Was ist das, wie wird es verwendet und Unterschiede zwischen Zmap und Nmap

Das Thema Sicherheit wird immer eine sehr wichtige Säule innerhalb einer Organisation und bei jeder von uns ausgeführten Aufgabe sein, da die Verfügbarkeit und Integrität aller von uns verarbeiteten Informationen davon abhängt und in unserer Verantwortung liegt.

Es gibt viele Tools, Protokolle und Aufgaben, die wir in unseren Rollen anwenden können, um Sicherheitsverbesserungen in Computerumgebungen zu verbessern oder zu implementieren, aber heute werden wir zwei im Detail analysieren Werkzeuge, die für das Scannen unerlässlich sind Ja Überprüfung des IP-Adressbereichs. Auf diese Weise können wir das gesamte Routing unseres Netzwerks genauer steuern.

Die beiden Tools, die wir uns ansehen werden, sind Zmap Ja NmapAber wozu dienen sie und wie werden sie unserer Rolle helfen?

Solvetic wird die Antwort auf diese Antworten auf einfache und tiefgehende Weise geben.

Was ist ZmapZmap ist ein Open-Source-Tool, mit dem wir Führen Sie einen Netzwerkscan durch, um Fehler und mögliche Ausfälle zu ermitteln die für den optimalen Betrieb und die Stabilität von entscheidender Bedeutung ist.

Einer der großen Vorteile von Zmap ist, dass der Scanner es schnell kann, weniger als 5 Minuten, was die Ergebnisse, die wir als Administratoren oder Supportmitarbeiter liefern müssen, deutlich erhöht.

Zu den Vorteilen der Verwendung von Zmap gehören:

  • Zmap kann die Verfügbarkeit des Dienstes überwachen.
  • Zmap ist plattformübergreifend (Windows, Linux, Mac OS usw.) und völlig kostenlos.
  • Wir können Zmap verwenden, um ein bestimmtes Protokoll zu analysieren.
  • Zmap gibt uns die Möglichkeit, verteilte Systeme im Internet zu verstehen.

Wenn wir Zmap ausführen, untersuchen wir vollständig den gesamten Bereich von IPv4-Adressen. Wenn wir also das Tool ausführen, analysieren wir private IPv4-Adressen, also müssen wir sehr vorsichtig sein keine Handlungen gegen die Privatsphäre einer Organisation oder Person begehen.

Was ist NmapNmap (Network Mapper) ist ein leistungsstarkes Tool, das uns die Möglichkeit gibt, die Sicherheit eines Netzwerks überprüfen und entdecken Sie damit verbundene Computer.

Dieses Tool kann verwendet werden, um Penetrationstests, d. h. um zu bestätigen, dass unser Netzwerk nicht anfällig für Hackerangriffe ist.

Mit Nmap haben wir ein Tool zur Hand, das uns eine schnelles Scannen großer Netzwerke oder Computer Individuell. Für seine Analyse ermittelt Nmap anhand von IP-Paketen, welche Rechner im Netzwerk verfügbar sind, welche Dienste diese Rechner anbieten, welches Betriebssystem gerade verwendet wird und welche Art von Firewall implementiert ist und führt von dort aus die entsprechende Analyse durch.

Unter den Vorteilen, die wir bei der Verwendung von Nmap haben, haben wir:

  • Erkennung von Geräten in Echtzeit im Netzwerk.
  • Es erkennt die offenen Ports auf diesen Computern sowie die Software und die Version dieser Ports.
  • Erkennen Sie vorhandene Schwachstellen.
  • Es erkennt die Netzwerkadresse, das Betriebssystem und die Softwareversion jedes Computers.
  • Es ist ein tragbares Werkzeug.
  • Nmap ist plattformübergreifend (unterstützt Windows, FreeBSD, Mac OS usw.).

Unterschiede zwischen Zmap und NmapEs gibt einige Unterschiede zwischen den beiden Tools, die wir im Folgenden erwähnen:

  • Mit Nmap können wir keine großen Netzwerke scannen, wenn möglich mit Zmap.
  • Zmap führt den Scan viel schneller durch als Nmap.
  • Nmap kann in Grafik-Mogo verwendet werden, indem das ZenMap-Tool heruntergeladen wird.
  • Mit Nmap können wir mehrere Ports analysieren, während wir mit Zmap einen einzelnen Port analysieren können.
  • Die Abdeckung von Zmap ist viel größer als die von Nmap.
  • Nmap behält den Zustand für jede Verbindung bei, während Zmap keinen Zustand in den Verbindungen beibehält, was seine Geschwindigkeit erhöht.
  • Nmap erkennt die verlorenen Verbindungen und leitet die Anfragen weiter, Zmap sendet nur ein Paket von Anfragen an ein Ziel, was Nacharbeiten vermeidet.
  • Nmap wurde für kleine Netzwerkscanner oder einzelne Computer entwickelt, während Zmap das gesamte Internetnetzwerk in weniger als 45 Minuten scannen kann.

Wir stellen fest, dass die Unterschiede zwischen einem Werkzeug und einem anderen bemerkenswert sind und dies von den Bedürfnissen abhängt, die wir zu diesem Zeitpunkt haben.

1. Verwendung und Analyse mit Zmap


Für diese Analyse verwenden wir Ubuntu 16 als zu verwendende Plattform Zmap.

Um Zmap zu installieren, verwenden wir den folgenden Befehl:

 sudo apt install zmap

Wir hoffen, dass alle Pakete heruntergeladen und installiert wurden, um sie verwenden zu können Zmap unter Ubuntu16.

Verwenden von Zmap in Ubuntu
Um mit der Verwendung von Zmap zu beginnen, ist der erste Befehl, der sehr hilfreich sein wird:

 zmap-Hilfe
Welche zeigen uns die folgenden Möglichkeiten:

Als nächstes werden wir einige der Möglichkeiten sehen, die wir verwenden können Zmap in Ubuntu.

 Zmap -p
Mit diesem Parameter können wir alle Computer scannen, die sich auf dem TCP-Port 80 im Netzwerk befinden.

Zusätzlich zu diesem Parameter haben wir die Möglichkeit, das Ergebnis in einer Textdatei zu speichern, dazu verwenden wir die folgende Syntax.

 sudo zmap -p (Port) -o (Dateiname)

Sobald die Analyse verarbeitet ist, sehen wir die Ergebnisse in einer Textdatei für ihre jeweilige Ausgabe. Wir können die Suche mit der folgenden Syntax auf einen Bereich von IP-Adressen beschränken:

 sudo zmap -p (Port) -o (Text.csv) Bereich IP-Adressen
In diesem Fall scannen wir alle Computer, die den TCP-Port 80 im Adressbereich 192.168.1.1 verwenden

Sobald der Vorgang abgeschlossen ist, sehen wir unsere Datei im Home-Ordner von Ubuntu 16:

 Sudo zmap -S
Der Parameter -S bezieht sich auf die Quelle oder Ressource des Ports. Zum Beispiel können wir die folgende Syntax haben:
 sudo zmap -s 555 -S 192.168.0.1 62.168.1.0/16 -p 80
In diesem Fall geben wir an, dass der Quellport, der die Pakete sendet, 555 und die Quelladresse 192.168.0.1 lautet

Zusätzliche Parameter zur Verwendung mit ZmapEs gibt andere Parameter, die bei der Verwendung von Zmap und der Anzeige besserer Ergebnisse sehr nützlich sind. Dies sind:
-BMit diesem Wert können wir die Geschwindigkeit in Bits pro Sekunde definieren, die von Zmap gesendet wird.

-undEs ermöglicht uns, IP-Adressen durch Permutation zu definieren. Dies ist nützlich, wenn wir Zmap in verschiedenen Konsolen und mit unterschiedlichen Adressbereichen verwenden.

-REs ermöglicht uns, die Rate der Paketsendungen zu definieren, die jede Sekunde durchgeführt werden.

-TEs bezieht sich auf die Anzahl gleichzeitiger Threads, die Zmap zum Senden von Paketen verwendet.

