Izvođenje skrivenih skeniranja s Nmapom

Performing Stealth Scans With Nmap

S hakerima se susreću mnogi izazovi, no baviti se izviđanjem jedno je od najistaknutijih pitanja. Važno je znati o ciljnim sustavima prije početka hakiranja. Bitno je znati o određenim pojedinostima, kao što su otvoreni portovi, usluge koje se trenutno izvode, IP adrese i operacijski sustav koji je cilj zaposlen. Za početak procesa hakiranja potrebno je imati sve te podatke. U većini slučajeva hakeri će uzeti dodatno vrijeme za izviđanje umjesto da ih odmah iskoriste.

Alat koji se koristi u tu svrhu naziva se Nmap. Nmap počinje slanjem izrađenih paketa ciljanom sustavu. Tada će se vidjeti odgovor sustava, uključujući koji operativni sustav radi i koji su portovi i usluge otvoreni. No, nažalost, ni dobar vatrozid ni jak sustav za otkrivanje upada u mrežu neće lako otkriti i blokirati takve vrste skeniranja.



Raspravljat ćemo o nekim od najboljih metoda koje će vam pomoći u obavljanju skrivenih skeniranja bez otkrivanja ili blokiranja. U ovaj proces uključeni su sljedeći koraci:



  1. Skenirajte pomoću protokola TCP Connect
  2. Skenirajte pomoću zastavice SYN
  3. Naizmjenično skeniranje
  4. Spustite se ispod praga

1. Skenirajte pomoću TCP protokola


Prvo započnite skeniranje mreže pomoću protokola povezivanja TCP. TCP protokol učinkovito je i pouzdano skeniranje jer će otvoriti vezu ciljnog sustava. Upamtite da je -P0 prekidač se koristi u tu svrhu. The -P0 switch će ograničiti ping Nmapa koji se šalje prema zadanim postavkama, a također će blokirati različite vatrozide.



$sudo nmap -sT -P0192.168.1.115

Iz gornje slike možete vidjeti da će se vratiti najučinkovitije i najpouzdanije izvješće o otvorenim portovima. Jedan od glavnih problema u ovom skeniranju je taj što će uključiti vezu duž TCP-a, što je trosmjerno rukovanje za ciljni sustav. Ovaj događaj možda je zabilježila sigurnost sustava Windows. Ako je hakiranje slučajno uspjelo, administratoru sustava bit će lako znati tko je izvršio hakiranje, jer će vaša IP adresa biti otkrivena ciljnom sustavu.

2. Skenirajte pomoću zastavice SYN

Primarna prednost korištenja TCP skeniranja je ta što uključuje vezu čineći sustav lakšim, pouzdanijim i prikrivenijim. Također, skup zastavica SYN može se koristiti zajedno s TCP protokolom, koji nikada neće biti zabilježen, zbog nepotpunog trosmjernog rukovanja. To se može učiniti na sljedeći način:



$sudo nmap -sS -P0192.168.1.115

Uočite da je izlaz popis otvorenih portova jer je prilično pouzdan za skeniranje TCP povezivanja. U datotekama dnevnika ne ostavlja nikakav trag. Vrijeme potrebno za izvođenje ovog skeniranja, prema Nmapu, bilo je samo 0,42 sekunde.

3. Alternativna skeniranja

Također možete isprobati UDP skeniranje uz pomoć UBP protokola koji se oslanja na sustav. Također možete izvesti Null scan, koji je TCP bez zastavica; i božićno skeniranje, koje je TCP paket sa postavljenim oznakama P, U i F. Međutim, sva ta skeniranja daju nepouzdane rezultate.

$sudo nmap -svoje -P010.0.2.15

$sudo nmap -s n -P010.0.2.15

$sudo nmap -sX -P010.0.2.15

4. Spustite se ispod praga

Vatrozid ili sustav za otkrivanje upada u mrežu upozorit će administratora na skeniranje jer se ta skeniranja ne zapisuju. Gotovo svaki sustav za otkrivanje upada u mrežu i najnoviji vatrozid otkriti će takve vrste skeniranja i blokirati ih slanjem poruke upozorenja. Ako sustav za otkrivanje upada u mrežu ili vatrozid blokiraju skeniranje, uhvatit će IP adresu i naše skeniranje identificirajući je.

SNORT je poznati, popularan sustav za detekciju upada u mrežu. SNORT se sastoji od potpisa koji su izgrađeni na skupu pravila za otkrivanje skeniranja s Nmapa. Mrežni skup ima minimalni prag jer će svaki dan prolaziti kroz veći broj portova. Zadana razina praga u SNORT -u je 15 portova u sekundi. Stoga naše skeniranje neće biti otkriveno ako skeniramo ispod praga. Kako biste bolje izbjegli sustave za otkrivanje upada u mrežu i vatrozidove, potrebno je imati na raspolaganju svo znanje.

Srećom, moguće je skenirati različitim brzinama uz pomoć Nmapa. Prema zadanim postavkama, Nmap se sastoji od šest brzina. Ove se brzine mogu promijeniti uz pomoć –T prekidač, zajedno s nazivom ili brojem brzine. Sljedećih šest brzina su:

paranoičan0, podmukao1, pristojan2, normalno3, agresivno4, lud5

Paranoična i podmukla brzina su najsporije, a obje su ispod praga SNORT -a za različita skeniranja portova. Upotrijebite sljedeću naredbu za skeniranje prema dolje prikrivenom brzinom:

$nmap -sS -P0 -Tpodmukao 192.168.1.115

Ovdje će skeniranje proći pored sustava za otkrivanje upada u mrežu i vatrozida bez otkrivanja. Ključno je zadržati strpljenje tijekom ovog procesa. Neka će skeniranja, poput skrivenog skeniranja, trajati 5 sati po IP adresi, dok će zadano skeniranje trajati samo 0,42 sekunde.

Zaključak

Ovaj vam je članak pokazao kako izvesti skriveno skeniranje pomoću alata Nmap (mrežni karton) u Kali Linuxu. Članak vam je također pokazao kako raditi s različitim stealth napadima u Nmapu.