ROOT ON FIRE » Nmap

Nmap 5.30 BETA1 released

Moritz TANZER — Tue, 30 Mar 2010 19:21:51 +0000

Zwei Monate nach der Veröffentlichung von Nmap 5.21 wurde gestern die Nmap Version 5.30BETA1 von Gordon “Fyodor” Lyon released. Die Installation funktioniert genauso wie bei der Version 5.00, siehe hier: NMAP 5.00 – Installation

Ein Auszug der neuen Features bzw. Änderungen:
- 37 neue offizielle NSE (Nmap Scripting Engine) Scripts (insgesammt 117)
- Nping Integration in einer Alpha Test Version
- neue Prüfsummen bzw. Payloads für verschiedene Service
- mehr als 100 weitere signifikante Veränderungen

Alle Änderungen findet man in der Nmap Hackers Mailing List
Weitere Informationen: nmap.org

Nmap 5.20 stable released

Moritz TANZER — Wed, 20 Jan 2010 19:32:32 +0000

Gordon “Fyodor” Lyon hat soeben das erste Stable Release 5.20 seit der Version 5.00 (Juli 2009) freigegeben.
Es wurden seit der Version 5.00 mehr als 150 signifikante Verbesserungen integriert:
- 31 neue NSE (Nmap Scripting Engine) Scripts (insgesammt 80)
- verbesserte Performance und weniger Speicherverbrauch
- Protokoll spezifische Payloads für effizientere UDP-Scans
- komplett überarbeitete Traceroute Engine
- Erweiterung der Betriebssystem- und Versionserkennung Datenbank (insg. mehr als 10.000 Signaturen)

Nmap 5.2 Installation unter Debian:

r-o-f:~# wget http://nmap.org/dist/nmap-5.20.tar.bz2
r-o-f:~# bzip2 -cd nmap-5.20.tar.bz2 | tar xvf -
...
r-o-f:~# cd ./nmap-5.20
r-o-f:~/nmap-5.20# ./configure
...
r-o-f:~/nmap-5.20# make
...
r-o-f:~/nmap-5.20# make install
...
NMAP SUCCESSFULLY INSTALLED
r-o-f:~/nmap-5.20# nmap --version

Nmap version 5.20 ( http://nmap.org )

Alle Änderungen und Verbesserungen findet man in der Nmap Hackers Mailingliste
Weitere Informationen: nmap.org
Übersicht NSE-Scripts: http://nmap.org/nsedoc/
Download: http://nmap.org/download.html

Nmap 5.0 – Windows Version

Moritz TANZER — Wed, 06 Jan 2010 13:15:21 +0000

Nmap 5.0 für Windows gibt es auf der offiziellen Nmap-Homepage im Dowload Bereich als ausführbare EXE. Mittels des Nmap Windows-Installer kann man direkt alle benötigten und optionalen Komponenten wie z.B.: WinPcap, Registry Veränderungen und Performance Tweaks, Zenmap (grafisches Frontend) installieren.
Nmap unterstützt alle Windows Versionen seit NT, inklusive 2000, XP, Vista, Windows 7 und die Server Varianten 2003 und 2008.
Bis auf den Connect-Scan (-sT) gibt es keine großen Geschwindigkeitsunterschiede zur Unix-Variante. Mit dem Registry-Schlüssel nmap_performance.reg kann die Connect-Scan Geschwindigkeit deutlich verbessert werden. Standardmäßig werden diese Registry Änderungen bereits durch den Installer vorgenommen. Händisch können die Änderungen aus einem Command Prompt mit folgendem Befehl vorgenommen werden: regedit32 nmap_performance.reg Dabei werden folgende DWORD-Werte gesetzt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
- MaxUserPort: 65534
- TCPTimedWaitDelay: 30
- StrictTimeWaitSeqCheck: 1

Der Installer erweitert automatisch die PATH Systemvariable um folgenden Eintrag: C:\Program Files\Nmap.
Dann muss man nicht den vollen Nmap-Pfad angeben, wenn man Nmap aus einem Command Prompt startet.

Folgende Einschränkungen gibt es zur Unix / Linux Variante:
- Man kann nicht einfach die Maschine (localhost, 127.0.0.1) von der Nmap ausgeführt wird scannen. Mann kann allerdings
einen TCP-Connect-Scan ohne Ping (-sT -PN) auf die lokale Maschine machen.
- Es werden nur Netzwerk Interfaces (inkl. 802.11 WLAN Karten und viele VPN Clients) bei Scans mit rohen TCP-Paketen
unterstützt. Einige VPN & RAS-Verbindungen werden nur dann unterstützt, wenn man einen TCP-Connect Scan ohne Ping
macht.

Intense Scan mit Zenmap:

Rechner Details:

Quelle: nmap.org

Nmap 5.1 BETA2 released – Weihnachtsgrüße von Nmap

Moritz TANZER — Fri, 25 Dec 2009 15:23:06 +0000

Gordon “Fyodor” Lyon hat gestern die Nmap Version 5.1 BETA2 freigegeben.

Ein Auszug der neuen Features bzw. Änderungen:
- 7 neue NSE-Scripts (insgesammt 79)
- Veränderter NSE-Script Output
- höhere Performance durch deutlich geringereren Speicherverbrauch
- Service-Detection: neue und aktuallisierte Fingerprints & Payloads
- Xmas-Scan: Weihnachtsgrüße im Verbose-Mode
- …

Weihnachtsgrüße von Nmap:

r-o-f:~# nmap -sX --verbose -p 80 scanme.nmap.org

Starting Nmap 5.10BETA2 ( http://nmap.org ) at 2009-12-25 16:08 CET
Nmap wishes you a merry Christmas! Specify -sX for Xmas Scan (http://nmap.org/book/man-port-scanning-techniques.html).
Initiating Ping Scan at 16:08
Scanning scanme.nmap.org (64.13.134.52) [4 ports]
Completed Ping Scan at 16:08, 0.20s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 16:08
Completed Parallel DNS resolution of 1 host. at 16:08, 6.51s elapsed
Initiating XMAS Scan at 16:08
Scanning scanme.nmap.org (64.13.134.52) [1 port]
Completed XMAS Scan at 16:08, 1.97s elapsed (1 total ports)
Nmap scan report for scanme.nmap.org (64.13.134.52)
Host is up (0.19s latency).
PORT STATE SERVICE
80/tcp open|filtered http

Read data files from: /usr/local/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 8.74 seconds
Raw packets sent: 6 (232B) | Rcvd: 1 (28B)

Alle Änderungen findet man in der Nmap Development Mailingliste
Weitere Informationen: nmap.org

Nmap 5.0 Howto – Teil 8: NSE Nmap Scripting Engine – praktische Beispiele

Moritz TANZER — Tue, 01 Dec 2009 21:48:45 +0000

Die folgenden Beispiele werden mit der aktuellen Nmap Version 5.0 durchgeführt.
Wie man Nmap 5.0 auf einem aktuellen Debian System installiert, habe ich hier erklärt.
Das Nmap Security Scanner Projekt und Insecure.org erlauben ausdrücklich, dass
man den Host scanme.nmap.org mit Nmap zu Testzwecken scannen darf.
Ich habe für die unten gezeigten Beispiele ausschließlich scanme.nmap.org und meine eigenen Rechner benutzt!

-sC (NSE Standard Scripts)

Nmap benutzt bei diesem Scan alle Scripts, die als default kategorisiert sind. Einige dieser Scripts sind sehr aufdringlich und können leicht von einem IDS leicht erkannt werden.
Eine Auflistung der unterschiedlichen Script Kategorien findet man hier: NSE Grundlagen
Alle Nmap-Scripts werden in der script.db Datenbank (/usr/local/share/nmap/scripts/script.db) indiziert und kategorisiert.

Alle Scripts, die u.a. als default klassifiziert sind:

r-o-f:~# cat /usr/local/share/nmap/scripts/script.db | grep default
Entry { filename = "auth-owners.nse", categories = { "default", "safe", } }
Entry { filename = "dns-recursion.nse", categories = { "default", "intrusive", } }
Entry { filename = "dns-zone-transfer.nse", categories = { "default", "discovery", "intrusive", } }
Entry { filename = "finger.nse", categories = { "default", "discovery", } }
Entry { filename = "ftp-anon.nse", categories = { "auth", "default", "safe", } }
Entry { filename = "ftp-bounce.nse", categories = { "default", "intrusive", } }
Entry { filename = "html-title.nse", categories = { "default", "discovery", "safe", } }
Entry { filename = "http-auth.nse", categories = { "auth", "default", "intrusive", } }
Entry { filename = "http-open-proxy.nse", categories = { "default", "discovery", "external", "intrusive", } }
Entry { filename = "imap-capabilities.nse", categories = { "default", } }
Entry { filename = "irc-info.nse", categories = { "default", "discovery", } }
Entry { filename = "ms-sql-info.nse", categories = { "default", "discovery", "intrusive", } }
Entry { filename = "mysql-info.nse", categories = { "default", "discovery", "safe", } }
Entry { filename = "nbstat.nse", categories = { "default", "discovery", "safe", } }
Entry { filename = "p2p-conficker.nse", categories = { "default", "safe", } }
Entry { filename = "pop3-capabilities.nse", categories = { "default", } }
Entry { filename = "realvnc-auth-bypass.nse", categories = { "default", "vuln", } }
Entry { filename = "robots.txt.nse", categories = { "default", "discovery", "safe", } }
Entry { filename = "rpcinfo.nse", categories = { "default", "discovery", "safe", } }
Entry { filename = "smb-os-discovery.nse", categories = { "default", "discovery", "safe", } }
Entry { filename = "smtp-commands.nse", categories = { "default", "discovery", "safe", } }
Entry { filename = "snmp-sysdescr.nse", categories = { "default", "discovery", "safe", } }
Entry { filename = "socks-open-proxy.nse", categories = { "default", "discovery", "external", "intrusive", } }
Entry { filename = "ssh-hostkey.nse", categories = { "default", "intrusive", "safe", } }
Entry { filename = "sshv1.nse", categories = { "default", "safe", } }
Entry { filename = "sslv2.nse", categories = { "default", "safe", } }
Entry { filename = "upnp-info.nse", categories = { "default", "safe", } }

Beispiel-Scan mit -sC

r-o-f:~# nmap -sC scanme.nmap.org

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-30 21:53 CET
Interesting ports on scanme.nmap.org (64.13.134.52):
Not shown: 994 filtered ports
PORT STATE SERVICE
25/tcp closed smtp
53/tcp open domain
70/tcp closed gopher
80/tcp open http
|_ html-title: Go ahead and ScanMe!
113/tcp closed auth
31337/tcp closed Elite

Nmap done: 1 IP address (1 host up) scanned in 21.39 seconds

–script (erweiterter Script-Scan)

Man kann Nmap mit –script entweder verschiedene Scriptkategorien, einzelne Scripts oder ganze Scripverzeichnisse übergeben. Mit –datadir kann ein alternatives Scriptverzeichnis definiert werden. Nmap verwendet alle Scripts mit .nse Endung. Individuellen Scripts die mit absoluten Pfad angegeben werden, müssen keine spezielle Endung haben.

Beispiele:

nmap --script intrusive,vuln,version

Nmap nimmt alle Scripts aus den Kategorien: intrusive, vuln, version

nmap --script "not safe"

Nmap verwendet alle Scripts außer die als safe kategorisierten.

nmap --script intrusive,mysql-info,/meine/tollen/scripts

Nmap benutzt die Scripts aus der Kategorie intrusive, das Standard-Script mysql-info.nse und alle Scripts mit .nse Endung aus dem Verzeichnis /meine/tollen/scripts

nmap --script all

Nmap benutzt alle verfügbaren Scripts, die in der script.db Datenbank indiziert sind.

Beispiel-Scan mit –script all

r-o-f:~# nmap --script all scanme.nmap.org

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-30 22:21 CET
Interesting ports on scanme.nmap.org (64.13.134.52):
Not shown: 995 filtered ports
PORT STATE SERVICE
25/tcp closed smtp
53/tcp open domain
80/tcp open http
|_ html-title: Go ahead and ScanMe!
113/tcp closed auth
31337/tcp closed Elite

Host script results:
| whois: Record found at whois.arin.net
| netrange: 64.13.134.0 - 64.13.134.63
| netname: NET-64-13-143-0-26
| orgname: Titan Networks
| orgid: INSEC
|_ country: US stateprov: CA
| asn-query:
| BGP: 64.13.128.0/18 | Country: US
| Origin AS: 8121 - TCH - TCH Network Services
|_ Peer AS: 1299 2516 3356 4565 4657 19080

Nmap done: 1 IP address (1 host up) scanned in 21.99 seconds

–script-trace

Nmap gibt die gesammte Kommunikation des Scripts aus. Diese Option dient hauptsächlich der Fehlersuche oder zum besseren Verständnis des Scans.

nmap -script html-title --script-trace -p 80 scanme.nmap.org

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-30 22:46 CET
NSOCK (0.6290s) nsock_loop() started (timeout=50ms). 0 events pending
NSOCK (0.6300s) TCP connection requested to 64.13.134.52:80 (IOD #1) EID 8
NSOCK (0.6310s) nsock_loop() started (timeout=50ms). 1 events pending
NSOCK (0.6820s) nsock_loop() started (timeout=50ms). 1 events pending
NSOCK (0.7340s) nsock_loop() started (timeout=50ms). 1 events pending
NSOCK (0.7860s) nsock_loop() started (timeout=50ms). 1 events pending
NSOCK (0.8270s) Callback: CONNECT SUCCESS for EID 8 [64.13.134.52:80]
NSE: TCP 192.168.178.7:43365 > 64.13.134.52:80 | CONNECT
NSOCK (0.8280s) nsock_loop() started (timeout=50ms). 0 events pending
NSE: TCP 192.168.178.7:43365 > 64.13.134.52:80 | 00000000: 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31 0d 0a GET / HTTP/1.1
00000010: 48 6f 73 74 3a 20 73 63 61 6e 6d 65 2e 6e 6d 61 Host: scanme.nma
00000020: 70 2e 6f 72 67 0d 0a 55 73 65 72 2d 41 67 65 6e p.org User-Agen
00000030: 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 t: Mozilla/5.0 (
00000040: 63 6f 6d 70 61 74 69 62 6c 65 3b 20 4e 6d 61 70 compatible; Nmap
00000050: 20 53 63 72 69 70 74 69 6e 67 20 45 6e 67 69 6e Scripting Engin
00000060: 65 3b 20 68 74 74 70 3a 2f 2f 6e 6d 61 70 2e 6f e; http://nmap.o
00000070: 72 67 2f 62 6f 6f 6b 2f 6e 73 65 2e 68 74 6d 6c rg/book/nse.html
00000080: 29 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 63 ) Connection: c
00000090: 6c 6f 73 65 0d 0a 0d 0a lose

NSOCK (0.8280s) Write request for 152 bytes to IOD #1 EID 19 [64.13.134.52:80]
NSOCK (0.8290s) nsock_loop() started (timeout=50ms). 1 events pending
NSOCK (0.8290s) Callback: WRITE SUCCESS for EID 19 [64.13.134.52:80]
NSOCK (0.8290s) nsock_loop() started (timeout=50ms). 0 events pending
NSOCK (0.8290s) Read request from IOD #1 [64.13.134.52:80] (timeout: 15000ms) EID 26
NSOCK (0.8300s) nsock_loop() started (timeout=50ms). 1 events pending
NSOCK (0.8840s) nsock_loop() started (timeout=50ms). 1 events pending
NSOCK (0.9340s) nsock_loop() started (timeout=50ms). 1 events pending
NSOCK (0.9870s) nsock_loop() started (timeout=50ms). 1 events pending
NSOCK (1.0280s) Callback: READ SUCCESS for EID 26 [64.13.134.52:80] (928 bytes)
NSE: TCP 192.168.178.7:43365 < 64.13.134.52:80 | HTTP/1.1 200 OK
Date: Mon, 30 Nov 2009 20:43:38 GMT
Server: Apache/2.2.3 (CentOS)
Accept-Ranges: bytes
Content-Length: 739
Connection: close
Content-Type: text/html; charset=UTF-8

Go ahead and ScanMe!

Hello, and welcome to Scanme.Nmap.Org, a service provided by the Nmap Security Scanner Project and Fyodor

NSOCK (1.0290s) nsock_loop() started (timeout=50ms). 0 events pending
NSOCK (1.0290s) Read request from IOD #1 [64.13.134.52:80] (timeout: 15000ms) EID 34
NSOCK (1.0290s) nsock_loop() started (timeout=50ms). 1 events pending
NSOCK (1.0290s) Callback: READ EOF for EID 34 [64.13.134.52:80]
NSOCK (1.0300s) nsock_loop() started (timeout=50ms). 0 events pending
NSE: TCP 192.168.178.7:43365 > 64.13.134.52:80 | CLOSE
Interesting ports on scanme.nmap.org (64.13.134.52):
PORT STATE SERVICE
80/tcp open http
|_ html-title: Go ahead and ScanMe!

Nmap done: 1 IP address (1 host up) scanned in 1.03 seconds

–script-updatedb
Wenn man neu NSE-Scripte in das script Verzeichnis kopiert, Scripts löscht oder verändert z.B. Kategorisierung sollte man die script.db Datenbank aktualisieren.
Diese Option wird ohne Argumente aufgerufen.

r-o-f:~# nmap --script-updatedb

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-30 22:42 CET
NSE: Updating rule database.
NSE script database updated successfully.
Nmap done: 0 IP addresses (0 hosts up) scanned in 0.33 seconds

Quelle: nmap.org

NSE-Script Datenbank: http://nmap.org/nsedoc/

Nmap 5.0 – Howto Teil 1: Ziele richtig definieren
Nmap 5.0 – Howto Teil 2: Host-Erkennung
Nmap 5.0 – Howto Teil 3: Port-Scans
Nmap 5.0 – Howto Teil 4: Dienst- und Versionserkennung
Nmap 5.0 – Howto Teil 5: Betriebssystem-Erkennung
Nmap 5.0 – Howto Teil 6: Debugging & ausführliche Ausgabe
Nmap 5.0 – Howto Teil 7: Nmap Scripting Engine (NSE) – Grundlagen

Nmap Grundlagen: Port-Zustände
Nmap Grundlagen: Nmap 5.0 Installation

Nmap 5.0 – Howto Teil 7: Nmap Scripting Engine (NSE) – Grundlagen

Moritz TANZER — Sat, 28 Nov 2009 15:02:41 +0000

Nmap liefert in der Version 5.00 bereits 58 fertige NSE-Scripts mit (Version 5.1b -> 72 Scripts). Man kann aber auch eigene Scan-Scripts in der Programmiersprache Lua schreiben. Die Standard-Scripts werden in acht verschiedene Kategorien unterteilt.
Man kann die Scripts nach Kategorie oder einzeln an Nmap übergeben.
Die Standardscripts findet man unter: /usr/local/share/nmap/scripts

