Gli ultimi due tutorial pubblicati su LinuxHint su NMAP sono stati focalizzati su metodi di scansione furtiva tra cui Syn Scan, Null e XMAS Scan. Mentre questi metodi vengono facilmente rilevati dai firewall e nei sistemi di rilevamento delle intrusioni, sono un modo formidabile per imparare con didattico un po 'sul Modello Internet O Suite di protocollo Internet, Queste letture sono anche un must prima di apprendere la teoria dietro la scansione del minimo, ma non è un must per imparare come applicarla praticamente.
La scansione inattiva spiegata in questo tutorial è una tecnica più sofisticata che utilizza uno scudo (chiamato zombi) tra l'attaccante e il bersaglio, se la scansione viene rilevata da un sistema di difesa (firewall o ID), piuttosto biasimerà un dispositivo intermedio (zombi) che il computer dell'attaccante.
L'attacco consiste sostanzialmente sulla forgiatura dello scudo o del dispositivo intermedio. È importante evidenziare il passo più importante in questo tipo di attacco non è eseguirlo contro il bersaglio, ma trovare il dispositivo zombi. Questo articolo non si concentrerà sul metodo difensivo, per le tecniche difensive contro questo attacco puoi accedere gratuitamente alla sezione pertinente nel libro Prevenzione delle intrusioni e risposta attiva: distribuzione di rete e host IPS.
Inoltre, agli aspetti della suite del protocollo Internet descritti nelle basi NMAP, NMAP Stealth Scan e XMAS Scan per capire come funziona la scansione del minimo devi sapere cos'è un ID IP. Ogni datagramma TCP inviato ha un ID temporaneo univoco che consente la frammentazione e il rimontaggio posteriore di pacchetti frammentati in base a quell'ID, chiamato ID IP. L'ID IP crescerà in modo incrementale in conformità con il numero di pacchetti inviati, quindi in base al numero ID IP è possibile apprendere la quantità di pacchetti inviati da un dispositivo.
Quando si invia un pacchetto syn/ACK non richiesto, la risposta sarà un pacchetto RST per reimpostare la connessione, questo pacchetto RST conterrà il numero ID IP. Se prima si invia un pacchetto SYN/ACK non richiesto a un dispositivo zombi, risponderà con un pacchetto RST che mostra il suo ID IP, il secondo passo è quello di forgiare questo ID IP per inviare un pacchetto Syn falsi al target, facendolo credere sono lo zombi, l'obiettivo risponderà (o no) allo zombi, nel terzo passaggio invierai un nuovo syn/ACK allo zombi per ottenere di nuovo un pacchetto RST per analizzare l'aumento dell'ID IP.
Porte aperte:
PASSO 1 Invia syn/ACK non richiesto al dispositivo zombi per ottenere un pacchetto RST che mostra l'ID IP zombi. | PASSO 2 Invia un pacchetto Syn falsi in posa come zombi, rendendo l'obiettivo di rispondere a un syn/ACK non richiesto allo zombi, facendolo rispondere a un nuovo RST aggiornato. | Passaggio 3 Invia un nuovo syn/ACK non richiesto allo zombi per ricevere un pacchetto RST per analizzare il suo nuovo ID IP aggiornato. |
Se la porta del target è aperta, risponderà al dispositivo zombi con un pacchetto syn/ack che incoraggia lo zombi a rispondere con un pacchetto RST che aumenta il suo ID IP. Quindi, quando l'attaccante invia nuovamente un syn/ACK allo zombi, l'ID IP verrà aumentato +2 come mostrato nella tabella sopra.
Se la porta è chiusa, il bersaglio non invierà un pacchetto syn/ack allo zombi ma un primo e il suo ID rimarrà lo stesso, quando l'attaccante invia un nuovo ACK/syn allo zombi per verificare il suo ID IP, lo farà essere aumentato solo +1 (a causa dell'ACK/syn inviato dallo zombi, senza aumento da provocato dal bersaglio). Vedi la tabella qui sotto.
Porte chiuse:
PASSO 1 Come sopra | PASSO 2 In questo caso il target risponde allo zombi con un pacchetto RST invece di un syn/ACK, impedendo allo zombi di inviare il primo che può aumentare il suo ID IP. | PASSO 2 L'attaccante invia un syn/ack e lo zombi risponde con solo aumenti fatti quando interagisce con l'attaccante e non con il bersaglio. |
Quando la porta viene filtrata, il bersaglio non risponderà affatto, l'ID IP rimarrà anche lo stesso poiché non verrà effettuata alcuna risposta e quando l'attaccante invia un nuovo syn/ACK allo zombi per analizzare l'ID IP, il risultato sarà Sii lo stesso come con le porte chiuse. Contrariamente alle scansioni Syn, ACK e XMAS che non possono distinguere tra determinate porte aperte e filtrate, questo attacco non può distinguere tra porte chiuse e filtrate. Vedi la tabella qui sotto.
Porte filtrate:
PASSO 1 Come sopra | PASSO 2 In questo caso non c'è risposta dall'obiettivo che impedisce allo zombi di inviare il RST che può aumentare il suo ID IP. | Passaggio 3 Come sopra |
Trovare un dispositivo di zombi
NMAP NSE (NMAP Scripting Engine) fornisce lo script ipidseq per rilevare dispositivi zombi vulnerabili. Nell'esempio seguente lo script viene utilizzato per scansionare la porta 80 di target casuali 1000 per cercare host vulnerabili, gli host vulnerabili sono classificati come Incrementale O incrementale poco endiano. Ulteriori esempi di uso NSE, nonostante non correlati alla scansione inattiva, sono descritti e mostrati su come scansionare i servizi e le vulnerabilità con NMAP e utilizzando gli script NMAP: NMAP Banner Grab.
Esempio di ipidseq per trovare casualmente i candidati di zombi:
NMAP -P80 -Script ipidseq -ir 1000
Come puoi vedere, sono stati trovati diversi host candidati vulnerabili MA Sono tutti falsi positivi. Il passo più difficile quando si esegue una scansione inattiva è trovare un dispositivo di zombi vulnerabile, è difficile per molte ragioni:
In tali casi quando si tenta di eseguire la scansione del minimo otterrai il seguente errore:
"... non può essere usato perché non ha restituito nessuna delle nostre sonde - forse è giù o firewall.
Smettere!"
Se sei fortunato in questo passaggio troverai un vecchio sistema Windows, un vecchio sistema di telecamere IP o una vecchia stampante di rete, quest'ultimo esempio è consigliato dal libro NMAP.
Quando cerchi zombi vulnerabili potresti voler superare NMAP e implementare strumenti aggiuntivi come Shodan e scanner più veloci. È inoltre possibile eseguire versioni di rilevamento di scansioni casuali per trovare un possibile sistema vulnerabile.
Esecuzione della scansione del minimo NMAP
Nota I seguenti esempi non sono sviluppati in uno scenario reale. Per questo tutorial uno zombi di Windows 98 è stato configurato tramite VirtualBox essendo il target a Metasploable anche in VirtualBox.
I seguenti esempi saltano la scoperta dell'host e istruisce una scansione inattiva utilizzando l'IP 192.168.56.102 come dispositivo zombi per scansionare le porte 80.21.22 e 443 del bersaglio 192.168.56.101.
nmap -pn -si 192.168.56.102 -p80,21,22.443 192.168.56.101
Dove:
nmap: chiama il programma
-Pn: Skips Host Discovery.
-Si: Scansione inattiva
192.168.56.102: Zombi di Windows 98.
-P80,21,22,443: istruisce di scansionare le porte menzionate.
192.68.56.101: è l'obiettivo metasploabile.
Nell'esempio seguente solo l'opzione che definisce le porte viene modificata per -p -istruing NMAP per scansionare le porte 1000 più comuni.
NMAP -SI 192.168.56.102 -pn -p- 192.168.56.101
In passato, il più grande vantaggio di una scansione inattiva era sia quello di rimanere anonimi e di forgiare l'identità di un dispositivo che non era non filtrato o era affidabile dai sistemi difensivi, entrambi gli usi sembrano obsoleti a causa della difficoltà di trovare zombi vulnerabili (ancora , è possibile, ovviamente). Rimanere anonimi che utilizza uno scudo sarebbe più pratico utilizzando una rete pubblica, mentre è improbabile sofisticati firewall o IDS saranno combinati con sistemi vecchi e vulnerabili come affidabili.
Spero che tu abbia trovato utile questo tutorial sulla scansione del minimo NMAP. Continua a seguire LinuxHint per ulteriori suggerimenti e aggiornamenti su Linux e Networking.
Articoli Correlati: