Phenquestions
- Uvod v Nmap Idle Scan
- Iskanje naprave zombi
- Izvajanje Nmap Idle Scan
- Zaključek
- Povezani članki
Uvod v Nmap Idle Scan
Zadnji dve vadnici, objavljeni na LinuxHint o Nmap, sta bili osredotočeni na prikrite metode skeniranja, vključno s SYN scan, NULL in Xmas scan. Medtem ko te metode zlahka zaznajo požarni zidovi in sistemi za zaznavanje vdorov, so mogočen način, da se didaktično malo naučite o Internetni model ali Internet Protocol Suite, ta odčitki so tudi nujni pred učenjem teorije za skeniranje v prostem teku, ne pa tudi, da se naučite, kako jo praktično uporabiti.
Idle Scan, razložen v tej vadnici, je bolj izpopolnjena tehnika z uporabo ščita (imenovanega Zombi) med napadalcem in ciljem, če bo skeniranje zaznal obrambni sistem (požarni zid ali IDS), bo prej kriv za vmesno napravo (zombi) kot napadalni računalnik.
Napad je v osnovi sestavljen iz kovanja ščita ali vmesne naprave. Pomembno je poudariti, da najpomembnejši korak pri tej vrsti napada ni, da se izvede proti cilju, ampak da se najde zombi naprava. Ta članek se ne bo osredotočil na obrambno metodo, saj lahko do obrambnih tehnik pred tem napadom brezplačno dostopate do ustreznega oddelka v knjigi Preprečevanje vdorov in aktivni odziv: razmestitev omrežnih in gostiteljskih IPS.
Poleg vidikov Internet Protocol Suite, ki so opisani v Nmap Basics, Nmap Stealth Scan in Xmas Scan, da bi razumeli, kako deluje Idle Scan, morate vedeti, kaj je ID IP. Vsak poslani datagram TCP ima edinstven začasni ID, ki omogoča razdrobljenost in poznejšo ponovno sestavljanje razdrobljenih paketov na podlagi tega ID, imenovan IP ID. ID IP se bo postopoma povečeval glede na število poslanih paketov, zato lahko na podlagi številke IP ID izveste količino paketov, ki jih pošlje naprava.
Ko pošljete nezaželen paket SYN / ACK, bo odgovor RST paket za ponastavitev povezave, ta paket RST bo vseboval številko IP ID. Če najprej pošljete nezaželen paket SYN / ACK v napravo zombi, se ta odzove s paketom RST, ki prikazuje svoj ID IP, drugi korak pa je ponarejanje tega ID-ja ID za pošiljanje ponarejenega paketa SYN na cilj, zaradi česar vam verjame so zombi, se bo cilj odzval (ali ne) zombiju, v tretjem koraku pa pošljete nov SYN / ACK zombiju, da ponovno dobi paket RST za analizo povečanja ID-ja IP.
Odprta vrata:
| KORAK 1 Pošljite nezaželen SYN / ACK zombi napravi, da dobite paket RST, ki prikazuje ID zombi IP. | 2. KORAK Pošljite ponarejeni paket SYN, ki se predstavlja kot zombi, zaradi česar se cilj odzove neželenemu SYN / ACK zombiju, da odgovori na nov posodobljeni RST. | 3. KORAK Pošljite novo nezaželeno SYN / ACK zombiju, da bo prejel paket RST za analizo novega posodobljenega ID-ja IP. |
 |  |  |
Če so ciljna vrata odprta, bo zombi napravi odgovoril s paketom SYN / ACK, ki bo zombija spodbudil k odgovoru s paketom RST, ki bo povečal svoj IP ID. Ko bo napadalec zombiju znova poslal SYN / ACK, se bo ID IP povečal za +2, kot je prikazano v zgornji tabeli.
Če so vrata zaprta, cilj zombiju ne bo poslal paketa SYN / ACK, ampak RST in njegov ID IP bo ostal enak, ko bo napadalec zombiju poslal nov ACK / SYN, da preveri svoj IP ID, bo povečati samo +1 (zaradi ACK / SYN, ki ga pošlje zombi, brez povečanja, ki ga izzove cilj). Glej spodnjo tabelo.
Zaprta vrata:
| KORAK 1 Enako kot zgoraj | 2. KORAK V tem primeru cilj odgovori zombiju s paketom RST namesto s SYN / ACK, kar preprečuje zombiju, da pošlje RST, kar lahko poveča njegov IP ID. | 2. KORAK Napadalec pošlje SYN / ACK in zombi odgovarja le s povečanji, ki se pojavijo med interakcijo z napadalcem in ne s ciljem. |
 |  |  |
Ko so vrata filtrirana, se cilj sploh ne bo odzval, tudi ID IP bo ostal enak, saj se ne bo odzval RST in ko bo napadalec zombiju poslal nov SYN / ACK za analizo ID-ja IP, bo rezultat enako kot pri zaprtih vratih. V nasprotju s skeniranji SYN, ACK in Xmas, ki ne morejo razlikovati med nekaterimi odprtimi in filtriranimi vrati, ta napad ne more razlikovati med zaprtimi in filtriranimi vrati. Glej spodnjo tabelo.
