Falsificar Endereços MAC no Nmap

Introdução

Neste laboratório, exploraremos como falsificar (spoof) endereços MAC usando o Nmap. Falsificar um endereço MAC permite que você disfarce sua identidade de rede durante uma varredura, o que pode ser útil para evitar a detecção ou testar a segurança da rede.

O laboratório aborda a especificação de um endereço MAC personalizado usando a opção --spoof-mac, a randomização do endereço MAC com --spoof-mac 0, a adição de verbosidade com a flag -v, a salvaguarda da saída da varredura falsificada em um arquivo e a comparação dos resultados com uma varredura normal no terminal Xfce.

Falsificar MAC com nmap --spoof-mac 00:11:22:33:44:55 192.168.1.1

Nesta etapa, exploraremos como falsificar (spoof) um endereço MAC usando o Nmap. Falsificar um endereço MAC permite que você disfarce sua identidade de rede durante uma varredura. Isso pode ser útil por várias razões, como evitar a detecção ou testar a segurança da rede.

Antes de começarmos, vamos discutir brevemente o que é um endereço MAC. Um endereço MAC (Media Access Control) é um identificador único atribuído a um controlador de interface de rede (NIC) para uso como um endereço de rede em comunicações dentro de um segmento de rede. É como um endereço físico para sua placa de rede.

Agora, vamos usar o Nmap para falsificar nosso endereço MAC. Usaremos a opção --spoof-mac seguida pelo endereço MAC desejado e o endereço IP de destino.

Abra seu terminal Xfce.

Execute o seguinte comando:

sudo nmap --spoof-mac 00:11:22:33:44:55 192.168.1.1

Este comando informa ao Nmap para usar o endereço MAC 00:11:22:33:44:55 durante a varredura do endereço IP de destino 192.168.1.1. Você provavelmente verá uma saída semelhante a uma varredura normal do Nmap, mas o endereço MAC de origem usado para a varredura será o falsificado.

A saída mostrará os resultados da varredura, incluindo portas abertas e outras informações sobre o destino.

Exemplo de saída (a saída específica variará dependendo do destino):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00020s latency).
Not shown: 999 closed ports
PORT    STATE SERVICE
80/tcp  open  http

Nmap done: 1 IP address (1 host up) scanned in 0.10s

Neste exemplo, o Nmap varreu 192.168.1.1 usando o endereço MAC falsificado 00:11:22:33:44:55.

Randomizar MAC com nmap --spoof-mac 0 127.0.0.1

Na etapa anterior, aprendemos como falsificar (spoof) um endereço MAC com um valor específico. Nesta etapa, exploraremos como randomizar o endereço MAC usando o Nmap. Isso é útil quando você deseja evitar ser rastreado usando um endereço MAC previsível.

O Nmap permite que você randomizar o endereço MAC usando 0 como argumento para a opção --spoof-mac. Isso informa ao Nmap para gerar um endereço MAC completamente aleatório para cada varredura.

Abra seu terminal Xfce.

Execute o seguinte comando:

sudo nmap --spoof-mac 0 127.0.0.1

Este comando informa ao Nmap para usar um endereço MAC aleatório durante a varredura do endereço IP de destino 127.0.0.1 (localhost).

A saída mostrará os resultados da varredura, incluindo portas abertas e outras informações sobre o destino. Como estamos varrendo o localhost, os resultados devem ser relativamente rápidos.

Exemplo de saída (a saída específica variará dependendo da configuração do destino e do sistema):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:05 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed

Nmap done: 1 IP address (1 host up) scanned in 0.01s

Neste exemplo, o Nmap varreu 127.0.0.1 usando um endereço MAC randomizado. Cada vez que você executa este comando, o Nmap gerará um endereço MAC diferente.

Adicionar verbosidade com nmap -v --spoof-mac 00:11:22:33:44:55 192.168.1.1

Nesta etapa, combinaremos a falsificação (spoofing) de endereço MAC com o aumento da verbosidade no Nmap. A verbosidade fornece informações mais detalhadas sobre o processo de varredura, o que pode ser útil para solucionar problemas ou entender o comportamento do Nmap.

A opção -v no Nmap aumenta o nível de verbosidade. Usar -v uma vez fornece mais informações do que o padrão, e usá-lo várias vezes (por exemplo, -vv ou -vvv) aumenta a verbosidade ainda mais.

Abra seu terminal Xfce.

Execute o seguinte comando:

sudo nmap -v --spoof-mac 00:11:22:33:44:55 192.168.1.1

Este comando informa ao Nmap para realizar uma varredura de 192.168.1.1, falsificar o endereço MAC para 00:11:22:33:44:55 e fornecer uma saída verbosa.

A saída será mais detalhada do que nas etapas anteriores, mostrando os diferentes estágios da varredura, as sondas sendo enviadas e as respostas recebidas.

Exemplo de saída (a saída específica variará dependendo do destino e da configuração do sistema):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:10 UTC
NSE: Loaded 0 scripts for scanning.
Initiating Ping Scan at 10:10
Scanning 192.168.1.1 [4 ports]
Completed Ping Scan at 10:10, 0.00s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 10:10
Completed Parallel DNS resolution of 1 host. at 10:10, 0.00s elapsed
Initiating SYN Stealth Scan at 10:10
Scanning 192.168.1.1 [1000 ports]
Discovered open port 80/tcp on 192.168.1.1
Completed SYN Stealth Scan at 10:10, 0.05s elapsed (1000 total ports)
Nmap scan report for 192.168.1.1
Host is up (0.00018s latency).
Not shown: 999 closed ports
PORT    STATE SERVICE
80/tcp  open  http

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.07s
           Raw packets sent: 1001 (44.044KB) | Rcvd: 1001 (40.044KB)

Observe as informações adicionais fornecidas, como o carregamento do script NSE, o início de diferentes fases de varredura (Ping Scan, resolução DNS, SYN Stealth Scan) e o número de pacotes enviados e recebidos. Este nível de detalhe pode ser inestimável ao depurar problemas de rede ou analisar os resultados da varredura.

Salvar a varredura falsificada com nmap --spoof-mac 0 -oN spoof.txt 127.0.0.1

Nesta etapa, aprenderemos como salvar a saída de uma varredura do Nmap em um arquivo. Isso é útil para análise posterior ou para gerar relatórios. Também continuaremos a usar a falsificação (spoofing) de endereço MAC.

O Nmap oferece várias opções para salvar os resultados da varredura. A opção -oN salva a saída em um formato "normal", que é legível por humanos. A opção -oG salva a saída em um formato grepable, que é útil para scripting. A opção -oX salva a saída em formato XML, que é útil para importar em outras ferramentas.

Abra seu terminal Xfce.

Execute o seguinte comando:

sudo nmap --spoof-mac 0 -oN spoof.txt 127.0.0.1

Este comando informa ao Nmap para realizar uma varredura de 127.0.0.1, randomizar o endereço MAC e salvar a saída em formato normal em um arquivo chamado spoof.txt no seu diretório atual (~/project).

Após a conclusão da varredura, você pode visualizar o conteúdo do arquivo spoof.txt usando o comando cat:

cat spoof.txt

A saída mostrará os resultados da varredura em um formato legível por humanos, semelhante ao que você vê no terminal.

Exemplo de saída (a saída específica variará dependendo do destino e da configuração do sistema):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:15 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed

Nmap done: 1 IP address (1 host up) scanned in 0.01s

O arquivo spoof.txt agora contém os resultados da varredura do Nmap, que você pode revisar quando for conveniente.

Revisar a saída da varredura no terminal Xfce

Nesta etapa, revisaremos a saída da varredura que salvamos no arquivo spoof.txt na etapa anterior. Isso lhe dará prática na interpretação dos resultados da varredura do Nmap.

Abra seu terminal Xfce.

Use o comando cat para exibir o conteúdo do arquivo spoof.txt:

cat spoof.txt

A saída mostrará o relatório da varredura do Nmap. Vamos detalhar as partes principais do relatório:

• Starting Nmap: Esta linha mostra a versão do Nmap e a data e hora em que a varredura foi iniciada.
• Nmap scan report for: Esta linha indica o alvo da varredura (neste caso, localhost ou 127.0.0.1).
• Host is up: Esta linha confirma que o host de destino está acessível. A latência (tempo de ida e volta) também é mostrada.
• Ports: Esta seção lista as portas que foram varridas e seu status (aberta, fechada, filtrada). Na etapa anterior, se todas as portas estivessem fechadas, você veria "All 1000 scanned ports on localhost are closed". Se alguma porta estivesse aberta, elas seriam listadas aqui com seus nomes de serviço (por exemplo, 80/tcp open http).
• Nmap done: Esta linha resume a varredura, incluindo o número de endereços IP varridos e o tempo total da varredura.

Exemplo de saída (a saída específica variará dependendo do destino e da configuração do sistema):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:20 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed

Nmap done: 1 IP address (1 host up) scanned in 0.01s

Reserve algum tempo para examinar a saída e entender o que ela informa sobre o sistema de destino. Na próxima etapa, compararemos esta saída com a saída de uma varredura normal (sem falsificação de endereço MAC) para ver se há alguma diferença.

Comparar com a varredura normal no terminal Xfce

Nesta etapa, realizaremos uma varredura normal do Nmap (sem falsificação de endereço MAC) e compararemos sua saída com a saída da varredura falsificada das etapas anteriores. Isso o ajudará a entender se a falsificação de endereço MAC afeta os resultados da varredura.

Abra seu terminal Xfce.

Primeiro, execute uma varredura normal do Nmap de 127.0.0.1:

sudo nmap 127.0.0.1

Este comando executará uma varredura Nmap padrão do localhost.

Examine cuidadosamente a saída desta varredura. Observe o seguinte:

• A versão do Nmap e a hora de início.
• O alvo da varredura (127.0.0.1).
• Se o host está ativo.
• A lista de portas varridas e seu status (aberta, fechada, filtrada).
• O tempo de conclusão da varredura.

Exemplo de saída (a saída específica variará dependendo do destino e da configuração do sistema):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:25 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed

Nmap done: 1 IP address (1 host up) scanned in 0.01s

Agora, compare esta saída com o conteúdo do arquivo spoof.txt, que contém a saída da varredura falsificada. Você pode visualizar o conteúdo de spoof.txt usando o comando cat:

cat spoof.txt

Existem diferenças entre os dois resultados da varredura? Na maioria dos cenários básicos, os resultados da varredura serão idênticos. No entanto, em ambientes de rede mais complexos, a falsificação de endereço MAC pode afetar a forma como o sistema de destino responde à varredura, potencialmente levando a resultados diferentes. Isso ocorre porque alguns dispositivos de rede ou firewalls podem usar endereços MAC para filtragem ou controle de acesso.

Neste ambiente de laboratório simples, o objetivo principal da falsificação de endereço MAC é obscurecer a origem da varredura, não necessariamente alterar os resultados da varredura.

Resumo

Neste laboratório, exploramos como falsificar endereços MAC usando o Nmap. Aprendemos a usar a opção --spoof-mac para especificar um endereço MAC específico, como 00:11:22:33:44:55, durante uma varredura de um endereço IP de destino. Isso nos permite disfarçar nossa identidade de rede e, potencialmente, evitar a detecção.

Além disso, começamos a investigar como randomizar o endereço MAC usando o Nmap, o que é útil para evitar o rastreamento usando um endereço MAC previsível. O laboratório demonstrou a sintaxe básica para especificar um endereço MAC e randomizá-lo, estabelecendo a base para técnicas de varredura de rede mais avançadas.