Script Kategorien

auth: Diese Scripts versuchen die Autentifizierungs und Login Daten auf dem Zielsystem zu bestimmen, oft wird dies über eine Brute-Force-Attacke gemacht. z.B. http-auth, ftp-anon

default: Diese Scripts werden standardmäßig verwendet, wenn Nmap mit den Parametern -sC oder -A aufgerufen wird. Bei der automatischen Auswahl der zu verwendenden Scripts werden folgende Kategorien von Nmap berücksichtigt: Geschwindigkeit, Zweckmäßigkeit, Wortfülle, Ausfallsicherheit, Aufdringlichkeit, Heimlichkeit. Weitere Informationen zu den einzelnen Kategorien: hier

discovery:
Diese Scripts versuchen weitere Informationen über das Netzwerk zu finden.

intrusive:
Bei diesen Scripts ist die Wahrscheinlichkeit sehr hoch, dass das Zielsystem abstürzen kann oder z.B. die CPU-Auslastung extrem hoch geht. Die Erkennungswahrscheinlichkeit bei diesen Scans ist dadurch sehr hoch. z.B.: http-open-proxy, snmp-brute

malware:
Diese Scripts testen, ob das Zielsystem mit Malware oder Backdoors verseucht ist. z.B. smtp-strangeport

safe:
Diese Scripts sollten weder viel Netzwerkverkehr verursachen noch irgendwelche Dienste bzw. Hosts abstürzen lassen. Die meißten Scripts dieser Kategorie erkunden hauptsächlich das Netzwerk. Die Erkennungswahrscheinlichkeit ist gering z.B. ssh-hostkey, html-title

version:
Diese Scripts sind als Erweiterung zur Versionserkennung gedacht und werden automatisch von Nmap benutzt, wenn der Parameter -sV (Versions Erkennung) gesetzt ist z.B. skype-version, ppt-version

vuln:
Diese Scripts überprüfen bekannte Schwachstellen von Diensten und geben nur ein Ergebnis aus, wenn diese auch gefunden werden z.B. realvnc-auth-bypass, xampp-default-auth

Script Aufbau

Standardmäßig haben die Nmap-Scripts zwei bis fünf Bereiche, die der Beschreibung und Kategorisierung dienen: description Field, categories Field, author Field, license Field, runlevel Field. Detailierte Informationen findet man auf der offiziellen Nmap Seite: http://nmap.org/book/nse-script-format.html

Quelle: nmap.org

Nmap Grundlagen: Port-Zustände
Nmap Grundlagen: Nmap 5.0 Installation

Nmap 5.0 – Howto Teil 6: Debugging & ausführliche Ausgabe

Moritz TANZER — Wed, 25 Nov 2009 12:45:58 +0000

Nmap bietet zur Fehlersuche verschiedene Debugging Möglichkeiten. Dies ist oft hilfreich wenn man die Ausgabe eines Scans nicht nachvollziehen kann oder wenn man gerne mehr über Nmap und wie es arbeitet erfahren will. Um die unterschiedliche Komplexität darzustellen habe ich zu jeder Ausgabenstufe ein Beispiel angehängt.

Zum Vergleich die Ausgabe eines Standard-Scans ohne weitere Optionen:

r-o-f:~# nmap scanme.nmap.org

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-24 20:20 CET
Interesting ports on scanme.nmap.org (64.13.134.52):
Not shown: 994 filtered ports
PORT STATE SERVICE
25/tcp closed smtp
53/tcp open domain
70/tcp closed gopher
80/tcp open http
113/tcp closed auth
31337/tcp closed Elite

Nmap done: 1 IP address (1 host up) scanned in 30.36 seconds

-v (Ausführliche Ausgabe)
Nmap gibt mit diesem Parameter mehr Informationen über den laufenden Scan aus. Bereits während des Scans, gibt Nmap Informationen zu offenen Ports und der geschätzten Restdauer des Scans aus. Zusätzlich erhält man am Ende noch die Information, wieviele Pakete verschickt bzw. empfangen wurden und welche Datenmenge dabei transferiert wurde. Man kann den Parameter auch zweimal oder öfters angeben, um noch mehr Informationen zum laufenden Scan zu bekommen.

r-o-f:~# nmap -v scanme.nmap.org

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-24 20:32 CET
NSE: Loaded 0 scripts for scanning.
Initiating Ping Scan at 20:32
Scanning 64.13.134.52 [4 ports]
Completed Ping Scan at 20:32, 0.21s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 20:32
Completed Parallel DNS resolution of 1 host. at 20:32, 0.00s elapsed
Initiating SYN Stealth Scan at 20:32
Scanning scanme.nmap.org (64.13.134.52) [1000 ports]
Discovered open port 80/tcp on 64.13.134.52
Discovered open port 53/tcp on 64.13.134.52
Completed SYN Stealth Scan at 20:33, 29.41s elapsed (1000 total ports)
Host scanme.nmap.org (64.13.134.52) is up (0.20s latency).
Interesting ports on scanme.nmap.org (64.13.134.52):
Not shown: 994 filtered ports
PORT STATE SERVICE
25/tcp closed smtp
53/tcp open domain
70/tcp closed gopher
80/tcp open http
113/tcp closed auth
31337/tcp closed Elite

Read data files from: /usr/local/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 29.83 seconds
Raw packets sent: 3008 (132.328KB) | Rcvd: 19 (756B)

-d [Debugging-Level 1 - 9] (verschiedene Debugging Stufen)

Die Option -d[1-9] liefert je nach Stufe deutlich mehr Informationen als die ausführliche Ausgabe (-v).
Zum Vergleich, habe ich einen einfachen Nmap Scan auf mit allen verfügbaren Stufen druchgeführt:

Aufruf	Zeilen	Wörter
nmap scanme.nmap.org	13	53
nmap -d1 scanme.nmap.org	47	350
nmap -d2 scanme.nmap.org	2057	10483
nmap -d3 scanme.nmap.org	5753	53834
nmap -d4 scanme.nmap.org	11236	108477
nmap -d5 scanme.nmap.org	7989	76304
nmap -d6 scanme.nmap.org	6335	56851
nmap -d7 scanme.nmap.org	6500	58457
nmap -d8 scanme.nmap.org	6030	54579
nmap -d9scanme.nmap.org	9147	85599

