Movatterモバイル変換

100年後にまた会いましょうNmapの真実

自己紹介小河哲之Twitter：abendISOG-WG1Burp Suite Japan ユーザグループ

言いたい事100年後、Nmapにまた会いたい。

whyなぜ、その結論に至ったのか。その真実をご紹介します。

NmapNetwork Mapperの略。ポートスキャン、ホスト探索、セキュリティチェックを行うためのソフトウエア。オープンソース。

きっかけは1通のメッセージから始まった。

きっかけはSoftware DesignでNmapなど記事書いてみませんか？

きっかけはええっ！？オレ？？

きっかけはJuly Tech Festaで講演聞いたんですよ。

きっかけはhttp://www.slideshare.net/zaki4649/free-securitycheck

きっかけはそう、きっかけはJuly Tech Festaで登壇したから。

記事を書く初めて記事を書くことになった。

誰向け？対象読者はインフラエンジニア

記事を書くしかも、8ページも。1200文字×8ページ=9600文字

流れを考えてみたNmapがどんなもんか説明して、オプションいくつか説明して終わる。

なのでなんとかなるかと思い、二つ返事で受諾した。

まずはとりあえず、リファレンスを読み返してみた。

ウェーイ日本語のリファレンスって、嬉しいよね。

だが、しかしこれが、真実とは限らない。

Ping Scan-sP (Ping スキャン)って、Ping打つよね？

Ping ScanPingだけではなかった。

Ping Scan80/TCPへのアクセスもあるって。

だが、しかし真実は異なる。

見えてきたICMP、80/TCP、443/TCPへパケットを送る。

パケットの真実同セグメントの場合、ARPも送る。

リファレンスは語る-sPは以前のオプションで、今は-snオプション。

古いんだよ日本語のリファレンスには-snオプションの記載はない。

そう、真実は日本語のリファレンスより英語のリファレンス読め。

次の真実-Tオプションでタイミングの調整ができる。

設定値は-T0から-T5の6段階で制御可能。Nmapは-T3がデフォルト。

どんな制御？具体的にどのような調整がされるのだろうか。

ほぅ-T0だと5分に1回パケットを送る。-T1だと15秒、-T2は0.4秒に1回。

他にもいろいろある-T4は失敗時の再送回数6回、-T5は2回などなど・・・。

これだけ？-T0とかの再送回数は？

リファレンスでも英語のリファレンスにも書かれていない。

そう、真実はソースの中にしかない。

いろいろあったcase 'T':if (*optarg == '0' || (strcasecmp(optarg, "Paranoid") == 0)) {o.timing_level = 0;o.max_parallelism = 1;o.scan_delay = 300000;o.setInitialRttTimeout(300000);} else if (*optarg == '1' || (strcasecmp(optarg, "Sneaky") == 0)) {o.timing_level = 1;o.max_parallelism = 1;o.scan_delay = 15000;o.setInitialRttTimeout(15000);} else if (*optarg == '2' || (strcasecmp(optarg, "Polite") == 0)) {o.timing_level = 2;o.max_parallelism = 1;o.scan_delay = 400;} else if (*optarg == '3' || (strcasecmp(optarg, "Normal") == 0)) {} else if (*optarg == '4' || (strcasecmp(optarg, "Aggressive") == 0)) {o.timing_level = 4;o.setMinRttTimeout(100);o.setMaxRttTimeout(1250);o.setInitialRttTimeout(500);o.setMaxTCPScanDelay(10);o.setMaxSCTPScanDelay(10);o.setMaxRetransmissions(6);} else if (*optarg == '5' || (strcasecmp(optarg, "Insane") == 0)) {o.timing_level = 5;o.setMinRttTimeout(50);o.setMaxRttTimeout(300);o.setInitialRttTimeout(250);o.host_timeout = 900000;o.setMaxTCPScanDelay(5);o.setMaxSCTPScanDelay(5);o.setMaxRetransmissions(2);}

そう、真実は-T0は平行処理数は1で、遅延時間は5分に1回、再送回数は10回（抜粋）

そう、真実は-T1は平行処理数は1で、遅延時間は15秒、再送回数は10回（抜粋）

そう、真実は-T2は平行処理数は1で、遅延時間は0.4秒、再送回数は10回（抜粋）

そう、真実は-T3は平行処理数および遅延時間はネットワーク状況に応じて変動、再送回数は10回（抜粋）

そう、真実は-T4は平行処理数はネットワーク状況により変動、応答時間の最大タイムアウトは1250ミリ秒、遅延時間は10ミリ秒、再送回数は6回（抜粋）

そう、真実は-T5は平行処理数はネットワーク状況により変動、応答時間の最大タイムアウトは300ミリ秒、遅延時間は5ミリ秒、再送回数は2回（抜粋）

ではscan-delayは遅延時間を指定可能

というわけで--scan-delay 100ms で0.1秒間に1パケット

キャプチャしてみるTime

ふむ約0.1秒間に1パケット送っている。

ふむportscan servicescanTime

真実Service Scanは、0.1秒ではない。

真実ガンガン、パケット出している。

メールしたdev@nmap.orgにバグ報告した。

回答きたNmap「タイミングはtime.ccで実装しているんだよ。」

回答きたオレ「うん、そうっぽいね」

回答きたNmap「Service Scanはそれ実装していなかった。」

回答きたオレ「やっぱ！！」

回答きたNmap「次のプロジェクトで実装するよ。」

回答きたオレ「・・・。」

ソース読んでいたんです。他にバグがないか、ソース見てたんです。

Xmas ScanXmas Scanは、NmapだとFIN、PSH、URGのフラグ設定し投げる。

Xmas ScanRSTが帰ってくるかどうかでポートの状況を判断する。

由来色々なフラグがONになっているからXmasツリーがライトアップされているみたいだからだそう。

XでもXmas2016年のXmasは日曜日。

XでもXmasそんな日に、Nmapかけるんなら

XでもXmas-v（ Verbosオプション）をつけて。

Message from NmapNmapがこんなことを言ってくれる。

Merry ChristmasNmap wishes you a merry Christmas!Specify -sX for Xmas Scan(https://nmap.org/book/man-port-scanning-techniques.html).

よく見てXmasだからXmas Scanに何かを起こるわけではないが

Merry ChristmasチキンとケーキがなくてもNmapが祝ってくれる。

オレ、使ったことないけど。-sXも使ってあげて。活用できるか不明だけど。

XmasだけじゃないNmapが祝うのは、Xmasだけではない。

他にもある2016年9月1日に-vを付けて試してみよう。

2016/9/1Happy 19th Birthday to Nmap, may itlive to be 119!

2016/9/1Nmapは自分自身を祝う。

2116/9/1そして、100年後のNmapも。

Happy Birthday!!100年後、Nmapにまた会いたい。

宣伝オプションの説明とかはSoftwareDesignに紙面の許される限り記載しています（初心者向け）。

宣伝続きはSoftware Design5月号で。

Movatterモバイル変換

Change Language

Nmapの真実

Embed presentation

Recommended

More Related Content

What's hot

Viewers also liked

More from abend_cve_9999_0001

Nmapの真実