Izvajanje prikritih pregledov z Nmapom

Performing Stealth Scans With Nmap



S hekerji se srečujejo številni izzivi, vendar je obravnavanje izvidništva eno najpomembnejših vprašanj. Pomembno je, da poznate ciljne sisteme, preden začnete vdreti. Bistveno je vedeti o nekaterih podrobnostih, na primer o tem, katera vrata so odprta, katere storitve trenutno delujejo, kakšni so naslovi IP in kateri operacijski sistem je uporabljen pri tarči. Za začetek procesa vdora je potrebno imeti vse te podatke. V večini primerov si hekerji vzamejo dodaten čas za izvidovanje, namesto da bi ga takoj izkoristili.

Orodje, ki se uporablja v ta namen, se imenuje Nmap. Nmap se začne s pošiljanjem izdelanih paketov v ciljni sistem. Nato bo videl odziv sistema, vključno s tem, kateri operacijski sistem deluje, in katera vrata in storitve so odprta. Na žalost niti dober požarni zid niti močan sistem za odkrivanje vdorov v omrežje ne bosta zlahka zaznala in blokirala tovrstnih pregledov.







Razpravljali bomo o nekaterih najboljših metodah, ki vam bodo pomagale pri prikritih pregledih, ne da bi jih odkrili ali blokirali. V ta postopek so vključeni naslednji koraki:



  1. Skenirajte s protokolom TCP Connect
  2. Skenirajte z zastavico SYN
  3. Nadomestni pregledi
  4. Spustite se pod prag

1. Skenirajte s protokolom TCP


Najprej začnite skenirati omrežje s protokolom za povezavo TCP. Protokol TCP je učinkovito in zanesljivo skeniranje, saj bo odprlo povezavo ciljnega sistema. Ne pozabite, da je -P0 V ta namen se uporablja stikalo. The -P0 stikalo bo omejilo ping Nmap, ki je privzeto poslano, hkrati pa blokira različne požarne zidove.



$sudo nmap -sT -P0192.168.1.115





Iz zgornje slike lahko vidite, da bo vrnjeno najučinkovitejše in najbolj zanesljivo poročilo o odprtih vratih. Eno glavnih vprašanj pri tem skeniranju je, da bo vklopil povezavo vzdolž TCP, kar je tristransko rokovanje za ciljni sistem. Ta dogodek lahko zabeleži varnost sistema Windows. Če je kramp po naključju uspel, bo skrbnik sistema lahko izvedel, kdo je izvedel kramp, ker bo vaš naslov IP razkrit ciljnemu sistemu.

2. Skenirajte z zastavico SYN

Glavna prednost uporabe skeniranja TCP je, da vklopi povezavo tako, da naredi sistem bolj enostaven, zanesljiv in prikrit. Prav tako je mogoče skupaj s protokolom TCP uporabiti komplet zastavic SYN, ki zaradi nepopolnega tristranskega rokovanja nikoli ne bo zabeležen. To lahko storite z naslednjim:



$sudo nmap -sS -P0192.168.1.115

Upoštevajte, da je rezultat seznam odprtih vrat, ker je pri skeniranju povezave TCP precej zanesljiv. V datotekah dnevnika ne pušča sledi. Čas, potreben za izvedbo tega skeniranja, je bil po Nmapu le 0,42 sekunde.

3. Nadomestna skeniranja

Poskusite lahko tudi s skeniranjem UDP s pomočjo protokola UBP, ki se opira na sistem. Izvedete lahko tudi Null scan, ki je TCP brez zastavic; in božično skeniranje, ki je paket TCP z zastavico P, U in F. Vendar pa vsi ti pregledi dajejo nezanesljive rezultate.

$sudo nmap -svoje -P010.0.2.15

$sudo nmap -sN -P010.0.2.15

$sudo nmap -sX -P010.0.2.15

4. Spustite se pod prag

Požarni zid ali sistem za zaznavanje vdorov v omrežje bo skrbnika opozoril na skeniranje, ker ti pregledi niso zabeleženi. Skoraj vsak sistem za zaznavanje vdorov v omrežje in najnovejši požarni zid bodo zaznali takšne vrste skeniranja in jih blokirali s pošiljanjem opozorilnega sporočila. Če sistem za odkrivanje vdorov v omrežje ali požarni zid blokira skeniranje, bo ujel naslov IP in naš pregled, tako da ga identificira.

SNORT je znan, priljubljen sistem za zaznavanje vdorov v omrežje. SNORT je sestavljen iz podpisov, ki so zgrajeni na naboru pravil za odkrivanje skeniranih datotek iz Nmap. Omrežni niz ima minimalni prag, ker bo vsak dan šel skozi večje število vrat. Privzeta raven praga v SNORT je 15 vrat na sekundo. Zato skeniranje ne bomo zaznali, če skeniramo pod pragom. Da bi se bolje izognili sistemom za odkrivanje vdorov v omrežje in požarnim zidom, morate imeti na voljo vse znanje.

Na srečo je mogoče s pomočjo Nmap skenirati z različnimi hitrostmi. Nmap je privzeto sestavljen iz šestih hitrosti. Te hitrosti lahko spremenite s pomočjo –T stikalo skupaj z imenom ali številko hitrosti. Naslednjih šest hitrosti je:

paranoičen0, podle1, vljuden2, normalno3, agresivno4, noro5

Paranoična in prikrita hitrost sta najhitrejša in oba sta pod pragom SNORT za različna skeniranja vrat. Za hitro skeniranje navzdol uporabite naslednji ukaz:

$nmap -sS -P0 -Tpodti 192.168.1.115

Tu bo skeniranje plulo mimo sistema za zaznavanje vdorov v omrežje in požarnega zidu, ne da bi ga zaznali. Ključno je, da med tem postopkom ohranite potrpljenje. Nekateri pregledi, na primer skeniranje s prikrito hitrostjo, trajajo 5 ur na naslov IP, privzeto skeniranje pa traja le 0,42 sekunde.

Zaključek

Ta članek vam je pokazal, kako izvesti prikrito skeniranje z orodjem Nmap (Network Mapper) v Kali Linuxu. Članek vam je pokazal tudi, kako delati z različnimi prikritimi napadi v Nmapu.