- Úvod do internetového modelu
- Úvod do Nmapu
- Instalace Nmap na Debian
- Instalace Nmap ze zdrojů (všechny distribuce Linuxu)
- Základní typy skenování Nmap
- Fáze skenování Nmap
- Stavy portů Nmap
- Definování cílů pomocí Nmap
- Související články
Úvod do internetového modelu
Cílem současných částí je stručně a snadno popsat teorii, která stojí za Internetový model nebo Internet Protocol Suite (Ne model OSI). Zatímco někteří odborníci používali fyzickou vrstvu, tento výukový program ji ignoruje, protože ve skutečnosti nepatří do internetového modelu a je při používání Nmap zcela lhostejný. Pokud jste již obeznámeni s Internetový model můžete začít číst z Úvod do Nmapu.
Při komunikaci mezi zařízeními prostřednictvím sítě existují procesy zvané vrstvy, které se skládají z napětí produkovaného naším hardwarem, jako je síťová karta, až po kód vytvořený softwarem, se kterým interagujeme, jako je FTP server. Můžeme o tomto procesu uvažovat jako o druhu překladu (což ve skutečnosti není, protože každá vrstva přidává nové informace do „paketu“, kterým může být i rámec), překladu z binárních 0 a 1, bitů a rámců do kódu.
V rámci internetového modelu existují 4 vrstvy, vrstva odkazů, vrstva internetu, vrstva přenosu a vrstva aplikace. Úrovně vrstev neimplikují chronologické pořadí, ale úroveň složitosti. Komunikace při použití Nmap proti vzdálenému cíli začíná od Aplikační vrstva, pak pokračuje do Transportní vrstva, pak Internetová vrstva konečně Propojit vrstvu a pak cíl Propojit vrstvu, cíl Internetová vrstva, cíl Transportní vrstva a nakonec cíl Aplikační vrstva.
Co dělá každá vrstva?
Odkazová vrstva: the Propojit vrstvu je vrstva nejnižší úrovně volaného Internetový model, je to vrstva, která umožňuje našemu zařízení připojit se nebo komunikovat s místní sítí nebo hardwarem připojeným k naší síti, jako jsou počítače v místní síti, směrovače, rozbočovače nebo brány, které mají být později zpracovány další vrstvou, internetovou vrstvou. Tuto vrstvu lze také použít ke komunikaci mezi VPN (soukromé virtuální sítě). Společnost Nmap používá vrstvu odkazů k objevování hostitelů v naší místní síti ak řešení Propojit adresy vrstev jako MAC adresy zasláním žádostí prostřednictvím ARP protokol (Address Resolution Protocol) k vyhledání zařízení pomocí protokolu IPV4. Pro zařízení používající protokol IPV6 je protokolem Lay Layer NDP (Neighbor Discovery Protocol), který implementuje vylepšení oproti protokolu ARP. Linková vrstva nefunguje pro komunikaci mezi různými sítěmi, jako je internet, a její použití je pouze pro fyzické a virtuální místní sítě.
Internetová vrstva: na rozdíl od Propojit vrstvu, the Internetová vrstva, druhá úroveň vrstvy Internetový model, komunikuje mezi různými sítěmi, odtud název „Internet“, Což znamená síťové propojení. Hlavním protokolem internetové vrstvy je IP (internetový protokol) slouží k doručování paketů prostřednictvím sítí, protokolu ICMP (Internet Control Message Protocol) také patří do internetové vrstvy k diagnostice a hlášení chyb v komunikaci. Přestože protokol ICMP patří do internetové vrstvy, spolehlivost připojení se spoléhá na vrstvu třetí úrovně, na Transportní vrstva.
Transportní vrstva: vrstva třetí úrovně v rámci Internetový model je Transportní vrstva a jeho úkolem je použít správná pravidla a správu pro komunikaci mezi uzly, například vyhnout se přetížení nebo umožnit připojení k více uzlům současně (být úzce svázán s aplikační vrstvou). Jeho hlavním protokolem je TCP (Transmission Control Protocol) který poskytuje kvalitu připojení. The UDP (User Datagram Protocol) protokol také patří do transportní vrstvy, je rychlejší než TCP protokol, ale lhostejný k chybám, které vedou k nižšímu, ale bezpečnějšímu připojení.
