Porttien skannaustekniikat

-sS(TCP SYN-skannaus)

SYN-skannaus on oletusarvoinen ja suosituin skannausvaihtoehto hyvistä syistä. Se voidaan suorittaa nopeasti ja skannata tuhansia portteja sekunnissa nopeassa verkossa, jota eivät haittaa rajoittavat palomuurit. Se on myös suhteellisen huomaamaton ja huomaamaton, koska se ei koskaan päätä TCP-yhteyksiä. SYN-skannaus toimii mitä tahansa yhteensopivaa TCP-pinoa vastaan sen sijaan, että se riippuisi tiettyjen alustojen erityispiirteistä, kuten NmapinFIN/NULL/Xmas-, Maimon- ja idle-skannaukset. Se mahdollistaa myös selkeän ja luotettavan erottelun open,closed ja filteredtilojen välillä.

Tätä tekniikkaa kutsutaan usein puoliavoimeksi skannaukseksi,koska täyttä TCP-yhteyttä ei avata. Lähetät SYN-paketin,ikään kuin avaisit oikean yhteyden ja odotat sitten vastausta. SYN/ACK osoittaa, että portti kuuntelee (avoin), kun taasRST (reset) osoittaa, että portti ei kuuntele. Jos vastausta ei saada useiden uudelleenlähetysten jälkeen, portti merkitään suodatetuksi. Portti merkitään suodatetuksi myös, jos vastaanotetaan ICMP unreachableerror (tyyppi 3, koodi 0, 1, 2, 3, 9, 10 tai 13). Portti katsotaan myös avoimeksi, jos vastauksena vastaanotetaan SYN-paketti (ilman ACK-merkkiä). Tämä voi johtua erittäin harvinaisesta TCP-ominaisuudesta, jota kutsutaan samanaikaiseksi avoimeksi tai jaetuksi kättely-yhteydeksi (ks. https://nmap.org/misc/split-handshake.pdf).

-sT(TCP connect scan)

TCP connect scan on oletusarvoinen TCP-tarkistustyyppi, kun SYN-tarkistus ei ole vaihtoehto. Näin on silloin, kun käyttäjällä ei ole raw packet -oikeuksia. Sen sijaan, että Nmap kirjoittaisi raakapaketteja, kuten useimmat muut skannaustyypit tekevät, se pyytää taustalla olevaa käyttöjärjestelmää luomaan yhteyden kohdekoneeseen ja -porttiin antamalla connect-järjestelmäkutsun. Tämä on sama korkean tason järjestelmäkutsu, jota verkkoselaimet, P2P-asiakkaat ja useimmat muut verkkokäyttöiset sovellukset käyttävät yhteyden muodostamiseen.Se on osa ohjelmointirajapintaa, joka tunnetaan nimellä Berkeley SocketsAPI. Sen sijaan, että Nmap lukisi raakapakettivastauksia langalta, se käyttää tätä API:ta saadakseen tilatietoja jokaisesta yhteysyrityksestä.

Kun SYN-skannaus on käytettävissä, se on yleensä parempi valinta. Nmapillaon vähemmän kontrollia korkean tason connect kutsuun kuin raakapakettien kanssa, mikä tekee siitä tehottomamman. Järjestelmäkutsu täydentää yhteydet avoinna oleviin kohdeportteihin sen sijaan, että se suorittaisi SYN-skannauksen tekemän puoliavoimen nollauksen. Tämä kestää kauemmin ja vaatii enemmän paketteja saman tiedon saamiseksi, ja lisäksi kohdekoneet kirjaavat yhteyden todennäköisemmin lokiin. Kunnollinen IDS havaitsee kumman tahansa, mutta useimmissa koneissa ei ole tällaista hälytysjärjestelmää. Monet tavallisen Unix-järjestelmän palvelut lisäävät huomautuksen syslogiin ja joskus kryptisen virheilmoituksen, kun Nmap muodostaa yhteyden ja sulkee sen jälkeen yhteyden lähettämättä tietoja. Todella säälittävät palvelut kaatuvat, kun näin tapahtuu, mutta se on harvinaista. Ylläpitäjän, joka näkee yhdestä järjestelmästä lokitiedoissaan kasan yhteysyrityksiä, pitäisi tietää, että järjestelmä on skannattu.

-sU(UDP-skannaukset)

Vaikka useimmat Internetin suositut palvelut toimivat TCP-protokollan kautta, UDP-palvelut ovat laajalti käytössä. DNS, SNMP ja DHCP (rekisteröidyt portit 53, 161/162 ja 67/68) ovat kolme yleisintä. Koska UDP:n skannaus on yleensä hitaampaa ja vaikeampaa kuin TCP:n, jotkut tietoturvatarkastajat jättävät nämä portit huomiotta. Tämä on virhe, sillä hyödynnettävät UDP-palvelut ovat varsin yleisiä, eivätkä hyökkääjät todellakaan jätä koko protokollaa huomiotta. Onneksi Nmap voi auttaa inventoimaanUDP-portit.

UDP-skannaus aktivoidaan -sU-valinnalla. Se voidaan yhdistää TCP-skannaustyyppiin, kuten SYN-skannaukseen (-sS), jotta molemmat protokollat voidaan tarkistaa saman suorituksen aikana.

UDP-skannaus toimii lähettämällä UDP-paketti jokaiseen kohdeporttiin. Joihinkin yleisiin portteihin, kuten 53 ja 161, lähetetään protokollakohtainen hyötykuorma vastausnopeuden lisäämiseksi, mutta useimpien porttien osalta paketti on tyhjä, ellei --data,--data-string tai --data-length-optioita ole määritetty.Jos palautetaan ICMP-portin tavoittamattomissa oleva virhe (tyyppi 3, koodi 3), portti on closed. Muut ICMP-virheet (tyyppi 3, koodit 0, 1, 2, 9, 10 tai 13) merkitsevät porttia filtered. Toisinaan palvelu vastaa UDP-paketilla, joka osoittaa, että portti on open. Jos vastausta ei saada uudelleenlähetysten jälkeen, portti luokitellaan open|filtered:ksi. Tämä tarkoittaa, että portti voi olla auki, tai ehkä pakettisuodattimet estävät tiedonsiirron. Versiotunnistusta(-sV) voidaan käyttää apuna erottamaan todella avoimet portit suodatetuista.

UDP-skannauksen suuri haaste on tehdä se nopeasti.Avoimet ja suodatetut portit lähettävät harvoin mitään vastausta, jolloin Nmap joutuu käyttämään aikakatkaisua ja suorittamaan uudelleenlähetyksiä siltä varalta, että luotain tai vastaus katoaa. Suljetut portit ovat usein vielä suurempi ongelma.Ne lähettävät yleensä takaisin ICMP port unreachable -virheen. Mutta toisin kuin suljettujen TCP-porttien SYN- tai connectscan-vastauksena lähettämätRST-paketit, monet isännät rajoittavat oletusarvoisestiICMP-portin tavoittamattomat viestit.Linux ja Solaris ovat erityisen tiukkoja tämän suhteen. Esimerkiksi Linuxin 2.4.20-ydin rajoittaa määränpään tavoittamattomat viestit yhteen sekunnissa (net/ipv4/icmp.c).

Nmap havaitsee nopeusrajoituksen ja hidastaa nopeutta sen mukaisesti välttääkseen verkon tulvimisen turhilla paketeilla, jotka kohdekone hylkää. Valitettavasti Linux-tyylinen rajoitus yksi paketti sekunnissa saa 65 536 portin skannauksen kestämään yli 18 tuntia. Ideoita UDP-skannauksen nopeuttamiseksi ovat useampien isäntien skannaaminen rinnakkain, vain suosittujen porttien nopea skannaaminen ensin, skannaaminen palomuurin takaa ja --host-timeout:n käyttäminen hitaiden isäntien ohittamiseen.

-sY(SCTP INIT -skannaus)

SCTP on suhteellisen uusi vaihtoehto TCP- ja UDP-protokollien rinnalle, ja se yhdistelee useimpia TCP:n ja UDP:n ominaisuuksia, ja lisäksi se on lisännyt niihin uusia ominaisuuksia, kuten multi-homingin ja monivirtauksen. Sitä käytetään enimmäkseen SS7/SIGTRANiin liittyvissä palveluissa, mutta sitä voidaan käyttää myös muissa sovelluksissa.SCTP INIT scan on SCTP:n vastine TCP SYN scanille.Se voidaan suorittaa nopeasti ja skannata tuhansia portteja sekunnissa nopeassa verkossa, jota eivät haittaa rajoittavat palomuurit.Kuten SYN scan, INIT scan on suhteellisen huomaamaton ja salamyhkäinen, koska se ei koskaan päätä SCTP-yhteyksiä. Se mahdollistaa myös selkeän ja luotettavan erottelun open,closed ja filteredtilojen välillä.

