【無料ツールで作るセキュアな環境（24）】〜Nmapの使用方法〜（執筆：office）

　前回に引き続き、ポートスキャナーであるNmap [1]について解説したい。
　前回ではWindows用のNmapとして、eEye Digital Security TeamのNmapNT [2]を紹介したが、その後Nmap開発母体のinsecure.orgに、eEye Digital Security Teamも協力して開発されているwindows用Nmapのβ版があることを教えていただいた[3]。

　Windows用Nmapは、Windows ME以外の、WinPcapが既にインストールしてある環境で安定して使えるようだ。現在最新バージョンは2.54β20であり、ダウンロードしてきたnmap-2.54BETA20-win32.zipを適当なディレクトリで解凍すると使えるようになる。またUnix版と同様なフロントエンド、NmapFE（バージョン0.2.54β18）が付属しており、GUIでNmapが操作できるので非常に便利である。

　さて、前回説明したように、Nmapの使用方法の基本形は

nmap [スキャンタイプ] [オプション] <サーバ（群）>

である。最初のスキャンタイプにはおよそ９タイプが選択可能である。このうち、-sT、-sPなどの一般的な通信手順のスキャンタイプは一般ユーザ権限で使用できるが、-sS、-sU、-sF、-sX、-sNといった特殊な通信手順を用いる場合はルート権限でしか使用できない。

　スキャンタイプ -sT は「スタンダード」を意味し、スキャンする各ポートに対して通常のTCPの通信コネクションを確立するか否かをチェックする。

　スキャンタイプ -sP を選択した場合は対象サーバに対してICMP エコーリクエストパケットだけを送り、該当サーバがネットに接続されているかだけをチェックすることができる。このスキャンタイプは多くの場合IPを範囲で指定するなどして複数のマシンについて調査したい場合に用いられる。

　-sU のスキャンタイプはUDPについてスキャンします。このスキャンは
Solarisのrcpbindというセキュリティホールや、Windows用トロイの木馬、Back Orificeなどを検出するのに使用できる。

　-sS のスキャンタイプはTCP SYN スキャンと呼ばれ、TCPコネクションは半開き状態の確立されていない状態になる。この半開き状態のコネクションまでしか確立してい場合、ログにその記録をしないシステムが多いため、相手サーバ管理者に気づかれないでスキャンすることを目的としてこのスキャンタイプは用いられる。

　さらに、-sF、-sX、-sNといったスキャンタイプはTCP SYN スキャンよりも発見されにくい、ステルススキャンと呼ばれるようなスキャン方法を行う場合に選択する。

　オプションの多くは、それら同時に指定することが可能であるが、-PB、-PT、-PI、-P0、-PSから複数同時に指定することはできない。スキャンを行う時、上記５つのオプションのいずれも選択しないデフォルト時および -PB を指定した場合は、TCP ACK パケットを用いたTCP Pingと、ICMPエコーリクエストを用いたICMP Ping（所謂Ping）をスキャンに併用している。-PTはICMP Pingを使わずTCP Pingだけ使う場合、-PIはICMPだけを使う場合、-P0はどちらのPingも使わずスキャンする場合に指定する。また -PT は -PT80 というようにポート指定ができ、この例はポート80の指定である。無指定の場合は -PT80 である。-PSはACK パケットではなく SYN を用いる方法である。

office
office@ukky.net
http://www.office.ac/

[1] http://www.insecure.org/nmap/
[2] http://www.eeye.com/html/Research/Tools/nmapNT.html
[3] http://www.insecure.org/nmap/dist/
[4] http://www.insecure.org/nmap/nmap-fingerprinting-article.html

詳しくはScan本誌をご覧下さい
http://www.vagabond.c2/scan/