Die letzten beiden auf LinuxHint über NMAP veröffentlichten Tutorials wurden auf verstohlene Scan -Methoden wie Syn Scan, Null und Weihnachten Scan konzentriert. Während diese Methoden durch Firewalls und Intrusion Detection Systems leicht erkannt werden, sind sie eine gewaltige Möglichkeit, ein wenig über die zu lernen Internetmodell oder Internet -Protokollsuite, Diese Messwerte sind auch ein Muss, bevor Sie die Theorie hinter dem Leerlauf -Scan lernen, aber kein Muss, um zu lernen, wie man sie praktisch anwendet.
Der in diesem Tutorial erläuterte Leerlaufscan ist eine ausgefeiltere Technik mit einem Schild (genannt Zombie) zwischen dem Angreifer und dem Ziel. Wenn der Scan von einem Verteidigungssystem (Firewall oder IDS) erkannt wird, wird ein Zwischengerät (Zombie) eher die Schuld geben als der Angreifer Computer.
Der Angriff besteht grundsätzlich darin, den Schild oder das Zwischengerät zu schmieden. Es ist wichtig, den wichtigsten Schritt bei dieser Art von Angriff hervorzuheben, es nicht gegen das Ziel zu führen, sondern das Zombie -Gerät zu finden. Dieser Artikel konzentriert sich nicht auf die Verteidigungsmethode, für die Defensivtechniken gegen diesen Angriff können Sie kostenlos in den entsprechenden Abschnitt in der Intrusion Prevention und der aktiven Antwort des Buches zugreifen: Bereitstellung von Netzwerk- und Host -IPs.
Zusätzlich zu den Aspekten der Internet -Protokollsuite, die bei NMAP -Basics, NMAP Stealth Scan und Weihnachts -Scan beschrieben wurden,, müssen Sie wissen, wie der Idle -Scan funktioniert. Jeder gesendete TCP -Datagramm verfügt. Die IP -ID wächst in Übereinstimmung mit der Anzahl der gesendeten Pakete inkrementell. Basierend auf der IP -ID -Nummer können Sie die Menge der von einem Gerät gesendeten Pakete lernen.
Wenn Sie ein unerwünschtes Syn/ACK -Paket senden, ist die Antwort ein erstklassiges Paket zum Zurücksetzen der Verbindung. Dieses RST -Paket enthält die IP -ID -Nummer. Wenn Sie zuerst ein unerwünschtes Syn/ACK -Paket an ein Zombie -Gerät senden, wird mit einem RST -Paket geantwortet, das die IP -ID zeigt sind der Zombie, das Ziel wird auf den Zombie reagieren (oder nicht) auf den Zombie. Im dritten Schritt senden Sie einen neuen Syn/ACK an den Zombie, um erneut ein RST -Paket zu erhalten, um die IP -ID -Erhöhung zu analysieren.
Offene Ports:
SCHRITT 1 Senden Sie unerwünschte Syn/ACK an das Zombie -Gerät, um ein erstklassiges Paket mit der Zombie -IP -ID zu erhalten. | SCHRITT 2 Senden. | SCHRITT 3 Senden Sie eine neue unerwünschte Syn/ACK an den Zombie, um ein erstklassiges Paket zu erhalten. |
Wenn der Port des Ziels geöffnet ist, wird das Zombie -Gerät mit einem Syn/ACK -Paket beantwortet, das den Zombie ermutigt, mit einem ersten Paket zu antworten, das die IP -ID erhöht. Wenn der Angreifer dann erneut eine Syn/ACK an den Zombie sendet, wird die IP -ID +2 erhöht, wie in der obigen Tabelle gezeigt.
Wenn der Port geschlossen ist, sendet das Ziel kein Syn/ACK nur +1 erhöht werden (aufgrund des vom Zombie gesendeten ACK/Syn, ohne durch das Ziel zu erhöhen). Siehe die Tabelle unten.
Geschlossene Ports:
SCHRITT 1 Das gleiche wie oben | SCHRITT 2 In diesem Fall beantwortet das Ziel den Zombie mit einem ersten Paket anstelle eines SYN/ACK, wodurch der Zombie das Senden des ersten Sendens verhindern kann, was seine IP -ID erhöhen kann. | SCHRITT 2 Der Angreifer sendet eine Syn/ACK und die Zombie -Antworten mit nur Anstieg. |
Wenn der Port gefiltert wird, wird das Ziel überhaupt nicht beantwortet, die IP -ID bleibt ebenfalls gleich, da keine erste Antwort erfolgt und der Angreifer eine neue Syn/ACK an den Zombie sendet, um die IP -ID zu analysieren, die das Ergebnis wird Seien Sie gleich wie bei geschlossenen Ports. Entgegen den Syn-, ACK- und Weihnachts -Scans, die zwischen bestimmten offenen und gefilterten Ports nicht unterscheiden können, kann dieser Angriff nicht zwischen geschlossenen und gefilterten Ports unterscheiden. Siehe die Tabelle unten.
Gefilterte Ports:
SCHRITT 1 Das gleiche wie oben | SCHRITT 2 In diesem Fall gibt es keine Antwort vom Ziel, das den Zombie daran hindert. | SCHRITT 3 Das gleiche wie oben |
Finden eines Zombie -Geräts
NMAP NSE (NMAP Scripting Engine) stellt das Skript IPIDSEQ bereit, um gefährdete Zombie -Geräte zu erkennen. Im folgenden Beispiel wird das Skript verwendet, um den Port 80 von zufälligen 1000 Zielen zu scannen, um nach schutzbedürftigen Hosts zu suchen. Verletzliche Hosts werden als klassifiziert als Inkrementell oder Little-Endian inkrementell. Zusätzliche Beispiele für die NSE -Verwendung, obwohl nicht mit dem Leerlauf -Scan zusammenhängen.
IPIDSEQ -Beispiel, um zufällig Zombie -Kandidaten zu finden:
nmap -p80 --Script ipidseq -ir 1000
Wie Sie sehen können, wurden mehrere schutzbedürftige Zombie -Kandidat -Gastgeber gefunden ABER Sie sind alle falsch positiv. Der schwierigste Schritt bei der Durchführung eines Leerlaufscans besteht darin, ein gefährdetes Zombie -Gerät zu finden. Es ist aus vielen Gründen schwierig:
In solchen Fällen, wenn Sie versuchen, den Idle -Scan auszuführen, erhalten Sie den folgenden Fehler:
“… Kann nicht verwendet werden.
Aufgeben!”
Wenn Sie in diesem Schritt Glück haben, finden Sie ein altes Windows -System, ein altes IP -Kamerasystem oder einen alten Netzwerkdrucker, dieses letzte Beispiel wird vom NMAP -Buch empfohlen.
Bei der Suche nach schutzbedürftigen Zombies möchten Sie möglicherweise NMAP überschreiten und zusätzliche Tools wie Shodan und Faster Scanner implementieren. Sie können auch zufällige Scans erfassen, um Versionen zu erfassen, um ein mögliches gefährdes System zu finden.
Ausführung des NMAP -Leerlaufscans
Beachten Sie, dass die folgenden Beispiele nicht in einem realen Szenario entwickelt wurden. Für dieses Tutorial wurde ein Windows 98 -Zombie über Virtualbox eingerichtet, das das Ziel ist und auch unter VirtualBox ein Metasploitable ist.
Die folgenden Beispiele überspringen die Erkennung von Hosts und weist einen Leerlaufscan mit dem IP 192 an.168.56.102 als Zombie -Gerät zum Scannen von Ports 80.21.22 und 443 des Ziels 192.168.56.101.
nmap -pn -si 192.168.56.102 -p80,21,22,443 192.168.56.101
Wo:
NMAP: Ruft das Programm an
-Pn: überschneidet die Entdeckung der Wirt.
-Si: Leerlaufscan
192.168.56.102: Windows 98 Zombie.
-P80,21,22,443: weist an, die genannten Ports zu scannen.
192.68.56.101: ist das metasploitable Ziel.
Im folgenden Beispiel wird nur die Option zur Definition von Ports geändert.
nmap -si 192.168.56.102 -pn -p- 192.168.56.101
In der Vergangenheit bestand der größte Vorteil eines Leerlaufscans darin, sowohl anonym zu bleiben als auch die Identität eines Geräts zu schmieden , es ist natürlich möglich). Das Bleiben anonyms mit einem Schild wäre praktischer, wenn ein öffentliches Netzwerk verwendet wird, während es unwahrscheinlich ist.
Ich hoffe, Sie haben dieses Tutorial auf NMAP Idle -Scan nützlich gefunden. Folgen Sie LinuxHint weiter, um weitere Tipps und Updates unter Linux und Networking zu erhalten.
In Verbindung stehende Artikel: