NMAP -Host -Entdeckungsprozess

Ahmed Stöckert
NMAP -Host -Entdeckungsprozess
NMAP ist ein leistungsstarkes Netzwerk -Scan- und Auditing -Tool, das von Penetrationstestern und Netzwerkingenieuren bevorzugt wird. Es ermöglicht es, einen einzelnen Host oder ein großes Netzwerk mit Tausenden von Hosts zu scannen und relevante Informationen darüber zu finden.

Dieses Tutorial konzentriert sich auf eine wichtige NMAP -Verwendung, ich.e., Hostentdeckung und Host -Entdeckungsmethode. Es ist gut zu beachten.

Was ist die Entdeckung des Hosts

Der NMAP-Host-Discovery-Prozess bezieht sich auf die Aufzählung von Netzwerkhosts, um Informationen darüber zu sammeln, um einen Angriffsplan im Stifttest zu erstellen.

Während der Erkennung von Host verwendet NMAP Elemente wie Ping und ein integriertes Skript, um Betriebssysteme, Ports und Ausführungsdienste mithilfe von TCP- und UDP-Protokollen zu suchen. Wenn angegeben, können Sie die NMAP -Skriptmotor aktivieren, die verschiedene Skripte verwendet, um Schwachstellen gegen den Host zu suchen.

Der von NMAP verwendete Host -Discovery -Prozess verwendet RAW ICMP -Pakete. Diese Pakete können (selten) und sehr vorsichtige Sys -Administratoren deaktiviert oder von Firewalls gefiltert werden. NMAP bietet uns jedoch einen Stealth -Scan, wie wir in diesem Tutorial sehen werden.

Lassen Sie uns anfangen.

Netzwerkerkennung

Lassen Sie uns verschiedene Methoden zur Durchführung von Host -Entdeckungen untersuchen und verschiedene Einschränkungen überwinden, die durch Netzwerksicherheitsgeräte wie Firewalls verursacht werden, ohne zu viel Zeit zu verschwenden.

1: Klassischer ICMP Ping

Sie können Host -Entdeckungen mit einem einfachen Durchführung ICMP -Echo -Anfrage wo der Host mit einem antwortet ICMP -Echo -Antwort.

Um eine ICMP -Echo -Anfrage mit NMAP zu senden, geben Sie den Befehl ein:

$ nmap -pe -sn 192.168.0.16

Die Ausgabe ähnelt wie unten gezeigt:

NMAP 7 starten.91 (https: // nmap.org)
Scanbericht für 192.168.0.16
Host ist auf (0.11s Latenz).
MAC-Adresse: EC: 08: 6B: 18: 11: D4 (TP-Link-Technologien)
NMAP Fertig: 1 IP -Adresse (1 Host -Up) gescannt in 0.62 Sekunden

Im obigen Befehl geben wir NMAP an. Wenn es eine ICMP -Antwort erhält, ist der Host ab.

Unten finden Sie ein Wireshark -Screenshot des Befehl nmap -sn -pe:

Betrachten Sie die unten bereitgestellte Ressource, um mehr über ICMP -Protokoll zu erfahren.

https: // linkfy.to/icmp

NOTIZ: ICMP -Echo -Anforderungen sind unzuverlässig und ziehen keine Schlussfolgerung, die auf der Antwort basiert. Betrachten Sie beispielsweise dieselbe Anfrage an Microsoft.com

$ nmap -sn -pe microsoft.com

Die Ausgabe erfolgt wie unten gezeigt:

NMAP 7 starten.91 HINWEIS: Der Gastgeber scheint niederzukommen.
Wenn es wirklich vorbei ist, aber unsere Ping -Sonden blockieren, versuchen Sie -PN -PN
NMAP gemacht:
1 IP -Adresse (0 Hosts up) gescannt in 2.51 Sekunden

Hier ist ein Screenshot für die Wireshark -Analyse:

2: TCP -Synchronisation

Eine andere Methode zur Erkennung von Host besteht darin, einen NMAP -TCP -Syntier -Scan zu verwenden. Wenn Sie mit den drei Handshakes TCP Syn/ACK vertraut sind, leiht sich NMAP aus der Technologie und sendet eine Anfrage an verschiedene Ports.

Wenn wir NMAP sagen sollen, synchronisieren. Wenn der Host ausgefallen ist, reagiert er mit einem ersten Paket.

Verwenden Sie den Befehl wie unten gezeigt, um eine Syn -Ping -Anforderung auszuführen.

sudo nmap -sn -ps scanme.NMAP.Org

Die Antwort aus diesem Befehl sollte angeben, ob der Host auf oder ab ist. Das Folgende ist ein Wireshark -Filter der Anfrage.

TCP.Flaggen.syn && tcp.Flaggen.ack

NOTIZ: Wir verwenden die -Ps, um anzugeben, dass wir die TCP -Synt -Anforderung verwenden möchten, was eine effizientere Methode sein kann als RAW -ICMP -Pakete. Das Folgende ist eine NMAP -Anfrage von Microsoft.com mit TCP Syn.

$ nmap -sn -p Microsoft.com

Die Ausgabe ist unten dargestellt:

NMAP 7 starten.91 (https: // nmap.org)
NMAP -Scanbericht für Microsoft.com (104.215.148.63)
Host ist auf (0.29s Latenz).
Andere Adressen für Microsoft.com (nicht gescannt): 40.112.72.205 13.77.161.179 40.113.200.201 40.76.4.15
NMAP gemacht:
1 IP -Adresse (1 Host -Up) gescannt in 1.08 Sekunden

3: TCP ACK Ping

Die TCP -ACK -Ping -Methode ist ein Kind der Syn -Ping -Anfrage. Es funktioniert ähnlich, verwendet aber stattdessen das ACK -Paket. Bei dieser Methode versucht NMAP etwas Kluges.

Es beginnt mit dem Versenden eines leeren TCP -ACK -Pakets an den Host. Wenn der Host offline ist, sollte das Paket keine Antwort erhalten. Wenn online, antwortet der Host mit einem ersten Paket, das angibt, dass der Host abgelaufen ist.

Wenn Sie mit dem ersten (Zurücksetzen des Pakets) nicht vertraut sind, ist es das Paket, das nach Erhalt eines unerwarteten TCP -Pakets gesendet wurde. Da das ACK -Paket -NMAP Sends keine Antwort auf Syn ist, muss der Host ein erstklassiges Paket zurückgeben.

Verwenden Sie den Befehl zum Initialisieren eines NMAP -ACK -Pings als:

$ nmap -sn -pa 192.168.0.16

Gegebene Ausgabe unten:

NMAP 7 starten.91 (https: // nmap.org)
NMAP -Scanbericht für 192.168.0.16
Host ist auf (0.15S Latenz).
MAC-Adresse: EC: 08: 6B: 18: 11: D4 (TP-Link-Technologien)
NMAP gemacht:
1 IP -Adresse (1 Host -Up) gescannt in 0.49 Sekunden

4: UDP Ping

Lassen Sie uns über eine andere Option für die Entdeckung des Hosts in NMAP sprechen, ich.e., UDP Ping.

UDP Ping funktioniert, indem UDP -Pakete an die angegebenen Ports des Zielhosts gesendet werden. Wenn der Host online ist, kann das UDP -Paket auf einen geschlossenen Port begegnen und mit einem ICMP -Anschluss nicht erreichbar antworten. Wenn der Host ausgefallen ist, sind die Eingabeaufforderung verschiedene ICMP -Fehlermeldungen wie TTL überschritten oder keine Antwort.

Der Standardport für UDP -Ping beträgt 40, 125. Das UDP -Ping ist eine gute Technik, die bei der Ausführung von Host -Entdeckungen für Hosts hinter einer Firewall und Filtern verwendet werden kann. Das liegt daran, dass die meisten Firewalls TCP suchen und blockieren, aber UDP -Protokollverkehr zulassen.

Verwenden Sie den folgenden Befehl zum Ausführen von NMAP -Host -Entdeckungen mit UDP Ping:

sudo nmap -sn -pu scanme.NMAP.Org

Die Ausgabe aus dem obigen Befehl ist unter Verwendung von Wireshark untersucht, wie im folgenden Screenshot gezeigt. Wireshark Filter verwendet - UDP.Port == 40125

Wie Sie im obigen Screenshot sehen können, sendet NMAP ein UDP -Ping an den IP 45.33.32.156 (Scanme.NMAP.org). Der Server reagiert mit ICMP nicht erreichbar, was darauf hinweist, dass der Host abgelaufen ist.

5: ARP Ping

Wir können die ARP -Ping -Methode, die für die Erkennung von Host in lokalen Netzwerken sehr gut funktioniert, nicht vergessen. Die ARP -Ping -Methode sendet eine Reihe von ARP -Sonden an den angegebenen IP -Adressbereich und entdeckt Live -Hosts. ARP Ping ist schnell und sehr zuverlässig.

Verwenden Sie den Befehl, um einen ARP -Ping mit NMAP auszuführen:

sudo nmap -sn -pr 192.168.0.1/24

Wenn Sie den Befehl mit Wireshark und Filter ARP von Quelle 192 untersuchen.168.0.30, Sie erhalten einen Screenshot von ARP -Sendemanfragen, wie unten gezeigt. Wireshark Filter verwendet ist: ARP.src.proto_ipv4 == 192.168.0.30

TCP Syn Stealth

Sie werden feststellen, dass Syn Scan eine gute Option für die Erkennung von Hosts ist, da es schnell ist und eine Reihe von Ports in Sekundenschnelle scannen kann, vorausgesetzt, Sicherheitssysteme wie Firewalls stören nicht. Syn ist auch sehr mächtig und heimlich, da es unvollständige TCP -Anfragen bewirkt.

Ich werde nicht auf die Details der Funktionsweise von TCP Syn/ACK eingehen, aber Sie können mehr darüber aus den verschiedenen unten angegebenen Ressourcen erfahren:

  • https: // linkfy.to/tcpwiki
  • https: // linkfy.bis/3-Wege-Handshake-erläutert
  • https: // linkfy.bis/3-Way-Anantomie

Verwenden Sie den Befehl zum Ausführen von NMAP TCP Syn Stealth Scan:

sudo nmap -ss 192.168.0.1/24

Ich habe eine Wireshark -Erfassung des Befehls nmap -SS und die NMAP -Funde des Scans, untersuchen Sie sie und sehen Sie, wie es funktioniert. Suchen Sie nach unvollständigen TCP -Anfragen mit dem RST -Paket.

  • https: // linkfy.zu/Wireshark-Kreislauf
  • https: // linkfy.to/nmap-output-txt

Abschluss

Zusammenfassend haben wir uns darauf konzentriert, zu diskutieren, wie Sie die Funktion zur Entdeckung von NMAP -Host verwenden und Informationen über den angegebenen Host erhalten. Wir haben auch diskutiert, welche Methode verwendet werden soll, wenn Sie Host-Discovery für Hosts hinter Firewalls, die Blockierung von ICMP-Ping-Anfragen und vieles mehr durchführen müssen, und vieles mehr.

Erforschen Sie NMAP, um tieferes Wissen zu erlangen.

c scharf
So verwenden Sie Mathematik.Rundenfunktion in C#
Mathematik.Round () in C# runden eine Zahl an die nächste Ganzzahl oder eine bestimmte Anzahl von De...
Ahmed Stöckert
c scharf
Wie man Polymorphismus in C# verwendet
Polymorphismus ermöglicht es, Objekte verschiedener Klassen zu behandeln, als wären sie aus derselbe...
Arved Riermeier
Php
Was ist eine Schnittstelle in objektorientiertem PHP
Schnittstellen definieren einen Standard -Satz von Aktionen, mit denen verschiedene Klassen Code kon...
Gian Eisenlauer
c scharf
Was ist System.Io Namespace in C#
Mohamed Flore
Php
So verwenden Sie Array_reverse -Funktion in PHP
Stephan Harms
AWS
Was ist AWS -Steuerturm und wie man ihn benutzt??
Gian Eisenlauer
AWS
So verwenden Sie Instanzlebenszyklus in AWS?
Hussein Burkhard
Oracle Linux
Was sind die Unterschiede zwischen Oracle Linux und Ubuntu Linux??
Kaya Wyludda
Oracle Linux
Was ist der Unterschied zwischen Oracle VirtualBox und VMware?
Mohamed Flore
Oracle -Datenbank
So finden Sie den Oracle Service -Namen?
Jean Dengler
AWS
Warum sollte ich AWS -Organisationen verwenden??
Mohamed Flore
C ++
Unterschied zwischen privat und geschützt in C ++
Stephan Harms
c scharf
Bedingungen und wenn dann Aussagen in C#
Christopher Lammert