r-o-f:~# nmap -d1 scanme.nmap.org

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-24 20:42 CET
PORTS: Using top 1000 ports found open (TCP:1000, UDP:0, SCTP:0)
--------------- Timing report ---------------
hostgroups: min 1, max 100000
rtt-timeouts: init 1000, min 100, max 10000
max-scan-delay: TCP 1000, UDP 1000, SCTP 1000
parallelism: min 0, max 0
max-retries: 10, host-timeout: 0
min-rate: 0, max-rate: 0
---------------------------------------------
NSE: Loaded 0 scripts for scanning.
Initiating Ping Scan at 20:42
Scanning 64.13.134.52 [4 ports]
Packet capture filter (device eth0): dst host 192.168.178.7 and (icmp or ((tcp or udp or sctp) and (src host 64.13.134.52)))
We got a ping packet back from 64.13.134.52: id = 12871 seq = 0 checksum = 52664
Completed Ping Scan at 20:42, 0.20s elapsed (1 total hosts)
Overall sending rates: 19.48 packets / s, 740.22 bytes / s.
mass_rdns: Using DNS server 192.168.178.2
Initiating Parallel DNS resolution of 1 host. at 20:42
mass_rdns: 0.00s 0/1 [#: 1, OK: 0, NX: 0, DR: 0, SF: 0, TR: 1]
Completed Parallel DNS resolution of 1 host. at 20:42, 0.00s elapsed
DNS resolution of 1 IPs took 0.01s. Mode: Async [#: 1, OK: 1, NX: 0, DR: 0, SF: 0, TR: 1, CN: 0]
Initiating SYN Stealth Scan at 20:42
Scanning scanme.nmap.org (64.13.134.52) [1000 ports]
Packet capture filter (device eth0): dst host 192.168.178.7 and (icmp or ((tcp or udp or sctp) and (src host 64.13.134.52)))
Discovered open port 80/tcp on 64.13.134.52
Discovered open port 53/tcp on 64.13.134.52
Completed SYN Stealth Scan at 20:43, 19.23s elapsed (1000 total ports)
Overall sending rates: 104.25 packets / s, 4586.81 bytes / s.
Host scanme.nmap.org (64.13.134.52) is up, received echo-reply (0.20s latency).
Scanned at 2009-11-24 20:42:53 CET for 19s
Interesting ports on scanme.nmap.org (64.13.134.52):
Not shown: 995 filtered ports
Reason: 995 no-responses
PORT STATE SERVICE REASON
25/tcp closed smtp reset
53/tcp open domain syn-ack
70/tcp closed gopher reset
80/tcp open http syn-ack
113/tcp closed auth reset
Final times for host: srtt: 199135 rttvar: 12541 to: 249299

Read from /usr/local/share/nmap: nmap-services.
Nmap done: 1 IP address (1 host up) scanned in 19.65 seconds
Raw packets sent: 2009 (88.372KB) | Rcvd: 13 (516B)

–reason (Grund für Port- oder Hostzustand)

Nmap gibt einen Grund für eine Zustandsbeurteilung eines Ports bzw. Hosts an. Es wird die Paketart angezeigt, die Nmap von dem Host oder Port als Antwort bekommen hat. Je nach Scan-Typ ist die Ausgabe mehr oder weniger detailliert, z.B. SYN- und SYN-Ping-Scans liefern sehr detaillierte Ergebnisse. Die Debug-Option aktiviert diesen Parameter automatisch mit.

r-o-f:~# nmap --reason scname.nmap.org

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-24 22:01 CET
Interesting ports on nmap.org (64.13.134.48):
Not shown: 995 filtered ports
Reason: 995 no-responses
PORT STATE SERVICE REASON
25/tcp closed smtp reset
70/tcp closed gopher reset
80/tcp open http syn-ack
113/tcp closed auth reset
31337/tcp closed Elite reset

Nmap done: 1 IP address (1 host up) scanned in 20.48 seconds

–stats-every (alle x Sekunden Status ausgeben)
Mit dieser Option kann man Nmap z.B. alle x Sekunden eine Status Meldung zum aktuellen Scan und eine geschätze Restlaufzeit ausgeben lassen.

r-o-f:~# nmap --stats-every 2s scanme.nmap.org

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-24 22:05 CET
Stats: 0:00:02 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 0.95% done
Stats: 0:00:04 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 8.55% done; ETC: 22:05 (0:00:32 remaining)
Stats: 0:00:06 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 28.90% done; ETC: 22:05 (0:00:12 remaining)
Stats: 0:00:08 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 48.10% done; ETC: 22:05 (0:00:08 remaining)
Stats: 0:00:10 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 53.20% done; ETC: 22:05 (0:00:08 remaining)
Stats: 0:00:12 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 68.80% done; ETC: 22:05 (0:00:05 remaining)
Stats: 0:00:14 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 85.35% done; ETC: 22:05 (0:00:02 remaining)
Stats: 0:00:16 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 93.40% done; ETC: 22:05 (0:00:01 remaining)
Stats: 0:00:18 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 96.50% done; ETC: 22:05 (0:00:01 remaining)
Interesting ports on scanme.nmap.org (64.13.134.52):
Not shown: 994 filtered ports
PORT STATE SERVICE
25/tcp closed smtp
53/tcp open domain
70/tcp closed gopher
80/tcp open http
113/tcp closed auth
31337/tcp closed Elite

Nmap done: 1 IP address (1 host up) scanned in 19.97 seconds

–packet-trace (Pakete mitverfolgen)
Ermöglicht eine genau Paket- und Datenverfolgung bzw. Analyse der von Nmap gesendeten und empfangenen Pakete. Dient in erster Linie zur Fehlersuche.

r-o-f:~# nmap --packet-trace -p 80 scanme.nmap.org

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-24 22:10 CET
SENT (0.1900s) ICMP 192.168.178.7 > 64.13.134.52 echo request (type=8/code=0) ttl=41 id=7268 iplen=28
SENT (0.1910s) TCP 192.168.178.7:37434 > 64.13.134.52:443 S ttl=48 id=60502 iplen=44 seq=4230340190 win=1024
SENT (0.1920s) TCP 192.168.178.7:37434 > 64.13.134.52:80 A ttl=41 id=55745 iplen=40 seq=4230340190 win=2048 ack=3150697107
SENT (0.1930s) ICMP 192.168.178.7 > 64.13.134.52 Timestamp request (type=13/code=0) ttl=51 id=40393 iplen=40
RCVD (0.3810s) ICMP 64.13.134.52 > 192.168.178.7 echo reply (type=0/code=0) ttl=52 id=13566 iplen=28
NSOCK (0.3840s) UDP connection requested to 192.168.178.2:53 (IOD #1) EID 8
NSOCK (0.3840s) Read request from IOD #1 [192.168.178.2:53] (timeout: -1ms) EID 18
NSOCK (0.3840s) Write request for 43 bytes to IOD #1 EID 27 [192.168.178.2:53]: .............52.134.13.64.in-addr.arpa.....
NSOCK (0.3860s) nsock_loop() started (timeout=500ms). 3 events pending
NSOCK (0.3870s) Callback: CONNECT SUCCESS for EID 8 [192.168.178.2:53]
NSOCK (0.3870s) Callback: WRITE SUCCESS for EID 27 [192.168.178.2:53]
NSOCK (0.3890s) Callback: READ SUCCESS for EID 18 [192.168.178.2:53] (184 bytes)
NSOCK (0.3890s) Read request from IOD #1 [192.168.178.2:53] (timeout: -1ms) EID 34
SENT (0.3920s) TCP 192.168.178.7:37434 > 64.13.134.52:80 S ttl=59 id=35157 iplen=44 seq=2763183854 win=4096
RCVD (0.5970s) TCP 64.13.134.52:80 > 192.168.178.7:37434 SA ttl=52 id=0 iplen=44 seq=3727728905 win=5840 ack=2763183855
Interesting ports on scanme.nmap.org (64.13.134.52):
PORT STATE SERVICE
80/tcp open http

Nmap done: 1 IP address (1 host up) scanned in 0.60 seconds

–open (nur offene Ports ausgeben)
Nmap gibt hier nur die als offen, offen|gefiltert und ungefiltert markierten Ports aus, geschlossene und gefilterte Ports werden nicht angezeigt

r-o-f:~# nmap -open scanme.nmap.org

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-24 22:14 CET
Interesting ports on scanme.nmap.org (64.13.134.52):
Not shown: 994 filtered ports, 4 closed ports
PORT STATE SERVICE
53/tcp open domain
80/tcp open http

Nmap done: 1 IP address (1 host up) scanned in 41.52 seconds

Quelle: nmap.org

Nmap Grundlagen: Port-Zustände
Nmap Grundlagen: Nmap 5.0 Installation

Nmap 5.1 beta released

Moritz TANZER — Tue, 24 Nov 2009 17:29:31 +0000

Fünf Monate nach der Veröffentlichung von Nmap 5.0 wurde jetzt die Nmap Version 5.1 BETA A1 von Gordon “Fyodor” Lyon released. Die Installation funktioniert genauso wie bei der Version 5.00, siehe hier: NMAP 5.00 – Installation

Ein Auszug der neuen Features bzw. Änderungen:
- 14 neue offizielle NSE (Nmap Scripting Engine) Scripts (insgesammt 72)
- Neues Traceroute System: schneller und effizienter
- Host-Filter für Zenmap: Sortierung nach bestimmtem Host-Typ z.B. Apache Server
- UDP-Scans und Host-Erkennung effektiver durch UDP spezifische Nutzdaten (payload)
- 342 neue und 81 angepasste bzw. korrigierte Fingerprints (insgesammt 1349)
- Zenmap zeigt keine nicht erreichbaren Hosts mehr an
- Windows 7 Unterstützung
…

Alle Änderungen findet man in der Nmap Development Mailingliste.
Weitere Informationen: nmap.org

Nmap 5.0 – Howto Teil 5: Betriebssystem-Erkennung

Moritz TANZER — Fri, 20 Nov 2009 20:40:30 +0000

Nmap führt verschiendener TCP- und UDP-Tests durch um das Betriebssystem des Zielhost zu definieren z.B.
TCP-ISN-Abtastung, IP-ID-Abtastung, initiale Fenstergröße … Den erstellten OS-Fingerprint vergleicht Nmap mit der nmap-os-db Datenbank (siehe Beispiel unten). Wenn keine 100% Übereinstimmung gefunden wird, gibt Nmap theoretisch mögliche Betriebssysteme aus. Dazu muss jedoch eine sehr hohe Ähnlichkeit zum tatsächlichen Fingerprint vorliegen. Bei einem OS-Scan versucht Nmap eine Beschreibung und Klassifikation des Betriebssystems, Herstellername, Name und Version des Betriebssystems und der allgemeine Gerätetyp auszugeben.
Zusätzlich versucht Nmap anhand der TCP-Timestamp-Option die Betriebszeit des Zielhosts zu ermitteln.

-O (OS Detection)

Aktiviert die Betriebssystem-Erkennung, kann mit jedem belibigen Port- und Host-Scan kombiniert werden.

r-o-f:~# nmap -O scanme.nmap.org

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-20 21:59 CET
Interesting ports on scanme.nmap.org (64.13.134.52):
Not shown: 994 filtered ports
PORT STATE SERVICE
25/tcp closed smtp
53/tcp open domain
70/tcp closed gopher
80/tcp open http
113/tcp closed auth
31337/tcp closed Elite
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.15 - 2.6.26

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 30.54 seconds

–osscan-limit (OS-Detection nur bei offenen Ports)

Wenn dier Parameter gesetzt ist, versucht Nmap nur bei Hosts, die mindesten einen offenen Port haben eine Betriebssystem-Erkennung durchzuführen. Dies spart gerade bei Scans mit vielen Zielhosts enorm viel Zeit.

–osscan-guess; –fuzzy (OS-Detection mit geringer Fingerprint Übereinstimmung)

Standardmäßig gibt Nmap bei einem OS-Scan nur eine exakte Datenbank Übereinstimmung bzw. eine Erkennung die dem Fingerprint sehr nahe kommt aus. Mit diesem Parameter schätzt Nmap auch Betriebssysteme und gibt eine prozentuale Wahrscheinlichkeit und den erstellten Fingerprint mit aus.

Test mit einem VOIP-Telefon:
Wenn der Parameter –fuzzy nicht definiert ist, kommt folgende Meldung:

...
No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
...

Mit der Option: –fuzzy

...
Running (JUST GUESSING) : PORTech embedded (98%), Planet MicroC/OS-II (97%), Polycom embedded (96%), Interbell embedded (90%), Sling embedded (90%)
Aggressive OS guesses: PORTech MV-374 GSM-SIP VoIP gateway (98%), Planet VIP-154T VoIP phone (MicroC/OS-II) (97%), Polycom SoundPoint IP 301 VoIP phone (96%), Interbell IB-305 VoIP phone (90%), PORTech GSM VoIP gateway (90%), Slingmedia Slingbox AV TV over IP gateway (90%)
No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=5.00%D=11/20%OT=23%CT=1%CU=38087%PV=Y%DS=1%G=Y%M=00094F%TM=4B0707
OS:2F%P=i686-pc-linux-gnu)SEQ(CI=RD%II=RI%TS=U)OPS(O1=WANM5B4T10S%O2=M578W0
OS:ST10L%O3=M280%O4=ST10WAL%O5=M218ST10WAL%O6=M109)OPS(O1=M5B4%O2=M578W0ST1
OS:0L%O3=M280%O4=ST10WAL%O5=M218ST10WAL%O6=M109)OPS(O1=M5B4%O2=M578W0ST10L%
OS:O3=T10NNW5NM280%O4=M5B4%O5=M218ST10WAL%O6=M109)WIN(W1=0%W2=0%W3=3180%W4=
OS:0%W5=0%W6=3180)WIN(W1=3180%W2=0%W3=3180%W4=0%W5=0%W6=3180)WIN(W1=3180%W2
OS:=0%W3=0%W4=3180%W5=0%W6=3180)ECN(R=Y%DF=N%T=40%W=0%O=WANM5B4SNN%CC=N%Q=R
OS:)T1(R=Y%DF=N%T=40%S=Z%A=S+%F=AR%RD=0%Q=)T1(R=Y%DF=N%T=40%S=O%A=S+%F=AS%R
OS:D=0%Q=)T2(R=Y%DF=Y%T=40%W=0%S=Z%A=S%F=AR%O=WANM109T10S%RD=0%Q=)T3(R=Y%DF
OS:=N%T=40%W=0%S=Z%A=O%F=AR%O=WANM109T10S%RD=0%Q=)T4(R=Y%DF=Y%T=40%W=0%S=A%
OS:A=Z%F=R%O=WANM109T10S%RD=0%Q=)T5(R=Y%DF=N%T=40%W=0%S=Z%A=S+%F=AR%O=WANM1
OS:09T10S%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=WANM109T10S%RD=0%Q=)T7
OS:(R=Y%DF=N%T=40%W=0%S=Z%A=S+%F=AR%O=WFNM109T10S%RD=0%Q=)U1(R=Y%DF=N%T=FF%
OS:IPL=38%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=S%T=FF%CD=S)
...

–max-os-tries (maximale Anzahl der Versuche)

Standardmäßig unternimmt Nmap bei guten Bedingungen (mind. ein offener Port) fünf Versuche das Betriebssystem zu erkennen. Bei schlechten Bedingungen nur zwei. Mit dieser Option kann man die Anzahl ändern. Diese Option benötigt man eigentlich nur, wenn man Finerprints für die Nmap Datenbank erstellen will.

Beispiel Fingerprint aus der /usr/local/share/nmap/nmap-os-db Datenbank ür eine Playstation 3:

# Sony PlayStation 3
Fingerprint Sony PlayStation 3 game console
Class Sony | embedded || game console
SEQ(SP=F7-101%GCD=1-6%ISR=FC-106%TI=RD%TS=21)
OPS(O1=M5B4NNSNW1NNT11%O2=M5B4NNSNW1NNT11%O3=M5B4NW1NNT11%O4=M5B4NNSNW1NNT11%O5=M5B4NNSNW1NNT11%O6=M5B4NNSNNT11)
WIN(W1=FFFF%W2=FFFF%W3=FFFF%W4=FFFF%W5=FFFF%W6=FFFF)
ECN(R=Y%DF=N%T=3C-46%TG=40%W=FFFF%O=M5B4NNSNW1%CC=N%Q=)
T1(R=Y%DF=N%T=3C-46%TG=40%S=O%A=S+%F=AS%RD=0%Q=)
T2(R=Y%DF=N%T=3C-46%TG=40%W=0%S=Z%A=O|S%F=AR%O=%RD=0%Q=)
T3(R=Y%DF=N%T=3C-46%TG=40%W=FFFF%S=O%A=S+%F=AS%O=M5B4NNSNW1NNT11%RD=0%Q=)
T4(R=Y%DF=N%T=3C-46%TG=40%W=0%S=A|O%A=Z%F=R%O=%RD=0%Q=)
T5(R=Y%DF=N%T=3B-45%TG=40%W=0%S=Z%A=O|S+%F=AR%O=%RD=0%Q=)
T6(R=Y%DF=N%T=3B-45%TG=40%W=0%S=A|O%A=Z%F=R%O=%RD=0%Q=)
T7(R=Y%DF=N%T=3B-45%TG=40%W=0%S=Z%A=O|S%F=AR%O=%RD=0%Q=)
U1(DF=N%T=FA-104%TG=FF%IPL=38%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)
IE(DFI=N%T=FA-104%TG=FF%CD=S)

Quelle: nmap.org
Weitere Informationen: http://nmap.org/book/osdetect.html

Nmap 5.0 – Howto Teil 1: Ziele richtig definieren
Nmap 5.0 – Howto Teil 2: Host-Erkennung
Nmap 5.0 – Howto Teil 3: Port-Scans
Nmap 5.0 – Howto Teil 4: Dienst- und Versionserkennung

Nmap Grundlagen: Port-Zustände
Nmap Grundlagen: Nmap 5.0 Installation

Nmap 5.0 – Howto Teil 4: Dienst- und Versionserkennung

Moritz TANZER — Mon, 16 Nov 2009 12:04:38 +0000

Um die Angreifbarkeit eines Host zu bestimmen reicht es nicht aus zu wissen welche Ports offen oder gefiltert sind. Viel wichtiger ist welche Dienste in welcher Version auf den offenen Ports lauschen. Man kann sich nicht darauf verlassen, dass die Service und Programme immer die Standardports benutzen. Eine exakte Versionserkennung ist die beste Voraussetzung für eine Bestimmung der möglichen Exploits, für die ein Zielhost anfällig sein kann. Nmap versucht mit Testpaketen die Dienstprotokolle, Anwendungsnamen, Versionsnummern, Hostnamen, Gerätetypen und Betriebssysteme zu identifizieren.

-sV (Versionserkennung)
Nmap führt nach einem Port-Scan noch eine Versionserkennung durch.

r-o-f:~# nmap -PN -sV scanme.nmap.org

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-15 20:39 CET
Interesting ports on scanme.nmap.org (64.13.134.52):
Not shown: 994 filtered ports
PORT STATE SERVICE VERSION
25/tcp closed smtp
53/tcp open domain
70/tcp closed gopher
80/tcp open http Apache httpd 2.2.3 ((CentOS))
113/tcp closed auth
31337/tcp closed Elite

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 30.57 seconds

–allports (alle Ports, ohne Ausnahmen)

Manche Netzwerk-Drucker drucken alles aus, was an TCP-Port 9100 ankommt. Deshalb schließt Nmap diesen Port bei der Versionerkennung standardmäßig aus. Mit –allports wird auch der TCP-Port 9100 genauer untersucht.

–version-intensity 0 – 9 (Intensität manuell definieren)

Nmap klassifiziert alle Testpakete zur Versionserkennung mit einem Seltenheitswert zwischen 0 und 9. Je höher die Zahl ist, desto wahrscheinlicher ist eine genaue Identifizierung und Versionserkunng des Dienstes.
Standardmäßig verwendet Nmap eine Intensität von 7. Ein Scan mit hoher Intensitätsstufe braucht deutlich mehr Zeit.
Bei den Standardports benutzt Nmap, falls vorhanden unabhängig vom Intensitätwert die entsprechenden Testpakete z.B. Port 55 offen -> DNS-Testpaket, Port 80 offen -> HTTP-Testpaket…

Beispiel mit Scan Intensität 0 -> Zeit: 39.88 Sekunden

r-o-f:~# nmap -PN -sV --version-intensity 0 scanme.nmap.org

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-15 22:50 CET
Interesting ports on scanme.nmap.org (64.13.134.52):
Not shown: 994 filtered ports
PORT STATE SERVICE VERSION
25/tcp closed smtp
53/tcp open domain
70/tcp closed gopher
80/tcp open http Apache httpd 2.2.3 ((CentOS))
113/tcp closed auth
31337/tcp closed Elite

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 39.88 seconds

Beispiel mit Scan Intensität 9 -> Zeit: 314.49 Sekunden

r-o-f:~# nmap -PN -sV --version-intensity 9 scanme.nmap.org

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-15 22:51 CET
Interesting ports on scanme.nmap.org (64.13.134.52):
Not shown: 994 filtered ports
PORT STATE SERVICE VERSION
25/tcp closed smtp
53/tcp open domain?
70/tcp closed gopher
80/tcp open http Apache httpd 2.2.3 ((CentOS))
113/tcp closed auth
31337/tcp closed Elite
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port53-TCP:V=5.00%I=9%D=11/15%Time=4B00781D%P=i686-pc-linux-gnu%r(DNSVe
SF:rsionBindReq,59,"\0W\0\x06\x85\0\0\x01\0\x01\0\x01\0\0\x07version\x04bi
SF:nd\0\0\x10\0\x03\xc0\x0c\0\x10\0\x03\0\0\0\0\0\x1f\x1e9\.3\.6-P1-RedHat
SF:-9\.3\.6-4\.P1\.el5\xc0\x0c\0\x02\0\x03\0\0\0\0\0\x02\xc0\x0c");

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 314.49 seconds

–version-light (Itensität 2)

Nmap benutzt zur Versioneserkennung Intensität 2. Bedeutet weniger Zeit aber auch geringerer Wahrscheinlichkeit einer Erkennung. Alias für: –version-intensity 2

–version-all (Itensität 9)
Nmap verwendet alle verfügbaren Pakete zur Versionserkennung, eine korrekte Versions- und Diensterkennung ist hier deutlich warscheinlicher aber dieser Scan benötigt auch mehr Zeit als z.B. –version-light.
Alias für –version-intensity 9

–version-trace (Versionserkennung Debugging Informationen)
Nmap gibt sehr umfangreiche Debbunging Informationen über den aktuellen Versions / Portscan aus.

r-o-f:~# nmap -PN -sV --version-trace -p 80 scanme.nmap.org

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-15 22:43 CET
--------------- Timing report ---------------
hostgroups: min 1, max 100000
rtt-timeouts: init 1000, min 100, max 10000
max-scan-delay: TCP 1000, UDP 1000, SCTP 1000
parallelism: min 0, max 0
max-retries: 10, host-timeout: 0
min-rate: 0, max-rate: 0
---------------------------------------------
NSE: Loaded 3 scripts for scanning.
mass_rdns: Using DNS server 192.168.178.2
mass_rdns: 0.18s 0/1 [#: 1, OK: 0, NX: 0, DR: 0, SF: 0, TR: 1]
DNS resolution of 1 IPs took 0.18s. Mode: Async [#: 1, OK: 1, NX: 0, DR: 0, SF: 0, TR: 1, CN: 0]
Packet capture filter (device eth0): dst host 192.168.178.5 and (icmp or ((tcp or udp or sctp) and (src host 64.13.134.52)))
Overall sending rates: 4.85 packets / s, 213.59 bytes / s.
NSOCK (0.9590s) TCP connection requested to 64.13.134.52:80 (IOD #1) EID 8
NSOCK (0.9600s) nsock_loop() started (no timeout). 1 events pending
NSOCK (1.1510s) Callback: CONNECT SUCCESS for EID 8 [64.13.134.52:80]
Service scan sending probe NULL to 64.13.134.52:80 (tcp)
NSOCK (1.1510s) Read request from IOD #1 [64.13.134.52:80] (timeout: 6000ms) EID 18
NSOCK (7.1540s) Callback: READ TIMEOUT for EID 18 [64.13.134.52:80]
Service scan sending probe GetRequest to 64.13.134.52:80 (tcp)
NSOCK (7.1540s) Write request for 18 bytes to IOD #1 EID 27 [64.13.134.52:80]: GET / HTTP/1.0....
NSOCK (7.1540s) Read request from IOD #1 [64.13.134.52:80] (timeout: 5000ms) EID 34
NSOCK (7.1560s) Callback: WRITE SUCCESS for EID 27 [64.13.134.52:80]
NSOCK (7.3530s) Callback: READ SUCCESS for EID 34 [64.13.134.52:80] (928 bytes)
Service scan match (Probe GetRequest matched with GetRequest): scanme.nmap.org (64.13.134.52):80 is http. Version: |Apache httpd|2.2.3|(CentOS)|
Starting RPC scan against scanme.nmap.org (64.13.134.52)
NSE: Script scanning 64.13.134.52.
NSE: Script Scanning completed.
Scanned at 2009-11-15 22:43:53 CET for 7s
Interesting ports on scanme.nmap.org (64.13.134.52):
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.2.3 ((CentOS))
Final times for host: srtt: 203269 rttvar: 203269 to: 1016345

Read from /usr/local/share/nmap: nmap-rpc nmap-service-probes nmap-services.
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.36 seconds

Quelle: nmap.org
Weitere Informationen: http://nmap.org/book/vscan.html

Nmap 5.0 – Howto Teil 1: Ziele richtig definieren
Nmap 5.0 – Howto Teil 2: Host-Erkennung
Nmap 5.0 – Howto Teil 3: Port-Scans

Nmap Grundlagen: Port-Zustände
Nmap Grundlagen: Nmap 5.0 Installation