Nmap

Nmap-Leerlauf-Scan-Tutorial

Nmap-Leerlauf-Scan-Tutorial

Einführung in Nmap Idle Scan

Die letzten beiden Tutorials, die auf LinuxHint über Nmap veröffentlicht wurden, konzentrierten sich auf heimliche Scanmethoden, einschließlich SYN-Scan, NULL und Xmas-Scan. Obwohl diese Methoden von Firewalls und Intrusion Detection Systemen leicht erkannt werden, sind sie eine hervorragende Möglichkeit, didaktisch etwas über die Internet-Modell oder Internetprotokoll-Suite, Diese Messwerte sind auch ein Muss, bevor Sie die Theorie hinter dem Idle Scan lernen, aber nicht, um zu lernen, wie man es praktisch anwendet.

Der Idle Scan, der in diesem Tutorial erklärt wird, ist eine ausgefeiltere Technik, die einen Schild (genannt Zombie) zwischen dem Angreifer und dem Ziel verwendet. Wenn der Scan von einem Abwehrsystem (Firewall oder IDS) erkannt wird, wird eher ein Zwischengerät (Zombie) verantwortlich gemacht als der Angreifer-Computer.

Der Angriff besteht im Wesentlichen darin, den Schild oder das Zwischengerät zu schmieden. Es ist wichtig, hervorzuheben, dass der wichtigste Schritt bei dieser Art von Angriff nicht darin besteht, ihn gegen das Ziel auszuführen, sondern das Zombie-Gerät zu finden. Dieser Artikel konzentriert sich nicht auf defensive Methoden. Für Verteidigungstechniken gegen diesen Angriff können Sie kostenlos auf den entsprechenden Abschnitt im Buch Intrusion Prevention and Active Response: Deploying Network and Host IPS zugreifen.

Zusätzlich zu den Aspekten der Internet Protocol Suite, die in Nmap Basics, Nmap Stealth Scan und Xmas Scan beschrieben sind, müssen Sie wissen, was eine IP-ID ist, um zu verstehen, wie der Idle Scan funktioniert. Jedes gesendete TCP-Datagramm hat eine eindeutige temporäre ID, die eine Fragmentierung und spätere Wiederzusammenfügung von fragmentierten Paketen basierend auf dieser ID ermöglicht, die als IP-ID bezeichnet wird. Die IP-ID wächst in Abhängigkeit von der Anzahl der gesendeten Pakete, sodass Sie anhand der IP-ID-Nummer die Anzahl der von einem Gerät gesendeten Pakete ermitteln können learn.

Wenn Sie ein unaufgefordertes SYN/ACK-Paket senden, ist die Antwort ein RST-Paket zum Zurücksetzen der Verbindung. Dieses RST-Paket enthält die IP-ID-Nummer. Wenn Sie zuerst ein unaufgefordertes SYN/ACK-Paket an ein Zombie-Gerät senden, antwortet es mit einem RST-Paket mit seiner IP-ID. Der zweite Schritt besteht darin, diese IP-ID zu fälschen, um ein gefälschtes SYN-Paket an das Ziel zu senden, damit es Ihnen glaubt sind der Zombie, wird das Ziel auf den Zombie reagieren (oder nicht), im dritten Schritt schickt man ein neues SYN/ACK an den Zombie, um wieder ein RST-Paket zu bekommen, um die IP-ID-Erhöhung zu analysieren.

Offene Ports:

SCHRITT 1
Senden Sie unaufgefordert SYN/ACK an das Zombie-Gerät, um ein RST-Paket mit der Zombie-IP-ID zu erhalten.		 SCHRITT 2
Senden Sie ein gefälschtes SYN-Paket, das sich als Zombie ausgibt, und veranlassen Sie das Ziel, dem Zombie ein unaufgefordertes SYN/ACK zu antworten, wodurch es auf eine neue aktualisierte RST . antwortet.		 SCHRITT 3
Senden Sie ein neues unaufgefordertes SYN/ACK an den Zombie, um ein RST-Paket zu erhalten, um seine neue aktualisierte IP-ID zu analysieren.

Wenn der Port des Ziels offen ist, antwortet es dem Zombie-Gerät mit einem SYN/ACK-Paket, das den Zombie ermutigt, mit einem RST-Paket zu antworten, das seine IP-ID erhöht. Wenn der Angreifer dann erneut ein SYN/ACK an den Zombie sendet, wird die IP-ID um +2 erhöht, wie in der Tabelle oben gezeigt.

Wenn der Port geschlossen ist, sendet das Ziel kein SYN/ACK-Paket an den Zombie, aber ein RST und seine IP-ID bleiben gleich, wenn der Angreifer ein neues ACK/SYN an den Zombie sendet, um seine IP-ID zu überprüfen, wird dies der Fall sein nur +1 erhöht werden (aufgrund der vom Zombie gesendeten ACK/SYN, ohne Erhöhung durch Provokation durch das Ziel). Siehe die Tabelle unten.

Geschlossene Häfen:

SCHRITT 1

Das gleiche wie oben

 SCHRITT 2

In diesem Fall antwortet das Ziel dem Zombie mit einem RST-Paket anstelle eines SYN/ACK, wodurch verhindert wird, dass der Zombie das RST sendet, was seine IP-ID erhöhen kann.

 SCHRITT 2

Der Angreifer sendet ein SYN/ACK und der Zombie antwortet mit nur Erhöhungen, wenn er mit dem Angreifer interagiert und nicht mit dem Ziel.

Wenn der Port gefiltert wird, antwortet das Ziel überhaupt nicht, die IP-ID bleibt auch gleich, da keine RST-Antwort erfolgt und wenn der Angreifer ein neues SYN/ACK an den Zombie sendet, um die IP-ID zu analysieren, wird das Ergebnis gleich sein wie bei geschlossenen Ports. Im Gegensatz zu SYN-, ACK- und Xmas-Scans, die nicht zwischen bestimmten offenen und gefilterten Ports unterscheiden können, kann dieser Angriff nicht zwischen geschlossenen und gefilterten Ports unterscheiden. Siehe die Tabelle unten.

Gefilterte Ports:

SCHRITT 1

Das gleiche wie oben

 SCHRITT 2

In diesem Fall gibt es keine Antwort vom Ziel, die den Zombie daran hindert, die RST zu senden, was seine IP-ID erhöhen kann.

 SCHRITT 3

Das gleiche wie oben

Ein Zombie-Gerät finden

Nmap NSE (Nmap Scripting Engine) bietet das Skript IPIDSEQ, um anfällige Zombie-Geräte zu erkennen detect. Im folgenden Beispiel wird das Skript verwendet, um Port 80 von zufälligen 1000 Zielen zu scannen, um nach verwundbaren Hosts zu suchen. Verwundbare Hosts werden klassifiziert als Inkrementell oder Little-Endian-Inkremental. Weitere Beispiele für die NSE-Nutzung, die nichts mit Idle Scan zu tun haben, werden beschrieben und gezeigt unter So scannen Sie nach Diensten und Schwachstellen mit Nmap und Verwenden von nmap-Skripten: Nmap banner grab.

IPIDSEQ-Beispiel, um zufällig Zombie-Kandidaten zu finden:

nmap -p80 --script ipidseq -iR 1000

Wie Sie sehen, wurden mehrere verwundbare Zombie-Kandidatenhosts gefunden ABER sie sind alle falsch positiv. Der schwierigste Schritt bei der Durchführung eines Idle-Scans besteht darin, ein anfälliges Zombie-Gerät zu finden. Dies ist aus vielen Gründen schwierig:

In solchen Fällen erhalten Sie beim Versuch, den Idle-Scan auszuführen, die folgende Fehlermeldung:
… kann nicht verwendet werden, da keine unserer Sonden zurückgegeben wurde - möglicherweise ist sie ausgefallen oder durch eine Firewall geschützt.
BEENDEN!

Wenn Sie in diesem Schritt Glück haben, finden Sie ein altes Windows-System, ein altes IP-Kamerasystem oder einen alten Netzwerkdrucker, dieses letzte Beispiel wird vom Nmap-Buch empfohlen.

Wenn Sie nach verwundbaren Zombies suchen, möchten Sie vielleicht Nmap übertreffen und zusätzliche Tools wie Shodan und schnellere Scanner implementieren.  Sie können auch zufällige Scans ausführen, die Versionen erkennen, um ein möglicherweise anfälliges System zu finden.

Ausführen des Nmap-Leerlauf-Scans

Beachten Sie, dass die folgenden Beispiele nicht in einem realen Szenario entwickelt wurden. Für dieses Tutorial wurde ein Windows 98-Zombie über VirtualBox eingerichtet, die das Ziel einer Metasploitable auch unter VirtualBox ist.

In den folgenden Beispielen wird die Hosterkennung übersprungen und ein Idle-Scan mit IP 192 . angewiesen.168.56.102 als Zombie-Gerät zum Scannen von Ports 80.21.22 und 443 des Ziels 192.168.56.101.

nmap -Pn  -sI  192.168.56.102 -p80,21,22.443 192.168.56.101

Wo:
nmap: ruft das Programm auf
-Pn: überspringt die Hosterkennung.
-sI: Leerlauf-Scan
192.168.56.102: Windows 98-Zombie.
-S.80,21,22.443: weist an, die genannten Ports zu scannen.
192.68.56.101: ist das Metasploitable-Ziel.

Im folgenden Beispiel wird nur die Option, die Ports definiert, für -p- geändert, wodurch Nmap angewiesen wird, die gängigsten 1000 Ports zu scannen.

nmap -sI 192.168.56.102 -Pn -p- 192.168.56.101

Fazit

In der Vergangenheit bestand der größte Vorteil eines Idle-Scans darin, sowohl anonym zu bleiben als auch die Identität eines Geräts zu fälschen, das nicht ungefiltert oder von Abwehrsystemen vertrauenswürdig war , ist natürlich möglich). Es wäre praktischer, mit einem Shield anonym zu bleiben, wenn man ein öffentliches Netzwerk verwendet, während es unwahrscheinlich ist, dass hoch entwickelte Firewalls oder IDS mit alten und anfälligen Systemen als vertrauenswürdig kombiniert werden.

Ich hoffe, Sie fanden dieses Tutorial zu Nmap Idle Scan nützlich. Folgen Sie LinuxHint für weitere Tipps und Updates zu Linux und Netzwerken.

Zum Thema passende Artikel:

Spiele Battle for Wesnoth-Tutorial
Battle for Wesnoth-Tutorial
The Battle for Wesnoth ist eines der beliebtesten Open-Source-Strategiespiele, die Sie derzeit spielen können. Dieses Spiel befindet sich nicht nur se...
Spiele 0 A.D. Lernprogramm
0 A.D. Lernprogramm
Von den vielen Strategiespielen da draußen, 0 A.D. schafft es, sich trotz Open Source als umfassender Titel und sehr tiefgehendes, taktisches Spiel ab...
Spiele Unity3D-Tutorial
Unity3D-Tutorial
Einführung in Unity 3D Unity 3D ist eine leistungsstarke Engine für die Spieleentwicklung. Es ist plattformübergreifend, das heißt, Sie können Spiele ...