Phenquestions
JáÚvod do připojení TCP a SYN
Při čtení tohoto článku nezapomeňte na následující definice:
Paket SYN: je paket vyžadující nebo potvrzující synchronizaci připojení.
Paket ACK: je paket potvrzující přijetí paketu SYN.
RST paket: je paket informující o pokusu o připojení by měl být vyřazen.
Obvykle, když se připojí dvě zařízení, jsou spojení navázána pomocí procesu zvaného třícestné podání ruky který se skládá ze 3 počátečních interakcí: první žádost o připojení ze strany klienta nebo zařízení požadujícího připojení, druhá potvrzení zařízení, ke kterému je připojení požadováno, a na třetím místě konečné potvrzení ze zařízení, které požadovalo připojení, jako:
-"Hej, slyšíš mě?"?, můžeme se setkat?“ (SYN paket vyžadující synchronizaci)
-"Ahoj!, vidím tě!, se můžeme setkat" (Kde „vidím vás“ je paket ACK, „můžeme se setkat“ paket SYN)
-"Skvělý!“ (Balíček ACK)
Ve srovnání výše ukazuje, jak a TCP spojení je založeno, první zařízení se zeptá druhého zařízení, zda detekuje požadavek a zda mohou navázat spojení, druhé zařízení potvrdí, že jej dokáže detekovat a že je k dispozici pro připojení, pak první zařízení potvrdí potvrzení o přijetí.
Poté je navázáno připojení, jak je vysvětleno v grafice v Základní typy skenování Nmap, tento proces má problém třetí handshake, konečné potvrzení, obvykle zanechá protokol připojení na zařízení, ke kterému jste připojení požadovali, pokud skenujete cíl bez povolení nebo chcete otestovat bránu firewall nebo systém detekce narušení (IDS), možná se budete chtít vyhnout potvrzení, abyste zabránili protokolu, který zahrnuje vaši IP adresu, nebo otestovat schopnost vašeho systému detekovat interakci mezi systémy navzdory neexistenci navázaného připojení, tzv TCP spojení nebo Připojit skenování. Toto je tajný sken.
Toho lze dosáhnout nahrazením Připojení TCP / Prohledat připojení pro SYN připojení. Připojení SYN vynechá konečné potvrzení a nahradí jej za RST balíček. Pokud nahradíme připojení TCP, tři handshake připojení, pro připojení SYN by byl příklad:
-"Hej, slyšíš mě?"?, můžeme se setkat?“ (SYN paket vyžadující synchronizaci)
-"Ahoj!, vidím tě!, se můžeme setkat" (Kde „vidím vás“ je paket ACK, „můžeme se setkat“ paket SYN)
-"Promiň, omylem jsem ti poslal požadavek, zapomeň na něj." (RST paket)
Výše uvedený příklad ukazuje připojení SYN, které nevytváří připojení na rozdíl od připojení TCP nebo Připojit skenování, na druhém zařízení proto není přihlášen žádný protokol o připojení ani vaše IP adresa protokolována.
Praktické příklady připojení TCP a SYN
Nmap nepodporuje SYN (-sS) připojení bez oprávnění, pro odesílání požadavků SYN musíte být root, a pokud jste root, jsou ve výchozím nastavení SYN. V následujícím příkladu můžete vidět pravidelnou podrobnou kontrolu proti linuxu.lat jako běžný uživatel:
nmap -v linux.lat
Jak vidíte, říká se „Zahájení skenování připojení".
V dalším příkladu je kontrola prováděna jako root, jedná se tedy ve výchozím nastavení o kontrolu SYN:
nmap -v linux.lat
A jak vidíte, tentokrát se říká „Zahajuje se SYN Stealth Scan„, Spojení jsou po linuxu přerušena.lat poslala odpověď ACK + SYN na počáteční požadavek SYN od Nmapu.
Nmap NULL Scan (-sN)
Přes odeslání RST paket zabraňující připojení, při přihlášení může být SYN sken detekován firewally a systémy detekce vniknutí (IDS). Existují další techniky k provádění nenápadných skenů pomocí Nmap.
Nmap funguje tak, že analyzuje odpovědi paketů od cíle, porovnává je s pravidly protokolů a interpretuje je. Nmap umožňuje falešné pakety generovat správné odpovědi odhalující jejich povahu, například zjistit, zda je port skutečně uzavřen nebo filtrován bránou firewall.
Následující příklad ukazuje a NULA skenování, které neobsahuje SYN, ACK nebo RST balíčky.
Když děláte NULA skenování Nmap dokáže interpretovat 3 výsledky: Otevřít | Filtrováno, Zavřeno nebo Filtrovaný.
Otevřít | Filtrováno: Nmap nemůže určit, zda je port otevřený nebo filtrovaný firewallem.
Zavřeno: Port je uzavřen.
Filtrovaný: Port je filtrován.
To znamená při provádění a NULA skenování Nmap neví, jak se odlišit od otevřených a filtrovaných portů v závislosti na odezvě brány firewall nebo nedostatečné odezvě, proto pokud je port otevřený, dostanete jej jako Otevřít | Filtrováno.
V následujícím příkladu port 80 linuxu.lat je skenován s NULL skenováním, s výřečností.
nmap -v -sN -p 80 linux.lat
Kde:
nmap = volá program
-proti = instruuje nmap, aby skenoval s výřečností
-sN = instruuje nmap, aby spustil NULL skenování.
-p = předpona pro určení portu, který má být skenován.
linux.lat = je cíl.
Jak ukazuje následující příklad, můžete přidat možnosti -sv zjistit, zda je port zobrazený jako otevřený | filtrovaný ve skutečnosti otevřený, ale přidání tohoto příznaku může mít za následek snazší detekci skenování cílem, jak je vysvětleno v knize Nmap.
Kde:
nmap = volá program
-proti = instruuje nmap, aby skenoval s výřečností
-sN = instruuje nmap, aby spustil NULL skenování.
-sv =
-p = předpona pro určení portu, který má být skenován.
linux.lat = je cíl.
Jak vidíte, na posledním snímku obrazovky Nmap odhaluje skutečný stav portu, ale obětováním nedetekování skenování.
Doufám, že vám tento článek připadal užitečný, abyste se mohli seznámit s Nmap Stealth Scan, sledujte LinuxHint.com pro další tipy a aktualizace pro Linux a síťové připojení.
Související články:
- příznaky nmap a co dělají
- nmap ping zamést
- síťové skenování nmap
- Použití skriptů nmap: Uchopení banneru Nmap
- Jak vyhledávat služby a chyby zabezpečení pomocí Nmapu
