Usurper les adresses MAC dans Nmap

Introduction

Dans ce laboratoire, nous allons explorer la manière de falsifier les adresses MAC à l'aide de Nmap. Falsifier une adresse MAC vous permet de dissimuler votre identité réseau lors d'un balayage, ce qui peut être utile pour éviter la détection ou tester la sécurité du réseau.

Le laboratoire couvre la spécification d'une adresse MAC personnalisée à l'aide de l'option --spoof-mac, la randomisation de l'adresse MAC avec --spoof-mac 0, l'ajout de verbeux avec le drapeau -v, l'enregistrement de la sortie du balayage falsifié dans un fichier et la comparaison des résultats avec un balayage normal dans le terminal Xfce.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL nmap(("Nmap")) -.-> nmap/NmapGroup(["Nmap"]) nmap/NmapGroup -.-> nmap/output_formats("Output Formats") nmap/NmapGroup -.-> nmap/save_output("Save Output to File") nmap/NmapGroup -.-> nmap/port_scanning("Port Scanning Methods") nmap/NmapGroup -.-> nmap/target_specification("Target Specification") nmap/NmapGroup -.-> nmap/verbosity("Verbosity Levels") nmap/NmapGroup -.-> nmap/syn_scan("SYN Scan") nmap/NmapGroup -.-> nmap/firewall_evasion("Firewall Evasion Techniques") nmap/NmapGroup -.-> nmap/stealth_scanning("Stealth and Covert Scanning") subgraph Lab Skills nmap/output_formats -.-> lab-547116{{"Usurper les adresses MAC dans Nmap"}} nmap/save_output -.-> lab-547116{{"Usurper les adresses MAC dans Nmap"}} nmap/port_scanning -.-> lab-547116{{"Usurper les adresses MAC dans Nmap"}} nmap/target_specification -.-> lab-547116{{"Usurper les adresses MAC dans Nmap"}} nmap/verbosity -.-> lab-547116{{"Usurper les adresses MAC dans Nmap"}} nmap/syn_scan -.-> lab-547116{{"Usurper les adresses MAC dans Nmap"}} nmap/firewall_evasion -.-> lab-547116{{"Usurper les adresses MAC dans Nmap"}} nmap/stealth_scanning -.-> lab-547116{{"Usurper les adresses MAC dans Nmap"}} end

Falsifier une adresse MAC avec nmap --spoof-mac 00:11:22:33:44:55 192.168.1.1

Dans cette étape, nous allons explorer la manière de falsifier une adresse MAC à l'aide de Nmap. Falsifier une adresse MAC vous permet de dissimuler votre identité réseau lors d'un balayage. Cela peut être utile pour diverses raisons, telles que l'évitement de la détection ou le test de la sécurité du réseau.

Avant de commencer, parlons brièvement de ce qu'est une adresse MAC. Une adresse MAC (Media Access Control) est un identifiant unique attribué à un contrôleur d'interface réseau (NIC) pour être utilisé comme adresse réseau dans les communications au sein d'un segment de réseau. C'est comme une adresse physique pour votre carte réseau.

Maintenant, utilisons Nmap pour falsifier notre adresse MAC. Nous utiliserons l'option --spoof-mac suivie de l'adresse MAC souhaitée et de l'adresse IP cible.

Ouvrez votre terminal Xfce.

Exécutez la commande suivante :

sudo nmap --spoof-mac 00:11:22:33:44:55 192.168.1.1

Cette commande indique à Nmap d'utiliser l'adresse MAC 00:11:22:33:44:55 lors du balayage de l'adresse IP cible 192.168.1.1. Vous devriez probablement voir une sortie similaire à un balayage Nmap normal, mais l'adresse MAC source utilisée pour le balayage sera la falsifiée.

La sortie montrera les résultats du balayage, y compris les ports ouverts et autres informations sur la cible.

Sortie exemple (la sortie spécifique variera selon la cible) :

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00020s latency).
Not shown: 999 closed ports
PORT    STATE SERVICE
80/tcp  open  http

Nmap done: 1 IP address (1 host up) scanned in 0.10s

Dans cet exemple, Nmap a balayé 192.168.1.1 en utilisant l'adresse MAC falsifiée 00:11:22:33:44:55.

Aléatoriser l'adresse MAC avec nmap --spoof-mac 0 127.0.0.1

Dans l'étape précédente, nous avons appris à falsifier une adresse MAC avec une valeur spécifique. Dans cette étape, nous allons explorer la manière d'aléatoriser l'adresse MAC à l'aide de Nmap. Cela est utile lorsque vous voulez éviter d'être traqué en utilisant une adresse MAC prédictible.

Nmap vous permet d'aléatoriser l'adresse MAC en utilisant 0 comme argument pour l'option --spoof-mac. Cela indique à Nmap de générer une adresse MAC complètement aléatoire pour chaque balayage.

Ouvrez votre terminal Xfce.

Exécutez la commande suivante :

sudo nmap --spoof-mac 0 127.0.0.1

Cette commande indique à Nmap d'utiliser une adresse MAC aléatoire lors du balayage de l'adresse IP cible 127.0.0.1 (localhost).

La sortie montrera les résultats du balayage, y compris les ports ouverts et autres informations sur la cible. Étant donné que nous sommes en train de balayer localhost, les résultats devraient être relativement rapides.

Sortie exemple (la sortie spécifique variera selon la cible et la configuration du système) :

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:05 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed

Nmap done: 1 IP address (1 host up) scanned in 0.01s

Dans cet exemple, Nmap a balayé 127.0.0.1 en utilisant une adresse MAC aléatorisée. Chaque fois que vous exécutez cette commande, Nmap générera une adresse MAC différente.

Ajouter la détaillement avec nmap -v --spoof-mac 00:11:22:33:44:55 192.168.1.1

Dans cette étape, nous allons combiner la falsification de l'adresse MAC avec un détaillement accru dans Nmap. Le détaillement fournit des informations plus détaillées sur le processus de balayage, ce qui peut être utile pour le dépannage ou la compréhension du comportement de Nmap.

L'option -v dans Nmap augmente le niveau de détaillement. Utiliser -v une fois fournit plus d'informations que la valeur par défaut, et l'utiliser plusieurs fois (par exemple, -vv ou -vvv) augmente encore le détaillement.

Ouvrez votre terminal Xfce.

Exécutez la commande suivante :

sudo nmap -v --spoof-mac 00:11:22:33:44:55 192.168.1.1

Cette commande indique à Nmap d'effectuer un balayage de 192.168.1.1, de falsifier l'adresse MAC en 00:11:22:33:44:55 et de fournir une sortie détaillée.

La sortie sera plus détaillée que dans les étapes précédentes, montrant les différentes étapes du balayage, les sondes envoyées et les réponses reçues.

Sortie exemple (la sortie spécifique variera selon la cible et la configuration du système) :

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:10 UTC
NSE: Loaded 0 scripts for scanning.
Initiating Ping Scan at 10:10
Scanning 192.168.1.1 [4 ports]
Completed Ping Scan at 10:10, 0.00s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 10:10
Completed Parallel DNS resolution of 1 host. at 10:10, 0.00s elapsed
Initiating SYN Stealth Scan at 10:10
Scanning 192.168.1.1 [1000 ports]
Discovered open port 80/tcp on 192.168.1.1
Completed SYN Stealth Scan at 10:10, 0.05s elapsed (1000 total ports)
Nmap scan report for 192.168.1.1
Host is up (0.00018s latency).
Not shown: 999 closed ports
PORT    STATE SERVICE
80/tcp  open  http

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.07s
           Raw packets sent: 1001 (44.044KB) | Rcvd: 1001 (40.044KB)

Remarquez les informations supplémentaires fournies, telles que le chargement des scripts NSE, l'initiation des différentes phases de balayage (Ping Scan, résolution DNS, SYN Stealth Scan) et le nombre de paquets envoyés et reçus. Ce niveau de détail peut être précieux lors du débogage des problèmes de réseau ou de l'analyse des résultats de balayage.

Enregistrer un balayage falsifié avec nmap --spoof-mac 0 -oN spoof.txt 127.0.0.1

Dans cette étape, nous allons apprendre à enregistrer la sortie d'un balayage Nmap dans un fichier. Cela est utile pour une analyse ultérieure ou pour la génération de rapports. Nous continuerons également à utiliser la falsification de l'adresse MAC.

Nmap propose plusieurs options pour enregistrer les résultats du balayage. L'option -oN enregistre la sortie au format "normal", lisible par l'homme. L'option -oG enregistre la sortie au format compatible grep, qui est utile pour la programmation. L'option -oX enregistre la sortie au format XML, qui est utile pour l'importation dans d'autres outils.

Ouvrez votre terminal Xfce.

Exécutez la commande suivante :

sudo nmap --spoof-mac 0 -oN spoof.txt 127.0.0.1

Cette commande indique à Nmap d'effectuer un balayage de 127.0.0.1, d'aléatoriser l'adresse MAC et d'enregistrer la sortie au format normal dans un fichier nommé spoof.txt dans votre répertoire actuel (~/projet).

Une fois le balayage terminé, vous pouvez afficher le contenu du fichier spoof.txt à l'aide de la commande cat :

cat spoof.txt

La sortie montrera les résultats du balayage au format lisible par l'homme, similaire à ce que vous voyez sur le terminal.

Sortie exemple (la sortie spécifique variera selon la cible et la configuration du système) :

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:15 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed

Nmap done: 1 IP address (1 host up) scanned in 0.01s

Le fichier spoof.txt contient désormais les résultats du balayage Nmap, que vous pouvez consulter à votre guise.

Vérifier la sortie du balayage dans le terminal Xfce

Dans cette étape, nous allons vérifier la sortie du balayage que nous avons enregistrée dans le fichier spoof.txt à l'étape précédente. Cela vous permettra de pratiquer l'interprétation des résultats de balayage Nmap.

Ouvrez votre terminal Xfce.

Utilisez la commande cat pour afficher le contenu du fichier spoof.txt :

cat spoof.txt

La sortie montrera le rapport de balayage Nmap. Analysons les parties clés du rapport :

Starting Nmap : Cette ligne indique la version de Nmap et la date et l'heure à laquelle le balayage a été lancé.
Nmap scan report for : Cette ligne indique la cible du balayage (dans ce cas, localhost ou 127.0.0.1).
Host is up : Cette ligne confirme que l'hôte cible est joignable. La latence (temps de trajet aller-retour) est également affichée.
Ports : Cette section liste les ports qui ont été balayés et leur statut (ouvert, fermé, filtré). À l'étape précédente, si tous les ports étaient fermés, vous auriez vu "All 1000 scanned ports on localhost are closed". Si des ports étaient ouverts, ils seraient listés ici avec le nom de leur service (par exemple, 80/tcp open http).
Nmap done : Cette ligne résume le balayage, y compris le nombre d'adresses IP balayées et le temps total de balayage.

Sortie exemple (la sortie spécifique variera selon la cible et la configuration du système) :

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:20 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed

Nmap done: 1 IP address (1 host up) scanned in 0.01s

Prenez le temps d'examiner la sortie et de comprendre ce qu'elle vous dit sur le système cible. Dans l'étape suivante, nous comparerons cette sortie avec celle d'un balayage normal (sans falsification d'adresse MAC) pour voir s'il y a des différences.

Comparer avec un balayage normal dans le terminal Xfce

Dans cette étape, nous allons effectuer un balayage Nmap normal (sans falsification d'adresse MAC) et comparer sa sortie avec la sortie du balayage falsifié des étapes précédentes. Cela vous aidera à comprendre si la falsification d'adresse MAC affecte les résultats du balayage.

Ouvrez votre terminal Xfce.

Tout d'abord, lancez un balayage Nmap normal de 127.0.0.1 :

sudo nmap 127.0.0.1

Cette commande effectuera un balayage Nmap standard de l'hôte local.

Examinez attentivement la sortie de ce balayage. Notez ce qui suit :

La version de Nmap et l'heure de début.
La cible du balayage (127.0.0.1).
Si l'hôte est actif.
La liste des ports balayés et leur statut (ouvert, fermé, filtré).
L'heure de fin du balayage.

Sortie exemple (la sortie spécifique variera selon la cible et la configuration du système) :

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:25 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed

Nmap done: 1 IP address (1 host up) scanned in 0.01s

Maintenant, comparez cette sortie avec le contenu du fichier spoof.txt, qui contient la sortie du balayage falsifié. Vous pouvez afficher le contenu de spoof.txt à l'aide de la commande cat :

cat spoof.txt

Y a-t-il des différences entre les deux résultats de balayage? Dans la plupart des scénarios de base, les résultats du balayage seront identiques. Cependant, dans des environnements de réseau plus complexes, la falsification d'adresse MAC peut affecter la manière dont le système cible répond au balayage, ce qui peut potentiellement entraîner des résultats différents. Cela est dû au fait que certains dispositifs de réseau ou pare-feu peuvent utiliser les adresses MAC pour le filtrage ou le contrôle d'accès.

Dans cet environnement de laboratoire simple, le principal objectif de la falsification d'adresse MAC est de dissimuler l'origine du balayage, pas nécessairement d'altérer les résultats du balayage.

Sommaire

Dans ce laboratoire, nous avons exploré la manière de falsifier des adresses MAC à l'aide de Nmap. Nous avons appris à utiliser l'option --spoof-mac pour spécifier une adresse MAC particulière, telle que 00:11:22:33:44:55, lors d'un balayage d'une adresse IP cible. Cela nous permet de dissimuler notre identité réseau et de potentiellement éviter la détection.

De plus, nous avons commencé à étudier la manière de randomiser l'adresse MAC à l'aide de Nmap, ce qui est utile pour éviter le suivi en utilisant une adresse MAC prédictible. Le laboratoire a démontré la syntaxe de base pour à la fois spécifier et randomiser une adresse MAC, posant les bases pour des techniques de balayage de réseau plus avancées.