Skanowanie stealth z NMAP

Ten samouczek opisuje różne techniki wykonania skanów Stealth za pomocą NMAP.

Techniki skanowania Stealth są wdrażane, aby ominąć zapory ogniowe lub odkryć żywych gospodarzy, pozostając niewykryty.

NMAP oferuje różnorodne flagi i opcje wykonywania różnych rodzajów skanowania Stealth, z których większość jest wyjaśniona w tym artykule. Są łatwe do wdrożenia i stanowią ładny proces uczenia się na pakietach IP.

Po przeczytaniu tej treści czytelnik będzie miał lepsze zrozumienie pakietów sieciowych i komunikacji, jednocześnie zdobywając głęboką praktyczną wiedzę na temat skanowania Stealth za pomocą NMAP.

Wszystkie instrukcje w tym samouczku zawierają zrzuty ekranu, co ułatwia wszystkim czytelnikom zrozumienie, w jaki sposób są wykonywane i ich wyniki lub wyniki.

Krótkie wprowadzenie do skanowania Stealth

Zwykle zapory ogniowe wykrywają ustanowienie lub ustanowione połączenia.

TCP Wysyła pakiety próbujące nawiązać połączenie z celem (zbieranie informacji w procesie). Ta aktywność może być zablokowana i zalogowana przez zaporę, aby zostać zgłoszonym administratorowi.

Załóżmy, że użytkownik ma domyślnie uprawnienia główne. W takim przypadku NMAP uruchamia techniki skanowania Stealth składające się z Syn (Synchronizacja) pakiety i RST Pakiety zakłócające połączenie po pierwszej odpowiedzi z miejsca docelowego.

Użytkownicy mogą zapobiec wykryciu zapory ogniowej, przerywając krótką interakcję na raz i anulowanie procesu połączenia przed wysłaniem Ack odpowiedź.

Jak widać na poniższym rysunku, regularne TCP Skan składa się z inicjału Syn (Synchronizacja) pakiet z NMAP (PC1) żądanie celu (PC2) w celu synchronizacji połączenia. Jeśli docelowy port jest otwarty, docelowy odpowiada Syn+Ack (Podział i synchronizacja) Pakiety potwierdzające Syn odbiór i synchronizacja z NMAP i NMAP wysyła Ack (Potwierdzenie) pakiety jako odpowiedź na cel Syn.

Poniższy rysunek pokazuje skanowanie ukrycia Syn pakiety. Jak widać, pakiet ostatecznego potwierdzenia (ACK) wysłany przez PC1 (NMAP) jest zastąpiony RST pakiet, przerywanie połączenia z omijającymi zapory ogniowe (systemy wykrywania wtargnięcia i niestandardowe zapory ogniowe wykryją skany ukrycia).

NMAP TCP Syn (Stealth) Techniki skanowania

Aby wykonać skanowanie SYN lub STEALTH, tak jak ten przedstawiony w poprzedniej drugiej rysunku, użytkownik musi zaimplementować -SS (Syn) flaga. Ta opcja zresetuje połączenie przed jego ustanowieniem.

Notatka: Syn SYN wymaga uprawnień korzeniowych; Użyj sudo Komenda.

W poniższym przykładzie wykonywane jest skanowanie ukrycia się z siecią 192.168.0.0/24:

sudo nmap -ss 192.168.0.0/24

TCP Syn Ping Skan

-Ps Flaga pozwala uruchomić Syn Ping, aby odkryć żywych gospodarzy w ukradkowy sposób.

nmap -sn -ps80 192.168.0.1/24

-sp Flaga uruchomi również skanowanie bez ping bez skanowania portów.

Nmap -sp 192.168.0.0/24

NMAP NULL SCAN

Pomimo wysłania RST pakiet zapobiegający rejestrowaniu połączenia, skanowanie SYN można wykryć za pomocą zapór i systemów wykrywania włamań (IDS). Istnieją dodatkowe techniki wykonania bardziej ukradkowych skanów za pomocą NMAP.

NMAP działa poprzez analizę odpowiedzi pakietu z celu, kontrastując je z zasadami protokołu i interpretując je. NMAP pozwala na kucie pakietów generowanie odpowiednich odpowiedzi ujawniających ich charakter, na przykład, aby wiedzieć, czy port jest zamknięty lub filtrowany przez zaporę ogniową.

Poniższy przykład pokazuje a ZERO skan, który nie obejmuje Syn, Ack, Lub RST pakiety.

Podczas wykonywania ZERO Skan, NMAP może zinterpretować trzy wyniki: Otwórz | filtrowane, zamknięte lub filtrowane, Gdzie:

• Otwórz | filtrowane: NMAP nie może ustalić, czy port jest otwarty lub filtrowany przez zaporę ogniową.
• Zamknięte: Port jest zamknięty
• Przefiltrowany: Port jest filtrowany.

W następnym praktycznym przykładzie użytkownik używa -Sn flaga do uruchomienia ZERO skanowanie:

sudo nmap -v -sn -p 80 Linuxhint.com

Jak pokazano w poniższym przykładzie, możesz dodać opcję -SV odkryć, czy port przedstawiony jako Otwórz | filtrowane jest faktycznie otwarte, ale dodanie tej flagi może skutkować łatwiejszym wykrywaniem skanowania przez cel, jak wyjaśniono w książce NMAP.

sudo nmap -sn -sv -p 80 Linuxhint.com

• nmap = Wywołuje program
• -v = Instruuje NMAP, aby skanował z gadatą
• -Sn = Instruuje NMAP, aby uruchomił skaner zerowy
• -SV = Wykrywanie wersji
• -P = Prefiks w celu ustalenia portu do skanowania.

W niektórych przypadkach zapory ogniowe blokują Syn pakiety. W takim przypadku użytkownik może wysłać pakiet z flagami Syn/Ack ominąć zapory ogniowe, które nie blokują Syn/Ack pakiety.

Niektóre pakiety nie są zablokowane Syn z Ack pakiety, a także pozwalają na połączenie Syn z innymi nagłówkami, SYN/FIN Nagłówek jest jednym z nich.

Wyśle następujący typ skanowania Syn i nagłówki płetw. Ten typ skanowania ma niską szansę na pozostanie niewykryty.

sudo nmap -ss -scanflags synfin Linuxhint.com -v

Skan NMAP Xmas

Skanowanie XMAS zostało uznane za technikę skanowania ukrycia analizy odpowiedzi na Boże Narodzenie pakiety, aby nauczyć się rodzaju systemu zdalnego.

Każdy system operacyjny lub urządzenie sieciowe odpowiada na pakiety Xmas w inny sposób, ujawniając informacje, takie jak system operacyjny i stany portowe.

Święta jest starą techniką skanowania; Dziś wiele zapór i systemów wykrywania wtargnięcia może wykryć Boże Narodzenie. Nie zaleca się polegania na nich jako technika ukrycia.

sudo nmap -sx -t2 Linuxhint.com -v

Porównanie skanu TCP Syn Stealth i TCP „Połącz skanowanie”:

Normalna komunikacja TCP

• -„Hej, słyszysz mnie? Możemy się spotkać?" (Syn pakiet żądania synchronizacji)
• -"Cześć!, widzę cię!, możemy się spotkać" (Gdzie „widzę cię” to Ack pakiet i „my możemy się spotkać” to Syn paczka)
• -"Świetnie!" (Pakiet RSTET)

Syn Communication Communication

• -„Hej, słyszysz mnie? Możemy się spotkać?" (Syn pakiet żądania synchronizacji)
• -"Cześć!, widzę cię!, możemy się spotkać" (Gdzie „widzę cię” to Ack pakiet, „my can się spotykamy” to pakiet SYN)
• -„Przepraszam, przez pomyłkę wysłałem do ciebie prośbę, zapomnij o tym” (Pakiet RSTET)

Drugi przykład powyżej pokazuje Syn połączenie, które nie ustanawia połączenia w przeciwieństwie do TCP połączenie lub Połącz skanowanie. Dlatego Nie ma dziennika na drugim urządzeniu na temat połączenia, ani nie jest zarejestrowany adres IP.

Inne flagi NMAP (bez ukrycia)

Oprócz technik skanowania Stealth postanowiliśmy opisać różne flagi.

Ważne jest, aby wyjaśnić, że poniższe flagi nie są ukradkowe.

-O Flaga może wykryć docelowy system operacyjny, jak pokazano na poniższym zrzucie ekranu:

sudo nmap -o donweb.współ

Jak widać na poprzednim zrzucie ekranu, cel prawdopodobnie ma Linux z jądrem 2.6.X; Według raportu warunki wykrywania były trudne.

Poniższy przykład próbuje nauczyć się wersji oprogramowania (-SV) słuchania za portem. Jak widać, wykryto lakier.

Nmap -Sv Wikipedia.org

-NA Flaga tworzy plik z wynikami skanowania.

W poniższym przykładzie użytkownik implementuje -NA flaga, aby utworzyć plik „Wyniki.txt ”z wyjściem skanowania.

Chodzi o metody skanowania ukrytego. Możesz je przetestować za pomocą systemu wykrywania włamania, takiego jak zaparcie, aby zobaczyć ich skuteczność przed różnymi zasadami wykrywania.

Wniosek

Jak widać, NMAP oferuje różne techniki skanowania Stealth. Wszystkie są łatwe do wdrożenia, a technika jest łatwa do zrozumienia, jeśli użytkownik zna podstawy sieci. Czytelnicy z minimalnym doświadczeniem mogą odtworzyć podane praktyczne przykłady bez większych trudności. Zdecydowanie zaleca się zastosowanie przykładu dodatkowego do odczytu.

Wszystkie podane instrukcje są ważne dla wszystkich rozkładów Linux.

Dziękujemy za przeczytanie tego samouczka wyjaśniającego, jak uruchomić skanowanie Stealth za pomocą NMAP. Przestrzegaj Linux Wskazówka dotycząca większej liczby tworzenia sieci i bezpieczeństwa profesjonalnych treści.