Što je to, kako ga koristiti i razlike između Zmapa i Nmapa

Pitanje sigurnosti uvijek će biti vrlo važan stup unutar organizacije i u svakom zadatku koji izvršavamo budući da dostupnost i integritet svih podataka s kojima rukujemo ovisi o tome i pod našom je odgovornošću.

Postoje mnogi alati, protokoli i zadaci koje možemo primijeniti u okviru svojih uloga za poboljšanje ili provedbu sigurnosnih poboljšanja u računalnim okruženjima, ali danas ćemo detaljno analizirati dva alati koji će biti vitalni za skeniranje Y Provjera raspona IP adresa. Na taj način možemo imati specifičniju kontrolu nad svim usmjeravanjem naše mreže.

Dva alata koja ćemo pogledati su Zmap Y NmapNo čemu služe i kako će pomoći našim ulogama?

Solvetic će odgovoriti na ove odgovore na jednostavan i dubok način.

Što je ZmapZmap je alat otvorenog koda koji nam to omogućuje izvršiti skeniranje mreže kako bi se utvrdile pogreške i mogući kvarovi što je od vitalnog značaja za njegov optimalan rad i stabilnost.

Jedna od velikih prednosti Zmap je da skener to može učiniti brzo, manje od 5 minuta, što značajno povećava rezultate koje moramo isporučiti kao administratori ili pomoćno osoblje.

Među prednostima korištenja Zmapa imamo:

  • Zmap može pratiti dostupnost usluge.
  • Zmap je multiplatformska (Windows, Linux, Mac OS itd.) I potpuno besplatna.
  • Zmap možemo koristiti za analizu određenog protokola.
  • Zmap nam daje mogućnost razumijevanja distribuiranih sustava na internetu.

Kad pokrećemo Zmap, u potpunosti istražujemo cijeli raspon IPv4 adresa, pa kada pokrenemo alat analiziramo privatne IPv4 adrese, stoga moramo biti vrlo oprezni pri ne čine djela protiv privatnosti organizacije ili osobe.

Što je NmapNmap (Network Mapper) moćan je alat koji nam daje mogućnost provjeriti sigurnost mreže i otkrijte računala povezana s njim.

Ovaj se alat može koristiti penetracijski testovi, odnosno potvrditi da naša mreža nije osjetljiva na napade hakera.

S Nmapom imamo pri ruci alat koji nam daje a brzo skeniranje velikih mreža ili računala pojedinac. Za svoju analizu, Nmap koristi IP pakete kako bi utvrdio koja su računala dostupna na mreži, koje usluge ta računala nude, koji se operacijski sustav trenutno koristi i koja vrsta vatrozida je implementirana te odatle napraviti odgovarajuću analizu.

Među prednostima koje imamo kada koristimo Nmap imamo:

  • Otkrivanje opreme u stvarnom vremenu na mreži.
  • Otkriva otvorene portove na tim računalima, kao i softver i verziju tih priključaka.
  • Otkrijte prisutne ranjivosti.
  • Otkriva mrežnu adresu, operacijski sustav i verziju softvera svakog računala.
  • To je prijenosni alat.
  • Nmap je za više platformi (podržava Windows, FreeBSD, Mac OS itd.).

Razlike između Zmapa i NmapaPostoje neke razlike između dva alata, koje spominjemo u nastavku:

  • S Nmapom ne možemo skenirati velike mreže, a s Zmapom ako je moguće.
  • Zmap skeniranje izvodi mnogo brže od Nmapa.
  • Nmap se može koristiti u grafičkom mogo preuzimanju alata ZenMap.
  • S Nmapom možemo analizirati više portova, dok sa Zmapom možemo analizirati jedan port.
  • Pokrivenost Zmapa mnogo je veća od Nmapa.
  • Nmap održava stanje za svaku vezu, dok Zmap ne održava stanje u vezama što povećava njegovu brzinu.
  • Nmap detektira izgubljene veze i prosljeđuje zahtjeve, Zmap šalje samo paket zahtjeva odredištu koje izbjegava preradu.
  • Nmap je dizajniran za skenere malih mreža ili pojedinačna računala, dok je Zmap dizajniran za skeniranje cijele internetske mreže za manje od 45 minuta.

Napominjemo da su razlike između jednog alata i drugog značajne i da ovise o potrebama koje imamo u to vrijeme.

1. Kako koristiti i analizirati sa Zmapom


Za ovu analizu koristit ćemo Ubuntu 16 kao platformu za korištenje Zmap.

Za instaliranje Zmapa upotrijebit ćemo sljedeću naredbu:

 sudo apt install zmap

Nadamo se da su svi paketi preuzeti i instalirani za početak korištenja Zmap na Ubuntu 16.

