Idle-Scanning mit Nmap durchführen

Einführung

In diesem Labyrinth lernen Sie, wie Sie das Idle-Scannen mit Nmap durchführen. Das Labyrinth führt Sie durch den Prozess der Identifizierung eines Zombiehastes in einem Netzwerk mithilfe eines Ping-Scans (nmap -sn). Dieser erste Schritt hilft dabei, aktive Hosts zu entdecken, was für die Auswahl eines geeigneten Zombiehastes für das Idle-Scannen von entscheidender Bedeutung ist.

Das Labyrinth zeigt dann, wie Sie einen Idle-Scan (nmap -sI) gegen einen Zielhost ausführen, indem Sie den identifizierten Zombiehast verwenden. Sie werden Optionen zur Erhöhung der Ausführlichkeit (-v), zum Zielen auf bestimmte Ports (-p) und zum Speichern der Scanergebnisse in einer Datei (-oN) erkunden. Schließlich werden Sie die Ergebnisse des Idle-Scans im Xfce-Terminal analysieren.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL nmap(("Nmap")) -.-> nmap/NmapGroup(["Nmap"]) nmap/NmapGroup -.-> nmap/output_formats("Output Formats") nmap/NmapGroup -.-> nmap/save_output("Save Output to File") nmap/NmapGroup -.-> nmap/port_scanning("Port Scanning Methods") nmap/NmapGroup -.-> nmap/host_discovery("Host Discovery Techniques") nmap/NmapGroup -.-> nmap/scan_types("Scan Types and Techniques") nmap/NmapGroup -.-> nmap/target_specification("Target Specification") nmap/NmapGroup -.-> nmap/verbosity("Verbosity Levels") subgraph Lab Skills nmap/output_formats -.-> lab-547105{{"Idle-Scanning mit Nmap durchführen"}} nmap/save_output -.-> lab-547105{{"Idle-Scanning mit Nmap durchführen"}} nmap/port_scanning -.-> lab-547105{{"Idle-Scanning mit Nmap durchführen"}} nmap/host_discovery -.-> lab-547105{{"Idle-Scanning mit Nmap durchführen"}} nmap/scan_types -.-> lab-547105{{"Idle-Scanning mit Nmap durchführen"}} nmap/target_specification -.-> lab-547105{{"Idle-Scanning mit Nmap durchführen"}} nmap/verbosity -.-> lab-547105{{"Idle-Scanning mit Nmap durchführen"}} end

Identifizieren eines Zombiehastes mit nmap -sn 192.168.1.0/24

In diesem Schritt werden wir nmap verwenden, um lebende Hosts im Netzwerk 192.168.1.0/24 zu entdecken. Dies ist ein grundlegender Schritt beim Netzwerkscannen und der Aufklärung. Die Option -sn in nmap führt einen Ping-Scan durch, was bedeutet, dass es nur versucht, festzustellen, ob die Hosts erreichbar sind, ohne einen Port-Scan durchzuführen. Dies ist nützlich, um schnell aktive Hosts in einem Netzwerk zu identifizieren.

Bevor wir beginnen, verstehen wir den Befehl:

nmap: Das Netzwerk-Mapper-Tool.
-sn: Diese Option 告诉 Nmap, nur einen Ping-Scan (Host-Ermittlung) durchzuführen. Es deaktiviert den Port-Scan.
192.168.1.0/24: Dies ist das Zielnetzwerk im CIDR-Notation. /24 bedeutet, dass die ersten 24 Bits der IP-Adresse festgelegt sind und die letzten 8 Bits variieren können, was uns einen Bereich von 256 IP-Adressen gibt (192.168.1.1 bis 192.168.1.254, ohne die Netzwerk- und Broadcast-Adressen).

Jetzt führen wir den Befehl aus. Öffnen Sie Ihren Xfce-Terminal und geben Sie Folgendes ein:

sudo nmap -sn 192.168.1.0/24

Sie werden aufgefordert, Ihr Passwort einzugeben. Da der Benutzer labex sudo-Rechte ohne Passwort hat, drücken Sie einfach die Enter-Taste.

