Durchführen von Stealth-Scans mit Nmap

Performing Stealth Scans With Nmap

Es gibt viele Herausforderungen, denen sich Hacker gegenübersehen, aber der Umgang mit Aufklärung ist eines der wichtigsten Probleme. Es ist wichtig, die Zielsysteme zu kennen, bevor Sie mit dem Hacken beginnen. Es ist wichtig, bestimmte Details zu kennen, z. B. welche Ports geöffnet sind, welche Dienste derzeit ausgeführt werden, wie die IP-Adressen lauten und welches Betriebssystem vom Ziel verwendet wird. Um mit dem Hacking-Prozess zu beginnen, ist es notwendig, all diese Informationen zu haben. In den meisten Fällen benötigen Hacker zusätzliche Zeit für die Aufklärung, anstatt sie sofort auszunutzen.

Das hierfür verwendete Tool heißt Nmap. Nmap beginnt damit, gestaltete Pakete an das Zielsystem zu senden. Es sieht dann die Antwort des Systems, einschließlich des Betriebssystems und der geöffneten Ports und Dienste. Aber leider können weder eine gute Firewall noch ein starkes Netzwerk-Intrusion-Detection-System solche Arten von Scans leicht erkennen und blockieren.



Wir werden einige der besten Methoden besprechen, um heimliche Scans durchzuführen, ohne entdeckt oder blockiert zu werden. Die folgenden Schritte sind in diesem Prozess enthalten:



  1. Scannen mit dem TCP Connect-Protokoll
  2. Scannen mit dem SYN-Flag
  3. Alternative Scans
  4. Unter die Schwelle fallen

1. Scannen mit dem TCP-Protokoll


Beginnen Sie zunächst mit dem Scannen des Netzwerks mithilfe des TCP-Verbindungsprotokolls. Das TCP-Protokoll ist ein effektiver und zuverlässiger Scan, da es die Verbindung zum Zielsystem öffnet. Denken Sie daran, dass die -P0 Dazu wird ein Schalter verwendet. Die -P0 switch wird den standardmäßig gesendeten Ping von Nmap zurückhalten und gleichzeitig verschiedene Firewalls blockieren.



$sudo nmap -NS -P0192.168.1.115

Aus der obigen Abbildung können Sie sehen, dass der effektivste und zuverlässigste Bericht über die offenen Ports zurückgegeben wird. Eines der Hauptprobleme bei diesem Scan besteht darin, dass die Verbindung über TCP aktiviert wird, was ein Drei-Wege-Handshake für das Zielsystem ist. Dieses Ereignis kann von der Windows-Sicherheit aufgezeichnet werden. Wenn der Hack zufällig erfolgreich ist, kann der Systemadministrator leicht erkennen, wer den Hack durchgeführt hat, da Ihre IP-Adresse an das Zielsystem weitergegeben wird.

2. Scannen mit dem SYN-Flag

Der Hauptvorteil der Verwendung des TCP-Scans besteht darin, dass die Verbindung aktiviert wird, indem das System einfacher, zuverlässiger und heimlicher wird. Außerdem kann das gesetzte SYN-Flag zusammen mit dem TCP-Protokoll verwendet werden, das aufgrund des unvollständigen Drei-Wege-Handshakes nie protokolliert wird. Dies kann wie folgt erfolgen:



$sudo nmap -sS -P0192.168.1.115

Beachten Sie, dass die Ausgabe eine Liste offener Ports ist, da sie beim TCP-Verbindungsscan ziemlich zuverlässig ist. In den Log-Dateien hinterlässt es keine Spur. Die Zeit für diesen Scan betrug laut Nmap nur 0,42 Sekunden.

3. Alternative Scans

Sie können auch den UDP-Scan mit Hilfe des systemabhängigen UBP-Protokolls ausprobieren. Sie können auch den Null-Scan durchführen, bei dem es sich um ein TCP ohne Flags handelt. und der Xmas-Scan, bei dem es sich um ein TCP-Paket mit den Flags P, U und F handelt. Alle diese Scans führen jedoch zu unzuverlässigen Ergebnissen.

$sudo nmap -es ist -P010.0.2.15

$sudo nmap -sN -P010.0.2.15

$sudo nmap -sX -P010.0.2.15

4. Unter die Schwelle fallen

Die Firewall oder das Network Intrusion Detection System benachrichtigt den Administrator über den Scan, da diese Scans nicht protokolliert werden. Fast jedes Netzwerk-Intrusion-Detection-System und die neueste Firewall erkennt solche Arten von Scans und blockiert sie durch Senden der Warnmeldung. Wenn das Netzwerk-Intrusion-Detection-System oder die Firewall den Scan blockiert, fängt es die IP-Adresse und unseren Scan ab, indem es sie identifiziert.

SNORT ist ein bekanntes und beliebtes Netzwerk-Intrusion Detection-System. SNORT besteht aus den Signaturen, die auf dem Regelsatz zum Erkennen von Scans von Nmap aufgebaut sind. Der Netzwerksatz hat einen Mindestschwellenwert, da er jeden Tag eine größere Anzahl von Ports durchläuft. Der Standardschwellenwert in SNORT beträgt 15 Ports pro Sekunde. Daher wird unser Scan nicht erkannt, wenn wir unterhalb des Schwellenwerts scannen. Um die Network Intrusion Detection Systeme und Firewalls besser zu vermeiden, ist es notwendig, Ihnen das gesamte Wissen zur Verfügung zu haben.

Glücklicherweise ist es mit Hilfe von Nmap möglich, mit verschiedenen Geschwindigkeiten zu scannen. Standardmäßig besteht Nmap aus sechs Geschwindigkeiten. Diese Geschwindigkeiten können mit Hilfe der -T Schalter, zusammen mit dem Geschwindigkeitsnamen oder der Nummer. Die folgenden sechs Geschwindigkeiten sind:

paranoid0, hinterhältig1, höflich2, normal3, aggressiv4, verrückt5

Die paranoiden und hinterhältigen Geschwindigkeiten sind die langsamsten und beide liegen unter der Schwelle von SNORT für verschiedene Port-Scans. Verwenden Sie den folgenden Befehl, um mit der hinterhältigen Geschwindigkeit nach unten zu scannen:

$nmap -sS -P0 -Thinterhältig 192.168.1.115

Hier wird der Scan am Netzwerk-Intrusion-Detection-System und an der Firewall vorbeigeführt, ohne entdeckt zu werden. Der Schlüssel ist, während dieses Prozesses Geduld zu bewahren. Einige Scans, wie der hinterhältige Geschwindigkeitsscan, dauern 5 Stunden pro IP-Adresse, während der Standardscan nur 0,42 Sekunden dauert.

Abschluss

In diesem Artikel wurde gezeigt, wie Sie mit dem Nmap-Tool (Network Mapper) in Kali Linux einen Stealth-Scan durchführen. Der Artikel zeigte Ihnen auch, wie Sie mit verschiedenen Stealth-Angriffen in Nmap arbeiten.