什麼是Nmap,為什麼要使用它?如何在網路上查詢惡意裝置?
Nmap是一種流行的開源網路工具,用於檢測計算機網路上的裝置。它可以快速掃描單個主機,直至大型計算機網路,提供有關每個主機及其軟體的有用資訊。
每天,諸如智慧手錶,健身追蹤器,印表機,智慧相機等物聯網產品正成為我們日常生活的一部分。其中許多裝置都與我們的個人或工作智慧手機同步。不管您是否願意,這些裝置都可能連線到您的公司網路。
但是有什麼風險?大多數物聯網裝置沒有內建的安全性,在許多情況下,缺乏韌體和安全性升級。網路駭客就試圖破壞我們的網路。但是,藉助Nmap的發現和稽核功能,可以快速發現和識別網路上的惡意主機或裝置以及其中執行的軟體。
1. 常規網路檢測
僅知道打開了哪些埠是不夠的,很多時候,這些服務可能正在偵聽非標準埠。從安全的角度來看,還需要了解埠背後的軟體和版本。藉助Nmap的服務和版本檢測功能,可以檢視完整的網路清單以及主機和裝置的檢測,檢查每個裝置或主機的每個埠,並確定每個裝置或主機背後的軟體。Nmap使用軟體的檢測連線並詢問每個開啟的埠。這樣,Nmap可以提供對現有內容的詳細評估,而不僅僅是無意義的開放埠。
使用如此強大功能步驟:
(1)使用引數-sV啟用服務和版本檢測。
(2)新增選項--allports掃描每個埠。預設情況下,Nmap不會檢查埠9100。許多印表機使用此埠,在極少數情況下,Nmap會使它們進行列印。
(3)使用-T4可以加快執行速度,因為此發現可能很耗時。
$ nmap -sV --allports -T4 10.1.0.0/24Nmap scan report for 10.1.0.1Host is up (0.0038s latency).Not shown: 995 filtered portsPORT STATE SERVICE VERSION53/tcp open domain Unbound80/tcp open http nginx2022/tcp open ssh OpenSSH 7.5 (protocol 2.0)5000/tcp open ssl/http-proxy HAProxy http proxy 1.3.1 or later8443/tcp open ssl/http nginxService Info: Device: load balancerNmap scan report for 10.1.0.2Host is up (0.82s latency).Not shown: 992 closed portsPORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 8.3p1 Debian 1 (protocol 2.0)80/tcp open http nginx111/tcp open rpcbind 2-4 (RPC #100000)443/tcp open ssl/http nginx2049/tcp open nfs 3-4 (RPC #100003)3260/tcp open iscsi?6000/tcp open http aiohttp 3.6.2 (Python 3.8)8080/tcp open http Apache httpd 2.4.46 ((Debian) mpm-itk/2.4.7-04 OpenSSL/1.1.1g)Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel從上面的輸出中,Nmap找到了兩個主機:10.1.0.1和10.1.0.2。
第一臺主機被檢測為負載平衡器,因為它執行pfSense的路由器。 注意到有幾個埠是開啟的,並且每個埠都在監聽軟體。Nginx作為Web伺服器,打開了埠80(預期)和8443(非標準埠); OpenSSH 7.5還打開了埠2022。 在埠5000中,Nmap檢測到HAProxy的版本至少為1.3.1。
第二臺主機執行Linux系統,除iSCSI伺服器使用埠3260外,所有軟體均已正確識別。如何處理此資訊? 儲存資訊,需要一個基線來與下次掃描網路中的新主機和服務進行比較。 檢查檢測到的每個軟體的安全漏洞,確保您識別每個裝置!
2 檢測DHCP伺服器
DHCP伺服器是每個網路的基本元件。本質上,每個網路應該只有一個DHCP伺服器,提供正確配置網路所需的所有必要資訊。
惡意DHCP伺服器就像普通的DHCP伺服器一樣,但是它們不受IT或網路人員的管理。這些惡意伺服器通常在使用者有意或無意地將路由器連線到網路時出現。還有可能是諸如手機,印表機,相機,平板電腦,智慧手錶之類的物聯網裝置受損,或者IT應用或資源受損之類的情況。流氓DHCP伺服器令人非常棘手,例如,當使用PXE部署伺服器群時,因為PXE嚴重依賴DHCP。不僅如此,這還存在安全風險,並且由於流氓DHCP伺服器會提供錯誤的網路設定和路由,可能會遇到網路中斷的情況。
為了檢測DHCP,Nmap包含一個broadcast-dhcp-discover的指令碼。該指令碼將使用DE:AD:CO:DE:CA:FE的MAC地址向廣播地址傳送DHCP請求,並報告結果。
在以下示例中,指令碼broadcast-dhcp-discover在介面bond0上執行,並發現惡意DHCP伺服器:
$ sudo nmap --script broadcast-dhcp-discover -e bond0Starting Nmap 7.70 ( https://nmap.org ) at 2020-10-28 19:24 CDTPre-scan script results:| dhcp:| Response 1 of 2:| Interface: bond0| IP Offered: 10.1.0.78| DHCP Message Type: DHCPOFFER| Server Identifier: 10.1.0.1| IP Address Lease Time: 5m00s| Subnet Mask: 255.255.255.0| Router: 10.1.0.1| Domain Name Server: 10.1.0.1| Domain Name: lab.opencloud.io| Response 2 of 2:| Interface: bond0| IP Offered: 10.1.0.27| DHCP Message Type: DHCPOFFER| Server Identifier: 10.1.0.3| IP Address Lease Time: 2m00s| Renewal Time Value: 1m00s| Rebinding Time Value: 1m45s| Subnet Mask: 255.255.255.0| Broadcast Address: 10.1.0.255| Router: 10.1.0.3|_ Domain Name Server: 10.1.0.3WARNING: No targets were specified, so 0 hosts scanned.Nmap done: 0 IP addresses (0 hosts up) scanned in 10.31 seconds從上面的輸出資訊中,可以看到兩個不同的響應,分別對應於網路中每個DHCP伺服器的響應。要監視的最重要欄位是伺服器識別符號,因為它將為您顯示DHCP伺服器的IP,也會顯示惡意IP。
3 UPnP裝置
理的Pinkslipbot。當今許多家用裝置都在使用UPnP,包括影片遊戲機或流式裝置(例如Google Chromecast)。
掃描網路10.1.0.0/24並檢測使用UPnP的裝置,執行以下命令執行外掛broadcast-upnp-info。使用-T4可以加快檢測速度:
% nmap -sV --script=broadcast-upnp-info -T4 10.1.0.0/24Starting Nmap 7.91 ( https://nmap.org ) at 2020-11-02 18:59 CSTPre-scan script results:| broadcast-upnp-info:| 239.255.255.250| Server: Linux/2.6.12, UPnP/1.0, NETGEAR-UPNP/1.0| Location: http://192.168.1.204:80/Public_UPNP_gatedesc.xml| Manufacturer: NETGEAR, Inc.| Name: WAN Device| Manufacturer: NETGEAR, Inc.| Name: WAN Connection Device| Manufacturer: NETGEAR, Inc.上面檢測例子中,Nmap指令碼檢測到一個使用UPnP的裝置,顯示必要的資訊,例如製造商,作業系統和軟體版本。
如何處理此資訊? 如果不需要UPnP,最好禁用它。 如果無法實現,請確保識別出該裝置並將其升級到最新的韌體版本。
在本文中,我們探討了如何使用Nmap在我們的網路中查詢潛在的惡意裝置。 隨著物聯網裝置(許多沒有安全機制)的出現和日益普及,保持跟蹤連線到網路的所有裝置往任非常重要。 Nmap是在這些情況下,是我們使用的便捷工具。