Aplikační vrstva: zatímco vrstva čtvrté úrovně, Aplikační vrstva, používá ke komunikaci všechny výše zmíněné vrstvy a pokrývá vyšší úroveň protokolů jako HTTP, SSH, POP3, SMTP, FTP atd. Protokoly, které definují funkčnost aplikace. Aplikační vrstvu používá Nmap k určení verzí služeb a softwaru.
Následující obrázek shrnuje výše vysvětlené.
Úvod do Nmapu
Nmap (Network Mapper) je přední bezpečnostní skener, napsaný v C / C ++, je užitečné objevovat hostitele, mapovat a skenovat sítě, hostitele a porty a implementací NSE (Nmap Scripting Engine) můžete také detekovat zranitelná místa na vašem cíl (příklady najdete v části Související články).
Instalace Nmap na Debian
apt nainstalovat nmap
Instalace Nmapu ze zdrojů (všechny distribuce Linuxu)
Pro tento tutoriál nainstaluji aktuální verzi Nmap 7.80, pravděpodobně to bude při přečtení zastaralé, ujistěte se, že používáte poslední verzi, kterou si můžete stáhnout z https: // nmap.org / stáhnout.html a nahraďte „nmap-7.80.dehet.bz2“Zmíněn v tomto originálu pro ten správný.
Po zkopírování spuštění adresy URL souboru:
wget https: // nmap.org / dist / nmap-7.80.dehet.bz2
Extrahujte nmap spuštěním:
bzip2 -cd nmap-7.80.dehet.bz2 | tar xvf -
Poté zadejte adresář Nmap spuštěním „CD
./ konfigurovat
Po spuštění konfiguračního souboru spusťte udělat:
udělat
A nakonec spustit:
provést instalaci
Základní typy skenování Nmap
Pravidelné skenování Nmap se provádí pomocí skenování TCP a SYN. Když je proces skenování TCP, je navázáno spojení s cílem. Při skenování SYN je připojení zrušeno nebo přerušeno před navázáním.
Následující obrázek ukazuje, jak jsou navázána připojení: nejprve počítač (PC 1), který se pokouší navázat spojení, odešle paket SYN požadující synchronizaci cílového zařízení. Pokud je cílové zařízení (PC 2) k dispozici pro navázání připojení, odpoví jiným paketem SYN, aby umožnila synchronizaci, a paketem ACK (potvrdit) potvrzujícím přijetí prvního paketu SYN odeslaného počítačem, který o připojení požádal, pak počítač, který požadoval připojení (PC 1), odešle paket ACK potvrzující přijetí potvrzení SYN i ACK paketů zaslaných cílovým zařízením (PC 2.)
Když je navázáno připojení, je detekováno branami firewall a je přihlášeno, proto byla implementována kontrola SYN, kontrola SYN nebo Stealth odešle paket SYN a po přijetí cílových odpovědí místo odpovědi zpět pomocí paketu ACK odešle RST ( paket) zruší připojení před jeho navázáním, jak je znázorněno na následujícím obrázku:
Tímto způsobem není připojení protokolováno, ale musíte se vypořádat se systémy detekce narušení, které jsou schopné detekovat skenování SYN. Abyste se vyhnuli detekci, můžete použít tajné techniky skenování, které budou vysvětleny v následujících výukách.
Fáze skenování Nmap
Nmap prochází během procesu skenování 11 fází, z nichž některé jsou podle našich pokynů volitelné, například skripty před a po skenování se provádějí pouze v případě, že použijeme NSE.
- Předskenování skriptu: volba „Skript před skenováním“ volá skripty z Nmap Scripting Engine (NSE) pro fázi před skenováním, tato fáze probíhá pouze při použití NSE.
- Výčet cíle: V této fázi Nmap zpracovává informace o cílech ke skenování, jako jsou IP adresy, hostitelé, rozsahy IP atd.
