Сканування мереж — це техніка, яка використовується в комп’ютерній безпеці для збору інформації про цільову мережу. Інформація, зібрана під час сканування, включає відомості про хости, підключені до мережі, відкриті порти, служби, що працюють на цих портах, і використовувані операційні системи. Метою сканування є виявлення потенційних вразливостей у мережі, що дозволяє зловмиснику визначити найкращий спосіб проникнення в мережу. Існує кілька типів сканування мережі, включаючи сканування портів, сканування ping, сканування відбитків ОС, сканування вразливостей тощо. Інструменти, які використовуються для сканування мережі, включають Nmap, Nessus, OpenVAS тощо. Сканування зазвичай вважається етапом перед нападом і використовується для збору інформації та підготовки до потенційної атаки. Сканування мереж — це процес активного дослідження комп’ютерних мереж для збору інформації про мережеві системи та об’єкти, до яких вони належать. Метою сканування мережі є ідентифікація пристроїв, підключених до мережі, їхніх IP-адрес, відкритих портів і запущених на них служб.
Ця інформація має вирішальне значення для розуміння стану безпеки мережі, виявлення вразливих систем і потенційних цілей для атак. Існують різні типи сканування мережі, наприклад сканування портів, сканування ping і сканування вразливостей. Сканування портів використовується для визначення відкритих портів і служб у системі, тоді як сканування ping використовується для визначення наявності активних систем у мережі. Сканування вразливостей, з іншого боку, перевіряє відомі вразливості в системах і програмах і повідомляє про потенційні ризики безпеці. Сканування мереж є важливим кроком у процесі тестування на проникнення, і його часто виконують фахівці з безпеки, щоб оцінити безпеку мережі та виявити потенційні слабкі місця. Однак його також можуть використовувати зловмисники для збору інформації для своїх атак і компрометації систем.
Hping3 — це інструмент безпеки мережі, який використовується для надсилання та аналізу мережевих пакетів. Його можна використовувати для перевірки правил брандмауера, сканування мережі та надсилання різних типів мережевих пакетів. Hping3 здатний надсилати пакети TCP, UDP і ICMP і може використовуватися для перевірки безпеки цільової системи. Hping3 широко використовується фахівцями з безпеки та вважається універсальним і ефективним інструментом для виконання різних типів мережевого тестування та аналізу.
Як виконувати сканування мережі та створення пакетів за допомогою команд hping3.
Kali Linux (машина зловмисника) Windows 10 (цільова машина).
Створення пакетів стосується процесу створення програмного пакета, який є попередньо налаштованим архівним файлом, який містить усі необхідні файли, бібліотеки та залежності для програмного додатку. Пакет створено для полегшення розповсюдження, встановлення та керування програмним забезпеченням. Процес створення пакета включає такі завдання, як створення пакета з вихідного коду, створення маніфесту пакета та тестування пакета. Метою створення пакетів є полегшення встановлення та використання програмного забезпечення для користувачів, а також спрощення керування програмним забезпеченням для системних адміністраторів.
Увійдіть у Kali Linux і запустіть термінал. Використовуйте hping3-h для відображення всіх команд. Ми зосередимося на кількох із них, тож не хвилюйтеся.
Зверніть увагу на те, що внизу вихідних даних було надіслано та отримано 3 пакети. Ви повинні отримати цю відповідь. -c означає кількість пакетів. Означає, що ми хочемо надіслати лише три пакети на цільову машину. Далі ми надішлемо сканування прапора SYN із діапазоном портів.
–scan Параметр визначає діапазон портів для сканування. -S представляє прапор SYN . Результат показує відкриті порти на цільовій машині, тобто Windows 10.
Знову запустіть Wireshark на машині Windows і залиште його працювати. Щоб надіслати запит TCP SYN на цільову машину, введіть:
Це передасть запит на 5 пакетів на комп’ютер жертви через порт 80. -S виконає запит TCP SYN на цільовому пристрої, p передаватиме трафік, через який призначений порт, і -c є кількістю пакетів, надісланих на цільову машину. Перейдіть на цільову машину (Windows) і спостерігайте за TCP-пакетами, зібраними в Wireshark. Потім зупиніть захоплення пакетів і почніть нове захоплення знову. Залиште Wireshark запущеним.
Надсилайте –flood пакети якомога швидше, не піклуючись про відображення вхідних відповідей. Через кілька секунд зупиніть захоплення пакетів у Wireshark у Windows. Ви помітите TCP-флуд з машини зловмисника. Примітка. Якщо ви хочете перевірити потік пакетів TCP і провести зворотне проектування, переконайтеся, що ви розумієте більше, ніж сумнозвісне «тристороннє рукостискання».
Ідентифікація операційної системи (ОС), яка використовується на цільовому хості, — це процес визначення конкретного типу операційної системи, встановленої на цільовій комп’ютерній системі. Цю інформацію можна отримати за допомогою різних методів, включаючи засоби сканування мережі, такі як Nmap, або шляхом вивчення відповіді цільової системи на різні типи запитів. Знання ОС, яка використовується на цільовому хості, важливо для виконання різних завдань, таких як оцінка вразливості, тестування на проникнення та розробка експлойтів. ОС, яка використовується на цільовому хості, може надавати інформацію про потенційні вразливості безпеки та потенційні вектори атак, які можна використати в процесі компрометації цільової системи.
Визначте ОС за розміром вікна TTL і TCP за допомогою Wireshark.
Машини Linux Ubuntu. Машина Windows 7. Машина з Windows 10 (Target працює під керуванням Wireshark).
Існує два типи техніки захоплення банерів: активна і пасивна. Захоплення банерів або відбитки ОС — це метод визначення ОС, що працює на віддаленій системі.
1. Відкрийте Wireshark на комп’ютері з Windows 10, виберіть правильний інтерфейс і почніть зйомку. (Інтерфейс може відрізнятися від вашого лаб. середовища).
2. Перейдіть на комп’ютер Ubuntu і почніть перевіряти комп’ютер з Windows 10.
3. Поверніться до Wireshark і перевірте протокол ICMP, вибравши захоплений кадр пакета; Розгорніть вузол «Версія Інтернет-протоколу» в деталях пакета, ви побачите TTL. Значення TTL, записане як 64 означає, що запит ICMP надійшов із машини на базі Linux.
4. Оновіть Wireshark, запустивши інше захоплення, і перейдіть до Windows 7. Ви повторите той самий процес, але з машиною Windows 7. Відкрийте підказку або Powershell і виконайте перевірку ping до машини з Windows 10, на якій запущено Wireshark.
5. Поверніться до Wireshark на машині з Windows 10 і знову перевірте ту саму інформацію про TTL. Значення TTL, записане як 128 означає, що запит ICMP надійшов із комп’ютера під керуванням Windows.
MegaPing — це мережевий інструментарій, який дозволяє користувачам виконувати діагностичні тести мережі, зокрема ping, traceroute, Whois, nslookup тощо. Він створений як універсальний мережевий інструмент для операційних систем Windows, що дозволяє користувачам швидко діагностувати та усувати проблеми з мережею. MegaPing можна використовувати для моніторингу доступності кількох мережевих пристроїв, діагностики проблем з підключенням і виявлення проблем із затримкою мережі. Крім того, він надає розширені функції, такі як спеціальні зонди, регульовані тайм-аути та настроювані параметри відображення.
Виявляти живі хости та відкриті порти систем у мережі.
Windows 7, 8 або 10.Windows Server 2012/2016 (цільова).
Це програмне забезпечення дуже просте у використанні. Щоб розпочати сканування, натисніть IP-сканер на лівій панелі.
Укажіть діапазон IP-адрес вашої мережевої лабораторії та натисніть «Пуск» Зверніть увагу на прапорець праворуч, ви можете переглянути MAC-адреси зібраних хостів. MegaPing перераховує всі IP-адреси у вказаному цільовому діапазоні з їхнім TTL , статусом (мертвий чи живий) і статистикою.
Клацніть правою кнопкою миші IP-адресу та виберіть Traceroute . Ця дія виконає Traceroute, відображаючи кількість стрибків, зроблених головною машиною для досягнення мети.
Далі виберіть сканер портів на лівій панелі.
Введіть IP-адресу цільової машини в розділі «Список адрес призначення» та натисніть «Додати» .
Ця дія перерахує всі порти, пов’язані з метою, разом із типом порту, ключовим словом, ризиком і описом , як показано на наступному знімку екрана:
Nmap (Network Mapper) — це безкоштовний інструмент мережевого сканування та розвідки з відкритим кодом, який дозволяє користувачам виявляти хости та служби в комп’ютерній мережі та визначати, які операційні системи та програми працюють у цих системах. Nmap використовує різноманітні методи для ідентифікації хостів, визначення відкритих портів і служб, а також ідентифікації операційної системи та версій програмного забезпечення, що працюють на цільовому пристрої. Nmap можна використовувати для різних цілей, включаючи оцінку вразливості, інвентаризацію мережі та аудит безпеки. Він широко використовується мережевими адміністраторами, спеціалістами з безпеки та дослідниками для виконання різноманітних завдань, пов’язаних із мережевою безпекою та керуванням.
Сканувати всю підмережу.
Відстежуйте всі надіслані та отримані пакети.
Виконайте повільне комплексне сканування.
Створіть новий профіль для виконання нульового сканування.
Сканування портів TCP і UDP.
Машина Windows server 2012.
Машина Windows 10.
Ubuntu Metasploitable машина.
Машина Kali Linux.
Переконайтеся, що правильно налаштовано топологію мережі у вашому віртуальному середовищі.
Відкрийте вікно терміналу та введіть nmap-h список усіх доступних команд. Оскільки Nmap має так багато опцій, ви можете скористатися цією шпаргалкою , щоб переглянути деякі приклади.
Обидва роблять однаково, з невеликими відмінностями, наприклад, нотація підмережі трохи швидша, ніж символ підстановки. Запустіть це сканування та перевірте результати. Nmap сканує всю мережу та відображає інформацію для всіх хостів разом із відкритими портами, типом пристрою, деталями ОС.
-sN: нульове сканування TCP.
-A: вмикає визначення ОС, визначення версій, сканування сценаріїв і traceroute
-T4: Час: (4) Агресивний режим прискорює сканування, припускаючи, що ви перебуваєте в досить швидкій і надійній мережі.
Виконуючи цю команду, Nmap надсилає TCP-пакети, у яких не встановлено жоден із позначок TCP. Якщо сканування повертає пакет RST, це означає, що порт закрито; Якщо нічого не повертається, порт або відфільтрований, або відкритий.
Як показано вище, ми можемо побачити частину результату сканування, виконаного на Metasploitable Linux. Пізніше ми зможемо перевірити версії та тип служб, що працюють на відкритих портах. Цей тип інформації дуже цінний, оскільки ми можемо шукати вразливості, недоліки тощо.
Nmap постачається з різними вбудованими сценаріями, які можна використовувати під час процесу сканування, щоб знайти відкриті порти та служби, що працюють на портах.
TCP Connect Scan використовує звичайне TCP-з’єднання, щоб визначити, чи доступний порт.
Xmas Scan передбачає надсилання сегментів TCP із усіма прапорами, надісланими в заголовку пакета, генеруючи пакети, які є незаконними згідно з RFC
Сканування прапора ACK передбачає надсилання пакета зонда ACK із випадковим порядковим номером.
Сканування UDP передбачає надсилання загального UDP-пакета до цільового пристрою.
Сканування IDLE передбачає надсилання підроблених пакетів до цілі.
Це сканування є найпростішим із сканування TCP. Системний виклик connect(), наданий вашою ОС, використовується для з’єднання з кожним цікавим портом на машині. Якщо порт прослуховує, connect() буде успішним, інакше порт недоступний. Однією з переваг цієї техніки є те, що вам не потрібні особливі привілеї.
Xmas Scan надсилає кадр TCP на віддалений пристрій із установленими прапорцями PSH, URG і FIN. FIN сканує лише за допомогою ОС TCP/IP, розробленої відповідно до RFC 793. Поточна версія MS Windows не підтримується.
Nmap повертає результат про те, що всі порти відкриті/відфільтровані, що означає, що на цільовій машині налаштовано брандмауер. Потім вимкніть брандмауер на цільовій машині.
Сканування ACK ніколи не знаходить відкритий порт. Він забезпечує лише «відфільтроване» або «нефільтроване» розташування, оскільки ніколи не підключається до програми для підтвердження «відкритого» стану. Це сканування ініціює сканування ACK і відображає розташування портів, як показано нижче:
Зловмисники надсилають пакет зонду ACK із випадковим порядковим номером. Відсутність відповіді означає, що порт відфільтрованоНефільтрована відповідь означає, що порт закрито.
Сканування UDP виконується для пошуку будь-яких портів UDP на цільовій машині. Якщо є, щоб визначити їх стан (Відкрито/Закрито).
Сканування в режимі очікування — це техніка, яка використовується хакерами для сканування портів, приховуючи свою IP-адресу. Це досягається шляхом використання неактивного хоста (зомбі) між зловмисником і цільовою системою, який використовується для надсилання пробних пакетів до цілі. Відповідь від цілі надсилається назад до зловмисника через той самий зомбі-хост, створюючи враження, ніби тестові пакети були надіслані з зомбі-хосту, а не з IP-адреси зловмисника. Це дозволяє зловмиснику збирати інформацію про цільову систему, не будучи виявленим.
У цьому прикладі зомбі буде машиною Windows Server 2012 і цільовою машиною Windows 10, яка використовує номер порту 80 (або будь-який порт, який ви хочете перевірити).
Ping sweep — це метод, який може встановити діапазон IP-адрес, які зіставляються з живими хостами. Тепер замість того, щоб перевіряти окремі системи, ми перевірятимемо всі активні системи в мережі, виконуючи перевірку ping.
Nmap сканує підмережу та показує список активних систем, як показано вище. Результат може відрізнятися в умовах вашої лабораторії.
Команда Nmap nmap -D RND:10 є опцією приманки, яка дозволяє сканувати за допомогою кількох приманних IP-адрес. Брандмауери та IDS виявляють звичайні спроби сканування в цільовій мережі. Однак ви можете використовувати техніку приманки IP-адреси, щоб уникнути виявлення. Перш ніж розпочати цю лабораторну роботу, переконайтеся, що брандмауер Windows на цільовому пристрої ввімкнено.
Коли службу брандмауера Windows увімкнено, ви можете бачити лише відкриті порти, як показано у вихідних даних вище.
Ця команда використовується для сканування кількох приманних IP-адрес. Nmap надішле кілька пакетів із різними IP-адресами разом із IP-адресою вашого зловмисника. nmap -D RND:10 <Target IP Address> Знову ж таки, результат такий самий, як і попередні результати, але на цільовому поданні дуже відрізняється.Перевірте журнали брандмауера Windows Server і проаналізуйте останнє виконане сканування. Ви також можете аналізувати цю інформацію, увімкнувши Wireshark.Обидва показують декілька IP-адрес разом із вашою справжньою IP-адресою зловмисника.
Команда Nmap nmap -D RND:10 є опцією приманки, яка дозволяє сканувати за допомогою кількох приманних IP-адрес. Брандмауери та IDS виявляють звичайні спроби сканування в цільовій мережі. Однак ви можете використовувати техніку приманки IP-адреси, щоб уникнути виявлення. Перш ніж розпочати цю лабораторну роботу, переконайтеся, що брандмауер Windows на цільовому пристрої ввімкнено.
Коли службу брандмауера Windows увімкнено, ви можете бачити лише відкриті порти, як показано у вихідних даних вище.
Ця команда використовується для сканування кількох приманних IP-адрес. Nmap надішле кілька пакетів із різними IP-адресами разом із IP-адресою вашого зловмисника. nmap -D RND:10 <Target IP Address> Знову ж таки, результат такий самий, як і попередні результати, але на цільовому поданні дуже відрізняється.Перевірте журнали брандмауера Windows Server і проаналізуйте останнє виконане сканування. Ви також можете аналізувати цю інформацію, увімкнувши Wireshark.
Colasoft Packet Builder — це програмний інструмент, який використовується в комп’ютерних мережах для створення власних мережевих пакетів. Він зазвичай використовується для тестування та усунення несправностей мережевого зв’язку та безпеки. Інструмент дозволяє користувачам вказувати різні параметри пакета, такі як IP-адреси джерела та призначення, використовуваний протокол і корисне навантаження. Це дозволяє мережевим адміністраторам імітувати конкретні умови мережі та перевіряти поведінку мережевих пристроїв і систем безпеки за цих умов. Colasoft Packet Builder є частиною набору інструментів аналізу мережі, які пропонує компанія Colasoft, яка спеціалізується на рішеннях для підвищення продуктивності та безпеки мережі.
NetScanTools Pro — це набір інструментів для аналізу мережі та Інтернету, призначених для надання мережевим адміністраторам і фахівцям із безпеки інструментів, необхідних для моніторингу та захисту своїх мереж. Програмне забезпечення включає різноманітні інструменти для таких завдань, як ping, трасування маршруту, whois тощо. Крім того, NetScanTools Pro надає інформацію про мережеві протоколи та містить інструменти для аналізу та інтерпретації результатів цих сканувань, що допомагає виявити потенційні вразливості системи безпеки та інші проблеми.