Korištenje Zmapa u Ubuntuu
Za početak korištenja Zmapa prva naredba koja će vam biti od velike pomoći je:

 zmap -pomoć
Što nam pokazuje sljedeće mogućnosti:

Zatim ćemo vidjeti neke od načina na koje se možemo koristiti Zmap u Ubuntuu.

 Zmap -p
Pomoću ovog parametra možemo skenirati sva računala koja su na TCP portu 80 u mreži.

Osim ovog parametra, imamo mogućnost spremanja rezultata u tekstualnu datoteku, za to ćemo koristiti sljedeću sintaksu.

 sudo zmap -p (Port) -o (Naziv datoteke)

Nakon obrade analize vidjet ćemo rezultate u tekstualnoj datoteci za njihovo odgovarajuće izdanje. Pretraživanje možemo ograničiti na niz IP adresa pomoću sljedeće sintakse:

 sudo zmap -p (Port) -o (Text.csv) Raspon IP adresa
U ovom slučaju skenirat ćemo sva računala koja koriste TCP port 80 u adresnom rasponu 192.168.1.1

Kad proces završi, vidjet ćemo našu datoteku u početnoj mapi Ubuntu 16:

 Sudo zmap -S
Parametar -S odnosi se na izvor ili resurs porta. Na primjer, možemo imati sljedeću sintaksu:
 sudo zmap -s 555 -S 192.168.0.1 62.168.1.0/16 -p 80
U ovom slučaju označavamo da će izvorni port koji će poslati pakete biti 555, a izvorna adresa 192.168.0.1

Dodatni parametri za korištenje sa ZmapomPostoje i drugi parametri koji će biti vrlo korisni pri korištenju Zmapa i prikazivanju boljih rezultata, a to su:
-BOva nam vrijednost omogućuje da definiramo brzinu u bitima po sekundi koju će poslati Zmap.

-iOmogućuje nam definiranje IP adresa permutacijom, što je korisno kada koristimo Zmap u različitim konzolama i s različitim rasponima adresa.

-rOmogućuje nam definiranje stope paketnih isporuka koje će se vršiti svake sekunde.

-TOdnosi se na broj istovremenih niti koje će Zmap koristiti za slanje paketa.

-sOznačava izvorni port s kojeg će paketi ići na odredišnu adresu.

-SOznačava izvornu IP adresu s koje će paketi otići za skeniranje.

-iOdnosi se na naziv mrežnog sučelja koje se koristi za skeniranje.

-MTestirajte module koji su implementirani sa Zmapom.

-XSlanje IP paketa (korisno za VPN -ove).

-GPomoću ove opcije možemo odrediti MAC adresu pristupnika

-lOmogućuje nam unos unosa u generiranu datoteku.

-VPrikažite Zmap verziju

Uređivanje Zmap konfiguracijskih datoteka
U Zmapu postoje dvije vitalne datoteke za rad i uređivanje Zmap parametara.

Ovi su:

 /etc/zmap/zmap.conf
Ova nam datoteka omogućuje konfiguriranje vrijednosti alata kao što su portovi za skeniranje, propusnost itd.

Za uređivanje možemo koristiti uređivač VI ili Nano.

 /etc/zmap/blacklist.conf
Ova nam datoteka omogućuje konfiguriranje popisa raspona IP adresa blokiranih za skeniranje iz razloga administracije ili privatnosti.

Na isti način možemo dodati niz adresa ako želimo da ih Zmap ne skenira.

Kao što vidimo, Zmap nam nudi širok raspon opcija za upravljanje procesom skeniranja za računala i mreže.

2. Kako koristiti i analizirati s Nmapom


Za instaliranje Nmapa, u ovom slučaju na Ubuntu 16, koristit ćemo sljedeću naredbu:
 sudo apt install nmap

Prihvaćamo početak procesa preuzimanja i instalacije odgovarajućih paketa. Za pomoć u Nmapu možemo upotrijebiti sljedeću naredbu:

 Nmap -pomoć

Tamo dobivamo pristup svim parametrima koji se mogu implementirati pomoću Nmap -a.
Osnovni parametri za pokretanje procesa skeniranja su sljedeći:

  • -v: Ova opcija povećava razinu detaljnosti (detaljno).
  • -DO: Omogućuje otkrivanje OS -a, skeniranje skripti i put praćenja.

Na primjer, upotrijebit ćemo sljedeću sintaksu za Solvetic.com:

 sudo nmap -v -A Solvetic.com

Možemo prikazati informacije važne kao:

  • TCP portovi koji su otkriveni na svakom odredišnom računalu s naznakom odgovarajuće IP adrese
  • Količina luke za analizu, prema zadanim postavkama 1000.

