ichEinführung in TCP- und SYN-Verbindungen

Denken Sie beim Lesen dieses Artikels an die folgenden Definitionen:
SYN-Paket: ist ein Paket, das die Synchronisation einer Verbindung anfordert oder bestätigt.
ACK-Paket: ist ein Paket, das den Empfang eines SYN-Pakets bestätigt.
RST-Paket: ist ein Paket, das über den Verbindungsversuch informiert, sollte verworfen werden.

Wenn sich zwei Geräte verbinden, werden die Verbindungen normalerweise durch einen Prozess namens . hergestellt Drei-Wege-Handshake die aus drei anfänglichen Interaktionen besteht: erstens aus einer Verbindungsanfrage des Clients oder Geräts, das die Verbindung anfordert, zweitens einer Bestätigung durch das Gerät, zu dem die Verbindung angefordert wird, und drittens einer endgültigen Bestätigung des Geräts, das die Verbindung angefordert hat, etwas mögen:

-„Hey, kannst du mich hören??, können wir uns treffen?” (SYN-Paket fordert Synchronisation an)
-"Hallo!, ich sehe Sie!, wir können uns treffen" (Wo „I see you“ ein ACK-Paket ist, „we can meet“ ein SYN-Paket)
-"Groß!” (ACK-Paket)

Im Vergleich oben zeigt, wie a TCP-Verbindung hergestellt ist, fragt das erste Gerät das zweite Gerät, ob es die Anfrage erkennt und ob es eine Verbindung aufbauen kann, das zweite Gerät bestätigt, dass es diese erkennen kann und für eine Verbindung verfügbar ist, dann bestätigt das erste Gerät die Bestätigung der Annahme.

Anschließend wird die Verbindung aufgebaut, wie mit Grafiken in . erklärt Nmap grundlegende Scantypen, Dieser Vorgang hat das Problem Der dritte Handshake, die letzte Bestätigung, hinterlässt normalerweise ein Verbindungsprotokoll auf dem Gerät, zu dem Sie die Verbindung angefordert haben, wenn Sie ein Ziel ohne Erlaubnis scannen oder eine Firewall oder ein Intrusion Detection System (IDS) testen möchten die Bestätigung vermeiden möchten, um eine Protokollierung mit Ihrer IP-Adresse zu verhindern oder die Fähigkeit Ihres Systems zu testen, die Interaktion zwischen Systemen trotz fehlender Verbindung zu erkennen, sog TCP-Verbindung oder Scan verbinden. Dies ist ein Stealth-Scan.

Dies kann erreicht werden, indem die TCP-Verbindung/Scan verbinden Für ein SYN-Verbindung. Eine SYN-Verbindung lässt die endgültige Bestätigung aus und ersetzt sie durch eine RST Paket. Wenn wir die TCP-Verbindung, die Drei-Handshake-Verbindung, ersetzen, wäre das Beispiel für eine SYN-Verbindung:

Das obige Beispiel zeigt eine SYN-Verbindung, die im Gegensatz zu einer TCP-Verbindung keine Verbindung aufbaut oder Scan verbinden, daher wird am zweiten Gerät weder eine Verbindung angemeldet, noch Ihre IP-Adresse protokolliert.

Praktische Beispiele für TCP- und SYN-Verbindungen

Nmap unterstützt nicht SYN (-sS) Verbindungen ohne Berechtigungen, um SYN-Anfragen zu senden, müssen Sie root sein, und wenn Sie root sind, sind Anfragen standardmäßig SYNN. Im folgenden Beispiel sehen Sie einen regelmäßigen ausführlichen Scan gegen Linux.lat als normaler Benutzer:

nmap -v linux.lat

Wie Sie sehen können, heißt es „Initiieren eines Connect-Scans“.

Im nächsten Beispiel wird der Scan als Root durchgeführt, also standardmäßig ein SYN-Scan:

nmap -v linux.lat

Und wie Sie sehen, heißt es diesmal "SYN-Stealth-Scan starten“, Verbindungen werden nach Linux abgebrochen.lat hat seine ACK+SYN-Antwort auf die anfängliche SYN-Anfrage von Nmap gesendet.

Nmap-NULL-Scan (-sN)

Trotz Senden eines RST Paket verhindert die Verbindung, Grom wird protokolliert ein SYN-Scan kann von Firewalls und Intrusion Detection Systemen (IDS) erkannt werden. Es gibt zusätzliche Techniken, um heimlichere Scans mit Nmap . durchzuführen.

Nmap analysiert die Paketantworten des Ziels, vergleicht sie mit Protokollregeln und interpretiert sie. Nmap ermöglicht es, Pakete zu fälschen, um die richtigen Antworten zu generieren, die ihre Natur enthüllen, beispielsweise um zu wissen, ob ein Port wirklich geschlossen oder von einer Firewall gefiltert ist.
Das folgende Beispiel zeigt a NULL scannen, die nicht enthalten SYN, ACK oder RST Pakete.
Wenn ich a . mache NULL scan Nmap kann 3 Ergebnisse interpretieren: Öffnen|Gefiltert, Geschlossen oder Gefiltert.

Öffnen|Gefiltert: Nmap kann nicht feststellen, ob der Port offen oder von einer Firewall gefiltert ist.
Geschlossen: Der Hafen ist geschlossen.
Gefiltert: Der Port wird gefiltert.

Dies bedeutet, dass bei der Durchführung von a NULL scan Nmap kann je nach Firewall-Antwort oder fehlender Antwort nicht von offenen und gefilterten Ports unterscheiden. Wenn der Port offen ist, erhalten Sie ihn als Öffnen|Gefiltert.

Im folgenden Beispiel der Port 80 von Linux.lat wird mit einem NULL-Scan gescannt, mit Ausführlichkeit.

nmap -v -sN -p 80 Linux.lat

Wo:
nmap = ruft das Programm auf
-v = weist nmap an, mit Ausführlichkeit zu scannen
-sN = weist nmap an, einen NULL-Scan durchzuführen.
-p = Präfix, um den zu scannenden Port zu bestimmen.
Linux.lat = ist das Ziel.

Wie im folgenden Beispiel gezeigt, können Sie die Optionen hinzufügen -sV um herauszufinden, ob der als Open|Filtered dargestellte Port tatsächlich geöffnet ist, aber das Hinzufügen dieses Flags kann zu einer einfacheren Scan-Erkennung durch das Ziel führen, wie in Nmaps Buch beschrieben.

Wo:
nmap = ruft das Programm auf
-v = weist nmap an, mit Ausführlichkeit zu scannen
-sN = weist nmap an, einen NULL-Scan durchzuführen.
-sV =
-p = Präfix um den zu scannenden Port zu bestimmen.
Linux.lat = ist das Ziel.

Wie Sie sehen können, zeigt Nmap im letzten Screenshot den tatsächlichen Zustand des Ports, aber indem es die Unentdeckung des Scans opfert.

Ich hoffe, Sie fanden diesen Artikel hilfreich, um sich mit Nmap Stealth Scan vertraut zu machen. Folgen Sie LinuxHint.com für weitere Tipps und Updates zu Linux und Netzwerken.

Zum Thema passende Artikel:

nmap-Flags und was sie tun
nmap-Ping-Sweep
nmap-Netzwerkscannen
Verwenden von nmap-Skripten: Nmap-Bannergrab
So scannen Sie mit Nmap nach Diensten und Schwachstellen

Nmap Stealth-Scan

ichEinführung in TCP- und SYN-Verbindungen

Praktische Beispiele für TCP- und SYN-Verbindungen

Nmap-NULL-Scan (-sN)