Los últimos dos tutoriales publicados en Linuxhint sobre NMAP se centraron en métodos de escaneo sigiloso que incluyen Syn Scan, NULL y XMAS Scan. Si bien estos métodos son fácilmente detectados por firewalls y sistemas de detección de intrusiones, son una forma formidable de aprender un poco sobre el didácticamente sobre el Modelo de internet o Conjunto de protocolos de internet, Estas lecturas también son imprescindibles antes de aprender la teoría detrás del escaneo inactivo, pero no es necesario para aprender a aplicarla prácticamente.
La exploración inactiva explicada en este tutorial es una técnica más sofisticada que usa un escudo (llamado zombie) entre el atacante y el objetivo, si el escaneo es detectado por un sistema de defensa (firewall o IDS), culpará a un dispositivo intermedio (zombie) más bien que la computadora atacante.
El ataque básicamente consiste en forjar el escudo o el dispositivo intermedio. Es importante resaltar el paso más importante en este tipo de ataque es no llevarlo a cabo contra el objetivo, sino encontrar el dispositivo zombie. Este artículo no se centrará en el método defensivo, para las técnicas defensivas contra este ataque que puede acceder de forma gratuita a la sección relevante en la prevención de intrusos del libro y la respuesta activa: implementación de redes y IP de host.
Además, a los aspectos de la suite de protocolo de Internet descritos en NMAP Basics, NMAP Stealth Scan y XMAS Scan para comprender cómo funciona el escaneo inactivo, debe saber qué es una ID de IP. Cada datagrama TCP enviado tiene una identificación temporal única que permite la fragmentación y el reensamblaje posterior de paquetes fragmentados basados en esa ID, llamado ID de IP. La ID de IP crecerá incrementalmente de acuerdo con el número de paquetes enviados, por lo tanto, según el número de ID de IP, puede aprender la cantidad de paquetes enviados por un dispositivo.
Cuando envíe un paquete SYN/ACK no solicitado, la respuesta será un paquete primero para restablecer la conexión, este Packet RST contendrá el número de ID de IP. Si primero envía un paquete SYN/ACK no solicitado a un dispositivo zombie, responderá con un paquete RST que muestra su ID de IP, el segundo paso es forjar esta ID de IP para enviar un paquete SYN forjado al objetivo, haciéndolo creer. son el zombie, el objetivo responderá (o no) al zombie, en el tercer paso envía un nuevo SYN/ACK al zombie para obtener un paquete RST nuevamente para analizar el aumento de ID de IP.
Puertos abiertos:
PASO 1 Envíe SYN/ACK no solicitado al dispositivo Zombie para obtener un paquete RST que muestra la ID de IP Zombie. | PASO 2 Envíe un paquete SYN forjado que se hace pasar por zombie, haciendo que el objetivo responda un SYN/ACK no solicitado al zombie, lo que hace que responda un nuevo RST actualizado. | PASO 3 Envíe un nuevo SYN/ACK no solicitado al zombie para recibir un paquete RST para analizar su nueva ID de IP actualizada. |
Si el puerto del objetivo está abierto, responderá al dispositivo Zombie con un paquete SYN/ACK alentando al zombie a responder con un paquete RST aumentando su ID de IP. Luego, cuando el atacante envía un SYN/ACK nuevamente al zombie, la ID de IP se incrementará +2 como se muestra en la tabla anterior.
Si el puerto está cerrado, el objetivo no enviará un paquete SYN/ACK al zombie, pero un RST y su ID de IP seguirá siendo el mismo, cuando el atacante envíe un nuevo ACK/SYN al zombie para verificar su ID de IP lo hará. se incrementará solo +1 (debido al ACK/SYN enviado por el zombie, sin aumento por provocado por el objetivo). Vea la tabla a continuación.
Puertos cerrados:
PASO 1 Lo mismo que arriba | PASO 2 En este caso, el objetivo responde al zombie con un paquete RST en lugar de un SYN/ACK, evitando que el zombie envíe el RST que puede aumentar su ID de IP. | PASO 2 El atacante envía un SYN/ACK y las respuestas de Zombie con solo aumentos realizados al interactuar con el atacante y no con el objetivo. |
Cuando el puerto se filtra, el objetivo no responderá en absoluto, la ID de IP también seguirá siendo la misma ya que no se realizará una respuesta RST y cuando el atacante envíe un nuevo SYN/ACK al zombie para analizar el ID de IP, el resultado ser lo mismo que con los puertos cerrados. Contrariamente a los escaneos SYN, ACK y Navidad que no pueden distinguir entre ciertos puertos abiertos y filtrados, este ataque no puede distinguir entre los puertos cerrados y filtrados. Vea la tabla a continuación.
Puertos filtrados:
PASO 1 Lo mismo que arriba | PASO 2 En este caso, no hay respuesta del objetivo que evite que el zombi envíe el RST que puede aumentar su ID de IP. | PASO 3 Lo mismo que arriba |
Encontrar un dispositivo zombie
NMAP NSE (motor de secuencias de comandos NMAP) proporciona el script IPIDSEQ para detectar dispositivos zombie vulnerables. En el siguiente ejemplo, el script se usa para escanear el puerto 80 de los objetivos aleatorios 1000 para buscar hosts vulnerables, los hosts vulnerables se clasifican como Incremental o Little-endian incremental. Se describen y se muestran ejemplos adicionales de uso de NSE, a pesar de no relacionado con la exploración inactiva.
Ejemplo ipidseq para encontrar aleatoriamente candidatos zombies:
nmap -p80 --script ipidseq -ir 1000
Como puede ver, se encontraron varios anfitriones vulnerables de los candidatos zombies PERO Todos son falsos positivos. El paso más difícil al llevar a cabo un escaneo inactivo es encontrar un dispositivo zombie vulnerable, es difícil debido a muchas razones:
En tales casos, al intentar ejecutar el escaneo inactivo, obtendrá el siguiente error:
"... no se puede usar porque no ha devuelto ninguna de nuestras sondas, tal vez está abajo o en firewally.
DEJAR!"
Si tiene suerte en este paso, encontrará un sistema antiguo de Windows, un antiguo sistema de cámara IP o una vieja impresora de red, el libro NMAP recomienda este último ejemplo.
Al buscar zombis vulnerables, es posible que desee exceder NMAP e implementar herramientas adicionales como Shodan y escáneres más rápidos. También puede ejecutar escaneos aleatorios que detectan versiones para encontrar un posible sistema vulnerable.
Ejecutando el escaneo inactivo de NMAP
Tenga en cuenta que los siguientes ejemplos no se desarrollan en un escenario real. Para este tutorial, se configuró un zombie de Windows 98 a través de VirtualBox, siendo el objetivo un metasproable también en VirtualBox.
Los siguientes ejemplos omita el descubrimiento del host e instruye un escaneo inactivo utilizando la IP 192.168.56.102 como dispositivo zombie para escanear los puertos 80.21.22 y 443 del objetivo 192.168.56.101.
nmap -pn -si 192.168.56.102 -p80,21,22,443 192.168.56.101
Dónde:
nmap: Llama al programa
-PN: omita el descubrimiento del anfitrión.
-si: Escaneo inactivo
192.168.56.102: Windows 98 Zombie.
-P80,21,22,443: instruye para escanear los puertos mencionados.
192.68.56.101: es el objetivo metasplotable.
En el siguiente ejemplo, solo la opción que define los puertos se cambia para -p- instruyendo a NMAP para escanear los puertos 1000 más comunes.
nmap -si 192.168.56.102 -pn -p- 192.168.56.101
En el pasado, la mayor ventaja de un escaneo inactivo era permanecer en el anonimato y forjar la identidad de un dispositivo que no era infiltrado o que era confiable por los sistemas defensivos, ambos usos parecen obsoletos debido a la dificultad de encontrar zombis vulnerables (pero aún , es posible, por supuesto). El resto del anonimato usando un escudo sería más práctico mediante el uso de una red pública, mientras que es poco probable que los firewalls o IDS sofisticados se combinarán con sistemas antiguos y vulnerables como confiables.
Espero que hayas encontrado este tutorial en NMAP Idle Scan útil. Siga a Linuxhint para obtener más consejos y actualizaciones sobre Linux y Networking.
Artículos relacionados: