Samouczek NMAP Idle Scan
- WPROWADZENIE DO NMAP IDLE SCAN
- Znalezienie urządzenia zombie
- Wykonanie skanu NMAP Idle
- Wniosek
- Powiązane artykuły
WPROWADZENIE DO NMAP IDLE SCAN
Ostatnie dwa samouczki opublikowane na Linuxhint na temat NMAP skupiły się na skanowaniu metod skanowania, w tym SYN SCAN, NULL i SCAN. Podczas gdy metody te są łatwo wykryte za pomocą zapór i systemów wykrywania włamań, są one potężnym sposobem na dydaktyczne uczenie się trochę o Model internetowy Lub Suite protokołu internetowego, Te odczyty są również koniecznością przed poznaniem teorii stojącej za skanu bezczynności, ale nie jest to koniecznością, aby nauczyć się, jak stosować ją praktycznie.
Bezczynny skan wyjaśniony w tym samouczku jest bardziej wyrafinowaną techniką przy użyciu tarczy (zwanej zombie) między atakującym a celem, jeśli skan zostanie wykryty przez system obrony (zapora lub IDS), obwinia raczej urządzenie pośrednie (zombie) niż komputer atakujący.
Atak w zasadzie polega na wykuaniu tarczy lub urządzenia pośredniego. Ważne jest, aby podkreślić najważniejszym krokiem w tego typu atak. W tym artykule nie koncentruje się na metodzie obronnej, w przypadku technik obronnych przeciwko temu atakowi można uzyskać dostęp bezpłatnie do odpowiedniej sekcji w zapobieganiu Intrusion Book Prevention i aktywnej reakcji: wdrażanie sieci IP i hosta IPS.
Dodatkowo do aspektów Suite Protokołu internetowego opisane w Basics NMAP, skanowanie NMAP Stealth i skanowanie Xmas, aby zrozumieć, jak działa skan. Każdy wysłany DataGram TCP ma unikalny tymczasowy identyfikator, który umożliwia fragmentację i ponowne montaż fragmentarycznych pakietów na podstawie tego identyfikatora, zwanego IP ID. Identyfikator IP będzie stopniowo rosnąć zgodnie z liczbą wysłanych pakietów, a zatem na podstawie numeru IP można nauczyć się ilości pakietów wysyłanych przez urządzenie.
Po wyśledzeniu niezamówionego pakietu SYN/ACK Odpowiedź będzie pakietem RST, aby zresetować połączenie, ten pakiet RST będzie zawierał numer IP ID. Jeśli najpierw wyślesz niezamówiony pakiet SYN/ACK do urządzenia zombie, odpowie na pakiet RST pokazujący jego identyfikator IP, drugim krokiem jest wykupienie tego identyfikatora IP, aby wysłać kuszy pakiet SYN do celu, dzięki czemu uwierzy w ciebie są zombie, cel zareaguje (lub nie) na zombie, w trzecim kroku wysyłasz nowy syn/ack do zombie, aby ponownie uzyskać pakiet RST, aby przeanalizować wzrost IP ID.
Otwarte porty:
| KROK 1 Wyślij niezamówiony syn/ack do urządzenia zombie, aby uzyskać pakiet RST pokazujący identyfikator IP zombie. | KROK 2 Wyślij sfałszowany pakiet SYN, który pozuje jako zombie, co czyni cel, aby odpowiedzieć na zombie niezamówione SYN/ACK, dzięki czemu odpowiada na nowy zaktualizowany RST. | KROK 3 Wyślij nowy niezamówiony syn/ACK do zombie, aby otrzymać pakiet RST, aby przeanalizować nowy zaktualizowany identyfikator IP. |
Jeśli port celu jest otwarty, odpowie na urządzenie zombie z pakietem SYN/ACK Zachęcając zombie do odpowiedzi za pomocą pakietu RST, zwiększając jego identyfikator IP. Następnie, gdy atakujący ponownie wysyła syn/ACK do zombie, identyfikator IP zostanie zwiększony +2, jak pokazano w powyższej tabeli.
Jeśli port zostanie zamknięty, cel nie wyśle pakietu SYN/ACK do zombie, ale RST, a jego identyfikator IP pozostanie taki sam, gdy atakujący wyśle nową ack/syn do zombie, aby sprawdzić jego identyfikator IP, który będzie być zwiększone tylko +1 (z powodu ACK/Syn wysłanego przez zombie, bez wzrostu przez cel). Zobacz tabelę poniżej.
Zamknięte porty:
| KROK 1 Jak powyżej | KROK 2 W tym przypadku cel odpowiada na zombie z pakietem RST zamiast syn/ack, zapobiegając wysłanie zombie RST, który może zwiększyć jego identyfikator IP. | KROK 2 Atakujący wysyła SYN/ACK, a zombie odpowiedzi z tylko wzrostem dokonanym podczas interakcji z atakującym, a nie z celem. |
Gdy port zostanie filtrowany, cel w ogóle nie odpowie, identyfikator IP również pozostanie taki sam, ponieważ nie zostanie dokonana żadna odpowiedź RST, a gdy atakujący wyśle nowy SYN/ACK do zombie, aby przeanalizować identyfikator IP, wynik będzie Bądź taki sam jak w zamkniętych portach. Wbrew skanom Syn, ACK i XMAS, które nie mogą rozróżnić niektórych otwartych i filtrowanych portów, atak ten nie może rozróżniać portów zamkniętych i filtrowanych. Zobacz tabelę poniżej.
Przefiltrowane porty:
| KROK 1 Jak powyżej | KROK 2 W takim przypadku nie ma odpowiedzi z celu zapobiegania wysyłaniu zombie RST, który może zwiększyć jego identyfikator IP. | KROK 3 Jak powyżej |
Znalezienie urządzenia zombie
NMAP NSE (NMAP Scripting Engine) zapewnia skrypt IPIDSEQ do wykrywania wrażliwych urządzeń zombie. W poniższym przykładzie skrypt służy do skanowania portu 80 losowych celów 1000 w celu poszukiwania wrażliwych hostów, wrażliwe hosty są klasyfikowane jako Przyrostowe Lub Mały endian przyrostowy. Dodatkowe przykłady użytkowania NSE, pomimo niezwiązanego ze skanowaniem bezczynności, są opisane i pokazane w zakresie skanowania w poszukiwaniu usług i luk w zabezpieczeniach z NMAP i korzystania z skryptów NMAP: Baner NMAP Grab.
IPIDSEQ Przykład losowo znaleźć kandydatów zombie:
nmap -p80 -Script ipidseq -ir 1000
Jak widać, znaleziono kilku wrażliwych gospodarzy kandydatów na zombie ALE Wszystkie są fałszywie pozytywne. Najtrudniejszym krokiem podczas przeprowadzania skanu bezczynności jest znalezienie wrażliwego urządzenia zombie, jest to trudne z wielu powodów:
- Wiele dostawców usług internetowych blokuje ten rodzaj skanu.
- Większość systemów operacyjnych przypisuje IP losowo
- Dobrze skonfigurowane zapory ogniowe i honeypots mogą zwrócić fałszywie dodatnie.
W takich przypadkach podczas próby wykonania skanowania bezczynności otrzymasz następujący błąd:
"… Nie można użyć, ponieważ nie zwrócił żadnej z naszych sond - być może jest w dół lub zaporę ogniową.
Rezygnacja!"
Jeśli masz szczęście w tym kroku, znajdziesz stary system systemu Windows, stary system kamer IP lub stara drukarka sieciowa, ten ostatni przykład jest zalecany przez książkę NMAP.
Szukając wrażliwych zombie, możesz chcieć przekroczyć NMAP i wdrożyć dodatkowe narzędzia, takie jak Shodan i Scaster Scaners. Możesz także uruchomić wersje wykrywające losowe skany, aby znaleźć możliwy wrażliwy system.
Wykonanie skanu NMAP Idle
Uwaga następujące przykłady nie są rozwijane w prawdziwym scenariuszu. W tym samouczku skonfigurowano zombie Windows 98 przez VirtualBox jest celem Metasploitable również w VirtualBox.
Poniższe przykłady pomija odkrycie hosta i instruuje skan bezczynności za pomocą IP 192.168.56.102 jako urządzenie zombie do skanowania portów 80.21.22 i 443 celu 192.168.56.101.
nmap -pn -si 192.168.56.102 -p80,21,22,443 192.168.56.101
Gdzie:
nmap: wywołuje program
-Pn: Pomija odkrycie gospodarza.
-si: Skan bezczynności
192.168.56.102: Windows 98 Zombie.
-P80,21,22,443: instruuje, aby zeskanować wspomniane porty.
192.68.56.101: jest celem metasploila.
W poniższym przykładzie zmienia się tylko opcja definiująca porty dla -p -instruujące NMAP w celu skanowania najczęstszych 1000 portów.
Nmap -Si 192.168.56.102 -pn -p- 192.168.56.101
Wniosek
W przeszłości największą zaletą skanu bezczynności było zarówno zachowanie anonimowości, jak i stworzenie tożsamości urządzenia, które nie było niefiltrowane lub było godne zaufania przez systemy obronne, oba zastosowania wydają się przestarzałe ze względu na trudność ze znalezieniem wrażliwych zombie (jeszcze , oczywiście jest to możliwe). Pozostanie anonimowe korzystanie z tarczy byłoby bardziej praktyczne przy użyciu sieci publicznej, podczas gdy jest to mało prawdopodobne wyrafinowane zapory ogniowe lub identyfikatory będą połączone ze starymi i wrażliwymi systemami jako godne zaufania.
Mam nadzieję, że znalazłeś ten samouczek na nmap bezczynny skan. Śledź śledź Linuxhint, aby uzyskać więcej wskazówek i aktualizacji na temat Linux i sieci.
Powiązane artykuły:
- Jak skanować za usługi i luki z NMAP
- Skan NMAP Stealth
- Taceroute z NMAP
- Korzystanie z skryptów NMAP: Banner NMAP
- Skanowanie sieci NMAP
- Nmap Ping Sweep
- flagi NMAP i to, co robią
- Iptables dla początkujących