Stealth skanninger med NMAP

Denne opplæringen beskriver forskjellige teknikker for å utføre stealth -skanninger med NMAP.

Stealth Scan Techniques implementeres for å omgå brannmurer eller oppdage verter i live mens de forblir uoppdaget.

NMAP tilbyr en rekke flagg og alternativer for å utføre forskjellige stealth -skanningstyper, hvorav de fleste er forklart i denne artikkelen. De er enkle å implementere og utgjøre en fin læringsprosess på IP -pakker.

Etter å ha lest dette innholdet, vil leseren glede seg over en bedre forståelse av nettverkspakker og kommunikasjon mens han tilegner seg dyp praktisk kunnskap om stealth -skanninger med NMAP.

Alle instruksjoner i denne opplæringen inneholder skjermbilder, noe som gjør det enkelt for alle lesere å forstå hvordan de blir utført og utganger eller resultater.

Kort introduksjon til stealth -skanninger

Vanligvis oppdager brannmurer etablering eller etablerte forbindelser.

TCP Sender pakker som prøver å etablere en forbindelse med målet (samle informasjon i prosessen). Denne aktiviteten kan blokkeres og logges av brannmuren som skal rapporteres til administratoren.

Anta at brukeren har rotprivilegier som standard. I så fall kjører NMAP stealth -skanneteknikker som består av Syn (Synkronisering) pakker og RST Pakker som avbryter forbindelsen etter det første svaret fra destinasjonen.

Brukere kan forhindre at brannmurer oppdager skanningen ved å avbryte den korte samspillet om gangen og kansellere tilkoblingsprosessen før de sender en Ack svare.

Som du kan se på figuren nedenfor, en vanlig TCP Skanning består av en initial Syn (Synkronisering) Pakke fra NMAP (PC1) som ber målet (PC2) om å synkronisere en tilkobling. Hvis den målrettede porten er åpen, svarer målet Syn+ack (Anerkjennelse og synkronisering) Pakker som bekrefter Syn Mottak og synkroniseringen til NMAP, og NMAP sender Ack (Bekreftelse) pakker som et svar på målets Syn.

Følgende figur viser en stealth -skanning med Syn pakker. Som du kan se, den endelige anerkjennelsespakken (ACK) sendt av PC1 (Nmap) erstattes med en RST Pakke, avbryter forbindelsen til å bypass brannmurer (inntrengingsdeteksjonssystemer og tilpassede brannmurer vil oppdage stealth -skanninger).

NMAP TCP Syn (stealth) skanneteknikker

For å utføre en syn eller stealth -skanning som den som er avbildet i forrige andre figur, må brukeren implementere -ss (Syn) flagg. Dette alternativet vil tilbakestille forbindelsen før det er etablert.

Merk: SYN -skanningen krever rotrettigheter; bruke sudo kommando.

I det følgende eksempel utføres en stealth -skanning mot nettverket 192.168.0.0/24:

sudo nmap -ss 192.168.0.0/24

TCP Syn Ping Scan

De -PS Flaget lar deg starte Syn Ping for å oppdage levende verter på en stealthy måte.

NMAP -SN -PS80 192.168.0.1/24

De -sp flagget vil også kjøre en ping -skanning uten portskanning.

NMAP -SP 192.168.0.0/24

NMAP NULL SCAN

Til tross for at jeg sendte en RST Pakke som forhindrer tilkoblingen fra å bli logget, en SYN -skanning kan oppdages av brannmurer og inntrengingsdeteksjonssystemer (IDS). Det er flere teknikker for å utføre mer stealthy skanninger med NMAP.

NMAP fungerer ved å analysere pakkeens svar fra målet, kontrastere dem med protokollregler og tolke dem. NMAP lar smipakker generere de riktige svarene som avslører deres natur, for eksempel å vite om en port er lukket eller filtrert av en brannmur.

Følgende eksempel viser en NULL skanning som ikke inkluderer Syn, Ack, eller RST pakker.

Når du utfører en NULL Skanning, NMAP kan tolke tre resultater: Åpne | filtrert, lukket eller filtrert, hvor:

• Åpne | Filtrert: NMAP kan ikke bestemme om porten er åpen eller filtrert av en brannmur.
• Lukket: Porten er lukket
• Filtrert: Porten er filtrert.

I neste praktiske eksempel bruker brukeren -sn flagg for å løpe en NULL Skanning:

sudo nmap -v -sn -p 80 Linuxhint.com

Som vist i følgende eksempel, kan du legge til alternativet -sv å oppdage om porten er fremstilt som Åpne | Filtrert er faktisk åpent, men å legge til dette flagget kan føre til enklere skanningsdeteksjon av målet, som forklart i NMAPs bok.

sudo nmap -sn -sv -p 80 Linuxhint.com

• nmap = Ringer programmet
• -v = Instruerer NMAP om å skanne med verbositet
• -sn = Instruerer NMAP om å kjøre en null -skanning
• -sv = Versjonsdeteksjon
• -p = Prefiks for å bestemme porten for å skanne.

I noen tilfeller blokkerer brannmurer Syn pakker. I et slikt tilfelle kan brukeren sende en pakke med flagg Syn/ack å omgå brannmurer som ikke blokkerer Syn/ack pakker.

Noen pakker er ikke blokkert i Syn med Ack pakker og tillater også kombinasjonen av Syn med andre overskrifter, Syn/Fin Header er en av dem.

Følgende skanningstype sender Syn og finnoverskrifter. Denne skannetypen har en lav sjanse for å forbli uoppdaget.

sudo nmap -ss - -scanflags synfin linuxhint.com -v

NMAP XMAS -skanning

Xmas -skanning ble ansett som en stealth -skanningsteknikk som analyserte svar på Jul pakker for å lære typen eksternt system.

Hvert operativsystem eller nettverksenhet svarer på Xmas -pakker på en annen måte som avslører informasjon, for eksempel operativsystemet og porttilstandene.

Xmas er en gammel skanningsteknikk; I dag kan mange brannmurer og inntrengingsdeteksjonssystemer oppdage Jul. Det anbefales ikke å stole på dem som en stealth -teknikk.

sudo nmap -sx -t2 linuxhint.com -v

Sammenligning mellom TCP Syn Stealth Scan og TCP “Koble til skanning”:

Normal TCP -kommunikasjon

• -“Hei, kan du høre meg? Kan vi møtes?” (Syn pakke som ber om synkronisering)
• -“Hei!, jeg ser deg!, vi kan møte" (Hvor "jeg ser deg" er en Ack pakke, og "vi kan møte" er en Syn pakke)
• -"Flott!” (RSTET -pakke)

Syn Stealth -kommunikasjon

• -“Hei, kan du høre meg? Kan vi møtes?” (Syn pakke som ber om synkronisering)
• -“Hei!, jeg ser deg!, vi kan møte" (Hvor "jeg ser deg" er en Ack pakke, “We Can Meet” er en synpakke)
• -"Beklager, jeg sendte en forespørsel til deg ved en feiltakelse, glem det" (RSTET -pakke)

Det andre eksemplet over viser a Syn tilkobling, som ikke etablerer en forbindelse i motsetning til en TCP tilkobling eller Koble til skanning. Derfor Det er ingen logg på den andre enheten om en tilkobling, og heller ikke IP -adressen din er logget.

Andre NMAP -flagg (ingen stealth)

I tillegg til stealth -skanneteknikkene, bestemte vi oss for å beskrive noen forskjellige flagg.

Det er viktig å avklare at følgende flagg nedenfor ikke er stealthy.

De -O FLAG kan oppdage måloperativsystemet, som vist i følgende skjermbilde:

sudo nmap -o donweb.co

Som du ser i forrige skjermbilde, har sannsynligvis målet Linux med kjerne 2.6.x; I følge rapporten var deteksjonsforholdene vanskelige.

Følgende eksempel prøver å lære programvareversjonen (-SV) som lytter bak portene. Som du ser ble lakk oppdaget.

NMAP -SV Wikipedia.org

De -på Flaget oppretter en fil med resultatene av skanningen.

I det følgende eksempel implementerer brukeren -på flagg for å lage filen “Resultater.txt ”med skanneutgangen.

Det handler om stealth -skannemetoder. Du kan teste dem med et inntrengingsdeteksjonssystem som Snort for å se effektiviteten deres før forskjellige deteksjonsregler.

Konklusjon

Som du kan se, tilbyr NMAP forskjellige stealth -skanneteknikker. De er alle enkle å implementere, og teknikken er lett å forstå om brukeren kjenner grunnleggende nettverk. Lesere med minimal erfaring kan reprodusere de gitte praktiske eksemplene uten store vanskeligheter. Det anbefales på det sterkeste å bruke eksemplet i tillegg til lesingen.

Alle de gitte instruksjonene er gyldige for alle Linux -distribusjoner.

Takk for at du leser denne opplæringen som forklarer hvordan du kjører stealth -skanninger med NMAP. Fortsett å følge Linux -hint for mer nettverks- og sikkerhetsfaglig innhold.