In che modo nmap esegue una scansione di zombi e falsi?

8

Stiamo imparando nmap nella mia classe di hacking etico. Abbiamo mostrato come possiamo usare nmap per eseguire una scansione zombie:

nmap -PN -sI zombieIP targetIP

e scansione dell'esca:

nmap -p 135 -D decoyIP targetIP

Capisco cosa fanno, ma il docente non ha approfondito i dettagli su come funziona. Sono curioso di capire, in che modo nmap può dire a zombieIP (o decoyIP) di eseguire una scansione su targetIP?

    
posta Juicy 12.11.2013 - 20:57
fonte

2 risposte

7

L'idea di base di una scansione Zombi o inattivi è quella di inviare pacchetti oggetto di spoofing all'origine, quindi osservare alcuni modifica dello stato nello stack TCP / IP della macchina con l'indirizzo di origine falsificato. Il metodo originale, scoperto nel 1998 , utilizzava Campo ID IP per osservare lo stato.

La -sI Scansione inattiva di Nmap è una buona implementazione che è in grado di interrogare l'host Zombie / Idle per determinarne la sua algoritmo per l'incremento del campo ID IP; in alcuni casi, aumenta di 2 o di 256. Spetta all'utente scegliere un host Zombie appropriato. Eseguendo una scansione con i flag -O (fingerprinting SO) e -v (verbose), l'utente può trovare macchine che hanno una sequenza ID IP incrementale, quindi indirizzarle con Nping o un altro strumento di elaborazione dei pacchetti per identificare quelli che non stanno vivendo molto traffico. La parte "Idle" della scansione indica che lo Zombie deve essere in gran parte inattivo (non in comunicazione con altri host) affinché la scansione funzioni. Infine, la scansione viene eseguita utilizzando un comando come te pubblicato: nmap -Pn -sI zombieIP targetIP

La tecnica è simile a questa:

  1. Nmap sonda lo Zombie per determinare la sua classe di sequenza ID IP e il valore corrente che sta usando.
  2. Nmap invia quindi pacchetti TCP SYN a varie porte sulla destinazione, ma falsifica l'indirizzo di origine come quello di Zombie.
  3. Durante la scansione, Nmap ricerca continuamente lo zombi per scoprire quanti pacchetti ha inviato. Aspettando un pacchetto per sonda, se trova che sono stati inviati due pacchetti, può presumere che l'altro fosse un pacchetto RST in risposta al SYN / ACK della destinazione, indicando una porta aperta.

In versione 6.45 , Nmap ha aggiunto la possibilità di fare Inattivo esegue la scansione su IPv6 . La tecnica è simile, ma utilizza invece il campo ID frammentazione IPv6. La tecnica è stata scoperta da Mathias Morbitzer , e sarà disponibile nella prossima versione di Nmap.

Le scansioni delle esche sono una tecnica molto meno interessante. Tutti i pacchetti provengono dalla tua macchina di scansione, ma alcuni hanno indirizzi di origine falsificati. Qualsiasi risposta a queste fonti di spoofing non arriverà allo scanner, quindi non possono essere utilizzate per determinare gli stati della porta. Questa tecnica serve solo a confondere il rilevamento della scansione delle porte e non offre alcuna informazione oltre una normale scansione.

    
risposta data 12.11.2013 - 22:32
fonte
1

Le tecniche di scansione sono spiegate molto bene nel manuale di nmap: Tecniche di scansione portuale

È interessante eseguire Wireshark mentre esegui una scansione delle porte: puoi vedere i pacchetti esatti inviati e ricevuti e scoprire come funziona davvero.

    
risposta data 12.11.2013 - 21:14
fonte

Leggi altre domande sui tag