I migliori strumenti di raccolta delle informazioni in Kali Linux

Nmap

Network Mapper, comunemente usato come NMAP, è uno strumento gratuito e open source per la scansione di rete e porte. È anche competente in molte altre tecniche di raccolta delle informazioni attive. NMAP è di gran lunga lo strumento di raccolta delle informazioni più utilizzato utilizzato dai tester di penetrazione. È uno strumento basato sulla CLI, ma ha anche una versione basata sulla GUI sul mercato chiamato ZenMap. Una volta era uno strumento "solo unix" ma ora supporta molti altri sistemi operativi come Windows, FreeBSD, OpenBSD, Sun Solaris e molti altri. NMAP viene preinstallato nei test di penetrazione di distro come Kali Linux e Parrot OS. Può anche essere installato su altri sistemi operativi. Per farlo, cerca NMAP qui.

Figura 1.1 mostra una normale scansione e risultati. La scansione ha rivelato le porte aperte 902 e 8080. Figura 1.2 mostra una semplice scansione del servizio, che dice quale servizio è in esecuzione sulla porta. Figura 1.3 mostra una scansione di script predefinita. Questi script a volte rivelano informazioni interessanti che possono essere ulteriormente utilizzate nelle parti laterali di un test di penna. Per ulteriori opzioni, digita NMAP nel terminale e ti mostrerà la versione, l'uso e tutte le altre opzioni disponibili.

Fig. 1.1: semplice scansione NMAP

Fig. 1.2: Servizio NMAP/Scansione versione

Fig. 1.3: scansione di script predefinita

Tcpdump

TCPDump è un analizzatore di pacchetti di dati di dati gratuiti che funziona sull'interfaccia CLI. Consente agli utenti di vedere, leggere o acquisire il traffico di rete trasmesso su una rete collegata al computer. Originariamente scritto nel 1988 da quattro lavoratori presso Lawrence Berkely Laboratory Network Research Group, è stato organizzato nel 1999 da Michael Richardson e Bill Fenner, che ha creato WWW.tcpdump.org. Funziona su tutti i sistemi operativi simili a UNIX (Linux, Solaris, tutti i BSD, MacOS, Sunsolaris, ecc.). La versione di Windows di TCPDump si chiama Windump e utilizza WinPCap, l'alternativa di Windows per libpcap.

Per installare TCPDump:

$ sudo apt-get Installa tcpdump

Uso:

# tcpdump [options] [espressione]

Per i dettagli delle opzioni:

$ tcpdump -h

Wireshark

Wireshark è un analizzatore di traffico di rete immensamente interattivo. Si possono scaricare e analizzare i pacchetti quando vengono ricevuti. Originariamente sviluppato da Gerald Combs nel 1998 come Ethereal, è stato ribattezzato Wireshark nel 2006 a causa di problemi di marchio. Wireshark offre anche filtri diversi in modo che l'utente possa specificare quale tipo di traffico verrà mostrato o scaricato per analisi successive. Wireshark può essere scaricato da www.Wireshark.download org/#. È disponibile sulla maggior parte dei sistemi operativi comuni (Windows, Linux, MacOS) e viene preinstallato nella maggior parte delle distro di penetrazione come Kali Linux e Parrot OS.

Wireshark è uno strumento potente e ha bisogno di una buona comprensione del networking di base. Converte il traffico in un formato che gli umani possono facilmente leggere. Può aiutare gli utenti a risolvere i problemi di latenza, i pacchetti lasciati cadere o persino i tentativi di hacking contro la tua organizzazione. Inoltre, supporta fino a duemila protocolli di rete. Si potrebbe non essere in grado di usarli tutti come traffico comune è costituito da pacchetti UDP, TCP, DNS e ICMP.

Una cartina

Application Mapper (anche una cartina), come può suggerire il nome, è uno strumento per mappare le applicazioni su porte aperte su un dispositivo. È uno strumento di prossima generazione che può scoprire applicazioni e processi anche quando non sono in esecuzione sulle loro porte convenzionali. Ad esempio, se un server Web è in esecuzione sulla porta 1337 anziché sulla porta standard 80, AMAP può scoprirlo. AMAP viene fornito con due moduli di spicco. Primo, Amapcrap Può inviare dati finti alle porte per generare qualche tipo di risposta dalla porta target, che può successivamente essere utilizzata per ulteriori analisi. Secondo, AMAP ha il modulo principale, che è il Mapper dell'applicazione (una cartina).

Uso AMAP:

$ AMAP -H
AMAP V5.4 (c) 2011 di Van Hauser www.thc.Org/THC-Amap
Sintassi: AMAP [MODES [-A | -B | -P]] [Opzioni] [Porta target [porta]…]
Modalità:
-A (impostazione predefinita) Invia trigger e analizzare le risposte (applicazioni MAP)
-B Prendi solo stendardi; Non inviare trigger
-P Uno scanner di porta di connessione a tutti gli effetti
Opzioni:
-1 rapido! Invia trigger a una porta fino alla prima identificazione
-6 Utilizzare IPv6 anziché IPv4
-b Stampa Banner ASCII delle risposte
-I file file di output leggibile dalla macchina da cui leggere le porte
-U Specificare le porte UDP sulla riga di comando (predefinito: TCP)
-R Non identificare il servizio RPC
-H Non inviare trigger di applicazione potenzialmente dannosi
-Non scarichi risposte non riconosciute
-d scaricare tutte le risposte
-V Verbose Modalità; Usa due o più per maggiore verbosità
-Q Non segnalare le porte chiuse e non stamparle come non identificate
-o file [-m] scrivi output sul file file; -M crea output leggibile dalla macchina
-C CONS Crea connessioni parallele (impostazione predefinita 32, max 256)
-Cumenta c Numero di riconnettiti sul collegamento di timeout (impostazione predefinita 3)
-T Sec Connect Timeout su tentativi di connessione in secondi (impostazione predefinita 5)
-T Sec Risposta Attendere un timeout in secondi (impostazione predefinita 5)
-P Proto Invia trigger solo a questo protocollo (e.G. FTP)
Porta target L'indirizzo di destinazione e le porte su scansione (aggiuntivo a -i)

Fig 4.1 campione di scansione AMAP

p0f

p0f è la forma breve per "Passistenza OS FIngerprinting ”(viene utilizzato uno zero al posto di un O). È uno scanner passivo in grado di identificare i sistemi in remoto. P0F utilizza tecniche di impronta digitale per analizzare i pacchetti TCP/IP e per determinare diverse configurazioni tra cui il sistema operativo dell'host. Ha la capacità di eseguire questo processo passivamente senza generare alcun traffico sospetto. P0F può anche leggere i file PCAP.

Uso:

# p0f [opzioni] [regola del filtro]

Fig 5.1 campione output P0F
L'host deve connettersi alla rete (spontaneamente o indotto) o essere collegato ad alcune entità sulla rete con alcuni mezzi standard (navigazione Web, ecc.) L'host può accettare o rifiutare la connessione. Questo metodo è in grado di vedere attraverso i firewall di pacchetti e non è vincolato dalle restrizioni di un'impronta digitale attiva. L'impronta digitale del sistema operativo passivo viene utilizzata principalmente per la profilazione degli attaccanti, la profilazione dei visitatori, la profilazione del cliente/utente, il test di penetrazione, ecc.

Cessazione

La ricognizione o la raccolta delle informazioni è il primo passo in qualsiasi test di penetrazione. È una parte essenziale del processo. Iniziare un test di penetrazione senza una decente ricognizione è come andare in guerra senza sapere dove e chi stai combattendo. Come sempre, c'è un mondo di straordinari utensili di ricognizione oltre a quelli sopra. Tutto grazie a una straordinaria comunità open source e cybersecurity!

Happy Recon! 🙂