Xavfsizlik devori/IDSdan qochish va soxtalashtirish Ko'pgina Internet kashshoflari har qanday ikkita tugun o'rtasida virtual ulanishga imkon beruvchi universal IP manzil maydoniga ega global ochiq tarmoqni tasavvur qilishdi. Bu xostlarga haqiqiy tengdoshlar sifatida harakat qilish, bir-biridan ma'lumot olish va xizmat ko'rsatish imkonini beradi. Odamlar o'zlarining barcha uy tizimlariga ishdan kirishlari, iqlim nazorati sozlamalarini o'zgartirishlari yoki erta mehmonlar uchun eshiklarni ochishlari mumkin edi. Umumjahon ulanishga oid bunday qarashlar joy tanqisligi va xavfsizlik muammolari tufayli bo'g'ilib qoldi. 1990-yillarning boshlarida tashkilotlar ulanishni qisqartirish maqsadida xavfsizlik devorlarini o'rnatishni boshladilar. Katta tarmoqlar filtrlanmagan Internetdan ilovalar proksi-serverlari, tarmoq manzillarini tarjima qilish va paketli filtrlar bilan o'ralgan edi.
Xavfsizlik devori kabi tarmoq to'siqlari tarmoqni xaritalashni juda qiyinlashtirishi mumkin. Bu oson bo'lmaydi, chunki tasodifiy razvedkani bo'g'ish ko'pincha qurilmalarni amalga oshirishning asosiy maqsadi hisoblanadi. Shunga qaramay, Nmap ushbu murakkab tarmoqlarni tushunishga yordam beradigan va filtrlar mo'ljallangan tarzda ishlayotganligini tekshirish uchun ko'plab xususiyatlarni taklif etadi. U hatto yomon amalga oshirilgan himoya vositalarini chetlab o'tish mexanizmlarini qo'llab-quvvatlaydi. Tarmoq xavfsizligi holatini tushunishning eng yaxshi usullaridan biri bu uni engishga harakat qilishdir. O'zingizni tajovuzkorning fikriga qo'ying va ushbu bo'limdagi usullarni tarmoqlaringizga qarshi ishlating. FTP skanerlashini, bo'sh turgan skanerlashni, parchalanish hujumini ishga tushiring yoki o'zingizning proksi-serverlaringizdan biri orqali tunnel qilishga harakat qiling.
Tarmoq faoliyatini cheklashdan tashqari, kompaniyalar hujumni aniqlash tizimlari (IDS) yordamida trafikni tobora ko'proq kuzatib bormoqda. Barcha asosiy IDSlar Nmap skanerlarini aniqlash uchun mo'ljallangan qoidalarga ega, chunki skanerlar ba'zan hujumlar uchun kashshof bo'ladi. Ushbu mahsulotlarning aksariyati yaqinda hujumni oldini olish tizimlariga (IPS) aylandi. zararli deb hisoblangan trafikni faol ravishda blokirovka qilish. Afsuski, tarmoq ma'murlari va IDS sotuvchilari uchun paket ma'lumotlarini tahlil qilish orqali yomon niyatlarni ishonchli aniqlash qiyin muammodir. Sabr-toqatli, mahoratli va ma'lum Nmap opsiyalari yordamida tajovuzkorlar odatda IDSlar tomonidan aniqlanmasdan o'tib ketishlari mumkin. Shu bilan birga, ma'murlar begunoh faoliyat noto'g'ri tashxis qo'yilgan va ogohlantirilgan yoki bloklangan bo'lsa, ko'p sonli noto'g'ri ijobiy natijalar bilan kurashishlari kerak.
