Melakukan Pemindaian Stealth dengan Nmap

Performing Stealth Scans With Nmap

Ada banyak tantangan yang dihadapi peretas, tetapi untuk menangani pengintaian adalah salah satu masalah yang paling menonjol. Penting untuk mengetahui tentang sistem target sebelum mulai meretas. Penting untuk mengetahui detail tertentu, seperti port mana yang terbuka, layanan apa yang sedang berjalan, alamat IP apa, dan sistem operasi mana yang digunakan oleh target. Untuk memulai proses peretasan, Anda perlu memiliki semua informasi ini. Dalam kebanyakan kasus, peretas akan membutuhkan waktu ekstra dalam pengintaian alih-alih segera mengeksploitasi.

Alat yang digunakan untuk tujuan ini disebut Nmap. Nmap memulai dengan mengirimkan paket yang dibuat ke sistem yang ditargetkan. Kemudian akan melihat respons sistem, termasuk sistem operasi mana yang berjalan, dan port serta layanan apa yang terbuka. Namun sayangnya, baik firewall yang bagus maupun sistem deteksi intrusi jaringan yang kuat tidak akan dengan mudah mendeteksi dan memblokir jenis pemindaian seperti itu.



Kami akan membahas beberapa metode terbaik untuk membantu melakukan pemindaian tersembunyi tanpa terdeteksi atau diblokir. Langkah-langkah berikut termasuk dalam proses ini:



  1. Pindai menggunakan protokol TCP Connect
  2. Pindai menggunakan bendera SYN
  3. Pemindaian alternatif
  4. Jatuh di bawah ambang batas

1. Pindai Menggunakan Protokol TCP


Pertama, mulailah memindai jaringan menggunakan protokol koneksi TCP. Protokol TCP adalah pemindaian yang efektif dan andal karena akan membuka koneksi sistem target. Ingat bahwa -P0 saklar digunakan untuk tujuan ini. NS -P0 switch akan menahan ping dari Nmap yang dikirim secara default sementara juga memblokir berbagai firewall.



$sudo nmap -NS -P0192.168.1.115

Dari gambar di atas, Anda dapat melihat bahwa laporan yang paling efektif dan andal tentang port terbuka akan dikembalikan. Salah satu masalah utama dalam pemindaian ini adalah bahwa itu akan menghidupkan koneksi di sepanjang TCP, yang merupakan jabat tangan tiga arah untuk sistem target. Peristiwa ini mungkin direkam oleh keamanan Windows. Jika kebetulan peretasan berhasil, admin sistem akan mudah mengetahui siapa yang melakukan peretasan, karena alamat IP Anda akan terungkap ke sistem target.

2. Pindai Menggunakan Bendera SYN

Keuntungan utama menggunakan pemindaian TCP adalah mengaktifkan koneksi dengan membuat sistem lebih mudah, andal, dan tersembunyi. Juga, set flag SYN dapat digunakan bersama dengan protokol TCP, yang tidak akan pernah dicatat, karena jabat tangan tiga arah yang tidak lengkap. Ini dapat dilakukan dengan menggunakan yang berikut:



$sudo nmap -sS -P0192.168.1.115

Perhatikan bahwa outputnya adalah daftar port terbuka karena cukup andal dengan pemindaian koneksi TCP. Dalam file log, itu tidak meninggalkan jejak apa pun. Waktu yang dibutuhkan untuk melakukan scan ini, menurut Nmap, hanya 0,42 detik.

3. Pemindaian Alternatif

Anda juga dapat mencoba pemindaian UDP dengan bantuan protokol UBP yang mengandalkan sistem. Anda juga dapat melakukan pemindaian Null, yang merupakan TCP tanpa flag; dan pemindaian Xmas, yang merupakan paket TCP dengan kumpulan bendera P, U, dan F. Namun, semua pemindaian ini menghasilkan hasil yang tidak dapat diandalkan.

$sudo nmap -nya -P010.0.2.15

$sudo nmap -sN -P010.0.2.15

$sudo nmap -sX -P010.0.2.15

4. Turun Di Bawah Ambang Batas

Firewall atau sistem deteksi intrusi jaringan akan memperingatkan admin tentang pemindaian karena pemindaian ini tidak dicatat. Hampir setiap sistem deteksi intrusi jaringan dan firewall terbaru akan mendeteksi jenis pemindaian seperti itu dan memblokirnya dengan mengirimkan pesan peringatan. Jika sistem deteksi intrusi jaringan atau firewall memblokir pemindaian, itu akan menangkap alamat IP dan pemindaian kami dengan mengidentifikasinya.

SNORT adalah sistem deteksi intrusi jaringan yang terkenal dan populer. SNORT terdiri dari signature yang dibangun di atas aturan untuk mendeteksi scan dari Nmap. Jaringan-set memiliki ambang batas minimum karena akan melalui lebih banyak port setiap hari. Tingkat ambang batas default di SNORT adalah 15 port per detik. Oleh karena itu, pemindaian kami tidak akan terdeteksi jika kami memindai di bawah ambang batas. Untuk menghindari sistem deteksi intrusi jaringan dan firewall dengan lebih baik, Anda perlu memiliki semua pengetahuan yang tersedia.

Untungnya, dimungkinkan untuk memindai menggunakan kecepatan yang berbeda dengan bantuan Nmap. Secara default, Nmap terdiri dari enam kecepatan. Kecepatan ini dapat diubah dengan bantuan -T switch, bersama dengan nama atau nomor kecepatan. Enam kecepatan berikut adalah:

paranoid0, licik1, sopan2, biasa3, agresif4, gila5

Kecepatan paranoid dan licik adalah yang paling lambat, dan keduanya berada di bawah ambang batas SNORT untuk berbagai pemindaian port. Gunakan perintah berikut untuk memindai dengan kecepatan licik:

$nmap -sS -P0 -Tlicik 192.168.1.115

Di sini, pemindaian akan melewati sistem deteksi intrusi jaringan dan firewall tanpa terdeteksi. Kuncinya adalah menjaga kesabaran selama proses ini. Beberapa pemindaian, seperti pemindaian kecepatan licik, akan memakan waktu 5 jam per alamat IP, sedangkan pemindaian default hanya membutuhkan waktu 0,42 detik.

Kesimpulan

Artikel ini menunjukkan kepada Anda cara melakukan pemindaian tersembunyi menggunakan alat Nmap (Network Mapper) di Kali Linux. Artikel tersebut juga menunjukkan cara bekerja dengan berbagai serangan siluman di Nmap.