IP-Tools, також відомий як IP Utilities, — це набір мережевих інструментів і утиліт, які використовуються для діагностики та усунення проблем, пов’язаних з IP. Ці інструменти дозволяють мережевим адміністраторам виконувати різні пов’язані з мережею завдання, такі як тестування підключення до мережі, сканування відкритих портів, відстеження маршрутів, перетворення імен хостів в IP-адреси тощо. Набір IP-Tools зазвичай включає різноманітні інструменти, такі як ping, traceroute, nslookup та інші засоби діагностики та усунення несправностей мережі. Ці інструменти необхідні мережевим адміністраторам, які використовують їх для моніторингу та підтримки працездатності своїх мереж, а також для визначення потенційних ризиків безпеці та інших проблем, які можуть виникнути.
Angry IP Scanner — це безкоштовний інструмент із відкритим вихідним кодом, який можна використовувати для виявлення мережі, сканування портів і базової інвентаризації мережі. Він забезпечує швидкий, простий і зручний спосіб сканування діапазону IP-адрес або імені хоста та отримання такої інформації, як імена хостів, відкриті порти, операційна система та час роботи. Angry IP Scanner також можна використовувати для створення звіту про виявлені хости, і він підтримує плагіни, які розширюють його функціональність. Він широко використовується мережевими адміністраторами, фахівцями з безпеки та любителями для сканування своїх мереж і виконання розвідувальних дій.
Proxy Workbench — це унікальний проксі-сервер — ідеальний для розробників, експертів із безпеки та викладачів — який відображає дані в реальному часі. Шлейфове з’єднання проксі-серверів може зробити аналіз трафіку набагато складнішим і ускладнити для перехоплювача можливість контролювати різні частини Інтернету.
Проксі-перемикач — дозволяє автоматично виконувати дії відповідно до виявленого мережевого підключення. Проксі-перемикач для всіх потреб анонімного перегляду. Його можна використовувати, щоб уникнути різного роду обмежень, які накладають різні сайти. Будь то сайт для завантажень, який обмежує кількість завантажень. Або відеосайт працює лише в певній країні – найчастіше він зазнає поразки через функції анонімного перегляду, які надає Proxy Switcher.
CyberGhost VPN — це служба віртуальної приватної мережі (VPN), яка дозволяє користувачам безпечно й анонімно переглядати веб-сторінки, шифруючи інтернет-трафік і приховуючи свою IP-адресу. Завдяки CyberGhost VPN користувачі можуть отримувати доступ до заблокованих веб-сайтів, захищати свою конфіденційність в Інтернеті та запобігати моніторингу їх дій в Інтернеті постачальниками послуг Інтернету, державними органами та хакерами. Програмне забезпечення доступне для кількох платформ, включаючи Windows, Mac, iOS та Android.
ProtonVPN — це послуга віртуальної приватної мережі (VPN), яку надає швейцарська компанія Proton Technologies AG. Це дозволяє користувачам безпечно та анонімно підключатися до Інтернету, направляючи свій інтернет-трафік через зашифрований та безпечний тунель. ProtonVPN пропонує низку функцій безпеки та конфіденційності, включаючи надійне шифрування, політику відсутності журналу та вбудований перемикач для захисту конфіденційності та безпеки користувачів в Інтернеті. Крім того, служба VPN надає доступ до великої мережі серверів у різних країнах, дозволяючи користувачам обходити цензуру, геообмеження та інші онлайн-обмеження.
SolarWinds Network Topology Mapper — це програмний інструмент, призначений для відображення та візуалізації фізичної та логічної топології комп’ютерної мережі. Це допомагає мережевим адміністраторам зрозуміти взаємозв’язки між мережевими пристроями та компонентами та надає інтерактивне графічне представлення топології мережі. Інструмент може виявляти та відображати мережеві пристрої, включаючи маршрутизатори, комутатори, брандмауери та сервери, а також може автоматично оновлювати карту топології мережі, коли відбуваються зміни в мережевій інфраструктурі. Він також може створювати детальні діаграми мережі та звіти, щоб допомогти адміністраторам приймати обґрунтовані рішення щодо дизайну мережі та керування нею.