LabEx
Se connecterInscription gratuite

Simuler des scénarios réels avec Nmap

NmapNmapBeginner
Pratiquer maintenant

💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici

Introduction

Dans ce laboratoire, vous allez apprendre à simuler des scénarios du monde réel dans Nmap en utilisant des techniques pour éviter la détection et obscurcir l'origine de vos scans. Cela inclut l'utilisation d'adresses de décoys et de la falsification d'adresses IP pour rendre plus difficile pour les cibles d'identifier la véritable source du scan.

Le laboratoire vous guide dans l'utilisation de l'option -D pour ajouter des adresses IP de décoys aléatoires et de l'option -S pour falsifier l'adresse IP source. Vous allez également explorer la fragmentation, la combinaison de scans avec des scripts, la sauvegarde des résultats et l'analyse de l'efficacité de l'évitement et de l'applicabilité dans le monde réel, tout cela dans l'environnement du terminal Xfce.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL nmap(("Nmap")) -.-> nmap/NmapGroup(["Nmap"]) nmap/NmapGroup -.-> nmap/common_ports("Common Ports Scanning") nmap/NmapGroup -.-> nmap/output_formats("Output Formats") nmap/NmapGroup -.-> nmap/save_output("Save Output to File") nmap/NmapGroup -.-> nmap/port_scanning("Port Scanning Methods") nmap/NmapGroup -.-> nmap/service_detection("Service Detection") nmap/NmapGroup -.-> nmap/scripting_basics("Scripting Engine Basics") nmap/NmapGroup -.-> nmap/script_management("Script Categories and Updating") nmap/NmapGroup -.-> nmap/firewall_evasion("Firewall Evasion Techniques") subgraph Lab Skills nmap/common_ports -.-> lab-547114{{"Simuler des scénarios réels avec Nmap"}} nmap/output_formats -.-> lab-547114{{"Simuler des scénarios réels avec Nmap"}} nmap/save_output -.-> lab-547114{{"Simuler des scénarios réels avec Nmap"}} nmap/port_scanning -.-> lab-547114{{"Simuler des scénarios réels avec Nmap"}} nmap/service_detection -.-> lab-547114{{"Simuler des scénarios réels avec Nmap"}} nmap/scripting_basics -.-> lab-547114{{"Simuler des scénarios réels avec Nmap"}} nmap/script_management -.-> lab-547114{{"Simuler des scénarios réels avec Nmap"}} nmap/firewall_evasion -.-> lab-547114{{"Simuler des scénarios réels avec Nmap"}} end

Scan avec des décoys et de la falsification à l'aide de nmap -D RND:5 -S 192.168.1.100 192.168.1.1

Dans cette étape, nous allons explorer la manière d'utiliser Nmap pour effectuer des scans avec des adresses de décoys et de la falsification d'adresses IP. Cette technique peut aider à obscurcir l'origine de votre scan et à rendre plus difficile pour les cibles d'identifier la véritable source.

Comprendre les décoys et la falsification

  • Décoys : Nmap peut faire apparaître que le scan provient de plusieurs adresses IP, pas seulement de la vôtre. Cela est obtenu en ajoutant des adresses "de décoys" au scan. La cible verra le trafic provenant de ces adresses de décoys ainsi que de votre véritable adresse IP, rendant ainsi plus difficile de localiser le véritable scanner.
  • Falsification : La falsification d'adresse IP consiste à modifier l'adresse IP source dans les paquets envoyés par Nmap. Cela fait apparaître que le scan provient d'une adresse IP différente de la vôtre.

Considérations importantes :

  • La falsification nécessite des privilèges root car elle implique de manipuler les paquets réseau au niveau bas.
  • L'utilisation d'adresses falsifiées que vous ne contrôlez pas peut entraîner des perturbations réseau ou être considérée comme immorale/illégale. Soyez prudent et n'utilisez la falsification que dans des environnements autorisés.
  • L'option -D ajoute des décoys au scan, tandis que l'option -S définit une adresse IP source spécifique.

Exemple pratique

Effectuons un scan en utilisant des décoys et de la falsification. Dans cet exemple, nous allons utiliser l'option -D pour ajouter 5 adresses IP de décoys aléatoires (RND:5) et l'option -S pour falsifier l'adresse IP source à 192.168.1.100. Nous allons scanner l'adresse IP cible 192.168.1.1.

  1. Ouvrir un terminal : Lancez le terminal Xfce dans votre VM LabEx.

  2. Exécuter la commande Nmap :

    sudo nmap -D RND:5 -S 192.168.1.100 192.168.1.1
    • sudo : Cela est nécessaire car la falsification nécessite des privilèges root.
    • -D RND:5 : Cela indique à Nmap d'utiliser 5 adresses IP aléatoires, non réservées, comme décoys.
    • -S 192.168.1.100 : Cela définit l'adresse IP source à 192.168.1.100. Remarque : Cette adresse IP est uniquement à des fins de démonstration. Dans un scénario réel, vous devriez vous assurer d'avoir la permission d'utiliser cette adresse IP.
    • 192.168.1.1 : C'est l'adresse IP cible que nous sommes en train de scanner.

  3. Examen du résultat :

    La sortie montrera Nmap effectuant le scan. Étant donné que nous utilisons des décoys et de la falsification, il sera plus difficile pour la cible d'identifier avec précision la source du scan.

    Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00020s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
22/tcp open  ssh

Nmap done: 1 IP address (1 host up) scanned in 0.10 seconds

    Remarque : La sortie spécifique variera selon le système cible et la configuration réseau.

Ajouter la fragmentation avec nmap -f -D RND:3 127.0.0.1

Dans cette étape, nous allons apprendre à utiliser Nmap pour ajouter la fragmentation IP à nos scans. La fragmentation peut être utilisée pour contourner certains pare-feu et systèmes de détection d'intrusions (IDS) qui dépendent de l'analyse de paquets complets.

Comprendre la fragmentation IP

La fragmentation IP est le processus consistant à diviser un paquet en parties plus petites (fragmentations) afin qu'il puisse traverser une liaison de réseau avec une unité de transmission maximale (MTU) plus petite. Lorsqu'un paquet fragmenté atteint sa destination, les fragments sont reassemblés en un paquet original.

La manière dont Nmap utilise la fragmentation

L'option -f de Nmap fait en sorte que le scan utilise de petits paquets IP fragmentés. Cela peut rendre plus difficile pour les pare-feu et les systèmes de détection d'intrusions de détecter le scan car ils doivent reassembler les paquets avant de les analyser. Certains systèmes peuvent ne pas être configurés pour reassembler correctement les paquets fragmentés, permettant ainsi au scan de contourner leurs défenses.

Combiner la fragmentation avec les décoys

Nous pouvons combiner la fragmentation avec les décoys, tel que présenté dans l'étape précédente, pour obscurcir encore plus le scan. Cela rend encore plus difficile pour la cible d'identifier la source et la nature du scan.

Exemple pratique

Effectuons un scan avec fragmentation et décoys. Dans cet exemple, nous utiliserons l'option -f pour activer la fragmentation et l'option -D pour ajouter 3 adresses IP de décoys aléatoires (RND:3). Nous allons scanner l'adresse IP cible 127.0.0.1 (localhost).

  1. Ouvrir un terminal : Lancez le terminal Xfce dans votre VM LabEx.

  2. Exécuter la commande Nmap :

    sudo nmap -f -D RND:3 127.0.0.1
    • sudo : Cela est nécessaire car la fragmentation peut nécessiter des privilèges root sur certains systèmes.
    • -f : Cela indique à Nmap d'utiliser des paquets IP fragmentés.
    • -D RND:3 : Cela indique à Nmap d'utiliser 3 adresses IP aléatoires, non réservées, comme décoys.
    • 127.0.0.1 : C'est l'adresse IP cible que nous sommes en train de scanner (localhost).

  3. Examen du résultat :

    La sortie montrera Nmap effectuant le scan avec fragmentation et décoys.

    Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:05 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Other addresses for localhost (not scanned): ::1

PORT     STATE SERVICE
22/tcp   open  ssh
631/tcp  open  ipp

Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds

    Remarque : La sortie spécifique variera selon le système cible et la configuration réseau. Le point clé est que le scan se termine avec succès tout en utilisant la fragmentation.

Combiner avec des scripts à l'aide de nmap -sC -f 192.168.1.1

Dans cette étape, nous allons combiner le moteur de scripts de Nmap avec la fragmentation pour effectuer des scans plus complets et potentiellement plus discrêts.

Comprendre les scripts de Nmap

Nmap dispose d'un puissant moteur de scripts (NSE) qui vous permet d'automatiser diverses tâches, telles que la détection de vulnérabilités, l'énumération des services, etc. Les scripts sont écrits en Lua et peuvent être utilisés pour étendre la fonctionnalité de Nmap.

L'option -sC indique à Nmap d'exécuter l'ensemble par défaut de scripts. Ces scripts sont conçus pour fournir une vue d'ensemble générale du système cible.

Combiner les scripts avec la fragmentation

En combinant les scripts avec la fragmentation (de l'étape précédente), nous pouvons tenter de contourner certaines mesures de sécurité qui pourraient bloquer ou détecter des scans basés sur des scripts. La fragmentation peut rendre plus difficile pour les systèmes de détection d'intrusions d'analyser le trafic généré par les scripts.

Exemple pratique

Effectuons un scan en utilisant les scripts par défaut et la fragmentation. Dans cet exemple, nous utiliserons l'option -sC pour exécuter les scripts par défaut et l'option -f pour activer la fragmentation. Nous allons scanner l'adresse IP cible 192.168.1.1.

  1. Ouvrir un terminal : Lancez le terminal Xfce dans votre VM LabEx.

  2. Exécuter la commande Nmap :

    sudo nmap -sC -f 192.168.1.1
    • sudo : Cela est nécessaire car la fragmentation peut nécessiter des privilèges root sur certains systèmes.
    • -sC : Cela indique à Nmap d'exécuter l'ensemble par défaut de scripts.
    • -f : Cela indique à Nmap d'utiliser des paquets IP fragmentés.
    • 192.168.1.1 : C'est l'adresse IP cible que nous sommes en train de scanner.

  3. Examen du résultat :

    La sortie montrera Nmap effectuant le scan, exécutant les scripts par défaut et utilisant la fragmentation. La sortie des scripts fournira des informations supplémentaires sur le système cible, telles que les versions de service, les vulnérabilités potentielles, etc.

    Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:10 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00020s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
22/tcp open  ssh
| ssh-hostkey:
|   2048 SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (RSA)
|_  256 SHA256:yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy (ECDSA)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Nmap done: 1 IP address (1 host up) scanned in 5.20 seconds

    Remarque : La sortie spécifique variera selon le système cible et la configuration réseau. Le point clé est que le scan se termine avec succès, utilise la fragmentation et exécute les scripts par défaut. Le script ssh-hostkey est partie de l'ensemble de scripts par défaut et fournit des informations sur la clé d'hôte SSH.

Sauvegarder les résultats d'un scénario avec nmap -D RND:5 -oN scenario.txt 127.0.0.1

Dans cette étape, nous allons apprendre à sauvegarder les résultats d'un scan Nmap dans un fichier. Cela est utile pour documenter vos découvertes, analyser les résultats plus tard ou les partager avec d'autres.

Comprendre les options de sortie de Nmap

Nmap propose plusieurs options pour sauvegarder les résultats du scan dans différents formats. L'option -oN sauvegarde les résultats dans un format "normal" lisible par l'homme. C'est le format le plus courant pour une utilisation générale.

Sauvegarder les résultats du scan dans un fichier

Pour sauvegarder les résultats d'un scan dans un fichier, vous utilisez l'option -oN suivie du nom du fichier. Par exemple, -oN results.txt sauvegardera les résultats dans un fichier nommé results.txt.

Combiner les décoys et sauvegarder la sortie

Nous pouvons combiner la technique des décoys (des étapes précédentes) avec la sauvegarde de la sortie dans un fichier. Cela nous permet d'effectuer un scan discrètement puis de sauvegarder les résultats pour une analyse ultérieure.

Exemple pratique

Effectuons un scan avec des décoys et sauvegardons les résultats dans un fichier nommé scenario.txt. Dans cet exemple, nous utiliserons l'option -D pour ajouter 5 adresses IP de décoys aléatoires (RND:5) et l'option -oN pour sauvegarder les résultats dans scenario.txt. Nous allons scanner l'adresse IP cible 127.0.0.1 (localhost).

  1. Ouvrir un terminal : Lancez le terminal Xfce dans votre VM LabEx.

  2. Exécuter la commande Nmap :

    sudo nmap -D RND:5 -oN scenario.txt 127.0.0.1
    • sudo : Cela est nécessaire car les décoys peuvent nécessiter des privilèges root sur certains systèmes.
    • -D RND:5 : Cela indique à Nmap d'utiliser 5 adresses IP aléatoires, non réservées, comme décoys.
    • -oN scenario.txt : Cela indique à Nmap de sauvegarder les résultats dans un format normal dans un fichier nommé scenario.txt.
    • 127.0.0.1 : C'est l'adresse IP cible que nous sommes en train de scanner (localhost).

  3. Examen du résultat :

    La sortie sera similaire aux scans précédents, mais les résultats seront également sauvegardés dans le fichier scenario.txt dans votre répertoire actuel (~/projet).

    Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:15 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Other addresses for localhost (not scanned): ::1

PORT     STATE SERVICE
22/tcp   open  ssh
631/tcp  open  ipp

Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds

  4. Vérifier le fichier :

    Vous pouvez vérifier que le fichier a été créé et contient les résultats du scan en utilisant la commande cat :

    cat scenario.txt

    Cela affichera le contenu du fichier scenario.txt dans le terminal.

Vérifier l'efficacité de l'évitement dans le terminal Xfce

Dans cette étape, nous allons vérifier l'efficacité des techniques d'évitement que nous avons utilisées dans les étapes précédentes. Il s'agit d'une étape conceptuelle où nous discutons de la manière dont ces techniques peuvent aider à contourner les mesures de sécurité. Étant donné que nous sommes dans un environnement de laboratoire contrôlé, nous ne serons pas en mesure de prouver définitivement l'évitement, mais nous pouvons discuter des principes.

Comprendre les techniques d'évitement

Les techniques d'évitement sont des méthodes utilisées pour éviter la détection par des systèmes de sécurité, tels que les pare-feu, les systèmes de détection d'intrusions (IDS) et les systèmes de prévention d'intrusions (IPS). Nmap propose plusieurs options pour l'évitement, notamment :

  • Décoyes : Faire apparaître que le scan provient de plusieurs adresses IP, ce qui rend plus difficile de localiser la véritable source.
  • Fragmentation : Diviser le trafic de scan en paquets plus petits, ce qui peut contourner certains pare-feu configurés pour bloquer certains types de trafic ou ayant des difficultés à reassembler les paquets fragmentés.
  • Spoofing : Cacher votre adresse IP réelle en utilisant une autre adresse IP source.
  • Scripts : Utiliser des scripts pour effectuer des scans plus ciblés et potentiellement plus discrêts.

Vérifier nos techniques

Voyons les techniques que nous avons utilisées dans les étapes précédentes :

  1. Décoyes et Spoofing (nmap -D RND:5 -S 192.168.1.100 192.168.1.1) : Cette commande a utilisé 5 décoys aléatoires et a spoofé l'adresse IP source. Cela rend plus difficile pour une cible d'identifier la véritable source du scan. Un IDS pourrait voir plusieurs connexions provenant de différentes adresses IP, ce qui rend plus difficile de corrélater le trafic et d'identifier l'attaquant.
  2. Fragmentation et Décoyes (nmap -f -D RND:3 127.0.0.1) : Cette commande a utilisé la fragmentation et des décoys. La fragmentation peut aider à contourner les pare-feu configurés pour bloquer certains types de trafic ou ayant des difficultés à reassembler les paquets fragmentés. Les décoys obscurcissent davantage la source du scan.
  3. Scripts et Fragmentation (nmap -sC -f 192.168.1.1) : Cette commande a combiné des scripts avec la fragmentation. La fragmentation peut aider à contourner les pare-feu configurés pour bloquer certains types de trafic ou ayant des difficultés à reassembler les paquets fragmentés. Les scripts permettent des scans plus ciblés.
  4. Sauvegarder les résultats (nmap -D RND:5 -oN scenario.txt 127.0.0.1) : Cette commande a enregistré les résultats d'un scan avec des décoys dans un fichier. Cela est utile pour documenter vos découvertes et analyser les résultats plus tard.

Limitations dans l'environnement de laboratoire

Dans notre environnement de VM LabEx, nous n'avons pas de véritable pare-feu ou d'IDS pour tester. Par conséquent, nous ne pouvons pas prouver définitivement que ces techniques sont efficaces pour éviter la détection. Cependant, nous pouvons comprendre les principes derrière ces techniques et la manière dont elles peuvent être utilisées dans des scénarios du monde réel.

Points de discussion

Considérez les questions suivantes :

  • Comment un pare-feu ou un IDS pourrait-il détecter ces techniques d'évitement?
  • Quelles autres techniques d'évitement sont disponibles dans Nmap?
  • Quelles sont les considérations éthiques liées à l'utilisation de techniques d'évitement?

Cette étape est conçue pour vous encourager à réfléchir de manière critique à l'efficacité des techniques d'évitement et à leur impact potentiel sur la sécurité.

Analyser l'applicabilité dans le monde réel dans le terminal Xfce

Dans cette étape, nous allons analyser l'applicabilité dans le monde réel des techniques Nmap que nous avons explorées dans ce laboratoire. Il s'agit d'une étape conceptuelle axée sur les considérations éthiques et pratiques de l'utilisation de ces techniques dans des scénarios du monde réel.

