В статье приводится описание того, что такое тайминг Nmap, приводится таблица таймингов и даются быстрые советы по настройкам флага -T сканера Nmap.
Здравствуйте вам, продолжаем рассматривать работу короля сканеров Nmap и сегодня мы заденем тему громкости сканирования удалённой системы. Статья является прямым дополнением к теме Тихого сканирования, в которой я взял на себя ответственность дать некоторые советы по применению флагов для команд Nmap, которые должен знать любой, дабы не разочароваться в этом замечательном инструменте.
Помимо описываемых в той статье опций, я бы выделил в отдельную тему тайминг nmap, задаваемый в командах флагами T. Так, наш сканер в состоянии регулировать тайминги (время задержек и простоев) в пробах на живучесть удалённой системы. Эта же опция может задавать максимальное число параллельно запущенных потоков сканирования и диапазон задержки для подаваемых в сеть сигналов. Короче говоря, флаги Т в командах Nmap позволят вам проводить сканирование в момент на манер обнаглевшего грабителя или, наоборот, аккуратно и въедливо по примеру неприметного карманника. T помогает отсканировать несколько хостов в течение нескольких минут, или работать единственную жертву часами.
Практически все опции тайминга Nmap разбиты на четыре основные группы:
- время полного обхода (всего заданного тестором сетевого дерева поиска)
- параллельное сканирование хоста
- параллельное сканирование порта
- собственно, время задержки
Каждая из таких категорий настраивается отдельно. Или же тестирующий может задать общую политику тестирования до процесса сканирования.
Хотите проверить, не пингуют ли вас?
Тайминг Nmap: как это выглядит?
Тайминг Nmap задаётся T-опцией:
-T<0 | 1 | 2 | 3 | 4 | 5 |>
где громкость сканирования идёт по нарастающей с 0. Переходим к подробностям.
Аргументы тайминга – ПКО (они же RTT) – используются сканером для того, чтобы вовремя прекратить и повторно отослать сигналы проб. Сами разработчики предпочитают эмоциональную окраску описанным таймингам. Так, сканирование на таймингах в отношениях хакер-жертва делится на:
- Т0 – параноидальный тип
- Т1 – крадущийся
- Т2 – вежливый
- Т3 – нормальный
- Т4 – агрессивный
- Т5 – сумасбродный
Вы видите, что, начиная с категории параноидального самосохранения, хакер выставит минимальную задержку сканирования по портам аж в 5 минут до сумасбродного в четверть секунды (разведка на манер”подсмотреть в окно и убежать”). Это лирика, но вы понимаете, что работе с удалённой системой тайминг сканирования Nmap приобретает важное значение для результата: в сетях с ограниченной пропускной способностью желательно быть немного потише.
В шапке вышеприведённой таблицы мною указаны параметры задержек в описываемых -T флагах по умолчанию. А имена типов задержек на русском. Применимость в командах описываю ниже.
Далее. Скрипты сканера настроены таким образом, что они позволяют использовать в команде сразу две конфликтующие опции. Однако полевые испытания в этом режиме говорят о том, что Nmap выберет приоритетным последний из конфликтных флагов (соответственно, и реакция будет адекватной) , так что смешивать тайминги бездумно не вижу особого смысла – иногда это заметно задерживает процесс взятия проб. Однако осмысленное включение в команду сканирования флага -TХ и с последующим же указанием опции:
--scan-delay ХХХ m|s
может дать неожиданно эффективные результаты по сканированию удалённого хоста. Эта опция также имеет ряд под-опций, которые проистекают из, собственно, названий или типов (как в шапке таблицы) -T опции. Конечно, всё на английском. Смотрим. Вот как в итоге может выглядеть “навороченная” команда:
nmap -T4 --scan-delay 1s --initial-rtt-timeout 170ms --host-timeout 10m -d сайт.com
здесь:
- scan-delay – опция установки времени задержки сканирования (в команде – 1 сек, а в таблице – до 10 мс максимум) – снятие проб будет не таким агрессивным, что, поверьте, часто спасает от раннего обнаружения механизмами безопасности “проверяемых” ресурсов.
- initial-rtt-timeout – заданная задержка ПКО относительно дефолтной ТХ (по умолчанию 500 мс для Т4, в нашей команде – 170 мс)
- host-timeout – этот аргумент появляется, если мы захотим прекратить сканирование указанной цели по истечение установленного вами времени (10 мин.)
Тайминг Nmap: что хочу, то и ворочу.
Основательно поднаторев, вы можете использовать тайминги сканера на полную катушку. Так, для установки задержек пинга можно флаг -T вообще не указывать, уделяя внимание заданной величине initial-rtt-timeout. Например:
-A -p --initial-rtt-timeout 180ms цель.com
Nmap конечно же попытается скорректировать работу собственных скриптов на основе получаемых проб, но, как видите по команде сверху, задержку периода обращения сигнала можно задавать жёстко. Поначалу даже можно просто воспользоваться приводимой Таблицей и разбавлять команду сканирования, вообще не применяя лекал -Tx:
-A -p --initial-rtt-timeout 300ms цель.com
установит задержку ПКО на 300 мс дл сайта
-A -p --min-rtt-timeout 180ms --max-rtt-timeout 500ms цель.com
позволит сканеру балансировать пробами в указанном интервале. Сразу НО. Аккуратнее с показателем максимального порога задержки max-rtt-timeout: установив это значение очень низким, вы с лёгкостью пролетаете мимо открытых портов.
Тайминг Nmap позволяет запихнуть и команду пинга. Вот, например, так:
nping -c25 сайт.com
Вернёт результаты обхода 25-тью эхо-пакетами ICMP вашей цели, и по окончании сего действа отобразит минимальный, усреднённый и максимальный показатели RTT (ПКО) по сайту. Зачем, спросите вы? Изучаем результаты работы эхо-запросов и, опять же, исходя из опыта, можно будет безошибочно определять время в опциях initial-rtt-timeout и max-rtt-timeout для конкретного сайта, который … ну никак не поддаётся 
Вобщем, статью априори не закончить: только опыт вас “под-навтыкает”. По мере появления полезного и интересного буду дополнять.
Успехов нам всем.
