การติดตั้งและการใช้งาน nmap และ nmap front-end (nmapfe)

จาก Research 2549, สารานุกรมฟรี

เรื่อง การติดตั้งและการใช้งาน nmap และ nmapfe

---

ชื่อผู้จัดทำ นนร.อาวุธ เมธารักษ์ เลขที่ 1

สารบัญ 1 บทคัดย่อ 2 บทนำ 3 ประวัติความเป็นมา/ทฤษฏีพื้นฐานที่เกี่ยวข้อง 3.1 ประวัติความเป็นมา 3.2 ทฤษฏีพื้นฐานที่เกี่ยวข้อง 4 การติดตั้ง 4.1 Nmap 4.2 Nmapfe 5 การใช้งาน Nmap และ NmapFE 5.1 nmap 5.2 NmapFE 6 สรุป 7 เอกสารอ้างอิง และเว็บลิงค์

บทคัดย่อ

• ในปัจจุบันนี้ ความก้าวหน้าทางด้านระบบเครือข่ายได้ก้าวหน้าไปอยากมาก ทุกหน่วยงานต่างตอบรับกับระบบสารสนเทศ แต่สวนใหญ่ยังละเลยกับเรื่องความปลอดภัย การเฝ้าตรวจตราเครื่องคอมพิวเตอร์ในระบบให้ปลอดภัยเป็นสิ่งที่ละเลยไม่ได้ hacker และ cracker ก็สามารถตรวจสอบเครื่องเราจากระยะไกลได้ และโปรแกรมที่ใช้กันมากและมีประสิทธิภาพคงจะหนีไม่พ้น Nmap

บทนำ

• Nmap (Network Mapper)เป็นโปรแกรม open source ที่ใช้สแกนเครือข่ายและตรวจสอบความปลอดภัย ซึ่ง Nmap ถูกพัฒนาให้สามารถทำการสแกนเครือข่ายขนาดใหญ่ได้อย่างรวดเร็ว โดยการสแกน ip address เพื่อที่จะรายงาน port , application , OS หรือ firewall ในปัจจุบัน Nmap มีให้ใช้งานทั้งแบบผ่าน console และแบบ graphic ซึ่งแบบที่ต้องทำงานผ่าน console หรือ terminal คือ nmap แต่หากผู้ใช้งานไม่ถนัดและจำรูปแบบคำสั่งไม่ได้ ก็มีให้เลือกใช้งานแบบ GUI ซึ่งไม่จำเป็นต้องจำคำสั่งต่าง ก็คือ nmap Front-End (nmapfe)

ประวัติความเป็นมา/ทฤษฏีพื้นฐานที่เกี่ยวข้อง

ประวัติความเป็นมา

• Nmap เป็นโปรแกรม open source ที่ถูกพัฒนาครั้งแรกในเดือน กันยายน ปี 1997 โดย Fyodor โดยพัฒนาโดย C และพัฒนามาเรื่อยๆ จนเป็น C++
• Nmap ถูกพัฒนาเวอร์ชัน 3.5 ในเดือนกุมภาพันธ ปี 2004 ต่อมาก็มีการร่วมกันพัฒนาและออกเวอร์ชัน 4.0 ในเดือนมกราคม ปี 2006

ทฤษฏีพื้นฐานที่เกี่ยวข้อง

• Port Scanner ซึ่งเป็นเครื่องมือที่ใช้ตรวจสอบค้นหาช่องทางที่จะติดต่อเข้าสู่โฮสต์ที่เป็นเซิร์ฟเวอร์ได้อย่างง่ายดาย โปรแกรมประเภทนี้ร้ายกาจนักสามารถสร้างแพคเก็ตได้หลากหลายรูปแบบ เพื่อจุดประสงค์หลักคือ ให้ทราบว่ามีการเปิดพอร์ตใดไว้บ้าง ตัวอย่างบางส่วนที่นิยมใช้งานของแพคเก็ตที่โปรแกรม Nmap สามารถสร้างได้มีดังนี้
• TCP Sync Scanning : : อาศัยเทคนิคที่เรียกว่า "Half-Open" โดยโปรแกรมจะส่ง SYN Packet ออกไปยังโฮสต์เป้าหมาย ทันทีที่เกิดการคอนเน็คขึ้น โปรแกรมจะยุติการติดต่อทันที ซึ่งเทคนิคเช่นนี้จะทำให้โฮสต์เป้าหมายส่วนใหญ่ยังไม่ทันได้บันทึกเหตุการณ์นี้ไว้ใน Log จึงเป็นการแสกนที่ไม่ทิ้งร่องรอยไว้นั่นเอง
• TCP connect( ) : วิธีการนี้เป็นวิธีขั้นพื้นฐานที่โปรแกรม Port Scanner ทั่วไปนิยมปฏิบัติกัน ( เช่น โปรแกรม Port Scanner ในกลุ่มวินโดวส์ ) ซึ่งเป็นการจำลองกรกะบวนการร้องขอเพื่อการติดต่อขอใช้บริการจากเครื่องลูกข่ายตามปรกติ วิธีการนี้จึงง่ายต่อการตรวจจับโดยโฮสต์ปลายทางและบันทึกเข้าสู่ Log
• Stealth FIN , Xmas Tree ,Null Scanning : : เป็นวิธีแสกนพอร์ตที่มีวิธีการที่แตกต่างจาก 2 วิธีแรก เนื่องจากการส่งแพคเก็ต *SYN จะถูกปฏิเสธได้โดยไฟร์วอลล์ ดังนั้นจึงอาศัยวิธีส่งแพคเก็ตด้วยแฟล็กชนิดอื่น ๆ หรือไม่มีการเซ็ตแฟลกใด ๆ เลยไปแทน ซึ่งจะมีความเป็นไปได้ว่าจะสามารถเล็ดลอดการตรวจจับและปฏิเสธของไฟร์วอลล์ไปได้ นอกจากนี้ผลการตอบสนองต่อแพคเก็ตเหล่านี้จากระบบปฏิบัติการต่าง ๆ จะมีผลลัพธ์ที่ไม่เหมือนกัน พฤติกรรมที่แตกต่างกันนี้เองจึงเป็นประโยชน์ในทางอ้อมที่ช่วยให้สามารถประเมินได้ว่าโฮสต์เป้าหมายนั้นใช้ระบบปฏิบัติการใดอยู่ นับว่าเป็นข้อมูลที่น่าสนใจอีกประการหนึ่งด้วย
• UDP Scanning : การแสกนในโหมดนี้จะตรวจสอบเฉพาะพอร์ตที่ให้บริการแบบ UDP ( User Datagram Protocol ) โดยเฉพาะ ซึ่งปรกติแล้ว Nmap จะไม่รายงานเกี่ยวกับพอร์ตชนิดนี้ให้ทราบจนกว่าผู้ใช้จะกำหนดให้ทำงานในโหมดนี้
• IP Protocol Scanning : ใช้เพื่อการวิเคราะห์โฮสต์เป้าหมายว่ากำลังใช้ IP Protocol ใดอยู่บ้าง เช่น icmp, igmp ,tcp ,udp ข้อมูลที่ปรากฏขึ้นจะใช้เพื่อการเดา ( Guessing ) ประเภท และหน้าที่ของโฮสต์นั้น ๆ ซึ่งอาจจะไม่ใช่เครื่องเซิร์ฟเวอร์ แต่อาจเป็นอุปกรณ์เครือข่ายบางประเภทก็เป็นได้