Ba'zida odamlar Nmap xavfsizlik devori qoidalarini chetlab o'tish yoki o'tmishdagi IDS'larni yashirish uchun xususiyatlarni taklif qilmasligini taklif qilishadi. Ularning ta'kidlashicha, bu xususiyatlar administratorlar xavfsizlikni kuchaytirish uchun foydalanganidek, tajovuzkorlar tomonidan noto'g'ri foydalanishlari mumkin. Ushbu mantiq bilan bog'liq muammo shundaki, bu usullar hali ham boshqa vositalarni topadigan yoki Nmap-ga funksiyalarni tuzatadigan tajovuzkorlar tomonidan qo'llaniladi. Shu bilan birga, ma'murlar o'z ishlarini bajarishni ancha qiyinlashtiradi. Faqat zamonaviy, yamalgan FTP serverlarini o'rnatish, FTP hujumini amalga oshiradigan vositalarning tarqalishini oldini olishga urinishdan ko'ra ancha kuchli himoya hisoblanadi.
Xavfsizlik devorlari va IDS tizimlarini aniqlash va buzish uchun sehrli o'q (yoki Nmap varianti) mavjud emas. Bu mahorat va tajribani talab qiladi. O'quv qo'llanma ushbu qo'llanma doirasidan tashqarida bo'lib, unda faqat tegishli variantlar ro'yxati keltirilgan va ular nima qilishini tavsiflaydi.
-f(parcha paketlar); --mtu(belgilangan MTU yordamida)
The-fparametr so'ralgan skanerlashda (jumladan, xostni topish skanerlari) mayda bo'laklangan IP paketlardan foydalanishga olib keladi. Maqsad TCP sarlavhasini bir nechta paketlarga bo'lish, paket filtrlari, bosqinlarni aniqlash tizimlari va boshqa noqulayliklar nima qilayotganingizni aniqlashni qiyinlashtiradi. Bu bilan ehtiyot bo'ling! Ba'zi dasturlarda bu kichik paketlar bilan ishlashda muammolar mavjud. Sniffit segmentatsiyasi deb nomlangan eski maktab sniffer birinchi fragmentni olgandan so'ng darhol xato qildi. Ushbu parametrni bir marta belgilang va Nmap IP sarlavhasidan keyin paketlarni sakkiz bayt yoki undan kamroqqa ajratadi. Shunday qilib, 20 baytlik TCP sarlavhasi uchta paketga bo'linadi. TCP sarlavhasining sakkiz bayti bilan ikkitasi va oxirgi to'rttasi bilan. Albatta, har bir fragmentda IP sarlavhasi ham mavjud. Belgilang-ffragment uchun 16 baytdan foydalanish uchun yana (fragmentlar sonini kamaytirish). Yoki variant bilan o'zingizning ofset o'lchamingizni belgilashingiz mumkin --mtu. -fdan foydalanayotganingizni ham belgilamang --mtu. Ofset sakkizga karrali bo'lishi kerak. Parchalangan paketlar paketli filtrlar va barcha IP fragmentlarini, masalan, CONFIG_IP_ALWAYS_DEFRAGLinux yadrosidagi variantni navbatga qo'yadigan xavfsizlik devorlari tomonidan qabul qilinmasa-da, ba'zi tarmoqlar bu sabablarga ko'ra unumdorlikka erisha olmaydi va shuning uchun uni o'chirib qo'yadi. Boshqalar buni faollashtira olmaydi, chunki fragmentlar o'z tarmoqlariga turli yo'nalishlarni olishi mumkin. Ba'zi manba tizimlari yadrodagi chiquvchi paketlarni defragmentatsiya qiladi. Iptables bilan Linux ulanishni kuzatish moduli ana shunday misollardan biridir. Yuborilgan paketlar bo'laklanganligiga ishonch hosil qilish uchun --send-ethWireshark kabi sniffer ishlayotgan vaqtda skanerlang . Agar sizning xost OS muammoga sabab bo'lsa , IP qatlamini chetlab o'tish va raw Ethernet ramkalarini yuborish variantini sinab ko'ring.
Fragmentatsiya faqat Nmap-ning xom paket xususiyatlari uchun qo'llab-quvvatlanadi, ular TCP va UDP portlarini skanerlash (ulanishni skanerlash va FTP skanerlashdan tashqari) va OTni aniqlashni o'z ichiga oladi. Versiyani aniqlash va Nmap skript mexanizmi kabi xususiyatlar odatda parchalanishni qo'llab-quvvatlamaydi, chunki ular maqsadli xizmatlar bilan bog'lanish uchun xostingizning TCP stekiga tayanadi.
