Einführung
In diesem Lab werden wir untersuchen, wie man MAC-Adressen mit Nmap fälschen kann. Das Fälschen einer MAC-Adresse ermöglicht es Ihnen, Ihre Netzwerkidentität während eines Scans zu verbergen, was hilfreich sein kann, um entdeckt zu bleiben oder die Netzwerk-Sicherheit zu testen.
Das Lab behandelt das Angeben einer benutzerdefinierten MAC-Adresse mit der Option --spoof-mac, das Zufällig generieren einer MAC-Adresse mit --spoof-mac 0, das Hinzufügen von Ausführlichkeit mit der Option -v, das Speichern der gefälschten Scanausgabe in einer Datei und das Vergleichen der Ergebnisse mit einem normalen Scan im Xfce-Terminal.
MAC-Adresse mit nmap --spoof-mac 00:11:22:33:44:55 192.168.1.1 fälschen
In diesem Schritt werden wir untersuchen, wie man eine MAC-Adresse mit Nmap fälschen kann. Das Fälschen einer MAC-Adresse ermöglicht es Ihnen, Ihre Netzwerkidentität während eines Scans zu verbergen. Dies kann aus verschiedenen Gründen nützlich sein, wie z. B. das Entgehen der Erkennung oder das Testen der Netzwerk-Sicherheit.
Bevor wir beginnen, besprechen wir kurz, was eine MAC-Adresse ist. Eine MAC (Media Access Control)-Adresse ist eine eindeutige Kennung, die einer Netzwerk-Schnittstellensteuerung (NIC) zugewiesen wird, um als Netzwerkadresse bei der Kommunikation innerhalb eines Netzwerksegments verwendet zu werden. Es ist wie eine physische Adresse für Ihre Netzwerkkarte.
Nun verwenden wir Nmap, um unsere MAC-Adresse zu fälschen. Wir verwenden die Option --spoof-mac, gefolgt von der gewünschten MAC-Adresse und der Ziel-IP-Adresse.
Öffnen Sie Ihren Xfce-Terminal.
Führen Sie folgenden Befehl aus:
sudo nmap --spoof-mac 00:11:22:33:44:55 192.168.1.1
Dieser Befehl 告诉 Nmap 在扫描目标 IP 地址192.168.1.1时使用 MAC 地址00:11:22:33:44:55。您可能会看到类似于正常 Nmap 扫描的输出,但用于扫描的源 MAC 地址将是伪造的。
输出将显示扫描结果,包括开放端口和有关目标的其他信息。
Beispielausgabe (die genaue Ausgabe variiert je nach Ziel):
Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00020s latency).
Not shown: 999 closed ports
PORT STATE SERVICE
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 0.10s
In diesem Beispiel hat Nmap 192.168.1.1 mit der gefälschten MAC-Adresse 00:11:22:33:44:55 gescannt.
MAC-Adresse mit nmap --spoof-mac 0 127.0.0.1 zufällig generieren
Im vorherigen Schritt haben wir gelernt, wie man eine MAC-Adresse mit einem bestimmten Wert fälschen kann. In diesem Schritt werden wir untersuchen, wie man die MAC-Adresse mit Nmap zufällig generieren kann. Dies ist nützlich, wenn Sie vermeiden möchten, dass Sie mithilfe einer vorhersehbaren MAC-Adresse verfolgt werden.
Nmap ermöglicht es Ihnen, die MAC-Adresse zufällig zu generieren, indem Sie 0 als Argument für die Option --spoof-mac verwenden. Dies 告诉 Nmap, für jeden Scan eine völlig zufällige MAC-Adresse zu generieren.
Öffnen Sie Ihren Xfce-Terminal.
Führen Sie folgenden Befehl aus:
sudo nmap --spoof-mac 0 127.0.0.1
Dieser Befehl 告诉 Nmap, bei der Suche des Ziel-IP-Adresses 127.0.0.1 (localhost) eine zufällige MAC-Adresse zu verwenden.
Die Ausgabe wird die Ergebnisse des Scans anzeigen, einschließlich offener Ports und anderer Informationen über das Ziel. Da wir localhost scannen, sollten die Ergebnisse relativ schnell sein.
Beispielausgabe (die genaue Ausgabe variiert je nach Ziel und Systemkonfiguration):
Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:05 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed
Nmap done: 1 IP address (1 host up) scanned in 0.01s
In diesem Beispiel hat Nmap 127.0.0.1 mit einer zufällig generierten MAC-Adresse gescannt. Jede Zeit, wenn Sie diesen Befehl ausführen, wird Nmap eine andere MAC-Adresse generieren.
Verständlichkeit erhöhen mit nmap -v --spoof-mac 00:11:22:33:44:55 192.168.1.1
In diesem Schritt werden wir die MAC-Adressfälschung mit erhöhter Ausführlichkeit in Nmap kombinieren. Die Ausführlichkeit liefert detailliertere Informationen über den Scvorgang, was für das Debugging oder das Verständnis des Verhaltens von Nmap hilfreich sein kann.
Die Option -v in Nmap erhöht das Ausführlichkeitsniveau. Einmaliges Verwenden von -v liefert mehr Informationen als der Standard, und mehrfaches Verwenden (z. B. -vv oder -vvv) erhöht die Ausführlichkeit noch weiter.
Öffnen Sie Ihren Xfce-Terminal.
Führen Sie folgenden Befehl aus:
sudo nmap -v --spoof-mac 00:11:22:33:44:55 192.168.1.1
Dieser Befehl 告诉 Nmap, einen Scan von 192.168.1.1 durchzuführen, die MAC-Adresse zu 00:11:22:33:44:55 zu fälschen und eine ausführliche Ausgabe zu liefern.
Die Ausgabe wird detaillierter als in den vorherigen Schritten sein und zeigt die verschiedenen Phasen des Scans, die gesendeten Proben und die empfangenen Antworten.
Beispielausgabe (die genaue Ausgabe variiert je nach Ziel und Systemkonfiguration):
Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:10 UTC
NSE: Loaded 0 scripts for scanning.
Initiating Ping Scan at 10:10
Scanning 192.168.1.1 [4 ports]
Completed Ping Scan at 10:10, 0.00s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 10:10
Completed Parallel DNS resolution of 1 host. at 10:10, 0.00s elapsed
Initiating SYN Stealth Scan at 10:10
Scanning 192.168.1.1 [1000 ports]
Discovered open port 80/tcp on 192.168.1.1
Completed SYN Stealth Scan at 10:10, 0.05s elapsed (1000 total ports)
Nmap scan report for 192.168.1.1
Host is up (0.00018s latency).
Not shown: 999 closed ports
PORT STATE SERVICE
80/tcp open http
Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.07s
Raw packets sent: 1001 (44.044KB) | Rcvd: 1001 (40.044KB)
Bemerken Sie die zusätzlichen Informationen, wie das Laden von NSE-Skripts, das Initiieren verschiedener Scanphasen (Ping Scan, DNS-Auflösung, SYN Stealth Scan) und die Anzahl der gesendeten und empfangenen Pakete. Dieses Maß an Detail kann unschätzbare Hilfe bei der Fehlersuche im Netzwerk oder der Analyse von Scanergebnissen sein.
Gespeicherte gefälschte Scan mit nmap --spoof-mac 0 -oN spoof.txt 127.0.0.1
In diesem Schritt werden wir lernen, wie man die Ausgabe eines Nmap-Scans in eine Datei speichert. Dies ist nützlich für spätere Analysen oder die Erstellung von Berichten. Wir werden auch weiterhin die MAC-Adressfälschung verwenden.
Nmap bietet mehrere Optionen zum Speichern von Scanergebnissen. Die Option -oN speichert die Ausgabe im "normalen" Format, das für Menschen lesbar ist. Die Option -oG speichert die Ausgabe im grepbaren Format, was für Skripte nützlich ist. Die Option -oX speichert die Ausgabe im XML-Format, das für das Importieren in andere Tools nützlich ist.
Öffnen Sie Ihren Xfce-Terminal.
Führen Sie folgenden Befehl aus:
sudo nmap --spoof-mac 0 -oN spoof.txt 127.0.0.1
Dieser Befehl 告诉 Nmap, einen Scan von 127.0.0.1 durchzuführen, die MAC-Adresse zuzufällig generieren und die Ausgabe im normalen Format in eine Datei namens spoof.txt im aktuellen Verzeichnis (~/project) zu speichern.
Nach Abschluss des Scans können Sie den Inhalt der Datei spoof.txt mit dem Befehl cat anzeigen:
cat spoof.txt
Die Ausgabe wird die Scanergebnisse im für Menschen lesbaren Format anzeigen, ähnlich wie Sie sie auf der Konsole sehen.
Beispielausgabe (die genaue Ausgabe variiert je nach Ziel und Systemkonfiguration):
Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:15 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed
Nmap done: 1 IP address (1 host up) scanned in 0.01s
Die Datei spoof.txt enthält jetzt die Ergebnisse des Nmap-Scans, die Sie nach Belieben überprüfen können.
Scanausgabe im Xfce-Terminal überprüfen
In diesem Schritt werden wir die Scanausgabe überprüfen, die wir im vorherigen Schritt in die Datei spoof.txt gespeichert haben. Dies wird Ihnen die Praxis beim Interpretieren von Nmap-Scanergebnissen geben.
Öffnen Sie Ihren Xfce-Terminal.
Verwenden Sie den Befehl cat, um den Inhalt der Datei spoof.txt anzuzeigen:
cat spoof.txt
Die Ausgabe wird den Nmap-Scanbericht anzeigen. Lasst uns die wichtigsten Teile des Berichts aufteilen:
- Starting Nmap: Diese Zeile zeigt die Nmap-Version und das Datum und die Uhrzeit, zu der der Scan gestartet wurde.
- Nmap scan report for: Diese Zeile gibt das Ziel des Scans an (in diesem Fall
localhostoder127.0.0.1). - Host is up: Diese Zeile bestätigt, dass der Zielhost erreichbar ist. Die Latenz (Rundreisezeit) wird ebenfalls angezeigt.
- Ports: Dieser Abschnitt listet die Ports auf, die abgetastet wurden, und ihren Status (offen, geschlossen, gefiltert). Im vorherigen Schritt würden Sie, wenn alle Ports geschlossen waren, sehen: "All 1000 scanned ports on localhost are closed". Wenn irgendwelche Ports offen sind, werden sie hier mit ihrem Dienstnamen aufgelistet (z.B. 80/tcp open http).
- Nmap done: Diese Zeile fasst den Scan zusammen, einschließlich der Anzahl der abgetasteten IP-Adressen und der gesamten Scanzeit.
Beispielausgabe (die genaue Ausgabe variiert je nach Ziel und Systemkonfiguration):
Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:20 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed
Nmap done: 1 IP address (1 host up) scanned in 0.01s
Nehmen Sie sich einige Zeit, um die Ausgabe zu untersuchen und zu verstehen, was sie Ihnen über das Zielsystem mitteilt. Im nächsten Schritt werden wir diese Ausgabe mit der Ausgabe eines normalen Scans (ohne MAC-Adressfälschung) vergleichen, um zu sehen, ob es Unterschiede gibt.
Vergleichen mit normalem Scan im Xfce-Terminal
In diesem Schritt werden wir einen normalen Nmap-Scan (ohne MAC-Adressfälschung) ausführen und dessen Ausgabe mit der Ausgabe des gefälschten Scans aus den vorherigen Schritten vergleichen. Dies wird Ihnen helfen, zu verstehen, ob die MAC-Adressfälschung die Scanergebnisse beeinflusst.
Öffnen Sie Ihren Xfce-Terminal.
Führen Sie zunächst einen normalen Nmap-Scan von 127.0.0.1 durch:
sudo nmap 127.0.0.1
Dieser Befehl wird einen standardmäßigen Nmap-Scan des localhosts durchführen.
Untersuchen Sie die Ausgabe dieses Scans sorgfältig. Beachten Sie Folgendes:
- Die Nmap-Version und die Startzeit.
- Das Ziel des Scans (
127.0.0.1). - Ob der Host erreichbar ist.
- Die Liste der abgetasteten Ports und deren Status (offen, geschlossen, gefiltert).
- Die Scanabgeschlossenheitszeit.
Beispielausgabe (die genaue Ausgabe variiert je nach Ziel und Systemkonfiguration):
Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:25 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed
Nmap done: 1 IP address (1 host up) scanned in 0.01s
Vergleichen Sie nun diese Ausgabe mit dem Inhalt der Datei spoof.txt, die die Ausgabe des gefälschten Scans enthält. Sie können den Inhalt von spoof.txt mit dem Befehl cat anzeigen:
cat spoof.txt
Gibt es Unterschiede zwischen den beiden Scanergebnissen? In den meisten einfachen Szenarien werden die Scanergebnisse identisch sein. In komplexeren Netzwerkumgebungen kann die MAC-Adressfälschung jedoch die Reaktion des Zielsystems auf den Scan beeinflussen und möglicherweise zu unterschiedlichen Ergebnissen führen. Dies liegt daran, dass einige Netzwerkeinrichtungen oder Firewalls MAC-Adressen zur Filterung oder Zugangskontrolle verwenden.
In dieser einfachen Lab-Umgebung ist der primäre Zweck der MAC-Adressfälschung die Verschleierung der Scanherkunft, nicht unbedingt die Änderung der Scanergebnisse.
Zusammenfassung
In diesem Lab haben wir untersucht, wie man mit Nmap MAC-Adressen fälschen kann. Wir haben gelernt, die Option --spoof-mac zu verwenden, um eine bestimmte MAC-Adresse wie 00:11:22:33:44:55 anzugeben, während eines Scans einer Ziel-IP-Adresse. Dies ermöglicht es uns, unsere Netzwerkidentität zu verbergen und möglicherweise der Erkennung zu entgehen.
Des Weiteren haben wir begonnen, zu untersuchen, wie man die MAC-Adresse mit Nmap zufällig generieren kann, was hilfreich ist, um die Verfolgung durch die Verwendung einer vorhersehbaren MAC-Adresse zu vermeiden. Das Lab hat die grundlegende Syntax sowohl für die Angabe als auch die Zufälligkeit der MAC-Adresse gezeigt und die Grundlage für fortgeschrittene Netzwerkscantechniken gelegt.