Die Ausgabe wird die Hosts anzeigen, die im Netzwerk erreichbar sind. Es könnte so aussehen:

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00023s latency).
Nmap scan report for 192.168.1.2
Host is up (0.00031s latency).
Nmap scan report for 192.168.1.100
Host is up (0.00045s latency).
Nmap done: 256 IP addresses (3 hosts up) scanned in 2.50 seconds

Diese Ausgabe zeigt an, dass 192.168.1.1, 192.168.1.2 und 192.168.1.100 im Netzwerk erreichbar sind. Die spezifischen IP-Adressen, die erreichbar sind, können in Ihrer Umgebung variieren. Wir werden 192.168.1.2 als Zombiehast in den folgenden Schritten verwenden und 192.168.1.1 als Ziel.

Führen Sie einen Idle-Scan mit nmap -sI 192.168.1.2 192.168.1.1 durch

In diesem Schritt werden wir einen Idle-Scan mit nmap durchführen. Der Idle-Scan ist eine fortgeschrittene Scantechnik, die es Ihnen ermöglicht, einen Zielhost zu scannen, ohne Ihre eigene IP-Adresse preiszugeben. Es funktioniert, indem es einen "Zombiehast" ausnutzt, um den Scan abzustrahlen.

So funktioniert es:

Wählen Sie einen Zombiehast: Sie benötigen einen Host, der größtenteils inaktiv ist und eine vorhersehbare IP-ID (IP-Identifikation) -Sequenzgenerierung hat. Im vorherigen Schritt haben wir 192.168.1.2 als potenziellen Zombiehast identifiziert.
Senden Sie ein SYN-ACK an den Zombiehast: Nmap sendet ein SYN-ACK-Paket an den Zombiehast. Der Zombiehast wird mit einem RST-Paket antworten, wenn er das SYN-ACK nicht erwartet hat, und erhöht seine IP-ID um eins.
Senden Sie ein SYN über den Zombiehast an das Ziel: Nmap erstellt ein SYN-Paket, das an den Zielhost gerichtet ist, aber spoofed die Quell-IP-Adresse, um die IP-Adresse des Zombiehastes zu sein.
Analysieren Sie die IP-ID des Zombiehastes:
- Wenn der Port des Zielhosts geschlossen ist, wird er mit einem RST-Paket an den Zombiehast antworten. Die IP-ID des Zombiehastes wird um eins erhöht.
- Wenn der Port des Zielhosts geöffnet ist, wird er mit einem SYN-ACK-Paket an den Zombiehast antworten. Der Zombiehast wird dann ein RST-Paket an das Ziel zurücksenden (da er die Verbindung nicht initiiert hat). Die IP-ID des Zombiehastes wird um zwei erhöht.
Bestimmen Sie den Portstatus: Indem Sie die Änderungen in der IP-ID des Zombiehastes beobachten, kann Nmap bestimmen, ob der Zielport geöffnet oder geschlossen ist.

Jetzt führen wir den Idle-Scan-Befehl aus. Öffnen Sie Ihren Xfce-Terminal und geben Sie Folgendes ein:

sudo nmap -sI 192.168.1.2 192.168.1.1

Hier ist eine Aufteilung des Befehls:

nmap: Das Netzwerk-Mapper-Tool.
-sI 192.168.1.2: Diese Option gibt den Idle-Scan an und setzt 192.168.1.2 als Zombiehast.
192.168.1.1: Dies ist der Zielhost, den wir scannen möchten.

Sie werden aufgefordert, Ihr Passwort einzugeben. Da der Benutzer labex sudo-Rechte ohne Passwort hat, drücken Sie einfach die Enter-Taste.

Die Ausgabe wird die geöffneten Ports auf dem Zielhost (192.168.1.1) anzeigen, wie durch den Idle-Scan bestimmt. Die Ergebnisse könnten so aussehen:

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:05 UTC
Idle scan using zombie 192.168.1.2 (192.168.1.2:80); Class: Incremental
Nmap scan report for 192.168.1.1
Host is up (0.00029s latency).
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 15.23 seconds

Diese Ausgabe zeigt an, dass die Ports 22 (SSH) und 80 (HTTP) auf dem Zielhost 192.168.1.1 geöffnet sind. Beachten Sie, dass die spezifischen geöffneten Ports je nach Konfiguration des Zielsystems variieren können.

Fügen Sie die Ausführlichkeit mit nmap -v -sI 192.168.1.2 192.168.1.1 hinzu

In diesem Schritt werden wir der Idle-Scan-Befehl aus dem vorherigen Schritt die Ausführlichkeit hinzufügen. Die Ausführlichkeit in nmap liefert detailliertere Informationen über den Scanprozess, was hilfreich sein kann, um zu verstehen, was passiert, und um Probleme zu beheben.

Die Option -v erhöht das Ausführlichkeitsniveau. Sie können sie mehrmals verwenden (z.B. -vv oder -vvv), um noch detailliertere Ausgabe zu erhalten. Für diesen Lab verwenden wir eine einzelne -v.

Lassen Sie uns den Befehl mit Ausführlichkeit ausführen. Öffnen Sie Ihren Xfce-Terminal und geben Sie Folgendes ein:

sudo nmap -v -sI 192.168.1.2 192.168.1.1

Hier ist eine Aufteilung des Befehls:

nmap: Das Netzwerk-Mapper-Tool.
-v: Diese Option erhöht das Ausführlichkeitsniveau.
-sI 192.168.1.2: Diese Option gibt den Idle-Scan an und setzt 192.168.1.2 als Zombiehast.
192.168.1.1: Dies ist der Zielhost, den wir scannen möchten.

Sie werden aufgefordert, Ihr Passwort einzugeben. Da der Benutzer labex sudo-Rechte ohne Passwort hat, drücken Sie einfach die Enter-Taste.

Die Ausgabe wird detaillierter als der vorherige Idle-Scan sein. Sie wird Informationen über die gesendeten Pakete, die IP-ID-Werte des Zombiehastes und die Begründung hinter der Portstatusbestimmung anzeigen. Die Ausgabe könnte so aussehen (die genaue Ausgabe wird variieren):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:10 UTC
NSE: Loaded 0 scripts for scanning.
Initiating Idle scan for 192.168.1.1
Scanning 192.168.1.1 [1000 ports]
Idle scan using zombie 192.168.1.2 (192.168.1.2:80); Class: Incremental
Sending TCP SYN to 192.168.1.1:22
Got SYN-ACK from 192.168.1.1:22
PORT   STATE SERVICE
22/tcp open  ssh
Sending TCP SYN to 192.168.1.1:80
Got SYN-ACK from 192.168.1.1:80
PORT   STATE SERVICE
80/tcp open  http
Nmap done: 1 IP address (1 host up) scanned in 16.54 seconds

Die ausführliche Ausgabe liefert Einblicke in den Scanprozess und macht es einfacher, zu verstehen, wie der Idle-Scan funktioniert und um potenzielle Probleme zu diagnostizieren.

Scannen eines bestimmten Ports mit nmap -sI 192.168.1.2 -p 80 192.168.1.1

In diesem Schritt werden wir unseren Idle-Scan auf einen bestimmten Port konzentrieren. Dies ist nützlich, wenn Sie den Status eines bestimmten Diensts schnell überprüfen möchten, ohne alle Ports zu scannen. Wir werden Port 80 (HTTP) auf dem Zielhost scannen.

Die Option -p in nmap ermöglicht es Ihnen, die Port(s), die Sie scannen möchten, anzugeben. Sie können einen einzelnen Port, einen Portbereich (z.B. 1-100) oder eine komma-getrennte Liste von Ports (z.B. 22,80,443) angeben. In diesem Fall werden wir nur Port 80 scannen.

Lassen Sie uns den Befehl ausführen, um Port 80 mit der Idle-Scan-Technik zu scannen. Öffnen Sie Ihren Xfce-Terminal und geben Sie Folgendes ein:

sudo nmap -sI 192.168.1.2 -p 80 192.168.1.1

Hier ist eine Aufteilung des Befehls:

nmap: Das Netzwerk-Mapper-Tool.
-sI 192.168.1.2: Diese Option gibt den Idle-Scan an und setzt 192.168.1.2 als Zombiehast.
-p 80: Diese Option gibt an, dass wir nur Port 80 scannen möchten.
192.168.1.1: Dies ist der Zielhost, den wir scannen möchten.

Sie werden aufgefordert, Ihr Passwort einzugeben. Da der Benutzer labex sudo-Rechte ohne Passwort hat, drücken Sie einfach die Enter-Taste.

Die Ausgabe wird anzeigen, ob Port 80 auf dem Zielhost (192.168.1.1) geöffnet oder geschlossen ist. Die Ergebnisse könnten so aussehen:

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:15 UTC
Idle scan using zombie 192.168.1.2 (192.168.1.2:80); Class: Incremental
Nmap scan report for 192.168.1.1
Host is up (0.00031s latency).

PORT   STATE SERVICE
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 14.87 seconds

Diese Ausgabe zeigt an, dass Port 80 (HTTP) auf dem Zielhost 192.168.1.1 geöffnet ist. Wenn der Port geschlossen wäre, würde die Ausgabe closed anstelle von open anzeigen.

Speichern Sie die Idle-Ergebnisse mit nmap -sI 192.168.1.2 -oN idle.txt 192.168.1.1

In diesem Schritt werden wir die Ergebnisse unseres Idle-Scans in eine Datei speichern. Dies ist nützlich für spätere Analysen oder Berichterstattungen. Wir werden die Option -oN verwenden, um die Ergebnisse im "normalen" Format in eine Datei namens idle.txt zu speichern.

Die Option -oN gibt nmap an, die Ausgabe im menschenlesbaren Format zu speichern, was leicht zu lesen und zu verstehen ist. Andere Ausgabeformate sind verfügbar (z.B. -oX für XML, -oG für grepbarer Ausgabe), aber für dieses Lab verwenden wir das normale Format.

Lassen Sie uns den Befehl ausführen, um die Idle-Scan-Ergebnisse in eine Datei zu speichern. Öffnen Sie Ihren Xfce-Terminal und geben Sie Folgendes ein:

sudo nmap -sI 192.168.1.2 -oN idle.txt 192.168.1.1

Hier ist eine Aufteilung des Befehls:

nmap: Das Netzwerk-Mapper-Tool.
-sI 192.168.1.2: Diese Option gibt den Idle-Scan an und setzt 192.168.1.2 als Zombiehast.
-oN idle.txt: Diese Option gibt nmap an, die Ausgabe im normalen Format in eine Datei namens idle.txt zu speichern.
192.168.1.1: Dies ist der Zielhost, den wir scannen möchten.

Sie werden aufgefordert, Ihr Passwort einzugeben. Da der Benutzer labex sudo-Rechte ohne Passwort hat, drücken Sie einfach die Enter-Taste.

Nach Abschluss des Scans werden die Ergebnisse in eine Datei namens idle.txt im aktuellen Verzeichnis (~/project) gespeichert. Sie werden keine Ausgabe im Terminal sehen, da die Ausgabe in die Datei umgeleitet wird.

Um zu überprüfen, dass die Datei erstellt wurde und die Scanergebnisse enthält, können Sie den Befehl cat verwenden, um den Inhalt der Datei anzuzeigen:

cat idle.txt

Die Ausgabe wird die Scanergebnisse anzeigen, ähnlich wie in den vorherigen Schritten, aber jetzt sind sie in einer Datei gespeichert. Die Ausgabe könnte so aussehen:

## Nmap 7.80 scan initiated Fri Oct 27 10:20:00 2023 as: nmap -sI 192.168.1.2 -oN idle.txt 192.168.1.1
Idle scan using zombie 192.168.1.2 (192.168.1.2:80); Class: Incremental
Nmap scan report for 192.168.1.1
Host is up (0.00031s latency).
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
## Nmap done at Fri Oct 27 10:20:15 2023 -- 1 IP address (1 host up) scanned in 15.00 seconds

Jetzt haben Sie die Idle-Scan-Ergebnisse in einer Datei gespeichert für weitere Analysen.

