LabEx
AnmeldenKostenlos beitreten

Firewalls und IDS mit Nmap umgehen

NmapNmapBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Labyrinth lernst du, wie du Firewalls und IDS mit Nmap umgehen kannst. Das Labyrinth umfasst verschiedene Techniken, darunter das Ausführen von Täuschungs-Scans, das Fragmentieren von Paketen, das Spoofen von IP-Adressen, die Anpassung der Scanraten und die Kombination dieser Techniken. Du wirst verschiedene Nmap-Befehle im Xfce-Terminal ausführen und die Umgehungsergebnisse überprüfen. Denke daran, diese Techniken ethisch korrekt und mit der erforderlichen Genehmigung anzuwenden.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL nmap(("Nmap")) -.-> nmap/NmapGroup(["Nmap"]) nmap/NmapGroup -.-> nmap/scan_types("Scan Types and Techniques") nmap/NmapGroup -.-> nmap/target_specification("Target Specification") nmap/NmapGroup -.-> nmap/timing_performance("Timing and Performance") nmap/NmapGroup -.-> nmap/syn_scan("SYN Scan") nmap/NmapGroup -.-> nmap/firewall_evasion("Firewall Evasion Techniques") nmap/NmapGroup -.-> nmap/stealth_scanning("Stealth and Covert Scanning") subgraph Lab Skills nmap/scan_types -.-> lab-530178{{"Firewalls und IDS mit Nmap umgehen"}} nmap/target_specification -.-> lab-530178{{"Firewalls und IDS mit Nmap umgehen"}} nmap/timing_performance -.-> lab-530178{{"Firewalls und IDS mit Nmap umgehen"}} nmap/syn_scan -.-> lab-530178{{"Firewalls und IDS mit Nmap umgehen"}} nmap/firewall_evasion -.-> lab-530178{{"Firewalls und IDS mit Nmap umgehen"}} nmap/stealth_scanning -.-> lab-530178{{"Firewalls und IDS mit Nmap umgehen"}} end

Führen Sie einen Täuschungs-Scan mit nmap -D RND:5 192.168.1.1 durch

In diesem Schritt werden wir untersuchen, wie man mit Nmap einen Täuschungs-Scan durchführt, um die Quelle unseres Scans zu verschleiern. Ein Täuschungs-Scan lässt den Eindruck entstehen, als ob der Scan von mehreren IP-Adressen ausgeht, was es schwieriger macht, den tatsächlichen Scanner zu identifizieren.

Die -D-Option in Nmap ermöglicht es Ihnen, Täusch-IP-Adressen anzugeben. Das Argument RND:5 veranlasst Nmap, neben Ihrer tatsächlichen IP-Adresse 5 zufällige, nicht reservierte IP-Adressen als Täuschungen zu verwenden.

Lassen Sie uns einen Täuschungs-Scan gegen einen Zielhost ausführen. Zu Demonstrationszwecken verwenden wir 192.168.1.1 als Ziel-IP-Adresse. Beachten Sie, dass 192.168.1.1 ein Platzhalter ist. In einem realen Szenario würden Sie dies durch die tatsächliche IP-Adresse des Ziels ersetzen, das Sie berechtigt zu scannen haben.

Öffnen Sie Ihren Xfce-Terminal und führen Sie den folgenden Befehl aus:

sudo nmap -D RND:5 192.168.1.1

Dieser Befehl startet einen Nmap-Scan gegen 192.168.1.1, wobei 5 zufällige IP-Adressen als Täuschungen verwendet werden. Im Terminal werden Sie die Ausgabe von Nmap sehen, die den Fortschritt des Scans zeigt.

Beispielausgabe (die genaue Ausgabe variiert je nach Ziel und Netzwerk):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00043s latency).
Not shown: 999 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh

Nmap done: 1 IP address (1 host up) scanned in 1.23 seconds

Wichtige Überlegungen:

  • Ethische Nutzung: Stellen Sie stets sicher, dass Sie explizite Genehmigungen zur Netzwerk- oder Systemüberprüfung haben. Ein unbefugter Scan ist illegal und unethisch.
  • Netwerkeffekt: Täuschungs-Scans können einen beträchtlichen Netzwerkverkehr erzeugen. Verwenden Sie sie verantwortungsvoll und vermeiden Sie, das Zielnetzwerk zu überlasten.
  • Effizienz: Obwohl Täuschungs-Scans es schwieriger machen, die Herkunft eines Scans zu verfolgen, sind sie nicht unfehlbar. Sophistizierte Intrusion Detection Systeme (IDS) können immer noch die wahre Quelle identifizieren.

Pakete mit nmap -f 127.0.0.1 fragmentieren

In diesem Schritt werden wir lernen, wie man Pakete mit Nmap fragmentiert. Die Paketfragmentierung besteht darin, die TCP- oder UDP-Daten in kleinere Stücke (Fragmente) zu teilen, bevor sie an das Ziel gesendet werden. Diese Technik kann verwendet werden, um einige Firewalls oder Intrusion Detection Systeme (IDS) zu umgehen, die eventuell fragmentierte Pakete nicht richtig wieder zusammensetzen können.

Die -f-Option in Nmap ermöglicht die Paketfragmentierung. Standardmäßig fragmentiert Nmap Pakete in 8-Byte-Blöcke. Sie können eine andere MTU (Maximum Transmission Unit)-Größe mit -mtu <Größe> angeben.

Lassen Sie uns einen fragmentierten Scan gegen die Loopback-Adresse 127.0.0.1 durchführen. Diese Adresse bezieht sich immer auf den lokalen Computer und ist daher sicher für Tests.

Öffnen Sie Ihren Xfce-Terminal und führen Sie den folgenden Befehl aus:

sudo nmap -f 127.0.0.1

Dieser Befehl startet einen Nmap-Scan gegen 127.0.0.1 und fragmentiert die Pakete. Im Terminal werden Sie die Ausgabe von Nmap sehen, die den Fortschritt des Scans zeigt.

Beispielausgabe (die genaue Ausgabe variiert je nach Ihrer Systemkonfiguration):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:05 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000028s latency).
Other addresses for localhost: ::1

PORT     STATE SERVICE
139/tcp  closed netbios-ssn
445/tcp  closed microsoft-ds

Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds

Erklärung:

  • sudo nmap: Führt Nmap mit Superuser-Rechten aus, die für Rohsocket-Operationen wie Paketfragmentierung oft erforderlich sind.
  • -f: Aktiviert die Fragmentierung. Nmap wird die Pakete vor dem Senden fragmentieren.
  • 127.0.0.1: Gibt die Ziel-IP-Adresse (die Loopback-Adresse) an.

Wichtige Überlegungen:

  • Firewall/IDS-Umgehung: Die Paketfragmentierung kann manchmal einfache Firewalls oder IDS umgehen, die fragmentierte Pakete nicht richtig wieder zusammensetzen. Moderne Sicherheitsgeräte sind jedoch im Allgemeinen in der Lage, fragmentierte Pakete zu verarbeiten.
  • Leistungseffekt: Die Fragmentierung kann den Netzwerkaufwand erhöhen und möglicherweise den Scan verlangsamen.
  • MTU-Option: Sie können die -mtu-Option verwenden, um eine benutzerdefinierte MTU-Größe für die Fragmente anzugeben. Beispielsweise würde nmap -f -mtu 32 127.0.0.1 die Pakete in 32-Byte-Blöcke fragmentieren.

IP-Adresse mit nmap -S 192.168.1.100 192.168.1.1 vortäuschen

In diesem Schritt werden wir untersuchen, wie man die Quell-IP-Adresse von Nmap-Scans vortäuschen kann. Die IP-Adress-Vortäuschung besteht darin, die Quell-IP-Adresse in den von Nmap gesendeten Paketen zu fälschen. Dies kann verwendet werden, um Ihre tatsächliche IP-Adresse zu verbergen oder um die Netzwerkverteidigung zu testen.

Die -S-Option in Nmap ermöglicht es Ihnen, eine Quell-IP-Adresse anzugeben. Es ist wichtig zu verstehen, dass die IP-Adress-Vortäuschung ernsthafte Folgen haben kann und nur in autorisierten Umgebungen durchgeführt werden sollte. Beachten Sie auch, dass Sie normalerweise keine Antworten auf vortäuschte Pakete erhalten werden, da diese an die vortäuschte Adresse gesendet werden. Daher wird diese Technik oft in Verbindung mit "blinden" Scantechniken wie SYN-Scan (-sS) oder Connect-Scan (-sT) verwendet, wenn Sie die Antworten nicht sehen müssen.

Lassen Sie uns einen SYN-Scan mit einer vortäuschten IP-Adresse gegen ein Ziel durchführen. Zu Demonstrationszwecken verwenden wir 192.168.1.100 als die vortäuschte IP-Adresse und 192.168.1.1 als die Ziel-IP-Adresse. Beachten Sie, dass 192.168.1.1 ein Platzhalter ist. In einem realen Szenario würden Sie dies durch die tatsächliche IP-Adresse des Ziels ersetzen, das Sie berechtigt zu scannen haben. Auch 192.168.1.100 ist nur ein Beispiel, und Sie sollten eine IP-Adresse wählen, die in Ihrem Netzwerk nicht verwendet wird, um Konflikte zu vermeiden.

Öffnen Sie Ihren Xfce-Terminal und führen Sie den folgenden Befehl aus:

sudo nmap -sS -S 192.168.1.100 192.168.1.1

Dieser Befehl startet einen Nmap SYN-Scan gegen 192.168.1.1, wobei 192.168.1.100 als die vortäuschte Quell-IP-Adresse verwendet wird. Im Terminal werden Sie die Ausgabe von Nmap sehen, die den Fortschritt des Scans zeigt.

Beispielausgabe (die genaue Ausgabe variiert je nach Ziel und Netzwerk):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:10 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00029s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE
22/tcp open  ssh

Nmap done: 1 IP address (1 host up) scanned in 2.12 seconds

Erklärung:

  • sudo nmap: Führt Nmap mit Superuser-Rechten aus, die für Rohsocket-Operationen wie die IP-Adress-Vortäuschung erforderlich sind.
  • -sS: Gibt einen SYN-Scan an, der ein heimlicher Scan ist, bei dem die TCP-Handschlagung nicht abgeschlossen wird.
  • -S 192.168.1.100: Gibt die vortäuschte Quell-IP-Adresse an.
  • 192.168.1.1: Gibt die Ziel-IP-Adresse an.

Wichtige Überlegungen:

  • Ethische Nutzung: Die IP-Adress-Vortäuschung sollte nur in autorisierten Umgebungen für legitime Zwecke wie die Sicherheitsprüfung verwendet werden.
  • Root-Rechte: Die IP-Adress-Vortäuschung erfordert Root-Rechte.
  • Begrenzte Funktionalität: Da Sie keine Antworten auf vortäuschte Pakete erhalten werden, müssen Sie möglicherweise andere Techniken verwenden, um Informationen über das Ziel zu sammeln.
  • Netzwerkkonfiguration: Die Vortäuschung kann möglicherweise nicht funktionieren, wenn Ihr Netzwerk so konfiguriert ist, dass dies verhindert wird. Router und Firewalls haben oft Mechanismen, um Pakete mit vortäuschten Quelladressen aus dem Netzwerk zu verhindern.

Rate mit nmap --max-rate 100 192.168.1.1 anpassen

In diesem Schritt werden wir lernen, wie man die Scannrate von Nmap steuern kann. Die Anpassung der Scannrate ist entscheidend für das Vermeiden von Entdeckungen und die Verhinderung von Netzwerküberlastungen. Nmap bietet mehrere Optionen, um die Rate zu steuern, bei der es Pakete sendet.

Die Option --max-rate begrenzt die Anzahl der Pakete, die Nmap pro Sekunde sendet. Dies kann hilfreich sein, um von Intrusion Detection Systemen (IDS) nicht entdeckt zu werden oder um Netzwerküberlastungen zu vermeiden, insbesondere wenn man Netze mit begrenzter Bandbreite scannt.

Lassen Sie uns einen Scan gegen eine Ziel-IP-Adresse durchführen, wobei die maximale Paketrate auf 100 Pakete pro Sekunde begrenzt wird. Zu Demonstrationszwecken verwenden wir 192.168.1.1 als die Ziel-IP-Adresse. Beachten Sie, dass 192.168.1.1 ein Platzhalter ist. In einem realen Szenario würden Sie dies durch die tatsächliche IP-Adresse des Ziels ersetzen, das Sie berechtigt zu scannen haben.

Öffnen Sie Ihren Xfce-Terminal und führen Sie den folgenden Befehl aus:

sudo nmap --max-rate 100 192.168.1.1

Dieser Befehl startet einen Nmap-Scan gegen 192.168.1.1 und begrenzt die maximale Paketrate auf 100 Pakete pro Sekunde. Im Terminal werden Sie die Ausgabe von Nmap sehen, die den Fortschritt des Scans zeigt.

Beispielausgabe (die genaue Ausgabe variiert je nach Ziel und Netzwerk):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:15 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00028s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE
22/tcp open  ssh

Nmap done: 1 IP address (1 host up) scanned in 2.50 seconds

Erklärung:

  • sudo nmap: Führt Nmap mit Superuser-Rechten aus, was für bestimmte Scantypen erforderlich sein kann.
  • --max-rate 100: Begrenzt die Sende- rate auf maximal 100 Pakete pro Sekunde.
  • 192.168.1.1: Gibt die Ziel-IP-Adresse an.

Weitere Optionen zur Ratebegrenzung:

Nmap bietet mehrere weitere Optionen zur Steuerung der Scannrate:

  • --min-rate <Anzahl>: Gibt die minimale Anzahl von Paketen pro Sekunde an, die gesendet werden sollen.
  • --scan-delay <Zeit>: Passt die Zeit an, die Nmap nach jedem gesendeten Probe wartet.
  • --min-rtt-timeout <Zeit>, --max-rtt-timeout <Zeit>, --initial-rtt-timeout <Zeit>: Steuert die Probe-Timeout-Werte.

Wichtige Überlegungen:

  • Netzwerkbedingungen: Die optimale Scannrate hängt von den Netzwerkbedingungen ab. Wenn das Netz überlastet ist, kann eine niedrigere Rate erforderlich sein, um Paketverluste zu vermeiden.
  • IDS/IPS-Umgehung: Die Anpassung der Scannrate kann helfen, von Intrusion Detection/Prevention Systemen nicht entdeckt zu werden.
  • Scandauer: Ein Verringern der Scannrate erhöht die Gesamtscandauer.

Techniken mit nmap -f --max-rate 50 127.0.0.1 kombinieren

In diesem Schritt werden wir die Techniken der Paketfragmentierung und der Ratebegrenzung kombinieren, um unsere Nmap-Scans weiter zu optimieren. Die Kombination von Techniken kann hilfreich sein, um eine Entdeckung zu vermeiden und die Scannleistung zu optimieren.

Wir werden die Option -f verwenden, um Pakete zu fragmentieren, und die Option --max-rate, um die Sende- rate zu begrenzen. Die Paketfragmentierung teilt den TCP-Header über mehrere Pakete auf, um es für Paketfilter und Firewalls schwieriger zu machen, den Scan zu entdecken. Die Begrenzung der Rate gewährleistet, dass der Scan das Netzwerk nicht überlastet oder Alarme auslöst.

