Durchführen von Stealth-Scans mit Nmap

Es gibt viele Herausforderungen, denen sich Hacker gegenübersehen, aber der Umgang mit Aufklärung ist eines der wichtigsten Probleme. Es ist wichtig, das/die Zielsystem(e) zu kennen, bevor Sie mit dem Hacken beginnen. Es ist wichtig, bestimmte Details zu kennen, z. B. welche Ports geöffnet sind, welche Dienste gerade ausgeführt werden, wie die IP-Adressen sind und welches Betriebssystem vom Ziel verwendet wird. Um mit dem Hacking-Prozess zu beginnen, ist es notwendig, all diese Informationen zu haben. In den meisten Fällen benötigen Hacker zusätzliche Zeit für die Aufklärung, anstatt sie sofort auszunutzen.

Das dazu verwendete Tool heißt Nmap. Nmap beginnt mit dem Senden von gestalteten Paketen an das Zielsystem. Es wird dann die Antwort des Systems sehen, einschließlich des Betriebssystems, das ausgeführt wird und welche Ports und Dienste geöffnet sind. Aber leider können weder eine gute Firewall noch ein starkes Netzwerk-Intrusion-Detection-System solche Arten von Scans leicht erkennen und blockieren.

Wir werden einige der besten Methoden besprechen, um heimliche Scans durchzuführen, ohne entdeckt oder blockiert zu werden. Die folgenden Schritte sind in diesem Prozess enthalten:

1. Scannen mit dem TCP Connect-Protokoll
2. Scannen mit dem SYN-Flag
3. Alternative Scans
4. Unter die Schwelle fallen

1. Scannen mit dem TCP-Protokoll

Beginnen Sie zunächst mit dem Scannen des Netzwerks mit dem TCP-Verbindungsprotokoll. Das TCP-Protokoll ist ein effektiver und zuverlässiger Scan, da es die Verbindung zum Zielsystem öffnet. Denken Sie daran, dass die -P0 Schalter wird dafür verwendet. Das -P0 switch wird den standardmäßig gesendeten Ping von Nmap zurückhalten und gleichzeitig verschiedene Firewalls blockieren.

$ sudo nmap -sT -P0 192.168.1.115

Aus der obigen Abbildung können Sie sehen, dass der effektivste und zuverlässigste Bericht über die offenen Ports zurückgegeben wird. Eines der Hauptprobleme bei diesem Scan besteht darin, dass die Verbindung über TCP aktiviert wird, was ein Drei-Wege-Handshake für das Zielsystem ist. Dieses Ereignis kann von der Windows-Sicherheit aufgezeichnet werden. Wenn der Hack zufällig erfolgreich ist, kann der Systemadministrator leicht erkennen, wer den Hack durchgeführt hat, da Ihre IP-Adresse an das Zielsystem weitergegeben wird.

2. Scannen mit dem SYN-Flag

Der Hauptvorteil der Verwendung des TCP-Scans besteht darin, dass die Verbindung aktiviert wird, indem das System einfacher, zuverlässiger und heimlicher wird. Außerdem kann das gesetzte SYN-Flag zusammen mit dem TCP-Protokoll verwendet werden, das aufgrund des unvollständigen Drei-Wege-Handshakes nie protokolliert wird. Dies kann wie folgt erfolgen:

$ sudo nmap -sS -P0 192.168.1.115

Beachten Sie, dass die Ausgabe eine Liste offener Ports ist, da sie beim TCP-Connect-Scan ziemlich zuverlässig ist. In den Log-Dateien hinterlässt es keine Spur. Die Zeit für die Durchführung dieses Scans betrug laut Nmap nur 0.42 Sekunden.

3. Alternative Scans

Sie können auch den UDP-Scan mit Hilfe des UBP-Protokolls versuchen, der sich auf das System stützt. Sie können auch den Null-Scan durchführen, bei dem es sich um ein TCP ohne Flags handelt. und der Xmas-Scan, der ein TCP-Paket mit den Flags P, U und F ist. Alle diese Scans liefern jedoch unzuverlässige Ergebnisse.

$ sudo nmap -sU -P0 10.0.2.fünfzehn

$ sudo nmap -sN -P0 10.0.2.fünfzehn

$ sudo nmap -sX -P0 10.0.2.fünfzehn

4. Unter die Schwelle fallen

Die Firewall oder das Network Intrusion Detection System benachrichtigt den Administrator über den Scan, da diese Scans nicht protokolliert werden. Fast jedes Netzwerk-Intrusion-Detection-System und die neueste Firewall erkennen solche Arten von Scans und blockieren sie, indem sie die Warnmeldung senden. Wenn das Netzwerk-Intrusion-Detection-System oder die Firewall den Scan blockiert, wird die IP-Adresse und unser Scan erfasst, indem sie identifiziert werden.

SNORT ist ein bekanntes und beliebtes Netzwerk-Intrusion-Detection-System. SNORT besteht aus den Signaturen, die auf dem Regelsatz zum Erkennen von Scans von Nmap . aufgebaut sind. Das Netzwerkset hat einen Mindestschwellenwert, da es jeden Tag eine größere Anzahl von Ports durchläuft. Der Standardschwellenwert in SNORT beträgt 15 Ports pro Sekunde. Daher wird unser Scan nicht erkannt, wenn wir unterhalb des Schwellenwerts scannen. Um die Netzwerk-Intrusion Detection-Systeme und Firewalls besser zu vermeiden, ist es notwendig, Ihnen das gesamte Wissen zur Verfügung zu haben.

Glücklicherweise ist es mit Hilfe von Nmap möglich, mit verschiedenen Geschwindigkeiten zu scannen. Standardmäßig besteht Nmap aus sechs Geschwindigkeiten. Diese Geschwindigkeiten können mit Hilfe der -T Schalter, zusammen mit dem Geschwindigkeitsnamen oder der Nummer. Die folgenden sechs Geschwindigkeiten sind:

paranoid 0, hinterhältig 1, höflich 2, normal 3, aggressiv 4, wahnsinnig 5

Die paranoiden und hinterhältigen Geschwindigkeiten sind die langsamsten und beide liegen unter der Schwelle von SNORT für verschiedene Port-Scans. Verwenden Sie den folgenden Befehl, um mit der hinterhältigen Geschwindigkeit nach unten zu scannen:

$ nmap -sS -P0 -T hinterhältig 192.168.1.115

Hier passiert der Scan das Netzwerk-Intrusion-Detection-System und die Firewall, ohne entdeckt zu werden. Der Schlüssel ist, während dieses Prozesses Geduld zu bewahren. Einige Scans, wie der hinterhältige Geschwindigkeitsscan, dauern 5 Stunden pro IP-Adresse, während der Standardscan nur 0 Stunden dauert.42 Sekunden.

Fazit

In diesem Artikel wurde gezeigt, wie Sie mit dem Nmap-Tool (Network Mapper) in Kali Linux einen Stealth-Scan durchführen. Der Artikel zeigte Ihnen auch, wie Sie mit verschiedenen Stealth-Angriffen in Nmap . arbeiten.