home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / nmap.guide.txt < prev    next >
Encoding:
Internet Message Format  |  1999-04-11  |  10.8 KB
  1. Date: Mon, 5 Apr 1999 16:50:23 -0700
  2. From: Lamont Granquist <lamontg@raven.genome.washington.edu>
  3. To: nmap-hackers@insecure.org
  4. Subject: NMAP guide
  5.  
  6.  
  7. NMAP has been getting a lot of review on what its capabilities are lately,
  8. so I thought I'd take a shot at it as well.  I skipped over a few things
  9. that I didn't think were really worth mentioning (you better be able to
  10. figure out -p and -F).
  11.  
  12. Comments more than welcome.
  13.  
  14. -------------------------------------------------------------
  15.  
  16. NMAP does three things.  First, it will ping a number of hosts to
  17. determine if they are alive or not.  Second, it will portscan hosts to
  18. determine what services are listening.  Third, it will attempt to
  19. determine the OS of hosts.
  20.  
  21. Of course NMAP is very configurable, and any of these steps may be
  22. omitted, (although portscanning is necessary in order to do an OS scan),
  23. and there are multiple ways to accomplish most of these, and many command
  24. line switches to tweak the way that NMAP operates.
  25.  
  26. Target Selection
  27.  
  28. You can specify NMAP targets both on the command line or give a list of
  29. targets in a filename with the -i option.  As the NMAP help documentation
  30. suggests you can use the hostname/mask method of specifying a range of
  31. hosts (cert.org/24 or 192.88.209.5/24) or you can give a explicit IP range
  32. (192.88.209.0-255).  The '24' in 'cert.org/24' is the number of bits in
  33. the mask, so /32 means "just that host", /24 means "the 256 addresses in
  34. that Class C", /16 means "the 65536 addresses in that Class B", /8 would
  35. be "the 2^24 addresses in that Class A" and /0 would scan all possible
  36. (IPv4) 2^32 IP addresses.
  37.  
  38. Ping Scans
  39.  
  40. The default behavior of NMAP is to do both an ICMP ping sweep (the usual
  41. kind of ping) and a TCP port 80 ACK ping sweep.  If an admin is logging
  42. these this will be fairly characteristic of NMAP.  This behavior can be
  43. changed in several ways.  The easiest way is, of course, to simply turn
  44. off ping sweeps with -P0.
  45.  
  46. If you want to do a standard ICMP ping sweep use -PI.  If you are trying
  47. to get through a firewall, though, ICMP pings will likely be blocked and
  48. using packet filtering ICMP pings can even be dropped at the host.  To get
  49. around this NMAP tries to do a TCP "ping" to see if a host is up.  By
  50. default it sends an ACK to port 80 and expects to see a RST from that port
  51. if the host is up.  To do only this scan and not the ICMP ping scan use
  52. -PT.  To specify a different port than port 80 to scan for specify it
  53. immediately afterwards, e.g. -PT32523 will ACK ping port 32523.  Picking a
  54. random high-numbered port in this way may work *much* better than the
  55. default NMAP behavior of ACK pinging port 80.  This is because many packet
  56. filter rules are setup to let through all packets to high numbered ports
  57. with the ACK bit set, but sites may filter port 80 on every machine other
  58. than their publically accessable webservers.  You can also do both an ICMP
  59. ping scan and an ACK scan to a high numbered port with, e.g. -PB32523.  
  60. However, if a site has a really, really intelligent firewall that
  61. recognizes that your ACK packet isn't part of an ongoing TCP connection it
  62. might be smart enough to block it.  For that reason, you may get better
  63. results with a TCP SYN sweep with -PS.  In this case, scanning a
  64. high-numbered port will probably not work, and instead you need to pick a
  65. port which is likely to get through a firewall. Port 80 is not a bad pick,
  66. but something like ssh (port 22) may be better.
  67.  
  68. So the first question to ask yourself is if you care about wasting time
  69. scanning machines which are not up and if you care about getting really
  70. complete coverage of the network?  If you don't care about wasting time
  71. and really want to hit all the machines on a network, then use -P0.  
  72. Pinging machines will only cause you to have more of a signature in any
  73. log files and will eliminate machines which might possibly be up.  Of
  74. course, you will waste time scanning all the IP numbers which aren't
  75. assigned.
  76.  
  77. If you do ping machines, an ICMP ping sweep is probably more likely to be
  78. missed or ignored by system administrators.  It doesn't look all that
  79. hostile. If you think you're up against a firewall you should experiment
  80. with which kinds of pings seem to get through it.  Do ICMP pings work at
  81. all?  Can you ping thier webserver?  If not, then don't bother with ICMP
  82. pings.  Can you ACK ping thier webserver?  If not, then you have to go
  83. with SYN pings.
  84.  
  85. What if all you want to do is a ping scan?  Then use -sP.
  86.  
  87. Port Scanning
  88.  
  89. The vanilla scan is a TCP connect() scan (-sT).  These are loggable.  You
  90. probably don't want to do these.
  91.  
  92. SYN scans (-sS) are the workhorse of scanning methods.  They are also
  93. called "half-open" scans because you simply send a SYN packet, look for
  94. the return SYN|ACK (open) or RST (closed) packet and then you tear down
  95. the connction before sending the ACK that would normally finish the TCP
  96. 3-way handshake. These scans don't depend on the characteristics of the
  97. target TCP stack and will work anytime a connect() scan would have worked.  
  98. They are also harder to detect -- TCP-wrappers or anything outside of the
  99. kernel shouldn't be able to pick up these scans -- packet filters like
  100. ipfwadm or a firewall can though.  If a box is being filtered NMAP's SYN
  101. scan will detect this and report ports which are being filtered.
  102.  
  103. FIN (-sF), NULL (-sN) and XMAS (-sX) scans are all similar.  They all rely
  104. on RFC-compliance and as such don't work against boxes like Win95/98/NT or
  105. IRIX.  They also work by getting either a RST back (closed port) or a
  106. dropped packet (open port).  Of course, the other situation where you
  107. might get back a dropped packet is if you've got a packet filter blocking
  108. access to that port.  In that case you will get back a ton of false open
  109. ports. A few years back these kinds of scans might have been stealthy and
  110. undetectable.  These days they probably aren't.
  111.  
  112. You can combine any of the SYN, FIN, NULL or XMAS scans with the (-f) flag
  113. to get a small fragment scan.  This splits the packet which is sent into
  114. two tiny frags which can sometimes get through firewalls and avoid
  115. detection.  Unfortunately, if you're not running a recent version of an
  116. open source O/S (Linux or Net/Open/FreeBSD) then you probably can't frag
  117. scan due to the implimenation of SOCK_RAW on most unixes (Solaris, SunOS,
  118. IRIX, etc).  See Fyodor's NMAP portability chart to see if -f is supported
  119. on your platform.
  120.  
  121. For the initiated out there, you could modify libpcap to allow you to send
  122. packets in addition to sniffing them by opening the packet capture device
  123. rw instead of ro.  Then you need to build a link-layer (probably ethernet)
  124. header and then you could impliment your own frag scanner.  For bonus
  125. points impliment all of the different SYN, FIN, NULL and XMAS scans *and*
  126. allow for sending the fragments out in reverse order (which helps for
  127. getting through firewalls).  This hasn't been done (yet) in NMAP due to
  128. the fact that NMAP needs to support multiple different link layer
  129. interfaces (not just ethernet) and needs code for dealing with ARP.  If
  130. anyone wants to code this up, I'm sure that people would appreciate it.
  131.  
  132. UDP scanning (-sU) in NMAP has the same problem as FIN scans in that
  133. packet filtered ports will turn up as being open ports.  It also runs
  134. extremely slowly against machines with UDP packet filters.
  135.  
  136. Another type of scan is the bounce scan (-b <ftp_relay_host>) which, if
  137. there is insufficient logging on the ftp host you're using to bounce, is
  138. completely untraceable.  Recent FTP servers shouldn't let you do these
  139. kinds of scans.
  140.  
  141. The last scanning option that I'm going to mention is identd scanning (-I)
  142. which only works with TCP connect scans (-sT).  This will let you know the
  143. owner of the daemon which is listening on the port.  Provided, of course,
  144. that the site is running identd and is not doing something intelligent
  145. like using a cryptographic hash (i.e. pidentd -C).  You *have* to make
  146. complete 3-way TCP handshakes for this to work, so this is not very
  147. stealthy.  It does, however, give you a lot of information.  It only works
  148. against machines that have port 113/auth open.
  149.  
  150. Source IP Deception
  151.  
  152. You can also take advantage of the fact that you can change your source
  153. address.  The simplest way to do this is with -S <ip>.  If you are on a
  154. broadcast ethernet segment you could change your source address to an IP
  155. which doesn't exist and then you simply sniff the network for the reply
  156. packets.  And if you are not on a leaf node/network then as long as the
  157. reply packet will get routed by you, you can use it.  To turn this on its
  158. head:  the next time you get scanned, do a traceroute on the machine that
  159. scanned you.  Any of the machines on any of the networks that those
  160. packets went through could have been the machine which was *really*
  161. scanning you.
  162.  
  163. The other deceptive measure is to use decoy scans.  You spoof a ton of
  164. scans originating from decoy machines and insert your IP in the middle of
  165. it somewhere.  The admin at the site you are scanning is presented with X
  166. number of scans and no way to determine which one actually did it.  For
  167. bonus points, combine this with the previous tactic and spoof an IP
  168. address which doesn't exist.  If you don't spoof your own IP address make
  169. sure to use "likely" decoys -- use machines which were connected to the
  170. net at the time you made your scans and don't use sites like
  171. www.microsoft.com.  Ideally you want a lot of linux boxes as decoys.  The
  172. more decoys the better, but obviously the slower the scan will go.
  173.  
  174. [ QUESTION: do decoy/spoof scans also decoy/spoof the ping scan?  can you
  175.   combine decoy scans and "ME" spoofing like this?  does a decoy/spoof scan
  176.   also decoy/spoof the OSscan? ]
  177.  
  178. OS scanning
  179.  
  180. This is the -O option.  To use it requires one open and one closed port.  
  181. The closed port is picked at random from a high-numbered port.  Machines
  182. which do packet filtering on high-numbered ports will cause problems with
  183. OS detection (many sites will filter packets to high numbered ports which
  184. don't have the ACK bit set).  Also excessive packet loss will cause
  185. problems with OS detection.  If you run into trouble try selecting an open
  186. port which isn't being served by inetd (e.g. ssh/22 or
  187. portmap/rpcbind/111).
  188.  
  189. OS scanning also reports the TCP sequence number prediction vulnerability
  190. of the system.  If you're 31337 you will be able to use this to exploit
  191. trust relationships between this machine and other machines.  There's a
  192. reasonably decent phrack article on this in phrack P48-14, but you should
  193. beware that it isn't this easy -- you need to worry about ARP (what's
  194. that?  how does it work?  i suggest familiarizing yourself with tcpdump)
  195. and if you're trying to exploit rsh/rlogin you need to worry about
  196. spoofing the authorization connection as well.
  197.  
  198.  
  199. -- 
  200. Lamont Granquist                       lamontg@genome.washington.edu
  201. Dept. of Molecular Biotechnology       (206)616-5735  fax: (206)685-7344
  202. Box 352145 / University of Washington / Seattle, WA 98195
  203. PGP pubkey: finger lamontg@raven.genome.washington.edu | pgp -fka
  204.  
  205.  
  206.