Введение
В этом лабе мы изучим, как подменять MAC-адреса с использованием Nmap. Подмена MAC-адреса позволяет скрыть свою сеть при сканировании, что может быть полезно для обхода обнаружения или тестирования безопасности сети.
В лабе рассматривается указание пользовательского MAC-адреса с использованием параметра --spoof-mac, случайное назначение MAC-адреса с использованием --spoof-mac 0, добавление подробности с использованием флага -v, сохранение результата подмененного сканирования в файл и сравнение результатов с обычным сканированием в терминале Xfce.
Подменить MAC с помощью nmap --spoof-mac 00:11:22:33:44:55 192.168.1.1
В этом шаге мы изучим, как подменять MAC-адрес с использованием Nmap. Подмена MAC-адреса позволяет скрыть свою сеть при сканировании. Это может быть полезно по различным причинам, например, для обхода обнаружения или тестирования безопасности сети.
Прежде чем мы начнем, давайте кратко обсудим, что такое MAC-адрес. MAC (Media Access Control) адрес - это уникальный идентификатор, присвоенный контроллеру сетевого интерфейса (NIC), для использования в качестве сетевого адреса при коммуникациях внутри сегмента сети. Это похоже на физический адрес вашей сетевой карты.
Теперь давайте используем Nmap для подмены нашего MAC-адреса. Мы будем использовать параметр --spoof-mac, за которым следует желаемый MAC-адрес и целевой IP-адрес.
Откройте терминал Xfce.
Выполните следующую команду:
sudo nmap --spoof-mac 00:11:22:33:44:55 192.168.1.1
Эта команда сообщает Nmap использовать MAC-адрес 00:11:22:33:44:55 при сканировании целевого IP-адреса 192.168.1.1. Вы, вероятно, увидите вывод, похожий на обычный скан Nmap, но исходный MAC-адрес, используемый для сканирования, будет подмененным.
Вывод покажет результаты сканирования, включая открытые порты и другую информацию о цели.
Пример вывода (точный вывод может отличаться в зависимости от цели):
Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00020s latency).
Not shown: 999 closed ports
PORT STATE SERVICE
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 0.10s
В этом примере Nmap сканировал 192.168.1.1 с использованием подмененного MAC-адреса 00:11:22:33:44:55.
Случайно сгенерировать MAC с помощью nmap --spoof-mac 0 127.0.0.1
В предыдущем шаге мы узнали, как подменять MAC-адрес с конкретным значением. В этом шаге мы изучим, как случайным образом назначать MAC-адрес с использованием Nmap. Это полезно, когда вы хотите избежать отслеживания, используя предсказуемый MAC-адрес.
Nmap позволяет случайным образом назначать MAC-адрес, используя 0 в качестве аргумента для параметра --spoof-mac. Это сообщает Nmap сгенерировать совершенно случайный MAC-адрес для каждого сканирования.
Откройте терминал Xfce.
Выполните следующую команду:
sudo nmap --spoof-mac 0 127.0.0.1
Эта команда сообщает Nmap использовать случайный MAC-адрес при сканировании целевого IP-адреса 127.0.0.1 (локального хоста).
Вывод покажет результаты сканирования, включая открытые порты и другую информацию о цели. Поскольку мы сканируем локального хоста, результаты должны быть относительно быстрыми.
Пример вывода (точный вывод может отличаться в зависимости от цели и конфигурации системы):
Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:05 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed
Nmap done: 1 IP address (1 host up) scanned in 0.01s
В этом примере Nmap сканировал 127.0.0.1 с использованием случайного MAC-адреса. Каждый раз, когда вы запускаете эту команду, Nmap будет генерировать другой MAC-адрес.
Добавить подробность с помощью nmap -v --spoof-mac 00:11:22:33:44:55 192.168.1.1
В этом шаге мы сочетаем подмену MAC-адреса с повышенной детализацией в Nmap. Подробность предоставляет более подробную информацию о процессе сканирования, которая может быть полезна при отладке или понимании поведения Nmap.
Параметр -v в Nmap увеличивает уровень подробности. Использование -v один раз предоставляет больше информации, чем по умолчанию, а использование его несколько раз (например, -vv или -vvv) еще больше повышает подробность.
Откройте терминал Xfce.
Выполните следующую команду:
sudo nmap -v --spoof-mac 00:11:22:33:44:55 192.168.1.1
Эта команда сообщает Nmap выполнить сканирование 192.168.1.1, подменить MAC-адрес на 00:11:22:33:44:55 и предоставить подробный вывод.
Вывод будет более подробным, чем в предыдущих шагах, показывая разные этапы сканирования, отправляемые запросы и полученные ответы.
Пример вывода (точный вывод может отличаться в зависимости от цели и конфигурации системы):
Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:10 UTC
NSE: Loaded 0 scripts for scanning.
Initiating Ping Scan at 10:10
Scanning 192.168.1.1 [4 ports]
Completed Ping Scan at 10:10, 0.00s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 10:10
Completed Parallel DNS resolution of 1 host. at 10:10, 0.00s elapsed
Initiating SYN Stealth Scan at 10:10
Scanning 192.168.1.1 [1000 ports]
Discovered open port 80/tcp on 192.168.1.1
Completed SYN Stealth Scan at 10:10, 0.05s elapsed (1000 total ports)
Nmap scan report for 192.168.1.1
Host is up (0.00018s latency).
Not shown: 999 closed ports
PORT STATE SERVICE
80/tcp open http
Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.07s
Raw packets sent: 1001 (44.044KB) | Rcvd: 1001 (40.044KB)
Обратите внимание на дополнительную информацию, предоставленную, например, загрузка скриптов NSE, начало различных этапов сканирования (Ping Scan, DNS-разрешение, SYN Stealth Scan) и количество отправленных и полученных пакетов. Этот уровень детализации может быть бесценен при отладке сетевых проблем или анализе результатов сканирования.
Сохранить поддельный скан с помощью nmap --spoof-mac 0 -oN spoof.txt 127.0.0.1
В этом шаге мы узнаем, как сохранять вывод сканирования Nmap в файл. Это полезно для последующего анализа или для генерации отчетов. Мы также продолжим использовать подмену MAC-адреса.
Nmap предоставляет несколько параметров для сохранения результатов сканирования. Параметр -oN сохраняет вывод в "обычном" формате, который читается человеком. Параметр -oG сохраняет вывод в формате, удобном для поиска с помощью grep, что полезно для написания сценариев. Параметр -oX сохраняет вывод в формате XML, который полезен для импорта в другие инструменты.
Откройте терминал Xfce.
Выполните следующую команду:
sudo nmap --spoof-mac 0 -oN spoof.txt 127.0.0.1
Эта команда сообщает Nmap выполнить сканирование 127.0.0.1, случайным образом назначить MAC-адрес и сохранить вывод в обычном формате в файл с именем spoof.txt в текущей директории (~/project).
После завершения сканирования вы можете просмотреть содержимое файла spoof.txt с помощью команды cat:
cat spoof.txt
Вывод покажет результаты сканирования в формате, читаемом человеком, аналогичном тому, что вы видите в терминале.
Пример вывода (точный вывод может отличаться в зависимости от цели и конфигурации системы):
Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:15 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed
Nmap done: 1 IP address (1 host up) scanned in 0.01s
Теперь в файле spoof.txt содержатся результаты сканирования Nmap, которые вы можете просмотреть по своему усмотрению.
Просмотреть вывод скана в терминале Xfce
В этом шаге мы рассмотрим вывод сканирования, который мы сохранили в файл spoof.txt на предыдущем шаге. Это поможет вам приобрести навыки в интерпретации результатов сканирования Nmap.
Откройте терминал Xfce.
Используйте команду cat, чтобы отобразить содержимое файла spoof.txt:
cat spoof.txt
Вывод покажет отчет о сканировании Nmap. Разберём основные части отчета:
- Starting Nmap: Эта строка показывает версию Nmap и дату и время начала сканирования.
- Nmap scan report for: Эта строка указывает цель сканирования (в этом случае
localhostили127.0.0.1). - Host is up: Эта строка подтверждает, что целевая хост доступна. Также показано задержка (время в пути).
- Ports: Эта секция перечисляет порты, которые были отсканированы, и их статус (открыт, закрыт, отфильтрован). На предыдущем шаге, если все порты были закрыты, вы бы увидели "All 1000 scanned ports on localhost are closed". Если какие-то порты были открыты, они были бы перечислены здесь с именем сервиса (например, 80/tcp open http).
- Nmap done: Эта строка суммирует сканирование, включая количество сканированных IP-адресов и общее время сканирования.
Пример вывода (точный вывод может отличаться в зависимости от цели и конфигурации системы):
Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:20 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed
Nmap done: 1 IP address (1 host up) scanned in 0.01s
Потратьте некоторое время на изучение вывода и понять, что он говорит вам о целевой системе. В следующем шаге мы сравним этот вывод с выводом обычного сканирования (без подмены MAC-адреса), чтобы увидеть, есть ли какие-либо различия.
Сравнить с обычным сканом в терминале Xfce
В этом шаге мы выполним обычное сканирование Nmap (без подмены MAC-адреса) и сравним его вывод с выводом поддельного сканирования из предыдущих шагов. Это поможет вам понять, влияет ли подмена MAC-адреса на результаты сканирования.
Откройте терминал Xfce.
Во - первых, запустите обычное сканирование Nmap для 127.0.0.1:
sudo nmap 127.0.0.1
Эта команда выполнит стандартное сканирование Nmap для локального хоста.
Внимательно изучите вывод этого сканирования. Обратите внимание на следующее:
- Версию Nmap и время начала.
- Цель сканирования (
127.0.0.1). - Тожесть хоста.
- Список отсканированных портов и их статус (открыт, закрыт, отфильтрован).
- Время завершения сканирования.
Пример вывода (точный вывод может отличаться в зависимости от цели и конфигурации системы):
Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:25 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Loopback interface ignored, scanning 0 interfaces
All 1000 scanned ports on localhost are closed
Nmap done: 1 IP address (1 host up) scanned in 0.01s
Теперь сравните этот вывод с содержимым файла spoof.txt, который содержит вывод поддельного сканирования. Вы можете просмотреть содержимое spoof.txt с помощью команды cat:
cat spoof.txt
Есть ли различия между двумя результатами сканирования? В большинстве базовых сценариев результаты сканирования будут идентичными. Однако, в более сложных сетевых средах подмена MAC-адреса может повлиять на то, как целевая система реагирует на сканирование, что потенциально может привести к разным результатам. Это происходит потому, что некоторые сетевые устройства или фаерволы могут использовать MAC-адреса для фильтрации или контроля доступа.
В этом простом лабораторном окружении основная цель подмены MAC-адреса - скрыть источник сканирования, а не обязательно изменить результаты сканирования.
Резюме
В этом лабораторном занятии мы изучили, как подменять MAC-адреса с использованием Nmap. Мы научились использовать параметр --spoof-mac для указания конкретного MAC-адреса, такого как 00:11:22:33:44:55, при сканировании целевого IP-адреса. Это позволяет нам скрыть нашу сеть и потенциально избежать обнаружения.
Помимо этого, мы начали изучать, как рандомизировать MAC-адрес с использованием Nmap, что полезно для избегания отслеживания за счет использования предсказуемого MAC-адреса. В лабораторном занятии показана базовая синтаксис для указания и рандомизации MAC-адреса, что奠定ило основы для более продвинутых методов сканирования сети.
