En esta presentación aprendemos como funciona el sistema de detección de versiones de Nmap y como podemos escribir nuestras propias firmas para reconocer nuevos servicios en nuestra red.
2. Motor de detección de versiones
El sistema de detección de versiones es de las funciones más útiles en Nmap.
Nos ayuda a identificar:
● Protocolos y aplicaciones
● Versiones
● Funcionalidad y módulos
A veces los servicios no son reconocidos correctamente:
● Firma incorrecta/desactualizada
● No existe firma aún
3. Campos de firmas de servicios
Probe ports sslportse
match softmatch totalwaitms
fallback rarity tcpwrapped
9. Una firma de servicio
Probe TCP Help q|HELPrn|
rarity 3
ports 1,7,21,25,79,113,119,515,587
sslports 465
totalwaitms 7500
10. Otra firma de servicio
# This is the NULL probe that just compares any banners given to us
##############################NEXT PROBE##############################
Probe TCP NULL q||
# Wait for at least 5 seconds for data. Otherwise an Nmap default is used.
totalwaitms 5000
# Windows 2003
match ftp m/^220[ -]Microsoft FTP Servicern/ p/Microsoft ftpd/
match ftp m/^220 ProFTPD (dS+) Server/ p/ProFTPD/ v/$1/
softmatch ftp m/^220 [-.w ]+ftp.*rn$/i
match ident m|^flock() on closed filehandle .*midentd| p/midentd/ i/broken/
match imap m|^* OK Welcome to Binc IMAP v(d[-.w]+)| p/Binc IMAPd/ v$1/
softmatch imap m/^* OK [-.w ]+imap[-.w ]+rn$/i
match lucent-fwadm m|^0001;2$| p/Lucent Secure Management Server/
match meetingmaker m/^xc1,$/ p/Meeting Maker calendaring/
match napster m|^1$| p/Lopster Napster P2P client/
11. ¿Qué aprendimos?
● El sistema de detección de versiones nos sirve para
identificar aplicaciones, protocolos, versiones e
incluso funcionalidad.
● El sistema está basado en firmas que son almacenadas
en el archivo nmap-service-probes.
● Podemos extender este sistema y crear nuestras
propias firmas.