Tätä tekniikkaa kutsutaan usein puoliavoimeksi skannaukseksi,koska et avaa täyttä SCTP-yhteyttä. Lähetät INITchunkin, ikään kuin avaisit todellisen assosiaation, ja odotat vastausta. INIT-ACK-katkelma osoittaa, että portti kuuntelee (avoin), kun taas ABORT-katkelma osoittaa, että portti ei kuuntele. Jos vastausta ei saada useiden uudelleenlähetysten jälkeen, portti merkitään suodatetuksi. Portti merkitään suodatetuksi myös, jos vastaanotetaan ICMPunreachable-virhe (tyyppi 3, koodi 0, 1, 2, 3, 9, 10 tai 13).

-sN;-sF;-sX(TCP:n NULL-, FIN- ja Xmas-skannaukset)

Nämä kolme skannaustyyppiä (seuraavassa luvussa kuvatulla --scanflags-optiolla on mahdollista käyttää useampia tyyppejä)käyttävät hyväkseen TCP:n RTK:ssa olevaa hienovaraista aukkoa, jonka avulla ne voidaan erottaa toisistaan portit, joissa on open:n jaclosed. RFC 793:n sivulla 65 sanotaan, että ”jos portin tila on CLOSED …. saapuva segmentti, joka ei sisällä RST:tä, aiheuttaa RST:n lähettämisen vastauksena”. Seuraavalla sivulla käsitellään avoimiin portteihin lähetettyjä paketteja, joissa ei ole SYN-, RST- tai ACK-bittejä, ja todetaan, että: ”

Kun skannaat tämän RFC:n tekstin mukaisia järjestelmiä, kaikki paketit, jotka eivät sisällä SYN-, RST- tai ACK-bittejä, johtavat RST-palautteeseen, jos portti on suljettu, ja jos portti on avoinna, niihin ei vastata lainkaan. Niin kauan kuin mikään näistä kolmesta bitistä ei ole mukana, mikä tahansa kolmen muun bitin (FIN, PSH ja URG) yhdistelmä on OK. Nmap hyödyntää tätä kolmella skannaustyypillä:

Nämä kolme skannaustyyppiä käyttäytyvät täsmälleen samalla tavalla lukuun ottamatta TCP-lippujen asettamista koepaketeissa. Jos vastaanotetaan RST-paketti, portti katsotaan closed:ksi, kun taas ei vastausta tarkoittaa, että se on open|filtered. Portti merkitään filtered, jos vastaanotetaan ICMP unreachable -virhe (tyyppi 3, koodi0, 1, 2, 3, 9, 10 tai 13).

Tärkein etu näissä skannaustyypeissä on se, että ne voivat päästä tiettyjen ei-stateful-palomuurien ja pakettisuodatusreitittimien läpi. Toinen etu on se, että nämä skannaustyypit ovat hieman huomaamattomampia kuin jopa SYN-skannaus. Älä kuitenkaan luota tähän – useimmat nykyaikaiset IDS-tuotteet voidaan määrittää havaitsemaan ne. Suuri haittapuoli on se, että kaikki järjestelmät eivät noudata RFC 793:aa kirjaimellisesti. Useat järjestelmät lähettävät RST-vastauksia koettimiin riippumatta siitä, onko portti auki vai ei. Tämä aiheuttaa sen, että kaikki portit merkitään closed. Tärkeimmät käyttöjärjestelmät, jotka tekevät näin, ovat Microsoft Windows, monet Ciscon laitteet, BSDI ja IBM OS/400. Tämä skannaus toimii kuitenkin useimpia Unix-pohjaisia järjestelmiä vastaan. Toinen haittapuoli näissä tarkistuksissa on se, että ne eivät pysty erottamaan open-portteja tietyistä filtered-porteista, jolloin saat vastaukseksi open|filtered.

-sA(TCP ACK scan)

Tämä tarkistus eroaa muista tähän mennessä käsitellyistä siinä, että se ei koskaan määritä open-portteja (tai edes open|filtered-portteja). Sitä käytetään palomuurin sääntösarjojen kartoittamiseen ja sen määrittämiseen, ovatko ne tilannekohtaisia vai eivät ja mitkä portit suodatetaan.

ACK-skannauksen tunnustelupaketissa on vain ACK-lippu asetettu (ellet käytä --scanflags). Kun skannataan suodattamattomia järjestelmiä,open– ja closed-portitpalauttavat molemmat RST-paketin. Nmap merkitsee ne sitten unfiltered:ksi, mikä tarkoittaa, että ne ovat tavoitettavissaACK-paketilla, mutta sitä, ovatko ne open vai closed, ei määritetä. Portit, jotka eivät vastaa tai lähettävät tiettyjä ICMP-virheilmoituksia (tyyppi 3, koodi 0, 1, 2, 3, 9, 10 tai 13), merkitään filtered.

-sW(TCP Window scan)

Window scan on täsmälleen sama kuin ACK scan, paitsi että se hyödyntää tiettyjen järjestelmien toteutuksen yksityiskohtaa erottaakseen avoimet portit suljetuista porteista sen sijaan, että se tulostaisi aina unfiltered, kun RST palautetaan. Se tekee tämän tutkimalla palautettujen RST-pakettien TCP Window -kenttää. Joissakin järjestelmissä avoimet portit käyttävät positiivista ikkunakokoa (myös RST-paketeille), kun taas suljetuilla porteilla on nolla-ikkuna. Sen sijaan, että portti listattaisiin aina unfiltered:ksi, kun se saa RST-paketin takaisin, Window scan listaa portin open:ksi tai closed:ksi, jos TCP Window -arvo kyseisessä palautuksessa on positiivinen tai nolla.

Tämä skannaus perustuu toteutuksen yksityiskohtiin, joita on vain harvoissa järjestelmissä Internetissä, joten siihen ei voi aina luottaa. Järjestelmät, jotka eivät tue sitä, palauttavat yleensä kaikki portitclosed. On tietysti mahdollista, että koneella ei oikeasti ole yhtään avointa porttia. Jos suurin osa skannatuista porteista onclosed, mutta muutama yleinen porttinumero (kuten 22,25, 53) on filtered, järjestelmä on todennäköisesti altis. Toisinaan järjestelmät käyttäytyvät jopa päinvastoin. Jos skannaus näyttää 1000 avointa porttia ja kolme suljettua tai suodatettua porttia, nuo kolme voivat hyvinkin olla todella avoimia portteja.

-sM(TCP Maimon -skannaus)

Maimon -skannaus on nimetty sen keksijän, Uriel Maimon, mukaan.Hän kuvasi tekniikan Phrack Magazinen numerossa 49 (marraskuu 1996).Nmap, joka sisälsi tämän tekniikan, julkaistiin kahta numeroa myöhemmin.Tekniikka on täsmälleen sama kuin NULL-, FIN- ja Xmas-skannaukset, paitsi että koettimena on FIN/ACK. RFC 793:n (TCP) mukaan RST-paketti pitäisi tuottaa vastauksena tällaiseen koetteluun riippumatta siitä, onko portti auki vai kiinni. Uriel kuitenkin huomasi, että monet BSD:stä johdetut järjestelmät yksinkertaisesti hylkäävät paketin, jos portti on auki.

--scanflags(Mukautettu TCP-skannaus)

Todella edistyneiden Nmap-käyttäjien ei tarvitse rajoittua tarjottuihin skannaustyyppeihin. Vaihtoehdon --scanflags avulla voit suunnitella oman skannauksesi määrittämällä mielivaltaiset TCP-lippuvalinnat.Anna luovuutesi virrata, samalla kun vältät tunkeutumisen havaitsemisjärjestelmät, joiden toimittajat yksinkertaisesti selaavat Nmapin man-sivua ja lisäävät tietyt säännöt!

--scanflags-argumentti voi olla numeerinenlippuarvo, kuten 9 (PSH ja FIN), mutta symbolisten nimien käyttäminen on helpompaa. Yhdistä vain kaikki yhdistelmät URG,ACK, PSH,RST, SYN ja FIN. Esimerkiksi --scanflagsURGACKPSHRSTSYNFIN asettaa kaiken, vaikka se ei olekaan kovin hyödyllinen skannauksessa. Järjestyksellä, jossa nämä on määritetty, ei ole merkitystä.

Haluttujen lippujen määrittämisen lisäksi voit määrittääTCP-skannaustyypin (kuten -sA tai -sF).Tämä perustyyppi kertoo Nmapille, miten vastauksia tulkitaan. Esimerkiksi SYN-skannaus pitää vastauksen puuttumista merkkinäfiltered-portista, kun taas FIN-skannaus käsittelee samaa kuinopen|filtered. Nmap käyttäytyy samalla tavalla kuin se käyttäytyy perusskannaustyypille, paitsi että se käyttää sen sijaan määrittämiäsi TCP-lippuja. Jos et määritä perustyyppiä, käytetään SYN-skannausta.

-sZ(SCTP COOKIE ECHO -skannaus)

SCTP COOKIE ECHO -skannaus on kehittyneempi SCTP-skannaus. Siinä hyödynnetään sitä, että SCTP-toteutusten pitäisi hiljaisesti pudottaa COOKIE ECHO -palasia sisältävät paketit avoimissa porteissa, mutta lähettää ABORT, jos portti on suljettu.Tämän skannaustyypin etuna on se, että se ei ole yhtä ilmeinen porttiskannaus kuin INIT-skannaus. Lisäksi voi olla muita kuin statefulfirewall-sääntöjä, jotka estävät INIT-paketteja, mutta eivät COOKIE ECHO-paketteja. Älä luule, että tämä tekee porttiskannauksesta näkymättömän; hyvä IDS pystyy havaitsemaan myös SCTPCOOKIE ECHO -skannaukset.Huonona puolena on se, että SCTP COOKIE ECHO -skannaukset eivät pysty erottamaan open– ja filtered-portteja toisistaan, vaan molemmissa tapauksissa tilanne on open|filtered.

-sI <zombie host>(tyhjäkäyntiskannaus)

Tämä kehittynyt skannausmenetelmä mahdollistaa kohteen TCP-porttiskannauksen todella sokkona (eli kohteeseen ei lähetetä paketteja oikeasta IP-osoitteestasi). Sen sijaan ainutlaatuinen sivukanavahyökkäys käyttää hyväkseen ennakoitavissa olevaa IP-pirstoutumisen ID-sekvenssin luomista zombie-isännällä saadakseen tietoa kohteen avoimista porteista. IDS-järjestelmät näyttävät skannauksen tulevan määrittämästäsi zombikoneesta (jonka on oltava toiminnassa ja täytettävä tietyt kriteerit). Täydelliset tiedot tästä kiehtovasta skannaustyypistä ovat kohdassa ”TCP Idle Scan (-sI)”.

Sen lisäksi, että tämä skannaustyyppi on poikkeuksellisen huomaamaton (sokean luonteensa vuoksi), se mahdollistaa koneiden välisten IP-pohjaisten luottamussuhteiden kartoittamisen. Porttiluettelo näyttää avoimet portit zombie-isännän näkökulmasta. Voit siis kokeilla kohteen skannausta käyttämällä erilaisia zombeja, joihin uskot voivasi luottaa (reititin-/pakettisuodatinsääntöjen avulla).

Voit lisätä kaksoispisteen ja sen jälkeen porttinumeron zombie-isännän kohdalle, jos haluat tutkia tiettyä zombie-porttia IP-tunnuksen muutosten varalta. Muussa tapauksessa Nmap käyttää porttia, jota se käyttää oletusarvoisesti TCP-pingeihin (80).

-sO(IP-protokollan skannaus)

IP-protokollan skannauksen avulla voit määrittää, mitä IP-protokollia (TCP, ICMP, IGMP jne.) kohdekoneet tukevat. Tämä ei ole teknisesti porttiskannaus, koska se käy läpi IP-protokollanumeroita eikä TCP- tai UDP-porttinumeroita. Se käyttää silti -p-vaihtoehtoa skannattujen protokollanumeroiden valitsemiseen, raportoi tulokset normaalissa porttitaulukkomuodossa ja käyttää jopa samaa taustalla olevaa skannausmoottoria kuin todelliset porttiskannausmenetelmät. Joten se on tarpeeksi lähellä porttiskannausta, jotta se kuuluu tähän.

Sen lisäksi, että protokollaskannaus on hyödyllinen omana itsenään, se osoittaa avoimen lähdekoodin ohjelmistojen voiman. Vaikka perusidea on melko yksinkertainen, en ollut ajatellut lisätä sitä enkä saanut yhtään pyyntöä tällaisesta toiminnallisuudesta. Kesällä 2000 Gerhard Rieger keksi idean, kirjoitti erinomaisen korjauksen, joka toteutti sen, ja lähetti sen Announce-postituslistalle (silloinen nimi oli nmap-hackers).Sisällytin korjauksen Nmap-puuhun ja julkaisin uuden version seuraavana päivänä. Harvalla kaupallisella ohjelmistolla on käyttäjiä, jotka ovat tarpeeksi innokkaita suunnittelemaan ja edistämään omia parannuksiaan!

Protokollatarkistus toimii samalla tavalla kuin UDP-tarkistus. Sen sijaan, että se kävisi läpi UDP-paketin porttinumerokentän, se lähettää IP-pakettien otsikot ja käy läpi kahdeksanbittisen IP-protokolla-kentän.Otsikot ovat yleensä tyhjiä, ne eivät sisällä dataa eivätkä edes väitetyn protokollan mukaista otsikkoa. Poikkeuksia ovat TCP, UDP, ICMP, SCTP ja IGMP. Niille on sisällytetty asianmukainen protokollaotsikko, koska jotkin järjestelmät eivät lähetä niitä muuten ja koska Nmapilla on jo toimintoja niiden luomista varten. ICMP portunreachable-viestien sijasta protocol scan etsii ICMPprotocol unreachable-viestejä. Jos Nmap saa kohdeisännältä minkä tahansa protokollan mukaisen vastauksen, Nmap merkitsee kyseisen protokollan open:ksi. ICMP-protokollan tavoittamatonvirhe (tyyppi 3, koodi 2) aiheuttaa protokollan merkitsemisen closed, kun taas portin tavoittamaton (tyyppi 3, koodi 3) merkitsee protokollan open. Muut ICMP:n tavoittamattomat virheet (tyyppi 3, koodi0, 1, 9, 10 tai 13) aiheuttavat sen, että protokolla merkitäänfiltered (vaikka ne samalla todistavat, että ICMP onopen). Jos vastausta ei saada uusintalähetysten jälkeen, protokolla merkitäänopen|filtered

-b <FTP relay host>(FTP bounce scan)

FTP-protokollan mielenkiintoinen ominaisuus (RFC 959) issupport niin sanotuille proxy FTP-yhteyksille. Tämä mahdollistaa sen, että käyttäjä voi muodostaa yhteyden yhteen FTP-palvelimeen ja pyytää sitten, että tiedostot lähetetään kolmannen osapuolen palvelimelle. Tällaista ominaisuutta voidaan käyttää väärin monella tasolla, joten useimmat palvelimet ovat lopettaneet sen tukemisen. Yksi tämän ominaisuuden mahdollistamista väärinkäytöksistä on saada FTP-palvelin skannaamaan muita isäntäasemia.Pyydä FTP-palvelinta yksinkertaisesti lähettämään tiedosto vuorotellen jokaiseen kiinnostavaan porttiin kohdeisäntäasemalla. Virheilmoitus kertoo, onko portti auki vai ei. Tämä on hyvä tapa ohittaa palomuurit, koska organisaatioiden FTP-palvelimet on usein sijoitettu paikkaan, jossa niillä on enemmän pääsyä muihin sisäisiin isäntäkoneisiin kuin millä tahansa vanhalla Internet-isäntäkoneella. Nmap tukee FTPbounce-skannausta -b-vaihtoehdolla. Se ottaa argumentin muodossa<username>:<password>@<server>:<port>.<Server> on haavoittuvan FTP-palvelimen nimi tai IP-osoite. Kuten tavallisessa URL-osoitteessa, voit jättää<username>:<password> pois, jolloin käytetään anonyymejä kirjautumistietoja (user:anonymous password:-wwwuser@). Portin numero (ja sitä edeltävä kaksoispiste) voidaan myös jättää pois, jolloin käytetään oletusarvoista FTP-porttia (21) osoitteessa<server>.

Tämä haavoittuvuus oli laajalle levinnyt vuonna 1997, kun Nmap julkaistiin, mutta se on suurelta osin korjattu. Haavoittuvia palvelimia on edelleen olemassa, joten sitä kannattaa kokeilla, kun kaikki muu ei auta. Jos palomuurin ohittaminen on tavoitteesi, skannaa kohdeverkosta portti 21 (tai jopa kaikki FTP-palvelut, jos skannaat kaikki portit versiotunnistuksella) ja käytäftp-bounceNSE-skriptiä. Nmap kertoo, onko isäntä haavoittuva vai ei. Jos yrität vain peittää jälkesi, sinun ei tarvitse (eikä itse asiassa kannata) rajoittaa itseäsi kohdeverkon isäntiin. Ennen kuin lähdet etsimään satunnaisia Internet-osoitteita haavoittuvien FTP-palvelimien varalta, ota huomioon, että järjestelmänvalvojat eivät ehkä arvosta sitä, että käytät heidän palvelimiaan väärin tällä tavoin.