Effectuer des scans furtifs avec Nmap

Les pirates sont confrontés à de nombreux défis, mais la reconnaissance est l'un des problèmes les plus importants. Il est important de connaître le(s) système(s) cible(s) avant de commencer à pirater. Il est essentiel de connaître certains détails, tels que les ports ouverts, les services en cours d'exécution, les adresses IP et le système d'exploitation utilisé par la cible. Pour commencer le processus de piratage, il est nécessaire d'avoir toutes ces informations. Dans la plupart des cas, les pirates prendront plus de temps en reconnaissance au lieu d'exploiter immédiatement.

L'outil utilisé à cet effet s'appelle Nmap. Nmap commence par envoyer des paquets spécialement conçus au système ciblé. Il verra ensuite la réponse du système, y compris le système d'exploitation en cours d'exécution et les ports et services ouverts. Mais malheureusement, ni un bon pare-feu ni un système de détection d'intrusion réseau puissant ne détecteront et ne bloqueront facilement de tels types d'analyses.

Nous discuterons de certaines des meilleures méthodes pour aider à effectuer des analyses furtives sans être détecté ou bloqué. Les étapes suivantes sont incluses dans ce processus :

1. Numériser à l'aide du protocole TCP Connect
2. Scannez à l'aide du drapeau SYN
3. Analyses alternatives
4. Descendre en dessous du seuil

1. Numériser à l'aide du protocole TCP

Commencez par analyser le réseau à l'aide du protocole de connexion TCP. Le protocole TCP est un scan efficace et fiable car il ouvrira la connexion du système cible. Rappelez-vous que le -P0 l'interrupteur est utilisé à cette fin. le -P0 Le commutateur limitera le ping de Nmap envoyé par défaut tout en bloquant divers pare-feu.

$ sudo nmap -sT -P0 192.168.1.115

À partir de la figure ci-dessus, vous pouvez voir que le rapport le plus efficace et le plus fiable sur les ports ouverts sera renvoyé. L'un des principaux problèmes de cette analyse est qu'elle activera la connexion le long du TCP, qui est une poignée de main à trois pour le système cible. Cet événement peut être enregistré par la sécurité Windows. Si par hasard, le piratage réussit, il sera facile pour l'administrateur du système de savoir qui a effectué le piratage, car votre adresse IP sera révélée au système cible.

2. Analyser à l'aide du drapeau SYN

Le principal avantage de l'utilisation du scan TCP est qu'il active la connexion en rendant le système plus simple, fiable et furtif. En outre, l'ensemble d'indicateurs SYN peut être utilisé avec le protocole TCP, qui ne sera jamais enregistré, en raison de la poignée de main à trois voies incomplète. Cela peut être fait en utilisant les éléments suivants :

$ sudo nmap -sS -P0 192.168.1.115

Notez que la sortie est une liste de ports ouverts car elle est assez fiable avec le scan de connexion TCP. Dans les fichiers journaux, il ne laisse aucune trace. Le temps pris pour effectuer cette analyse, selon Nmap, n'était que de 0.42 secondes.

3. Analyses alternatives

Vous pouvez également essayer le scan UDP à l'aide du protocole UBP s'appuyant sur le système. Vous pouvez également effectuer l'analyse Null, qui est un TCP sans drapeaux ; et le scan de Noël, qui est un paquet TCP avec l'ensemble d'indicateurs P, U et F. Cependant, toutes ces analyses produisent des résultats peu fiables.

$ sudo nmap -sU -P0 10.0.2.15

$ sudo nmap -sN -P0 10.0.2.15

$ sudo nmap -sX -P0 10.0.2.15

4. Descendre sous le seuil

Le pare-feu ou le système de détection d'intrusion réseau alertera l'administrateur de l'analyse car ces analyses ne sont pas enregistrées. Presque tous les systèmes de détection d'intrusion réseau et le dernier pare-feu détecteront ces types d'analyses et les bloqueront en envoyant le message d'alerte. Si le système de détection d'intrusion réseau ou le pare-feu bloque le scan, il attrapera l'adresse IP et notre scan en l'identifiant.

SNORT est un système de détection d'intrusion réseau célèbre et populaire. SNORT se compose des signatures qui sont construites sur l'ensemble de règles pour détecter les scans de Nmap. L'ensemble réseau a un seuil minimum car il passera par un plus grand nombre de ports chaque jour. Le niveau de seuil par défaut dans SNORT est de 15 ports par seconde. Par conséquent, notre scan ne sera pas détecté si nous scannons en dessous du seuil. Pour mieux éviter les systèmes de détection d'intrusion réseau et les pare-feux, il est nécessaire d'avoir toutes les connaissances à votre disposition.

Heureusement, il est possible de numériser à différentes vitesses avec l'aide de Nmap. Par défaut, Nmap se compose de six vitesses. Ces vitesses peuvent être modifiées à l'aide du -T commutateur, ainsi que le nom ou le numéro de la vitesse. Les six vitesses suivantes sont :

paranoïaque 0, sournois 1, poli 2, normal 3, agressif 4, fou 5

Les vitesses paranoïaques et sournoises sont les plus lentes, et les deux sont sous le seuil de SNORT pour diverses analyses de ports. Utilisez la commande suivante pour analyser à la vitesse sournoise :

$ nmap -sS -P0 -T sournois 192.168.1.115

Ici, le scan passera devant le système de détection d'intrusion réseau et le pare-feu sans être détecté. La clé est de maintenir la patience pendant ce processus. Certaines analyses, comme l'analyse rapide sournoise, prendront 5 heures par adresse IP, tandis que l'analyse par défaut ne prendra que 0.42 secondes.

Conclusion

Cet article vous a montré comment effectuer une analyse furtive à l'aide de l'outil Nmap (Network Mapper) dans Kali Linux. L'article vous a également montré comment travailler avec différentes attaques furtives dans Nmap.