NMAP vertsoppdagelsesprosess

NMAP er et kraftig nettverksskanning og revisjonsverktøy favorisert av penetrasjonstestere og nettverksingeniører. Det gjør det mulig å skanne en enkelt vert eller stort nettverk med tusenvis av verter og finne relevant informasjon om dem.

Denne opplæringen vil fokusere på en nøkkel NMAP -bruk, i.e., Vertsoppdagelse og vertsoppdagelsesmetodikk. Det er godt å merke seg at dette ikke er en nybegynnerguide for å jobbe med NMAP eller informasjonssamlingsmetodikk i penetrasjonstesting.

Hva er vertsoppdagelse

NMAP Host Discovery Process refererer til nettverksvertens oppregning for å samle informasjon om dem for å bygge en angrepsplan i pennesting.

Under vertsfunn bruker NMAP elementer som ping og et innebygd skript for å slå opp operativsystemer, porter og kjører tjenester ved hjelp av TCP- og UDP-protokoller. Hvis du er spesifisert, kan du aktivere NMAP -skriptmotoren som bruker forskjellige skript for å slå opp sårbarheter mot verten.

Vertsoppdagelsesprosessen ansatt av NMAP bruker rå ICMP -pakker. Disse pakkene kan deaktiveres eller filtreres av brannmurer (sjelden) og veldig forsiktige sysadministratorer. Imidlertid gir NMAP oss en stealth -skanning, som vi vil se i denne opplæringen.

La oss komme i gang.

Nettverksoppdagelse

Uten å kaste bort for mye tid, la oss undersøke forskjellige metoder for å utføre vertsoppdagelse og overvinne forskjellige begrensninger forårsaket av nettverkssikkerhetsenheter som brannmurer.

1: Klassisk ICMP Ping

Du kan utføre vertsoppdagelse med en enkel ICMP Echo Request der verten svarer med en ICMP Echo Svar.

For å sende en ICMP Echo -forespørsel med NMAP, skriv inn kommandoen:

$ nmap -pe -sn 192.168.0.16

Utgangen vil ligne som vist nedenfor:

Starter NMAP 7.91 (https: // nmap.org)
Skannrapport for 192.168.0.16
Verten er oppe (0.11 -talls latens).
MAC-adresse: EF: 08: 6B: 18: 11: D4 (TP-Link Technologies)
NMAP gjort: 1 IP -adresse (1 vert) skannet i 0.62 sekunder

I kommandoen ovenfor ber vi NMAP om å sende en ping ekko (-PE) forespørsel til målet. Hvis det mottar et ICMP -svar, er verten oppe.

Nedenfor er et Wireshark -skjermbilde av NMAP -SN -PE -kommandoen:

Tenk på ressursen som er gitt nedenfor for å lære mer om ICMP -protokollen.

https: // linkfy.til/icmp

MERK: ICMP Echo -forespørsler er upålitelige og trekker ikke en konklusjon basert på svaret. Tenk for eksempel den samme forespørselen til Microsoft.com

$ nmap -sn -pe Microsoft.com

Utgangen vil være som vist nedenfor:

Starter NMAP 7.91 Merk: Verten virker nede.
Hvis det virkelig er oppe, men blokkerer ping -sonder, kan du prøve -pn
Nmap gjort:
1 IP -adresse (0 vert) skannet i 2.51 sekunder

Her er et skjermbilde for Wireshark -analyse:

2: TCP Syn Ping

En annen metode for vertsoppdagelse er å bruke en NMAP TCP Syn Ping -skanning. Hvis du er kjent med de tre håndtrykkene TCP Syn/ACK, låner NMAP fra teknologien og sender en forespørsel til forskjellige porter for å avgjøre om verten er oppe eller bruker tillatte filtre.

Hvis vi ber NMAP om å bruke Syn Ping, sender den pakken til målporten, og hvis verten er oppe, svarer den med en ACK -pakke. Hvis verten er nede, svarer den med en RST -pakke.

Bruk kommandoen som vist nedenfor for å kjøre en Syn Ping -forespørsel.

sudo nmap -sn -ps scanme.nmap.org

Responsen fra denne kommandoen skal indikere om verten er opp eller ned. Følgende er et wireshark -filter for forespørselen.

TCP.flagg.Syn && TCP.flagg.Ack

MERK: Vi bruker -pene for å spesifisere at vi ønsker å bruke TCP Syn Ping -forespørselen, som kan være en mer effektiv metode enn RAW ICMP -pakker. Følgende er en NMAP -forespørsel fra Microsoft.com ved hjelp av tcp syn.

$ nmap -Sn -PS Microsoft.com

Utgangen vises nedenfor:

Starter NMAP 7.91 (https: // nmap.org)
NMAP Scan Report for Microsoft.com (104.215.148.63)
Verten er oppe (0.29S latens).
Andre adresser for Microsoft.com (ikke skannet): 40.112.72.205 13.77.161.179 40.113.200.201 40.76.4.15
Nmap gjort:
1 IP -adresse (1 vert) skannet i 1.08 sekunder

3: TCP ACK Ping

TCP ACK Ping -metoden er et barn av Syn Ping -forespørselen. Den fungerer på samme måte, men bruker i stedet ACK -pakken. I denne metoden prøver NMAP noe smart.

Det starter med å sende en tom TCP ACK -pakke til verten. Hvis verten er frakoblet, skal ikke pakken få noe svar. Hvis online, vil verten svare med en RST -pakke som indikerer at verten er oppe.

Hvis du ikke er kjent med RST (RESET -pakken), er det pakken som er sendt etter mottak av en uventet TCP -pakke. Siden ACK -pakken NMAP sender ikke er et svar på SYN, må verten returnere en RST -pakke.

For å initialisere en NMAP ACK -ping, bruk kommandoen som:

$ nmap -sn -pa 192.168.0.16

Gitt utgang nedenfor:

Starter NMAP 7.91 (https: // nmap.org)
NMAP Scan Report for 192.168.0.16
Verten er oppe (0.15 -talls latens).
MAC-adresse: EF: 08: 6B: 18: 11: D4 (TP-Link Technologies)
Nmap gjort:
1 IP -adresse (1 vert) skannet i 0.49 sekunder

4: UDP Ping

La oss snakke om et annet alternativ for vertsoppdagelse i NMAP, jeg.e., UDP ping.

UDP Ping fungerer ved å sende UDP -pakker til de spesifiserte portene til målverten. Hvis verten er online, kan UDP -pakken møte en lukket port og svare med en ICMP -port uoppnåelig melding. Hvis verten er nede, vil ledeteksten være forskjellige ICMP -feilmeldinger som TTL overskredet eller ingen svar.

Standardporten for UDP Ping er 40, 125. UDP Ping er en god teknikk å bruke når du utfører vertsoppdagelse for verter bak en brannmur og filtre. Det er fordi de fleste brannmurer ser etter og blokkerer TCP, men tillater UDP -protokolltrafikk.

For å kjøre NMAP vertsoppdagelse med UDP Ping, bruk kommandoen nedenfor:

sudo nmap -sn -pu scanme.nmap.org

Utgangen fra kommandoen ovenfor er undersøkt ved hjelp av Wireshark, som vist på skjermdumpen nedenfor. Wireshark -filter brukt - UDP.port == 40125

Som du kan se på skjermbildet ovenfor, sender NMAP en UDP -ping til IP 45.33.32.156 (Scanme.nmap.org). Serveren svarer med ICMP uoppnåelig, noe som indikerer at verten er oppe.

5: ARP Ping

Vi kan ikke glemme ARP Ping -metoden som fungerer veldig bra for vertsoppdagelse i lokale nettverk. ARP Ping -metoden fungerer ved å sende en serie ARP -sonder til det gitte IP -adresseområdet og oppdager live -verter. Arp ping er rask og veldig pålitelig.

For å kjøre en ARP -ping ved hjelp av NMAP, bruk kommandoen:

sudo nmap -sn -pr 192.168.0.1/24

Hvis du undersøker kommandoen med Wireshark og filter ARP fra kilde 192.168.0.30, vil du få et skjermbilde av ARP -kringkastingssondeforespørsler som vist nedenfor. Wireshark -filter brukt er: ARP.src.proto_ipv4 == 192.168.0.30

TCP Syn Stealth

Du vil oppdage at Syn Scan er et godt alternativ for vertsoppdagelse fordi det er raskt og kan skanne en serie porter på sekunder, forutsatt at sikkerhetssystemer som brannmurer ikke forstyrrer. Syn er også veldig kraftig og stealthy da det fungerer ved ufullstendige TCP -forespørsler.

Jeg vil ikke gå inn på detaljene om hvordan TCP Syn/ACK fungerer, men du kan lære mer om det fra de forskjellige ressursene som er gitt nedenfor:

• https: // linkfy.til/tcpwiki
• https: // linkfy.til/3-veis-håndshake-forklarte
• https: // linkfy.til/3-veis-anantomi

For å kjøre NMAP TCP Syn Stealth Scan, bruk kommandoen:

sudo nmap -ss 192.168.0.1/24

Jeg har gitt en Wireshark -fangst av NMAP -SS -kommandoen og NMAP -funnene av skanningen, undersøk dem og se hvordan det fungerer. Se etter ufullstendige TCP -forespørsler med RST -pakken.

• https: // linkfy.til/Wireshark-fangst
• https: // linkfy.til/nmap-output-txt

Konklusjon

For å oppsummere, har vi fokusert på å diskutere hvordan du bruker NMAP Host Discovery -funksjonen og får informasjon om den spesifiserte verten. Vi diskuterte også hvilken metode du skal bruke når du trenger å utføre vertsoppdagelse for verter bak brannmurer, blokkere ICMP Ping-forespørsler, og mye mer.

Utforsk NMAP for å få dypere kunnskap.