Phenquestions
Nmap
Network Mapper, comunemente usato come Nmap, è uno strumento gratuito e open source per la scansione di reti e porte. È anche esperto in molte altre tecniche di raccolta di informazioni attive. Nmap è di gran lunga lo strumento di raccolta di informazioni più utilizzato dai tester di penetrazione. È uno strumento basato su CLI, ma ha anche una versione basata su GUI sul mercato denominata Zenmap. Una volta era uno strumento "solo Unix", ma ora supporta molti altri sistemi operativi come Windows, FreeBSD, OpenBSD, Sun Solaris e molti altri. Nmap è preinstallato nelle distribuzioni di test di penetrazione come Kali Linux e Parrot OS. Può essere installato anche su altri Sistemi Operativi. Per farlo, cerca Nmap qui.
Figura 1.1 ti mostra una normale scansione e risultati. La scansione ha rivelato le porte aperte 902 e 8080. Figura 1.2 mostra una semplice scansione del servizio, che indica quale servizio è in esecuzione sulla porta. Figura 1.3 mostra una scansione dello script predefinita. Questi script a volte rivelano informazioni interessanti che possono essere ulteriormente utilizzate nelle parti laterali di un pen-test. Per ulteriori opzioni, digita nmap nel terminale e ti mostrerà la versione, l'utilizzo e tutte le altre opzioni disponibili.
Fig. 1.1: Scansione semplice di Nmap
Fig. 1.2: servizio Nmap/scansione versione
Fig. 1.3: Scansione script predefinita
Tcpdump
Tcpdump è un analizzatore di pacchetti di rete dati gratuito che funziona sull'interfaccia CLI. Consente agli utenti di vedere, leggere o acquisire il traffico di rete trasmesso su una rete collegata al computer. Originariamente scritto nel 1988 da quattro lavoratori del Lawrence Berkely Laboratory Network Research Group, è stato organizzato nel 1999 da Michael Richardson e Bill Fenner, che hanno creato www.tcpdump.organizzazione. Funziona su tutti i sistemi operativi Unix-like (Linux, Solaris, All BSD, macOS, SunSolaris, ecc.). La versione Windows di Tcpdump si chiama WinDump e usa WinPcap, l'alternativa Windows a libpcap.
Per installare tcpdump:
$ sudo apt-get install tcpdumpUtilizzo:
# tcpdump [ Opzioni ] [ espressione ]Per dettagli sulle opzioni:
$ tcpdump -hWireshark
Wireshark è un analizzatore del traffico di rete immensamente interattivo. È possibile scaricare e analizzare i pacchetti man mano che vengono ricevuti. Originariamente sviluppato da Gerald Combs nel 1998 come Ethereal, è stato ribattezzato Wireshark nel 2006 a causa di problemi con il marchio. Wireshark offre anche diversi filtri in modo che l'utente possa specificare quale tipo di traffico deve essere mostrato o scaricato per un'analisi successiva. Wireshark può essere scaricato da www.wireshark.org/#download. È disponibile sulla maggior parte dei sistemi operativi comuni (Windows, Linux, macOS) ed è preinstallato nella maggior parte delle distro di penetrazione come Kali Linux e Parrot OS.
Wireshark è uno strumento potente e necessita di una buona conoscenza delle reti di base. Converte il traffico in un formato che gli umani possono leggere facilmente. Può aiutare gli utenti a risolvere problemi di latenza, pacchetti persi o persino tentativi di hacking contro la tua organizzazione. Inoltre, supporta fino a duemila protocolli di rete. Potrebbe non essere possibile utilizzarli tutti poiché il traffico comune è costituito da pacchetti UDP, TCP, DNS e ICMP.
Una cartina
Mappatore di applicazioni (anche una cartina), come suggerisce il nome, è uno strumento per mappare applicazioni su porte aperte su un dispositivo. È uno strumento di nuova generazione in grado di rilevare applicazioni e processi anche quando non sono in esecuzione sulle loro porte convenzionali. Ad esempio, se un server Web è in esecuzione sulla porta 1337 anziché sulla porta standard 80, amap può scoprirlo. Amap viene fornito con due moduli importanti. Primo, amapcrap può inviare dati fittizi alle porte per generare un qualche tipo di risposta dalla porta di destinazione, che può essere successivamente utilizzata per ulteriori analisi. In secondo luogo, amap ha il modulo principale, che è il Mappatore dell'applicazione (una cartina).
Utilizzo della mappa:
$ amap -hamap v5.4 (c) 2011 di van Hauser
Sintassi: amap [Modalità [-A|-B|-P]] [Opzioni] [TARGET PORT [porta]… ]
Modalità:
-A (Predefinito) Invia trigger e analizza le risposte (Applicazioni mappa)
-B Afferra SOLO banner; non inviare trigger
-P Uno scanner per porte di connessione completo
Opzioni:
-1 veloce! Invia trigger a una porta fino alla prima identificazione
-6 Usa IPv6 invece di IPv4
-b Stampa banner ASCII delle risposte
-i FILE File di output leggibile dalla macchina da cui leggere le porte
-u Specificare le porte UDP sulla riga di comando (predefinito: TCP)
-R NON identificare il servizio RPC
-H NON inviare trigger di applicazioni potenzialmente dannosi
-U NON scaricare le risposte non riconosciute
-d Scarica tutte le risposte
-v Modalità dettagliata; usa due o più volte per più verbosità
-q Non segnalare le porte chiuse e non stamparle come non identificate
-o FILE [-m] Scrive l'output nel file FILE; -m crea un output leggibile dalla macchina
-c CONS Effettua connessioni in parallelo (default 32, max 256)
-C RETRIES Numero di riconnessioni in caso di timeout di connessione (predefinito 3)
-T SEC Timeout connessione sui tentativi di connessione in secondi (default 5)
-t SEC Response attende un timeout in secondi (default 5)
-p PROTO Invia trigger SOLO a questo protocollo (e.g. FTP)
PORTA TARGET L'indirizzo di destinazione e le porte da scansionare (in aggiunta a -i)
Fico 4.1 Esempio di scansione amap
p0f
p0f è la forma abbreviata di "passitivo ohS fingerprinting” (si usa uno zero al posto di una O). È uno scanner passivo in grado di identificare i sistemi da remoto. p0f utilizza tecniche di fingerprint per analizzare i pacchetti TCP/IP e per determinare diverse configurazioni compreso il sistema operativo dell'host. Ha la capacità di eseguire questo processo passivamente senza generare traffico sospetto. p0f può anche leggere i file pcap.
Utilizzo:
# p0f [Opzioni] [regola filtro]
fico 5.1 Esempio di uscita p0f
L'host deve connettersi alla tua rete (spontaneamente o indotto) o essere connesso a qualche entità sulla tua rete con qualche mezzo standard (navigazione web, ecc.) L'host può accettare o rifiutare la connessione. Questo metodo è in grado di vedere attraverso i firewall dei pacchetti e non è vincolato dalle restrizioni di un fingerprinting attivo. Il fingerprinting passivo del sistema operativo viene utilizzato principalmente per la profilazione degli aggressori, la profilazione dei visitatori, la profilazione dei clienti/utenti, i test di penetrazione, ecc.
Cessazione
La ricognizione o la raccolta di informazioni è il primo passo in qualsiasi test di penetrazione. È una parte essenziale del processo. Iniziare un test di penetrazione senza una ricognizione decente è come andare in guerra senza sapere dove e contro chi stai combattendo. Come sempre, c'è un mondo di incredibili strumenti di ricognizione oltre a quelli sopra. Tutto grazie a una straordinaria community open-source e di sicurezza informatica!
buona ricognizione! 🙂