-D [,][,ME][,...] (Skanerni hiylalar bilan yopish)
Bu hiyla-nayrangni skanerlashni amalga oshiradi, bu esa masofaviy xostga siz aldashchi sifatida ko'rsatgan xost(lar) maqsadli tarmoqni ham skanerlayotgandek ko'rinadi. Shunday qilib, ularning IDS noyob IP manzillaridan 5-10 port skanerlashi haqida xabar berishi mumkin, ammo ular qaysi IP ularni skanerlayotganini va qaysilari begunoh hiyla ekanligini bilmaydi. Buni marshrutizator yo'lini kuzatish, javobni o'chirish va boshqa faol mexanizmlar orqali engish mumkin bo'lsa-da, bu odatda IP manzilingizni yashirishning samarali usuli hisoblanadi.
Har bir hiyla-nayrang xostini vergul bilan ajrating va siz ixtiyoriy ravishda ME haqiqiy IP manzilingiz pozitsiyasini ifodalash uchun hiyla-nayranglardan biri sifatida foydalanishingiz mumkin. Agar siz MEoltinchi yoki undan keyingi o'ringa qo'ysangiz, ba'zi bir umumiy port skanerlash detektorlari (masalan, Solar Designerning ajoyib Scanlogd) IP manzilingizni umuman ko'rsatmasligi dargumon. dan foydalanmasangiz ME, Nmap sizni tasodifiy holatga qo'yadi. Siz RND tasodifiy, zahiralanmagan IP manzilni yaratish yoki manzillarni yaratish uchun ham foydalanishingiz mumkin .RND: E'tibor bering, siz aldash uchun foydalanadigan xostlar yuqori bo'lishi kerak, aks holda siz tasodifan SYN maqsadlaringizni to'ldirishingiz mumkin. Bundan tashqari, agar tarmoqda faqat bittasi bo'lsa, qaysi xost skanerlashini aniqlash juda oson bo'ladi. Ismlar o'rniga IP manzillardan foydalanishni xohlashingiz mumkin (shuning uchun hiyla-nayrang tarmoqlari sizni o'z nom serverlari jurnallarida ko'rmaydi). Hozirda tasodifiy IP-manzil yaratish faqat IPv4 bilan qo'llab-quvvatlanadi
Hiylalar xostni dastlabki skanerlashda (ICMP, SYN, ACK yoki boshqasidan foydalanish) va portni skanerlash bosqichida qo'llaniladi. Hiyla-nayranglar OSni masofadan aniqlashda ham qo'llaniladi ( -O). Hiylalar versiyani aniqlash yoki TCP ulanish skanerlash bilan ishlamaydi. Skanerlash kechikishi amalda bo'lsa, kechikish har bir alohida zond o'rtasida emas, balki soxta problarning har bir partiyasi o'rtasida amalga oshiriladi. Hiylalar bir vaqtning o'zida to'plam sifatida yuborilganligi sababli, ular tirbandlikni nazorat qilish chegaralarini vaqtincha buzishi mumkin.
Shuni ta'kidlash kerakki, juda ko'p hiyla-nayranglardan foydalanish skanerlashni sekinlashtirishi va hatto uni kamroq aniqlashtirishi mumkin. Bundan tashqari, ba'zi provayderlar sizning soxta paketlaringizni filtrlaydi, lekin ko'pchilik soxta IP-paketlarni umuman cheklamaydi.
-S (Spoof manba manzili)
Ba'zi hollarda Nmap sizning manba manzilingizni aniqlay olmasligi mumkin (Nmap sizga shunday bo'lganligini aytib beradi). Bunday -Sholda, paketlarni yubormoqchi bo'lgan interfeysning IP-manzilidan foydalaning.
