L'outil utilisé à cet effet s'appelle Nmap. Nmap commence par envoyer des paquets spécialement conçus au système ciblé. Il verra ensuite la réponse du système, y compris le système d'exploitation en cours d'exécution et les ports et services ouverts. Mais malheureusement, ni un bon pare-feu ni un système de détection d'intrusion réseau puissant ne détecteront et ne bloqueront facilement de tels types d'analyses.
Nous discuterons de certaines des meilleures méthodes pour aider à effectuer des analyses furtives sans être détecté ou bloqué. Les étapes suivantes sont incluses dans ce processus :
- Numériser à l'aide du protocole TCP Connect
- Scannez à l'aide du drapeau SYN
- Analyses alternatives
- Descendre en dessous du seuil
1. Numérisez à l'aide du protocole TCP
Commencez par analyser le réseau à l'aide du protocole de connexion TCP. Le protocole TCP est un scan efficace et fiable car il ouvrira la connexion du système cible. Rappelez-vous que le -P0 commutateur est utilisé à cette fin. Les -P0 switch limitera le ping de Nmap qui est envoyé par défaut tout en bloquant également divers pare-feu.
$sudo nmap -sT -P0192.168.1.115
À partir de la figure ci-dessus, vous pouvez voir que le rapport le plus efficace et le plus fiable sur les ports ouverts sera renvoyé. L'un des principaux problèmes de cette analyse est qu'il activera la connexion le long du TCP, qui est une poignée de main à trois pour le système cible. Cet événement peut être enregistré par la sécurité Windows. Si par hasard, le piratage réussit, il sera facile pour l'administrateur du système de savoir qui a effectué le piratage, car votre adresse IP sera révélée au système cible.
2. Scannez à l'aide du drapeau SYN
Le principal avantage de l'analyse TCP est qu'elle active la connexion en rendant le système plus simple, fiable et furtif. En outre, l'ensemble d'indicateurs SYN peut être utilisé avec le protocole TCP, qui ne sera jamais enregistré, en raison de la poignée de main à trois voies incomplète. Cela peut être fait en utilisant les éléments suivants :
$sudo nmap -sS -P0192.168.1.115
Notez que la sortie est une liste de ports ouverts car elle est assez fiable avec le scan de connexion TCP. Dans les fichiers journaux, il ne laisse aucune trace. Le temps nécessaire pour effectuer cette analyse, selon Nmap, n'était que de 0,42 seconde.
3. Analyses alternatives
Vous pouvez également essayer le scan UDP à l'aide du protocole UBP s'appuyant sur le système. Vous pouvez également effectuer l'analyse Null, qui est un TCP sans drapeaux ; et le scan de Noël, qui est un paquet TCP avec l'ensemble d'indicateurs P, U et F. Cependant, tous ces scans produisent des résultats peu fiables.
$sudo nmap -son -P010.0.2.15 
4. Descendre sous le seuil
Le pare-feu ou le système de détection d'intrusion réseau alertera l'administrateur de l'analyse car ces analyses ne sont pas enregistrées. Presque tous les systèmes de détection d'intrusion réseau et le dernier pare-feu détecteront ces types d'analyses et les bloqueront en envoyant le message d'alerte. Si le système de détection d'intrusion réseau ou le pare-feu bloque le scan, il attrapera l'adresse IP et notre scan en l'identifiant.
SNORT est un système de détection d'intrusion réseau célèbre et populaire. SNORT se compose des signatures qui sont construites sur l'ensemble de règles pour détecter les scans de Nmap. L'ensemble réseau a un seuil minimum car il passera par un plus grand nombre de ports chaque jour. Le niveau de seuil par défaut dans SNORT est de 15 ports par seconde. Par conséquent, notre scan ne sera pas détecté si nous scannons en dessous du seuil. Pour mieux éviter les systèmes de détection d'intrusion réseau et les pare-feux, il est nécessaire d'avoir toutes les connaissances à votre disposition.
Heureusement, il est possible de numériser à différentes vitesses à l'aide de Nmap. Par défaut, Nmap se compose de six vitesses. Ces vitesses peuvent être modifiées à l'aide du -T commutateur, ainsi que le nom ou le numéro de la vitesse. Les six vitesses suivantes sont :
paranoïaque0, sournois1, poli2, Ordinaire3, agressif4, insensé5Les vitesses paranoïaques et sournoises sont les plus lentes, et les deux sont sous le seuil de SNORT pour divers scans de ports. Utilisez la commande suivante pour analyser à la vitesse sournoise :
$nmap -sS -P0 -Tsournois 192.168.1.115 
Ici, l'analyse passera au-delà du système de détection d'intrusion réseau et du pare-feu sans être détectée. La clé est de maintenir la patience pendant ce processus. Certaines analyses, comme l'analyse rapide sournoise, prendront 5 heures par adresse IP, tandis que l'analyse par défaut ne prendra que 0,42 seconde.
Conclusion
Cet article vous a montré comment effectuer une analyse furtive à l'aide de l'outil Nmap (Network Mapper) dans Kali Linux. L'article vous a également montré comment travailler avec différentes attaques furtives dans Nmap.