Denken Sie beim Lesen dieses Artikels an die folgenden Definitionen:
Synpaket: ist ein Paket, das die Synchronisation einer Verbindung anfordert oder bestätigt.
ACK -Paket: ist ein Paket, das den Erhalt eines Synpakets bestätigt.
RST -Paket: Ist ein Paket, das den Verbindungsversuch informiert, verworfen werden.
Wenn sich zwei Geräte anschließen Drei -Wege -Handschlag Dies besteht aus 3 anfänglichen Interaktionen: Zunächst einer Verbindungsanforderung vom Client oder Gerät, die die Verbindung anfordern, zweitens nach einer Bestätigung durch das Gerät, für das die Verbindung angefordert wird, und an dritter Stelle eine endgültige Bestätigung vom Gerät, das die Verbindung angefordert hat, etwas wie:
-„Hey, kannst du mich hören?, können wir uns treffen?” (Syn -Paket, die Synchronisation anfordern)
-"Hallo!, ich sehe Sie!, wir können uns treffen" (Wo „Ich sehe dich“ ein ACK -Paket, „wir können ein Syntrusspaket treffen“)
-"Großartig!” (ACK -Paket)
Im obigen Vergleich zeigt, wie a TCP -Verbindung Es wird festgelegt, das erste Gerät fragt das zweite Gerät, ob es die Anforderung erkennt, und wenn sie eine Verbindung herstellen können, bestätigt das zweite Gerät sie erkennen kann und dies für eine Verbindung verfügbar ist. Das erste Gerät bestätigt die Bestätigung der Akzeptanz.
Dann wird die Verbindung hergestellt, wie mit Grafiken in der Grafik erläutert NMAP -Basis -Scantypen, Dieser Vorgang hat das Problem, das dritte Handshake, die endgültige Bestätigung, normalerweise ein Verbindungsprotokoll auf dem Gerät, zu dem Sie die Verbindung angefordert haben, wenn Sie ein Ziel ohne Erlaubnis scannen oder eine Firewall- oder Intrusion Detection System (IDS) testen möchten Möglicherweise möchten Sie die Bestätigung vermeiden, um ein Protokoll einschließlich Ihrer IP -Adresse zu verhindern oder die Fähigkeit Ihres Systems zu testen, die Wechselwirkung zwischen Systemen trotz des Fehlens einer etablierten Verbindung zu erkennen, die genannt wird TCP -Verbindung oder Scan anschließen. Dies ist ein Stealth -Scan.
Dies kann erreicht werden, indem die ersetzt werden TCP -Anschluss/Verbindungsscan Für ein Syn -Verbindung. Eine SYN -Verbindung lässt die endgültige Bestätigung aus, die sie für eine ersetzt RST Paket. Wenn wir die TCP -Verbindung, die drei Handshake -Verbindung, für eine Syn -Verbindung ersetzen, wäre das Beispiel:
-„Hey, kannst du mich hören?, können wir uns treffen?” (Syn -Paket, die Synchronisation anfordern)
-"Hallo!, ich sehe Sie!, wir können uns treffen" (Wo „Ich sehe dich“ ein ACK -Paket, „wir können ein Syntrusspaket treffen“)
-"Entschuldigung, ich habe Ihnen versehentlich eine Anfrage gesendet, vergessen Sie sie." (RST -Paket)
Das obige Beispiel zeigt eine SYN -Verbindung, die im Gegensatz zu einer TCP -Verbindung keine Verbindung herstellt oder keine Verbindung herstellt oder Scan anschließen, Daher befindet sich im zweiten Gerät weder eine Anmeldung über eine Verbindung noch Ihre IP -Adresse protokolliert.
Praktische Beispiele für TCP und SYN -Verbindung
NMAP unterstützt nicht Syn (-SS) Verbindungen ohne Berechtigungen, um Syn-Anfragen zu senden, müssen Sie root sein. Wenn Sie Root-Anforderungen standardmäßig sind. Im folgenden Beispiel können Sie einen regelmäßigen ausführlichen Scan gegen Linux sehen.Lat als regulärer Benutzer:
NMAP -v Linux.Lat
Wie Sie sehen können, heißt es “Initiieren eines Connect -Scans“.
Im nächsten Beispiel wird der Scan als Root durchgeführt. Daher handelt es sich standardmäßig um einen Syn -Scan:
NMAP -v Linux.Lat
Und wie Sie sehen können, heißt es diesmal “Syn Stealth -Scan einleiten„Verbindungen werden nach Linux fallen gelassen.Lat hat seine ACK+SYN -Antwort an die anfängliche SYN -Anfrage von NMAP gesendet.
Nmap null scan (-sn)
Trotz des Sendens a RST Paket, die die Verbindung verhindern, und Grom wird protokolliert. Ein Syn -Scan kann durch Firewalls und Intrusion Detection Systems (IDS) erkannt werden. Es gibt zusätzliche Techniken, um mit NMAP heimliche Scans durchzuführen.
NMAP arbeitet durch Analyse der Paketeantworten aus dem Ziel, das sie mit Protokollregeln gegenüberliegt und sie interpretiert. NMAP ermöglicht es, Pakete zu schmieden.
Das folgende Beispiel zeigt a NULL Scan, der nicht enthält Syn, Ack oder RST Pakete.
Wenn a NULL Scan NMAP kann 3 Ergebnisse interpretieren: Offen | gefiltert, Geschlossen oder Gefiltert.
Offen | gefiltert: NMAP kann nicht feststellen, ob der Port von einer Firewall geöffnet oder gefiltert wird.
Geschlossen: Der Hafen ist geschlossen.
Gefiltert: Der Port wird gefiltert.
Dies bedeutet, wenn Sie a durchführen NULL Scan NMAP weiß nicht, wie sie je nach Firewall -Antwort oder mangelnder Antwort von offenen und gefilterten Ports unterscheiden können. Wenn der Port geöffnet ist Offen | gefiltert.
Im folgenden Beispiel der Port 80 von Linux.Lat wird mit einem Null -Scan mit Ausführlichkeit gescannt.
nmap -v -sn -p 80 Linux.Lat
Wo:
NMAP = Ruft das Programm auf
-v = weist nmap an, mit Ausführlichkeit zu scannen
-sn = weist NMAP an, einen Null -Scan auszuführen.
-P = Präfix, um den zu scanischen Port zu bestimmen.
Linux.Lat = ist das Ziel.
Wie im folgenden Beispiel gezeigt, können Sie die Optionen hinzufügen -SV Um herauszufinden, ob der als offene | gefilterte Port tatsächlich geöffnet ist. Das Hinzufügen dieses Flags kann jedoch zu einer einfacheren Scan -Erkennung des Ziels führen, wie in NMAPs Buch erläutert.
Wo:
NMAP = Ruft das Programm auf
-v = weist nmap an, mit Ausführlichkeit zu scannen
-sn = weist NMAP an, einen Null -Scan auszuführen.
-SV =
-P = Präfix, um den zu scanischen Port zu bestimmen.
Linux.Lat = ist das Ziel.
Wie Sie sehen können, enthüllt NMAP im letzten Screenshot den wahren Zustand des Hafens, aber durch Opfer der Abneigung des Scans.
Ich hoffe, Sie haben diesen Artikel als nützlich empfunden, um mit NMAP Stealth Scan vorgestellt zu werden.Com für weitere Tipps und Updates unter Linux und Networking.
In Verbindung stehende Artikel: