Realitätsnahe Szenarien in Nmap simulieren

Einführung

In diesem Lab lernst du, wie du reale Szenarien in Nmap simulieren kannst, indem du Techniken anwendest, um die Erkennung zu umgehen und die Herkunft deiner Scans zu verdecken. Dazu gehören das Verwenden von Decko-Adressen und der IP-Adress-Spoofing, um es den Zielen schwieriger zu machen, die tatsächliche Quelle des Scans zu identifizieren.

Das Lab führt dich durch die Verwendung der Option -D, um zufällige Decko-IP-Adressen hinzuzufügen, und der Option -S, um die Quell-IP-Adresse zu spoofen. Du wirst auch die Fragmentierung erkunden, Scans mit Skripten kombinieren, Ergebnisse speichern und die Effektivität der Evasion und die Anwendbarkeit in der Realität analysieren, alles innerhalb der Xfce-Terminalumgebung.

Scannen mit Versteckadressen und Fälschung mit nmap -D RND:5 -S 192.168.1.100 192.168.1.1

In diesem Schritt werden wir untersuchen, wie man Nmap verwendet, um Scans mit Decko-Adressen und IP-Adress-Spoofing durchzuführen. Diese Technik kann helfen, die Herkunft Ihres Scans zu verdecken und es den Zielen schwieriger zu machen, die tatsächliche Quelle zu identifizieren.

Das Verständnis von Deckos und Spoofing

• Deckos: Nmap kann so aussehen lassen, als ob der Scan von mehreren IP-Adressen stammt, nicht nur von Ihrer eigenen. Dies wird erreicht, indem "Decko"-Adressen zum Scan hinzugefügt werden. Der Zielcomputer wird neben Ihrer echten IP-Adresse auch Traffic von diesen Decko-Adressen sehen, was es schwieriger macht, den tatsächlichen Scanner zu lokalisieren.
• Spoofing: Das IP-Adress-Spoofing beinhaltet das Ändern der Quell-IP-Adresse in den von Nmap gesendeten Paketen. Dadurch erscheint es, als ob der Scan von einer anderen IP-Adresse als Ihrer eigenen stammt.

Wichtige Überlegungen:

• Spoofing erfordert root-Rechte, da es das Manipulieren von Netzwerkpaketen auf niedriger Ebene beinhaltet.
• Das Verwenden von spoofierten Adressen, die Sie nicht kontrollieren, kann zu Netzwerkstörungen führen oder als unethisch/illegal angesehen werden. Seien Sie vorsichtig und verwenden Sie Spoofing nur in autorisierten Umgebungen.
• Die Option -D fügt Deckos zum Scan hinzu, während die Option -S eine bestimmte Quell-IP-Adresse setzt.

Praktisches Beispiel

Lassen Sie uns einen Scan mit Deckos und Spoofing durchführen. In diesem Beispiel verwenden wir die Option -D, um 5 zufällige, nicht reservierte IP-Adressen (RND:5) als Deckos hinzuzufügen, und die Option -S, um die Quell-IP-Adresse auf 192.168.1.100 zu spoofen. Wir werden die Ziel-IP-Adresse 192.168.1.1 scannen.

1. Öffnen Sie ein Terminal: Starten Sie das Xfce-Terminal in Ihrer LabEx-VM.

2. Führen Sie den Nmap-Befehl aus:

   sudo nmap -D RND:5 -S 192.168.1.100 192.168.1.1
   

   • sudo: Dies ist erforderlich, da Spoofing root-Rechte erfordert.
   • -D RND:5: Dies 告诉 Nmap 使用 5 个随机的、非保留的 IP 地址作为诱饵。
   • -S 192.168.1.100: Dies setzt die Quell-IP-Adresse auf 192.168.1.100. Hinweis: Diese IP-Adresse dient nur der Demonstration. In einem realen Szenario müssen Sie sicherstellen, dass Sie die Berechtigung haben, diese IP-Adresse zu verwenden.
   • 192.168.1.1: Dies ist die Ziel-IP-Adresse, die wir scannen.

3. Untersuchen Sie die Ausgabe:

   Die Ausgabe wird zeigen, wie Nmap den Scan ausführt. Da wir Deckos und Spoofing verwenden, wird es dem Zielcomputer schwieriger sein, die Quelle des Scans genau zu identifizieren.

   Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
   Nmap scan report for 192.168.1.1
   Host is up (0.00020s latency).
   Not shown: 999 closed ports
   PORT   STATE SERVICE
   22/tcp open  ssh
   
   Nmap done: 1 IP address (1 host up) scanned in 0.10 seconds
   

   Hinweis: Die genaue Ausgabe kann je nach Zielsystem und Netzwerkkonfiguration variieren.

Füge Fragmentierung mit nmap -f -D RND:3 127.0.0.1 hinzu

In diesem Schritt werden wir lernen, wie man Nmap verwendet, um IP-Fragmentierung zu unseren Scans hinzuzufügen. Die Fragmentierung kann verwendet werden, um einige Firewalls und Intrusion Detection Systeme (IDS) zu umgehen, die auf der Analyse ganzer Pakete beruhen.

Das Verständnis von IP-Fragmentierung

IP-Fragmentierung ist der Prozess, bei dem ein Paket in kleinere Stücke (Fragment) aufgeteilt wird, damit es über einen Netzwerkverbindungsweg mit einer kleineren maximalen Übertragungseinheit (MTU) passieren kann. Wenn ein fragmentiertes Paket an seinen Zielort gelangt, werden die Fragmente wieder zu dem ursprünglichen Paket zusammengefügt.

Wie Nmap Fragmentierung verwendet

Nmaps Option -f bewirkt, dass der Scan kleine fragmentierte IP-Pakete verwendet. Dies kann es den Firewalls und Intrusion Detection Systemen schwieriger machen, den Scan zu erkennen, da sie die Pakete erst zusammenfügen müssen, bevor sie sie analysieren können. Einige Systeme können möglicherweise nicht so konfiguriert sein, um fragmentierte Pakete richtig zusammenzufügen, was es dem Scan ermöglicht, ihre Abwehrmechanismen zu umgehen.

Die Kombination von Fragmentierung mit Deckos

Wir können die Fragmentierung mit Deckos kombinieren, wie im vorherigen Schritt vorgestellt, um den Scan weiter zu verdecken. Dies macht es noch schwieriger für das Ziel, die Quelle und den Charakter des Scans zu identifizieren.

Praktisches Beispiel

Lassen Sie uns einen Scan mit Fragmentierung und Deckos durchführen. In diesem Beispiel verwenden wir die Option -f, um die Fragmentierung zu aktivieren, und die Option -D, um 3 zufällige, nicht reservierte IP-Adressen (RND:3) hinzuzufügen. Wir werden die Ziel-IP-Adresse 127.0.0.1 (localhost) scannen.

1. Öffnen Sie ein Terminal: Starten Sie das Xfce-Terminal in Ihrer LabEx-VM.

2. Führen Sie den Nmap-Befehl aus:

   sudo nmap -f -D RND:3 127.0.0.1
   

   • sudo: Dies ist erforderlich, da die Fragmentierung auf einigen Systemen root-Rechte erfordern kann.
   • -f: Dies 告诉 Nmap 使用分片的 IP 数据包。
   • -D RND:3: Dies 告诉 Nmap 使用 3 个随机的、非保留的 IP 地址作为诱饵。
   • 127.0.0.1: Dies ist die Ziel-IP-Adresse, die wir scannen (localhost).

3. Untersuchen Sie die Ausgabe:

   Die Ausgabe wird zeigen, wie Nmap den Scan mit Fragmentierung und Deckos ausführt.

   Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:05 UTC
   Nmap scan report for localhost (127.0.0.1)
   Host is up (0.0000090s latency).
   Other addresses for localhost (not scanned): ::1
   
   PORT     STATE SERVICE
   22/tcp   open  ssh
   631/tcp  open  ipp
   
   Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds
   

   Hinweis: Die genaue Ausgabe kann je nach Zielsystem und Netzwerkkonfiguration variieren. Der entscheidende Punkt ist, dass der Scan erfolgreich abgeschlossen wird, während die Fragmentierung verwendet wird.

Kombiniere mit Skripten mit nmap -sC -f 192.168.1.1

In diesem Schritt werden wir Nmap's Skripting-Engine mit Fragmentierung kombinieren, um umfassendere und möglicherweise verstecktere Scans durchzuführen.

Das Verständnis von Nmap-Skripten

Nmap hat eine leistungsstarke Skripting-Engine (NSE), die es Ihnen ermöglicht, verschiedene Aufgaben zu automatisieren, wie die Schwachstellenprüfung, die Dienstenumeration und vieles mehr. Skripte werden in Lua geschrieben und können verwendet werden, um Nmap's Funktionalität zu erweitern.

Die Option -sC告诉 Nmap，标准的脚本集将被执行。这些脚本旨在提供目标系统的全面概述。

Die Kombination von Skripten mit Fragmentierung

Indem wir Skripte mit Fragmentierung (aus dem vorherigen Schritt) kombinieren, können wir versuchen, bestimmte Sicherheitsmaßnahmen zu umgehen, die möglicherweise skriptbasierte Scans blockieren oder erkennen. Die Fragmentierung kann es den Intrusion Detection Systemen schwieriger machen, den von den Skripten erzeugten Traffic zu analysieren.

Praktisches Beispiel

Lassen Sie uns einen Scan mit den Standardskripten und Fragmentierung durchführen. In diesem Beispiel verwenden wir die Option -sC, um die Standardskripte auszuführen, und die Option -f, um die Fragmentierung zu aktivieren. Wir werden die Ziel-IP-Adresse 192.168.1.1 scannen.

1. Öffnen Sie ein Terminal: Starten Sie das Xfce-Terminal in Ihrer LabEx-VM.

2. Führen Sie den Nmap-Befehl aus:

   sudo nmap -sC -f 192.168.1.1
   

   • sudo: Dies ist erforderlich, da die Fragmentierung auf einigen Systemen root-Rechte erfordern kann.
   • -sC: Dies 告诉 Nmap，标准的脚本集将被执行。
   • -f: Dies 告诉 Nmap 使用分片的 IP 数据包。
   • 192.168.1.1: Dies ist die Ziel-IP-Adresse, die wir scannen.

3. Untersuchen Sie die Ausgabe:

   Die Ausgabe wird zeigen, wie Nmap den Scan ausführt, die Standardskripte ausführt und Fragmentierung verwendet. Die Skriptausgabe wird zusätzliche Informationen über das Zielsystem liefern, wie Dienstversionen, potenzielle Schwachstellen und mehr.

   Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:10 UTC
   Nmap scan report for 192.168.1.1
   Host is up (0.00020s latency).
   Not shown: 999 closed ports
   PORT   STATE SERVICE
   22/tcp open  ssh
   | ssh-hostkey:
   |   2048 SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (RSA)
   |_  256 SHA256:yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy (ECDSA)
   Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
   
   Nmap done: 1 IP address (1 host up) scanned in 5.20 seconds
   

   Hinweis: Die genaue Ausgabe kann je nach Zielsystem und Netzwerkkonfiguration variieren. Der entscheidende Punkt ist, dass der Scan erfolgreich abgeschlossen wird, Fragmentierung verwendet und die Standardskripte ausführt. Das ssh-hostkey-Skript ist Teil der Standardskriptmenge und liefert Informationen über den SSH-Hostschlüssel.

Speichere Szenarioergebnisse mit nmap -D RND:5 -oN scenario.txt 127.0.0.1

In diesem Schritt werden wir lernen, wie man die Ergebnisse eines Nmap-Scans in eine Datei speichert. Dies ist hilfreich, um Ihre Ergebnisse zu dokumentieren, später zu analysieren oder mit anderen zu teilen.

Das Verständnis von Nmap-Ausgabemöglichkeiten

Nmap bietet mehrere Optionen, um Scanergebnisse in verschiedenen Formaten zu speichern. Die Option -oN speichert die Ergebnisse im "normalen", menschenlesbaren Format. Dies ist das am häufigsten verwendete Format für die allgemeine Verwendung.

Speichern von Scanergebnissen in einer Datei

Um die Ergebnisse eines Scans in eine Datei zu speichern, verwenden Sie die Option -oN gefolgt vom Dateinamen. Beispielsweise speichert -oN results.txt die Ergebnisse in einer Datei namens results.txt.

Kombinieren von Deckos und Speichern der Ausgabe

Wir können die Deckotechnik (aus vorherigen Schritten) mit dem Speichern der Ausgabe in eine Datei kombinieren. Dies ermöglicht es uns, einen versteckten Scan durchzuführen und dann die Ergebnisse für eine spätere Analyse zu speichern.

Praktisches Beispiel

Lassen Sie uns einen Scan mit Deckos durchführen und die Ergebnisse in eine Datei namens scenario.txt speichern. In diesem Beispiel verwenden wir die Option -D, um 5 zufällige, nicht reservierte IP-Adressen (RND:5) hinzuzufügen, und die Option -oN, um die Ergebnisse in scenario.txt zu speichern. Wir werden die Ziel-IP-Adresse 127.0.0.1 (localhost) scannen.

1. Öffnen Sie ein Terminal: Starten Sie das Xfce-Terminal in Ihrer LabEx-VM.

2. Führen Sie den Nmap-Befehl aus:

   sudo nmap -D RND:5 -oN scenario.txt 127.0.0.1
   

   • sudo: Dies ist erforderlich, da Deckos auf einigen Systemen root-Rechte erfordern kann.
   • -D RND:5: Dies 告诉 Nmap，使用 5 个随机的、非保留的 IP 地址作为诱饵。
   • -oN scenario.txt: Dies 告诉 Nmap，将结果以正常格式保存到一个名为scenario.txt的文件中。
   • 127.0.0.1: Dies ist die Ziel-IP-Adresse, die wir scannen (localhost).

3. Untersuchen Sie die Ausgabe:

   Die Ausgabe wird ähnlich wie bei vorherigen Scans sein, aber die Ergebnisse werden auch in die Datei scenario.txt im aktuellen Verzeichnis (~/project) gespeichert.

   Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:15 UTC
   Nmap scan report for localhost (127.0.0.1)
   Host is up (0.0000090s latency).
   Other addresses for localhost (not scanned): ::1
   
   PORT     STATE SERVICE
   22/tcp   open  ssh
   631/tcp  open  ipp
   
   Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds
   

4. Verifizieren Sie die Datei:

   Sie können überprüfen, dass die Datei erstellt wurde und die Scanergebnisse enthält, indem Sie den Befehl cat verwenden:

   cat scenario.txt
   

   Dies wird die Inhalte der Datei scenario.txt im Terminal anzeigen.

Prüfe die Effektivität der Verdeckung in der Xfce - Konsole

In diesem Schritt werden wir die Wirksamkeit der Ausweichtechniken überprüfen, die wir in den vorherigen Schritten verwendet haben. Dies ist ein konzeptioneller Schritt, in dem wir diskutieren, wie diese Techniken helfen können, Sicherheitsmaßnahmen zu umgehen. Da wir uns in einem kontrollierten Laborklima befinden, können wir die Ausweichung nicht endgültig beweisen, aber wir können die Grundprinzipien diskutieren.

Das Verständnis von Ausweichtechniken

Ausweichtechniken sind Methoden, um die Erkennung durch Sicherheitssysteme wie Firewalls, Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) zu vermeiden. Nmap bietet mehrere Optionen für die Ausweichung, darunter:

• Deckos: Es wird so aussehen, als komme der Scan von mehreren IP-Adressen, was es schwieriger macht, die tatsächliche Quelle zu lokalisieren.
• Fragmentierung: Aufteilen des Scanverkehrs in kleinere Pakete, was einige Firewalls umgehen kann, die so konfiguriert sind, größere Pakete zu blockieren oder Schwierigkeiten haben, fragmentierte Pakete wieder zusammenzusetzen.
• Spoofing: Verbergen Ihrer echten IP-Adresse, indem Sie eine andere Quell-IP-Adresse verwenden.
• Skripte: Verwenden von Skripten, um gezieltere und möglicherweise verstecktere Scans durchzuführen.

Überprüfung unserer Techniken

Lassen Sie uns die Techniken überprüfen, die wir in den vorherigen Schritten verwendet haben:

1. Deckos und Spoofing (nmap -D RND:5 -S 192.168.1.100 192.168.1.1): Dieser Befehl verwendete 5 zufällige Deckos und spoofte die Quell-IP-Adresse. Dies erschwert es einem Ziel, die wahre Quelle des Scans zu identifizieren. Ein IDS könnte mehrere Verbindungen von verschiedenen IP-Adressen sehen, was es schwieriger macht, den Traffic zu korrelieren und den Angreifer zu identifizieren.

2. Fragmentierung und Deckos (nmap -f -D RND:3 127.0.0.1): Dieser Befehl verwendete Fragmentierung und Deckos. Die Fragmentierung kann helfen, Firewalls zu umgehen, die so konfiguriert sind, bestimmten Traffic zu blockieren oder Schwierigkeiten haben, fragmentierte Pakete wieder zusammenzusetzen. Die Deckos verschleiern die Quelle des Scans weiter.

3. Skripte und Fragmentierung (nmap -sC -f 192.168.1.1): Dieser Befehl kombinierte Skripte mit Fragmentierung. Die Fragmentierung kann helfen, Firewalls zu umgehen, die so konfiguriert sind, bestimmten Traffic zu blockieren oder Schwierigkeiten haben, fragmentierte Pakete wieder zusammenzusetzen. Die Skripte ermöglichen gezieltere Scans.

4. Speichern der Ergebnisse (nmap -D RND:5 -oN scenario.txt 127.0.0.1): Dieser Befehl speicherte die Ergebnisse eines Scans mit Deckos in eine Datei. Dies ist hilfreich, um Ihre Ergebnisse zu dokumentieren und später zu analysieren.

Einschränkungen im Laborklima

In unserer LabEx-VM-Umgebung haben wir keine echte Firewall oder ein IDS, gegen das getestet werden kann. Daher können wir nicht endgültig beweisen, dass diese Techniken effektiv bei der Ausweichung der Erkennung sind. Wir können jedoch die Grundprinzipien hinter diesen Techniken verstehen und wie sie in realen Szenarien verwendet werden können.

Diskussionspunkte

Bedenken Sie folgende Fragen:

• Wie könnte eine Firewall oder ein IDS diese Ausweichtechniken erkennen?
• Welche anderen Ausweichtechniken stehen in Nmap zur Verfügung?
• Welche ethischen Überlegungen ergeben sich bei der Verwendung von Ausweichtechniken?

Dieser Schritt ist so konzipiert, dass Sie dazu ermutigt werden, kritisch über die Wirksamkeit von Ausweichtechniken und deren potenziellen Einfluss auf die Sicherheit nachzudenken.

Analysiere die Eignung für die reale Welt in der Xfce - Konsole

In diesem Schritt werden wir die Eignung für die Praxis der Nmap-Techniken analysieren, die wir in diesem Labor untersucht haben. Dies ist ein konzeptioneller Schritt, der sich auf die ethischen und praktischen Aspekte der Verwendung dieser Techniken in realen Szenarien konzentriert.

Ethische Überlegungen

Bevor wir die praktischen Anwendungen diskutieren, ist es von entscheidender Bedeutung, die ethischen Überlegungen anzusprechen. Das Verwenden von Nmap, insbesondere mit Ausweichtechniken, kann als unethisch oder sogar illegal angesehen werden, wenn es ohne Genehmigung auf Systemen durchgeführt wird, die Sie nicht besitzen oder verwalten. Stellen Sie immer vor dem Scannen eines Netzwerks oder Systems eine ausdrückliche Genehmigung ein.

Reale Szenarien

Trotz der ethischen Bedenken ist Nmap ein leistungsstarkes Tool mit legitimem Einsatz in verschiedenen realen Szenarien:

1. Netzwerksicherheitsüberprüfung: Sicherheitsexperten verwenden Nmap, um die Sicherheitslage ihrer Netzwerke zu bewerten. Sie können offene Ports, laufende Dienste und potenzielle Schwachstellen identifizieren. Ausweichtechniken können verwendet werden, um reale Angriffe zu simulieren und die Effizienz von Sicherheitskontrollen zu testen.

2. Schwachstellenbewertung: Nmap kann verwendet werden, um bekannte Schwachstellen in Systemen und Anwendungen zu identifizieren. Indem Nmap mit Schwachstellen-Datenbanken kombiniert wird, können Sicherheitsexperten proaktiv potentielle Sicherheitsrisiken identifizieren und bekämpfen.

3. Eingriffserkennung: Nmap kann verwendet werden, um unbefugte Zugangversuche oder böswillige Aktivitäten in einem Netzwerk zu erkennen. Indem man den Netzwerkverkehr überwacht und Scanmuster analysiert, können Sicherheitsexperten potenzielle Sicherheitsereignisse identifizieren und darauf reagieren.

4. Netzwerkkartenierung: Nmap kann verwendet werden, um eine detaillierte Karte eines Netzwerks zu erstellen, einschließlich der Geräte, Dienste und Verbindungen. Diese Informationen können verwendet werden, um die Netzwerkleistung zu verbessern, Verbindungsprobleme zu beheben und Netzwerk-Upgrades zu planen.

5. Compliance-Testing: Nmap kann verwendet werden, um zu überprüfen, ob ein Netzwerk den Sicherheitsrichtlinien und -vorschriften entspricht. Indem man das Netzwerk scannen und die Ergebnisse analysieren, können Sicherheitsexperten gewährleisten, dass das Netzwerk die erforderlichen Sicherheitsstandards erfüllt.

Einschränkungen und Gegenmaßnahmen

Es ist wichtig zu beachten, dass Ausweichtechniken nicht unfehlbar sind. Sicherheitssysteme entwickeln sich ständig, um diese Techniken zu erkennen und zu verhindern. Einige häufige Gegenmaßnahmen sind:

• Eingriffserkennungssysteme (IDS): IDS können verdächtige Netzwerkverkehrsmuster wie Portscanning und Fragmentierung erkennen.
• Firewalls: Firewalls können unbefugten Zugang zu einem Netzwerk blockieren und böswilligen Traffic filtern.
• Honeypots: Honeypots sind Lurhsysteme, die dazu bestimmt sind, Angreifer anzuziehen und Informationen über ihre Techniken zu sammeln.
• Protokollanalyse: Die Analyse von Systemprotokollen kann helfen, verdächtige Aktivitäten und potenzielle Sicherheitsverletzungen zu identifizieren.

Zusammenfassung

Nmap ist ein vielseitiges Tool mit einer Vielzahl von Anwendungen in der Netzwerksicherheit. Es ist jedoch von entscheidender Bedeutung, Nmap verantwortungsvoll und ethisch zu verwenden. Stellen Sie immer vor dem Scannen eines Netzwerks oder Systems eine ausdrückliche Genehmigung ein, und seien Sie sich der potenziellen rechtlichen und ethischen Folgen Ihrer Handlungen bewusst. Das Verständnis der Einschränkungen von Ausweichtechniken und der Gegenmaßnahmen, die verwendet werden, um sie zu erkennen, ist unerlässlich für eine effektive Netzwerksicherheit.

Zusammenfassung

In diesem Labor haben wir Techniken untersucht, um reale Szenarien in Nmap zu simulieren, wobei wir uns auf die Verhüllung der Scanquelle konzentriert haben. Wir haben gelernt, wie man mit der Option -D Versteckadressen verwendet, um so zu machen, als ob der Scan von mehreren IP-Adressen ausgeht, und wie man die Quell-IP-Adresse mit der Option -S (Root-Rechte erforderlich) fälschen kann.

Des Weiteren haben wir die Hinzufügung von Fragmentierung mit der Option -f praktiziert, sie mit der standardmäßigen Skript-Scanning mit -sC kombiniert und die Scanergebnisse mit der Option -oN in eine Datei gespeichert. Das Labor endete mit der Überprüfung der Ausweichwirkung und der Analyse der Eignung für die Praxis im Xfce-Terminal.