nmap en deux mots
Souvent il est nécessaire (dans le cadre professionnel ou scolaire) de présenter un outil, un concept, le résultat d'une recherche, … brièvement, « en deux mots ».
Si la présentation doit se faire devant plusieurs personnes, il n'est pas ridicule de se munir de 3,4 slides contenant l'essentiel (to the point) de ce que l'on veut dire.
Ces slides ne contiennent que les idées que l'on veut présenter et sont un support à la présentation orale. Personnellement, j'aime les agrémenter de l'une ou l'autre image qui va marquer l'esprit [1] … ce que l'on n'a pas toujours le temps de faire … mais comme mes slides sont destinés à être réutilisés … je prend ce temps.
Comme proof of concept, voici les slides préparés avant de dire rapidement à mes étudiants ce qu'est nmap.
Rappel: l'idée n'est pas de donner un cours sur nmap ni même de présenter le soft dans le détail … simplement de dire ce que c'est et quel est l'usage de base … le reste sera éventuellement dit oralement … ou plus tard.
Commentaires
slide 2
- Quel est l'usage de nmap ?
- À quoi sert le programme ?
- Pourquoi fait-on un scan de ports ?
slide 3
- Comment faire un scan basique (faites-le) et quels sont les résultats obtenus ?
- Pourquoi voudrait-on ajuster le temps entre l'envoi des différents paquets ?
- Pourquoi la machine déciderait de ne pas répondre ?
slide 4
- Quel type de paquets j'envoie ?
- Pourquoi est-ce que je risque de me faire détecter par un IDS ?
slide 5
- Il existe différents types de scan … en fonction du protocole utilisé.
sT
, utilise un scan TCP connect par le biais d'un appel de faut niveau àconnect()
Ce scan est plus complet car il y a tentative de la part de nmap de compléter la connexion. C'est plus long et c'est loggué … donc (probablement) détecté par l'administrateur réseau.
On lui préfère un scan SYN
sS
, utilise un scan TCP SYN. Envoi d'un SYN et attente d'un SYN/ACK, port ouvert, d'un RESET, port fermé ou atteinte du timeout si le port est filtré.
C'est le scan par défaut car il fonctionne pour n'importe quel hôte (respectant TCP). Comme il ne termine pas les connexions TCP, il est rapide et discret.
sU
permet un scan UDP plutôt que TCP. Il peut être combiné à un scan TCP. Le scan UDP est plus lent mais permet de détecter des services tels que: DNS, SNMP ou DHCP.
sN sF sX
, utilisent un scan TCP en positionnant les flags FIN, PSH et URG de manière différente; aucun poursN
, le flag FIN poursF
et les trois poursX
. Ces scans (sont) étaient plus furtifs quesS
mais ils sont cependant détectés par les IDS récents. De plus, ils ne fonctionnent que pour les systèmes respectant la RFC, ce qui n'est pas le cas de Microsoft Windows et de certains équipements Cisco.
sA
, scan TCP ACK est utilisé pour tester le firewall, il ne dira pas si le port est ouvert ou fermé, seulement s'il est filtré.
sI <zombie host>
, technique avancée décrite sur le site de nmap permettant un scan furtif dont les paquets semblent envoyés de l'hôte relais.
Voilà, on sait maintenant ce que c'est nmap.
Sans être un expert, on a tout pour démarrer …
Liens
- Nmap
- Nmap, Idle scan.
- nmap in 5 slides chez Slideshare
Note
[1] Je pense avoir une mémoire visuelle et si j'entends plusieurs résumés / présentation / … je retiendrai plus facilement « celle avec les girafes » !