Considérations éthiques

Avant de discuter des applications pratiques, il est crucial de traiter des considérations éthiques. L'utilisation de Nmap, en particulier avec des techniques d'évitement, peut être considérée comme non éthique voire illégale si elle est effectuée sans autorisation sur des systèmes que vous ne possédez pas ou ne gérez pas. Toujours obtenir une autorisation expresse avant de scanner tout réseau ou système.

Scénarios du monde réel

Malgré les préoccupations éthiques, Nmap est un outil puissant avec des utilisations légitimes dans divers scénarios du monde réel :

  1. Audit de sécurité réseau : Les professionnels de la sécurité utilisent Nmap pour évaluer la posture de sécurité de leurs réseaux. Ils peuvent identifier les ports ouverts, les services en cours d'exécution et les vulnérabilités potentielles. Les techniques d'évitement peuvent être utilisées pour simuler des attaques du monde réel et tester l'efficacité des contrôles de sécurité.
  2. Évaluation des vulnérabilités : Nmap peut être utilisé pour identifier les vulnérabilités connues dans les systèmes et les applications. En combinant Nmap avec des bases de données de vulnérabilités, les professionnels de la sécurité peuvent identifier et résoudre proactivement les risques de sécurité potentiels.
  3. Découverte d'intrusions : Nmap peut être utilisé pour détecter des tentatives d'accès non autorisé ou des activités malveillantes sur un réseau. En surveillant le trafic réseau et en analysant les modèles de scan, les professionnels de la sécurité peuvent identifier et répondre à des incidents de sécurité potentiels.
  4. Cartographie du réseau : Nmap peut être utilisé pour créer une carte détaillée d'un réseau, y compris les appareils, les services et les connexions. Cette information peut être utilisée pour améliorer les performances du réseau, résoudre les problèmes de connectivité et planifier les mises à niveau du réseau.
  5. Test de conformité : Nmap peut être utilisé pour vérifier qu'un réseau est conforme aux politiques et règlements de sécurité. En scannant le réseau et en analysant les résultats, les professionnels de la sécurité peuvent s'assurer que le réseau répond aux normes de sécurité requises.

Limitations et contre-mesures

Il est important de noter que les techniques d'évitement ne sont pas infaillibles. Les systèmes de sécurité évoluent constamment pour détecter et prévenir ces techniques. Certaines contre-mesures courantes sont les suivantes :

  • Systèmes de détection d'intrusions (IDS) : Les IDS peuvent détecter des modèles de trafic réseau suspects, tels que le balayage de ports et la fragmentation.
  • Pare-feu : Les pare-feu peuvent bloquer l'accès non autorisé à un réseau et filtrer le trafic malveillant.
  • Pots de miel : Les pots de miel sont des systèmes de décoys conçus pour attirer les attaquants et recueillir des informations sur leurs techniques.
  • Analyse des journaux : L'analyse des journaux système peut aider à identifier des activités suspectes et des violations de sécurité potentiellement.

Conclusion

Nmap est un outil polyvalent avec une large gamme d'applications dans la sécurité réseau. Cependant, il est crucial d'utiliser Nmap de manière responsable et éthique. Toujours obtenir une autorisation avant de scanner tout réseau ou système, et être conscient des conséquences légales et éthiques potentielles de vos actions. Comprendre les limites des techniques d'évitement et les contre-mesures utilisées pour les détecter est essentiel pour une sécurité réseau efficace.

Sommaire

Dans ce laboratoire, nous avons exploré des techniques pour simuler des scénarios du monde réel dans Nmap, en mettant l'accent sur la dissimulation de l'origine du scan. Nous avons appris à utiliser des adresses de décoys avec l'option -D pour faire apparaître que le scan provient de plusieurs adresses IP, et à spoof l'adresse IP source à l'aide de l'option -S, ce qui nécessite des privilèges root.

De plus, nous avons pratiqué l'ajout de fragmentation avec l'option -f, en le combinant avec le balayage de scripts par défaut en utilisant -sC, et l'enregistrement des résultats du scan dans un fichier en utilisant l'option -oN. Le laboratoire s'est achevé en examinant l'efficacité de l'évitement et en analysant l'applicabilité dans le monde réel dans le terminal Xfce.

Connexe Nmap Cours
Démarrage rapide avec Nmap

Démarrage rapide avec Nmap

CybersecurityNmap
Débutant