LabEx
ВходРегистрация

Как выполнять скрытые сканирования с использованием Nmap, чтобы избежать обнаружения в области кибербезопасности

NmapBeginner
Практиковаться сейчас

Введение

В области кибербезопасности проведение эффективного сетевого реконессанса является важным для понимания безопасности организации. Nmap, мощный открытый инструмент для сканирования сетей, может стать ценным активом в этом процессе. Однако, чтобы избежать обнаружения и сохранить эффект неожиданности, необходимо использовать скрытые методы сканирования. В этом руководстве вы узнаете, как выполнять скрытые сканирования с помощью Nmap и эффективно проводить оценки кибербезопасности, не вызывая никаких тревог.

Введение в Nmap и сетевые сканирования

Что такое Nmap?

Nmap (Network Mapper) — это мощный и универсальный инструмент с открытым исходным кодом, используемый для обнаружения сетевых ресурсов и аудита безопасности. Он широко применяется сетевыми администраторами, профессионалами в области безопасности и этическими хакерами для сбора информации о сетевых узлах, сервисах и уязвимостях.

Основы сетевого сканирования

Сетевой сканирование — это процесс определения активных устройств, открытых портов и работающих сервисов в сети. Nmap предоставляет различные методы сканирования для достижения этой цели, в том числе:

  1. TCP Connect Scan: Выполняет полный трехэтапный рукопожатие TCP для определения, открыт ли порт.
  2. SYN Scan: Отправляет пакет SYN и ожидает ответ SYN-ACK для определения, открыт ли порт.
  3. UDP Scan: Отправляет UDP-пакеты для определения, открыт ли порт и ожидает ли он UDP-трафика.
  4. Idle/Zombie Scan: Использует неактивный или "зомби" узел для выполнения сканирования, делая его более скрытым.

Режимы сканирования Nmap

Nmap предлагает несколько режимов сканирования для различных сценариев использования:

  1. Basic Scan: Выполняет TCP connect scan на 1000 самых распространенных портах.
  2. Intense Scan: Сканирует все 65 535 TCP-портов и выполняет определение версий.
  3. Stealth Scan: Использует методы, такие как SYN scan, чтобы избежать обнаружения брандмауэрами и системами обнаружения и предотвращения вторжений (IDS/IPS).
  4. Comprehensive Scan: Комбинирует различные методы сканирования для сбора максимального количества информации.
## Example: Basic Nmap Scan
nmap -sC -sV -oA basic_scan 192.168.1.1/24

Вышеприведенная команда выполняет базовое TCP connect scan в сети 192.168.1.0/24, включая определение версий (-sV) и запуск стандартных скриптов Nmap (-sC), и сохраняет вывод в файл "basic_scan".

Скрытые методы сканирования с использованием Nmap

Медленные сканирования

Nmap предоставляет различные параметры для замедления процесса сканирования и избежания обнаружения системами безопасности:

  1. Параметры времени: Используйте параметр -T<0-5> для настройки шаблона времени, где 0 - самое медленное, а 5 - самое быстрое.
  2. Параметры задержки: Используйте параметры -sS --max-rate <пакетов_в_секунду> или -sS --max-parallelism <количество_потоков> для контроля скорости сканирования.
## Example: Slow TCP SYN Scan
nmap -sS -T2 --max-rate 10 -p- 192.168.1.1

Фрагментированные пакеты

Nmap может разделять пакеты на более мелкие фрагменты, чтобы обойти брандмауэры и системы обнаружения и предотвращения вторжений (IDS/IPS), которые могут быть настроены на обнаружение больших пакетов:

  1. IP-фрагментация: Используйте параметр -f или --fragment для разделения пакетов на более мелкие фрагменты.
  2. Уменьшение MTU: Используйте параметр --mtu <размер> для установки пользовательского размера максимальной передаваемой единицы (MTU) для фрагментации пакетов.
## Example: Fragmented TCP SYN Scan
nmap -sS -f -p- 192.168.1.1

Сканирования с использованием "зомби"-узлов

Метод сканирования с использованием "зомби"-узлов в Nmap использует "неактивный" или "зомби" узел для выполнения сканирования, создавая впечатление, что сканирование происходит от неактивного узла:

