Varredura bruta com NMAP

cristofe

Neste artigo estudaremos técnicas de varreduras utilizando recursos de fingerprint e portscan. A ideia é conduzir o leitor a conhecer técnicas simples e avançadas do NMAP - The Network Mapper. A tentativa aqui não é esgotar o assunto, e sim utilizar técnicas de manipulação de datagramas (TCP/UDP). Para teste foi utilizado Debian Linux com kernel 2.6.2 e o Nmap 4.11.

[ Hits: 84.949 ]

Por: cristofe coelho lopes da rocha em 27/12/2008

0 0

Denuncie Favoritos Indicar Impressora

Utilizando técnicas avançadas

Bom, é lógico que a varredura acima foi efetuada em uma rede que não possui um firewall de borda impedindo ICMP request desta natureza, portanto tornou mais fácil e rápida a varredura.

Para utilizar técnicas mais avançadas é necessário que a máquina do atacante tenha permissão de root, pois para montar seus próprios datagramas adulterados o NMAP utiliza os raw sockets, caso contrário o NMAP só fará varreduras do tipo TCP connect.

Varreduras TCP-SYN (desenvolvidas para dificultar a detecção)

# nmap -sS -vv -O -orededomala.txt 192.253.10.253

Esta técnica varre o host 192.253.10.253 de forma [-sS] flag SYN setada. Desta forma o NMAP enviará um pacote com flag SYN setada, o alvo retornará um um RST caso a porta esteja fechada, e caso aberta SYN/ACK para estabelecer a conexão e o NMAP envia um RST finalizando a tentativa de conexão impedindo que o alvo LOG (grave alguma informação a respeito da conexão).

[-vv] solicita a versão dos daemons que utilizam a porta, recurso fingerprinting [-O] solicita a versão do sistema operacional, -o Log (grava) toda a varredura em um arquivo criado neste caso rededomala.txt.

Resultado:

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-12-21 08:24 AMT
Initiating ARP Ping Scan against 192.253.10.253 [1 port] at 08:24
The ARP Ping Scan took 0.02s to scan 1 total hosts.
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns_servers
DNS resolution of 1 IPs took 0.00s.
Initiating SYN Stealth Scan against 192.253.10.253 [1680 ports] at 08:24
Discovered open port 22/tcp on 192.253.10.253
Discovered open port 80/tcp on 192.253.10.253
SYN Stealth Scan Timing: About 18.65% done; ETC: 08:27 (0:02:10 remaining)
Increasing send delay for 192.253.10.253 from 0 to 5 due to 11 out of 25 dropped probes since last increase.
SYN Stealth Scan Timing: About 62.46% done; ETC: 08:28 (0:01:38 remaining)
Increasing send delay for 192.253.10.253 from 5 to 10 due to 11 out of 19 dropped probes since last increase.
The SYN Stealth Scan took 264.07s to scan 1680 total ports.
For OSScan assuming port 22 is open, 20 is closed, and neither are firewalled
Host 192.253.10.253 appears to be up ... good.
Interesting ports on 192.253.10.253:
Not shown: 1670 filtered ports
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp closed ftp
22/tcp open ssh
24/tcp closed priv-mail
80/tcp open http
110/tcp closed pop3
143/tcp closed imap
443/tcp closed https
953/tcp closed rndc
3306/tcp closed mysql
MAC Address: 00:50:DA:B7:72:2A (3com)
Device type: general purpose
Running: Linux 2.4.X|2.5.X|2.6.X
OS details: Linux 2.4.0 - 2.5.20, Linux 2.4.7 - 2.6.11

<-- comentário do autor -->
Sistema operacional obtido com sucesso, inclusive com versão do kernel
<-- fim do comentário -->

OS Fingerprint:
TSeq(Class=RI%gcd=2%SI=11ED1E%IPID=Z)
T1(Resp=Y%DF=Y%W=16A0%ACK=S++%Flags=AS%Ops=MNNTNW)
T2(Resp=N)
T3(Resp=Y%DF=Y%W=16A0%ACK=S++%Flags=AS%Ops=MNNTNW)
T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=C0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)

TCP Sequence Prediction: Class=random positive increments
Difficulty=1174814 (Good luck!)
IPID Sequence Generation: All zeros

Nmap finished: 1 IP address (1 host up) scanned in 267.888 seconds
Raw packets sent: 6761 (297.990KB) | Rcvd: 50 (2446B)

<-- comentário do autor -->
Este tipo de varredura impede que o host alvo logue algo a respeito, porém esta varredura é de fácil detecção para IDS - sistemas de detecção de intrusos. Portanto cuidado, você pode ser percebido facilmente por um IDS.
<-- fim do comentário -->

Varredura do tipo UDP

Técnica de varreduras para portas UDP:

# nmap -sU 192.253.10.253

Varredura do tipo spoof source address:

# nmap -sS -S 192.253.10.253

Varredura do tipo spoof-mac address:

# nmap -sS 192.253.10.253 -spoof-mac 00:18:E7:2D:DF:85

Varredura do tipo obtendo versão:

# nmap -sV -p 22,53,110,143,4564 198.116.0-255.1-127

-p solicita o intervalo de porta

Página anterior Próxima página

Páginas do artigo

   1. Bandido, eu?
   2. Sintaxe do todo poderoso (Chumbo Grosso)
   3. Utilizando técnicas avançadas
   4. Estratégia de guerra - camuflagem - varreduras Stealth

Outros artigos deste autor

Melhorando o nível de segurança com chflags

Alta disponibilidade com CARP

Um dia depois da inundação

Fingerprint: Conhecimento TCP

Esgotando os recursos

Leitura recomendada

Protegendo o ESB: Conceitos e técnicas de segurança para empresas de serviços web críticos

Proxy reverso e balanceamento de carga utilizando o Pound

Debian Sarge + Snort + MySQL + Acidlab + Apache

Quando próximo, finja estar longe; quando longe, finja estar próximo

Acesso remoto de forma simples e segura

Comentários

[1] Comentário enviado por jeferson_roseira em 27/12/2008 - 20:19h

Muito interessante seu artigo... parabéns

Jeferson Roseira

0 0

[2] Comentário enviado por fredcrs em 27/12/2008 - 23:06h

muito legal
gostei

0 0

[3] Comentário enviado por inforrak em 28/12/2008 - 21:00h

muito interessante...

nmap é muito versátil...

Parabéns pelo artigo.. bem elaborado!

0 0

[4] Comentário enviado por matux em 29/12/2008 - 02:05h

Parabéns pelo artigo!
O Nmap é uma ferramenta fabulosa e cheia de "segredos" ainda não explorados, mas todos documentados no site desta ferramenta.
É bom este tipo de artigo porque mostra que segurança não é só IDS e Firewall.
Até porque o Nmap consegue facilmente passar por estes.
Realmente Segurança é algo muito mais profundo do que imaginamos!
Um forte abraço!

0 0

[5] Comentário enviado por dailson em 29/12/2008 - 21:31h

Esse artigo vem a complementar toda a teoria do artigo do Matux http://www.vivaolinux.com.br/artigo/Scanners-de-portas-e-de-vulnerabilidades/ que traz toda a teoria... Agora vemos um batalhão de comandos.
Parabéns a vcs que fazem o SL!

0 0

[6] Comentário enviado por vagschubert em 23/01/2009 - 22:03h

Muito intereçante o artigo...

Um bom artigo que esclarece muitas duvidas a respeito dessa ferramenta muito usada por administradores de rede.

Parabéns pelo Artigo!

0 0

[7] Comentário enviado por rikardov em 14/02/2009 - 20:09h

Parabéns por seu artigo!

Sem dúvida, uma ótima forma de abrir os olhos daqueles "provedores de fundo de quintal", que querem adentrar no mercado
de venda de sinais de internet, sem o conhecimento necessário e o pior, sem o menor interesse em fomentar a devida
mão de obra especializada, que poderia garantir a segurança e integridade de sua rede, a qual, nem sempre é segura, suscetível
a possíveis ataques.

0 0