Stealth Scans mit NMAP

Jean Dengler
Stealth Scans mit NMAP

Dieses Tutorial beschreibt verschiedene Techniken, um Stealth -Scans mit NMAP durchzuführen.

Stealth -Scan -Techniken werden implementiert, um Firewalls zu umgehen oder Hosts lebendig zu entdecken, während sie unentdeckt bleiben.

NMAP bietet eine Vielzahl von Flags und Optionen, um verschiedene Stealth -Scan -Typen auszuführen, von denen die meisten in diesem Artikel erläutert werden. Sie sind leicht zu implementieren und bilden einen schönen Lernprozess für IP -Pakete.

Nachdem der Leser diesen Inhalt gelesen hat, wird er ein besseres Verständnis für Netzwerkpakete und Kommunikation genießen und gleichzeitig tiefes praktisches Wissen über Stealth -Scans mit NMAP erwerben.

Alle Anweisungen in diesem Tutorial enthalten Screenshots, um allen Lesern zu verstehen, wie sie ausgeführt werden, und deren Ausgaben oder Ergebnisse.

Kurze Einführung in Stealth Scans

Normalerweise erkennen Firewalls die Herstellung oder festgelegte Verbindungen auf.

TCP Sendet Pakete, die versuchen, eine Verbindung mit dem Ziel herzustellen (sammeln Informationen im Prozess). Diese Aktivität kann von der Firewall blockiert und protokolliert werden, um dem Administrator gemeldet zu werden.

Angenommen, der Benutzer verfügt standardmäßig als Root -Berechtigungen. In diesem Fall führt NMAP Stealth -Scan -Techniken aus Syn (Synchronisation) Pakete und RST Pakete, die die Verbindung nach der ersten Antwort vom Ziel unterbrechen.

Benutzer können verhindern, dass Firewalls den Scan erkennen, indem die kurze Interaktion gleichzeitig unterbrochen und den Verbindungsvorgang abgesagt wird, bevor Sie eine senden Ack Antwort.

Wie Sie in der Abbildung unten sehen können, ist ein Stammgast TCP Der Scan besteht aus einer Anfang Syn (Synchronisation) Paket aus NMAP (PC1), in dem das Ziel (PC2) angefordert wird, um eine Verbindung zu synchronisieren. Wenn der gezielte Port geöffnet ist, antwortet das Ziel Syn+ack (Bestätigung und Synchronisation) Pakete, die die bestätigen Syn Empfang und die Synchronisation zu NMAP und NMAP -Sendungen Ack (Bestätigung) Pakete als Antwort auf das Ziel des Ziels Syn.

Die folgende Abbildung zeigt einen Stealth -Scan mit Syn Pakete. Wie Sie sehen können, wird das von ACK -Paket (endgültig PC1 (NMAP) wird durch ein ersetzt RST Paket und Unterbrechung der Verbindung zu Bypass -Firewalls (Intrusion Detection Systems und benutzerdefinierte Firewalls erkennen Stealth -Scans)).

NMAP TCP Syn (Stealth) -Scan -Techniken

Um einen SYN- oder Stealth -Scan wie den in der vorherigen zweiten Abbildung dargestellten auszuführen, muss der Benutzer die implementieren -ss (Syn) Flagge. Diese Option setzt die Verbindung zurück, bevor sie festgelegt ist.

Notiz: Der SYN -Scan erfordert Root -Privilegien. benutze die sudo Befehl.

Im folgenden Beispiel wird ein Stealth -Scan gegen das Netzwerk ausgeführt 192.168.0.0/24:

sudo nmap -ss 192.168.0.0/24

TCP Syn Ping Scan

Der -Ps Mit Flag können Sie Synchronisation starten, um Alive -Hosts auf heimliche Weise zu entdecken.

NMAP -SN -PS80 192.168.0.1/24

Der -sp Flag wird auch einen No Ping -Scan ohne Port -Scan ausführen.

NMAP -sp 192.168.0.0/24

NMAP NULL -SCAN

Trotz des Sendens eines RST Paket, das die Anmeldung der Verbindung verhindern, kann ein SYN -Scan durch Firewalls und Intrusion Detection Systems (IDS) erkannt werden. Es gibt zusätzliche Techniken, um mit NMAP heimliche Scans durchzuführen.

NMAP funktioniert, indem die Antworten des Pakets vom Ziel analysiert, sie mit Protokollregeln kontrastieren und sie interpretieren. NMAP ermöglicht das Schmieren von Paketen, um die richtigen Antworten zu generieren, um ihre Natur zu enthüllen, beispielsweise zu wissen, ob ein Port geschlossen oder von einer Firewall gefiltert wird.

Das folgende Beispiel zeigt a NULL Scan, der nicht beinhaltet Syn, Ack, oder RST Pakete.

Bei der Ausführung a NULL Scan, NMAP kann drei Ergebnisse interpretieren: Geöffnet | gefiltert, geschlossen oder gefiltert, Wo:

  • Offen | gefiltert: NMAP kann nicht feststellen, ob der Port von einer Firewall geöffnet oder gefiltert wird.
  • Geschlossen: Der Hafen ist geschlossen
  • Gefiltert: Der Port wird gefiltert.

Im nächsten praktischen Beispiel verwendet der Benutzer die -sn Flagge, um a zu führen NULL Scan:

sudo nmap -v -sn -p 80 LinuxHint.com

Wie im folgenden Beispiel gezeigt, können Sie die Option hinzufügen -SV zu entdecken, ob der Hafen als dargestellt wurde Offen | gefiltert ist tatsächlich geöffnet, aber das Hinzufügen dieses Flags kann durch das Ziel zu einer einfacheren Scanerkennung führen, wie in NMAPs Buch erläutert.

sudo nmap -sn -sv -p 80 LinuxHint.com
  • NMAP = Ruft das Programm auf
  • -v = Weist nmap an, mit Ausführlichkeit zu scannen
  • -sn = Weist NMAP an, einen Null -Scan auszuführen
  • -SV = Versionserkennung
  • -P = Präfix, um den zu scanischen Port zu bestimmen.

In einigen Fällen blockieren Firewalls Syn Pakete. In einem solchen Fall kann der Benutzer ein Paket mit Flags senden Syn/ack Um Firewalls zu umgehen, die nicht blockieren Syn/ack Pakete.

Einige Pakete sind nicht blockiert Syn mit Ack Pakete und erlauben auch die Kombination von Syn Mit anderen Headern die Syn/Fin Header ist einer von ihnen.

Der folgende Scan -Typ wird gesendet Syn und Flossenköcher. Dieser Scan -Typ hat eine geringe Chance, unentdeckt zu bleiben.

sudo nmap -ss -scanflags synfin linuxHint.com -v

NMAP Weihnachten Scan

Der Weihnachts -Scan wurde als Stealth -Scan -Technik angesehen, in dem die Antworten auf Reaktionen analysiert wurden Weihnachten Pakete zum Erlernen der Art des Remote -Systems.

Jedes Betriebssystem oder Netzwerkgerät antwortet auf eine andere Art und Weise, dass Informationen wie das Betriebssystem und die Portstaaten angezeigt werden.

Weihnachten ist eine alte Scan -Technik; Heute können viele Firewalls und Intrusion Detection Systems erkennen Weihnachten. Es wird nicht empfohlen, sich auf sie als Stealth -Technik zu verlassen.

sudo nmap -sx -t2 LinuxHint.com -v

Vergleich zwischen TCP Syn Stealth Scan und TCP “Scan anschließen”:

Normale TCP -Kommunikation

  • -„Hey, kannst du mich hören? Können wir uns treffen?” (Syn Paket, die Synchronisation beantragt)
  • -"Hallo!, ich sehe Sie!, wir können uns treffen" (Wo „ich sehe dich“ ein Ack Paket, und „wir können uns treffen“ ist ein Syn Paket)
  • -"Großartig!” (RSTET Pack)

Syn -Stealth -Kommunikation

  • -„Hey, kannst du mich hören? Können wir uns treffen?” (Syn Paket, die Synchronisation beantragt)
  • -"Hallo!, ich sehe Sie!, wir können uns treffen" (Wo „ich sehe dich“ ein Ack Paket, "We Can Meet" ist ein Synchronisationspaket)
  • -"Entschuldigung, ich habe Ihnen versehentlich eine Anfrage gesendet, vergessen Sie es." (RSTET Pack)

Das zweite Beispiel oben zeigt a Syn Verbindung, die im Gegensatz zu a keine Verbindung herstellt TCP Verbindung oder Scan anschließen. Deshalb Auf dem zweiten Gerät gibt es weder ein Protokoll über eine Verbindung, noch ist Ihre IP -Adresse protokolliert.

Andere NMAP -Flaggen (kein Stealth)

Zusätzlich zu den Stealth -Scan -Techniken haben wir beschlossen, verschiedene Flaggen zu beschreiben.

Es ist wichtig zu klären, dass die folgenden Flaggen unten nicht heimlich sind.

Der Flag kann das Zielbetriebssystem erkennen, wie im folgenden Screenshot gezeigt:

sudo nmap -o donweb.CO

Wie Sie im vorherigen Screenshot sehen können, hat das Ziel wahrscheinlich Linux mit Kernel 2.6.X; Nach dem Bericht waren die Erkennungsbedingungen schwierig.

Das folgende Beispiel versucht, die Softwareversion (-SV) zu lernen, die hinter Ports hört. Wie Sie sehen können, wurde Lack erkannt.

NMAP -SV Wikipedia.Org

Der -An Flag erstellt eine Datei mit den Ergebnissen des Scans.

Im folgenden Beispiel implementiert der Benutzer die -An Flag, um die Datei zu erstellen “Ergebnisse.txt ”mit der Scanausgabe.

Hier geht es um Stealth -Scan -Methoden. Sie können sie mit einem Intrusion Detection System wie Snort testen, um ihre Wirksamkeit vor verschiedenen Erkennungsregeln zu erkennen.

Abschluss

Wie Sie sehen können, bietet NMAP verschiedene Stealth -Scan -Techniken an. Sie alle sind leicht zu implementieren, und die Technik ist leicht zu verstehen, ob der Benutzer die Grundlagen der Netzwerkkenntnisse kennt. Leser mit minimaler Erfahrung können die angegebenen praktischen Beispiele ohne große Schwierigkeiten reproduzieren. Es wird dringend empfohlen, das Beispiel zusätzlich auf die Lesung anzuwenden.

Alle angegebenen Anweisungen sind für alle Linux -Verteilungen gültig.

Vielen Dank, dass Sie dieses Tutorial gelesen haben, um zu erklären, wie man Stealth Scans mit NMAP durchführt. Verfolgen Sie den Hinweis auf den Linux -Hinweis für weitere Netzwerk- und Sicherheits -professionelle Inhalte.

c scharf
Wie man eine Dezimalzahl in ein Doppel in C# umwandelt
Um einen Dezimalwert in ein Doppel in C#umzuwandeln, verwenden wir die Dezimalzahl.Methode todouble ...
Jessica Schimmer
C ++
So verwenden Sie den Subtraktionszuweisungsoperator in C ++
In C ++ Das -= ist ein Subtraktionszuweisungsoperator, subtrahiert er zwei gegenüberliegende Seitenw...
Gian Eisenlauer
Php
So verwenden Sie Strlen -Funktion in PHP
Die Funktion strlen () in PHP ist eine integrierte Funktion, mit der die Länge einer Zeichenfolge be...
Mohamed Flore
Python
Seeborn Horizontal Bar -Diagramm
Kaya Wyludda
Windows OS
Was ist Windows Package Manager
Prof. Dr. Julien Plank
Docker
Was sind die Schritte, um Nginx in einem Docker -Container auf Ubuntu Top 10 auszuführen?.Top 10?
Jessica Schimmer
Oracle -Datenbank
Was ist der Zweck von Oracle Cerner??
Hussein Burkhard
AWS
Wie sich EC2 von elastischer Beanstalk unterscheidet?
Ahmed Stöckert
Power Shell
Was ist umbenannte Befehl in PowerShell umbenannt?
Stephan Harms
Power Shell
So verwenden Sie das Sort-Objekt-CMDLet in PowerShell
Lars Daub
AWS
Was ist eine Instanz und wie man sie in EC2 verwendet??
Fr. Chris Frisch
c scharf
Differenz zwischen == Operator und gleicher Methode in C#?
Gian Eisenlauer
Php
So verwenden Sie die PHP -GetDate -Funktion
Ansgar Radtke