Narzędziem używanym do tego celu jest Nmap. Nmap rozpoczyna wysyłanie spreparowanych pakietów do docelowego systemu. Następnie zobaczy odpowiedź systemu, w tym uruchomiony system operacyjny oraz otwarte porty i usługi. Niestety, ani dobry firewall, ani silny system wykrywania włamań do sieci nie wykryją i nie zablokują tego typu skanów.
Omówimy niektóre z najlepszych metod, które pomogą w przeprowadzaniu ukrytych skanów bez wykrycia lub zablokowania. Ten proces obejmuje następujące kroki:
- Skanuj za pomocą protokołu TCP Connect
- Skanuj za pomocą flagi SYN
- Skany alternatywne
- Spadek poniżej progu
1. Skanuj za pomocą protokołu TCP
Najpierw rozpocznij skanowanie sieci przy użyciu protokołu połączenia TCP. Protokół TCP jest skutecznym i niezawodnym skanowaniem, ponieważ otworzy połączenie z systemem docelowym. Pamiętaj, że -P0 służy do tego celu. ten -P0 switch ograniczy wysyłany domyślnie ping Nmapa, jednocześnie blokując różne zapory sieciowe.
$sudo nmap -NS -P0192.168.1.115
Z powyższego rysunku widać, że zostanie zwrócony najbardziej efektywny i wiarygodny raport o otwartych portach. Jednym z głównych problemów podczas tego skanowania jest włączenie połączenia wzdłuż TCP, co jest trójstronnym uzgadnianiem systemu docelowego. To zdarzenie może zostać zarejestrowane przez zabezpieczenia systemu Windows. Jeśli przypadkiem włamanie się powiedzie, administrator systemu będzie mógł łatwo zorientować się, kto dokonał włamania, ponieważ Twój adres IP zostanie ujawniony systemowi docelowemu.
2. Skanuj za pomocą flagi SYN
Główną zaletą korzystania ze skanowania TCP jest to, że włącza połączenie, czyniąc system łatwiejszym, bardziej niezawodnym i ukrytym. Ponadto zestaw flag SYN może być używany wraz z protokołem TCP, który nigdy nie zostanie zarejestrowany z powodu niepełnego uzgadniania trójstronnego. Można to zrobić za pomocą:
$sudo nmap -SS -P0192.168.1.115
Zauważ, że wyjściem jest lista otwartych portów, ponieważ jest to dość niezawodne podczas skanowania połączenia TCP. W plikach dziennika nie pozostawia żadnego śladu. Czas potrzebny na wykonanie tego skanowania, według Nmapa, wyniósł tylko 0,42 sekundy.
3. Skany alternatywne
Możesz także wypróbować skanowanie UDP za pomocą protokołu UBP polegającego na systemie. Możesz także wykonać skanowanie zerowe, które jest TCP bez flag; oraz skanowanie Xmas, które jest pakietem TCP z ustawionymi flagami P, U i F. Jednak wszystkie te skanowania dają niewiarygodne wyniki.
$sudo nmap -jego -P010.0.2.15 
4. Spadek poniżej progu
Zapora sieciowa lub system wykrywania włamań do sieci powiadomi administratora o skanowaniu, ponieważ skany te nie są rejestrowane. Prawie każdy system wykrywania włamań do sieci i najnowsza zapora sieciowa wykryją tego typu skany i zablokują je, wysyłając wiadomość alertu. Jeśli system wykrywania włamań do sieci lub zapora sieciowa zablokuje skanowanie, przechwyci adres IP i nasze skanowanie, identyfikując go.
SNORT to znany, popularny system wykrywania włamań do sieci. SNORT składa się z sygnatur zbudowanych na podstawie zestawu reguł do wykrywania skanów z Nmapa. Zestaw sieciowy ma minimalny próg, ponieważ każdego dnia przechodzi przez większą liczbę portów. Domyślny poziom progu w SNORT to 15 portów na sekundę. Dlatego nasz skan nie zostanie wykryty, jeśli skanujemy poniżej progu. Aby lepiej unikać systemów wykrywania włamań do sieci i zapór sieciowych, konieczne jest posiadanie całej dostępnej wiedzy.
Na szczęście za pomocą Nmapa można skanować z różnymi prędkościami. Domyślnie Nmap składa się z sześciu prędkości. Prędkości te można zmienić za pomocą -T przełącznika wraz z nazwą lub numerem prędkości. Następujące sześć prędkości to:
paranoidalny0, podstępny1, grzeczny2, normalny3, agresywny4, obłąkany5Paranoidalne i podstępne prędkości są najwolniejsze i obie są poniżej progu SNORT dla różnych skanów portów. Użyj następującego polecenia, aby zeskanować w dół z podstępną prędkością:
$nmap -SS -P0 -Tpodstępny 192.168.1.115 
W tym przypadku skanowanie przejdzie przez system wykrywania włamań do sieci i zaporę sieciową bez wykrycia. Kluczem jest zachowanie cierpliwości podczas tego procesu. Niektóre skanowanie, takie jak skanowanie podstępne, zajmie 5 godzin na adres IP, podczas gdy skanowanie domyślne zajmie tylko 0,42 sekundy.
Wniosek
W tym artykule pokazano, jak wykonać ukryte skanowanie za pomocą narzędzia Nmap (Network Mapper) w Kali Linux. Artykuł pokazał również, jak pracować z różnymi atakami z ukrycia w Nmap.