En vigtig metode til at identificere præcis, hvilke tjenester der kører på dit netværk, er at udføre en portscanning. Kørsel af en portscanning kan give dig et præcist overblik over angrebsoverfladen på din computer og netværk. I nogle tilfælde kan du opleve, at du har tjenester kørende, som du måske ikke havde forventet.
Transmission Control Protocol, eller TCP, er en standard, der tillader forbindelser mellem computere over et netværk. TCP bruger et tre-vejs håndtryk til at åbne en forbindelse, som derefter forbliver åben, indtil den enten timeout, eller forbindelsen lukkes. Dette betyder ikke, at forbindelsen altid sender data, det betyder bare, at begge parter gemmer forbindelsesdetaljerne og straks kan genoptage afsendelse og modtagelse af data.
Nmap er standardværktøjet til at udføre portscanning. Det er primært designet til at køre på Linux, men der er også Windows-versioner. En grafisk grænseflade er også tilgængelig, men kommandolinjebrugen er stadig standarden.
Sådan bruger du Nmap
For at teste, om du har Nmap installeret på en Linux-maskine, skal du køre kommandoen "nmap". Hvis du får en hjælpeside, så er den installeret og klar til at køre, hvis du får en fejl, der siger, at kommandoen "ikke blev fundet", skal du installere Nmap.
Hjælpesiden er meget tæt og viser en masse muligheder, der kan være forvirrende. Det grundlæggende, du skal bruge for at scanne TCP-porte, er relativt enkle. Den grundlæggende struktur, du har brug for, er "nmap [type af scanning] [indstillinger] {målspecifikation}".
Til scanning af TCP-porte skal du bruge en af to scanningstyper, TCP eller SYN. En TCP-scanning forsøger at oprette en fuld forbindelse til hver port, hvilket fuldfører trevejs-håndtrykket. En SYN-scanning misbruger protokollen en smule og sender aldrig den tredje besked i trevejshåndtrykket. SYN-scanninger er ofte mindre belastende for systemressourcer, da enheder ikke behøver at holde mange forbindelser åbne på én gang da forbindelserne aldrig er fuldt etableret, kører de også hurtigere end TCP-scanninger, men de skal bruge root tilladelser. En TCP-scanning er angivet med "-sT"-flaget, mens en SYN-scanning er angivet med "-sS".
Tip: Trevejshåndtrykket er måden en TCP-forbindelse initialiseres på, det involverer tre beskeder, "SYN, SYN-ACK og ACK" sendt fra klient til server, server til klient, derefter klient til server henholdsvis.
Sådan angives scanningsindstillinger
Indstillingssektionen er helt valgfri, men der er en række, der generelt kan være nyttige. Du kan aktivere mere detaljerede scanningsresultater ved at øge omfanget med "-v", du kan øge omfanget yderligere op til et tredje niveau med "-vvv". Du kan køre operativsystemdetektion, versionsdetektion, scriptscanning og traceroutes ved at bruge "-A"-flaget, selvom det vil tage en del længere tid at køre.
Du kan enten scanne IPv4- eller IPv6-adresser ad gangen, IPv4 er standard, hvis du vil scanne IPv6-adresser skal du bruge "-6"-flaget. Nogle gange vil Nmap køre en hurtig ping-scanning for at bestemme, hvilke hots der er oppe, hvis dette springer værter over, som du vil teste, kan du deaktivere det med "-Pn"-flaget. Hvis du angiver et stort område, kan det tage lang tid at scanne. "-T4"-flaget vil køre scanningen hurtigere og vil næppe gå glip af noget, det kan overvælde langsomme netværk eller enheder, da trafikoutputtet vil blive væsentligt øget.
Sådan angives IP-adresse og portintervaller
Som standard vil Nmap scanne de 1000 mest brugte porte, du kan manuelt indstille et portområde ved at bruge "-p" flaget og derefter angive et område uden mellemrum. Portområder kan specificeres gennem kommaseparerede værdier, bindestreger eller en kombination af de to. For eksempel vil flagene "-p22", "-p1-65535" og "-p21-25,80,139,8080" scanne port 22, alle porte mellem 1 og 65535 og porte 21 til 25, 80, 239, og 8080 hhv. Det er også muligt at angive flaget "–top-ports [nummer]" i stedet for at scanne top [antal] mest almindelige porte. Hvis du vil angive alle porte, kan du bruge stenografien "-p-".
Tip: Portnumre ligger mellem 0 og 65535, selvom 0 teknisk set ikke kan bruges.
Den sidste ting, du skal angive, er IP-adresserne på de enheder, du ønsker at teste. For at gøre det skal du blot angive alle de IP-adresser, du vil scanne, de skal adskilles med mellemrum og kan opføres individuelt, med bindestreger eller gennem CIDR-notation. For eksempel ville "191.168.0.1" scanne den enkelte IP-adresse, "192.168.0.1-5" ville scanne de fem IP-adresser mellem 102.168.0.1 og 192.168.0.5, endelig ville "192.168.0.1/24" scanne alle IP-adresser mellem 192.168.0.1 og 192.168.0.255.
Den overordnede kommando skulle ligne følgende eksempler: "nmap -sS -vvv -A -p- 127.0.0.1", "nmap -sS -v -p80,443,8080 192.168.0.1/24", "nmap -sS –topporte 10000 -6 ::1”
