Nmap
Network Mapper, powszechnie używany jako NMAP, jest bezpłatnym i otwartym narzędziem do skanowania sieci i portów. Jest również biegły w wielu innych aktywnych technikach gromadzenia informacji. NMAP jest zdecydowanie najczęściej używanym narzędziem do gromadzenia informacji używanych przez testery penetracyjne. Jest to narzędzie oparte na CLI, ale ma również wersję opartą na GUI na rynku o nazwie ZenMap. Było to kiedyś narzędzie „tylko UNIX”, ale teraz obsługuje wiele innych systemów operacyjnych, takich jak Windows, FreeBSD, OpenBSD, Sun Solaris i wiele innych. NMAP jest wstępnie zainstalowany w testach penetracyjnych, takich jak Kali Linux i Parrot OS. Można go również zainstalować w innych systemach operacyjnych. Aby to zrobić, szukaj tutaj NMAP.
Rysunek 1.1 pokazuje normalny skan i wyniki. Skan ujawnił otwarte porty 902 i 8080. Rysunek 1.2 pokazuje prosty skanowanie usług, które mówi, jaka usługa działa w porcie. Rysunek 1.3 pokazuje domyślny skanowanie skryptów. Te skrypty czasami ujawniają interesujące informacje, które można dalej wykorzystać w bocznych częściach testu pióra. Aby uzyskać więcej opcji, wpisz NMAP w terminalu, a pokaże Ci wersję, wykorzystanie i wszystkie inne dostępne opcje.
Ryc. 1.1: Prosty skan NMAP
Ryc. 1.2: Skanowanie usługi/wersji NMAP
Ryc. 1.3: Domyślny skanowanie skryptów
TCPDUMP
TCPDUMP to bezpłatny analizator pakietów sieci, który działa na interfejsie CLI. Pozwala użytkownikom zobaczyć, odczytać lub przechwytywać ruch sieciowy przesyłany przez sieć podłączoną do komputera. Pierwotnie napisane w 1988 r. Przez czterech pracowników Lawrence Berkely Laboratory Network Research Group, został zorganizowany w 1999 roku przez Michaela Richardsona i Billa Fennera, którzy stworzyli WWW.TCPDUMP.org. Działa na wszystkich systemach operacyjnych podobnych do UNIX (Linux, Solaris, All BSD, MacOS, Sunsolaris itp.). Wersja TCPDUMP w systemie Windows nazywa się Windump i używa WinPCap, alternatywy Windows dla libpcap.
Aby zainstalować TCPDUMP:
$ sudo apt-get instaluj tcpdump
Stosowanie:
# tcpdump [opcje] [wyrażenie]
Szczegółowe opcje:
$ tcpdump -h
Wireshark
Wireshark to niezwykle interaktywny analizator ruchu sieciowego. Można zrzucić i analizować pakiety w miarę ich odbierania. Pierwotnie opracowany przez Geralda Combs w 1998 r. Na eteryczny, został przemianowany na Wireshark w 2006 roku. Wireshark oferuje również różne filtry, dzięki czemu użytkownik może określić, jaki rodzaj ruchu zostanie wyświetlony lub zrzucony do późniejszej analizy. Wireshark można pobrać z www.Wireshark.Org/#Pobierz. Jest dostępny w większości typowych systemów operacyjnych (Windows, Linux, MacOS) i jest wstępnie zainstalowany w większości dystrybucji penetracyjnych, takich jak Kali Linux i Parrot OS.
Wireshark jest potężnym narzędziem i wymaga dobrego zrozumienia podstawowej sieci. Przekształca ruch w format, który ludzie mogą łatwo odczytać. Może pomóc użytkownikom w rozwiązywaniu problemów z opóźnieniami, upuszczeniem pakietów, a nawet prób hakowania przeciwko Twojej organizacji. Ponadto obsługuje do dwóch tysięcy protokołów sieciowych. Można nie być w stanie użyć ich wszystkich jako wspólnego ruchu, składa się z pakietów UDP, TCP, DNS i ICMP.
Mapa
Mapper aplikacji (także Mapa), jak sama nazwa może sugerować, jest narzędziem do mapowania aplikacji na otwartych portach na urządzeniu. Jest to narzędzie nowej generacji, które może odkrywać aplikacje i procesy, nawet jeśli nie działają na swoich konwencjonalnych portach. Na przykład, jeśli serwer WWW działa na porcie 1337 zamiast standardowego portu 80, AMAP może to odkryć. Amap jest wyposażony w dwa widoczne moduły. Pierwszy, Amapcrap może wysyłać próbne dane do portów w celu wygenerowania pewnego rodzaju odpowiedzi z portu docelowego, które można później wykorzystać do dalszej analizy. Po drugie, AMAP ma moduł podstawowy, który jest Maper aplikacji (Mapa).
Zastosowanie AMAP:
$ amap -h
AMAP V5.4 (c) 2011 Van Hauserwww.thc.org/thc-amap
Składnia: amap [tryby [-a | -b | -p]] [opcje] [Port docelowy [port]…]
Tryby:
-(Domyślnie) Wyślij wyzwalacze i analizuj odpowiedzi (aplikacje MAP)
-B tylko chwytanie banerów; Nie wysyłaj wyzwalaczy
-P A pełna skaner portów Connect
Opcje:
-1 szybki! Wyślij wyzwalacze do portu do 1. identyfikacji
-6 Użyj IPv6 zamiast IPv4
-B Drukuj Banner odpowiedzi ASCII
-Plik i plik wyjściowy odczytujący maszynę do odczytu portów z
-u Podaj porty UDP w wierszu poleceń (domyślnie: TCP)
-R Nie identyfikuj usługi RPC
-H Nie wysyłaj potencjalnie szkodliwych czynników aplikacji
-Nie zrzucasz nierozpoznanych odpowiedzi
-D Zrzuć wszystkie odpowiedzi
-V Tryb werbose; Używaj dwa razy lub więcej, aby uzyskać więcej gadatości
-q Nie zgłaszaj zamkniętych portów i nie drukuj ich jako niezidentyfikowane
-o Plik [-m] zapis wyjście do pliku; -M tworzy wyjście do czytania maszynowego
-C wady wykonują równoległe połączenia (domyślnie 32, maks. 256)
-C PONOWNIE Liczba ponownych połączeń na czas łączenia (domyślnie 3)
-T SEC Połącz limit czasu przy próbach połączenia w sekundach (domyślnie 5)
-T SEC Odpowiedź Poczekaj na limit czasu w kilka sekund (domyślnie 5)
-P Proto wysyła tylko wyzwalacze do tego protokołu (e.G. FTP)
Docelowe porty do docelowego adresu i portów) do skanowania (dodatkowe do -I)
Ryc. 4.1 skan AMAP próbki
P0F
P0F to krótka forma dla „PAssive OS Fin -ingerprinting ”(zamiast O) używana jest zero. Jest to pasywny skaner, który może zdalnie identyfikować systemy. P0F wykorzystuje techniki odcisków palców do analizy pakietów TCP/IP oraz w celu ustalenia różnych konfiguracji, w tym systemu operacyjnego hosta. Ma możliwość biernego wykonywania tego procesu bez generowania podejrzanego ruchu. P0F może również odczytać pliki PCAP.
Stosowanie:
# p0f [opcje] [reguła filtra]
Ryc. 5.1 próbka P0F wyjście
Host musi połączyć się z twoją siecią (spontanicznie lub indukowaną) lub być podłączony do niektórych jednostek w sieci za pomocą standardowych środków (przeglądanie internetowe itp.) Host może zaakceptować lub odmówić połączenia. Ta metoda jest w stanie zobaczyć zapory ogniowe i nie jest związane ograniczeniami aktywnego odcisku palca. Pasywne odciski palców systemu operacyjnego służy głównie do profilowania atakujących, profilowania odwiedzających, profilowania klienta/użytkowników, testów penetracji itp.
Zaprzestanie
Rozpoznanie lub gromadzenie informacji jest pierwszym krokiem w każdym teście penetracyjnym. Jest to istotna część procesu. Rozpoczęcie testu penetracyjnego bez przyzwoitego rekonnu jest jak pójście na wojnę, nie wiedząc, gdzie i z kim walczysz. Jak zawsze istnieje świat niesamowitych narzędzi do rekon. Wszystko dzięki niesamowitej społeczności otwartego sour i cyberbezpieczeństwa!
Szczęśliwego Recon! 🙂