Ang tool na ginamit para sa hangaring ito ay tinatawag na Nmap. Nagsisimula ang Nmap sa pamamagitan ng pagpapadala ng mga crafted packet sa naka-target na system. Makikita nito ang tugon ng system, kasama na kung aling operating system ang tumatakbo, at kung anong mga port at serbisyo ang bukas. Ngunit nakalulungkot, alinman sa isang mabuting firewall o isang malakas na sistema ng pagtuklas ng panghihimasok ng network ay madaling makita at harangan ang mga ganitong uri ng pag-scan.
Tatalakayin namin ang ilan sa mga pinakamahusay na pamamaraan upang makatulong sa pagsasagawa ng mga lihim na pag-scan nang hindi napansin o naharang. Ang mga sumusunod na hakbang ay kasama sa prosesong ito:
- I-scan gamit ang TCP Connect protocol
- I-scan gamit ang flag ng SYN
- Mga kahaliling pag-scan
- I-drop sa ibaba ng threshold
1. I-scan ang Paggamit ng TCP Protocol
Una, simulang i-scan ang network gamit ang TCP connect protocol. Ang TCP Protocol ay isang mabisa at maaasahang pag-scan dahil bubuksan nito ang koneksyon ng target na system. Tandaan na ang -P0 ginagamit ang switch para sa hangaring ito. Ang -P0 pipigilan ng switch ang ping ng Nmap na ipinapadala bilang default habang hinaharangan din ang iba't ibang mga firewall.
$sudo nmap -sT -P0192.168.1.115
Mula sa figure sa itaas, maaari mong makita na ang pinaka-epektibo at maaasahang ulat sa mga bukas na port ay ibabalik. Ang isa sa mga pangunahing isyu sa pag-scan na ito ay i-on nito ang koneksyon kasama ang TCP, na isang three-way handshake para sa target na system. Ang kaganapan na ito ay maaaring maitala ng seguridad ng Windows. Kung nagkataon, matagumpay ang pag-hack, madali para sa admin ng system na malaman kung sino ang gumawa ng pag-hack, dahil isisiwalat ang iyong IP address sa target na system.
2. I-scan ang Gamit ng SYN Flag
Ang pangunahing bentahe ng paggamit ng TCP scan ay ang pag-on ng koneksyon sa pamamagitan ng paggawa ng mas madali, maaasahan, at stealthy ng system. Gayundin, ang SYN flag set ay maaaring magamit kasama ang TCP protocol, na hindi kailanman mai-log, dahil sa hindi kumpletong three-way handshake. Maaari itong magawa sa pamamagitan ng paggamit ng mga sumusunod:
$sudo nmap -sS -P0192.168.1.115
Pansinin na ang output ay isang listahan ng mga bukas na port dahil medyo maaasahan ito sa pag-scan ng pagkonekta ng TCP. Sa mga log file, hindi ito nag-iiwan ng anumang trail. Ang oras na ginugol upang maisagawa ang pag-scan na ito, ayon sa Nmap, ay 0.42 segundo lamang.
3. Mga Kahaliling Scan
Maaari mo ring subukan ang pag-scan ng UDP sa tulong ng UBP protocol na umaasa sa system. Maaari mo ring isagawa ang Null scan, na isang TCP na walang mga watawat; at ang Xmas scan, na isang pakete ng TCP na may hanay ng watawat ng P, U, at F. Gayunpaman, lahat ng mga pag-scan na ito ay gumagawa ng hindi maaasahang mga resulta.
$sudo nmap -ito -P010.0.2.15$sudo nmap -sN -P010.0.2.15
$sudo nmap -sX -P010.0.2.15
4. I-drop sa ibaba ng Threshold
Ang sistema ng pagtuklas ng panghihimasok ng firewall o network ay aabiso sa admin tungkol sa pag-scan dahil ang mga pag-scan na ito ay hindi naka-log. Halos bawat sistema ng pagtuklas ng panghihimasok ng network at ang pinakabagong firewall ay makakakita ng mga ganitong uri ng pag-scan at i-block ang mga ito sa pamamagitan ng pagpapadala ng mensahe ng alerto. Kung ang sistema ng pagtuklas ng panghihimasok ng network o ang bloke ng firewall ang pag-scan, mahuhuli nito ang IP address at ang aming pag-scan sa pamamagitan ng pagkilala dito.
Ang SNORT ay isang sikat, tanyag na sistema ng pagtuklas ng panghihimasok ng network. Ang SNORT ay binubuo ng mga lagda na itinayo sa ruleset para sa pagtuklas ng mga pag-scan mula sa Nmap. Ang network-set ay may isang minimum na threshold dahil dadaan ito sa isang mas malaking bilang ng mga port bawat araw. Ang antas ng default na threshold sa SNORT ay 15 port bawat segundo. Samakatuwid, hindi matutukoy ang aming pag-scan kung mag-scan kami sa ibaba ng threshold. Upang mas mahusay na maiwasan ang mga sistema ng pagtuklas ng panghihimasok sa network at mga firewall, kinakailangan na magkaroon ng lahat ng kaalamang magagamit sa iyo.
Sa kabutihang palad, posible na mag-scan gamit ang iba't ibang mga bilis sa tulong ng Nmap. Bilang default, ang Nmap ay binubuo ng anim na bilis. Ang mga bilis na ito ay maaaring mabago sa tulong ng –T lumipat, kasama ang bilis ng pangalan o numero. Ang sumusunod na anim na bilis ay:
paranoid0, palusot1, magalang2, normal3, agresibo4, nakakabaliw5Ang paranoid at sneaky na bilis ay ang pinakamabagal, at pareho sa ilalim ng threshold ng SNORT para sa iba't ibang mga pag-scan sa port. Gamitin ang sumusunod na utos upang i-scan pababa sa sneaky speed:
$nmap -sS -P0 -Tsneaky 192.168.1.115
Dito, ang pag-scan ay maglayag sa nakaraang sistema ng pagtuklas ng panghihimasok ng network at ang firewall nang hindi napansin. Ang susi ay upang mapanatili ang pasensya sa prosesong ito. Ang ilang mga pag-scan, tulad ng sneaky speed scan, ay tatagal ng 5 oras bawat IP address, habang ang default na pag-scan ay tatagal lamang ng 0.42 segundo.
Konklusyon
Ipinakita sa iyo ng artikulong ito kung paano magsagawa ng isang stealth scan gamit ang tool na Nmap (Network Mapper) sa Kali Linux. Ipinakita rin sa iyo ng artikulo kung paano magtrabaho kasama ang iba't ibang mga pag-atake ng stealth sa Nmap.