-SGibt den Quellport an, von dem die Pakete an die Zieladresse gehen.

-SGibt die Quell-IP-Adresse an, von der die Pakete zum Scan gehen.

-ichBezieht sich auf den Namen der Netzwerkschnittstelle, die für den Scan verwendet wird.

-MTesten Sie die mit Zmap implementierten Module.

-XSenden Sie IP-Pakete (nützlich für VPNs).

-GMit dieser Option können wir die MAC-Adresse des Gateways angeben

-lEs ermöglicht uns, Einträge in die generierte Datei einzugeben.

-VZeigen Sie die Zmap-Version an

Bearbeiten von Zmap-Konfigurationsdateien
In Zmap gibt es zwei wichtige Dateien für die Bedienung und Bearbeitung der Zmap-Parameter.

Diese sind:

 /etc/zmap/zmap.conf
Mit dieser Datei können wir Toolwerte wie Scanports, Bandbreite usw. konfigurieren.

Um es zu bearbeiten, können wir den VI- oder Nano-Editor verwenden.

 /etc/zmap/blacklist.conf
Mit dieser Datei können wir die Liste der IP-Adressbereiche konfigurieren, die aus Verwaltungs- oder Datenschutzgründen für das Scannen gesperrt sind.

Auf die gleiche Weise können wir einen Adressbereich hinzufügen, wenn diese nicht von Zmap gescannt werden sollen.

Wie wir sehen, bietet uns Zmap eine Vielzahl von Optionen zur Verwaltung des Scanvorgangs für Computer und Netzwerke.

2. Verwendung und Analyse mit Nmap


Um Nmap zu installieren, in diesem Fall auf Ubuntu 16, verwenden wir den folgenden Befehl:
 sudo apt installieren nmap

Wir akzeptieren, den Download- und Installationsprozess der jeweiligen Pakete zu starten. Um die Hilfe von Nmap zu konsultieren, können wir den folgenden Befehl verwenden:

 Nmap-Hilfe

Dort erhalten wir Zugriff auf alle Parameter, die mit Nmap implementiert werden können.
Die grundlegenden Parameter zum Starten des Scanvorgangs sind wie folgt:

  • -v: Diese Option erhöht die Ausführlichkeitsstufe (Verbose).
  • -ZU: Aktiviert die Betriebssystemerkennung, die Skriptüberprüfung und den Ablaufverfolgungspfad.

Zum Beispiel verwenden wir die folgende Syntax für Solvetic.com:

 sudo nmap -v -A Solvetic.com

Wir können so wichtige Informationen anzeigen wie:

  • TCP-Ports, die entdeckt wurden auf jedem Zielcomputer mit Angabe seiner jeweiligen IP-Adresse
  • Betrag von Ports zu analysieren, standardmäßig 1000.

Wir können den Fortschritt des Scans sehen und sobald wir den Vorgang abgeschlossen haben, sehen wir Folgendes:

Wir können eine vollständige Zusammenfassung der ausgeführten Aufgabe sehen. Wenn wir einen schnelleren Scan wünschen, verwenden Sie einfach die folgende Syntax:

 nmap IP_Adresse

Wir können eine Zusammenfassung sehen, wie viele Ports geschlossen und wie viele in der Zieladresse geöffnet sind.

Parameter zur Verwendung mit NmapEinige der Parameter, die wir mit Nmap implementieren können und die für die Aufgabe des Scannens und Überwachens eine große Hilfe sein werden, sind die folgenden:

-NSDieser Parameter führt einen Scan der TCP-Ports durch, ohne dass Sie ein privilegierter Benutzer sein müssen.

-H.HEs handelt sich um einen TCP-SYN-Scan, dh er führt den Scan durch, ohne eine Spur auf dem System zu hinterlassen.
-sADieser Parameter verwendet ACK-Nachrichten, damit das System eine Antwort ausgibt und so erkennt, welche Ports geöffnet sind.

-es istDieser Parameter führt einen Scan der UDP-Ports durch.
-sN / -sX / -sFEs kann falsch konfigurierte Firewalls umgehen und die Dienste erkennen, die im Netzwerk ausgeführt werden.

