LabEx
AnmeldenKostenlos beitreten

Wie man diskrete Nmap-Scans durchführt, um bei der Cybersicherheit nicht entdeckt zu werden

CybersecurityCybersecurityBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

Im Bereich der Cybersicherheit (Cybersecurity) ist die Durchführung effektiver Netzwerkrecherchen von entscheidender Bedeutung, um die Sicherheitslage einer Organisation zu verstehen. Nmap, ein leistungsstarkes Open-Source-Netzwerkscanning-Tool, kann bei diesem Prozess ein wertvolles Instrument sein. Um jedoch die Entdeckung zu vermeiden und die Überraschungseffekt zu bewahren, ist es wichtig, diskrete Scanning-Techniken anzuwenden. In diesem Tutorial werden Sie durch die Schritte geführt, um diskrete Nmap-Scans durchzuführen und Cybersicherheitsbewertungen (Cybersecurity Assessments) effektiv zu meistern, ohne Alarm zu schlagen.

Einführung in Nmap und Netzwerkscanning

Was ist Nmap?

Nmap (Network Mapper) ist ein leistungsstarkes und vielseitiges Open-Source-Tool, das für die Netzwerkermittlung und Sicherheitsüberprüfung verwendet wird. Es wird von Netzwerkadministratoren, Sicherheitsexperten und ethischen Hackern weit verbreitet eingesetzt, um Informationen über Netzwerkknoten, Dienste und Sicherheitslücken zu sammeln.

Grundlagen des Netzwerkscannings

Netzwerkscanning ist der Prozess der Identifizierung aktiver Geräte, offener Ports und laufender Dienste in einem Netzwerk. Nmap bietet verschiedene Scanning-Techniken, um dies zu erreichen, darunter:

  1. TCP Connect Scan: Führt eine vollständige TCP-Dreischritt-Handshake durch, um festzustellen, ob ein Port geöffnet ist.
  2. SYN Scan: Sendet ein SYN-Paket und wartet auf eine SYN-ACK-Antwort, um festzustellen, ob ein Port geöffnet ist.
  3. UDP Scan: Sendet UDP-Pakete, um festzustellen, ob ein Port geöffnet ist und auf UDP-Traffic lauscht.
  4. Idle/Zombie Scan: Nutzt einen inaktiven oder "Zombie"-Host, um den Scan durchzuführen, was ihn diskreter macht.

Nmap-Scanning-Modi

Nmap bietet mehrere Scanning-Modi, um verschiedenen Anwendungsfällen gerecht zu werden:

  1. Basic Scan: Führt einen TCP Connect Scan auf den 1000 häufigsten Ports durch.
  2. Intense Scan: Scannt alle 65.535 TCP-Ports und führt eine Versionserkennung durch.
  3. Stealth Scan: Nutzt Techniken wie den SYN-Scan, um die Entdeckung durch Firewalls und IDS/IPS zu vermeiden.
  4. Comprehensive Scan: Kombiniert verschiedene Scanning-Techniken, um so viele Informationen wie möglich zu sammeln.
## Example: Basic Nmap Scan
nmap -sC -sV -oA basic_scan 192.168.1.1/24

Der obige Befehl führt einen grundlegenden TCP Connect Scan auf dem Netzwerk 192.168.1.0/24 durch, einschließlich Versionserkennung (-sV) und Standard-Nmap-Skripten (-sC), und speichert die Ausgabe in der Datei "basic_scan".

Diskrete Nmap-Scanning-Techniken für Verschleierung

Langsame Scans

Nmap bietet verschiedene Optionen, um den Scanning-Prozess zu verlangsamen und die Entdeckung durch Sicherheitssysteme zu vermeiden:

  1. Timing-Optionen: Verwenden Sie die Option -T<0-5>, um die Timing-Vorlage festzulegen, wobei 0 die langsamste und 5 die schnellste Einstellung ist.
  2. Verzögerungsoptionen: Verwenden Sie die Optionen -sS --max-rate <packets_per_second> oder -sS --max-parallelism <number_of_threads>, um die Scan-Geschwindigkeit zu steuern.
## Example: Slow TCP SYN Scan
nmap -sS -T2 --max-rate 10 -p- 192.168.1.1

Fragmentierte Pakete

Nmap kann Pakete in kleinere Fragmente aufteilen, um Firewalls und IDS/IPS zu umgehen, die möglicherweise so konfiguriert sind, dass sie große Pakete erkennen:

  1. IP-Fragmentierung: Verwenden Sie die Option -f oder --fragment, um Pakete in kleinere Fragmente aufzuteilen.
  2. MTU-Reduzierung: Verwenden Sie die Option --mtu <size>, um eine benutzerdefinierte Maximale Übertragungseinheit (Maximum Transmission Unit, MTU) für die Paketfragmentierung festzulegen.
## Example: Fragmented TCP SYN Scan
nmap -sS -f -p- 192.168.1.1

Idle/Zombie-Scans

Nmap's Idle/Zombie-Scan-Technik nutzt einen "inaktiven" oder "Zombie"-Host, um den Scan durchzuführen, so dass es scheint, als käme der Scan von diesem inaktiven Host:

  1. Identifizierung eines geeigneten Zombies: Finden Sie einen Host, der wahrscheinlich weniger überwacht wird, wie z. B. ein altes oder unbenutztes System.
  2. Scannen über den Zombie: Verwenden Sie die Option -sI <zombie_host:source_port>, um den Scan über den Zombie-Host durchzuführen.
## Example: Idle/Zombie Scan
nmap -sI zombie_host:1234 192.168.1.1

Täuschungsscans

Nmap kann den Scan von mehreren Quell-IP-Adressen starten, so dass es scheint, als kämen die Scans von verschiedenen Hosts:

  1. Verwendung von Täuschungshosts: Verwenden Sie die Option -D RND:10, um 10 zufällige Täuschungshosts in den Scan einzubeziehen.
  2. Spoofen von Quell-IPs: Verwenden Sie die Option -S <source_ip>, um die Quell-IP-Adresse zu spoofen.
## Example: Decoy Scan
nmap -D RND:10 -S 192.168.1.100 192.168.1.1

Vermeidung der Entdeckung bei Cybersicherheitsbewertungen

Das Bedrohungslandschaft verstehen

Bei Cybersicherheitsbewertungen ist es von entscheidender Bedeutung, die Bedrohungslandschaft und die Techniken zu verstehen, die Angreifer einsetzen, um Entdeckung zu vermeiden. Dies umfasst:

  1. Überwachung und Protokollierung: Verstehen Sie, wie die Sicherheitssysteme der Zielorganisation, wie Firewalls, IDS/IPS und SIEM, Netzwerkaktivitäten überwachen und protokollieren.
  2. Bedrohungsintelligenz: Halten Sie sich über die neuesten Angriffstrends, Techniken und Kompromissindikatoren (Indicators of Compromise, IoCs) auf dem Laufenden, die von Bedrohungsakteuren eingesetzt werden.

Implementierung von diskreten Techniken

Unter Nutzung der zuvor besprochenen Nmap-Scanning-Techniken können Sie verschiedene Strategien implementieren, um bei Cybersicherheitsbewertungen die Entdeckung zu vermeiden:

  1. Langsame und diskrete Scans: Verwenden Sie Timing- und Verzögerungsoptionen, um den Scanning-Prozess zu verlangsamen und das Risiko der Auslösung von Sicherheitswarnungen zu verringern.
  2. Fragmentierte Pakete: Teilen Sie Pakete in kleinere Fragmente auf, um Sicherheitssysteme zu umgehen, die möglicherweise so konfiguriert sind, dass sie große Pakete erkennen.
  3. Idle/Zombie-Scans: Nutzen Sie einen "inaktiven" oder "Zombie"-Host, um den Scan durchzuführen, so dass es scheint, als käme der Scan von einer weniger verdächtigen Quelle.
  4. Täuschungsscans: Starten Sie den Scan von mehreren Quell-IP-Adressen, so dass es scheint, als kämen die Scans von verschiedenen Hosts.
## Example: Comprehensive Stealthy Scan
nmap -sS -T2 --max-rate 10 -f -D RND:10 -S 192.168.1.100 192.168.1.1

Der obige Befehl kombiniert mehrere diskrete Techniken, einschließlich eines langsamen TCP SYN-Scans, Paketfragmentierung und eines Täuschungsscans, um die Wahrscheinlichkeit der Entdeckung bei einer Cybersicherheitsbewertung zu minimieren.

Ethische Überlegungen

Bei der Durchführung diskreter Nmap-Scans ist es wichtig, die ethischen und rechtlichen Implikationen zu berücksichtigen. Holen Sie sich immer die erforderlichen Genehmigungen und Zustimmungen, bevor Sie Netzwerkscanning-Aktivitäten durchführen, und stellen Sie sicher, dass Ihre Handlungen im Rahmen der Bewertung liegen und den Richtlinien der Organisation sowie den geltenden Gesetzen entsprechen.

Zusammenfassung

Dieses Tutorial zur Cybersicherheit hat Ihnen das Wissen und die Techniken vermittelt, um diskrete Nmap-Scans durchzuführen und die Entdeckung bei Ihren Cybersicherheitsbewertungen zu vermeiden. Indem Sie fortschrittliche Scanning-Methoden nutzen und die Wichtigkeit der Verschleierung verstehen, können Sie wertvolle Netzwerkinformationen sammeln, ohne auffällig zu werden. Denken Sie daran, dass in der Welt der Cybersicherheit die Fähigkeit, unentdeckt Recherchen durchzuführen, ein mächtiges Instrument zur Sicherstellung der Sicherheit und Widerstandsfähigkeit Ihrer Organisation ist.

Verwandt Cybersecurity Kurse
Cybersicherheit mit praktischen Labs

Cybersicherheit mit praktischen Labs

CybersecurityLinux
Anfänger
Schnellstart mit Nmap

Schnellstart mit Nmap

Cybersecurity
Anfänger
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger

We use cookies for a number of reasons, such as keeping the website reliable and secure, to improve your experience on our website and to see how you interact with it. By accepting, you agree to our use of such cookies. Privacy Policy