การติดตั้ง

Nmap

• ในการติดตั้ง nmap ซึ่งเป็น package จึงสามารถใช้ apt-get ได้โดย ทำการ update ก่อน

  sudo apt-get update 
   

• ทำการติดตั้ง package

 sudo apt-get install nmap 
   

• ในกรณีที่เราไม่สามารถติดตั้งแบบแรกได้ สามารถ download debian package ของNmap< มาแล้วทำการ ติดตั้งได้โดย

 http://research.crma.ac.th/2549/images/3/3b/Nmap_3.81-1_i386.deb

• ติดตั้งโดยใช้คำสั่ง dpkg -i ( -i for install )

  dpkg -i Nmap_3.81-1_i386.deb

Nmapfe

• ทำการ download package ของ nampfe มาไว้ที่เครื่องเรา

 http://research.crma.ac.th/2549/7/73/Nmapfe_3.81-1_i386.deb

• ใช้คำสั่ง dpkg -i เพื่อทำการติดตั้ง

 dpkg -i nmapfe_3.81-1_i386.deb

การใช้งาน Nmap และ NmapFE

nmap

• ใช้ ping แบบกวาดทั่วไปเป็นกระบวนการ ping ที่สามารถ ping เครื่องคอมพิวเตอร์ได้หลาย ๆ เครื่องในครั้งเดียว ซึ่งใช้คำสั่งดังนี้:

 nmap -sP 10.134.40.*

• ใช้ ping โดยใช้ TCP

 nmap -PT[port_number] host เช่น
   nmap -PT6000 10.134.40.5

• ใช้สแกนพอร์ตแบบ TCP-Connect

 nmap -sT 10.134.40.5

• ใช้สแกนแบบ TCP SYN

 nmap -sS 10.134.40.5

• ใช้สแกนแบบ Source Port

 nmap -sS -g 10.134.40.5

• ใช้ทำ FIN Scan

 nmap -sF 10.134.40.5

• ใช้ทำ Reverse Ident Scans

 nmap -I -sS -p 80 10.134.40.5

• ใช้ทำ XMAS Scan

 nmap -sX 10.134.40.5

• การทำ NULL SCAN

 nmap -sN 10.134.40.5

• การทำ RPC Scan

 nmap -sR 10.134.40.5

• IP Protocol Scan

 nmap -sO 10.134.40.5

• การทำ ACK Scan

 nmap -sA target_address

• การทำ UDP Port Scan

 nmap -sU 10.134.40.5

• การสำรวจประเภทของระบบปฏิบัติการที่ใช้

   nmap -o 10.134.40.5

NmapFE

เนื่องจาก nmapfe เป็นลักษณะ GUI จึงไม่จำเป็นต้องพิมพ์คำสั่งหรือจำคำสั่ง จึงใช้งานง่ายสะดวก

ภาพตัวอย่าง nmapfe 3.81

สรุป

Network Mapper [nmap(fe)] เป็นโปรแกรมอัฉริยะโปรแกรมหนึ่ง ซึ่งมีประโยชน์สำหรับผู้ดูแลรักษาความปลอดภัยหรือ และเช่นกันหากผู้ไม่ประสงค์ร้ายนำไปใช้เช่น cracker ก็อาจจะทำความเสียหายได้เช่นกัน ผู้จัดทำหวังว่าผู้ที่ได้นำข้อมูลจากเวปนี้ไปใช้ คงจะใช้ในทางที่เป็นประโยชน์ และช่วยกันพัฒนาระบบให้มีความปลอดภัยมากขึ้นยิ่งๆไป

เอกสารอ้างอิง และเว็บลิงค์

1. Nmap site ,http://insecure.org/nmap
2. ธีรภัทร มนตรีศาสตร์ , http://www.itdestination.com/articles/linuxsecurity
3. สร้างเกราะป้องกันภัยให้เซิร์ฟเวอร์ลินุกส์ : ธีรภัทร มนตรีศาสตร์ , http://micro.se-ed.com/content/mc213_94.asp
4. Wikipedia : the free encyclopedia , http://en.wikipedia.org/wiki/Nmap