Nmap Idle Scan Tutorial

Nmap Idle Scan Tutorial
  • Introduksjon til NMAP Idle Scan
  • Finne en zombieenhet
  • Utføre NMAP -tomgangsskanningen
  • Konklusjon
  • Relaterte artikler

Introduksjon til NMAP Idle Scan

De to siste opplæringen publisert på Linuxhint om NMAP var fokusert på stealthy skannemetoder inkludert Syn Scan, Null og Xmas Scan. Mens disse metodene enkelt blir oppdaget av brannmurer og inntrengingsdeteksjonssystemer, er de en formidabel måte å dikentisk lære litt om Internett -modell eller Internett -protokollsuite, Disse avlesningene er også et must før du lærer teorien bak tomgangsskanningen, men ikke et must å lære å bruke den praktisk.

Tomgangsskanningen som er forklart i denne opplæringen er en mer sofistikert teknikk ved bruk enn angriperdatamaskinen.

Angrepet består i utgangspunktet på å smi skjoldet eller mellomliggende enhet. Det er viktig å synliggjøre det viktigste trinnet i denne typen angrep er ikke å utføre det mot målet, men å finne zombieenheten. Denne artikkelen vil ikke fokusere på defensiv metode, for defensive teknikker mot dette angrepet kan du få tilgang til gratis til den aktuelle delen i bokens inntrengingsforebygging og aktiv respons: distribusjon av nettverk og vert IPS.

I tillegg til Internet Protocol Suite Aspects beskrevet ved NMAP Basics, NMAP Stealth Scan og Xmas Scan for å forstå hvordan tomgangsskanningen fungerer, må du vite hva en IP -ID er. Hver TCP -datagram som sendes har en unik midlertidig ID som tillater fragmentering og bakre montering av fragmenterte pakker basert på den IDen, kalt IP -ID. IP -IDen vil trinnvis vokse i samsvar med antall sendt pakker, derfor basert på IP -ID -nummeret kan du lære mengden pakker som er sendt av en enhet.

Når du sender en uoppfordret SYN/ACK -pakke, vil responsen være en RST -pakke for å tilbakestille tilkoblingen, vil denne RST -pakken inneholde IP -ID -nummeret. Hvis du først sender en uoppfordret SYN/ACK -pakke til en zombie -enhet, vil den svare med en RST -pakke som viser sin IP -ID, det andre trinnet er å smi denne IP -IDen for å sende en smidd SYN -pakke til målet, slik at den skal tro deg er zombien, målet vil svare (eller ikke) på zombien, i det tredje trinnet sender du en ny syn/ack til zombien for å få en RST -pakke igjen for å analysere IP -ID -økningen.

Åpne porter:

TRINN 1
Send uoppfordret syn/ack til zombie -enheten for å få en RST -pakke som viser zombie IP -ID.
STEG 2
Send en forfalsket SYN -pakke som poserer som zombie, og gjør målet for å svare en uoppfordret syn/ack til zombien, og gjør at den svarer på en ny oppdatert RST.
Trinn 3
Send en ny uoppfordret syn/ack til zombien for å motta en RST -pakke for å analysere sin nye oppdaterte IP -ID.

Hvis målets port er åpen, vil den svare på zombieenheten med en SYN/ACK -pakke som oppmuntrer zombien til å svare med en RST -pakke som øker IP -ID -en. Når angriperen sender en syn/ack igjen til zombien, vil IP -IDen bli økt +2 som vist i tabellen over.

Hvis porten er lukket, vil ikke målet sende en SYN/ACK -pakke til zombien, men en RST og det er IP -ID vil forbli den samme, når angriperen sender en ny ACK/Syn til zombien for å sjekke IP -ID -en den vil bare økes +1 (på grunn av ACK/SYN sendt av zombien, uten økning ved å provoseres av målet). Se tabellen nedenfor.

Lukkede porter:

TRINN 1

Samme som ovenfor

STEG 2

I dette tilfellet svarer målet zombien med en RST -pakke i stedet for en SYN/ACK, og forhindrer zombien i å sende RST som kan øke IP -ID -en.

STEG 2

Angriperen sender en syn/ack og zombie -svarene med bare økninger som er gjort når du samhandler med angriperen og ikke med målet.

Når porten blir filtrert, vil målet ikke svare være den samme som med lukkede porter. I motsetning til Syn-, Ack- og Xmas -skanninger som ikke kan skille mellom visse åpne og filtrerte porter, kan ikke dette angrepet skille mellom lukkede og filtrerte porter. Se tabellen nedenfor.

Filtrerte porter:

TRINN 1

Samme som ovenfor

STEG 2

I dette tilfellet er det ikke svar fra målet som forhindrer zombien i å sende RST som kan øke IP -ID -en.

Trinn 3

Samme som ovenfor

Finne en zombieenhet

NMAP NSE (NMAP Scripting Engine) gir skriptet ipidseq for å oppdage sårbare zombie -enheter. I det følgende eksemplet brukes skriptet til å skanne port 80 av tilfeldige 1000 mål for å se etter sårbare verter, er sårbare verter klassifisert som Trinnvis eller Little-Endian Incremental. Ytterligere eksempler på NSE -bruk, til tross for ikke relatert til tomgangsskanning, er beskrevet og vist for hvordan du kan skanne etter tjenester og sårbarheter med NMAP og bruke NMAP -skript: NMAP Banner Grab.

Ipidseq Eksempel for å tilfeldig finne zombiekandidater:

NMAP -P80 -Script IPIDSEQ -IR 1000

Som du kan se ble det funnet flere sårbare zombiekandidatverter MEN De er alle falske positive. Det vanskeligste trinnet når du utfører en tomgangsskanning er å finne en sårbar zombieenhet, det er vanskelig av mange grunner:

  • Mange ISP blokkerer denne typen skanning.
  • De fleste av operativsystemer tildeler IP -ID tilfeldig
  • Godt konfigurerte brannmurer og honeypots kan returnere falskt positivt.

I slike tilfeller når du prøver å utføre tomgangsskanningen, får du følgende feil:
... kan ikke brukes fordi det ikke har returnert noen av våre sonder - kanskje er det nede eller brannmur.
Slutte!

Hvis du er heldig i dette trinnet, finner du et gammelt Windows -system, et gammelt IP -kamerasystem eller en gammel nettverksskriver, dette siste eksemplet anbefales av NMAP -boken.

Når du leter etter sårbare zombier, kan det være lurt å overstige NMAP og implementere flere verktøy som Shodan og raskere skannere. Du kan også kjøre tilfeldige skanninger som oppdager versjoner for å finne et mulig sårbart system.

Utføre NMAP -tomgangsskanningen

Merk følgende eksempler er ikke utviklet i et reelt scenario. For denne opplæringen ble en Windows 98 Zombie satt opp gjennom VirtualBox som målet en metasploerbar også under VirtualBox.

Følgende eksempler hopper over vertsfunn og instruerer en tomgangsskanning ved hjelp av IP 192.168.56.102 som zombieenhet for å skanne porter 80.21.22 og 443 av målet 192.168.56.101.

nmap -pn -si 192.168.56.102 -P80,21,22,443 192.168.56.101

Hvor:
nmap: Ringer programmet
-Pn: hopper over vertsoppdagelse.
-si: Tomgangsskanning
192.168.56.102: Windows 98 Zombie.
-P80,21,22,443: instruerer om å skanne de nevnte portene.
192.68.56.101: er det metasploable målet.

I følgende eksempel er bare alternativet som definerer porter endret for -p -instruerer NMAP om å skanne de vanligste 1000 porter.

NMAP -SI 192.168.56.102 -pn -p- 192.168.56.101

Konklusjon

Tidligere var den største fordelen med en tomgangsskanning både å forbli anonym og å smi identiteten til en enhet som ikke var ufiltrert eller var pålitelig av defensive systemer, begge bruksområder virker foreldet på grunn av vanskeligheten med å finne sårbare zombier (ennå , det er selvfølgelig mulig). Å forbli anonymt ved bruk av et skjold ville være mer praktisk ved å bruke et offentlig nettverk, mens det er usannsynlig sofistikerte brannmurer eller ID -er vil bli kombinert med gamle og sårbare systemer som pålitelig.

Jeg håper du fant denne opplæringen på NMAP Idle -skanning nyttig. Fortsett å følge Linuxhint for flere tips og oppdateringer om Linux og nettverksbygging.

Relaterte artikler:

  • Hvordan skanne etter tjenester og sårbarheter med NMAP
  • NMAP Stealth Scan
  • Traceroute med NMAP
  • Bruke NMAP -skript: NMAP Banner Grab
  • NMAP -nettverksskanning
  • nmap ping sweep
  • nmap flagg og hva de gjør
  • Iptables for nybegynnere