Ushbu bayroqdan yana bir foydalanish mumkin bo'lgan maqsadlarni kimdir ularni skanerlayapti deb o'ylash uchun skanerlashni soxtalashtirishdir. Tasavvur qiling-a, kompaniya bir necha marta raqobatchi tomonidan skanerdan o'tkazilmoqda! -eVariant va -Pnodatda bunday foydalanish uchun talab qilinadi . Esda tutingki, siz odatda javob paketlarini qaytarib olmaysiz (ular siz aldagan IP manziliga yuboriladi), shuning uchun Nmap foydali hisobotlarni yaratmaydi.
-e (Belgilangan interfeysdan foydalaning)
Nmap-ga qaysi interfeysda paketlarni yuborish va qabul qilish kerakligini aytadi. Nmap buni avtomatik ravishda aniqlay olishi kerak, lekin buni qila olmasligini sizga aytadi.
--source-port ; -g (Spoof manba port raqami)
Ajablanarli darajada keng tarqalgan noto'g'ri konfiguratsiyalardan biri faqat manba port raqamiga asoslangan trafikga ishonishdir. Bu qanday sodir bo'lishini tushunish oson. Administrator yangi yaltiroq xavfsizlik devorini o'rnatadi, faqat ilovalari ishlamay qolgan noshukur foydalanuvchilarning shikoyatlari bilan to'lib toshadi. Xususan, DNS buzilgan bo'lishi mumkin, chunki tashqi serverlarning UDP DNS javoblari endi tarmoqqa kira olmaydi. FTP - yana bir keng tarqalgan misol. Faol FTP o'tkazmalarida masofaviy server so'ralgan faylni uzatish uchun mijozga qayta ulanishga harakat qiladi.
Ushbu muammolarning xavfsiz echimlari ko'pincha dastur darajasidagi proksi-serverlar yoki protokolni tahlil qiluvchi xavfsizlik devori modullari shaklida mavjud. Afsuski, oson, xavfsiz echimlar ham mavjud. DNS javoblari 53-portdan va faol FTP 20-portdan kelishini taʼkidlagan holda, koʻplab maʼmurlar ushbu portlardan kiruvchi trafikka ruxsat berish tuzogʻiga tushib qolishgan. Ular ko'pincha hech qanday tajovuzkor bunday xavfsizlik devori teshiklarini sezmaydi va foydalanmaydi deb o'ylashadi. Boshqa hollarda, ma'murlar xavfsizroq yechimni amalga oshirmaguncha, buni qisqa muddatli to'xtash chorasi deb hisoblashadi. Keyin ular xavfsizlikni yangilashni unutishadi.
Ortiqcha ishlagan tarmoq ma'murlari bu tuzoqqa tushib qolishgan yagona odamlar emas. Ko'plab mahsulotlar ushbu xavfsiz qoidalar bilan jo'natildi. Hatto Microsoft ham aybdor. Windows 2000 va Windows XP bilan birga yuborilgan IPsec filtrlari 88-portdan (Kerberos) barcha TCP yoki UDP trafigiga ruxsat beruvchi yashirin qoidani o'z ichiga oladi. Yana bir taniqli holatda, Zone Alarm shaxsiy xavfsizlik devorining 2.1.25 gacha versiyalari manba porti 53 (DNS) yoki 67 (DHCP) bilan har qanday kiruvchi UDP paketlariga ruxsat berdi.
Nmap ushbu zaif tomonlardan foydalanish uchun -gva --source-portvariantlarini taklif qiladi (ular ekvivalent). Shunchaki port raqamini ko'rsating va Nmap iloji bo'lsa, ushbu portdan paketlarni yuboradi. SYN va UDP skanerlarini o'z ichiga olgan xom rozetkalardan foydalanadigan ko'pgina skanerlash operatsiyalari ushbu variantni to'liq qo'llab-quvvatlaydi. Ushbu parametr oddiy operatsion tizim rozetkalari, jumladan DNS so'rovlari, TCP connect skanerlashi, versiyani aniqlash va skriptni skanerlash kabi operatsiyalarga ta'sir qilmaydi. Manba portini o'rnatish ham OTni aniqlashda ishlamaydi, chunki Nmap ma'lum OS aniqlash testlari to'g'ri ishlashi uchun turli port raqamlaridan foydalanishi kerak.
--data (Jo'natilgan paketlarga maxsus ikkilik ma'lumotlarni qo'shing)
Ushbu parametr ikkilik ma'lumotlarni yuborilgan paketlarga foydali yuk sifatida kiritish imkonini beradi. quyidagi formatlardan birida ko'rsatilishi mumkin: , yoki . Foydalanish misollari va . E'tibor bering, agar siz raqamni ko'rsatsangiz, bayt tartibini o'zgartirish amalga oshirilmaydi. Qabul qiluvchi tomonidan kutilgan bayt tartibida ma'lumotni ko'rsatganingizga ishonch hosil qiling. 0xAABBCCDDEEFF<...>AABBCCDDEEFF<...>\xAA\xBB\xCC\xDD\xEE\xFF<...>--data 0xdeadbeef--data \xCA\xFE\x090x00ff
--data-string (Yuborilgan paketlarga maxsus satr qo'shing)
Ushbu parametr yuborilgan paketlarga foydali yuk sifatida oddiy qatorni kiritish imkonini beradi. har qanday qatorni o'z ichiga olishi mumkin. Biroq, ba'zi belgilar tizimingizning mahalliy parametriga bog'liq bo'lishi va qabul qiluvchi bir xil ma'lumotni ko'rmasligi mumkinligini unutmang. Bundan tashqari, satrni qo'sh tirnoq ichiga olganingizga va qobiqdagi har qanday maxsus belgilardan qochishingizga ishonch hosil qiling. Misollar: --data-string "Scan conducted by Security Ops, extension 7192" yoki --data-string "Ph34r my l33t skills". Yodda tutingki, agar ular tarmoqni sniffer yoki maxsus IDS qoidalari bilan diqqat bilan kuzatmasalar, hech kim ushbu parametr qoldirilgan izohlarni ko'rmaydi.
--data-length (Tasodifiy ma'lumotlarni yuborilgan paketlarga qo'shing)
Odatda Nmap faqat sarlavhani o'z ichiga olgan minimalist paketlarni yuboradi. Shunday qilib, uning TCP paketlari odatda 40 bayt va ICMP echo so'rovlari bor-yo'g'i 28 baytni tashkil qiladi. Ba'zi UDP portlari va IP protokollari sukut bo'yicha maxsus foydali yukni oladi. Ushbu parametr Nmap-ga o'zi yuboradigan paketlarning aksariyatiga tasodifiy baytlarning berilgan sonini qo'shishni va hech qanday protokolga xos foydali yuklardan foydalanmaslikni aytadi. ( --data-length 0 Tasodifiy yoki protokolga xos foydali yuklar uchun foydalaning. OS aniqlash ( -O) paketlariga ta'sir qilmaydi chunki u erda aniqlik probning izchilligini talab qiladi, lekin ko'pchilik ping va portscan paketlari buni qo'llab-quvvatlaydi. Bu ishlarni biroz sekinlashtiradi, lekin skanerlashni biroz kamroq ko'rishga olib kelishi mumkin.
--ip-options ; --ip-options (Ma'lum IP parametrlari bilan paketlarni yuboring)
IP protokoli paket sarlavhalariga joylashtirilishi mumkin bo'lgan bir nechta variantlarni taklif qiladi . Hamma joyda mavjud bo'lgan TCP opsiyalaridan farqli o'laroq, IP-opsiyalari amaliylik va xavfsizlik muammolari tufayli kamdan-kam uchraydi. Darhaqiqat, ko'plab Internet-routerlar manbalarni yo'naltirish kabi eng xavfli variantlarni bloklaydi. Biroq, variantlar ba'zi hollarda maqsadli mashinalarga tarmoq marshrutini aniqlash va manipulyatsiya qilish uchun foydali bo'lishi mumkin. Misol uchun, traceroute uslubidagi an'anaviy yondashuvlar muvaffaqiyatsiz bo'lganda ham nishonga yo'lni aniqlash uchun marshrutni yozib olish opsiyasidan foydalanishingiz mumkin. Yoki sizning paketlaringiz ma'lum bir xavfsizlik devori tomonidan tushirilsa, siz qat'iy yoki bo'sh manba marshrutlash opsiyalari bilan boshqa marshrutni belgilashingiz mumkin.
IP opsiyalarini belgilashning eng kuchli usuli bu qiymatlarni argument sifatida o'tkazishdir --ip-options. Har bir olti burchakli raqamdan \xoldin ikkita raqamni qo'ying. Ba'zi belgilarni yulduzcha bilan kuzatib, so'ngra ularni necha marta takrorlashni xohlayotganingizni takrorlashingiz mumkin. Masalan, \x01\x07\x04\x00*36\x0136 NUL baytdan iborat olti burchakli qator.
Nmap shuningdek, variantlarni belgilash uchun yorliq mexanizmini taklif qiladi. Yozuv marshruti, vaqt tamg'asi yoki ikkala variantni mos ravishda so'rash uchun R, T, yoki harfini o'tkazing. Bo'sh yoki qat'iy manba marshruti bo'sh joy yoki bo'sh joy, so'ngra bo'sh joy bilan ajratilgan IP manzillar ro'yxati bilan ko'rsatilishi mumkin .ULS
Yuborilgan va qabul qilingan paketlardagi variantlarni ko'rishni istasangiz, belgilang --packet-trace. Qo'shimcha ma'lumot va Nmap bilan IP opsiyalaridan foydalanish misollari uchun qarang https://seclists.org/nmap-dev/2006/q3/52 .
--ttl (IP-ning yashash muddati maydonini o'rnatish)
Yuborilgan paketlardagi IPv4 vaqt oralig'ini berilgan qiymatga o'rnatadi.
--randomize-hosts(Maqsadli xost tartibini tasodifiy qilish)
Nmap-ga skanerlashdan oldin 16384 tagacha xostdan iborat har bir guruhni aralashtirishni aytadi. Bu turli tarmoq monitoringi tizimlari uchun skanerlashlarni kamroq ravshan qilishi mumkin, ayniqsa uni sekin vaqt parametrlari bilan birlashtirganda. Kattaroq guruh o'lchamlari bo'yicha randomizatsiya qilishni istasangiz, ko'paytiring PING_GROUP_SZ va nmap.h qayta kompilyatsiya qiling. Muqobil yechim - ro'yxatni skanerlash ( ) bilan maqsadli IP ro'yxatini yaratish, uni Perl skripti bilan tasodifiy qilish va keyin butun ro'yxatni Nmap-ga taqdim etishdir .-sL -n -oN -iL
--spoof-mac (Spoof MAC manzili)
Nmap yuboradigan barcha chekilgan chekilgan ramkalar uchun berilgan MAC manzilidan foydalanishni so'raydi. Ushbu parametr --send-eth Nmap haqiqatan ham Ethernet darajasidagi paketlarni yuborishini ta'minlashni nazarda tutadi. Berilgan MAC bir nechta formatlarni olishi mumkin. Agar bu shunchaki raqam 0bo'lsa, Nmap sessiya uchun mutlaqo tasodifiy MAC manzilini tanlaydi. Agar berilgan qator olti burchakli raqamlarning juft soni bo'lsa (juftlar ixtiyoriy ravishda ikki nuqta bilan ajratilgan holda), Nmap ularni MAC sifatida ishlatadi. Agar 12 dan kam olti burchakli raqam berilsa, Nmap olti baytning qolgan qismini tasodifiy qiymatlar bilan to'ldiradi. Agar argument nol yoki olti burchakli satr bo'lmasa, Nmap nmap-mac-prefixesberilgan satrni o'z ichiga olgan sotuvchi nomini topish uchun tekshiradi (u katta-kichik harflarga sezgir emas). Agar moslik topilsa, Nmap sotuvchining OUI dan foydalanadi (uch baytlik prefiks) va qolgan uchta baytni tasodifiy ravishda to'ldiradi. To‘g‘ri --spoof-macargument misollari Apple, 0, 01:02:03:04:05:06, deadbeefcafe, 0020F2va Cisco. Ushbu parametr faqat SYN skanerlash yoki OS aniqlash kabi xom paketli skanerlarga ta'sir qiladi, versiyani aniqlash yoki Nmap skript mexanizmi kabi ulanishga yo'naltirilgan xususiyatlarga emas.
