Обход брандмауэров и IDS с помощью Nmap

Введение

В этом лабе вы научитесь обходить брандмауеры и ИДС с использованием Nmap. В лабе рассматриваются несколько методов, в том числе запуск ложных сканов, фрагментация пакетов, подделка IP-адресов, настройка скорости сканирования и комбинирование этих методов. Вы выполните различные команды Nmap в терминале Xfce и проверите результаты обхода. Помните, что эти методы следует использовать этично и с должным разрешением.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL nmap(("Nmap")) -.-> nmap/NmapGroup(["Nmap"]) nmap/NmapGroup -.-> nmap/scan_types("Scan Types and Techniques") nmap/NmapGroup -.-> nmap/target_specification("Target Specification") nmap/NmapGroup -.-> nmap/timing_performance("Timing and Performance") nmap/NmapGroup -.-> nmap/syn_scan("SYN Scan") nmap/NmapGroup -.-> nmap/firewall_evasion("Firewall Evasion Techniques") nmap/NmapGroup -.-> nmap/stealth_scanning("Stealth and Covert Scanning") subgraph Lab Skills nmap/scan_types -.-> lab-530178{{"Обход брандмауэров и IDS с помощью Nmap"}} nmap/target_specification -.-> lab-530178{{"Обход брандмауэров и IDS с помощью Nmap"}} nmap/timing_performance -.-> lab-530178{{"Обход брандмауэров и IDS с помощью Nmap"}} nmap/syn_scan -.-> lab-530178{{"Обход брандмауэров и IDS с помощью Nmap"}} nmap/firewall_evasion -.-> lab-530178{{"Обход брандмауэров и IDS с помощью Nmap"}} nmap/stealth_scanning -.-> lab-530178{{"Обход брандмауэров и IDS с помощью Nmap"}} end

Запуск ложного скана с помощью nmap -D RND:5 192.168.1.1

В этом шаге мы изучим, как использовать ложные сканирование с Nmap для скрытия источника нашего сканирования. Ложные сканирование делает так, чтобы сканирование казалось, что оно происходит от нескольких IP-адресов, что делает труднее определить настоящего сканера.

Параметр -D в Nmap позволяет вам указать IP-адреса-ловушки. Аргумент RND:5 говорит Nmap использовать 5 случайных, не зарезервированных IP-адресов в качестве ловушек, помимо вашего фактического IP-адреса.

Проведем ложный скан целевого объекта. В целях демонстрации мы будем использовать 192.168.1.1 в качестве целевого IP-адреса. Обратите внимание, что 192.168.1.1 - это временный адрес. В реальном мире вы замените его на фактический IP-адрес целевого объекта, за который у вас есть разрешение на сканирование.

Откройте терминал Xfce и выполните следующую команду:

sudo nmap -D RND:5 192.168.1.1

Эта команда запустит сканирование Nmap по 192.168.1.1, используя 5 случайных IP-адресов в качестве ловушек. Вы увидите вывод Nmap в терминале, показывающий ход сканирования.

Пример вывода (точный вывод может отличаться в зависимости от целевого объекта и сети):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00043s latency).
Not shown: 999 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh

Nmap done: 1 IP address (1 host up) scanned in 1.23 seconds

Важные соображения:

Этическое использование: Всегда убедитесь, что у вас есть явное разрешение на сканирование сети или системы. Незаконное сканирование является незаконным и неэтичным.
Влияние на сеть: Ложные сканирования могут генерировать значительное количество сетевого трафика. Используйте их ответственно и избегайте перегрузки целевой сети.
Эффективность: Хотя ложные сканирования могут сделать сложнее определить источник сканирования, они не являются идеальными. Сложные системы детектирования вторжений (IDS) по-прежнему могут определить настоящий источник.

Фрагментация пакетов с помощью nmap -f 127.0.0.1

В этом шаге мы научимся фрагментировать пакеты с использованием Nmap. Фрагментация пакетов заключается в разделении данных TCP или UDP на более мелкие части (фрагменты) перед отправкой их на целевой объект. Эта техника может быть использована для обхода некоторых брандмауеров или систем детектирования вторжений (IDS), которые могут не правильно собирать фрагментированные пакеты.

Параметр -f в Nmap позволяет фрагментировать пакеты. По умолчанию Nmap фрагментирует пакеты на 8-байтовые кусочки. Вы можете указать другой размер MTU (Максимальный размер передачи) с использованием -mtu <размер>.

Проведем фрагментированный скан по адресу петли 127.0.0.1. Этот адрес всегда ссылается на локальную машину, что делает его безопасным для тестирования.

Откройте терминал Xfce и выполните следующую команду:

sudo nmap -f 127.0.0.1

Эта команда запустит сканирование Nmap по 127.0.0.1, фрагментируя пакеты. Вы увидите вывод Nmap в терминале, показывающий ход сканирования.

Пример вывода (точный вывод может отличаться в зависимости от конфигурации вашей системы):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:05 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000028s latency).
Other addresses for localhost: ::1

PORT     STATE SERVICE
139/tcp  closed netbios-ssn
445/tcp  closed microsoft-ds

Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds

Пояснение:

sudo nmap: Выполняет Nmap с правами суперпользователя, которые часто необходимы для операций с необработанными сокетами, такими как фрагментация пакетов.
-f: Включает фрагментацию. Nmap будет фрагментировать пакеты перед их отправкой.
127.0.0.1: Указывает целевой IP-адрес (адрес петли).

Важные соображения:

Обход брандмауера/IDS: Фрагментация пакетов иногда может обойти простые брандмауеры или IDS, которые не правильно собирают фрагменты. Однако современные安保орные устройства обычно способны обрабатывать фрагментированные пакеты.
Влияние на производительность: Фрагментация может увеличить нагрузку на сеть и потенциально замедлить сканирование.
Параметр MTU: Вы можете использовать параметр -mtu, чтобы указать пользовательский размер MTU для фрагментов. Например, nmap -f -mtu 32 127.0.0.1 фрагментирует пакеты на 32-байтовые кусочки.

Подделка IP-адреса с помощью nmap -S 192.168.1.100 192.168.1.1

В этом шаге мы изучим, как подделать исходный IP-адрес при сканировании с использованием Nmap. Подделка IP-адреса заключается в подделке исходного IP-адреса в пакетах, отправляемых Nmap. Это может быть использовано для скрытия вашего фактического IP-адреса или для тестирования сетевых защит.

Параметр -S в Nmap позволяет вам указать исходный IP-адрес. важно понимать, что подделка IP-адресов может иметь серьезные последствия и должна выполняться только в авторизованных средах. Также обратите внимание, что обычно вы не получите ответы на поддельные пакеты, так как они будут отправлены на поддельный адрес. Поэтому эта техника часто используется в сочетании с "слепым" сканированием, таким как SYN-сканирование (-sS) или сканирование подключения (-sT), когда вам не нужно видеть ответы.

Проведем SYN-сканирование с поддельным IP-адресом по целевому объекту. В целях демонстрации мы будем использовать 192.168.1.100 в качестве поддельного IP-адреса и 192.168.1.1 в качестве целевого IP-адреса. Обратите внимание, что 192.168.1.1 - это временный адрес. В реальном мире вы замените его на фактический IP-адрес целевого объекта, за который у вас есть разрешение на сканирование. Также 192.168.1.100 - это всего лишь пример, и вы должны выбрать IP-адрес, который не используется в вашей сети, чтобы избежать конфликтов.

Откройте терминал Xfce и выполните следующую команду:

sudo nmap -sS -S 192.168.1.100 192.168.1.1

Эта команда запустит SYN-сканирование Nmap по 192.168.1.1, используя 192.168.1.100 в качестве поддельного исходного IP-адреса. Вы увидите вывод Nmap в терминале, показывающий ход сканирования.

Пример вывода (точный вывод может отличаться в зависимости от целевого объекта и сети):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:10 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00029s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE
22/tcp open  ssh

Nmap done: 1 IP address (1 host up) scanned in 2.12 seconds

Пояснение:

sudo nmap: Выполняет Nmap с правами суперпользователя, которые необходимы для операций с необработанными сокетами, такими как подделка IP-адреса.
-sS: Указывает SYN-сканирование, которое является скрытым сканированием, не завершающим TCP-рукопожатие.
-S 192.168.1.100: Указывает поддельный исходный IP-адрес.
192.168.1.1: Указывает целевой IP-адрес.

Важные соображения:

Этическое использование: Подделка IP-адресов должна использоваться только в авторизованных средах для законных целей, таких как тестирование безопасности.
Привилегии root: Подделка IP-адресов требует привилегий root.
Ограниченная функциональность: Поскольку вы не получите ответы на поддельные пакеты, вам может потребоваться использовать другие методы для сбора информации о целевом объекте.
Сетевые настройки: Подделка может не работать, если ваша сеть настроена так, чтобы предотвратить это. Routers и firewalls часто имеют механизмы для предотвращения отправки пакетов с поддельными исходными адресами из сети.