-sPDieser Parameter identifiziert die Systeme, die im Zielnetzwerk vorgelagert sind.

-NSDiese Option identifiziert die übergeordneten Protokolle auf Schicht 3 (Netzwerk).
-sVMit dieser Option können Sie erkennen, welche Dienste von Ports auf dem Zielsystem geöffnet sind.

Zusätzlich zu diesen Parametern können wir Folgendes einschließen, damit die Scanprozess ist effizient:

-nFührt keine DNS-Konvertierungen durch
-BBestimmt, ob das Zielteam anfällig für "Bounce-Angriffe" ist
-vvErmöglicht das Abrufen detaillierter Informationen zur Konsole.
-FEs ermöglicht eine Fragmentierung, die die Erkennung durch eine Firewall erschwert.
-anEs ermöglicht uns, einen Bericht zu erstellen.
-PODiese Option verhindert Pings an das Ziel, bevor die Analyse gestartet wird.

Für dieses Beispiel haben wir folgende Zeile erstellt:

 nmap -sS -P0 -sV -O Hostname
Dabei ersetzen wir hostname durch den Namen der zu analysierenden Website oder IP-Adresse. Das erhaltene Ergebnis wird folgendes sein:

Dort können wir sehen, dass Nmap das Betriebssystem, offene und geschlossene Ports usw. erkannt hat.

Zusätzliche Optionen zur Verwendung mit Nmap
Es gibt einige wichtige Dienstprogramme, die wir mit Nmap verwenden können, wie zum Beispiel:

Pingen Sie einen Bereich von IP-Adressen anFür diese Aufgabe pingen wir die Adressen aus dem Bereich 192.168.1.100 bis 254, dazu geben wir folgendes ein:

 nmap -sP 192.168.1.100-254

Liste der Server mit offenen Ports abrufenUm diese Liste zu erhalten, verwenden wir die folgende Syntax am Beispiel eines Adressbereichs 192.168.1.*:

 nmap -st -p 80 -oG - 192.168.1 * | grep öffnen

Erstellen Sie gescannte Köder, um eine Entdeckung zu vermeidenDies ist sehr wichtig, da der gesamte Scanvorgang verloren gehen kann, wenn wir entdeckt werden, aber wir müssen auch für den Scan verantwortlich sein, da wir uns daran erinnern, dass er nicht in verbotenen Netzwerken verwendet werden kann.

Dazu verwenden wir diese Syntax als Beispiel:

 sudo nmap -sS 192.168.0.10 -D 192.168.0.1

Mehrere Ports gleichzeitig scannenWir können mehrere Ports auf einem Zielcomputer gleichzeitig scannen, in diesem Fall scannen wir die Ports 80, 21 und 24 der IP-Adresse 192.168.1.1, das Ergebnis ist folgendes:

Wir können in Echtzeit sehen, welche Aktion der Port ausführt.

Nutzen Sie die FIN-AnalyseDiese Analyse sendet ein Paket mit einem Flag oder FIN-Flag an den Zielcomputer, um das Verhalten der Firewall zu erkennen, bevor eine Tiefenanalyse durchgeführt wird. Dazu verwenden wir den Parameter -sF.

Für diesen Fall verwenden wir die folgende Zeile:

 sudo nmap -sF 192.168.1.1

Überprüfen Sie die Version des ZielcomputersFür diese Informationen verwenden wir die -sV-Parameter die die Softwareversion zurückgibt, die zu diesem Zeitpunkt auf dem Zielcomputer ausgeführt wird.

Wir haben gesehen, wie diese beiden Tools bei der gesamten Aufgabe von eine große Hilfe sein werden Scannen und Analyse des Kommunikationsprozesses mit den Zielteams. Auditanalysen sind immer notwendig, egal auf welchem ​​System, ob Windows, Windows Server, Linux, Mac etc. Wir werden diese Informationen weiter erhöhen.

Schwachstellenanalyse mit OpenVAS

wave wave wave wave wave