Provádění skrytých skenů pomocí Nmap

Performing Stealth Scans With Nmap

Hackeři čelí mnoha výzvám, ale vypořádat se s průzkumem je jedním z nejvýznamnějších problémů. Než začnete hackovat, je důležité vědět o cílových systémech. Je důležité vědět o určitých podrobnostech, například o tom, které porty jsou otevřené, jaké služby aktuálně běží, jaké jsou IP adresy a jaký operační systém používá cíl. Chcete -li zahájit proces hackování, je nutné mít všechny tyto informace. Hackeři si ve většině případů vezmou více času na průzkum, místo aby je okamžitě zneužili.

Nástroj používaný k tomuto účelu se nazývá Nmap. Nmap začíná odesláním vytvořených paketů do cíleného systému. Poté se zobrazí odpověď systému, včetně toho, který operační systém běží a jaké porty a služby jsou otevřené. Ale bohužel ani dobrý firewall, ani silný systém detekce narušení sítě takové typy skenů snadno nezjistí a nezablokují.



Diskutujeme o některých nejlepších metodách, které vám pomohou provádět nenápadné kontroly, aniž by byly detekovány nebo blokovány. V tomto procesu jsou zahrnuty následující kroky:



  1. Skenujte pomocí protokolu TCP Connect
  2. Skenujte pomocí příznaku SYN
  3. Alternativní skenování
  4. Pokles pod práh

1. Skenujte pomocí protokolu TCP


Nejprve začněte skenovat síť pomocí protokolu TCP connect. Protokol TCP je efektivní a spolehlivé skenování, protože otevře připojení cílového systému. Pamatujte, že -P0 K tomuto účelu se používá přepínač. The -P0 přepínač zablokuje ping Nmapu, který je ve výchozím nastavení odeslán, a zároveň blokuje různé brány firewall.



$sudo nmap -Svatý -P0192.168.1.115

Z výše uvedeného obrázku vidíte, že bude vrácena nejefektivnější a nejspolehlivější zpráva o otevřených portech. Jedním z hlavních problémů tohoto skenování je, že zapne připojení podél TCP, což je pro cílový systém třícestné podání ruky. Tuto událost může zaznamenat zabezpečení systému Windows. Pokud je hack úspěšný, bude pro správce systému snadné vědět, kdo hack provedl, protože vaše IP adresa bude odhalena cílovému systému.

2. Skenujte pomocí příznaku SYN

Hlavní výhodou použití skenování TCP je, že zapíná připojení tím, že činí systém snadnějším, spolehlivějším a nenápadnějším. Sadu příznaků SYN lze také použít společně s protokolem TCP, který nebude nikdy protokolován, kvůli neúplnému třícestnému handshake. To lze provést pomocí následujícího:



$sudo nmap -sS -P0192.168.1.115

Všimněte si, že výstupem je seznam otevřených portů, protože je docela spolehlivý při skenování připojení TCP. V souborech protokolu nezanechává žádnou stopu. Čas potřebný k provedení tohoto skenování podle Nmap byl pouze 0,42 sekundy.

3. Alternativní skenování

Můžete také vyzkoušet skenování UDP pomocí protokolu UBP, který se spoléhá na systém. Můžete také provést Null scan, což je TCP bez příznaků; a Xmas scan, což je TCP paket se sadou příznaků P, U a F. Všechna tato skenování však produkují nespolehlivé výsledky.

$sudo nmap -své -P010.0.2.15

$sudo nmap -sN -P010.0.2.15

$sudo nmap -sX -P010.0.2.15

4. Pokles pod prahovou hodnotu

Brána firewall nebo systém detekce narušení sítě upozorní správce na kontrolu, protože tyto kontroly nejsou protokolovány. Téměř každý systém detekce vniknutí do sítě a nejnovější brána firewall takové typy skenování detekuje a zablokuje odesláním výstražné zprávy. Pokud systém detekce vniknutí do sítě nebo brána firewall zablokuje skenování, zachytí IP adresu a náš sken identifikací.

SNORT je slavný, populární systém detekce narušení sítě. SNORT se skládá z podpisů, které jsou postaveny na sadě pravidel pro detekci skenů z Nmap. Síťová sada má minimální práh, protože každý den projde větším počtem portů. Výchozí prahová úroveň v SNORT je 15 portů za sekundu. Naše skenování tedy nebude detekováno, pokud skenujeme pod prahovou hodnotou. Abyste se lépe vyhnuli systémům detekce vniknutí do sítě a firewallům, je nutné mít k dispozici všechny znalosti.

Naštěstí je možné pomocí Nmap skenovat pomocí různých rychlostí. Ve výchozím nastavení se Nmap skládá ze šesti rychlostí. Tyto rychlosti lze změnit pomocí –T přepněte spolu s názvem nebo číslem rychlosti. Následujících šest rychlostí je:

paranoidní0, záludný1, zdvořilý2, normální3, agresivní4, šílený5

Paranoidní a záludné rychlosti jsou nejpomalejší a oba jsou pod prahem SNORT pro různé skenování portů. Pomocí následujícího příkazu můžete prohledávat záludnou rychlostí:

$nmap -sS -P0 -Tzáludný 192.168.1.115

Zde skenování proletí kolem systému detekce narušení sítě a brány firewall, aniž by byl detekován. Klíčem je zachovat během tohoto procesu trpělivost. Některé skenování, jako například záludné rychlostní skenování, budou trvat 5 hodin na IP adresu, zatímco výchozí skenování bude trvat pouze 0,42 sekundy.

Závěr

Tento článek vám ukázal, jak provést tajné skenování pomocí nástroje Nmap (Network Mapper) v systému Kali Linux. Tento článek vám také ukázal, jak pracovat s různými utajenými útoky v Nmapu.