Lassen Sie uns einen Scan gegen die Loopback-Adresse (127.0.0.1) durchführen, bei dem wir die Paketfragmentierung verwenden und die maximale Paketrate auf 50 Pakete pro Sekunde begrenzen.

Öffnen Sie Ihren Xfce-Terminal und führen Sie den folgenden Befehl aus:

sudo nmap -f --max-rate 50 127.0.0.1

Dieser Befehl startet einen Nmap-Scan gegen 127.0.0.1, fragmentiert die Pakete und begrenzt die maximale Paketrate auf 50 Pakete pro Sekunde. Im Terminal werden Sie die Ausgabe von Nmap sehen, die den Fortschritt des Scans zeigt.

Beispielausgabe (die genaue Ausgabe variiert je nach Ziel und Netzwerk):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:20 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000070s latency).
Other addresses for localhost: ::1
Not shown: 999 closed ports
PORT     STATE SERVICE
135/tcp  open  msrpc

Nmap done: 1 IP address (1 host up) scanned in 1.85 seconds

Erklärung:

  • sudo nmap: Führt Nmap mit Superuser-Rechten aus, was für bestimmte Scantypen erforderlich sein kann.
  • -f: Fragmentiert die Pakete in kleinere Stücke.
  • --max-rate 50: Begrenzt die Sende- rate auf maximal 50 Pakete pro Sekunde.
  • 127.0.0.1: Gibt die Ziel-IP-Adresse (Loopback-Adresse) an.

Wichtige Überlegungen:

  • Fragmentierungsaufwand: Die Paketfragmentierung kann den Overhead des Scans erhöhen, da mehr Pakete gesendet werden müssen.
  • Verhalten von Firewalls: Einige Firewalls können fragmentierte Pakete möglicherweise erst wieder zusammensetzen, bevor sie sie überprüfen, was die Effekte der Fragmentierung aufhebt.
  • Wirksamkeit der Ratebegrenzung: Die Wirksamkeit der Ratebegrenzung hängt von den Netzwerkbedingungen und der Empfindlichkeit des Zielsystems ab.
  • Kombination von Techniken: Die Kombination unterschiedlicher Umgehungstechniken kann die Chancen der Umgehung von Sicherheitsmaßnahmen erhöhen, erhöht aber auch die Komplexität des Scans.

Überprüfen der Umgehung in der Xfce - Konsole

In diesem Schritt werden wir diskutieren, wie man die Effektivität der in den vorherigen Schritten verwendeten Umgehungstechniken überprüft. Während wir nicht definitiv beweisen können, dass unsere Scans völlig undetektierbar sind, können wir verschiedene Methoden verwenden, um die Wahrscheinlichkeit der Umgehung abzuschätzen.

Methoden zur Überprüfung der Umgehung:

  1. Netzwerküberwachung: Verwenden Sie Tools wie tcpdump oder Wireshark, um das Netzwerkverkehr zu erfassen und die Eigenschaften der Nmap - Scans zu analysieren. Suchen Sie nach fragmentierten Paketen, Dezi - IP - Adressen und ratebegrenztem Verkehr. Dies erfordert einen separaten Computer im gleichen Netzwerk wie das Ziel. Da wir uns in einer eingeschlossenen Umgebung befinden, ist dies nicht durchführbar.

  2. IDS/IPS - Protokolle: Wenn Sie Zugang zu den Protokollen eines Intrusion - Detection/Prevention - Systems (IDS/IPS) haben, überprüfen Sie sie auf jegliche Alarme, die mit den Nmap - Scans zusammenhängen. Das Fehlen von Alarmen garantiert nicht die Umgehung, ist aber ein positives Zeichen. Dies erfordert ebenfalls Zugang zu externen Systemen, die wir nicht haben.