--proxies (TCP ulanishlarini proksi-serverlar zanjiri orqali uzating)
Nmap-dan bir yoki bir nechta HTTP yoki SOCKS4 proksi-serverlarining taqdim etilgan zanjiri orqali yakuniy maqsad bilan TCP ulanishlarini o'rnatishni so'raydi . Proksi-serverlar skanerlashning haqiqiy manbasini yashirishga yoki xavfsizlik devorining ma'lum cheklovlarini chetlab o'tishga yordam beradi, ammo ular kechikish vaqtini oshirish orqali skanerlash ishiga xalaqit berishi mumkin. Foydalanuvchilar Nmap kutish vaqti va boshqa skanerlash parametrlarini mos ravishda sozlashlari kerak bo'lishi mumkin. Xususan, pastroq --max-parallelismyordam berishi mumkin, chunki ba'zi proksi-serverlar Nmap sukut bo'yicha ochilganidek, bir vaqtning o'zida ko'plab ulanishlarni boshqarishni rad etishadi.
Ushbu parametr argument sifatida formatdagi URL manzillar sifatida ifodalangan proksi-serverlar ro'yxatini oladi proto://host:port. Zanjirdagi tugun URL manzillarini ajratish uchun vergullardan foydalaning. Hali hech qanday autentifikatsiya qo'llab-quvvatlanmaydi. Amaldagi protokollar HTTPva SOCKS4.
Ogohlantirish: bu xususiyat hali ishlab chiqilmoqda va cheklovlar mavjud. U nsock kutubxonasida amalga oshiriladi va shuning uchun skanerlashning ping, port skanerlash va OSni aniqlash bosqichlariga ta'sir qilmaydi. Hozircha bu variantdan faqat NSE va versiyani skanerlash foyda ko‘radi — boshqa funksiyalar haqiqiy manzilingizni oshkor qilishi mumkin. SSL ulanishlari hali qo'llab-quvvatlanmaydi va proksi-serverning DNS ruxsati ham qo'llab-quvvatlanmaydi (host nomlari har doim Nmap tomonidan hal qilinadi).
--badsum(Soxta TCP/UDP nazorat summalari bilan paketlarni yuboring)
Nmap-dan maqsadli xostlarga yuborilgan paketlar uchun yaroqsiz TCP, UDP yoki SCTP nazorat summasidan foydalanishni so'raydi. Deyarli barcha xost IP steklari ushbu paketlarni to'g'ri tashlab yuborganligi sababli, qabul qilingan har qanday javoblar xavfsizlik devori yoki nazorat summasini tekshirishni bezovta qilmagan IDS dan keladi. Ushbu texnika haqida ko'proq ma'lumot olish uchun qaranghttps://nmap.org/p60-12.html --adler32(SCTP nazorat summalari uchun CRC32C o'rniga eskirgan Adler32 dan foydalaning)
Nmap-dan SCTP nazorat summasini hisoblash uchun eskirgan Adler32 algoritmidan foydalanishni so'raydi. Agar --adler32 berilmasa, CRC-32C (Castagnoli) ishlatiladi. RFC 2960 dastlab Adler32 ni SCTP uchun nazorat yig'indisi algoritmi sifatida aniqlagan; Keyinchalik RFC 4960 CRC-32C dan foydalanish uchun SCTP nazorat summalarini qayta aniqladi. Joriy SCTP ilovalari CRC-32C dan foydalanishi kerak, ammo eski, eski SCTP ilovalaridan javob olish uchun Adler32 dan foydalanish afzalroq bo'lishi mumkin.