- Zjišťování hostitelů: Nmap se učí, jaké cíle jsou online nebo jsou dosažitelné.
- Reverzní rozlišení DNS: Nmap hledá názvy hostitelů pro adresy IP.
- Skenování portů: Nmap objeví porty a jejich stav: otevřeno, Zavřeno nebo filtrovaný.
- Detekce verzí: v této fázi se nmap pokusí naučit verzi softwaru běžícího na otevřených portech objevených v předchozí fázi, například jakou verzi apache nebo ftp.
- Detekce OS: nmap se pokusí detekovat OS cíle.
- Traceroute: nmap objeví trasu cíle v síti nebo všechny trasy v síti.
- Skenování skriptů: Tato fáze je volitelná, v této fázi jsou spouštěny skripty NSE, skripty NSE lze spouštět před skenováním, během skenování a po něm, ale jsou volitelné.
- Výstup: Nmap nám ukazuje informace o shromážděných datech.
- Postskenování skriptů: volitelná fáze, pokud byly definovány skripty pro spuštění po skenování.
Další informace o fázích nmap najdete na https: // nmap.org / kniha / nmap-fáze.html
Státy přístavu Nmap
Při skenování služeb může Nmap hlásit až 6 stavů nebo podmínek skenovaných portů:
- Otevřeno: port je otevřený a aplikace přes něj naslouchá.
- Zavřeno: port je uzavřen, aplikace neposlouchá.
- Filtrovaný: brána firewall brání nmap v dosažení portu.
- Nefiltrováno: Port je přístupný, ale nmap nedokáže zkontrolovat jeho stav.
- Otevřít | filtrováno: Nmap není schopen určit, zda je port otevřený nebo filtrovaný.
- Uzavřeno | Filtrováno: Nmap není schopen určit, zda je port uzavřen nebo filtrován.
Definování cílů pomocí Nmap
Nmap je extrémně flexibilní a cíle můžete definovat různými způsoby.
Jednoduché skenování IP:
V tomto příkladu, abychom ukázali jednu kontrolu, prohledáme LinuxHint.com spuštěním:
nmap linuxint.com
Samozřejmě můžete definovat cíl i podle jeho IP adresy, LinuxHint.com IP je 64.91.238.144, syntaxe je stejná:
nmap 64.91.238.144
Jak vidíte, je stejný výstup.
Skenování rozsahu IP:
Rozsahy IP můžete také skenovat pomocí pomlček k definování rozsahu, následující příkaz bude skenovat z IP 192.168.0.1 až IP 192.168.0.20, zbytek bez skenování:
nmap 192.168.0.1-20
Jak vidíte, Nmap našel 3 živé hostitele v definovaném rozsahu.
Úplné oktetové skenování:
I když můžete použít pomlčku k označení rozsahu od 0 do 255, můžete také pomocí zástupného znaku (*) dát nmap pokyn ke kontrole rozsahu celého oktetu, jako v následujícím příkladu:
nmap 192.168.0.*
Náhodné skenování pomocí Nmap:
Můžete také instruovat Nmap, aby vygeneroval náhodný seznam cílů ke skenování, v následujícím příkladu dávám pokyn Nmapu ke generování 3 náhodných cílů ke skenování, je možné, že adresy vygenerované Nmapem nepatří k dostupnému hostiteli, Nmap ne ' Před vytvořením seznamu otestujte existenci nebo dostupnost těchto hostitelů.
nmap -iR3
Jak vidíte ze 3 náhodných cílů generovaných Nmapem, jeden existoval a Nmap prohledal 1000 portů a našel všechny filtrované firewallem.
Existuje více kombinací k definování cílů, například můžete povolit rozsahy ve více než jednom oktetu nebo zahrnout soubor se seznamem cílů, to bude vysvětleno v následujících výukách.
Pokračujte v LinuxHintu, kde najdete další tipy a aktualizace pro Linux a sítě.
Související články:
- Jak vyhledávat služby a chyby zabezpečení pomocí Nmapu
- Použití skriptů nmap: Uchopení banneru Nmap
- síťové skenování nmap
- nmap ping zamést
- příznaky nmap a co dělají