Beste informasjonsinnsamlingsverktøy i Kali Linux

Nmap

Nettverksmapper, ofte brukt som NMAP, er et gratis og åpen kildekodeverktøy for nettverks- og portskanning. Det er også dyktig i mange andre aktive informasjonsinnsamlingsteknikker. NMAP er det klart mest brukte informasjonsinnsamlingsverktøyet som brukes av penetrasjonstestere. Det er et CLI -basert verktøy, men det har også en GUI -basert versjon i markedet som heter Zenmap. Det var en gang et "Unix Only" -verktøy, men støtter nå mange andre operativsystemer som Windows, FreeBSD, OpenBSD, Sun Solaris og mange andre. NMAP kommer forhåndsinstallert i penetrasjonstesting distros som Kali Linux og Parrot OS. Det kan også installeres på andre operativsystemer. For å gjøre det, søk NMAP her.

Figur 1.1 viser deg en normal skanning og resultater. Skanningen avslørte de åpne portene 902 og 8080. Figur 1.2 viser deg en enkel serviceskanning, som forteller hvilken tjeneste som kjører på havnen. Figur 1.3 viser en standard skriptskanning. Disse skriptene avslører noen ganger interessant informasjon som kan brukes videre i de laterale delene av en penn-test. For flere alternativer, skriv NMAP i terminalen, og det vil vise deg versjonen, bruken og alle andre tilgjengelige alternativer.

Figur 1.1: Enkel NMAP -skanning

Figur 1.2: NMAP -tjeneste/versjonsskanning

Figur 1.3: Standard skriptskanning

Tcpdump

TCPDump er en gratis datanettverksanalysator som fungerer på CLI-grensesnittet. Det lar brukere se, lese eller fange nettverkstrafikk som overføres over et nettverk som er koblet til datamaskinen. Opprinnelig skrevet i 1988 av fire arbeidere ved Lawrence Berkely Laboratory Network Research Group, ble den organisert i 1999 av Michael Richardson og Bill Fenner, som opprettet www.tcpdump.org. Det fungerer på alle UNIX-lignende operativsystemer (Linux, Solaris, alle BSD-er, macOS, Sunsolaris osv.). Windows -versjonen av TCPDump kalles Windump og bruker WinPcap, Windows -alternativet for LibpCap.

For å installere TCPDump:

$ sudo apt-get install tcpdump

Bruk:

# tcpdump [alternativer] [uttrykk]

For alternativ detalj:

$ tcpdump -h

Wireshark

Wireshark er en utrolig interaktiv nettverkstrafikkanalysator. Man kan dumpe og analysere pakker når de blir mottatt. Opprinnelig utviklet av Gerald Combs i 1998 som eterisk, ble den omdøpt til Wireshark i 2006 på grunn av varemerkeproblemer. Wireshark tilbyr også forskjellige filtre slik at brukeren kan spesifisere hvilken type trafikk som skal vises eller dumpes for senere analyse. Wireshark kan lastes ned fra www.Wireshark.org/#nedlasting. Det er tilgjengelig på de fleste av de vanlige operativsystemene (Windows, Linux, MacOS), og kommer forhåndsinstallert i de fleste penetrasjonsdistrikter som Kali Linux og Parrot OS.

Wireshark er et kraftig verktøy og trenger god forståelse av grunnleggende nettverk. Den konverterer trafikken til et format som mennesker lett kan lese. Det kan hjelpe brukerne med å feilsøke latensproblemer, droppet pakker eller til og med hackingforsøk mot organisasjonen din. Dessuten støtter den opptil to tusen nettverksprotokoller. Man kan ikke bruke dem alle som vanlig trafikk består av UDP, TCP, DNS og ICMP -pakker.

Et kart

Applikasjonsmapper (også et kart), som navnet kan antyde, er et verktøy for å kartlegge applikasjoner på åpne porter på en enhet. Det er et neste generasjons verktøy som kan oppdage applikasjoner og prosesser selv når de ikke kjører på sine konvensjonelle porter. For eksempel, hvis en webserver kjører på port 1337 i stedet for standardport 80, kan AMAP oppdage dette. AMAP kommer med to fremtredende moduler. Først, amapcrap kan sende spotte data til porter for å generere en slags respons fra målporten, som senere kan brukes til videre analyse. For det andre har AMAP kjernemodulen, som er Applikasjonsmapper (et kart).

AMAP -bruk:

$ AMAP -H
AMAP V5.4 (c) 2011 av Van Hauser www.thc.org/thc-amap
Syntaks: AMAP [Modus [-a | -b | -p]] [Alternativer] [Target Port [Port]…]
Modus:
-A (standard) send utløsere og analyser svar (kartapplikasjoner)
-B Grip bannere bare; Ikke send triggere
-P En fullverdig Connect Port-skanner
Alternativer:
-1 rask! Send triggere til en port til første identifikasjon
-6 Bruk IPv6 i stedet for IPv4
-B Print ASCII Banner av svar
-Jeg arkiverer maskinlesbar utgangsfil for å lese porter fra
-u Spesifiser UDP -porter på kommandolinjen (standard: TCP)
-R identifiser ikke RPC -tjenesten
-H Send ikke potensielt skadelige applikasjonsutløsere
-Du dumper ikke ukjente svar
-d dumpe alle svar
-V Verbose -modus; Bruk to ganger eller mer for mer verbositet
-Q ikke rapportere lukkede porter og ikke skriv dem ut som uidentifiserte
-o fil [-m] skriv utgang til filfil; -m lager maskinlesbar utgang
-c ulemper gjør parallelle tilkoblinger (standard 32, maks 256)
-C Forsøk antall koblinger på nytt ved tilkobling av timeouts (standard 3)
-T SEC Koble til timeout på tilkoblingsforsøk på sekunder (standard 5)
-T SEC Response Vent for en timeout på sekunder (standard 5)
-P Proto Send triggere bare til denne protokollen (e.g. Ftp)
Mål Port måladressen og port (er) for å skanne (ekstra til -i)

Fig 4.1 prøve AMAP -skanning

P0f

P0F er den korte formen for “pAssive OS fIngerprinting ”(en null brukes i stedet for en O). Det er en passiv skanner som kan identifisere systemer eksternt. P0F bruker fingeravtrykksteknikker for å analysere TCP/IP -pakker og for å bestemme forskjellige konfigurasjoner inkludert operativsystemet til verten. Den har muligheten til å utføre denne prosessen passivt uten å generere mistenkelig trafikk. P0F kan også lese PCAP -filer.

Bruk:

# P0F [Alternativer] [Filterregel]

Fig 5.1 prøve P0F -utgang
Verten må enten koble seg til nettverket ditt (spontant eller indusert) eller være koblet til en eller annen enhet på nettverket ditt med noen standardmidler (nettlesing osv.) Verten kan godta eller nekte forbindelsen. Denne metoden kan se gjennom pakkebrannmurer og er ikke bundet av begrensningene for et aktivt fingeravtrykk. Passiv OS -fingeravtrykk brukes hovedsakelig til angriperprofilering, besøkende profilering, kunde/brukerprofilering, penetrasjonstesting osv.

Opphør

Rekognosering eller informasjonsinnsamling er det første trinnet i noen penetrasjonstest. Det er en viktig del av prosessen. Å starte en penetrasjonstest uten en anstendig rekonstruksjon er som å gå i krig uten å vite hvor og hvem du kjemper. Som alltid er det en verden med fantastiske rekonstruksjoner bortsett fra de ovenfor. Alt takket være et fantastisk open source og cybersecurity-samfunn!

Happy Recon! 🙂