Nmapの上級技術と防衛策

nmapのネットワークセキュリティ監査（V）

Nmapの上級技術と防衛策

Nmapの迷彩技術

ほとんどの人は、Nmapには、ファイアウォールルールやIDSチート機能を回避提供してはならないと思います。しかし、多くのセキュリティツールは、これらの機能を提供してきたので、Nmapが、これらの機能は、セキュリティを強化するために、ネットワーク管理者を助けることができます含まれています。Nmapには、ファイアウォールやIDSシステムの専門ツールとオプションの検出と破壊を提供していませんが、それは、関連する技術を提供しています。

1. Nmapの-fターゲット

   プローブパケットを使用して、-Fオプションは、Nmapのセグメントを送信することができます。したがって、元のデータ・パケットは、ターゲット・ネットワーク・パケット・フィルタリングの防御機構、これらのパケットの検出がより困難になるファイアウォールなどのいくつかの部分に分割されます。また、このオプションは慎重に使用する必要があり、一部の古いシステムでは、断片化されたパケットを処理する際に頻繁に発生する状況をクラッシュします。

nmap -f 192.168.0.103

ここでは、我々はキャプチャツールによって、この段階で捕まることができ、より直感的に見てみたいです。私たちは、データパケットの数が多い断片化されたIPプロトコルの上の兆候を含んでいます。このフラグは、これらのパケットが断片化されたパケットで説明します。
私たちはただの機能をWindowsで正しく動作しないことが実証されていることを、この先端の警告を促した検出結果で見つけることができます。

2. （指定されたMTUを使用して）-mtu

   MTU（最大出力ユニット）は、通信プロトコルの層を採用することができる所定の最大パケットサイズを指します。一般に、MTUデフォルト値イーサネットが1500バイトであり、これは、送信者がIP層にデータパケット2008バイトの長さを送信するために高レベルのプロトコルの意味である場合、次に20バイトのIPヘッダの後にパケットを追加することを意味しますIPパケットの長さの合計は2028バイトです。データパケットが断片化されるように、2028年から1500年を上回ります。
   MTUのサイズを指定することができ-mtu Nmapのパラメータを使用します。ここでMTU値は8の倍数でなければなりません。

nmap --mtu 16 192.168.0.103

窓は私が地図上ここにされることなく、正常に動作していないので、私はここにいます。ここでは、私たちが送られた各データパケットのサイズが16バイトに変更されていることがわかり、表示する同じパケットキャプチャツールを使用します。

3. -D <decoy1【、decoy2] [、ME]、...>（隠れ走査を用いデコイホスト）

   ターゲットをスキャンする際に通常、それは見つけることができます。スキャンを発見するターゲットホストであるターゲットホストアドレス、上の偽のスキャンが多数進行中、しかしにより、複数のホストからのスキャンデータパケットにした同じ時間より使いやすい方法で、IDSが現在である場合でも、唯一知っていますスキャンされ、最終的には知らないスキャン中のどのホストです。これは一般的な隠された独自のIP技術です。

   スキャンしながら、Nmapが、あなたも自分のIPアドレスがMEオプションを使用することができ、餌としてあなたの本当のIPを使用することができ、各IPアドレスを区切るためにコンマを使用して、餌をホスト餌を指定するには、-Dオプションを使用して、ホストでの餌の使用をサポートしています。あなたが6位にMEオプションを使用し、さらにバックした場合、いくつかの一般的なポートスキャン検出器は、実際のIPを報告しません。あなたは、ランダムな場所にMEオプション、Nmapの本当のIPを使用しない場合。

   ホスト餌として、それ以外のスキャンはつまり、私たちはしばしばDDoS攻撃と言う、SYN FLOODになることがあり、労働条件でなければなりません。ネットワークは関係なく、あなたがおとりを作るどのくらいの仕事で1つのホストのみを、持っていない場合は、スキャン中のホストがあります。

   ステージまたは実際のポートスキャンスキャンのPing（ICMP、SYN、ACKなど）は、我々はおよそ以前話しました。そして、リモートオペレーティングシステムの検出フェーズ、あなたは餌ホスティングオプションを使用することができます。バージョン検出やTCP接続スキャンが実行されたときしかし、ホスト餌オプションは使用できません。

   私たちは、テストするには、このコマンドを使用し、プラスパラメータ-D後RND：10は10台のおとりホストを生成表します。（生成デコイホストのより大きい数は、より遅いスキャンにつながるが、結果は正確ではありません。）

nmap -D RND:10 192.168.0.103

私たちは、パケットキャプチャ検出用パケットキャプチャツールを使用する今回は、送信元アドレスの異なるデータパケット伝送の多くを見つけることができます。

4. --sourceポート<ポート番号>; - G <ポート番号>（ソースポートスプーフィング）

   网络安全控制中有一种访问控制列表技术（Access Control Lists, ACL）。这种技术主要是依靠ip地址和端口数来对数据包进行限制，有时候需要保证DNS和FTP协议正常工作，DNS响应来自53端口，FTP连接来自于20端口，很多时候网络管理员会直接允许来自于这些端口的数据进入网络，这样做其实就是在防护的网络边界上开的一个漏洞。

   Nmap提供了-g和--source-port参数，用于利用上述弱点，nmap就可从不常用或被遗忘的端口发送数据，下面我们来测试一下,将扫描的源端口指定为8888。

   nmap -g 8888 192.168.0.103

   

   在这里我们也可以通过抓包工具，对发送出去的数据包进行检测，在数据包中的Source port 字段中可以看到源端口为8888。

5.--date-length <number> （发送报文时附加随机数据）

默认情况下，Nmap发送到报文中只包含头部，内容部分是空的。，因此，TCP的数据包大小只有40字节，而ICMP ECHO请求只有28字节。我们在之前也讲到这种空的报文，很容易被网络中检测机制发现，所以在试图通过这些网络的检测机制时，可以在数据包上附加指定数量的随机字节，这个选项会使得大部分Ping和端口扫描变慢，但是影响并不大。
使用 --data-length 指定为25

nmap --data-length 25 192.168.0.103

想要进一步查看是否更改成功的话，还需要通过抓包软件。在抓包软件中可以看到发送出去的数据包的data部分的长度是25字节。

6. --ttl <value> （设置IP time to live ）

   TTL（time to live 生存时间）。Nmap中可以设置IPv4数据包的ttl域为指定的值，指定参数为 -ttl

   nmap -ttl 25 192.168.0.103

   在这里就不再去贴图片了，因为结果都是一样的。不一样的就是需要自己通过抓包软件去分析数据包中被修改过的值。

7. --spoof-mac <mac address ,prefix ,or vendor name> （MAC地址欺骗）

   Nmapには、このオプションが人工であることによって、作業をスキャンするときには、送信者のMACアドレスを指定することができます。このオプションは、--send-ETH、これは本物のNmapのイーサネットパケットを送信しているデフォルトパラメータを使用しています。単純な文字列0、Nmapには完全にランダムなMACアドレスを選択した場合Nmapが、複数のフォーマットをサポートしています。指定された文字は、セミコロンで区切られた16進数が偶数である場合は、NmapがこのMACアドレスを使用します。未満で12桁の16進数である場合、Nmapがランダムに残りの6つのバイトを充填します。それは0と16進数の文字列パラメータでない場合は、一致が見つかった場合、Nmapが、Nmapの-MAC-プレフィックスによって製造業者の名称については、製造元の3バイトの接頭辞になりますし、ランダムに残りの3つのバイトを埋めます。

   MACアドレス走査方法をスプーフィング（-PR ARPピング走査）

   nmap -sn -PR --spoof-mac 0 192.168.0.103

   

TCP接続スキャン検出

TCP接続スキャンは、書き忘れたり、それを書くことよりはありません、前に言いました...

TCP Connect扫描是一种最为基本的扫描方式。Nmap向一个开放的端口发起了连接请求，并且完成三次握手，之后结束了这次连接。这种扫描很容易被检测到，因为Nmap会向每一个目标端口发送一个数据包。如果该端口是关闭的，目标会回复一个RST和ACK标志位的数据包。如果该端口是开放的，目标会回复一个设置了SYN/ACK标志位的数据包。然后Nmap会发送一个设置了ACK标志位的数据包来完成三次握手，在这个过程中会产生大量错误消息。

下面来测试分析一下这个实验，我这里使用物理机192.168.126.1去扫描虚拟机192.168.126.139
我们可以看到这段时间内有大量的TCP Connect活动出现，如此频繁地对大量TCP端口发起连接很可能意味有人正在对你的主机进行扫描。如果网络中部署了网络检测设备，当达到一定的阈值时就会报警。

この期間中に見られるように、あなたは多くのポートを接続しようとしています

オペレーティングシステムスキャン防止

ネットワークの時間のメンテナンスは、最も簡単な方法は、時間にパッチを適用システム、アップデートをタイムリーにインストール以外の何物でもないとき。しかし、本当にこれは、ファイアウォールなどのセキュリティデバイスを高めるために最善である、他人のスキャンを防ぐことはできません。また、2つのソフトウェアのモーフとIPパーソナリティも非常に良い保護ソフトウェアです。
オペレーティングシステムが防止ネットワークをスキャンし、最善の方法は、あなたがこれらの2つのソフトウェアを使用することができ、敵を欺くために虚偽の情報を提供することです。
具体的には、私は何の関心の下であなたが試す所有することができ、使用していません。

問題

それは何も大きな問題である必要があり、これは使用のためにwireshakeでメインのNmapをリンクする必要があり、効果がより明白になるような実験は、それも理解することが有用です。

为什么最后一点才贴wireshake的图，因为我懒的贴图。

过段时间会更新wireshake的用法和操作

文章可能有的地方写的比较多，什么TTL，ACL这种基础的网络知识其实都不想写，就当给自己复习了。