<\/a> <\/h2>\nComo um novato executando uma repara\u00c3\u00a7\u00c3\u00a3o autom\u00c3\u00b3vel posso perder horas tentando usar minhas ferramentas rudimentares (martelo, fita adesiva, grifo, etc.) nas tarefas. Quando eu falho miseravelmente e reboco minha lata\u2212velha para um mec\u00c3\u00a2nico de verdade ele invariavelmente pesca aqui e ali em um enorme ba\u00c3\u00ba de ferramentas at\u00c3\u00a9 pegar a coisa perfeita que torna a tarefa numa brincadeira. A arte de rastrear(scaning) portas \u00c3\u00a9 similar. Os peritos entendem as dezenas de t\u00c3\u00a9cnicas de rastreio(scan) e escolhem as que s\u00c3\u00a3o apropriadas (ou uma combina\u00c3\u00a7\u00c3\u00a3o) para uma dada tarefa. Usu\u00c3\u00a1rios inexperientes e script kiddies, por outro lado, tentam resolver todos os problemas com o scan SYN default. Uma vez que o Nmap \u00c3\u00a9 gratuito a \u00c3\u00banica barreira para a mestria em rastreio(scaning) de portas \u00c3\u00a9 o conhecimento. Isso certamente \u00c3\u00a9 melhor que no mundo autom\u00c3\u00b3vel onde pode ser necess\u00c3\u00a1rio uma grande habilidade para determinar que precisa de um compressor de molas e ent\u00c3\u00a3o tem que pagar milhares de euros por um.<\/font><\/p>\nA maioria dos tipos de rastreio(scan) est\u00c3\u00a1 dispon\u00c3vel apenas para usu\u00c3\u00a1rios privilegiados. Isso acontece porque eles enviam e recebem pacotes em estado bruto(raw), o que requer acesso de root em sistemas Unix. Utilizar a conta de administrador no Windows \u00c3\u00a9 recomendado, embora o Nmap \u00c3\u00a0s v\u00c3\u00aazes funcione com usu\u00c3\u00a1rios sem privil\u00c3\u00a9gios nessa plataforma quando o WinPcap foi carregado no SO. Requerer privil\u00c3\u00a9gio de root era uma s\u00c3\u00a9ria limita\u00c3\u00a7\u00c3\u00a3o quando o Nmap foi lan\u00c3\u00a7ado em 1997, pois muitos usu\u00c3\u00a1rios apenas tinham acesso a contas de shell compartilhadas. Agora o mundo \u00c3\u00a9 diferente. Computadores est\u00c3\u00a3o mais baratos, muito mais pessoas tem acesso directo e permanente \u00c3\u00a0 Internet e computadores desktop Unix (incluindo Linux e MAC OS X) s\u00c3\u00a3o comuns. Uma vers\u00c3\u00a3o para o Windows do Nmap se encontra actualmente dispon\u00c3vel permitindo que se use em muito mais computadores desktop. Por todas essas raz\u00c3\u00b5es os usu\u00c3\u00a1rios t\u00c3\u00aam menos necessidade de executar o Nmap a partir de contas de shell compartilhadas e limitadas. Isso \u00c3\u00a9 muito bom pois as op\u00c3\u00a7\u00c3\u00b5es privilegiadas tornam o Nmap muito mais poderoso e flex\u00c3vel.<\/font><\/p>\nEmbora o Nmap tente produzir resultados precisos tenha em mente que todas as dedu\u00c3\u00a7\u00c3\u00b5es s\u00c3\u00a3o baseadas em pacotes devolvidos pelas m\u00c3\u00a1quinas\u2212alvo (ou firewalls na frente delas). Tais anfitri\u00c3\u00b5es(hosts) podem n\u00c3\u00a3o ser confi\u00c3\u00a1veis e enviar respostas com o prop\u00c3\u00b3sito de confundir ou enganar o Nmap. Muito mais comum s\u00c3\u00a3o os anfitri\u00c3\u00b5es(hosts) n\u00c3\u00a3o\u2212de\u2212acordo\u2212com\u2212a\u2212rfc que n\u00c3\u00a3o respondem como deveriam \u00c3\u00a0s sondagens do Nmap. As sondagens FIN, Null e Xmas s\u00c3\u00a3o particularmente suscet\u00c3veis a esse problema. Tais quest\u00c3\u00b5es s\u00c3\u00a3o espec\u00c3ficas de determinados tipos de scan e portanto s\u00c3\u00a3o discutidos nas entradas individuais de cada um dos tipos.