Настройка скорости с помощью nmap --max-rate 100 192.168.1.1

В этом шаге мы научимся настраивать скорость сканирования Nmap. Настройка скорости сканирования至关重要 для избежания обнаружения и предотвращения сетевого перегрузки. Nmap 提供了几个选项来控制发送数据包的速率。

--max-rate选项限制了 Nmap 每秒发送的数据包数量。这对于避免被入侵检测系统（IDS）检测到或防止网络拥塞非常有用，特别是在扫描带宽有限的网络时。

让我们对目标 IP 地址进行扫描，将最大数据包速率限制为每秒 100 个数据包。为了演示目的，我们将使用192.168.1.1作为目标 IP 地址。请注意，192.168.1.1是一个占位符。在实际场景中，你应该将其替换为你被授权扫描的目标的实际 IP 地址。

打开你的 Xfce 终端并执行以下命令：

sudo nmap --max-rate 100 192.168.1.1

此命令将启动对192.168.1.1的 Nmap 扫描，将最大数据包速率限制为每秒 100 个数据包。你将在终端中看到 Nmap 的输出，显示扫描的进度。

示例输出（具体输出将根据目标和网络而有所不同）：

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:15 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00028s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE
22/tcp open  ssh

Nmap done: 1 IP address (1 host up) scanned in 2.50 seconds

解释：

sudo nmap：以超级用户权限执行 Nmap，某些扫描类型可能需要此权限。
--max-rate 100：将发送速率限制为每秒最多 100 个数据包。
192.168.1.1：指定目标 IP 地址。

其他速率限制选项：

Nmap 还提供了其他几个控制扫描速率的选项：

--min-rate <数字>：指定每秒发送的最小数据包数量。
--scan-delay <时间>：调整 Nmap 在发送每个探测后等待的时间量。
--min-rtt-timeout <时间>，--max-rtt-timeout <时间>，--initial-rtt-timeout <时间>：控制探测超时值。

重要注意事项：

网络条件：最佳扫描速率取决于网络条件。如果网络拥塞，可能需要较低的速率以避免数据包丢失。
IDS/IPS规避：调整扫描速率有助于规避入侵检测/预防系统的检测。
扫描时间：降低扫描速率将增加整体扫描时间。

Объединение методов с помощью nmap -f --max-rate 50 127.0.0.1

В этом шаге мы объединим методы фрагментации пакетов и ограничения скорости, чтобы более точно настроить сканирование с использованием Nmap. Объединение методов может помочь избежать обнаружения и оптимизировать производительность сканирования.

Мы будем использовать параметр -f для фрагментации пакетов и параметр --max-rate для ограничения скорости отправки. Фрагментация пакетов позволяет разбить заголовок TCP на несколько пакетов, что делает его сложнее для фильтров пакетов и фаерволов обнаружить сканирование. Ограничение скорости гарантирует, что сканирование не перегрузит сеть или не вызовет срабатывание триггеров.

Проведем сканирование по адресу петли (127.0.0.1), используя фрагментацию пакетов и ограничивая максимальную скорость отправки до 50 пакетов в секунду.

Откройте терминал Xfce и выполните следующую команду:

sudo nmap -f --max-rate 50 127.0.0.1

Эта команда запустит сканирование Nmap по 127.0.0.1, фрагментируя пакеты и ограничивая максимальную скорость отправки до 50 пакетов в секунду. Вы увидите вывод Nmap в терминале, показывающий ход сканирования.

Пример вывода (точный вывод может отличаться в зависимости от целевого объекта и сети):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:20 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000070s latency).
Other addresses for localhost: ::1
Not shown: 999 closed ports
PORT     STATE SERVICE
135/tcp  open  msrpc

Nmap done: 1 IP address (1 host up) scanned in 1.85 seconds

Пояснение:

sudo nmap: Выполняет Nmap с правами суперпользователя, которые могут быть необходимы для некоторых типов сканирования.
-f: Фрагментирует пакеты на более мелкие части.
--max-rate 50: Ограничивает скорость отправки до максимума 50 пакетов в секунду.
127.0.0.1: Указывает целевой IP-адрес (адрес петли).

