了解Nmap定时扫描指南(防火墙旁路)

在本文中,我们将使用正常的Nmap扫描和Timing模板扫描目标机器,并且可以通过Wireshark分析Nmap流量来确认数据包之间的时间。
nmap中的定时模板由-T <0-5>定义,其中-T0为最慢,-T5为最快。默认情况下,所有nmap扫描都在-T3计时模板上运行。Nmap中的时序模板用于优化和改善扫描的质量和性能,以获得所需的结果。

Nmap Insane(-T5)扫描

此模板用于快速发送数据包,等待响应仅0.3秒。发送的两个数据包之间的时间差最多为5毫秒。这种时序模板使扫描速度超快,但有时会牺牲精度。如果Nmap在15分钟内无法完成扫描,则会在主机上放弃。除此之外,-T5应仅用于快速网络和高端系统,因为快速发送数据包会影响网络或系统的工作,并可能导致系统故障。
对于使用计时模板,在扫描目标网络时使用Nmap之后的属性-T <0-5>
nmap -T5 -p21-25 192.168.1.104

以下是发送到目标IP的数据包发送的最大差异为5毫秒或0.005秒

数据包1的到达时间为04:41:04.557153433
数据包2的到达时间为04:41:04.557225304
分组1和分组2的到达时间之间的差异约为0.07毫秒

Nmap积极(-T4)扫描

此模板用于非常快速地发送数据包,并且响应1.25秒进行响应。发送的两个数据包之间的时间差最多为10毫秒。Nmap官方文档建议将-T4用于“合理的现代可靠网络”。
nmap
-T4 p21-25 192.168.1.104

以下是发送到目标IP的数据包发送的最大差异为5毫秒或0.005秒
包1的到达时间为05:58:34.636899267
数据包2的到达时间为05:58:34.637122896
分组1和分组2的到达时间之间的差异约为0.2毫秒

Nmap正常(-T3)扫描

这是默认的nmap计时模板,在未指定-T参数时使用。
nmap
-T3 -p21-25 192.168.1.104

数据包1的到达时间为06:01:12.574866212
包1的到达时间为06:01:12.575059033
分组1和分组2的到达时间之间的差异约为0.1毫秒


Nmap礼貌(-T2)扫描

此模板用于快速发送数据包,然后是-T0和-T1,但仍然比正常扫描慢。发送的两个数据包之间的时间差为0.4秒。
nmap
-T2 -p21-25 192.168.1.104

包1的到达时间为06:07:38.139876513
数据包2的到达时间为06:01:12.540686453


Nmap Sneaky(-T1)扫描

此模板用于快速发送数据包,但仍比正常扫描慢。发送的两个数据包之间的时间差是15秒。
nmap
-T1 -p21-25 192.168.1.104

包1的到达时间为06:17:02.354879724
包2的到达时间为06:17:17.371063606
分组1和分组2的到达时间之间的差异大约是15秒


Nmap偏执狂(-T0)扫描

此模板用于非常缓慢地发送数据包,因为一次只扫描一个端口。发送的两个数据包之间的时间差是5分钟。
nmap -T0 -p21-25 192.168.1.104


包1的到达时间为06:32:25.043303267
包2的到达时间为06:37:25.080804929
分组1和分组2的到达时间之间的差异大约是5分钟


使用计时模板躲避基于时间的防火墙规则

Block Insane T5扫描

尽管我们可以通过-T5和-T4模板加速扫描,但目标系统有可能使用某种防火墙规则来保护自己。以下是绕过它们的防火墙规则和方法的一些示例。
如果数据包计数超过1,此规则将阻止来自IP地址的tcp数据包。换句话说,只有第一个数据包将在1秒内从IP地址响应。
sudo
iptables -I INPUT -p tcp -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp -m state --state NEW -m recent --update --seconds 1 --hitcount 1 -j DROP


如果您在具有上述规则的目标系统上扫描多个端口,则结果将不符合要求。就像我们在nmap扫描中使用-T5或-T4一样,数据包之间的时间差异远小于1秒,因此如果我们一次扫描五个端口,它将显示一个为打开/关闭,其他为过滤。但-T5也将-max-retries设置为2意味着它将重试从端口2再次获得回复,因此将有3个5端口具有准确的打开/关闭状态,其余2个具有过滤状态

nmap -T5 -p21-25 192.168.1.104

从下面的图像给你可以观察到,它已表现出3个端口开放的2个端口过滤
目标和受害者之间的数据包传输是通过wireshark捕获的,它清楚地表明TCP SYN数据包在端口22和23上多次发送,并且没有收到任何针对这些请求数据包的应答数据包。


