LabEx
ВойтиПрисоединиться бесплатно

Как выполнять скрытые сканирования с использованием Nmap, чтобы избежать обнаружения в области кибербезопасности

CybersecurityCybersecurityBeginner
Практиковаться сейчас

💡 Этот учебник переведен с английского с помощью ИИ. Чтобы просмотреть оригинал, вы можете перейти на английский оригинал

Введение

В области кибербезопасности проведение эффективного сетевого реконессанса является важным для понимания безопасности организации. Nmap, мощный открытый инструмент для сканирования сетей, может стать ценным активом в этом процессе. Однако, чтобы избежать обнаружения и сохранить эффект неожиданности, необходимо использовать скрытые методы сканирования. В этом руководстве вы узнаете, как выполнять скрытые сканирования с помощью Nmap и эффективно проводить оценки кибербезопасности, не вызывая никаких тревог.

Введение в Nmap и сетевые сканирования

Что такое Nmap?

Nmap (Network Mapper) — это мощный и универсальный инструмент с открытым исходным кодом, используемый для обнаружения сетевых ресурсов и аудита безопасности. Он широко применяется сетевыми администраторами, профессионалами в области безопасности и этическими хакерами для сбора информации о сетевых узлах, сервисах и уязвимостях.

Основы сетевого сканирования

Сетевой сканирование — это процесс определения активных устройств, открытых портов и работающих сервисов в сети. Nmap предоставляет различные методы сканирования для достижения этой цели, в том числе:

  1. TCP Connect Scan: Выполняет полный трехэтапный рукопожатие TCP для определения, открыт ли порт.
  2. SYN Scan: Отправляет пакет SYN и ожидает ответ SYN-ACK для определения, открыт ли порт.
  3. UDP Scan: Отправляет UDP-пакеты для определения, открыт ли порт и ожидает ли он UDP-трафика.
  4. Idle/Zombie Scan: Использует неактивный или "зомби" узел для выполнения сканирования, делая его более скрытым.

Режимы сканирования Nmap

Nmap предлагает несколько режимов сканирования для различных сценариев использования:

  1. Basic Scan: Выполняет TCP connect scan на 1000 самых распространенных портах.
  2. Intense Scan: Сканирует все 65 535 TCP-портов и выполняет определение версий.
  3. Stealth Scan: Использует методы, такие как SYN scan, чтобы избежать обнаружения брандмауэрами и системами обнаружения и предотвращения вторжений (IDS/IPS).
  4. Comprehensive Scan: Комбинирует различные методы сканирования для сбора максимального количества информации.
## Example: Basic Nmap Scan
nmap -sC -sV -oA basic_scan 192.168.1.1/24

Вышеприведенная команда выполняет базовое TCP connect scan в сети 192.168.1.0/24, включая определение версий (-sV) и запуск стандартных скриптов Nmap (-sC), и сохраняет вывод в файл "basic_scan".

Скрытые методы сканирования с использованием Nmap

Медленные сканирования

Nmap предоставляет различные параметры для замедления процесса сканирования и избежания обнаружения системами безопасности:

  1. Параметры времени: Используйте параметр -T<0-5> для настройки шаблона времени, где 0 - самое медленное, а 5 - самое быстрое.
  2. Параметры задержки: Используйте параметры -sS --max-rate <пакетов_в_секунду> или -sS --max-parallelism <количество_потоков> для контроля скорости сканирования.
## Example: Slow TCP SYN Scan
nmap -sS -T2 --max-rate 10 -p- 192.168.1.1

Фрагментированные пакеты

Nmap может разделять пакеты на более мелкие фрагменты, чтобы обойти брандмауэры и системы обнаружения и предотвращения вторжений (IDS/IPS), которые могут быть настроены на обнаружение больших пакетов:

  1. IP-фрагментация: Используйте параметр -f или --fragment для разделения пакетов на более мелкие фрагменты.
  2. Уменьшение MTU: Используйте параметр --mtu <размер> для установки пользовательского размера максимальной передаваемой единицы (MTU) для фрагментации пакетов.
## Example: Fragmented TCP SYN Scan
nmap -sS -f -p- 192.168.1.1

Сканирования с использованием "зомби"-узлов

Метод сканирования с использованием "зомби"-узлов в Nmap использует "неактивный" или "зомби" узел для выполнения сканирования, создавая впечатление, что сканирование происходит от неактивного узла:

  1. Выбор подходящего "зомби"-узла: Найдите узел, который, вероятно, менее контролируется, например, старую или неиспользуемую систему.
  2. Сканирование через "зомби"-узел: Используйте параметр -sI <зомби_узел:исходный_порт> для выполнения сканирования через "зомби"-узел.
## Example: Idle/Zombie Scan
nmap -sI zombie_host:1234 192.168.1.1

Сканирования с подставными адресами

Nmap может запускать сканирование с нескольких исходных IP-адресов, создавая впечатление, что сканирование происходит от разных узлов:

  1. Использование подставных узлов: Используйте параметр -D RND:10 для включения 10 случайных подставных узлов в сканирование.
  2. Маскировка исходного IP-адреса: Используйте параметр -S <исходный_IP> для маскировки исходного IP-адреса.
## Example: Decoy Scan
nmap -D RND:10 -S 192.168.1.100 192.168.1.1

Избегание обнаружения при проведении оценок кибербезопасности

Понимание угрозного окружения

При проведении оценок кибербезопасности крайне важно понимать угрозное окружение и методы, используемые атакающими для обхода детекции. Это включает:

  1. Мониторинг и ведение журналов: Понимать, как системы безопасности целевой организации, такие как брандмауэры, системы обнаружения и предотвращения вторжений (IDS/IPS) и системы управления событиями безопасности (SIEM), контролируют и записывают сетевые активности.
  2. Интеллект по угрозам: Следить за последними тенденциями в области атак, методами и индикаторами компрометации (IoC), используемыми угрозными акторами.

Реализация скрытых методов

Используя методы сканирования Nmap, описанные ранее, можно реализовать различные стратегии для избежания обнаружения при проведении оценок кибербезопасности:

  1. Медленные и скрытые сканирования: Использовать параметры времени и задержки для замедления процесса сканирования и снижения риска срабатывания сигналов безопасности.
  2. Фрагментированные пакеты: Разделять пакеты на более мелкие фрагменты, чтобы обойти системы безопасности, которые могут быть настроены на обнаружение больших пакетов.
  3. Сканирования с использованием "зомби"-узлов: Использовать "неактивный" или "зомби" узел для выполнения сканирования, создавая впечатление, что сканирование происходит от менее подозрительного источника.
  4. Сканирования с подставными адресами: Запускать сканирование с нескольких исходных IP-адресов, создавая впечатление, что сканирование происходит от разных узлов.
## Example: Comprehensive Stealthy Scan
nmap -sS -T2 --max-rate 10 -f -D RND:10 -S 192.168.1.100 192.168.1.1

Вышеприведенная команда объединяет несколько скрытых методов, включая медленное TCP SYN-сканирование, фрагментацию пакетов и сканирование с подставными адресами, чтобы свести к минимуму вероятность обнаружения при проведении оценки кибербезопасности.

Этические аспекты

При выполнении скрытых сканирований с использованием Nmap необходимо учитывать этические и юридические аспекты. Всегда получайте необходимые разрешения и одобрения перед проведением любых сетевых сканирований и убедитесь, что ваши действия находятся в рамках оценки и соответствуют политикам организации и применимым законам.

Заключение

В этом учебнике по кибербезопасности вы получили знания и методы для выполнения скрытых сканирований с использованием Nmap и избежания обнаружения при проведении оценок кибербезопасности. Используя передовые методы сканирования и понимая важность скрытности, вы можете собирать ценную сетевую информацию, оставаясь незамеченными. Помните, что в области кибербезопасности способность проводить незамеченный разведку является мощным инструментом для обеспечения безопасности и устойчивости вашей организации.

Связанные Cybersecurity Курсы
Лаборатории по Кибербезопасности для Начинающих

Лаборатории по Кибербезопасности для Начинающих

CybersecurityLinux
Начинающий
Быстрый старт с Nmap

Быстрый старт с Nmap

CybersecurityNmap
Начинающий
Быстрый старт с Wireshark

Быстрый старт с Wireshark

Cybersecurity
Начинающий

We use cookies for a number of reasons, such as keeping the website reliable and secure, to improve your experience on our website and to see how you interact with it. By accepting, you agree to our use of such cookies. Privacy Policy