Vandaag bekijken we hoe je met de nmap opdracht kunt bepalen welk besturingssysteem een computer op afstand gebruikt. Dit is handig voor het inventariseren van uw LAN systemen, of gewoon uit nieuwsgierigheid. Met nmap kan je het besturingssysteem niet met 100% zekerheid achterhalen, maar nmap kan wel een goed onderbouwde gok doen.
De meeste distributies hebben het nmap pakket in hun standaard softwarebronnen opgenomen. In openSUSE 13.1 installeer je nmap met de volgende opdracht:
dany@linux-18zg:~> sudo zypper install nmap
root's password:
Gegevens van installatiebron laden...
Lezen van geïnstalleerde pakketten...
Afhankelijkheden tussen pakketten oplossen...
Het volgende NIEUWE pakket zal worden geïnstalleerd:
nmap
1 nieuw te installeren pakket.
Totale downloadgrootte: 3,6 MiB Na de operatie zal aanvullend 16,0 MiB worden
gebruikt.
Doorgaan? [j/n/? alle opties tonen] (j):
pakket nmap-6.40-2.1.3.x86_64 wordt opgehaald
(1/1), 3,6 MiB ( 16,0 MiB uitgepakt)
Ophalen: nmap-6.40-2.1.3.x86_64.rpm .........................[klaar (1,4 MiB/s)]
(1/1) Installeert: nmap-6.40-2.1.3 ......................................[klaar]
Om het besturingssysteem te achterhalen baseert nmap zich op verschillende aspecten, zoals standaard geopende en gesloten poorten, hun vingerafdruk die door andere gebruikers in een database wordt bijgehouden, MAC adressen, enz.
Om te achterhalen welke IP adressen in uw LAN actief zijn, moet je het volledige netwerk scannen. Om het lokale netwerk 192.168.1.* te scannen, gebruik je de opdracht:
dany@linux-18zg:~> nmap -sP 192.168.1.*
Starting Nmap 6.40 ( http://nmap.org ) at 2014-03-01 16:00 CET
Nmap scan report for 192.168.1.1
Host is up (0.013s latency).
Nmap scan report for 192.168.1.3
Host is up (0.00037s latency).
Nmap scan report for 192.168.1.64
Host is up (0.00066s latency).
Nmap done: 256 IP addresses (3 hosts up) scanned in 2.58 seconds
Om een besturingssysteem te kunnen identificeren, moet nmap op de computer (apparaat) op afstand minstens één geopende en één gesloten poort vinden. In het voorbeeld hierboven onderzoeken we het systeem met het IP adres 192.168.1.64 verder:
dany@linux-18zg:~> sudo nmap -O -sV 192.168.1.64
root's password:
Starting Nmap 6.40 ( http://nmap.org ) at 2014-03-01 16:01 CET
Nmap scan report for 192.168.1.64
Host is up (0.0017s latency).
Not shown: 984 closed ports
PORT STATE SERVICE VERSION
80/tcp open http HP Officejet Pro 8600 printer http config (Serial CN2BTCWJH605KC)
139/tcp open tcpwrapped
443/tcp open ssl/http HP Officejet Pro 8600 printer http config (Serial CN2BTCWJH605KC)
445/tcp open netbios-ssn
515/tcp open printer
631/tcp open http HP Officejet Pro 8600 printer http config (Serial CN2BTCWJH605KC)
6839/tcp open tcpwrapped
7435/tcp open tcpwrapped
8080/tcp open http HP Officejet Pro 8600 printer http config (Serial CN2BTCWJH605KC)
9100/tcp open jetdirect?
9101/tcp open jetdirect?
9102/tcp open jetdirect?
9110/tcp open unknown
9111/tcp open DragonIDSConsole?
9220/tcp open hp-gsg HP Generic Scan Gateway 1.0
9290/tcp open hp-gsg IEEE 1284.4 scan peripheral gateway
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port9110-TCP:V=6.40%I=7%D=3/1%Time=5311F667%P=x86_64-suse-linux-gnu%r(R
SF:PCCheck,2B,"\0\0\(r\xfe\x1d\x13\0\0\0\0\0\0\0\x02\0\x01\x86\xa0\0\x01\x
SF:97\|\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0")%r(kumo-server,1,"\0");
MAC Address: 84:34:97:A3:3F:F6 (Hewlett Packard)
Device type: printer
Running: HP embedded, HP VxWorks
OS CPE: cpe:/h:hp:laserjet_cm1312 cpe:/h:hp:officejet_6500 cpe:/h:hp:photosmart_c510a cpe:/h:hp:photosmart_b110a cpe:/o:hp:vxworks
OS details: HP printer: LaserJet CM1312, OfficeJet 6500, Photosmart C510a, or Photosmart B110a, VxWorks: HP printer
Network Distance: 1 hop
Service Info: Device: printer; CPE: cpe:/h:hp:officejet_pro_8600
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 164.33 seconds
Uit de uitvoer kan je afleiden dat het hier om een printer gaat, die een embedded besturingssysteem van HP draait.
Dezelfde techniek kan gebruikt worden voor WAN systemen. Het scannen van een besturingssysteem op een computer op afstand kan nuttig zijn voor een systeembeheerder. Maar deze methode kan ook door hackers gebruikt worden. Aan de hand van de zo verworven informatie (zoals besturingssysteem en gebruikte versie) kan een hacker een aanval lanceren via voor dit systeem bekende veiligheidsgaten. Laat dit een waarschuwing zijn om onze systemen steeds up to date te houden. Zo wordt een up to date openSUSE 13.1 systeem niet door nmap herkend.