绕过Insane T5防火墙过滤器

第一种方法
使用-max-retries参数可以增加-max-retries值,以便每次重试一次提供一个端口的准确状态。执行以下命令以增加T5扫描的最大重试次数,我有4个你可以根据你的要求修改它。
nmap -T5 -p21-25 192.168.1.104 --max-retries 4

现在,如果您从下面的图像中注意到,您可以观察到它已经显示所有5个端口都是打开的
这里,数据包传输显示在每次重试时,一个不同的端口发送应答以确认其状态如下面给出的图像所示。
第二种方法
第二种方法是使用在数据包之间具有更大时间差的时序模板,这里我们可以使用低于T5的时间模板,即从T4到T0绕过上述规则。
nmap -T4 -p21-25 192.168.1.104
要么
nmap -T3 -p21-25 192.168.1.104
要么
nmap -T2 -p21-25 192.168.1.104
要么
nmap -T1 -p21-25 192.168.1.104
要么
nmap -T0 -p21-25 192.168.1.104
这里,数据包传输显示每个端口都已发送回复,但第一次回复是立即的,其他端口在一段时间后逐个回复。


阻止积极T4,正常T3和礼貌T2扫描

现在给出以下规则,如果数据包计数超过1,将阻止来自IP地址的tcp数据包。换句话说,只有第一个数据包将在3秒内从IP地址响应。
sudo iptables -I INPUT -p tcp -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp -m state --state NEW -m recent --update --seconds 3 --hitcount 1 -j DROP

这里我们使用-T4扫描5个端口,数据包之间的时间差非常小于1秒,所以如果我们一次扫描五个端口,它将显示一个为打开/关闭,其他为过滤。但-T4也将-max-retries设置为6意味着它将重试从端口6再次获得回复,但是由于时间限制超过了所有重试所花费的总时间,它将显示所有已过滤的端口
nmap -T4 -p21-25 192.168.1.104
要么
nmap -T3 -p21-25 192.168.1.104
要么
nmap -T2 -p21-25 192.168.1.104
要么
T4,T3,T2和扫描的结果可以是作为要么所有端口将被过滤任何一个端口可显示打开/关闭状态。从下面给出的图像中,您可以观察到已显示所有5个端口都已过滤
在这里我们可以看到没有任何数据包得到回复


绕过积极的T4,正常T3和礼貌T2防火墙过滤器

为了绕过这种规则,我们必须使用比-T4慢的时序模板
nmap -T1 -p21-25 192.168.1.104

在这里我们可以看到所有数据包都得到了回复,因为T1中的时间间隔几乎是15秒。


阻止偷偷摸摸(-T1)扫描

现在,如果数据包计数超过1,此规则将阻止来自IP地址的tcp数据包。换句话说,只有第一个数据包将在200秒内从IP地址响应
sudo iptables -I INPUT -p tcp -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp -m state --state NEW -m recent --update --seconds 200 --hitcount 1 -j DROP

现在再次重复T1扫描,如下所示,这次您将发现防火墙阻止我们的Nmap探测器识别任何端口的打开/关闭状态。

nmap -T1-p21-25 192.168.1.104


T1扫描的结果可以像或者所有端口将被过滤任何一个端口可显示打开/关闭状态。从下面给出的图像中,您可以观察到已显示所有4个端口都已过滤
在这里我们可以看到只有一个数据包得到了回复,它们都是防火墙掉线的。


绕过偷偷摸摸(-T1)扫描

为了绕过这种规则,我们必须使用时间模板,其在分组中具有超过200秒的时间差,因此使用偏执时间扫描,因为两个分组之间的时间差接近约5分钟,如上所述。
nmap -T0 -p21-25 192.168.1.104

从下面给出的图像中你可以看到它已经花了1813.61秒,接近30 分钟用于扫描5个端口,并且发现所有5个端口都处于打开状态
在这里我们可以看到,即使防火墙已经设置了安全规则,我们也得到了每个数据包的响应。
要规避任何类型的IPS或防火墙,您需要记住使用较慢的计时模板扫描目标系统所需的时间比平时要长得多,因此请尝试指定少量端口,以便较慢的扫描时间不需要时间扫描您不想要的端口。
转载请注明本文链接: http://www.mayidui.net/t2269.html
游客
登录后才可以回帖,登录 或者 注册