<\/font><\/p>\nEsta se\u00c3\u00a7\u00c3\u00a3o documenta as dezenas de t\u00c3\u00a9cnicas de rastreio(scan) de portas suportadas pelo Nmap. Apenas um m\u00c3\u00a9todo pode ser utilizado de cada vezm excepto que um scan UDP (\u2212sU<\/b>) pode ser combinado com qualquer um dos tipos de scan TCP. Como uma ajuda para a mem\u00c3\u00b3ria as op\u00c3\u00a7\u00c3\u00b5es dos tipos de rastreio(scan) de portas est\u00c3\u00a3o no formato \u2212s<\/b>C<\/i>, onde C<\/i> \u00c3\u00a9 um caracter proeminente no nome do rastreio(scan), normalmente o primeiro. A \u00c3\u00banica excep\u00c3\u00a7\u00c3\u00a3o a essa regra \u00c3\u00a9 para o rastreio(scan) denominado FTP bounce (\u2212b<\/b>). Por default o Nmap executa um rastreio(scan) SYN, embora ele substitua por um rastreio(scan) Connect() se o usu\u00c3\u00a1rio n\u00c3\u00a3o tiver os privil\u00c3\u00a9gios adequados para enviar pacotes em estado bruto(raw) (requer acesso de root no UNIX) ou se alvos IPv6 forem especificados. Dos rastreios(scans) listados nesta sec\u00c3\u00a7\u00c3\u00a3o os usu\u00c3\u00a1rios n\u00c3\u00a3o privilegiados podem apenas executar os rastreios(scans) connect() e ftp bounce.<\/font><\/p>\n\u2212sS<\/b> (rastreio(scan) TCP SYN)<\/font><\/p>\nO rastreio(scan) SYN \u00c3\u00a9 a op\u00c3\u00a7\u00c3\u00a3o de rastreio(scan) default e a mais popular por boas raz\u00c3\u00b5es. Pode ser executada rapidamente fazendo o rastreio(scan) a milhares de portas por segundo em uma rede r\u00c3\u00a1pida, n\u00c3\u00a3o bloqueada por firewalls intrusivos. O rastreio(scan) SYN \u00c3\u00a9 relativamente n\u00c3\u00a3o\u2212obstrusivo e camuflado, uma vez que ele nunca completa uma conex\u00c3\u00a3o TCP. Ele tamb\u00c3\u00a9m trabalha contra qualquer pilha TCP padronizada ao inv\u00c3\u00a9s de depender de factores espec\u00c3ficos de plataformas como os rastreios(scans) Fin\/Null\/Xmas, Maimon e Idle fazem. Ele tamb\u00c3\u00a9m permite uma diferencia\u00c3\u00a7\u00c3\u00a3o limpa e confi\u00c3\u00a1vel entre os estados aberto (open), fechado (closed), e filtrado (filtered).<\/font><\/p>\nEsta t\u00c3\u00a9cnica \u00c3\u00a9 freq\u00c3\u00bcentemente chamada de rastreio(scan) de porta entreaberta (half\u2212open scanning), porque n\u00c3\u00a3o abre uma conex\u00c3\u00a3o TCP completamente. Voc\u00c3\u00aa envia um pacote SYN, como se fosse abrir uma conex\u00c3\u00a3o real e ent\u00c3\u00a3o espera uma resposta. Um SYN\/ACK indica que a porta est\u00c3\u00a1 ouvindo (aberta) enquanto um RST (reset) \u00c3\u00a9 indicativo de uma n\u00c3\u00a3o\u2212ouvinte. Se nenhuma resposta \u00c3\u00a9 recebida ap\u00c3\u00b3s diversas retransmiss\u00c3\u00b5es a porta \u00c3\u00a9 marcada como filtrada. A porta tamb\u00c3\u00a9m \u00c3\u00a9 marcada como filtrada se um erro ICMP de inalcan\u00c3\u00a7\u00c3\u00a1vel \u00c3\u00a9 recebido (tipo 3, c\u00c3\u00b3digo 1,2, 3, 9, 10, ou 13).