Phenquestions
- Úvod do nečinného skenování Nmap
- Nalezení zombie zařízení
- Provádění nečinného skenování Nmap
- Závěr
- Související články
Úvod do nečinného skenování Nmap
Poslední dva výukové programy publikované na Linuxu Nápověda o Nmapu byla zaměřena na nenápadné metody skenování včetně SYN skenování, NULL a Xmas skenování. I když jsou tyto metody snadno detekovány branami firewall a systémy detekce narušení, jsou impozantním způsobem, jak se didakticky dozvědět něco málo o Internetový model nebo Internet Protocol Suite, tato čtení jsou také nutností, než se naučíte teorii Idle Scan, ale není nutností se naučit, jak ji prakticky aplikovat.
Idle Scan vysvětlené v tomto tutoriálu je sofistikovanější technikou využívající štít (zvaný Zombie) mezi útočníkem a cílem, pokud je sken detekován obranným systémem (firewall nebo IDS), bude to obviňovat spíše intermediální zařízení (zombie) než počítač útočníka.
Útok v zásadě spočívá v padělání štítu nebo prostředního zařízení. Je důležité zdůraznit, že nejdůležitějším krokem v tomto typu útoku není provedení proti cíli, ale nalezení zombie zařízení. Tento článek se nezaměřuje na obrannou metodu, u obranných technik proti tomuto útoku máte zdarma přístup k příslušné části v knize Prevence narušení a aktivní reakce: Nasazení sítě a hostitele IPS.
Kromě aspektů sady Internet Protocol Suite popsaných v základech Nmap, Nmap Stealth Scan a Xmas Scan, abyste pochopili, jak funguje Idle Scan, musíte vědět, jaké je ID IP. Každý odeslaný datagram TCP má jedinečné dočasné ID, které umožňuje fragmentaci a zadní sestavení fragmentovaných paketů na základě tohoto ID, které se nazývá IP ID. IP ID se bude postupně zvyšovat podle počtu odeslaných paketů, takže na základě čísla IP ID se můžete dozvědět počet paketů odeslaných zařízením.
Když pošlete nevyžádaný paket SYN / ACK, bude odpovědí paket RST pro resetování připojení, tento paket RST bude obsahovat číslo IP ID. Pokud nejprve odešlete nevyžádaný paket SYN / ACK do zařízení zombie, bude reagovat paketem RST zobrazujícím jeho IP ID, druhým krokem je zfalšovat toto IP ID a odeslat padělaný SYN paket do cíle, což vám bude jsou zombie, cíl bude reagovat (nebo ne) na zombie, ve třetím kroku pošlete zombie nový SYN / ACK, abyste znovu dostali balíček RST, abyste analyzovali zvýšení IP ID.
Otevřené porty:
| KROK 1 Pošlete nevyžádaný SYN / ACK zařízení zombie a získáte paket RST zobrazující ID zombie IP. | KROK 2 Pošlete padělaný paket SYN, který se vydává za zombie, takže cíl bude reagovat na nevyžádaný SYN / ACK zombie, takže bude odpovídat na nový aktualizovaný RST. | KROK 3 Zašlete zombie nový nevyžádaný SYN / ACK za účelem získání paketu RST k analýze jeho nového aktualizovaného ID IP. |
 |  |  |
Pokud je port cíle otevřený, odpoví zombie zařízení pomocí paketu SYN / ACK a povzbudí zombie k odpovědi pomocí RST paketu, což zvyšuje jeho IP ID. Poté, když útočník pošle zombie znovu SYN / ACK, bude IP ID zvýšeno o +2, jak je uvedeno v tabulce výše.
Pokud je port uzavřen, cíl nebude posílat paket SYN / ACK zombie, ale RST a jeho IP ID zůstane stejné, když útočník pošle nové ACK / SYN zombie, aby zkontroloval své IP ID, bude být zvýšeno pouze o +1 (kvůli ACK / SYN zaslanému zombie, bez zvýšení provokovaným cílem). Viz tabulka níže.
Uzavřené porty:
| KROK 1 Stejné jako výše | KROK 2 V tomto případě cíl odpoví zombie pomocí RST paketu namísto SYN / ACK, čímž zabrání zombie odeslat RST, což může zvýšit jeho IP ID. | KROK 2 Útočník pošle SYN / ACK a zombie odpoví pouze zvýšením při interakci s útočníkem a ne s cílem. |
 |  |  |
Když je port filtrován, cíl vůbec neodpoví, ID IP také zůstane stejné, protože nebude provedena žádná odpověď RST a když útočník pošle zombie nový SYN / ACK, aby analyzoval ID IP, výsledek bude stejné jako u uzavřených portů. Na rozdíl od skenování SYN, ACK a Xmas, které nedokážou rozlišit mezi některými otevřenými a filtrovanými porty, tento útok nedokáže rozlišit mezi uzavřenými a filtrovanými porty. Viz tabulka níže.
Filtrované porty:
| KROK 1 Stejné jako výše | KROK 2 V takovém případě neodpovídá cíl, který by zabraňoval zombie v odesílání RST, což by mohlo zvýšit jeho IP ID. | KROK 3 Stejné jako výše |
 |  |  |
Nalezení zombie zařízení
Nmap NSE (Nmap Scripting Engine) poskytuje skript IPIDSEQ pro detekci zranitelných zařízení zombie. V následujícím příkladu se skript používá ke skenování portu 80 náhodných 1000 cílů k vyhledání zranitelných hostitelů, zranitelní hostitelé jsou klasifikováni jako Přírůstkové nebo malý endian přírůstkový. Další příklady použití NSE, i když nesouvisí s Idle Scan, jsou popsány a zobrazeny na stránce Jak vyhledávat služby a chyby zabezpečení pomocí Nmap a Použití skriptů nmap: Uchopení banneru Nmap.
Příklad IPIDSEQ k náhodnému nalezení kandidátů na zombie:
nmap -p80 --script ipidseq -iR 1000 
Jak vidíte, bylo nalezeno několik zranitelných hostitelů zombie kandidátů ALE všichni jsou falešně pozitivní. Nejobtížnějším krokem při provádění nečinného skenování je nalezení zranitelného zařízení zombie, což je obtížné z mnoha důvodů:
- Mnoho ISP blokuje tento typ skenování.
- Většina operačních systémů přiděluje IP ID náhodně
- Dobře nakonfigurované brány firewall a honeypoty se mohou vrátit falešně pozitivní.
V takových případech se při pokusu o provedení nečinného skenování zobrazí následující chyba:
"… Nelze použít, protože nevrátila žádnou z našich sond - možná je nefunkční nebo ohnivzdorná.
UKONČENÍ!“
Pokud budete mít v tomto kroku štěstí, najdete starý systém Windows, starý systém IP kamer nebo starou síťovou tiskárnu, tento poslední příklad doporučuje kniha Nmap.
Při hledání zranitelných zombie možná budete chtít překročit Nmap a implementovat další nástroje, jako je Shodan a rychlejší skenery. Můžete také spustit náhodné kontroly detekující verze a vyhledat možný zranitelný systém.
Provádění nečinného skenování Nmap
Všimněte si, že následující příklady nejsou vyvíjeny v reálném scénáři. Pro tento výukový program byla zombie systému Windows 98 nastavena prostřednictvím VirtualBoxu, který je cílem Metasploitable také pod VirtualBoxem.
Následující příklady přeskakují zjišťování hostitelů a dávají pokyny nečinnému skenování pomocí IP 192.168.56.102 jako zařízení zombie pro skenování portů 80.21.22 a 443 cíle 192.168.56.101.
nmap -Pn -sI 192.168.56.102 -p80,21,22,443 192.168.56.101 
Kde:
nmap: volá program
-Pn: přeskočí objev hostitele.
-sI: Nečinné skenování
192.168.56.102: Windows 98 zombie.
-p80,21,22,443: dává pokyn ke skenování zmíněných portů.
192.68.56.101: je Metasploitable cíl.
V následujícím příkladu je změněna pouze volba definující porty pro -p- instrukci Nmap pro skenování nejběžnějších 1000 portů.
nmap -sI 192.168.56.102 -Pn -p- 192.168.56.101
Závěr
V minulosti bylo největší výhodou nečinného skenování zůstat v anonymitě a vytvořit identitu zařízení, které nebylo nefiltrováno nebo bylo důvěryhodné obranným systémům, obě použití se zdají být zastaralá kvůli obtížnosti najít zranitelné zombie (zatím , je to samozřejmě možné). Zůstat v anonymitě pomocí štítu by bylo praktičtější pomocí veřejné sítě, zatímco je nepravděpodobné, že sofistikované brány firewall nebo IDS budou kombinovány se starými a zranitelnými systémy jako důvěryhodné.
Doufám, že vám tento návod pro Nmap Idle Scan připadal užitečný. Pokračujte v LinuxHintu, kde najdete další tipy a aktualizace pro Linux a sítě.
Související články:
- Jak vyhledávat služby a chyby zabezpečení pomocí Nmapu
- Nmap Stealth Scan
- Traceroute s Nmap
- Použití skriptů nmap: Uchopení banneru Nmap
- síťové skenování nmap
- nmap ping zamést
- příznaky nmap a co dělají
- Iptables pro začátečníky