  1. Выбор подходящего "зомби"-узла: Найдите узел, который, вероятно, менее контролируется, например, старую или неиспользуемую систему.
  2. Сканирование через "зомби"-узел: Используйте параметр -sI <зомби_узел:исходный_порт> для выполнения сканирования через "зомби"-узел.
## Example: Idle/Zombie Scan
nmap -sI zombie_host:1234 192.168.1.1

Сканирования с подставными адресами

Nmap может запускать сканирование с нескольких исходных IP-адресов, создавая впечатление, что сканирование происходит от разных узлов:

  1. Использование подставных узлов: Используйте параметр -D RND:10 для включения 10 случайных подставных узлов в сканирование.
  2. Маскировка исходного IP-адреса: Используйте параметр -S <исходный_IP> для маскировки исходного IP-адреса.
## Example: Decoy Scan
nmap -D RND:10 -S 192.168.1.100 192.168.1.1

Избегание обнаружения при проведении оценок кибербезопасности

Понимание угрозного окружения

При проведении оценок кибербезопасности крайне важно понимать угрозное окружение и методы, используемые атакающими для обхода детекции. Это включает:

  1. Мониторинг и ведение журналов: Понимать, как системы безопасности целевой организации, такие как брандмауэры, системы обнаружения и предотвращения вторжений (IDS/IPS) и системы управления событиями безопасности (SIEM), контролируют и записывают сетевые активности.
  2. Интеллект по угрозам: Следить за последними тенденциями в области атак, методами и индикаторами компрометации (IoC), используемыми угрозными акторами.

Реализация скрытых методов

Используя методы сканирования Nmap, описанные ранее, можно реализовать различные стратегии для избежания обнаружения при проведении оценок кибербезопасности:

  1. Медленные и скрытые сканирования: Использовать параметры времени и задержки для замедления процесса сканирования и снижения риска срабатывания сигналов безопасности.
  2. Фрагментированные пакеты: Разделять пакеты на более мелкие фрагменты, чтобы обойти системы безопасности, которые могут быть настроены на обнаружение больших пакетов.
  3. Сканирования с использованием "зомби"-узлов: Использовать "неактивный" или "зомби" узел для выполнения сканирования, создавая впечатление, что сканирование происходит от менее подозрительного источника.
  4. Сканирования с подставными адресами: Запускать сканирование с нескольких исходных IP-адресов, создавая впечатление, что сканирование происходит от разных узлов.
## Example: Comprehensive Stealthy Scan
nmap -sS -T2 --max-rate 10 -f -D RND:10 -S 192.168.1.100 192.168.1.1

Вышеприведенная команда объединяет несколько скрытых методов, включая медленное TCP SYN-сканирование, фрагментацию пакетов и сканирование с подставными адресами, чтобы свести к минимуму вероятность обнаружения при проведении оценки кибербезопасности.

Этические аспекты

При выполнении скрытых сканирований с использованием Nmap необходимо учитывать этические и юридические аспекты. Всегда получайте необходимые разрешения и одобрения перед проведением любых сетевых сканирований и убедитесь, что ваши действия находятся в рамках оценки и соответствуют политикам организации и применимым законам.

Заключение

В этом учебнике по кибербезопасности вы получили знания и методы для выполнения скрытых сканирований с использованием Nmap и избежания обнаружения при проведении оценок кибербезопасности. Используя передовые методы сканирования и понимая важность скрытности, вы можете собирать ценную сетевую информацию, оставаясь незамеченными. Помните, что в области кибербезопасности способность проводить незамеченный разведку является мощным инструментом для обеспечения безопасности и устойчивости вашей организации.

Связанные Nmap Курсы
Nmap для начинающих

Nmap для начинающих

cybersecuritynmaplinux
Практическое сканирование сетей с использованием Nmap в Linux

Практическое сканирование сетей с использованием Nmap в Linux

cybersecuritynmaplinux
Сканирование Nmap и доступ по Telnet

Сканирование Nmap и доступ по Telnet

cybersecuritynmaplinux