Filtrirana vrata:
| KORAK 1 Enako kot zgoraj | 2. KORAK V tem primeru cilj nima odgovora, ki preprečuje zombiju, da pošlje RST, kar lahko poveča njegov IP ID. | 3. KORAK Enako kot zgoraj |
 |  |  |
Iskanje naprave zombi
Nmap NSE (Nmap Scripting Engine) ponuja skript IPIDSEQ za odkrivanje ranljivih zombi naprav. V naslednjem primeru se skript uporablja za skeniranje vrat 80 naključnih 1000 ciljev za iskanje ranljivih gostiteljev, ranljivi gostitelji so razvrščeni kot Inkrementalni ali malo endijski prirastek. Dodatni primeri uporabe NSE, kljub nepovezanemu s pregledom v prostem teku, so opisani in prikazani v poglavju Kako iskati storitve in ranljivosti s pomočjo Nmap in Uporaba skriptov nmap: Nmap banner grab.
Primer IPIDSEQ za naključno iskanje kandidatov za zombije:
nmap -p80 --script ipidseq -iR 1000 
Kot lahko vidite, je bilo najdenih več ranljivih gostiteljev zombi kandidatov AMPAK vsi so lažno pozitivni. Najtežji korak pri pregledovanju v prostem teku je najti ranljivo zombi napravo, kar je težko zaradi številnih razlogov:
- Mnogi ponudniki internetnih storitev blokirajo to vrsto skeniranja.
- Večina operacijskih sistemov IP ID dodeli naključno
- Dobro konfigurirani požarni zidovi in vtičnice lahko vrnejo lažno pozitivne.
V takih primerih se pri poskusu izvedbe pregledovanja v prostem teku prikaže naslednja napaka:
“… Ni mogoče uporabiti, ker ni vrnil nobene od naših sond - morda je nedelujoč ali požarno obzidan.
ODSTOPANJE!"
Če imate v tem koraku srečo, boste našli stari sistem Windows, stari sistem IP kamer ali stari omrežni tiskalnik, ta zadnji primer priporoča knjiga Nmap.
Ko iščete ranljive zombije, boste morda želeli preseči Nmap in uporabiti dodatna orodja, kot so Shodan in hitrejši optični bralniki. Zaženete lahko tudi naključne preglede za odkrivanje različic, da poiščete možen ranljiv sistem.
Izvajanje Nmap Idle Scan
Naslednji primeri niso razviti v resničnem scenariju. V tej vadnici je bil z VirtualBoxom nastavljen zombi Windows 98, ki je bil cilj Metasploitable tudi pod VirtualBox.
Naslednji primeri preskočijo odkritje gostitelja in dajo navodila v načinu mirovanja z uporabo IP 192.168.56.102 kot naprava zombi za skeniranje vrat 80.21.22 in 443 cilja 192.168.56.101.
nmap -Pn -sI 192.168.56.102 -p80,21,22,443 192.168.56.101 
Kje:
nmap: pokliče program
-Pn: preskoči odkritje gostitelja.
-sI: Prosti pregled
192.168.56.102: Windows 98 zombi.
-p80,21,22,443: naroči skeniranje omenjenih vrat.
192.68.56.101: je Metasploitable cilj.
V naslednjem primeru je spremenjena samo možnost definiranja vrat za -p- navodilo Nmap za skeniranje najpogostejših 1000 vrat.
nmap -sI 192.168.56.102 -Pn -p- 192.168.56.101
Zaključek
V preteklosti je bila največja prednost skeniranja v prostem teku, da ostane anonimna in da ponaredi identiteto naprave, ki ni bila nefiltrirana ali jo je obrambni sistem lahko zaupal, saj sta obe uporabi zastareli zaradi težav pri iskanju ranljivih zombijev (še , seveda je mogoče). Ostanki anonimnosti s pomočjo ščita bi bili bolj uporabni z uporabo javnega omrežja, medtem ko je verjetno, da bodo prefinjeni požarni zidovi ali IDS kombinirani s starimi in ranljivimi sistemi kot vredni zaupanja.
Upam, da vam je bila ta vadnica o Nmap Idle Scan koristna. Še naprej sledite LinuxHint za več nasvetov in posodobitev o Linuxu in mreženju.
Povezani članki:
- Kako iskati storitve in ranljivosti z Nmap
- Nmap Stealth Scan
- Traceroute z Nmap
- Uporaba skriptov nmap: Nmap banner grab
- skeniranje omrežja nmap
- nmap ping pometanje
- nmap zastavice in kaj počnejo
- Iptables za začetnike
