Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 4:

Сканеры портов

Вывод результатов Nmap

Nmap генерирует отчет, содержащий каждый обнаруженный IP-адрес, выявленные слушающие порты по этим адресам и соответствующие общеизвестные имена сервисов (при наличии таковых). Отчет также показывает, является ли порт открытым, фильтруемым или закрытым. Строго говоря, тот факт, что Nmap получил ответ из порта 80 и напечатал в отчете "http", еще не означает, что на компьютере запущен Web-сервер, хотя, скорее всего, это так. Всегда можно проверить любой подозрительный открытый порт, подключаясь с помощью telnet к нужному IP-адресу с указанием номера порта и анализируя полученный ответ. Если там выполняется web-сервер, то обычно получают ответ, вводя команду GET / HTTP. Должна быть выдана подразумеваемая домашняя страница в необработанном HTML-виде (а не как красивая Web-страница), что послужит подтверждением функционирования сервера. То же самое можно проделать с другими сервисами, такими как FTP и SMTP. Отметим, что в UNIX-версии Nmap кодирует цветом найденные порты в соответствии с их ролью (табл. 4.8).

Как можно видеть из рис. 4.3, формат вывода позволяет просмотреть отчет и быстро определить, есть ли какие-то сервисы или порты, о которых следует побеспокоиться. Это не означает, что нужно игнорировать все необычные номера, которые не выделены цветом или шрифтом (в версиях UNIX). Троянские программы и ПО для общения часто отображаются как неизвестные сервисы, но вы можете поискать таинственный порт в списке общеупотребительных портов в приложении С или проверить его по списку известных плохих портов, чтобы быстро определить, требует ли он особого внимания. Если его нет в списках, то странный сервис, не использующий общеизвестные номера портов, должен вас насторожить.

Таблица 4.8. Цветовое кодирование вывода Nmap
Цвет Описание
Красный Данный номер порта присвоен сервису, который предлагает некоторую форму прямого входа в систему (как, например, Telnet или FTP). Зачастую эти сервисы оказываются наиболее притягательными для хакеров
Голубой Этот номер порта представляет почтовый сервис, такой как SMTP или POP. Подобные сервисы также часто являются объектами хакерских атак
Жирный черный Эти сервисы могут предоставлять некоторую информацию о машине или операционной системе (как, например, finger, echo и т.д.)
Простой черный Любые другие идентифицированные сервисы или порты
Вывод Nmap

Рис. 4.3. Вывод Nmap

Журналы Nmap можно сохранять в различных форматах, включая обычный или машиночитаемый текст, и импортировать их в другую программу. Однако, если этих возможностей для вас недостаточно, то обсуждаемое далее средство Nlog может помочь придать смысл выводу Nmap. На очень больших сетях его использование может оказаться просто спасением, так как просмотр сотен страниц вывода Nmap в поисках злоумышленников может быстро сделать вас слепым, сумасшедшим или и тем, и другим.

Nlog: Средство сортировки и организации вывода Nmap

Nlog

Автор/основной контакт: H.D. Moore

Web-сайт: http://www.secureaustin.com/nlog/

Платформы: Большинство Linux-платформ

Лицензия: Без лицензии (подобно GPL)

Рассмотренная версия: 1.6.0

Программа Nlog помогает организовать и проанализировать вывод Nmap. Она представляет его в настраиваемом web-интерфейсе с использованием CGI-процедур. Nlog облегчает сортировку данных Nmap в единой базе данных с возможностью поиска. В больших сетях такая возможность жизненно важна, она делает Nmap действительно полезным. Остин Х.Д. Мур собрал эти программы воедино и сделал их доступными вместе с другими интересными проектами на своем web-сайте http://www.secureaustin.com.

Программа Nlog расширяема: можно добавлять другие процедуры, чтобы предоставлять больше информации и запускать дополнительные тесты на обнаруживаемых открытых портах. Автор предлагает несколько таких дополнений и инструкции по созданию новых. Nlog опирается на Perl и работает с файлами журналов, сгенерированных Nmap версии 2.0 и выше.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?

Гончик Цымжитов
Гончик Цымжитов
Россия, Санкт-Петербург
Александр Косенко
Александр Косенко
Украина, Днепропетровск