Nmap

Nmap-Hosterkennungsprozess

Nmap-Hosterkennungsprozess
Nmap ist ein leistungsstarkes Netzwerk-Scan- und Auditing-Tool, das von Penetrationstestern und Netzwerkingenieuren bevorzugt wird. Es macht es möglich, einen einzelnen Host oder ein großes Netzwerk mit Tausenden von Hosts zu scannen und relevante Informationen über sie zu finden.

Dieses Tutorial konzentriert sich auf eine wichtige Nmap-Nutzung, d.e., Hosterkennung und Hosterkennungsmethodik. Es ist gut zu beachten, dass dies kein Anfängerleitfaden für die Arbeit mit Nmap- oder Informationssammlungsmethodik bei Penetrationstests ist.

Was ist Host-Erkennung?

Der Nmap-Hosterkennungsprozess bezieht sich auf die Aufzählung von Netzwerkhosts, um Informationen über sie zu sammeln, um einen Angriffsplan in Pen-Tests zu erstellentest.

Während der Hosterkennung verwendet Nmap Elemente wie Ping und ein integriertes Skript, um Betriebssysteme, Ports und laufende Dienste mithilfe von TCP- und UDP-Protokollen zu suchen. Falls angegeben, können Sie die Nmap-Skript-Engine aktivieren, die verschiedene Skripte verwendet, um Schwachstellen auf dem Host zu suchen.

Der von Nmap verwendete Host-Erkennungsprozess verwendet rohe ICMP-Pakete. Diese Pakete können von Firewalls (selten) und sehr vorsichtigen Systemadministratoren deaktiviert oder gefiltert werden. Nmap bietet uns jedoch einen Stealth-Scan, wie wir in diesem Tutorial sehen werden.

Lass uns loslegen.

Netzwerkerkennung

Lassen Sie uns, ohne zu viel Zeit zu verschwenden, verschiedene Methoden zur Durchführung der Host-Erkennung untersuchen und verschiedene Einschränkungen überwinden, die durch Netzwerksicherheitsgeräte wie Firewalls verursacht werden.

1: Klassischer ICMP-Ping

Sie können die Hosterkennung mit einem einfachen ICMP-Echoanfrage wo der Gastgeber mit einem antwortet ICMP-Echoantwort.

Um eine ICMP-Echo-Anfrage mit Nmap zu senden, geben Sie den Befehl ein:

$nmap -PE -sn 192.168.0.16

Die Ausgabe sieht wie unten gezeigt aus:

Ab Nmap 7.91 (https://nmap.org)
Scanbericht für 192.168.0.16
Host ist aktiv (0.11s Latenz).
MAC-Adresse: EC:08:6B:18:11:D4 (Tp-Link-Technologien)
Nmap erledigt: 1 IP-Adresse (1 Host up) gescannt in 0.62 Sekunden

Im obigen Befehl weisen wir Nmap an, eine Ping-Echo-Anforderung (-PE) an das Ziel zu senden. Wenn er eine ICMP-Antwort erhält, ist der Host aktiv.

Unten ist ein Wireshark-Screenshot des Befehls nmap -sn -PE:

Betrachten Sie die unten bereitgestellte Ressource, um mehr über das ICMP-Protokoll zu erfahren.

https://linkfy.zu/ICMP

HINWEIS: ICMP-Echoanfragen sind unzuverlässig und ziehen keine Schlussfolgerungen basierend auf der Antwort. Betrachten Sie zum Beispiel dieselbe Anfrage an Microsoft.com

$ nmap -sn -PE Microsoft.com

Die Ausgabe sieht wie folgt aus:

Ab Nmap 7.91 Hinweis: Host scheint down zu sein.
Wenn es wirklich aktiv ist, aber unsere Ping-Sonden blockiert, versuchen Sie es mit -Pn
Nmap fertig:
1 IP-Adresse (0 Hosts up) gescannt in 2.51 Sekunden

Hier ist ein Screenshot für die Wireshark-Analyse:

2: TCP-SYN-Ping

Eine andere Methode zur Host-Erkennung ist die Verwendung eines Nmap TCP SYN-Ping-Scans. Wenn Sie mit den drei Handshakes TCP SYN/ACK vertraut sind, borgt sich Nmap von der Technologie und sendet eine Anfrage an verschiedene Ports, um festzustellen, ob der Host in Betrieb ist, oder verwendet permissive Filter.

Wenn wir Nmap anweisen, SYN-Ping zu verwenden, sendet es das Paket an den Zielport, und wenn der Host aktiv ist, antwortet er mit einem ACK-Paket. Wenn der Host ausgefallen ist, antwortet er mit einem RST-Paket.

Verwenden Sie den unten gezeigten Befehl, um eine SYN-Ping-Anfrage auszuführen.

sudo nmap -sn -PS scanme.nmap.org

Die Antwort dieses Befehls sollte anzeigen, ob der Host hoch- oder heruntergefahren ist. Das Folgende ist ein Wireshark-Filter der Anfrage.

tcp.Flaggen.syn && tcp.Flaggen.ack

HINWEIS: Wir verwenden das -PS, um anzugeben, dass wir die TCP-SYN-Ping-Anfrage verwenden möchten, was eine effizientere Methode als rohe ICMP-Pakete sein kann. Das Folgende ist eine Nmap-Anfrage von Microsoft.com mit TCP SYN.

$ nmap -sn -PS Microsoft.com

Die Ausgabe ist unten dargestellt:

Ab Nmap 7.91 (https://nmap.org)
Nmap-Scanbericht für Microsoft.com (104.215.148.63)
Host ist aktiv (0.29s Latenz).
Andere Adressen für Microsoft.com (nicht gescannt): 40.112.72.205 13.77.161.179 40.113.200.201 40.76.4.fünfzehn
Nmap fertig:
1 IP-Adresse (1 Host up) gescannt in 1.08 Sekunden

3: TCP-ACK-Ping

Die TCP-ACK-Ping-Methode ist ein Kind der SYN-Ping-Anfrage. Es funktioniert ähnlich, verwendet aber stattdessen das ACK-Paket. Bei dieser Methode versucht NMAP etwas Schlaues.

Es beginnt mit dem Senden eines leeren TCP-ACK-Pakets an den Host. Wenn der Host offline ist, sollte das Paket keine Antwort erhalten. Wenn er online ist, antwortet der Host mit einem RST-Paket, das anzeigt, dass der Host aktiv ist.

Wenn Sie mit dem RST (Reset Packet) nicht vertraut sind, ist es das Paket, das nach dem Empfang eines unerwarteten TCP-Pakets gesendet wird sent. Da das von Nmap gesendete ACK-Paket keine Antwort auf SYN ist, muss der Host ein RST-Paket zurücksenden.

Um einen Nmap ACK-Ping zu initialisieren, verwenden Sie den Befehl als:

$nmap -sn -PA 192.168.0.16

Gegebene Ausgabe unten:

Ab Nmap 7.91 (https://nmap.org)
Nmap-Scanbericht für 192.168.0.16
Host ist aktiv (0.15s Latenz).
MAC-Adresse: EC:08:6B:18:11:D4 (Tp-Link-Technologien)
Nmap fertig:
1 IP-Adresse (1 Host up) gescannt in 0.49 Sekunden

4: UDP-Ping

Lassen Sie uns über eine andere Option für die Hosterkennung in Nmap sprechen, d.e., UDP-Ping.

UDP-Ping funktioniert, indem UDP-Pakete an die angegebenen Ports des Zielhosts gesendet werden. Wenn der Host online ist, trifft das UDP-Paket möglicherweise auf einen geschlossenen Port und antwortet mit einer Meldung, dass der ICMP-Port nicht erreichbar ist. Wenn der Host ausgefallen ist, werden verschiedene ICMP-Fehlermeldungen angezeigt, z. B. TTL überschritten oder keine Antwort.

Der Standardport für UDP-Ping ist 40, 125. Der UDP-Ping ist eine gute Methode zur Durchführung der Hosterkennung für Hosts hinter einer Firewall und Filtern. Das liegt daran, dass die meisten Firewalls TCP suchen und blockieren, aber UDP-Protokollverkehr zulassen.

Um die Nmap-Hosterkennung mit UDP-Ping auszuführen, verwenden Sie den folgenden Befehl:

sudo nmap -sn -PU scanme.nmap.org

Die Ausgabe des obigen Befehls kann mit Wireshark überprüft werden, wie im Screenshot unten gezeigt. Wireshark-Filter gebraucht - udp.Port == 40125

Wie Sie im obigen Screenshot sehen können, sendet Nmap einen UDP-Ping an die IP 45.33.32.156 (scanme.nmap.org). Der Server antwortet mit ICMP nicht erreichbar, was anzeigt, dass der Host aktiv ist.

5: ARP-Ping

Wir dürfen die ARP-Ping-Methode nicht vergessen, die sehr gut für die Host-Erkennung in lokalen Netzwerken funktioniert. Die ARP-Ping-Methode funktioniert, indem sie eine Reihe von ARP-Probes an den angegebenen IP-Adressbereich sendet und Live-Hosts erkennt. ARP-Ping ist schnell und sehr zuverlässig.

Um einen ARP-Ping mit Nmap auszuführen, verwenden Sie den Befehl:

sudo nmap -sn -PR 192.168.0.1/24

Wenn Sie den Befehl mit Wireshark untersuchen und ARP aus der Quelle 192 . filtern.168.0.30, erhalten Sie einen Screenshot der ARP-Broadcast-Prüfanfragen, wie unten gezeigt. Der verwendete Wireshark-Filter ist: arp.src.proto_ipv4 == 192.168.0.30

TCP-SYN-Stealth

Sie werden feststellen, dass der SYN-Scan eine gute Option für die Host-Erkennung ist, da er schnell ist und eine Reihe von Ports in Sekunden scannen kann, vorausgesetzt, Sicherheitssysteme wie Firewalls stören nicht. SYN ist auch sehr mächtig und heimlich, da es mit unvollständigen TCP-Anfragen funktioniert.

Ich werde nicht auf die Details der Funktionsweise von TCP SYN/ACK eingehen, aber Sie können mehr darüber in den verschiedenen unten bereitgestellten Ressourcen erfahren:

Um den Nmap TCP SYN-Stealth-Scan auszuführen, verwenden Sie den Befehl:

sudo nmap -sS 192.168.0.1/24

Ich habe eine Wireshark-Erfassung des Nmap -sS-Befehls und der Nmap-Finde des Scans bereitgestellt, sie untersucht und sieht, wie es funktioniert. Suchen Sie nach unvollständigen TCP-Anfragen mit dem RST-Paket.

Fazit

Zusammenfassend haben wir uns darauf konzentriert, die Verwendung der Nmap-Hosterkennungsfunktion zu diskutieren und Informationen über den angegebenen Host zu erhalten. Wir haben auch besprochen, welche Methode Sie verwenden sollten, wenn Sie Host-Erkennung für Hosts hinter Firewalls durchführen, ICMP-Ping-Anfragen blockieren und vieles mehr.

Erkunden Sie Nmap, um tiefere Kenntnisse zu erlangen.

Spiele Schlacht um Wesnoth 1.13.6 Entwicklung veröffentlicht
Schlacht um Wesnoth 1.13.6 Entwicklung veröffentlicht
Schlacht um Wesnoth 1.13.6, das letzten Monat veröffentlicht wurde, ist die sechste Entwicklungsversion im 1.13.x-Serie und bietet eine Reihe von Verb...
Spiele So installieren Sie League of Legends auf Ubuntu 14.04
So installieren Sie League of Legends auf Ubuntu 14.04
Wenn Sie ein Fan von League of Legends sind, dann ist dies eine Gelegenheit für Sie, League of Legends zu testen. Beachten Sie, dass LOL von PlayOnLin...
Spiele Installieren Sie das neueste OpenRA-Strategiespiel auf Ubuntu Linux
Installieren Sie das neueste OpenRA-Strategiespiel auf Ubuntu Linux
OpenRA ist eine Libre/Free Real Time Strategy Game Engine, die die frühen Westwood-Spiele wie den Klassiker Command & Conquer: Red Alert Red nachbilde...