapidinho alcança seu objetivo...
Fallow!!
Júnior

[18] Comentário enviado por thorking em 14/07/2006 - 00:00h

mano realmente excelente, bem detalhado, vai ajudar bastante quem ta começando!

[19] Comentário enviado por Gilmar_GNU/Slack em 23/09/2006 - 10:40h

Uma coisinha : O Nmap pode fazer varreduras na rede em geral mostrando as portas abertas e mostrando o sistema e seu Anti-virus ?
Mandem a resposta por -email se puder ok..

[20] Comentário enviado por removido em 05/01/2007 - 21:54h

O artigo está muito bom, mas achei um erro no artigo.

nmap -sS 10.100.102.39 -D 10.100.102.113,200.192.35.6

A regra acima não camufla seu ip, ele enviará pacotes com seu ip e o outros endereços falsificados que você mesmo pode definir.

Essa regra o nmap somente enviará os pacotes com dois ip diferentes. Um ip vai ser o seu o outro vai ser o ip falso!

A flag "-D" pode enviar pacotes com mais de um ip falso se você preferir, deixando o IDS com mais dificuldade de saber a origem do escaneamento!

Com um sniffer você pode descobrir isso facilmente!

[21] Comentário enviado por clayton.ricardo em 12/09/2007 - 10:54h

Parabéns pelo artigo!

Dá uma boa base para iniciantes (como eu) buscarem mais informações a respeito do NMAP.

Vlw! =D

[22] Comentário enviado por kalib em 20/11/2007 - 16:36h

Show de bola bruno...
Excelente artigo esse seu...
Concordo com o Fabio e com outros sobre o fato de ser complicado abordar tudo aqui...
Até porque, como eu já disse outras vezes...acho uma missão quase impossível a de escrever um artigo sobre uma ferramenta como o nmap...porque? porque o mesmo possui inúmeras utilidades, possibilidades, combinações de parâmetros, etc, etc...Se fossemos abordar tudo do Nmap, ou pelo menos metade, poderíamos escrever uma apostila ou mesmo um livro.
Você teve a coragem de explicar algumas coisas e o fez muito bem. Muito obrigado pela contribuição. ;]

[23] Comentário enviado por removido em 30/09/2009 - 15:02h

O NMAP escuta apenas como GATEWAY ou pode ser como um server normal, apenas como escuta?

[24] Comentário enviado por trackynx em 28/05/2010 - 15:20h

para bloquear o NMAP basta instalar o PSAD > http://dev.segurancalinux.com/artigo/PSAD-(Linux)-detectar-e-bloquear-ataques-port-scan-em-tempo-rea...


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts