Eseguire scansioni invisibili con Nmap

Performing Stealth Scans With Nmap

Ci sono molte sfide che gli hacker devono affrontare, ma affrontare la ricognizione è una delle questioni più importanti. È importante conoscere i sistemi di destinazione prima di iniziare a hackerare. È essenziale conoscere alcuni dettagli, come quali porte sono aperte, quali servizi sono attualmente in esecuzione, quali sono gli indirizzi IP e quale sistema operativo è utilizzato dal target. Per iniziare il processo di hacking, è necessario disporre di tutte queste informazioni. Nella maggior parte dei casi, gli hacker impiegheranno più tempo in ricognizione invece di sfruttare immediatamente.

Lo strumento utilizzato per questo scopo si chiama Nmap. Nmap inizia inviando pacchetti creati al sistema di destinazione. Vedrà quindi la risposta del sistema, incluso quale sistema operativo è in esecuzione e quali porte e servizi sono aperti. Ma purtroppo, né un buon firewall né un potente sistema di rilevamento delle intrusioni di rete rileveranno e bloccheranno facilmente questo tipo di scansioni.



Discuteremo alcuni dei metodi migliori per aiutare a eseguire scansioni furtive senza essere rilevati o bloccati. I seguenti passaggi sono inclusi in questo processo:



  1. Scansione utilizzando il protocollo TCP Connect
  2. Scansiona usando il flag SYN
  3. Scansioni alternative
  4. Scendi sotto la soglia

1. Scansione utilizzando il protocollo TCP


Innanzitutto, inizia la scansione della rete utilizzando il protocollo di connessione TCP. Il protocollo TCP è una scansione efficace e affidabile perché aprirà la connessione del sistema di destinazione. Ricorda che il -P0 l'interruttore viene utilizzato per questo scopo. Il -P0 switch tratterrà il ping di Nmap che viene inviato per impostazione predefinita, bloccando anche vari firewall.



$sudo nmap -ns -P0192.168.1.115

Dalla figura sopra, puoi vedere che verrà restituito il rapporto più efficace e affidabile sulle porte aperte. Uno dei problemi principali di questa scansione è che attiverà la connessione lungo il TCP, che è un handshake a tre vie per il sistema di destinazione. Questo evento può essere registrato dalla sicurezza di Windows. Se per caso l'hack ha successo, sarà facile per l'amministratore del sistema sapere chi ha eseguito l'hack, perché il tuo indirizzo IP verrà rivelato al sistema di destinazione.

2. Scansione utilizzando il flag SYN

Il vantaggio principale dell'utilizzo della scansione TCP è che attiva la connessione rendendo il sistema più semplice, affidabile e nascosto. Inoltre, il flag SYN impostato può essere utilizzato insieme al protocollo TCP, che non verrà mai registrato a causa dell'handshake a tre vie incompleto. Questo può essere fatto utilizzando quanto segue:



$sudo nmap -sS -P0192.168.1.115

Si noti che l'output è un elenco di porte aperte perché è abbastanza affidabile con la scansione della connessione TCP. Nei file di registro, non lascia alcuna traccia. Il tempo impiegato per eseguire questa scansione, secondo Nmap, è stato di soli 0,42 secondi.

3. Scansioni alternative

Puoi anche provare la scansione UDP con l'aiuto del protocollo UBP basato sul sistema. Puoi anche eseguire la scansione Null, che è un TCP senza flag; e la scansione di Natale, che è un pacchetto TCP con i flag impostati P, U e F. Tuttavia, tutte queste scansioni producono risultati inaffidabili.

$sudo nmap -suo -P010.0.2.15

$sudo nmap -sN -P010.0.2.15

$sudo nmap -sX -P010.0.2.15

4. Scendi sotto la soglia

Il firewall o il sistema di rilevamento delle intrusioni di rete avviserà l'amministratore della scansione perché queste scansioni non vengono registrate. Quasi tutti i sistemi di rilevamento delle intrusioni di rete e l'ultimo firewall rileveranno tali tipi di scansioni e li bloccheranno inviando il messaggio di avviso. Se il sistema di rilevamento delle intrusioni di rete o il firewall bloccano la scansione, catturerà l'indirizzo IP e la nostra scansione identificandolo.

SNORT è un famoso e popolare sistema di rilevamento delle intrusioni di rete. SNORT consiste nelle firme che sono costruite sul set di regole per rilevare le scansioni da Nmap. Il set di rete ha una soglia minima perché attraverserà un numero maggiore di porte ogni giorno. Il livello di soglia predefinito in SNORT è 15 porte al secondo. Pertanto, la nostra scansione non verrà rilevata se eseguiamo la scansione al di sotto della soglia. Per evitare al meglio i sistemi di rilevamento delle intrusioni di rete e i firewall, è necessario disporre di tutte le conoscenze a tua disposizione.

Fortunatamente, è possibile eseguire la scansione utilizzando velocità diverse con l'aiuto di Nmap. Per impostazione predefinita, Nmap è composto da sei velocità. Queste velocità possono essere modificate con l'aiuto del -T interruttore, insieme al nome o al numero della velocità. Le seguenti sei velocità sono:

paranoico0, subdolo1, educato2, normale3, aggressivo4, pazzo5

Le velocità paranoiche e subdole sono le più lente, ed entrambe sono al di sotto della soglia di SNORT per varie scansioni delle porte. Usa il seguente comando per scansionare a velocità subdola:

$nmap -sS -P0 -Tsubdolo 192.168.1.115

Qui, la scansione supererà il sistema di rilevamento delle intrusioni di rete e il firewall senza essere rilevata. La chiave è mantenere la pazienza durante questo processo. Alcune scansioni, come la scansione della velocità subdola, impiegheranno 5 ore per indirizzo IP, mentre la scansione predefinita richiederà solo 0,42 secondi.

Conclusione

Questo articolo ti ha mostrato come eseguire una scansione invisibile usando lo strumento Nmap (Network Mapper) in Kali Linux. L'articolo ti ha anche mostrato come lavorare con diversi attacchi stealth in Nmap.