NMAP
Network Mapper, häufig als NMAP verwendet, ist ein kostenloses und Open-Source-Tool für Netzwerk- und Port-Scaning. Es ist auch in vielen anderen aktiven Informationssammeltechniken kompetent. NMAP ist bei weitem das am weitesten verbreitete Informationsabschub-Tool, das von Penetrationstestern verwendet wird. Es ist ein CLI -basiertes Tool, hat aber auch eine GUI -basierte Version auf dem Markt namens Zenmap. Es war einst ein Tool „nur Unix“, unterstützt aber jetzt viele andere Betriebssysteme wie Windows, FreeBSD, OpenBSD, Sun Solaris und viele andere. NMAP ist vorinstalliert in Penetrationstestdistributionen wie Kali Linux und Papagei OS. Es kann auch auf anderen Betriebssystemen installiert werden. Um dies zu tun, suchen Sie hier NMAP.
Abbildung 1.1 zeigt Ihnen einen normalen Scan und Ergebnisse. Der Scan enthüllte die offenen Ports 902 und 8080. Abbildung 1.2 Zeigt Ihnen einen einfachen Service -Scan an, der angibt, welcher Service am Port ausgeführt wird. Abbildung 1.3 Zeigt einen Standard -Skriptscan an. Diese Skripte zeigen manchmal interessante Informationen, die in den seitlichen Teilen eines Stifttests weiter verwendet werden können. Weitere Optionen geben Sie NMAP in das Terminal ein, und es wird Ihnen die Version, Verwendung und alle anderen verfügbaren Optionen angezeigt.
Abb. 1.1: Einfacher NMAP -Scan
Abb. 1.2: NMAP -Dienst/Versionscan
Abb. 1.3: Standard -Skriptscan
Tcpdump
TCPDUMP ist ein kostenloser Daten-Netzwerk-Paketanalysator, der an der CLI-Schnittstelle arbeitet. Es ermöglicht Benutzern, den Netzwerkverkehr über ein Netzwerk zu sehen, zu lesen oder zu erfassen, das an den Computer angeschlossen ist. Ursprünglich 1988 von vier Arbeitern der Lawrence Berkely Laboratory Network Research Group geschrieben und 1999 von Michael Richardson und Bill Fenner organisiert, der WWW errichtete.tcpdump.Org. Es funktioniert auf allen Unix-ähnlichen Betriebssystemen (Linux, Solaris, alle BSDs, MacOS, Sunolaris usw.). Die Windows -Version von TCPDump wird als Windump bezeichnet und verwendet WinPCap, die Windows -Alternative für LIBPCap.
So installieren Sie TCPDump:
$ sudo apt-Get Installieren Sie TCPDump
Verwendung:
# TCPDump [Optionen] [Ausdruck]
Für Optionsdetails:
$ tcpdump -h
Wireshark
Wireshark ist ein immens interaktiver Netzwerkverkehrsanalysator. Man kann Pakete ablegen und analysieren, sobald sie empfangen werden. Ursprünglich von Gerald Combs im Jahr 1998 als ätherisch entwickelt, wurde es 2006 aufgrund von Markenproblemen umbens. Wireshark bietet auch verschiedene Filter an, damit der Benutzer angeben kann. Wireshark kann von www heruntergeladen werden.Wireshark.org/#herunterladen. Es ist für die meisten gängigen Betriebssysteme (Windows, Linux, MacOS) verfügbar und wird in den meisten Penetrationsdistributionen wie Kali Linux und Parrot OS vorinstalliert.
Wireshark ist ein leistungsstarkes Werkzeug und braucht ein gutes Verständnis für grundlegende Netzwerke. Es wandelt den Verkehr in ein Format um, das Menschen leicht lesen können. Es kann den Benutzern helfen, Latenzprobleme, fallengelassene Pakete oder sogar Hacking -Versuche gegen Ihre Organisation zu beheben. Darüber hinaus unterstützt es bis zu zweitausend Netzwerkprotokolle. Man kann sie möglicherweise nicht alle verwenden, da der gemeinsame Verkehr aus UDP-, TCP-, DNS- und ICMP -Paketen besteht.
Eine Karte
Anwendungs -Mapper (auch eine Karte) Wie der Name vermuten lässt. Es ist ein Tool der nächsten Generation, mit dem Anwendungen und Prozesse entdeckt werden können, auch wenn sie nicht in ihren herkömmlichen Ports ausgeführt werden. Wenn beispielsweise ein Webserver auf Port 1337 anstelle des Standardports 80 ausgeführt wird, kann AMAP dies feststellen. Amap kommt mit zwei prominenten Modulen. Erste, Amapcrap Kann Scheindaten an Ports senden, um eine Art Antwort aus dem Zielport zu generieren, die später für die weitere Analyse verwendet werden kann. Zweitens hat AMAP das Kernmodul, das ist das Anwendungs -Mapper (eine Karte).
AMAP -Nutzung:
$ amap -h
Amap v5.4 (c) 2011 von Van Hauserwww.thc.org/thc-Amap
Syntax: AMAP [Modi [-a | -b | -p]] [Optionen] [Zielport [Port]…]
Modi:
-A (Standard) Senden Sie Auslöser und Analyse von Antworten (MAP -Anwendungen)
-B nur Banner greifen; Senden Sie keine Trigger
-P Ein vollwertiger Verbindungsanschluss-Scanner
Optionen:
-1 Schnell! Senden Sie Trigger an einen Port bis zur 1. Identifikation
-6 Verwenden Sie IPv6 anstelle von IPv4
-B Print ASCII -Banner von Antworten
-Ich file eine maschinenlesbare Ausgabedatei, um Ports von zu lesen
-U Geben Sie UDP -Ports in der Befehlszeile an (Standard: TCP)
-R Identifizieren Sie keinen RPC -Service
-H Senden Sie keine potenziell schädlichen Anwendungsauslöser
-Sie lassen nicht anerkannte Antworten ab
-D Dumpeln Sie alle Antworten
-V ausführlicher Modus; Verwenden Sie zwei oder mehr für mehr Ausführlichkeit
-q Melden Sie keine geschlossenen Ports und drucken Sie sie nicht als nicht identifiziert
-o Datei [-m] Schreiben Sie die Ausgabe in Datei-Datei; -M erzeugt die maschinelles Lesbare Ausgang
-c Nachteile haben parallele Verbindungen (Standard 32, max 256)
-C Übermittlung der Anzahl der Wiederverbindungen zum Verbinden von Zeitüberschreitungen (Standard 3)
-T Sec Verbindungszeitlimit bei Verbindungsversuchen in Sekunden (Standard 5)
-T Sec -Antwort warten Sie in Sekunden auf eine Auszeit (Standard 5)
-P -Proto senden Auslöser nur an dieses Protokoll (e.G. Ftp)
Zielen Sie die Zieladresse und die Ports (en) auf einen Scannen auf (zusätzlich zu -i)
Abb. 4.1 Probe amap Scan
p0f
p0f ist die Kurzform für “PASsive ÖS FIngerprinting “(eine Null wird anstelle eines o verwendet). Es ist ein passiver Scanner, der Systeme remote identifizieren kann. P0F verwendet Fingerabdrucktechniken, um TCP/IP -Pakete zu analysieren und verschiedene Konfigurationen einschließlich des Betriebssystems des Hosts zu bestimmen. Es hat die Möglichkeit, diesen Prozess passiv durchzuführen, ohne verdächtigen Verkehr zu generieren. P0F kann auch PCAP -Dateien lesen.
Verwendung:
# P0F [Optionen] [Filterregel]
Abb. 5.1 Probe P0F Ausgang
Der Host muss entweder eine Verbindung zu Ihrem Netzwerk herstellen (spontan oder induziert) oder mit einigen Standardmitteln mit einem Entität in Ihrem Netzwerk verbunden sein (Webbrowsing usw. usw.) Der Host kann die Verbindung akzeptieren oder ablehnen. Diese Methode kann Paketfeuerwalls durchsehen und ist nicht durch die Einschränkungen eines aktiven Fingerabdrucks gebunden. Passives OS -Fingerabdruck wird hauptsächlich für Angreiferprofile, Besucherprofilerstellung, Kunden-/Benutzerprofilerstellung, Penetrationstests usw. verwendet.
Einstellung
Aufklärung oder Informationssammlung ist der erste Schritt in jedem Penetrationstest. Es ist ein wesentlicher Bestandteil des Prozesses. Einen Penetrationstest ohne eine anständige Aufklärung zu starten ist wie in einen Krieg zu gehen, ohne zu wissen, wo und wen Sie kämpfen. Wie immer gibt es eine Welt mit erstaunlichen Recon -Tools außer den oben genannten. Alles dank einer erstaunlichen Open-Source- und Cybersecurity-Community!
Glückliche Aufklärung! 🙂