Was es ist, wie man es benutzt und Unterschiede zwischen Zmap und Nmap

administrator Leave a Comment

manual-zmap-y-nmap.png

Das Thema Sicherheit wird immer eine sehr wichtige Säule innerhalb eines Unternehmens und in jeder von uns ausgeführten Aufgabe sein, da es von der Verfügbarkeit und Integrität aller von uns verwalteten Informationen abhängt und in unserer Verantwortung liegt.

Es gibt viele Tools , Protokolle und Aufgaben , die wir in unseren Rollen anwenden können, um Sicherheitsverbesserungen in Computerumgebungen zu verbessern oder umzusetzen. Heute werden wir jedoch zwei Tools im Detail analysieren , die für das Scannen und Überprüfen von IP-Adressbereichen von entscheidender Bedeutung sind . Auf diese Weise können wir das gesamte Routing unseres Netzwerks genauer steuern.

Die beiden Tools, die wir sehen werden, sind Zmap und Nmap . Aber wozu dienen sie und wie helfen sie unseren Rollen?

TechnoWikis wird diese Antworten einfach und gleichzeitig zutiefst beantworten.

Was ist Zmap?
Zmap ist ein Open Source-Tool, mit dem wir das Netzwerk scannen können, um Fehler und mögliche Ausfälle zu ermitteln, die für den optimalen Betrieb und die Stabilität des Netzwerks von entscheidender Bedeutung sind.

Einer der großen Vorteile von Zmap besteht darin, dass der Scanner dies in weniger als 5 Minuten erledigt. Dies erhöht die Ergebnisse, die wir als Administratoren oder Support-Mitarbeiter liefern müssen, erheblich.

Zu den Vorteilen der Verwendung von Zmap gehören:

  • Zmap kann die Verfügbarkeit des Dienstes überwachen.
  • Zmap ist plattformübergreifend (Windows, Linux, Mac OS usw.) und völlig kostenlos.
  • Wir können Zmap verwenden, um ein bestimmtes Protokoll zu analysieren.
  • Zmap gibt uns die Möglichkeit, verteilte Systeme im Internet zu verstehen.

Wenn wir Zmap ausführen, untersuchen wir den gesamten Bereich der IPv4-Adressen vollständig. Wenn wir also das Tool ausführen, analysieren wir private IPv4-Adressen. Daher müssen wir sehr vorsichtig sein, um keine Handlungen gegen die Privatsphäre einer Organisation oder Person zu begehen .

ZMAP

Was ist Nmap?
Nmap (Network Mapper) ist ein leistungsstarkes Tool, mit dem wir die Sicherheit eines Netzwerks überprüfen und angeschlossene Geräte erkennen können.

Dieses Tool kann für Penetrationstests verwendet werden , um zu überprüfen , ob unser Netzwerk für Hacker-Angriffe unempfindlich ist.

Mit Nmap haben wir ein Tool zur Hand, mit dem wir schnell große Netzwerke oder einzelne Teams scannen können . Für die Analyse verwendet Nmap IP-Pakete, um zu bestimmen, welche Geräte im Netzwerk verfügbar sind, welche Dienste diese Geräte anbieten, welches Betriebssystem derzeit verwendet wird und welche Art von Firewall implementiert ist, und von dort aus die entsprechende Analyse durchzuführen.

Zu den Vorteilen, die wir bei der Verwendung von Nmap haben, gehören:

  • Erkennung von Geräten in Echtzeit über das Netzwerk.
  • Es erkennt die offenen Ports auf diesen Computern sowie die Software und die Version dieser Ports.
  • Erkennt die vorhandenen Schwachstellen .
  • Es erkennt die Netzwerkadresse, das Betriebssystem und die Softwareversion jedes Geräts.
  • Es ist ein tragbares Werkzeug.
  • Nmap ist plattformübergreifend (unterstützt Windows, FreeBSD, Mac OS usw.).
NMAP

Unterschiede zwischen Zmap und Nmap
Es gibt einige Unterschiede zwischen beiden Tools, die wir unten erwähnen:

  • Mit Nmap können wir keine großen Netzwerke scannen, wenn möglich mit Zmap.
  • Zmap führt den Scan viel schneller als Nmap durch.
  • Nmap kann in Graphic Mogo verwendet werden, indem das ZenMap-Tool heruntergeladen wird.
  • Mit Nmap können wir mehrere Ports analysieren, während wir mit Zmap einen einzelnen Port analysieren können.
  • Die Abdeckung von Zmap ist viel größer als Nmap.
  • Nmap behält den Status für jede Verbindung bei, während Zmap in den Verbindungen keinen Status beibehält, der die Geschwindigkeit erhöht.
  • Nmap erkennt unterbrochene Verbindungen und leitet Anforderungen weiter. Zmap sendet nur ein Anforderungspaket an ein Ziel, das die erneute Verarbeitung verhindert.
  • Nmap scannt kleine Netzwerke oder einzelne Computer, während Zmap das gesamte Internet-Netzwerk in weniger als 45 Minuten scannt.
See also  So überwachen Sie die Sicherheit mit Osquery in Ubuntu 17.04

Wir stellen fest, dass die Unterschiede zwischen den einzelnen Werkzeugen beachtlich sind und von den aktuellen Anforderungen abhängen.

1. Verwendung und Analyse mit Zmap

Für diese Analyse verwenden wir Ubuntu 16 als Plattform für die Verwendung von Zmap .

Um Zmap zu installieren, verwenden wir den folgenden Befehl: 

 sudo apt installiere zmap

sudo-apt-install-zmap-1.png

Wir hoffen, dass alle Pakete heruntergeladen und installiert werden, damit Zmap in Ubuntu 16 verwendet werden kann .

Verwenden von Zmap in Ubuntu

Um Zmap zu starten, ist der erste Befehl, der von großer Hilfe sein wird: 

 zmap -help

Dem stellen wir folgende Optionen zur Verfügung:

zmap-help-2.png

Als nächstes werden wir einige Möglichkeiten sehen, wie wir Zmap in Ubuntu verwenden können . 

 Zmap -p

Mit diesem Parameter können wir alle Geräte im Netzwerk scannen, die sich auf TCP-Port 80 befinden.

sudo-zmap-p-443-3.png

Zusätzlich zu diesem Parameter haben wir die Möglichkeit, das Ergebnis in einer Textdatei zu speichern. Dazu verwenden wir die folgende Syntax. 

 sudo zmap -p (Port) -o (Dateiname)

zmap-p-txt-4.png

Nach der Verarbeitung werden die Ergebnisse in einer Textdatei für die jeweilige Ausgabe angezeigt. Mit der folgenden Syntax können wir die Suche auf einen Bereich von IP-Adressen beschränken: 

 sudo zmap -p (Port) -o (Text.csv) Bereich IP-Adressen

In diesem Fall scannen wir alle Computer, die den TCP-Port 80 im Adressbereich 192.168.1.1 verwenden

zmap-p-csv-5.png

Sobald der Vorgang abgeschlossen ist, sehen wir unsere Datei im Ordner Home von Ubuntu 16:

file-generated-zmap-csv-6.png 

 Sudo zmap -S

Der Parameter -S bezieht sich auf die Ressource oder den Ursprung des Ports. Zum Beispiel können wir die folgende Syntax haben: 

 sudo zmap -s 555 -S 192.168.0.1 62.168.1.0/16 -p 80

In diesem Fall geben wir an, dass der Quellport, der die Pakete sendet, 555 und die Quelladresse 192.168.0.1 lautet

zmap-sudo-s-555-7.png

Zusätzliche Parameter zur Verwendung mit Zmap
Es gibt andere Parameter, die bei der Verwendung von Zmap sehr nützlich sind und bessere Ergebnisse liefern. Diese sind:

-B
Mit diesem Wert können wir die Geschwindigkeit in Bits pro Sekunde definieren, die von Zmap gesendet wird.

-e
Es erlaubt uns, IP-Adressen pro Permutation zu definieren. Dies ist nützlich, wenn wir Zmap in verschiedenen Konsolen und mit verschiedenen Adressbereichen verwenden.

-r
Es erlaubt uns, die Rate der Paketsendungen zu definieren, die jede Sekunde gemacht werden.

-T
Es bezieht sich auf die Anzahl gleichzeitiger Threads, die Zmap zum Senden von Paketen verwendet.

-s
Gibt den Quellport an, von dem die Pakete an die Zieladresse gesendet werden.

-S
Gibt die Quell-IP-Adresse an, von der die Pakete zum Scannen ausgegeben werden.

-i
Verweist auf den Namen der Netzwerkschnittstelle, die zum Scannen verwendet wird.

-M
Testen Sie die mit Zmap implementierten Module.

-X
Senden Sie IP-Pakete (nützlich für VPNs).

-G
Mit dieser Option können wir die MAC-Adresse des Gateways angeben

-l
Es ermöglicht uns, Einträge in die generierte Datei einzugeben.

-V
Stellen Sie die Zmap-Version bereit

Bearbeiten Sie die Zmap-Konfigurationsdateien

In Zmap gibt es zwei wichtige Dateien für die Bedienung und Bearbeitung von Zmap-Parametern.

See also  Erstellen Sie Nebeleffekte mit Photoshop CC 2017, CS6

Dies sind: 

 /etc/zmap/zmap.conf

Diese Datei ermöglicht es uns, Werte des Tools wie Scan-Ports, Bandbreite usw. zu konfigurieren.

zmap-conf-8.png

Zum Bearbeiten können wir den Editor VI oder Nano verwenden. 

 /etc/zmap/blacklist.conf

Mit dieser Datei können wir die Liste der blockierten IP-Adressbereiche für das Scannen aus Verwaltungs- oder Datenschutzgründen konfigurieren.

Ebenso können wir einen Adressbereich hinzufügen, wenn diese nicht von Zmap gescannt werden sollen.

zmap-9.png

Wie wir sehen, bietet Zmap eine breite Palette von Optionen für die Verwaltung des Scanprozesses von Geräten und Netzwerken.

2. Verwendung und Analyse mit Nmap

Um Nmap zu installieren, verwenden wir in diesem Fall in Ubuntu 16 den folgenden Befehl: 

 sudo apt installiere nmap

sudo-install-nmap-10.png

Wir erklären uns damit einverstanden, den Download und die Installation der jeweiligen Pakete zu starten. Um die Hilfe von Nmap zu konsultieren, können wir den folgenden Befehl verwenden: 

 Nmap-Hilfe

nmap-help-11.png

Dort erhalten wir Zugriff auf alle Parameter, die mit Nmap implementiert werden können.
Die grundlegenden Parameter zum Starten des Scanvorgangs sind die folgenden:

  • -v: Diese Option erhöht die Ausführlichkeit (Detailliert).
  • -A: Aktiviert die Erkennung des Betriebssystems, das Scannen von Skripten und die Verfolgung der Route.

Beispielsweise verwenden wir für TechnoWikis.com die folgende Syntax: 

 sudo nmap -v-A TechnoWikis.com

nmap-12.png

Wir können Informationen visualisieren, die so wichtig sind wie:

  • Auf jedem Zielcomputer erkannte TCP-Ports mit Angabe der jeweiligen IP-Adresse
  • Anzahl der zu analysierenden Ports , standardmäßig 1000.

Wir können den Fortschritt des Scans sehen und sobald wir den Vorgang abgeschlossen haben, werden wir Folgendes sehen:

nmap-14.png

Wir können eine vollständige Zusammenfassung der durchgeführten Aufgabe sehen. Wenn wir einen schnelleren Scan wünschen, verwenden Sie einfach die folgende Syntax: 

 nmap IP-Adresse

nmap-15.png

Es wird eine Zusammenfassung angezeigt, wie viele Ports an der Zieladresse geschlossen und wie viele geöffnet sind.

Parameter, die mit Nmap verwendet werden sollen
Einige der Parameter, die wir mit Nmap implementieren können und die beim Scannen und Überwachen von großem Nutzen sind, sind die folgenden:

-sT
Dieser Parameter scannt die TCP-Ports, ohne dass Sie ein privilegierter Benutzer sein müssen.

-sS
Es handelt sich um einen TCP-SYN-Scan, dh, er führt den Scan durch, ohne eine Spur im System zu hinterlassen.

-sA
Dieser Parameter verwendet ACK-Nachrichten, damit das System eine Antwort ausgibt und somit erkennt, welche Ports offen sind.

-sU
Dieser Parameter durchsucht die UDP-Ports.

-sN / -sX / -sF
Sie können schlecht konfigurierte Firewalls ignorieren und die Dienste erkennen, die im Netzwerk ausgeführt werden.

-sP
Dieser Parameter identifiziert die Systeme, die im Zielnetzwerk aktiv sind.

-so
Diese Option identifiziert die Protokolle der obersten Ebene in Schicht drei (Netzwerk).

-sV
Mit dieser Option können Sie identifizieren, welche Dienste von den Ports auf dem Zielsystem geöffnet sind.

Zusätzlich zu diesen Parametern können wir Folgendes einschließen, damit der Scanvorgang effektiv ist :

-n
Führt keine DNS-Konvertierungen durch

-b
Legt fest, ob das Zielteam für “Abprallangriff” anfällig ist.

-vv
Sie können detaillierte Informationen in der Konsole abrufen.

-f
Aktiviert die Fragmentierung, wodurch es schwieriger wird, von einer Firewall erkannt zu werden.

-oN
Es ermöglicht uns, einen Bericht zu erstellen.

-PO
Diese Option verhindert, dass das Ziel vor dem Starten der Analyse ein Ping ist.

Für dieses Beispiel haben wir folgende Zeile gemacht: 

 nmap -sS -P0 -sV -O Hostname

Wobei wir den Hostnamen durch den Namen des zu analysierenden Webs oder der IP-Adresse ersetzen. Das erhaltene Ergebnis wird das folgende sein:

See also  Installieren Sie Fail2ban und verknüpfen Sie es mit SSH und Nginx

nmap-16.png

Dort können wir sehen, dass Nmap das Betriebssystem, offene und geschlossene Ports usw. erkannt hat.

Zusätzliche Optionen zur Verwendung mit Nmap

Es gibt einige wichtige Dienstprogramme, die wir mit Nmap verwenden können:

Pingen Sie einen Bereich von IP-Adressen
Für diese Aufgabe werden wir die Adressen im Bereich 192.168.1.100 bis 254 anpingen, dazu geben wir Folgendes ein: 

 nmap -sP 192.168.1.100-254

nmap-sp 17.png

Liste der Server mit offenen Ports abrufen
Um diese Liste zu erhalten, verwenden wir die folgende Syntax, wobei als Beispiel ein Adressbereich 192.168.1 verwendet wird. *: 

 nmap -sT -p 80 -oG - 192.168.1. * | grep auf

Erstellen Sie beim Scannen Lockvögel, um zu verhindern, dass diese erkannt werden
Dies ist sehr wichtig, da wir den gesamten Scanprozess verlieren können, aber wir sollten auch für den Scan verantwortlich sein, da wir uns daran erinnern, dass er nicht in verbotenen Netzwerken verwendet werden kann.

Dafür verwenden wir diese Syntax als Beispiel: 

 sudo nmap -sS 192.168.0.10 -D 192.168.0.1

Scannen Sie mehrere Ports gleichzeitig
In einem Zielcomputer können mehrere Ports gleichzeitig gescannt werden. In diesem Fall werden die Ports 80, 21 und 24 der IP-Adresse 192.168.1.1 gescannt. Das Ergebnis ist Folgendes:

nmap-p 18.png

Wir können sehen, welche Aktion der Port in Echtzeit ausführt.

Verwenden Sie die FIN-Analyse
Diese Analyse sendet ein Paket mit einem Flag oder FIN-Flag an das Zielgerät, um das Verhalten der Firewall zu erkennen, bevor eine Tiefenanalyse durchgeführt wird. Hierzu verwenden wir den Parameter -sF.

In diesem Fall verwenden wir die folgende Zeile: 

 sudo nmap -sF 192.168.1.1

nmap-sf 19.png

Überprüfen Sie die Version des Zielcomputers
Für diese Informationen verwenden wir den Parameter -sV, der die Softwareversion zurückgibt, die zu diesem Zeitpunkt auf dem Zielcomputer ausgeführt wird.

Wir haben überprüft, wie hilfreich diese beiden Tools für die gesamte Aufgabe des Scannens und Analysierens des Kommunikationsprozesses mit den Zielcomputern sind. Unabhängig vom System ( Windows , Windows Server , Linux, Mac usw.) sind immer Audit-Analysen erforderlich. Wir werden diese Informationen weiter erhöhen.

Schwachstellenanalyse mit OpenVAS

administrator

More Posts

Leave a Reply

Your email address will not be published. Required fields are marked *