Cum face nmap o scanare zombie și de momeală? (Securitatea informațiilor, Nmap)

Juicy a intrebat.

Învățăm nmap în cursul meu de hacking etic. Ni s-a arătat cum putem folosi nmap pentru a efectua o scanare zombie:

nmap -PN -sI zombieIP targetIP

și decoy scan:

nmap -p 135 -D decoyIP targetIP

Am înțeles ce fac, dar lectorul nu a intrat în detalii despre cum funcționează. Sunt curios să înțeleg, cum anume îi poate spune nmap lui zombieIP (sau decoyIP) să efectueze o scanare pe targetIP?

Comentarii

  • NMAP Official Book este o lectură excelentă. Descompune totul și explică mecanica din spatele NMAP, precum și scanarea porturilor în general. –  > Por Rață de cauciuc.
  • @RubberDuck Bună sugestie! O mare parte din carte este disponibilă online. Vă rugăm să rețineți că numele programului este Nmap, nu NMAP. –  > Por bonsaiviking.
2 răspunsuri
bonsaiviking

Ideea de bază a unui Scanare zombie sau inactivitate este de a trimite pachete cu sursă falsă către țintă, apoi de a observa anumite schimbări de stare în stiva TCP/IP a mașinii cu adresa sursă falsă. Metoda originală, descoperită în 1998, a folosit câmpul IP ID pentru a observa starea.

Metoda Nmap -sI Idle Scan este o bună implementare care este capabilă să interogheze gazda Zombie/Idle pentru a determina algoritmul său de incrementare a câmpului IP ID; în unele cazuri, acesta se incrementează cu 2 sau cu 256. Depinde de utilizator să aleagă o gazdă Zombie adecvată. Efectuând o scanare cu ajutorul funcției -O (amprentare OS) și -v (verbose), utilizatorul poate găsi mașinile care au o secvență IP ID incrementală, apoi le poate ținti cu Nping sau un alt instrument de creare de pachete pentru a le identifica pe cele care nu se confruntă cu un trafic foarte mare. Partea „Idle” a scanării înseamnă că Zombie trebuie să fie în mare parte inactiv (nu comunică cu alte gazde) pentru ca scanarea să funcționeze. În cele din urmă, scanarea se realizează cu ajutorul unei comenzi așa cum ați postat: nmap -Pn -sI zombieIP targetIP

Tehnica se desfășoară cam așa:

  1. Nmap sondează Zombie pentru a determina clasa de secvență IP ID și valoarea curentă pe care o folosește.
  2. Apoi, Nmap trimite pachete TCP SYN către diferite porturi de pe țintă, dar falsifică adresa sursă pentru a fi cea a zombiului.
  3. În timpul scanării, Nmap sondează în permanență Zombie pentru a afla câte pachete a trimis. Așteptându-se la un pachet per sondă, dacă constată că au fost trimise două pachete, poate presupune că celălalt a fost un pachet RST ca răspuns la SYN/ACK al țintei, indicând un port deschis.

În versiunea 6.45, Nmap a adăugat capacitatea de a face Scanări în gol pe IPv6. Tehnica este similară, dar utilizează în schimb câmpul IPv6 Fragmentation ID. Tehnica a fost descoperită de Mathias Morbitzer, și va fi disponibilă în următoarea versiune a Nmap.


Scanările Decoy sunt o tehnică mult mai puțin interesantă. Toate pachetele provin de la mașina de scanare, dar unele au adrese sursă falsificate. Orice răspuns la aceste surse falsificate nu va ajunge la scanerul dumneavoastră, astfel încât nu pot fi folosite pentru a determina stările porturilor. Această tehnică servește doar pentru a încurca detectarea scanării porturilor și nu oferă nicio informație în afara unei scanări obișnuite.

paj28

Tehnicile de scanare sunt explicate foarte bine în manualul nmap: Tehnici de scanare a porturilor

Este interesant să rulați Wireshark în timp ce executați o scanare de port – puteți vedea exact pachetele trimise și primite și puteți afla cum funcționează cu adevărat.

Comentarii

  • Sau rulați pur și simplu nmap cu ajutorul comenzii --packet-trace flag… Nu este nevoie de Wireshark. – user10211
  • să o rulați pe o mașină țintă ? asta e foarte tare, mulțumesc pentru pont. –  > Por cyber8200.
  • @cyber8200 – Am vrut să spun să-l rulați pe mașina locală, dar da, într-un mediu de laborator îl puteți rula și pe mașină țintă –  > Por paj28.

Tags: