Varredura bruta com NMAP

Neste artigo estudaremos técnicas de varreduras utilizando recursos de fingerprint e portscan. A ideia é conduzir o leitor a conhecer técnicas simples e avançadas do NMAP - The Network Mapper. A tentativa aqui não é esgotar o assunto, e sim utilizar técnicas de manipulação de datagramas (TCP/UDP). Para teste foi utilizado Debian Linux com kernel 2.6.2 e o Nmap 4.11.

[ Hits: 85.402 ]

Por: cristofe coelho lopes da rocha em 27/12/2008


Estratégia de guerra - camuflagem - varreduras Stealth



Diferente das técnicas descritas na página anterior, as varreduras de TCP-FIN, árvore de natal e TCP vazio não utilizam flags SYN de abertura de conexão, apenas enviam um pacote para o host alvo. Elas diferem uma da outra apenas nas flags TCP que ativam.

Normalmente nenhuma destas flags deveriam estar ativas, pois não houve conexão estabelecida. E é pela resposta ou pela falta dela que o NMAP deduz o estado da porta. Estas varreduras são conhecidas como stealth por serem tão sutis como mergulhadores. São largamente utilizadas para identificação de firewall.

Varreduras TCP-FIN

Varreduras implementadas para difícil detecção. Com referência na RFC 793, essa técnica consiste em enviar datagramas com flag FIN setadas para a porta alvo que deve devolver RST caso a porta esteja fechada e não devolve resposta alguma caso a porta esteja aberta.

# nmap -sF 192.253.10.253

Varreduras X-MAS (árvore de natal)

Varreduras implementadas para difícil detecção. Com referência na RFC 793, essa técnica consiste em enviar datagrama FIN, URG e PSH para a porta alvo que deve devolver RST caso a porta esteja fechada e não devolve resposta alguma caso a porta esteja aberta. Varredura conhecida como XMAS TREE SCAN.

# nmap -sX 192.253.10.253

Varreduras TCP NULA

Varreduras implementadas para difícil detecção. Com referência na RFC 793, essa técnica consiste em não setar a flag do datagrama e enviá-lo para a porta alvo que deve devolver RST caso a porta esteja fechada e não devolver resposta alguma caso a porta esteja aberta. Varredura conhecida como TCP NULL SCAN.

# nmap -sN 192.253.10.253

Com a evolução dos sistemas IDS, evoluíram também as formas de varreduras. Vejamos algumas formas de varreduras especiais:

Varredura de firewall

Tem como objetivo mapear as regras de filtragem de um firewall. A varredura do firewall consiste em envio de pacotes TCP e UDP, mas com um TTL maior que o firewall espionado. Se ele permite tráfego transmitirá para o próximo hop onde ele responderá com ICMP_TIME_EXCEEDED ou Unfitered, caso a porta não esteja filtrada. Caso não permita ele dispensará o datagrama e não teremos resposta alguma.

# nmap -sA 192.253.10.253

Resultado:

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-12-21 09:29 AMT
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns_servers
Interesting ports on 192.253.10.253:
Not shown: 1670 filtered ports
PORT STATE SERVICE
20/tcp UNfiltered ftp-data
21/tcp UNfiltered ftp
22/tcp UNfiltered ssh
24/tcp UNfiltered priv-mail
80/tcp UNfiltered http
110/tcp UNfiltered pop3
143/tcp UNfiltered imap
443/tcp UNfiltered https
953/tcp UNfiltered rndc
3306/tcp UNfiltered mysql
MAC Address: 00:50:DA:B7:72:2A (3com)

Nmap finished: 1 IP address (1 host up) scanned in 282.606 seconds

Varreduras temporizadas

São efetuadas em tempos programados. As opções de temporizações das varreduras são de T0 a T5 . São Elas:

Varreduras Paranoid:

# nmap -sF -n -T 0 192.253.10.253

Varreduras Sneaky (15 segundos de delay):

# nmap -sF -n -T 1 192.253.10.253

Varreduras Polite (0,4 segundos de delay):

# nmap -sF -n -T 2 192.253.10.253

Varreduras Normal (default):

# nmap -sF -n -T 3 192.253.10.253

Varreduras Agressive (1.25 segundos de delay por host):

# nmap -sF -n -T 4 192.253.10.253

Varreduras Insane (0.3 segundos de delay):

# nmap -sF -n -T 5 192.253.10.253

Varreduras RPC/SMB:

Esta varredura tem por objetivo levantar compartilhamentos NFS, rlogin, portmap etc, serviços tipicamente Linux.

# nmap -R 192.253.10.253

Resultado:

# nmap -R 192.252.10.250
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-12-21 10:16 AMT
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns_servers
Interesting ports on 192.252.10.250:
Not shown: 1670 closed ports
PORT STATE SERVICE
21/tcp open ftp

22/tcp open ssh
23/tcp open telnet
80/tcp open http
240/tcp filtered unknown
376/tcp filtered nip
906/tcp filtered unknown
1374/tcp filtered molly
2000/tcp open callbook
3986/tcp open mapper-ws_ethd
MAC Address: 00:0C:42:1F:72:1C (Routerboard.com)

Varreduras furtivas

Um bom exemplo do poder do NMAP é a capacidade manipular a porta de origem dos pacotes montados pelo scanner, o objetivo é uma varredura furtiva com a opção -g, tentando ludibriar um packet filter.

# nmap -sF -g 53 192.253.10.253

Resultado:

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-12-21 10:20 AMT
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns_servers
Interesting ports on 192.253.10.253:
Not shown: 1672 open|filtered ports
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp closed ftp
24/tcp closed priv-mail
80/tcp closed http
110/tcp closed pop3
143/tcp closed imap
443/tcp closed https
953/tcp closed rndc
MAC Address: 00:50:DA:B7:72:2A (3com)

Nmap finished: 1 IP address (1 host up) scanned in 65.187 seconds

Trecho da captura WIRESHARK no momento da varredura:

No. Time Source Destination Protocol Info
495 14.529536 192.253.10.203 192.253.10.253 TCP domain > 351 [FIN] Seq=4294901761 Len=0
Frame 495 (54 bytes on wire, 54 bytes captured)
Ethernet II, Src: 00:1a:73:3d:b9:10 (00:1a:73:3d:b9:10), Dst: Pro-Nets_37:7d:be (00:06:4f:37:7d:be)
Internet Protocol, Src: 192.253.10.203 (192.253.10.203), Dst: 192.253.10.253 (192.253.10.253)
Transmission Control Protocol, Src Port: domain (53), Dst Port: 351 (351), Seq: 4294901761, Len:
<-- comentário do autor -->

Porta de origem 53

<-- fim do comentário -->

0

No. Time Source Destination Protocol Info
496 14.533531 192.253.10.203 192.253.10.253 TCP domain > 864 [FIN] Seq=4294901761 Len=0

Frame 496 (54 bytes on wire, 54 bytes captured)
Ethernet II, Src: 00:1a:73:3d:b9:10 (00:1a:73:3d:b9:10), Dst: Pro-Nets_37:7d:be (00:06:4f:37:7d:be)
Internet Protocol, Src: 192.253.10.203 (192.253.10.203), Dst: 192.253.10.253 (192.253.10.253)
Transmission Control Protocol, Src Port: domain (53), Dst Port: 864 (864), Seq: 4294901761, Len: 0

No. Time Source Destination Protocol Info
497 14.581613 192.253.10.203 192.253.10.253 TCP domain > 27002 [FIN] Seq=0 Len=0

Frame 497 (54 bytes on wire, 54 bytes captured)
Ethernet II, Src: 00:1a:73:3d:b9:10 (00:1a:73:3d:b9:10), Dst: Pro-Nets_37:7d:be (00:06:4f:37:7d:be)
Internet Protocol, Src: 192.253.10.203 (192.253.10.203), Dst: 192.253.10.253 (192.253.10.253)
Transmission Control Protocol, Src Port: domain (53), Dst Port: 27002 (27002), Seq: 0, Len: 0

<-- comentário do autor -->
O ataque se deu pela porta 53 com destino diversos. A tentativa poderá burlar o firewall e efetuar o fingerprint com sucesso.
<-- fim do comentário -->

Considerações finais

Um portscan é uma ferramenta que possibilita ao administrador de redes informações as quais facilitará a administração dos servidores, assim como sua monitoração. Sua utilizacão se torna cada dia mais complexa à medida que as redes de computadores se tornam também complexas, porém esta profissão tão fascinante, administrador de redes, torna o profissional cada dia mais dinâmico. Ferramentas são a base do administrador de sistemas e estudá-las faz parte de sua rotina de trabalho.

Espero ter colaborado :)
Um abraco e até o próximo.

Cristofe Rocha
ADM.Rede

Bibliografia

  • Segurança de redes e sistemas. Escola Superior de redes, 2008;
  • Projeto de Segurança em software livre. Editora Alta-books. Melo, Sandro, 2004;
  • Exploracão de redes TCP/IP 2 edição atualização.Editora Alta-books. Melo, Sandro, 2006;
  • BS7799 da tática a prática em servidores Linux. Editora Alta-books. Melo, Sandro, 2006.

Página anterior    

Páginas do artigo
   1. Bandido, eu?
   2. Sintaxe do todo poderoso (Chumbo Grosso)
   3. Utilizando técnicas avançadas
   4. Estratégia de guerra - camuflagem - varreduras Stealth
Outros artigos deste autor

Alta disponibilidade com CARP

Esgotando os recursos

Fingerprint: Conhecimento TCP

Backups com TAR e DUMP

Melhorando o nível de segurança com chflags

Leitura recomendada

Nmap do início ao fim (parte 1)

Segurança da Informação na Internet

Vírus em Linux?

Knockd (bate, bate, bate na porta do céu)

Snort + MySQL + Guardian - Instalação e configuração

  
Comentários
[1] Comentário enviado por jeferson_roseira em 27/12/2008 - 20:19h

Muito interessante seu artigo... parabéns

Jeferson Roseira

[2] Comentário enviado por fredcrs em 27/12/2008 - 23:06h

muito legal
gostei

[3] Comentário enviado por inforrak em 28/12/2008 - 21:00h

muito interessante...

nmap é muito versátil...

Parabéns pelo artigo.. bem elaborado!


[4] Comentário enviado por matux em 29/12/2008 - 02:05h

Parabéns pelo artigo!
O Nmap é uma ferramenta fabulosa e cheia de "segredos" ainda não explorados, mas todos documentados no site desta ferramenta.
É bom este tipo de artigo porque mostra que segurança não é só IDS e Firewall.
Até porque o Nmap consegue facilmente passar por estes.
Realmente Segurança é algo muito mais profundo do que imaginamos!
Um forte abraço!


[5] Comentário enviado por dailson em 29/12/2008 - 21:31h

Esse artigo vem a complementar toda a teoria do artigo do Matux http://www.vivaolinux.com.br/artigo/Scanners-de-portas-e-de-vulnerabilidades/ que traz toda a teoria... Agora vemos um batalhão de comandos.
Parabéns a vcs que fazem o SL!

[6] Comentário enviado por vagschubert em 23/01/2009 - 22:03h



Muito intereçante o artigo...

Um bom artigo que esclarece muitas duvidas a respeito dessa ferramenta muito usada por administradores de rede.


Parabéns pelo Artigo!

[7] Comentário enviado por rikardov em 14/02/2009 - 20:09h

Parabéns por seu artigo!

Sem dúvida, uma ótima forma de abrir os olhos daqueles "provedores de fundo de quintal", que querem adentrar no mercado
de venda de sinais de internet, sem o conhecimento necessário e o pior, sem o menor interesse em fomentar a devida
mão de obra especializada, que poderia garantir a segurança e integridade de sua rede, a qual, nem sempre é segura, suscetível
a possíveis ataques.

[8] Comentário enviado por nick em 19/02/2010 - 10:18h

paRabens nego

[9] Comentário enviado por m1gu3l em 12/04/2013 - 13:01h

Bom artigo Prof

[10] Comentário enviado por wagnerfs em 30/09/2014 - 15:31h

Parabéns pelo artigo.

[11] Comentário enviado por GBamaral em 04/01/2018 - 12:23h

Excelente Artigo.
Serviu muito para meu aprendizado.
Parabéns!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts