Dieses Tutorial beschreibt verschiedene Techniken, um Stealth -Scans mit NMAP durchzuführen.
Stealth -Scan -Techniken werden implementiert, um Firewalls zu umgehen oder Hosts lebendig zu entdecken, während sie unentdeckt bleiben.
NMAP bietet eine Vielzahl von Flags und Optionen, um verschiedene Stealth -Scan -Typen auszuführen, von denen die meisten in diesem Artikel erläutert werden. Sie sind leicht zu implementieren und bilden einen schönen Lernprozess für IP -Pakete.
Nachdem der Leser diesen Inhalt gelesen hat, wird er ein besseres Verständnis für Netzwerkpakete und Kommunikation genießen und gleichzeitig tiefes praktisches Wissen über Stealth -Scans mit NMAP erwerben.
Alle Anweisungen in diesem Tutorial enthalten Screenshots, um allen Lesern zu verstehen, wie sie ausgeführt werden, und deren Ausgaben oder Ergebnisse.
Kurze Einführung in Stealth Scans
Normalerweise erkennen Firewalls die Herstellung oder festgelegte Verbindungen auf.
TCP Sendet Pakete, die versuchen, eine Verbindung mit dem Ziel herzustellen (sammeln Informationen im Prozess). Diese Aktivität kann von der Firewall blockiert und protokolliert werden, um dem Administrator gemeldet zu werden.
Angenommen, der Benutzer verfügt standardmäßig als Root -Berechtigungen. In diesem Fall führt NMAP Stealth -Scan -Techniken aus Syn (Synchronisation) Pakete und RST Pakete, die die Verbindung nach der ersten Antwort vom Ziel unterbrechen.
Benutzer können verhindern, dass Firewalls den Scan erkennen, indem die kurze Interaktion gleichzeitig unterbrochen und den Verbindungsvorgang abgesagt wird, bevor Sie eine senden Ack Antwort.
Wie Sie in der Abbildung unten sehen können, ist ein Stammgast TCP Der Scan besteht aus einer Anfang Syn (Synchronisation) Paket aus NMAP (PC1), in dem das Ziel (PC2) angefordert wird, um eine Verbindung zu synchronisieren. Wenn der gezielte Port geöffnet ist, antwortet das Ziel Syn+ack (Bestätigung und Synchronisation) Pakete, die die bestätigen Syn Empfang und die Synchronisation zu NMAP und NMAP -Sendungen Ack (Bestätigung) Pakete als Antwort auf das Ziel des Ziels Syn.
Die folgende Abbildung zeigt einen Stealth -Scan mit Syn Pakete. Wie Sie sehen können, wird das von ACK -Paket (endgültig PC1 (NMAP) wird durch ein ersetzt RST Paket und Unterbrechung der Verbindung zu Bypass -Firewalls (Intrusion Detection Systems und benutzerdefinierte Firewalls erkennen Stealth -Scans)).
NMAP TCP Syn (Stealth) -Scan -Techniken
Um einen SYN- oder Stealth -Scan wie den in der vorherigen zweiten Abbildung dargestellten auszuführen, muss der Benutzer die implementieren -ss (Syn) Flagge. Diese Option setzt die Verbindung zurück, bevor sie festgelegt ist.
Notiz: Der SYN -Scan erfordert Root -Privilegien. benutze die sudo Befehl.
Im folgenden Beispiel wird ein Stealth -Scan gegen das Netzwerk ausgeführt 192.168.0.0/24:
sudo nmap -ss 192.168.0.0/24
TCP Syn Ping Scan
Der -Ps Mit Flag können Sie Synchronisation starten, um Alive -Hosts auf heimliche Weise zu entdecken.
NMAP -SN -PS80 192.168.0.1/24
Der -sp Flag wird auch einen No Ping -Scan ohne Port -Scan ausführen.
NMAP -sp 192.168.0.0/24
NMAP NULL -SCAN
Trotz des Sendens eines RST Paket, das die Anmeldung der Verbindung verhindern, kann ein SYN -Scan durch Firewalls und Intrusion Detection Systems (IDS) erkannt werden. Es gibt zusätzliche Techniken, um mit NMAP heimliche Scans durchzuführen.
NMAP funktioniert, indem die Antworten des Pakets vom Ziel analysiert, sie mit Protokollregeln kontrastieren und sie interpretieren. NMAP ermöglicht das Schmieren von Paketen, um die richtigen Antworten zu generieren, um ihre Natur zu enthüllen, beispielsweise zu wissen, ob ein Port geschlossen oder von einer Firewall gefiltert wird.
Das folgende Beispiel zeigt a NULL Scan, der nicht beinhaltet Syn, Ack, oder RST Pakete.
Bei der Ausführung a NULL Scan, NMAP kann drei Ergebnisse interpretieren: Geöffnet | gefiltert, geschlossen oder gefiltert, Wo:
Im nächsten praktischen Beispiel verwendet der Benutzer die -sn Flagge, um a zu führen NULL Scan:
sudo nmap -v -sn -p 80 LinuxHint.com
Wie im folgenden Beispiel gezeigt, können Sie die Option hinzufügen -SV zu entdecken, ob der Hafen als dargestellt wurde Offen | gefiltert ist tatsächlich geöffnet, aber das Hinzufügen dieses Flags kann durch das Ziel zu einer einfacheren Scanerkennung führen, wie in NMAPs Buch erläutert.
sudo nmap -sn -sv -p 80 LinuxHint.com
In einigen Fällen blockieren Firewalls Syn Pakete. In einem solchen Fall kann der Benutzer ein Paket mit Flags senden Syn/ack Um Firewalls zu umgehen, die nicht blockieren Syn/ack Pakete.
Einige Pakete sind nicht blockiert Syn mit Ack Pakete und erlauben auch die Kombination von Syn Mit anderen Headern die Syn/Fin Header ist einer von ihnen.
Der folgende Scan -Typ wird gesendet Syn und Flossenköcher. Dieser Scan -Typ hat eine geringe Chance, unentdeckt zu bleiben.
sudo nmap -ss -scanflags synfin linuxHint.com -v
NMAP Weihnachten Scan
Der Weihnachts -Scan wurde als Stealth -Scan -Technik angesehen, in dem die Antworten auf Reaktionen analysiert wurden Weihnachten Pakete zum Erlernen der Art des Remote -Systems.
Jedes Betriebssystem oder Netzwerkgerät antwortet auf eine andere Art und Weise, dass Informationen wie das Betriebssystem und die Portstaaten angezeigt werden.
Weihnachten ist eine alte Scan -Technik; Heute können viele Firewalls und Intrusion Detection Systems erkennen Weihnachten. Es wird nicht empfohlen, sich auf sie als Stealth -Technik zu verlassen.
sudo nmap -sx -t2 LinuxHint.com -v
Vergleich zwischen TCP Syn Stealth Scan und TCP “Scan anschließen”:
Normale TCP -Kommunikation
Syn -Stealth -Kommunikation
Das zweite Beispiel oben zeigt a Syn Verbindung, die im Gegensatz zu a keine Verbindung herstellt TCP Verbindung oder Scan anschließen. Deshalb Auf dem zweiten Gerät gibt es weder ein Protokoll über eine Verbindung, noch ist Ihre IP -Adresse protokolliert.
Andere NMAP -Flaggen (kein Stealth)
Zusätzlich zu den Stealth -Scan -Techniken haben wir beschlossen, verschiedene Flaggen zu beschreiben.
Es ist wichtig zu klären, dass die folgenden Flaggen unten nicht heimlich sind.
Der -Ö Flag kann das Zielbetriebssystem erkennen, wie im folgenden Screenshot gezeigt:
sudo nmap -o donweb.CO
Wie Sie im vorherigen Screenshot sehen können, hat das Ziel wahrscheinlich Linux mit Kernel 2.6.X; Nach dem Bericht waren die Erkennungsbedingungen schwierig.
Das folgende Beispiel versucht, die Softwareversion (-SV) zu lernen, die hinter Ports hört. Wie Sie sehen können, wurde Lack erkannt.
NMAP -SV Wikipedia.Org
Der -An Flag erstellt eine Datei mit den Ergebnissen des Scans.
Im folgenden Beispiel implementiert der Benutzer die -An Flag, um die Datei zu erstellen “Ergebnisse.txt ”mit der Scanausgabe.
Hier geht es um Stealth -Scan -Methoden. Sie können sie mit einem Intrusion Detection System wie Snort testen, um ihre Wirksamkeit vor verschiedenen Erkennungsregeln zu erkennen.
Abschluss
Wie Sie sehen können, bietet NMAP verschiedene Stealth -Scan -Techniken an. Sie alle sind leicht zu implementieren, und die Technik ist leicht zu verstehen, ob der Benutzer die Grundlagen der Netzwerkkenntnisse kennt. Leser mit minimaler Erfahrung können die angegebenen praktischen Beispiele ohne große Schwierigkeiten reproduzieren. Es wird dringend empfohlen, das Beispiel zusätzlich auf die Lesung anzuwenden.
Alle angegebenen Anweisungen sind für alle Linux -Verteilungen gültig.
Vielen Dank, dass Sie dieses Tutorial gelesen haben, um zu erklären, wie man Stealth Scans mit NMAP durchführt. Verfolgen Sie den Hinweis auf den Linux -Hinweis für weitere Netzwerk- und Sicherheits -professionelle Inhalte.