Možemo vidjeti napredak skeniranja i nakon što dovršimo postupak vidjet ćemo sljedeće:

Možemo vidjeti potpuni sažetak izvršenog zadatka. Ako želimo brže skeniranje, upotrijebite sljedeću sintaksu:

 nmap IP_adresa

Na adresi odredišta možemo vidjeti sažetak koliko je portova zatvoreno, a koliko otvorenih.

Parametri za korištenje s NmapomNeki od parametara koje možemo implementirati s Nmapom i koji će biti od velike pomoći u zadatku skeniranja i praćenja su sljedeći:

-sTOvaj parametar skenira TCP portove bez potrebe za privilegiranim korisnikom.

-H.HTo je TCP SYN skeniranje, odnosno obavlja skeniranje bez ostavljanja traga u sustavu.
-sAOvaj parametar koristi ACK poruke kako bi sustav izdao odgovor i tako otkrio koji su portovi otvoreni.

-svojeOvaj parametar skenira UDP portove.
-sN / -sX / -sFMože zaobići pogrešno konfigurirane vatrozide i otkriti usluge koje se izvode na mreži.

-sPOvaj parametar identificira sustave koji su uzvodno na odredišnoj mreži.

-SWOva opcija identificira protokole više razine na trećem sloju (Mreža).
-sVOva vam opcija omogućuje da identificirate koje usluge otvaraju portovi na ciljnom sustavu.

Uz ove parametre možemo uključiti sljedeće kako bi postupak skeniranja je učinkovit:

-nNe izvodi DNS konverzije
-bOdređuje je li ciljni tim osjetljiv na "bounce attack"
-vvOmogućuje vam dobivanje detaljnih informacija o konzoli.
-FOmogućuje fragmentaciju što otežava otkrivanje vatrozida.
-naOmogućuje nam generiranje izvješća.
-POOva opcija sprječava pingove do cilja prije početka analize.

Za ovaj primjer napravili smo sljedeći redak:

 nmap -sS -P0 -sV -Oime hosta
Tamo gdje naziv hosta zamjenjujemo nazivom web stranice ili IP adresom za analizu. Dobiveni rezultat bit će sljedeći:

Tamo možemo vidjeti da je Nmap otkrio operacijski sustav, otvorene i zatvorene portove itd.

Dodatne mogućnosti za korištenje s Nmapom
Postoje neki važni pomoćni programi koje možemo koristiti s Nmapom, kao što su:

Pinganje raspona IP adresaZa ovaj ćemo zadatak pingati adrese iz raspona 192.168.1.100 do 254, za to unosimo sljedeće:

 nmap -sP 192.168.1.100-254

Dobijte popis poslužitelja s otvorenim portovimaZa dobivanje ovog popisa koristit ćemo sljedeću sintaksu, uzimajući kao primjer niz adresa 192.168.1. *:

 nmap -sT -p 80 -oG -192.168.1. * | grep otvoren

Izradite skenirane mamce kako biste izbjegli otkrivanjeTo je vrlo važno jer ako otkrijemo da se cijeli proces skeniranja može izgubiti, ali moramo biti odgovorni i za skeniranje jer se sjećamo da se ne može koristiti u zabranjenim mrežama.

Za to ćemo kao primjer upotrijebiti ovu sintaksu:

 sudo nmap -sS 192.168.0.10 -D 192.168.0.1

Skenirajte više portova odjednomMožemo istovremeno skenirati nekoliko portova na odredišnom računalu, u ovom slučaju skenirat ćemo portove 80, 21 i 24 IP adrese 192.168.1.1, rezultat je sljedeći:

Možemo vidjeti koje radnje luka izvodi u stvarnom vremenu.

Upotrijebite analizu FINOva analiza šalje paket odredišnom računalu sa zastavicom ili oznakom FIN, kako bi se otkrilo ponašanje vatrozida prije izvođenja dubinske analize, za to koristimo -sF parametar.

U ovom slučaju koristit ćemo sljedeći redak:

 sudo nmap -sF 192.168.1.1

Provjerite verziju ciljnog računalaZa ove podatke koristit ćemo -sV parametar koji će vratiti verziju softvera koja se u tom trenutku izvršava na odredišnom računalu.

Vidjeli smo kako će ova dva alata biti od velike pomoći za cijeli zadatak skeniranje i analiza komunikacijskog procesa sa ciljnim timovima. Revizijske analize su uvijek potrebne, bez obzira na sustav, Windows, Windows Server, Linux, Mac itd. Nastavit ćemo povećavati ove podatke.

Analiza ranjivosti s OpenVAS -om

wave wave wave wave wave