• Einführung in das Internetmodell
• Einführung in Nmap
• Nmap unter Debian installieren
• Installieren von Nmap aus Quellen (alle Linux-Distributionen)
• Nmap grundlegende Scantypen
• Nmap-Scanphasen
• Nmap-Port-Zustände
• Ziele definieren mit Nmap
• Zum Thema passende Artikel

Einführung in das Internetmodell

Die aktuellen Abschnitte zielen darauf ab, die Theorie hinter der Internet-Modell oder Internetprotokoll-Suite (Nicht das OSI-Modell). Während einige Experten die physikalische Schicht einbeziehen, ignoriert dieses Tutorial sie, da sie nicht wirklich zum Internet-Modell gehört und bei der Verwendung von Nmap völlig gleichgültig ist. Wenn Sie bereits mit der Internet-Modell ab kannst du anfangen zu lesen Einführung in Nmap.

Bei der Kommunikation zwischen Geräten über ein Netzwerk gibt es Prozesse, die als Schichten bezeichnet werden und aus der Spannung bestehen, die von unserer Hardware, wie einer Netzwerkkarte, erzeugt wird, bis hin zum Code, der von der Software, mit der wir interagieren, wie einem FTP-Server, erzeugt wird. Wir können uns diesen Prozess als eine Art Übersetzung vorstellen (was nicht wirklich der Fall ist, da jede Schicht dem „Paket“, das auch ein Frame sein kann, neue Informationen hinzufügt), eine Übersetzung von binär 0 und 1, Bits und Frames in Code.

Innerhalb des Internetmodells gibt es 4 Schichten, die Linkschicht, die Internetschicht, die Transportschicht und die Anwendungsschicht. Schichtebenen implizieren keine chronologische Reihenfolge, sondern eine Komplexitätsebene. Die Kommunikation bei der Verwendung von Nmap gegen ein entferntes Ziel beginnt ab dem Anwendungsschicht, dann geht es weiter zum Transportschicht, dann ist die Internetschicht Endlich, das Verbindungsschicht und dann ist das Ziel Verbindungsschicht, das Ziel Internetschicht, das Ziel Transportschicht und schließlich die Zielscheibe Anwendungsschicht.

Was jede Schicht tut?

Verbindungsschicht: das Verbindungsschicht ist die unterste Ebene des aufgerufenen Internet-Modell, es ist die Schicht, die es unserem Gerät ermöglicht, sich mit dem lokalen Netzwerk oder der an unser Netzwerk angeschlossenen Hardware zu verbinden oder mit dieser zu interagieren, wie z. B. lokale Netzwerkcomputer, Router, Hubs oder Gateways, die später von der nächsten Schicht, der Internetschicht, verarbeitet werden. Diese Schicht kann auch verwendet werden, um zwischen VPN (Private Virtual Networks) zu kommunizieren. Nmap verwendet den Link Layer, um Hosts in unserem lokalen Netzwerk zu erkennen und aufzulösen Link-Layer-Adressen sowie MAC-Adressen durch Senden von Anfragen über die ARP Protokoll (Address Resolution Protocol) zur Erkennung von Geräten mit IPv4. Für Geräte, die IPv6 verwenden, ist das Link Layer-Protokoll das protocol NDP (Neighbor Discovery Protocol), das Verbesserungen gegenüber dem ARP-Protokoll implementiert. Der Link Layer funktioniert nicht für die Kommunikation zwischen verschiedenen Netzwerken wie dem Internet und wird nur für physische und virtuelle lokale Netzwerke verwendet.

Internetschicht:  im Gegensatz zu den Verbindungsschicht, das Internetschicht, die zweite Ebene der Internet-Modell, kommuniziert zwischen verschiedenen Netzwerken, daher der Name “Internet” was Internetworking impliziert. Das Hauptprotokoll der Internetschicht ist das IP (Internetprotokoll) verwendet, um Pakete durch Netzwerke zu übermitteln, das Protokoll ICMP (Internet Control Message Protocol) gehört auch zum Internet Layer, um Fehler in der Kommunikation zu diagnostizieren und zu melden. Obwohl das ICMP-Protokoll zur Internet-Schicht gehört, hängt die Zuverlässigkeit der Verbindung von der Schicht der dritten Ebene ab, der Transportschicht.

Transportschicht: die dritte Ebene innerhalb der Internet-Modell ist der Transportschicht und seine Aufgabe besteht darin, die richtigen Regeln und das richtige Management für die Kommunikation zwischen Knoten anzuwenden, um beispielsweise Überlastungen zu vermeiden oder die gleichzeitige Verbindung mit mehreren Knoten zu ermöglichen (in enger Verbindung mit der Anwendungsschicht). Sein Hauptprotokoll ist das TCP (Übertragungskontrollprotokoll) die für Verbindungsqualität sorgt. Das UDP (User Datagram Protocol) Protokoll gehört auch zur Transportschicht, es ist schneller als das TCP Protokoll, aber gleichgültig gegenüber Fehlern, was zu einer niedrigeren, aber sichereren Verbindung führt.

Anwendungsschicht: während die vierte Ebene, die, Anwendungsschicht, verwendet alle zuvor genannten Ebenen zur Kommunikation, es deckt eine höhere Ebene von Protokollen wie HTTP, SSH, POP3, SMTP, FTP usw. Protokolle, die die Funktionalität einer Anwendung definieren. Die Anwendungsschicht wird von Nmap verwendet, um Serviceversionen und Software zu bestimmen.

Das folgende Bild fasst das oben Erklärte zusammen.

Einführung in Nmap

Nmap (Network Mapper) ist der führende Sicherheitsscanner, geschrieben in C/C++, es ist nützlich, Hosts zu entdecken, Netzwerke, Hosts und Ports zuzuordnen und zu scannen und durch die Implementierung der NSE (Nmap Scripting Engine) können Sie auch Schwachstellen auf Ihrem . erkennen target (Beispiele finden Sie im Abschnitt "Verwandte Artikel").

Nmap unter Debian installieren

apt installieren nmap

Installieren von Nmap aus Quellen (alle Linux-Distributionen)

Für dieses Tutorial installiere ich die aktuelle Version von Nmap 7.80, wahrscheinlich ist es veraltet, wenn Sie dies lesen. Stellen Sie sicher, dass Sie die letzte Version verwenden, die Sie von https://nmap herunterladen können.org/herunterladen.html und ersetzen Sie das „nmap-7.80.Teer.bz2” in diesem Toturial für das Richtige erwähnt.

Nachdem Sie die URL der Datei kopiert haben, führen Sie Folgendes aus:

wget https://nmap.org/dist/nmap-7.80.Teer.bz2

Extrahieren Sie nmap, indem Sie Folgendes ausführen:

bzip2 -cd nmap-7.80.Teer.bz2 | tar xvf -

Geben Sie dann das Nmap-Verzeichnis ein, indem Sie „CD “ und dann lauf ./konfigurieren.

cd nmap-7.80
./konfigurieren

Nach dem Ausführen der Konfigurationsdatei ausführen machen:

machen

Und schließlich ausführen:

installieren

Nmap grundlegende Scantypen

Regelmäßige Nmap-Scans werden über TCP- und SYN-Scan durchgeführt. Wenn der Scanprozess TCP ist, wird eine Verbindung mit dem Ziel hergestellt. Bei einem SYN-Scan wird die Verbindung abgebrochen oder unterbrochen, bevor sie hergestellt wird.

Die folgende Abbildung zeigt den Verbindungsaufbau: Zuerst sendet der Computer (PC 1), der versucht, die Verbindung aufzubauen, ein SYN-Paket, das das Zielgerät zur Synchronisierung auffordert. Wenn das Zielgerät (PC 2) verfügbar ist, um die Verbindung aufzubauen, antwortet es mit einem anderen SYN-Paket, um die Synchronisation zu ermöglichen, und mit einem ACK-Paket (Bestätigung), das den Empfang des ersten SYN-Pakets bestätigt, das von dem Computer gesendet wurde, der die Verbindung angefordert hat, dann Computer, der die Verbindung angefordert hat (PC 1) sendet ein ACK-Paket, das den Empfang sowohl der SYN- als auch der ACK-Paketbestätigung bestätigt, die vom Zielgerät gesendet wurde (PC 2.)

Wenn eine Verbindung hergestellt wird, wird sie von Firewalls erkannt und protokolliert, deshalb wurde der SYN-Scan implementiert, der SYN- oder Stealth-Scan sendet ein SYN-Paket und nach Erhalt der Zielantwort sendet er statt einer Antwort mit einem ACK-Paket ein RST ( reset) Paket, um die Verbindung abzubrechen, bevor sie hergestellt wurde, wie in der folgenden Abbildung gezeigt:

Auf diese Weise wird die Verbindung nicht protokolliert, aber Sie müssen sich dennoch mit Intrusion Detection-Systemen befassen, die in der Lage sind, SYN-Scans zu erkennen. Um eine Erkennung zu vermeiden, können Sie Tarnkappen-Scan-Techniken verwenden, die in den kommenden Tutorials erklärt werden.

Nmap-Scanphasen

Nmap durchläuft während des Scanvorgangs 11 Stufen, von denen einige gemäß unseren Anweisungen optional sind, zum Beispiel werden die Vor- und Nach-Scan-Skripte nur ausgeführt, wenn wir NSE verwenden.

1. Vorscannen von Skripten: Die Option „Script Pre Scanning“ ruft Skripte der Nmap Scripting Engine (NSE) für die Pre-Scanning-Phase auf, diese Phase findet nur statt, wenn die NSE verwendet wird.
2. Zielaufzählung: In dieser Phase verarbeitet Nmap Informationen zu den zu scannenden Zielen wie IP-Adressen, Hosts, IP-Bereiche usw.
3. Host-Erkennung (Ping-Scan): Nmap lernt, welche Ziele online oder erreichbar sind.
4. Reverse-DNS-Auflösung: Nmap sucht nach Hostnamen für die IP-Adressen.
5. Port-Scanning: Nmap erkennt Ports und deren Status: öffnen, geschlossen oder gefiltert.
6. Versionserkennung: In dieser Phase versucht nmap, die Version der Software zu erfahren, die in offenen Ports läuft, die in der vorherigen Phase entdeckt wurden, z. B. welche Version von Apache oder FTP.
7. Betriebssystemerkennung: nmap versucht, das Betriebssystem des Ziels zu erkennen.
8. Traceroute: nmap erkennt die Route des Ziels im Netzwerk oder alle Routen im Netzwerk.
9. Skriptscannen: Diese Phase ist optional, in dieser Phase werden NSE-Skripte ausgeführt, NSE-Skripte können vor dem Scan, während des Scans und danach ausgeführt werden, sind aber optional.
10. Ausgabe: Nmap zeigt uns Informationen zu den gesammelten Daten.
11. Skript nach dem Scannen: optionale Phase, wenn Skripte für die Ausführung nach dem Scan definiert wurden.

Weitere Informationen zu den Phasen von nmap finden Sie unter https://nmap.org/book/nmap-phasen.html

Nmap Hafenstaaten

Beim Scannen nach Diensten kann Nmap bis zu 6 Zustände oder Zustände der gescannten Ports melden:

• Öffnen: der Port ist geöffnet und eine Anwendung lauscht darauf.
• Geschlossen: der Port ist geschlossen, keine Anwendung lauscht.
• Gefiltert: eine Firewall verhindert, dass nmap den Port erreicht.
• Ungefiltert: Port ist zugänglich, aber nmap kann seinen Status nicht überprüfen check.
• Öffnen|gefiltert: Nmap kann nicht feststellen, ob ein Port offen oder gefiltert ist.
• Geschlossen|Gefiltert: Nmap kann nicht feststellen, ob ein Port geschlossen oder gefiltert ist.

Definieren von Zielen mit Nmap

Nmap ist extrem flexibel und Sie können Ziele auf verschiedene Weise definieren.

Einzelner IP-Scan:

Um in diesem Beispiel einen einzelnen Scan anzuzeigen, scannen wir LinuxHint.com durch Ausführen:

nmap linuxint.com

Natürlich können Sie das Ziel auch über seine IP definieren, LinuxHint.com IP ist 64.91.238.144, die Syntax ist dieselbe:

nmap 64.91.238.144

Wie Sie sehen können, ist die gleiche Ausgabe.

IP-Bereichsscan:

Sie können IP-Bereiche auch mit Bindestrichen scannen, um den Bereich zu definieren. Der folgende Befehl scannt von der IP 192.168.0.1 bis IP 192.168.0.20, den Rest ohne zu scannen lassen:

nmap  192.168.0.1-20

Wie Sie sehen, hat Nmap 3 Live-Hosts im definierten Bereich gefunden.

Vollständiger Oktett-Scan:

Während Sie den Bindestrich verwenden können, um einen Bereich zwischen 0 und 255 zu markieren, können Sie auch den Platzhalter (*) verwenden, um nmap anzuweisen, den gesamten Bereich des Oktetts zu überprüfen, wie im folgenden Beispiel:

nmap 192.168.0.*

Zufallsscan mit Nmap:

Sie können Nmap auch anweisen, eine zufällige Liste von zu scannenden Zielen zu generieren. Im folgenden Beispiel weise ich Nmap an, 3 zufällige Ziele zum Scannen zu generieren. Es ist möglich, dass die von Nmap generierten Adressen nicht zu einem verfügbaren Host gehören, Nmap nicht t Testen Sie die Existenz oder Verfügbarkeit dieser Hosts, bevor Sie die Liste erstellen.

nmap -iR 3

Wie Sie an den 3 zufälligen Zielen sehen, die von Nmap generiert wurden, existierte eines und Nmap scannte 1000 Ports und fand alle von einer Firewall gefiltert.

Es gibt mehr Kombinationen, um Ziele zu definieren, zum Beispiel können Sie Bereiche in mehr als einem Oktett zulassen oder eine Datei mit einer Liste von Zielen einschließen, dies wird in den kommenden Tutorials erklärt.

Folgen Sie LinuxHint für weitere Tipps und Updates zu Linux und Netzwerken.

Zum Thema passende Artikel:

• So scannen Sie mit Nmap nach Diensten und Schwachstellen
• Verwenden von nmap-Skripten: Nmap-Bannergrab
• nmap-Netzwerkscannen
• nmap-Ping-Sweep
• nmap-Flags und was sie tun