  3. Zielsystem - Protokolle: Überprüfen Sie die Protokolle des Zielsystems auf jegliche Beweise für die Nmap - Scans. Dies kann Verbindungsversuche zu bestimmten Ports oder ungewöhnlichen Netzwerkaktivität umfassen. Auch dies erfordert Zugang zum Zielsystem.

  4. Drittanbieter - Online - Dienste: Einige Online - Dienste können Netzwerkverkehr analysieren und potentielle Sicherheitsbedrohungen identifizieren. Sie können eine Probe des Nmap - Scan - Verkehrs an diese Dienste zur Analyse senden.

Einschränkungen in der Lab - Umgebung:

Aufgrund der Einschränkungen der LabEx - VM - Umgebung (z. B. fehlen eines separaten Überwachungsmachines, kein Zugang zu IDS/IPS - oder Zielsystem - Protokollen) können wir keine umfassende Überprüfung der Umgehung durchführen. Wir können jedoch die Befehle, die wir ausgeführt haben, überprüfen und verstehen, wie sie zur Umgehung beitragen.

Überprüfung der Umgehungstechniken:

  • Dezi - Scan (nmap -D RND:5 192.168.1.1): Diese Technik lässt erscheinen, als ob der Scan von mehreren IP - Adressen stammt, einschließlich zufällig generierter. Dies kann Netzwerkadministratoren verwirren und es schwierig machen, den Scan auf die tatsächliche Quelle zurückzuverfolgen.

  • Paketfragmentierung (nmap -f 127.0.0.1): Diese Technik teilt den TCP - Header über mehrere Pakete auf, was es für Paketfilter und Firewalls schwieriger macht, den Scan zu entdecken.

  • IP - Spoofing (nmap -S 192.168.1.100 192.168.1.1): Diese Technik verbirgt Ihre reale IP - Adresse, indem eine andere Quell - IP - Adresse verwendet wird.

  • Ratebegrenzung (nmap --max-rate 100 192.168.1.1): Diese Technik verlangsamt den Scan, was die Wahrscheinlichkeit verringert, Alarme auszulösen oder Netzwerküberlastungen zu verursachen.

  • Kombinierte Techniken (nmap -f --max-rate 50 127.0.0.1): Die Kombination von Fragmentierung und Ratebegrenzung bietet einen mehrschichtigen Ansatz zur Umgehung.

Schlussfolgerung:

Während wir in der LabEx - VM - Umgebung nicht definitiv die Umgehung überprüfen können, ist es entscheidend, die Grundprinzipien hinter diesen Techniken und wie sie funktionieren zu verstehen, um versteckte und effektive Nmap - Scans durchzuführen. In einem realen Szenario würden Sie die oben beschriebenen Methoden verwenden, um die Effektivität Ihrer Umgehungsmethoden zu bewerten.

Dieser Schritt geht eher um das Verständnis der Konzepte und Einschränkungen als um die Ausführung einer bestimmten Aktion in der Konsole. Daher wird der Überprüfungsschritt einfach überprüfen, ob Sie diesen Schritt im Labor erreicht haben.

Zusammenfassung

In diesem Lab lernen die Teilnehmer, wie sie mit Nmap Firewalls und IDS umgehen. Sie erkunden verschiedene Techniken, darunter das Ausführen eines Dezi - Scans mit nmap -D RND:5, das Fragmentieren von Paketen mit nmap -f, das Spoofen von IP - Adressen mit nmap -S, das Anpassen der Scanrate mit nmap --max-rate und die Kombination dieser Techniken. Jeder Befehl wird in der Xfce - Konsole ausgeführt, und die Teilnehmer werden daran erinnert, wie wichtig die ethische Verwendung, die Netzwerkeffekte und die Einschränkungen dieser Umgehungsmethoden sind.

Verwandt Nmap Kurse
Schnellstart mit Nmap

Schnellstart mit Nmap

CybersecurityNmap
Anfänger