Skan NMAP Stealth

Skan NMAP Stealth

INTRODukcja do połączeń TCP i SYN

Podczas czytania tego artykułu pamiętaj o następujących definicjach:
SYN PACKET: to pakiet żądający lub potwierdzający synchronizację połączenia.
Pakiet ACK: to pakiet potwierdzający odbiór pakietu syn.
Pakiet RST: to pakiet informujący, że próba połączenia powinna zostać odrzucona.

Zwykle, gdy połączą się dwa urządzenia, połączenia są tworzone poprzez proces nazywany Trójdrogie uścisk dłoni który składa się z 3 początkowych interakcji: pierwsze żądanie połączenia przez klienta lub urządzenie żądające połączenia, po drugie przez potwierdzenie przez urządzenie, do którego żądanie jest żądane, a na trzecim miejscu ostateczne potwierdzenie z urządzenia, które żądało połączenia, coś tak jak:

-„Hej, słyszysz mnie?, możemy się spotkać?" (Syn Packet żądanie synchronizacji)
-"Cześć!, widzę cię!, możemy się spotkać"
)
-"Świetnie!" (Pakiet ACK)

W powyższym porównaniu pokazuje, jak Połączenie TCP ustalono, że pierwsze urządzenie pyta drugie urządzenie, czy wykrywa żądanie, a jeśli może ustanowić połączenie, drugie urządzenie potwierdza, że ​​może je wykryć i jest dostępne dla połączenia, wówczas pierwsze urządzenie potwierdza potwierdzenie akceptacji.

Następnie połączenie jest ustanawiane, jak wyjaśniono za pomocą grafiki w Podstawowe typy skanowania NMAP, Proces ten ma problem trzeciego uścisku dłoni, ostateczne potwierdzenie, zwykle pozostawia dziennik połączenia na urządzeniu, do którego zażądałeś połączenia, jeśli skanujesz cel bez pozwolenia lub chcesz przetestować systemy zapory lub systemu wykrywania wtargnięcia (IDS) może chcieć uniknąć potwierdzenia, aby zapobiec dziennikowi, w tym adresu IP lub przetestować możliwości systemu do wykrycia interakcji między systemami pomimo braku ustalonego połączenia, nazywanego Połączenie TCP Lub Połącz skanowanie. To jest skanowanie ukrycia.

Można to osiągnąć poprzez zastąpienie TCP Connection/Connect Scan dla Połączenie syn. Połączenie SYN pomija ostateczne potwierdzenie zastępujące je dla RST paczka. Jeśli zastąpimy połączenie TCP, trzy połączenie uścisku dłoni, dla połączenia SYN, przykład byłby:

-„Hej, słyszysz mnie?, możemy się spotkać?" (Syn Packet żądanie synchronizacji)
-"Cześć!, widzę cię!, możemy się spotkać"
)
-„Przepraszam, przez pomyłkę wysłałem do ciebie prośbę, zapomnij o tym” (Pakiet RST)

Powyższy przykład pokazuje połączenie SYN, które nie ustanawia połączenia w przeciwieństwie do połączenia TCP lub Połącz skanowanie, Dlatego nie ma logowania na drugim urządzeniu na temat połączenia, ani zarejestrował się adres IP.

Praktyczne przykłady połączenia TCP i SYN

NMAP nie obsługuje Syn (-SS) Połączenia bez uprawnień, aby wysłać żądania syn. W poniższym przykładzie możesz zobaczyć regularny skanowanie wetonowate przeciwko Linuksie.Lat jako zwykły użytkownik:

nmap -v Linux.Lat

Jak widać, mówi „Inicjowanie skanowania Connect".

W następnym przykładzie skan jest przeprowadzany jako root, dlatego domyślnie jest to skanowanie SYN:

nmap -v Linux.Lat

I jak widać, tym razem mówi „Inicjowanie Syn Stealth Scan„Połączenia są upuszczane po Linuksie.Lat wysłał odpowiedź ACK+Syn na początkowe żądanie NMAP.

NMAP NULL SCAN (-SN)

Pomimo wysyłania RST pakiet zapobiegający połączeniu, Grom jest rejestrowanie skanu SYN, można wykryć za pomocą zapór i systemów wykrywania włamań (IDS). Istnieją dodatkowe techniki wykonania bardziej ukradkowych skanów za pomocą NMAP.

NMAP działa poprzez analizę odpowiedzi pakietów z celu, kontrastując je z regułami protokołów i interpretując je. NMAP pozwala wykuwać pakiety w celu wygenerowania odpowiednich odpowiedzi ujawniających ich naturę, na przykład, aby wiedzieć, czy port jest naprawdę zamknięty lub filtrowany przez zaporę ogniową.
Poniższy przykład pokazuje a ZERO Skan, który nie obejmuje Syn, Ack Lub RST pakiety.
Podczas robienia ZERO Skanowanie NMAP może interpretować 3 wyniki: Otwórz | filtrowane, Zamknięte Lub Przefiltrowany.

Otwórz | filtrowane: NMAP nie może ustalić, czy port jest otwarty lub filtrowany przez zaporę ogniową.
Zamknięte:
Port jest zamknięty.
Przefiltrowany:
Port jest filtrowany.

Oznacza to, że podczas wykonywania ZERO Skanowanie NMAP nie wie, jak odróżnić od otwartych i filtrowanych portów w zależności od reakcji zapory lub braku odpowiedzi, dlatego jeśli port jest otwarty Otwórz | filtrowane.

W poniższym przykładzie port 8 Linux.Lat jest skanowany z null skanie z gadatliwością.

nmap -v -sn -p 80 Linux.Lat

Gdzie:
nmap = wywołuje program
-v = instruuje NMAP, aby skanował z gadatą
-Sn = Instruuje NMAP, aby uruchomił skaner zerowy.
-P = prefiks w celu ustalenia portu do skanowania.
Linux.Lat = jest celem.

Jak pokazano w poniższym przykładzie, możesz dodać opcje -SV Aby dowiedzieć się, czy port przedstawiony jako otwarty | filtrowany jest faktycznie otwarty, ale dodanie tej flagi może spowodować łatwiejsze wykrywanie skanowania przez cel, jak wyjaśniono w książce NMAP.

Gdzie:
nmap = wywołuje program
-v = instruuje NMAP, aby skanował z gadatą
-Sn = Instruuje NMAP, aby uruchomił skaner zerowy.
-SV =
-P = prefiks w celu ustalenia portu do skanowania.
Linux.Lat = jest celem.

Jak widać, w ostatnim zrzucie ekranu NMAP ujawnia prawdziwy stan portu, ale poświęcając nieudolność skanu.

Mam nadzieję, że ten artykuł uznałeś za przydatny do przedstawienia skanu NMAP Stealth, postępuj zgodnie z Linuxhint.com, aby uzyskać więcej wskazówek i aktualizacji na temat Linux i sieci.

Powiązane artykuły:

  • flagi NMAP i to, co robią
  • Nmap Ping Sweep
  • Skanowanie sieci NMAP
  • Korzystanie z skryptów NMAP: Banner NMAP
  • Jak skanować za usługi i luki z NMAP