Syntaxe de base

# nmap [Scan Type] [Options] {Targets}

Scan Types

• -sF : FIN stealth scan
  • utilisé lorsque la cible se trouve derrière un firewall bloquant les paquets SYN
  • si le port est ouvert, il ne pourra pas renvoyer des paquets alors que si le port est fermé la cible renverra le paquet avec FIN.
• -sI : scan IDLF (nmap -sI zombie-host target-host)
  • scan anonyme
  • utilise un host intermédiaire pour réaliser les envois de paquets
  • le zombie-host va réaliser un spoofing d'adresse IP
• -sn : Probe only (découverte d'équipements, pas de scan de port)
• -sN : Réalise un TCP Null Scan pour essayer d'échapper à la détection des firewalls. Envoie des paquets sans flags définis (pas de SYN, FIN, RST, PSH, ACK ou URG), ce qui n'est pas standard et peut perturber les systèmes de détection d'intrusion. Permet de détecter comment le système cible réagit aux paquets malformés ou ambigüs.
• -sP : Ping scan (nmap -sP target)
  • s'utilise seulement pour déterminer si la target est active ou non
  • si la commande est lancée sans privilèges administrateur, le scan s'effectuera avec la commande connect()
• -sS : SYN scan (nmap -sS target)
  • pas de respect du full tcp handshake
  • pas d'utilisation de connect() donc pas de logs affectés sur la target si une erreur survient. Plus discret que la même recherche avec l'option -f
• -sT : TCP Connect scan (nmap -sT target)
  • 3 way handshake client -SYN-> host, host -SYN/ACK-> client, client -ACK-> host
  • utilisation de la fonction connect() pour établir une véritable connexion à la cible, comme le ferait un logiciel en client/serveur.
  • si le port est ouvert, alors connect() renvoie ok sinon unreachable
  • ne scanne que les ports en protocole TCP
• -sU : UDP scan (nmap -sU target)
  • Pas d'utilisation du paquet SYN
  • envoie une connexion UDP et attend la réponse
  • retourne ICMP_PORT_UNREACH si la connexion n'aboutit pas
• -sV : Version scan (nmap -sV target)

Options

Probing Options

• -Pn : No probe (suppose que tous les hosts sont up and running)
• -PB : Default Probe (80/tcp, 445 et ICMP)
• -Ps<liste de ports> : Liste de ports définis
• -PE : Utilisation de l'ICMP Echo Request
• -PP : Utilisation de l'ICMP Timestamp Request
• -PM : Utilisation de l'ICMP Network Request

Options d'aggrégation

• -T0 : Comportement Paranoïaque, très lent, utilisé pour l'évasion des IDS
• -T1 : Comportement Moins paranoïaque, lent, utilisé pour l'évasion des IDS
• -T2 : Comportement Poli, ralenti pour ne pas engorger la bande passante
• -T3 : Comportement Normal, par défaut, basé sur le taux de réponse des cibles
• -T4 : Comportement agressif, considère que vous êtes sur un réseau rapide et fiable. Peut engorger les cibles
• -T5 : Comportement Dément, va engorger les cibles et probablement rater des cibles

Options Diverses

• -n : Désactive le Reverse IP address lookups
• -6 : Utilisation de l'IPv6 seulement
• -A : Utilisation des fonctions suivantes : OS Detection, Version Detection, Script Scanning et Traceroute. Scan Agressif. A utiliser si le fait d'être découvert en train de sniffer n'est pas un critère (comme pour un audit de sécurité par exemple)
• -O : OS detection (nmap -O target ou bien nmap -Pn -O target). L'option --osscan-guess permet de tenter une détection plus fine de l'OS en cas d'incertitude
• --reason : Affichage de la raison pour laquelle nmap pense que le port est ouvert, fermé ou filtré
• --exclude {IP range ou adresses} : Permet d'exclure certains hosts d'une analyse

Targets

Format d'écriture des Targets

• IP v4 : 192.168.1.1 par exemple ou 192.168.1.1 192.168.1.5 192.168.1.42, des adresses IP séparées par des espaces
• IP v6 : AABB:CCDD::FF%eth0
• hostname : www.domaine.tld
• Range d'IP v4 : 192.168.1.0-255
• Subnet : 192.168.1.*
• CIDR : 192.168.1.0/24
• -iL <filename> : Fichier contenant les listes des cibles

Ports à analyser

• -F : scan des 100 ports les plus populaires
• -p<port start>-<port end> : scan d'un intervalle de ports
• -p<port1>, -p<port2> : scan des ports définis
• -pU:53,U:110,T20-445 : scan des ports UDP et TCP

Recherche de vulnérabilités

NMAP dispose d'un grand nombre de scripts permettant notamment de tester les vulnérabilités des équipements en cours d'analyse. Le script le plus simple est

nmap --script=vuln <target_ip>

Formats de sortie

• -oN : Format de sortie standard de Nmap
• -oG : Format de sortie compatible avec des outils genre grep
• -oX : Format de sortie XML

Exemples de requêtes

Scan IP v4 d'un seul hôte

# scan simple d'une adresse
nmap 192.168.1.1

# scan d'un serveur par son nom de domaine
nmap www.monserver.com

# scan verbeux
nmap -v www.monserver.com
            

Scan IP v4 d'une série de machines

nmap 192.168.1.1 192.168.1.2 192.168.1.3
nmap 192.168.1.1,2,3

# avec un range
nmap 192.168.1.1-10

# avec un wildcard
nmap 192.168.1.*

# scan d'une classe CIDR
nmap 192.168.1.0/24

# scan d'une liste d'IP
nmap -iL targets.txt

# scan du port 80 d'une target
namp -p80 192.168.1.1

# scan d'un range d'IP 192.168.1.0/24 avec exclusion
nmap 192.168.1.* --exclude 192.168.1.42