<\/font><\/p>\n\u2212sT<\/b> (rastreio(scan) TCP connect())<\/font><\/p>\nO rastreio(scan) TCP Connect() \u00c3\u00a9 o rastreio(scan) default do TCP quando o rastreio(scan) SYN n\u00c3\u00a3o \u00c3\u00a9 uma op\u00c3\u00a7\u00c3\u00a3o. Esse \u00c3\u00a9 o caso quando o usu\u00c3\u00a1rio n\u00c3\u00a3o tem privil\u00c3\u00a9gios para criar pacotes em estado bruto(raw) ou rastrear redes IPv6. Ao inv\u00c3\u00a9s de criar pacotes em estado bruto(raw) como a maioria dos outros tipos de rastreio(scan) fazem, o Nmap pede ao sistema operativo para estabelecer uma conex\u00c3\u00a3o com a m\u00c3\u00a1quina e porta alvos enviando uma chamada de sistema connect(). Essa \u00c3\u00a9 a mesma chamada de alto n\u00c3vel que os navegadores da web, clientes P2P, e a maioria das outras aplica\u00c3\u00a7\u00c3\u00b5es para rede utilizam para estabelecer uma conex\u00c3\u00a3o. \u00c3 parte do interface de programa\u00c3\u00a7\u00c3\u00a3o conhecida como API de Sockets de Berkeley. Ao inv\u00c3\u00a9s de ler as respostas em pacotes em estado bruto(raw) directamente dos fios, o Nmap utiliza esta API para obter informa\u00c3\u00a7\u00c3\u00b5es do estado de cada tentativa de conex\u00c3\u00a3o.<\/font><\/p>\nQuando um rastreio(scan) SYN est\u00c3\u00a1 dispon\u00c3vel \u00c3\u00a9 normalmente a melhor escolha. O Nmap tem menos controle sobre a chamada de alto n\u00c3vel connect() do que sobre os pacotes em estado bruto(raw) tornando\u2212o menos eficiente. A chamada de sistema completa as conex\u00c3\u00b5es nas portas\u2212alvo abertas ao inv\u00c3\u00a9s de executar o reset de porta entreaberta que o rastreio(scan) SYN faz. Isso n\u00c3\u00a3o s\u00c3\u00b3 leva mais tempo e requer mais pacotes para obter a mesma informa\u00c3\u00a7\u00c3\u00a3o mas tamb\u00c3\u00a9m torna mais prov\u00c3\u00a1vel que as m\u00c3\u00a1quinas\u2212alvo registrem a conex\u00c3\u00a3o. Um sistema IDS decente ir\u00c3\u00a1 detectar qualquer um deles, mas a maioria das m\u00c3\u00a1quinas n\u00c3\u00a3o tem esse tipo de sistema de alarme. Muitos servi\u00c3\u00a7os na maioria dos sistema Unix ir\u00c3\u00a3o acrescentar uma nota na syslog e \u00c3\u00a0s v\u00c3\u00aazes uma mensagem de erro obscura, quando o Nmap se conecta e ent\u00c3\u00a3o fecha a conex\u00c3\u00a3o sem enviar nenhum dado. Servi\u00c3\u00a7os verdadeiramente pat\u00c3\u00a9ticos ir\u00c3\u00a3o travar quando isso acontecer embora isso seja incomum. Um administrador que v\u00c3\u00aa um punhado de tentativas de conex\u00c3\u00a3o nos registros vindos de um \u00c3\u00banico sistema deveria saber que foi rastreado(scanned) com connect.<\/font><\/p>\n\u2212sU<\/b> (rastreios(scans) UDP)<\/font><\/p>\nEmbora os servi\u00c3\u00a7os mais populares na Internet operem sobre o protocolo TCP, os servi\u00c3\u00a7os<\/font> UDP<\/font><\/b> [3]<\/font><\/small> s\u00c3\u00a3o amplamente difundidos. O DNS, o SNMP e o DHCP (registrados nas portas 53, 161\/162, e 67\/68) s\u00c3\u00a3o tr\u00c3\u00aas dos mais comuns. Pelo facto do rastreio(scan) UDP ser normalmente mais lento e mais dif\u00c3cil que o TCP alguns auditores de seguran\u00c3\u00a7a ignoram essas portas. Isso \u00c3\u00a9 um erro pois servi\u00c3\u00a7os UDP pass\u00c3veis de explora\u00c3\u00a7\u00c3\u00a3o s\u00c3\u00a3o bastante comuns e invasores certamente n\u00c3\u00a3o ignoram o protocolo inteiro. Felizmente o Nmap pode ajudar a inventariar as portas UDP.<\/font><\/p>\nO rastreio(scan) UDP \u00c3\u00a9 activado com a op\u00c3\u00a7\u00c3\u00a3o \u2212sU<\/b>. Ele pode ser combinado com um tipo de rastreio(scan) TCP como o rastreio(scan) SYN (\u2212sS<\/b>) para averiguar ambos protocolos na mesma execu\u00c3\u00a7\u00c3\u00a3o.<\/font><\/p>\nO SYN UDP funciona enviando um cabe\u00c3\u00a7alho UDP vazio (sem dados) para cada porta pretendida. Se um erro ICMP de porta inalcan\u00c3\u00a7\u00c3\u00a1vel (tipo 3, c\u00c3\u00b3digo 3) \u00c3\u00a9 retornado a porta est\u00c3\u00a1 fechada. Outros erros do tipo inalcan\u00c3\u00a7\u00c3\u00a1vel (tipo 3, c\u00c3\u00b3digos 1, 2, 9, 10, ou 13) marcam a porta como filtrada. Ocasionalmente um servi\u00c3\u00a7o ir\u00c3\u00a1 responder com um pacote UDP provando que est\u00c3\u00a1 aberta. Se nenhuma resposa \u00c3\u00a9 recebida ap\u00c3\u00b3s as retransmiss\u00c3\u00b5es a porta \u00c3\u00a9 classificada como aberta|filtrada. Isso significa que a porta poderia estar aberta ou talvez que filtros de pacotes estejam bloqueando a comunica\u00c3\u00a7\u00c3\u00a3o. Rastreios(scans) de vers\u00c3\u00b5es (\u2212sV<\/b>) podem ser utilizados para ajudar a diferenciar as portas verdadeiramente abertas das que est\u00c3\u00a3o filtradas.<\/font><\/p>\nUm grande desafio com o rastreio(scan) UDP \u00c3\u00a9 faz\u00c3\u00aa\u2212lo rapidamente. Portas abertas e filtradas raramente enviam alguma resposta, deixando o Nmap esgotar o tempo (time out) e ent\u00c3\u00a3o efectuar retransmiss\u00c3\u00b5es para o caso de a sondagem ou a resposta ter sido perdida. Portas fechadas s\u00c3\u00a3o normalmente um problema ainda maior. Elas costumam enviar de volta um erro ICMP de porta inalcan\u00c3\u00a7\u00c3\u00a1vel. Mas, ao contr\u00c3\u00a1rio dos pacotes RST enviados pelas portas TCP fechadas em resposta a um rastreio(scan) SYN ou Connect, muitos anfitri\u00c3\u00b5es(hosts) limitam a taxa de mensagens ICMP de porta inalcan\u00c3\u00a7\u00c3\u00a1vel por default. O Linux e o Solaris s\u00c3\u00a3o particularmente rigorosos quanto a isso. Por exemplo, o kernel 2.4.20 do Linux limita a quantidade de mensagens de destino inalcan\u00c3\u00a7\u00c3\u00a1vel a at\u00c3\u00a9 uma por segundo (no net\/ipv4\/icmp.c).<\/font><\/p>\nO Nmap detecta a limita\u00c3\u00a7\u00c3\u00a3o de taxa e diminui o ritmo de acordo para evitar inundar a rede com pacotes in\u00c3\u00bateis que a m\u00c3\u00a1quina\u2212alvo ir\u00c3\u00a1 descartar. Infelizmente, um limite como o do Linux de um pacote por segundo faz com que um rastreio(scan) de 65.536 portas leve mais de 18 horas. Id\u00c3\u00a9ias para acelerar o rastreio(scan) UDP incluem rastrear(scan) mais anfitri\u00c3\u00b5es(hosts) em paralelo, fazer um rastreio(scan) r\u00c3\u00a1pido apenas das portas mais comuns primeiro, rastrear(scan) por detr\u00c3\u00a1s de um firewall e utilizar \u2212\u2212host\u2212timeout<\/b> para saltar os anfitri\u00c3\u00b5es(hosts) lentos.<\/font><\/p>\n