Важные соображения:

Накладные расходы при фрагментации: Фрагментация пакетов может увеличить накладные расходы при сканировании, так как требуется отправить больше пакетов.
Поведение фаервола: Некоторые фаерволы могут собирать фрагментированные пакеты перед их проверкой, что нивелирует эффект фрагментации.
Эффективность ограничения скорости: Эффективность ограничения скорости зависит от условий сети и чувствительности целевой системы.
Объединение методов: Объединение различных методов обхода защиты может повысить шансы обойти меры безопасности, но также увеличивает сложность сканирования.

Проверка обхода в терминале Xfce

В этом шаге мы обсудим, как проверить эффективность техник обхода, которые мы использовали в предыдущих шагах. Хотя мы не можем окончательно доказать, что наши сканирования полностью не детектируются, мы можем использовать различные методы для оценки вероятности обхода.

Методы проверки обхода:

Мониторинг сети: Используйте инструменты, такие как tcpdump или Wireshark, для захвата сетевого трафика и анализа характеристик сканирования Nmap. Ищите фрагментированные пакеты, поддельные IP-адреса и трафик с ограниченной скоростью. Это требует отдельной машины на той же сети, что и цель. Поскольку мы находимся в ограниченной среде, это не реализуемо.
Журналы IDS/IPS: Если у вас есть доступ к журналам системы обнаружения и предотвращения вторжений (IDS/IPS), проверьте их на наличие любых сигналов о сканировании Nmap. Отсутствие сигналов не гарантирует обход, но это хороший знак. Это также требует доступа к внешним системам, которых у нас нет.
Журналы целевой системы: Проверьте журналы целевой системы на наличие каких-либо доказательств сканирования Nmap. Это может включать попытки подключения к конкретным портам или необычное сетевое активность. Опять же, для этого требуется доступ к целевой системе.
Третьи онлайн-сервисы: Некоторые онлайн-сервисы могут анализировать сетевой трафик и определять потенциальные угрозы безопасности. Вы можете отправить образец трафика сканирования Nmap в эти сервисы для анализа.

Ограничения в лабораторной среде:

Из-за ограничений среды виртуальной машины LabEx (например, отсутствие отдельной машины мониторинга, отсутствие доступа к журналам IDS/IPS или целевой системы) мы не можем провести полноценную проверку обхода. Однако мы можем пересмотреть команды, которые мы выполняли, и понять, как они способствуют обходу.

Обзор техник обхода:

Декой-сканирование (nmap -D RND:5 192.168.1.1): Эта техника делает так, чтобы сканирование казалось, что оно происходит от нескольких IP-адресов, включая случайно сгенерированные. Это может запутать сетевых администраторов и сделать сложным отслеживание сканирования до фактического источника.
Фрагментация пакетов (nmap -f 127.0.0.1): Эта техника разбивает заголовок TCP на несколько пакетов, что делает его сложнее для фильтров пакетов и фаерволов обнаружить сканирование.
IP-спуфинг (nmap -S 192.168.1.100 192.168.1.1): Эта техника скрывает ваш реальный IP-адрес, используя другой исходный IP-адрес.
Ограничение скорости (nmap --max-rate 100 192.168.1.1): Эта техника замедляет сканирование, уменьшая вероятность срабатывания триггеров или вызова сетевой задержки.
Объединение техник (nmap -f --max-rate 50 127.0.0.1): Объединение фрагментации и ограничения скорости обеспечивает многоуровневый подход к обходу.

Заключение:

Хотя мы не можем окончательно проверить обход в среде виртуальной машины LabEx, понимание принципов этих техник и того, как они работают，至关重要 для проведения скрытых и эффективных сканирований Nmap. В реальном мире вы бы использовали методы, описанные выше, для оценки эффективности ваших усилий по обходу.

Этот шаг больше посвящен пониманию концепций и ограничений, чем выполнению конкретной операции в терминале. Поэтому эта проверка просто проверит, что вы перешли на этот шаг в лаборатории.

Резюме

В этом лабораторном занятии участники узнают, как обходить фаерволы и системы обнаружения вторжений (IDS) с использованием Nmap. Они исследуют различные методы, в том числе запуск декой-сканирования с использованием nmap -D RND:5, фрагментацию пакетов с использованием nmap -f, спуфинг IP-адресов с использованием nmap -S, настройку скорости сканирования с использованием nmap --max-rate и комбинацию этих методов. Каждая команда выполняется в терминале Xfce, и участникам напоминается о важности этичного использования, влиянии на сеть и ограничениях этих методов обхода.