Analysieren des Idle-Scans im Xfce-Terminal

In diesem Schritt werden wir die Ergebnisse des Idle-Scans analysieren, die wir im vorherigen Schritt in die Datei idle.txt gespeichert haben. Wir werden den Befehl grep verwenden, um spezifische Informationen aus der Datei zu extrahieren und diskutieren, wie die Ergebnisse interpretiert werden.

Zunächst lassen Sie uns den Inhalt der Datei idle.txt mit dem Befehl cat anzeigen, um uns an die Scanergebnisse zu erinnern. Öffnen Sie Ihren Xfce-Terminal und geben Sie Folgendes ein:

cat idle.txt

Sie sollten die Ausgabe des nmap-Scans sehen, einschließlich Informationen über den Zielhost und den Status der gescannten Ports.

Jetzt verwenden wir grep, um spezifische Informationen zu finden. Beispielsweise können wir grep verwenden, um Zeilen zu suchen, die das Wort "open" enthalten, um herauszufinden, welche Ports geöffnet sind:

grep "open" idle.txt

Dieser Befehl wird alle Zeilen in der Datei idle.txt anzeigen, die das Wort "open" enthalten. Die Ausgabe könnte so aussehen:

80/tcp open  http

Dies zeigt uns, dass Port 80 (HTTP) auf dem Zielhost geöffnet ist.

Sie können auch grep verwenden, um die IP-Adresse des Zielhosts zu finden:

grep "Nmap scan report for" idle.txt

Dieser Befehl wird die Zeile anzeigen, die die IP-Adresse des Zielhosts enthält:

Nmap scan report for 192.168.1.1

Interpretation der Ergebnisse:

Die Idle-Scan-Ergebnisse liefern Informationen über die geöffneten Ports des Zielhosts. Diese Informationen können verwendet werden, um potenzielle Schwachstellen oder auf dem Host laufende Dienste zu identifizieren.

Geöffnete Ports: Ein geöffneter Port zeigt an, dass ein Dienst auf diesem Port lauscht und Verbindungen annimmt. Dies könnte ein Webserver (Port 80), ein SSH-Server (Port 22) oder ein anderer Dienst sein.
Geschlossene Ports: Ein geschlossener Port zeigt an, dass kein Dienst auf diesem Port lauscht.
Gefilterte Ports: Ein gefilterter Port bedeutet, dass nmap nicht bestimmen kann, ob der Port geöffnet oder geschlossen ist, da ein Firewall die Verbindung blockiert.

Indem Sie die geöffneten Ports analysieren, können Sie Einblicke in die auf dem Zielhost laufenden Dienste erhalten und möglicherweise Schwachstellen identifizieren, die ausgenutzt werden könnten. Denken Sie daran, dass das Idle-Scannen eine heimliche Technik ist, aber nicht fehlerfrei. Netzwerkadministratoren können den Scan möglicherweise immer noch entdecken, wenn sie das Netzwerkverkehr überwachen.

Mit diesem Abschluss ist das Lab zu Idle-Scanning mit nmap beendet. Sie haben gelernt, wie ein Zombiehast identifiziert wird, einen Idle-Scan durchgeführt wird, die Ausführlichkeit erhöht wird, bestimmte Ports gescannt werden, die Ergebnisse in eine Datei gespeichert werden und die Ergebnisse im Xfce-Terminal analysiert werden.

Zusammenfassung

In diesem Lab haben wir begonnen, aktive Hosts im Netzwerk 192.168.1.0/24 mithilfe von nmap -sn 192.168.1.0/24 zu identifizieren. Dieser Ping-Scan hat uns ermöglicht, aktive Hosts wie 192.168.1.1, 192.168.1.2 und 192.168.1.100 schnell zu entdecken, die für die nachfolgenden Scanning-Aktivitäten von entscheidender Bedeutung sind. Anschließend haben wir uns darauf vorbereitet, einen Idle-Scan durchzuführen, wobei 192.168.1.2 als Zombiehast und 192.168.1.1 als Ziel verwendet wurde.